Ir ao conteúdo
  • Cadastre-se

cws.hiddendll + se.dll


Danilo_Reis

Posts recomendados

:( Desde o dia 05/03/05 que o meu computador está infectado com spyware.Não consigo executar o HijackThis no modo de segurança. O meu computador trava quando entra no modo de segurança. Já executei o Spy Sweeper, SpyBot S&D, SpySubtract, Ad-Aware SE e o HijackThis não no modo de segurança e não adiantou. Sempre reaparece depois de algumas horas esse SE.dll e CWS.Hiddendll. Qual a sugestão para esse caso? Agradeço desde já a atenção que será dada.

Intel P4 1.5 GB

Windows 98SE

Abaixo segue o Log do HijackThis

Logfile of HijackThis v1.99.1

Scan saved at 14:26:32, on 15/03/05

Platform: Windows 98 SE (Win9x 4.10.2222A)

MSIE: Internet Explorer v5.00 (5.00.2614.3500)

Running processes:

C:\WINDOWS\SYSTEM\KERNEL32.DLL

C:\WINDOWS\SYSTEM\MSGSRV32.EXE

C:\WINDOWS\SYSTEM\MPREXE.EXE

C:\WINDOWS\SYSTEM\mmtask.tsk

C:\WINDOWS\SYSTEM\MSTASK.EXE

C:\ARQUIVOS DE PROGRAMAS\TREND MICRO\OFFICESCAN CLIENT\PCCWIN97.EXE

C:\WINDOWS\TEMP\MFAB9E.EXE

C:\WINDOWS\EXPLORER.EXE

C:\WINDOWS\TASKMON.EXE

C:\WINDOWS\SYSTEM\SYSTRAY.EXE

C:\WINDOWS\ptsnoop.exe

C:\ARQUIVOS DE PROGRAMAS\GRISOFT\AVG FREE\AVGCC.EXE

C:\ARQUIVOS DE PROGRAMAS\GRISOFT\AVG FREE\AVGEMC.EXE

C:\ARQUIVOS DE PROGRAMAS\GRISOFT\AVG FREE\AVGAMSVR.EXE

C:\ARQUIVOS DE PROGRAMAS\WEBROOT\SPY SWEEPER\SPYSWEEPER.EXE

C:\ARQUIVOS DE PROGRAMAS\ULTRAVNC\WINVNC.EXE

C:\WINDOWS\SYSTEM\WMIEXE.EXE

C:\WINDOWS\SYSTEM\DDHELP.EXE

C:\WINDOWS\SYSTEM\SPOOL32.EXE

C:\ARQUIVOS DE PROGRAMAS\INTERNET EXPLORER\IEXPLORE.EXE

C:\MEUS DOCUMENTOS\DANILO\VACINAHIJACKTHIS\HIJACKTHIS.EXE

O3 - Toolbar: &Rádio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX

O4 - HKLM\..\Run: [scanRegistry] C:\WINDOWS\scanregw.exe /autorun

O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe

O4 - HKLM\..\Run: [systemTray] SysTray.Exe

O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

O4 - HKLM\..\Run: [CountrySelection] pctptt.exe

O4 - HKLM\..\Run: [PTSNOOP] ptsnoop.exe

O4 - HKLM\..\Run: [OfficeScan95] "C:\ARQUIVOS DE PROGRAMAS\TREND MICRO\OFFICESCAN CLIENT\pccwin97.exe" -HideWindow

O4 - HKLM\..\Run: [AVG7_CC] C:\ARQUIV~1\GRISOFT\AVGFRE~1\AVGCC.EXE /STARTUP

O4 - HKLM\..\Run: [AVG7_EMC] C:\ARQUIV~1\GRISOFT\AVGFRE~1\AVGEMC.EXE

O4 - HKLM\..\Run: [AVG7_AMSVR] C:\ARQUIV~1\GRISOFT\AVGFRE~1\AVGAMSVR.EXE

O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

O4 - HKLM\..\RunServices: [schedulingAgent] C:\WINDOWS\SYSTEM\mstask.exe

O4 - HKLM\..\RunServices: [OfficeScan95] "C:\ARQUIVOS DE PROGRAMAS\TREND MICRO\OFFICESCAN CLIENT\pccwin97.exe"

O4 - HKCU\..\Run: [spySweeper] "C:\Arquivos de programas\Webroot\Spy Sweeper\SPYSWEEPER.EXE" /0

O4 - HKCU\..\RunServices: [spySweeper] "C:\Arquivos de programas\Webroot\Spy Sweeper\SPYSWEEPER.EXE" /0

O4 - Startup: Ultr@VNC Server.lnk = C:\Arquivos de programas\UltraVNC\winvnc.exe

O14 - IERESET.INF: SEARCH_PAGE_URL=

O14 - IERESET.INF: START_PAGE_URL=

O17 - HKLM\System\CCS\Services\VxD\MSTCP: Domain = telepar.com.br

O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 201.10.120.2,201.10.128.3

Link para o comentário
Compartilhar em outros sites

Estranho, parece que você não está com nenhuma entrada estranha relacionada ao SE.dll nem tanto com o cws...

Mas faz o seguinte, vai no site do Kaspersky e faz um scan desse arquivo.

MFAB9E.EXE

que fica nessa pasta.

C:\WINDOWS\TEMP\MFAB9E.EXE

Eu acho que ele seja o causador de seus problemas...

depois posta a resposta aqui para gente.

abraços

Leandro

Link para o comentário
Compartilhar em outros sites

:huh:

Boa tarde! dohko,

É que eu já havia retirado com o HijackThis as entradas estranhas.

O arquivo mfab9e.exe no diretório c:\windows\temp no meu computador não existe. Neste diretório existem dois arquivos que são:

WS17BB.EXE

CFE7DF35.TMP

Agora como essa praga voltou bem na hora que eu estava acessando

este site, fiz o log do HijackThis do meu computador que segue abaixo.

Desde já sou grato pela sua atenção.

Logfile of HijackThis v1.99.1

Scan saved at 17:36:22, on 17/03/05

Platform: Windows 98 SE (Win9x 4.10.2222A)

MSIE: Internet Explorer v5.00 (5.00.2614.3500)

Running processes:

C:\WINDOWS\SYSTEM\KERNEL32.DLL

C:\WINDOWS\SYSTEM\MSGSRV32.EXE

C:\WINDOWS\SYSTEM\MPREXE.EXE

C:\WINDOWS\SYSTEM\mmtask.tsk

C:\WINDOWS\SYSTEM\MSTASK.EXE

C:\ARQUIVOS DE PROGRAMAS\TREND MICRO\OFFICESCAN CLIENT\PCCWIN97.EXE

C:\WINDOWS\TEMP\WS17BB.EXE

C:\WINDOWS\EXPLORER.EXE

C:\WINDOWS\TASKMON.EXE

C:\WINDOWS\SYSTEM\SYSTRAY.EXE

C:\WINDOWS\ptsnoop.exe

C:\ARQUIVOS DE PROGRAMAS\GRISOFT\AVG FREE\AVGCC.EXE

C:\ARQUIVOS DE PROGRAMAS\GRISOFT\AVG FREE\AVGEMC.EXE

C:\ARQUIVOS DE PROGRAMAS\GRISOFT\AVG FREE\AVGAMSVR.EXE

C:\ARQUIVOS DE PROGRAMAS\WEBROOT\SPY SWEEPER\SPYSWEEPER.EXE

C:\ARQUIVOS DE PROGRAMAS\ULTRAVNC\WINVNC.EXE

C:\WINDOWS\SYSTEM\WMIEXE.EXE

C:\WINDOWS\SYSTEM\DDHELP.EXE

C:\ARQUIVOS DE PROGRAMAS\INTERNET EXPLORER\IEXPLORE.EXE

C:\WINDOWS\SYSTEM\PSTORES.EXE

C:\WINDOWS\RUNDLL32.EXE

C:\MEUS DOCUMENTOS\DANILO\VACINAHIJACKTHIS\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\se.dll/sp.html

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\se.dll/sp.html

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

O2 - BHO: (no name) - {3F30D0C5-9703-11D9-BBD7-00077BC5AF58} - C:\WINDOWS\SYSTEM\BAN.DLL

O3 - Toolbar: &Rádio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX

O4 - HKLM\..\Run: [scanRegistry] C:\WINDOWS\scanregw.exe /autorun

O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe

O4 - HKLM\..\Run: [systemTray] SysTray.Exe

O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

O4 - HKLM\..\Run: [CountrySelection] pctptt.exe

O4 - HKLM\..\Run: [PTSNOOP] ptsnoop.exe

O4 - HKLM\..\Run: [OfficeScan95] "C:\ARQUIVOS DE PROGRAMAS\TREND MICRO\OFFICESCAN CLIENT\pccwin97.exe" -HideWindow

O4 - HKLM\..\Run: [AVG7_CC] C:\ARQUIV~1\GRISOFT\AVGFRE~1\AVGCC.EXE /STARTUP

O4 - HKLM\..\Run: [AVG7_EMC] C:\ARQUIV~1\GRISOFT\AVGFRE~1\AVGEMC.EXE

O4 - HKLM\..\Run: [AVG7_AMSVR] C:\ARQUIV~1\GRISOFT\AVGFRE~1\AVGAMSVR.EXE

O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

O4 - HKLM\..\RunServices: [schedulingAgent] C:\WINDOWS\SYSTEM\mstask.exe

O4 - HKLM\..\RunServices: [OfficeScan95] "C:\ARQUIVOS DE PROGRAMAS\TREND MICRO\OFFICESCAN CLIENT\pccwin97.exe"

O4 - HKCU\..\Run: [spySweeper] "C:\Arquivos de programas\Webroot\Spy Sweeper\SPYSWEEPER.EXE" /0

O4 - HKCU\..\RunServices: [spySweeper] "C:\Arquivos de programas\Webroot\Spy Sweeper\SPYSWEEPER.EXE" /0

O4 - Startup: Ultr@VNC Server.lnk = C:\Arquivos de programas\UltraVNC\winvnc.exe

O14 - IERESET.INF: SEARCH_PAGE_URL=

O14 - IERESET.INF: START_PAGE_URL=

O17 - HKLM\System\CCS\Services\VxD\MSTCP: Domain = telepar.com.br

O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 201.10.120.2,201.10.128.3

O18 - Filter: text/html - {3F30D0C4-9703-11D9-BBD7-000714890AC3} - C:\WINDOWS\SYSTEM\BAN.DLL

O18 - Filter: text/plain - {3F30D0C4-9703-11D9-BBD7-000714890AC3} - C:\WINDOWS\SYSTEM\BAN.DLL

Link para o comentário
Compartilhar em outros sites

Beleza?

1- Faz o seguinte, Configure seu windows para mostrar os arquivos ocultos

2- Salve o conteudo desse tópico e coloque em um local de fácil acesso a você.

3- Aperta F8 na inicialização do windows

OBS.: Coloque o HijackThis desta forma no seu PC.

C:\HijackThis\HijackThis.exe

Não desta forma como se encontra no seu PC

C:\MEUS DOCUMENTOS\DANILO\VACINAHIJACKTHIS\HIJACKTHIS.EXE

Pois com a forma correta você poderá ofetuar backups.

Execute novamente o Hijackthis e marque as entradas e depois clique em "fix checked"

>>>>>>>>>>>>>>>>>>

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\se.dll/sp.html

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar =

res://C:\WINDOWS\TEMP\se.dll/sp.html

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

Essas entradas não tenho certeza,

O14 - IERESET.INF: SEARCH_PAGE_URL=

O14 - IERESET.INF: START_PAGE_URL=

Não marque elas por enquanto, vou dar uma pesquisada melhor...

O18 - Filter: text/html - {3F30D0C4-9703-11D9-BBD7-000714890AC3} - C:\WINDOWS\SYSTEM\BAN.DLL

O18 - Filter: text/plain - {3F30D0C4-9703-11D9-BBD7-000714890AC3} - C:\WINDOWS\SYSTEM\BAN.DLL

>>>>>>>>>>>>>>>>>>>>>>

De uma pesquisa no site o Kaspersky e se o resultado for que eles sejam um trojan ou coisa parecida, delete-os da pasta

Nesse caso ele se localiza na pasta TEMP

C:\WINDOWS\TEMP\WS17BB.EXE

Espero sua resposta.

abraços

Leandro

Link para o comentário
Compartilhar em outros sites

:D dohko,

Entrei no Tópico que você abriu no dia 19/03/2005 às 02:22

Destaque: SP.DLL e SE.DLL, como remover?

De uma lida nesse tópico. Pode ajudar...

e além de encontrar a sua mensagem de ajuda, encontrei uma mensagem resposta do FallenHawk em seguida que está logo abaixo entre as linhas tracejadas que DIZ ASSIM:

_________________________________________________________________

Ferramenta de remoção agora disponível!!

POR FAVOR note que a ferramenta de remoção está em fase de testes e o uso dela é de inteira responsabilidade SUA!

http://www.trojaner-info.de/cgi-bin/downlo...gi?file=sphjfix

--------------------

Altieres Rohr

Aliança dos Profissionais de Análise de Segurança / ASAP desde 2004

Linha Defensiva

Não respondo dúvidas através de MP e e-mail

_________________________________________________________________

Agora com a sugestão do FallenHawk, e como eu já não tinha mais nenhuma saída mesmo, rodei por MINHA CONTA E RISCO!!! essa ferramenta de remoção que deu certo.

Quero desde já agradecer essa dica e o arquivo que ele deletou foi o LMHOSVS.SAM o qual estava enrustido nos programas que rodavam em meu computador. Eu desconfiava desse arquivo quando eu rodava o DLL SHOW, mais eu ingênuo não sabia que era ele um dos causadores (acho eu) do retorno dos spywares. Esse arquivo constava na execução de vários programas.

Inclusive abaixo segue o que o programa de remoção fez:

(3/21/05 15:10:12) SPSeHjFix started v1.09

(3/21/05 15:10:12) OS: Win98SE A (4.10.67766446)

(3/21/05 15:10:12) Language: português

(3/21/05 15:10:17) Disinfect started

(3/21/05 15:10:17) Bad-Dll(IEP): (not found)

(3/21/05 15:10:17) Bad-Dll(IEP) in BHO: (not found)

(3/21/05 15:10:17) UBF: 4

(3/21/05 15:10:17) UBB: 0

(3/21/05 15:10:17) UBR: 11

(3/21/05 15:10:17) Bad IE-pages:

deleted: HKCU\Software\Microsoft\Internet Explorer\Main, Start Page: about:blank_

deleted: HKLM\Software\Microsoft\Internet Explorer\Main, Start Page: about:blank_

(3/21/05 15:10:17) Stealth-String found: C:\WINDOWS\LMHOSVS.SAM

(3/21/05 15:10:17) File added to delete: c:\windows\lmhosvs.sam

(3/21/05 15:10:17) Reboot

(3/21/05 15:11:55) SPSeHjFix 2nd Step

(3/21/05 15:11:55) RunServicesOnce-Key: (edited)

(3/21/05 15:11:59) Cleaned

Quero desde já dizer muito obrigado e tudo de bom para você.

Um grande abraço.

Danilo_Reis.

:-BEER

Link para o comentário
Compartilhar em outros sites

Beleza, se funcionou, é valido.

O estranho é que o hijackthis não listou esse processo, ou ao menos o mencionou...

C:\WINDOWS\LMHOSVS.SAM

Talvez seu caso só teria um resultado bom se você tivesse usado outra ferramenta parecida com o hijackthis, o STARTDRECK...

Mas como tá tudo funcionando....

Qualquer coisa só falar

abraços

LEandro

Link para o comentário
Compartilhar em outros sites

Visitante
Este tópico está impedido de receber novos posts.

Sobre o Clube do Hardware

No ar desde 1996, o Clube do Hardware é uma das maiores, mais antigas e mais respeitadas comunidades sobre tecnologia do Brasil. Leia mais

Direitos autorais

Não permitimos a cópia ou reprodução do conteúdo do nosso site, fórum, newsletters e redes sociais, mesmo citando-se a fonte. Leia mais

×
×
  • Criar novo...

Curso de Hacker Ético

LANÇAMENTO!

CLIQUE AQUI E CONFIRA!

* Este curso não é ministrado pela equipe do Clube do Hardware.