Check alle échte Black Friday-deals Ook zo moe van nepaanbiedingen? Wij laten alleen échte deals zien
Toon posts:

[98] IE gehijacked door se.dll

Pagina: 1
Acties:

zaterdag 5 maart 2005 13:36

Acties:

Verwijderd

Topicstarter
Ik heb een zeer irri probleem. Mijn IE6 wordt hele tijd gehijackd door se.dll.

hier is de log:

Logfile of HijackThis v1.99.0
Scan saved at 13:32:27, on 5-3-05
Platform: Windows 98 Gold (Win9x 4.10.1998)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\PROGRAM FILES\COMMON FILES\SYMANTEC SHARED\CCEVTMGR.EXE
C:\PROGRAM FILES\COMMON FILES\SYMANTEC SHARED\CCSETMGR.EXE
C:\PROGRAM FILES\NORTON ANTIVIRUS\IWP\NPFMNTOR.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\EXPLORER.EXE
C:\PROGRAM FILES\COMMON FILES\SYMANTEC SHARED\CCPD-LC\SYMLCSVC.EXE
C:\PROGRAM FILES\COMMON FILES\SYMANTEC SHARED\CCAPP.EXE
C:\WINDOWS\RUNDLL32.EXE
C:\PROGRAM FILES\COMMON FILES\SYMANTEC SHARED\SNDSRVC.EXE
C:\PROGRAM FILES\MOZILLA FIREFOX\FIREFOX.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\se.dll/sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\se.dll/sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {1DE823B7-8CF1-11D9-8AC0-0050808B581C} - C:\WINDOWS\SYSTEM\JHAC.DLLt
O4 - HKLM\..\Run: [sp] rundll32 C:\WINDOWS\TEMP\SE.DLL,DllInstall
O18 - Filter: text/html - {1DE823B6-8CF1-11D9-8AC0-0050EFC7FD87} - C:\WINDOWS\SYSTEM\JHAC.DLL
O18 - Filter: text/plain - {1DE823B6-8CF1-11D9-8AC0-0050EFC7FD87} - C:\WINDOWS\SYSTEM\JHAC.DLL

Vooral die rundll32.exe bevalt me niet. ik heb echt nooit eerder in mijn running tasks gezien. volgens mij laad hij de se.dll.

en ja hoor ik verwijder die se.dll uit mijn windows/temp dir, en pas msconfig opstarten aan. HIJ BLIJFT terug komen.

nieuwste norton en trend micro en hijackthis konden het niet verwijderen. De vraag rest of format c de enige optie is?

zaterdag 5 maart 2005 13:48

Acties:

Verwijderd

Er is super veel te vinden met google als je zoekt op se.dll waaronder dit.
I *think* that I finally got rid of it, at least is doesn't come back up after a reboot. I don't have the specifics here with me, but I had to boot to DOS and delete 3 files:
-se.dll
-an exe file c:\qxxxxx.exe (the filename started with 'q' and was followed by some numbers). The file had similar date to se.dll
a dll in c:\windows\system. It has a 4 character name (something like 'kljb.dll').
this file had a timestamp similar to the .exe.

I then rebooted to windows and ran HijackThis and removed all the references to the dll and "about:nothing".
there were also a couple of filters and another unnecessary entry that HijackThis said were suspicious, so I removed them, too.

I'm sorry that I don't have specific file names here with me; I'll sent them in tonight when I get home.

I hope that this helps.

Tom
bron: http://www.computing.net/windowsme/wwwboard/forum/45241.html

[ Voor 8% gewijzigd door Verwijderd op 05-03-2005 13:49 ]

zaterdag 5 maart 2005 13:57

Acties:
  • CyberThijs
  • Registratie: Maart 2004
  • Laatst online: 15:35

CyberThijs

C:\WINDOWS\SYSTEM\MSTASK.EXE Safe.
Safe. running process. (MSTASK.EXE)
Gehört zu den Windows Powertoys von MS.
Possibly nasty! According to our database this process runs normally in c:\windows\system32\! Check if you know this process and arrange a viruscheck where required.


C:\WINDOWS\RUNDLL32.EXE Safe.
Safe. running process. (RUNDLL32.EXE)
RUNDLL32 is the Microsoft Windows program that loads DLLs into memory so that they can be used by specific programs or by Windows.
Possibly nasty! According to our database this process runs normally in c:\windows\system32\! Check if you know this process and arrange a viruscheck where required.
Deze 2 lijken het verdachtst, om de volledige analyze te bekijken, klik hier

zaterdag 5 maart 2005 14:01

Acties:

Verwijderd

Topicstarter
Ik heb ook veel met google gezocht. Het nuttigst vond ik inderdaad, die beschrijvingen op computing.net forum. Ik ga daar eerst eens mee aan de slag.

zaterdag 5 maart 2005 14:02

Acties:
  • F_J_K
  • Registratie: Juni 2001
  • Niet online

F_J_K

Moderator CSA/PB

Front verplichte underscores

Is dit de volledige hjt log? (Dus dat .DLLt staat er ook zo?) Wat als je die door een goede virusscanner haalt en wat zeggen de spyware tools zoals die in de BV FAQ staan?

offtopic:
WOS --> BV. Ook haal ik het 'exploder' uit je topictitel: beetje kinderachtig, ook omdat je het wel gewoon gebruikt 8)7

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)

zaterdag 5 maart 2005 14:05

Acties:
  • seamus21
  • Registratie: December 2001
  • Laatst online: 24-02-2018

seamus21

Die heb ik ook gehad.

Ik heb ongeveer de volgende stappen genomen:

- rundll32.exe service killen (deze zorgt nl voor het steeds terugkomen van se.dll)
- handmatig weggooien van rundll32.exe (eerst ff zoeken zal wel in system32 staan)
- handmatig se.dll weggooien (staat waarschijnlijk in een profile ergens)
- draai de wellbekende anti-zooi tools
- eventueel verse install van een inet browser
- en ik draai altijd voor de zekerheid alle updates die er dan nog nieuw zijn

Always shoot for the moon. Even if you miss you will land among the stars...

zaterdag 5 maart 2005 14:08

Acties:
  • job
  • Registratie: Februari 2002
  • Laatst online: 21-11 13:13

job

02 04 018 kunnen waarschijnlijk wel verwijderd worden.
Gooi ook alle R1 en R0 weg.

zaterdag 5 maart 2005 14:08

Acties:

Verwijderd

rundll32.exe weg gooien is geen goed plan denk ik... nogal een belangrijk onderdeel van windows.

zaterdag 5 maart 2005 14:14

Acties:

Verwijderd

Nooit Rundll32 verwijderen! Dan werkt je configuratiescherm bijv niet meer...

zaterdag 5 maart 2005 14:19

Acties:
  • alt-92
  • Registratie: Maart 2000
  • Niet online

alt-92

ye olde farte

CyberThijs schreef op zaterdag 05 maart 2005 @ 13:57:
Deze 2 lijken het verdachtst, om de volledige analyze te bekijken, klik hier
Van iemand met 9x/DOS commands in z'n ondertitel had ik wel het inzicht verwacht dat die weet dat 9x de \WINDOWS|SYSTEM directory gebruikt en NT-based OSsen \SYSTEM32...

Lijkt me dat je niet blind moet gaan op hjt.de als ze dat soort adviezen gaan geven.

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

zaterdag 5 maart 2005 14:47

Acties:

Verwijderd

Topicstarter
Ik ga zeker Rundll32.exe niet verwijderen. Ik ga eerst al die dingen doorlezen.

Trouwens ik weet niet echt veel van Windows 98, maar ik heb system en system32 directory.

zaterdag 5 maart 2005 15:40

Acties:
  • kwiebus
  • Registratie: Oktober 2002
  • Laatst online: 12:02

kwiebus

Het lijk mij verdacht veel op deze:

Troj/StartPa-EW changes settings for Microsoft Internet Explorer, including search settings, by modifying values under:
HKCU\Software\Microsoft\Internet Explorer\Main\
HKLM\SOFTWARE\Microsoft\Internet Explorer\Main\
HKCU\Software\Microsoft\Internet Explorer\Search\
HKLM\SOFTWARE\Microsoft\Internet Explorer\Search\
The following files are typically created as part of the installation:
%TEMP%\se.dll
%SYSTEM%\<random filename>.dll
<random filename>.dll is detected seperately as Troj/Ablank-C.
The following registry entry is created to run code exported by se.dll on startup:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
sp
rundll32 %TEMP%\se.dll,DllInstall
<random filename>.dll is registered as a COM object, 2 CLSIDs are generated (at runtime) and added to new registry entries under:
HKCR\CLSID\
HKCR\PROTOCOLS\Filter\text/html\
HKCR\PROTOCOLS\Filter\text/plain\
Registry entries are also created under:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
SearchAssistant Uninstall\
Troj/StartPa-EW may open remote web pages using Microsoft Internet Explorer.
Troj/StartPa-EW provides an uninstall option which can be accessed via the Add or Remove Programs dialog in the Windows Control Panel. The software is listed as "Search Assistant Uninstall".

Het is dan dus een kwestie van de dll te unregisteren en de registry keys aanpassen cq te verwijderen.

zaterdag 5 maart 2005 16:30

Acties:

Verwijderd

Topicstarter
Thanks kwiebus, superrrrr info!

zondag 6 maart 2005 00:19

Acties:
  • seamus21
  • Registratie: December 2001
  • Laatst online: 24-02-2018

seamus21

Lezen is ook een vak he. Er is een verschil tussen run32.dll en rundll32.exe :)

Always shoot for the moon. Even if you miss you will land among the stars...

zondag 6 maart 2005 10:55

Acties:

Verwijderd

seamus21 schreef op zondag 06 maart 2005 @ 00:19:
Lezen is ook een vak he. Er is een verschil tussen run32.dll en rundll32.exe :)
Jup lezen is een vak... waar kan ik run32.dll in dit verhaal vinden ?

zondag 6 maart 2005 13:49

Acties:
  • seamus21
  • Registratie: December 2001
  • Laatst online: 24-02-2018

seamus21

nergens :D

Always shoot for the moon. Even if you miss you will land among the stars...

Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq