Como elimino el Troyano SE.DLL

dargen · #1 (**permalink**) 22/03/2005, 00:01

Tengo el maldito troyano desde hace un tiempo y he hecho de todo para sacarlo. En el foro me pasaron como borrarlo pero vuelve, hasta he armado un lío en el registro terrible. También pasé el Ad-aware 6.0, el AVG FREE y no hay caso. También instalé el SpyWareBlaster, pero se me hacía muy complicado ya que tengo un Pentium 200 con 40 MB de memoria.
Please que alguien me ayude por favor.
Acá les paso el resumen del Hijackthis:

Logfile of HijackThis v1.99.1
Scan saved at 02:58:45 a.m., on 22/03/05
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v5.00 (5.00.2614.3500)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\LOADQM.EXE
C:\ARCHIVOS DE PROGRAMA\GRISOFT\AVG FREE\AVGCC.EXE
C:\ARCHIVOS DE PROGRAMA\GRISOFT\AVG FREE\AVGEMC.EXE
C:\ARCHIVOS DE PROGRAMA\GRISOFT\AVG FREE\AVGAMSVR.EXE
C:\WINDOWS\SYSTEM\ICSMGR.EXE
C:\ARCHIVOS DE PROGRAMA\MSN MESSENGER\MSNMSGR.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\ARCHIVOS DE PROGRAMA\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\HIJACKTHIS\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\se.dll/sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\se.dll/sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
F1 - win.ini: run=hpfsched
O2 - BHO: (no name) - {E22CAEAB-999B-11D9-9141-00080086B6E7} - C:\WINDOWS\SYSTEM\OPEJMGA.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\ARCHIV~1\GRISOFT\AVGFRE~1\AVGCC.EXE /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\ARCHIV~1\GRISOFT\AVGFRE~1\AVGEMC.EXE
O4 - HKLM\..\Run: [AVG7_AMSVR] C:\ARCHIV~1\GRISOFT\AVGFRE~1\AVGAMSVR.EXE
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [ICSMGR] ICSMGR.EXE
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] C:\WINDOWS\SYSTEM\mstask.exe
O4 - HKCU\..\Run: [PicoZip] D:\ARCHIVOS DE PROGRAMA\PICOZIP\PicoZipTray.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\ARCHIVOS DE PROGRAMA\MSN MESSENGER\MSNMSGR.EXE" /background
O4 - Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=
O18 - Filter: text/html - {E22CAEAA-999B-11D9-9141-00086FCA137C} - C:\WINDOWS\SYSTEM\OPEJMGA.DLL
O18 - Filter: text/plain - {E22CAEAA-999B-11D9-9141-00086FCA137C} - C:\WINDOWS\SYSTEM\OPEJMGA.DLL

Mr. X · #2 (**permalink**) 22/03/2005, 00:20

Aqui ya respondieron tu preguna..aunque yo sigo con la misma duda... y con el mismo problema
http://www.forospyware.com/t1827-.html

TheGhost · #3 (**permalink**) 22/03/2005, 14:04

Entra a modo aprueba de fallos o modo seguro.
Abre el hijackthis.
Cierra todo navegador o explorador web, sino no resultará
Procura que en tu sistema esté activada la opción de ver los archivos y carpetas ocultas.

Selecciona las siguientes entradas y dale fix

Cita:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\se.dll/sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\se.dll/sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: (no name) - {E22CAEAB-999B-11D9-9141-00080086B6E7} - C:\WINDOWS\SYSTEM\OPEJMGA.DLL

O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=
O18 - Filter: text/html - {E22CAEAA-999B-11D9-9141-00086FCA137C} - C:\WINDOWS\SYSTEM\OPEJMGA.DLL
O18 - Filter: text/plain - {E22CAEAA-999B-11D9-9141-00086FCA137C} - C:\WINDOWS\SYSTEM\OPEJMGA.DLL

Cierra el hijackthis, borra todos los archivos temporales y cookies.

Elimina este archivo si todavia existe

Cita:

C:\WINDOWS\SYSTEM\OPEJMGA.DLL

Limpia la papelera
Reinicia el sistem en modo normal

Saludos
The Ghost

nanobu9 · #4 (**permalink**) 29/03/2005, 14:15

El troyano y/o spyware y/o malware "se.dll" y su pagina sp.html siempre se vuelven a instalar.
Esto ocurre luego de iniciar el iexplorer, entonces, donde esta la rutina?
La página que ustedes ven como página de inicio, o de lo contrario,
el "frame" que genera a un lado el boton "Buscador" son responsables de ejecutar una dll que vuelve a infectar el sistema (vuelve a crear el se.dll y la key SP en HKLM)
Si no se calientan, inicien nuevamente el iexplorer, revisen el código fuente de la página de inicio indeseada y allí podrán ver, algo como esto: Base href res//, seguido de una cadena de % y pares hexadecimales hasta finalizar en un paréntesis.
Eso que ven es una referencia a un archivo dll ubicado en algún lugar del disco, que de una forma oculta reinicia la infección.
Solucion, conviertan el codigo hexadecimal a alfanumerico, localizen la librería y prueben renombrarla, sus pesadillas habran desaparecido

Mi pesadilla actual se llama Wntsf.exe, se agradece ayuda.

v_i_n_i_c_i_o · #5 (**permalink**) 30/05/2005, 14:54

http://www.forosdelweb.com/showthrea...73#post1118373

all-ill · #6 (**permalink**) 11/06/2005, 10:40

Para eliminarlo fácilmente usad sp Hijacker

deivinatalini · #7 (**permalink**) 14/06/2005, 01:24

Que tal! Les cuento que como a muchos, me afecto este maldito "bicharraco". Hice todo lo complicado que aparece en este foro, pero no me dio resultado y fue mas factible formatear todo.
Pero resulta que, para variar, otra vez quede infectado. Y, por primera vez, fui a lo mas facil.
Baje un programa posteado llamado Sp Hijacker, y lo instale. Solo tuve que bajar el msvbvm60.dll para que funcionara correctamente.

Y magicamente, funciono. Aunque cueste creerlo, elimino todo lo necesario y nunca, hasta el momento, ha vuelto.
Tal vez, es solo cuestion de tiempo, pero...

Saludos para todos.
Espero haberle servido de ayuda a alguien, que es lo importante.

Sp Hijacker