Hola a tod@s
Hace poco mi ordenador (Windows ME) se infectó con una variante del
About:blank. Creo que llegó a través del Kazaa. Se me aparecía una ventana avisándome que tenia programas espía en mi disco duro; se aparecía tanto si estaba conectado a Internet como si no. Me cambiaba la página de inicio de Internet Explorer por la de about: blank y por más que la cambiara volvía a salir. :x Se me instalaba
sp.exe,
se.dll (en C:/Windows/Temp) y
otro archivo DLL (en C:/ Windows /System), que puede tener diferentes nombres (ffbcdda.dll, nconpa.dll, ijn.dll o cnke.dll, en mi caso). Por más que lo eliminara todo, cuando me conectaba a Internet volvía a infectar-se. Además, me creaba muchos errores, el ordenador se colgaba con cualquier tontería e iba muy lento. :? El antivirus on line de Panda me detectó el CWS About:blank y Nsearch (sp.exe).
Estuve leyendo en muchos foros casos de gente que se había infectado con About:blank, se.dll, troyanos, secuestradores de la página de inicio de Internet Explorer, etc… casos similares al mío. Éstos son los pasos que seguí yo para acabar con la infección, guiado por los expertos de
www.daboweb.com. Espero que sea de ayuda. Puede ser que, dependiendo de la variante de About:blank que tengáis,
cualquiera de los primeros pasos os sea ya efectivo para eliminarlo. Yo voy a contar
todo lo que hice.
El primer ataque consistió en eliminar todo el malware que encontré con
AdAware (
www.lavasoft.de/support/download) y
Spybot S&D (
www.safer-networking.org/es/download/index.html) y también con
CwShredder (
www.infospyware.com) (a mí me detectaba CWS HiddenDll). Luego reinicié en modo seguro, abrí
Hijackthis (
www.spywareinfo.com/~merijn/files/HijackThis.exe) y marqué y eliminé las siguientes entradas:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\se.dll/sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\se.dll/sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {C435FD6F-238C-43C9-9C2D-632EAD6E1CE3} - C:\WINDOWS\SYSTEM\FFBDCCA.DLL
O3 - Toolbar: (no name) - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - (no file)
O4 - HKLM\..\Run: [sp] rundll32 C:\WINDOWS\TEMP\SE.DLL,DllInstall
O18 - Filter: text/html - {77D2B78C-F421-4C4A-ADF9-1674CE1D9E12} - C:\WINDOWS\SYSTEM\FFBDCCA.DLL
O18 - Filter: text/plain - {77D2B78C-F421-4C4A-ADF9-1674CE1D9E12} - C:\WINDOWS\SYSTEM\FFBDCCA.DLL Hay que recordar que el nombre del archivo DLL puede variar. En mi caso era ffbdcca.dll.
Una vez hube reiniciado, me pareció que ya estaba a salvo. Pero volví a infectarme cuando me conecté a Internet. :oops: :roll:
Lo siguiente, pues, era eliminar las entradas en el registro con Hijackthis y los archivos .dll eliminarlos
manualmente. Deshabilité Restaurar Sistema. Reinicié en modo seguro, abrí Hijacktihs y marqué:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\se.dll/sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\se.dll/sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {D95DA010-017B-41CA-A048-439C51AD858C} - C:\WINDOWS\SYSTEM\IJN.DLL
O4 - HKLM\..\Run: [sp] rundll32 C:\WINDOWS\TEMP\SE.DLL,DllInstall
O18 - Filter: text/html - {243924F7-E645-4A92-B59B-3A833F00B592} - C:\WINDOWS\SYSTEM\IJN.DLL
O18 - Filter: text/plain - {243924F7-E645-4A92-B59B-3A833F00B592} - C:\WINDOWS\SYSTEM\IJN.DLL (Esta vez el archivo DLL era Ijn.dll)
Cuando quise eliminar las entradas me apareció este mensaje:
"HijackThis is about to remove a BHO and the corresponding file from your system. Close all Internet windows and all Windows Explorer windows before continuing for the best chance of success". Esta vez ya me impedía eliminar esta entrada
O2 - BHO: (no name) - {D95DA010-017B-41CA-A048-439C51AD858C} - C:\WINDOWS\SYSTEM\IJN.DLL Y ello hacía que no pudiera eliminar manualmente IJN.DLL de C:/ Windows / System. Aparecía este mensaje:
"No se puede eliminar IJN: el archivo especificado está siendo utilizado por Windows" Tampoco podía eliminar manualmente SE.DLL de C: /Windows/ Temp.
"No se puede eliminar SE: Acceso denegado. El archivo de origen puede estar en uso". About:blank 2 – Ripley 0 :x
Bueno, volví a rehabilitar Restaurar Sistema. El siguiente paso era tratar de
detener el proceso por el que se ejecutaba sp.exe y entonces eliminar manualmente se.dll y ijn.dll. Me fui a
msconfig (Inicio / Ejecutar). En la pestaña Inicio le quité la marca a
sp y acepté. Al cerrar la ventana el ordenador me pidió reiniciar,
pero no debe hacerse. Luego, con CTRL+ALT+DEL abrí el Administrador de tareas y detuve el proceso
Rundll32.exe (o Rundll.exe o cualquier variante de Rundll que haya).
Entonces sí pude eliminar SE.DLL manualmente pero no me dejó eliminar el otro dll (ijn.dll). Con Hijackthis marcaba otra vez las entradas de siempre pero no podía eliminar el susodicho BHO
O2 - BHO: (no name) - {D95DA010-017B-41CA-A048-439C51AD858C} - C:\WINDOWS\SYSTEM\IJN.DLL cosa que habilitaba que volviera al instante el se.dll y volviera a estar todo otra vez como al principio. About:blank 3 – Ripley 0 :evil: :x
El siguiente paquete de soluciones empezó a ser efectivo. Me bajé e instalé el
SpywareGuard (
http://www.javacoolsoftware.com/downloads.html) y el
a2 (
http://www.emsisoft.org/en/software/free/. También el About:Buster 4.0 de
http://www.majorgeeks.com/download4289.html , DelDomains.inf (
http://www.mvps.org/winhelp2002/DelDomains.inf ), y el BackDoor.Agent.B.Removal.Tool de
http://securityresponse.symantec.com/avcenter/venc/data/backdoor.agent.b.removal.tool.html ,
Los programas que fueron bien, en mi caso, fueron el a2 y, sobretodo, el SpywareGuard. Así que deshabilité Restaurar sistema, reinicié en modo seguro y le pasé el scan con el a2. Eliminé lo que encontró (
Trojan.Win32.Spooner.f y
Backdoor.Agent.ay). También ejecuté SpywareGuard. Reinicié en modo seguro y le pasé el CWShredder y después abrí Hijackthis. Esta vez sí pude eliminar todas las entradas, ya que SpywareGuard sustituyó el famoso
O2 - BHO: (no name) - {D95DA010-017B-41CA-A048-439C51AD858C} - C:\WINDOWS\SYSTEM\IJN.DLL por un dll propio. De este modo, pude eliminar tanto el se.dll de C:/ Windows / Temp como el ijn.dll de C:/ Windows / System. También eliminé todos los temporales de Internet, las cookies y todo el contenido de la carpeta Temp.
De todas maneras, abrí msconfig y en “Inicio” ahí estaba aún el “sp” (aunque sin marcar). Me pareció sospechoso así que me conecté a Internet y… tachááán! me volví a infectar. About:blank 4 – Ripley 0. :evil: :evil: :?
Estaba cerca, pero no lo suficiente…
Por lo visto, faltaba eliminar cualquier rastro de la infección en el ordenador, empezando por el
registro de Windows. Yo ya había borrado los archivos infectados, pero faltaba editar el registro. Esta fue, por tanto, la
solución final al problema (extraïda de
http://www.vsantivirus.com/troj-startpage-ix.htm):
1. Deshabilité Restaurar sistema (en Windows ME y XP)
2. Reinicié en modo seguro
3. Como yo ya había eliminado manualmente los dos archivos dll (se.dll y cnke.dll, en este caso), me fui directo a
regedit (Inicio / Ejecutar) y en el apartado “Buscar” escribí el nombre de todos los archivos y de los procesos que tenían que ver con la infección. Es decir: sp.exe, sp.html, sp, se.dll, ffbdcca.dll, ijn.dll, cnke.dll, etc…y about blank. Por esa búsqueda me salieron todas estas entradas:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run-\\sp Value name:
Sp
Type:
REG_SZ
Size:
43
Value:
rundll32 C:\WINDOWS\TEMP\SE.DLL,DllInstall
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run- Value name:
(default)
Type:
REG_SZ
Size:
1
Value:
HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Explorer Bars\{C4EE31F3-4768-11D2-BE5C-00A0C9A83DA1}\FilesNamedMRU Value name:
(default)
Type:
REG_SZ
Size:
1
Value:
HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Explorer Bars\{C4EE31F3-4768-11D2-BE5C-00A0C9A83DA1}\FilesNamedMRU Value name:
000
Type:
REG_SZ
Size:
12
Value:
doubleclick
HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Explorer Bars\{C4EE31F3-4768-11D2-BE5C-00A0C9A83DA1}\FilesNamedMRU Value name:
001
Type:
REG_SZ
Size:
8
Value:
Ijn.dll
HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Explorer Bars\{C4EE31F3-4768-11D2-BE5C-00A0C9A83DA1}\FilesNamedMRU Value name:
002
Type:
REG_SZ
Size:
9
Value:
cnke.dll
HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Explorer Bars\{C4EE31F3-4768-11D2-BE5C-00A0C9A83DA1}\FilesNamedMRU
Value name:
003
Type:
REG_SZ
Size:
7
Value:
Se.dll
HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Explorer Bars\{C4EE31F3-4768-11D2-BE5C-00A0C9A83DA1}\FilesNamedMRU Value name:
004
Type:
REG_SZ
Size:
11
Value:
search bar
HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Explorer Bars\{C4EE31F3-4768-11D2-BE5C-00A0C9A83DA1}\FilesNamedMRU Value name:
005
Type:
REG_SZ
Size:
12
Value:
about blank
HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Explorer Bars\{C4EE31F3-4768-11D2-BE5C-00A0C9A83DA1}\FilesNamedMRU Value name:
006
Type:
REG_SZ
Size:
7
Value:
sp.exe
HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Explorer Bars\{C4EE31F3-4768-11D2-BE5C-00A0C9A83DA1}\FilesNamedMRU Value name:
007
Type:
REG_SZ
Size:
3
Value:
sp
HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Explorer Bars\{C4EE31F3-4768-11D2-BE5C-00A0C9A83DA1}\FilesNamedMRU Value name:
008
Type:
REG_SZ
Size:
8
Value:
sp.html
HKEY_LOCAL_MACHINE\SOFTWARE\CLASSES\CLSID\{537931B4-7A02-4206-8B69-1B1E14BEB319}\InProcServer32 Value name:
(default)
Type:
REG_SZ
Size:
27
Value:
C:\WINDOWS\SYSTEM\CNKE.DLL
:!: :!: (De esta encontré varias, donde todo era lo mismo menos el nombre exacto de keyname) :!: :!:
HKEY_LOCAL_MACHINE\SOFTWARE\CLASSES\CLSID\{537931B4-7A02-4206-8B69-1B1E14BEB319}\InProcServer32 Value name:
ThreadingModel
Type:
REG_SZ
Size:
10
Value:
Apartment
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SearchAssistant Uninstall Value name:
(default)
Type:
REG_SZ
Size:
1
Value:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SearchAssistant Uninstall Value name:
DisplayName
Type:
REG_SZ
Size:
27
Value:
Search Assistant Uninstall
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SearchAssistant Uninstall Value name:
UninstallString
Type:
REG_SZ
Size:
42
Value:
regsvr32 /s /u C:\WINDOWS\SYSTEM\CNKE.DLL
HKEY_LOCAL_MACHINE\SOFTWARE\CLASSES\CLSID\{65CCFA40-2301-4F76-9FAD-78BDFB6FE66A}\InProcServer32 Value name:
(default)
Type:
REG_SZ
Size:
26
Value:
C:\WINDOWS\SYSTEM\IJN.DLL
:!: :!: (De esta encontré varias, donde todo era lo mismo menos el nombre exacto de keyname) :!: :!:
HKEY_LOCAL_MACHINE\SOFTWARE\CLASSES\CLSID\{65CCFA40-2301-4F76-9FAD-78BDFB6FE66A}\InProcServer32 Value name:
ThreadingModel
Type:
REG_SZ
Size:
10
Value:
Apartment
Pues bien, borré todas estas entradas.
4. Luego seguí las instrucciones de
http://www.vsantivirus.com/troj-startpage-ix.htm y seguí los pasos para recuperar Wininet.dll, desregistrar dll, borrar los archivos temporales, borrar los archivos temporales de Internet, restaurar la página de inicio y la página de búsqueda en Internet Explorer, cambiar la página de inicio del Internet Explorer, cambiar las páginas de búsqueda del Internet Explorer y restaurar el archivo
HOSTS (muy importante). No hay más que seguir las instrucciones de la página.
Una vez hecho todo esto, reinicié el pc y quité la marca a Deshabilitar sistema. Ya no quedó rastro alguno del About:blank en mi ordenador. Ripley 1 – About:blank 0. Final del Partido!
:D :lol: :lol: :twisted:
De todas formas, de todo lo malo se aprende, así que, como parece que Internet Explorer es más vulnerable ahora navego con Mozilla Firefox.
También me instalé el antivirus AVG i el Zone Alarm.
Bueno, espero que esta recopilación de soluciones para eliminar el About:blank pueda ser útil a cualquiera que se encuentre con este problema.
Un saludo a tod@s!
:wink:
