Eliminar SE.DLL SP.html About Blank

Nombre: StartPage
Tipo: Troyano que cambia la pagina de inicio.
Alias: Troj/StartPage.DU, StartPage.IX, ,Troj/StartPage.IX, Trojan.Win32.StartPage.ix, Win32.Startpage.FZ, Win32/StartPage.IX, Trojan Horse StartPage.19.j, Win32/StartPage.19.j, Win32.Startpage.19.j, Trojan.Win32.StartPage.19.j, StartPage.19.j, ,Troj/StartPage.19.j, Trojan/StartPage.uz, Troj/StartPage.uz, Trojan Horse StartPage.uz, Win32/StartPage.uz, Win32.Startpage.uz, Trojan.Win32.StartPage.uz, StartPage.uz, Trojan.Startpage-227

StartPage es una larga familia de troyanos utilizados para modificar las principales configuraciones del Internet Explorer, para que su página de inicio y búsqueda, apunten a una dirección o direcciones predeterminadas como About:Blank y Search For...

Al infectarnos con este parásito se nos instala una librería .dll en el sector de archivos temporales en: C:\WINDOWS\TEMP\SE.DLL ,DllInstall (en HijackThis se encuentra en la entrada 04)

Cuando se ejecuta el archivo SE.DLL , suele liberar un archivo sp.html y una librería .DLL con nombre al aleatorio en la carpeta del sistema de Windows:

C:\windows\system32\[nombre aleatorio] .DLL

En el log de HijackThis lo vamos a ver en las entradas 02 y repetido dos veces o mas en la entrada 018) los cuales tenemos que eliminar.

Si alguno de estos archivos permanece en nuestro sistema por ser mal borrados el problema va a reaparecer por lo que vamos a seguir estos pasos.


Herramientas necesarias para la limpieza:

• HijackThis
• Malwarebytes' Anti-Malware

Pasos para la eliminación:

- Apague el "Restaurar Sistema" (solo en Win Me y XP)

- Descargue las herramientas arriba mencionadas, y ejecútelas de a una .

- Con todos los programas cerrados ejecutar HijackThis y aplicarle "FIX Cheked" a cualquiera de estas entradas (si las tiene)

A) Todas las entradas R1 y R0 que contengan el archivo se.dll, sp.html y about:blank, - por ej:

• R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://c:\windows\TEMP\se.dll/sp.html
  
  
• R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank

B) Eliminar la entrada 04 que contenga el archivo SE.DLL por ej:

• O4 - HKLM\..\Run: [sp] rundll32 C:\WINDOWS\TEMP\SE.DLL,DllInstall

C) Eliminar las entradas O18 - Filter: text/html que se repiten dos veces o mas con el mismo archivo .dll el cual puede variara en todos los casos, por ej:

• O18 - Filter: text/html - {BDFB92A2-946C-11D9-A066-00307174A781} - C:\WINDOWS\SYSTEM\HJC.DLL
  
  
• O18 - Filter: text/html - {BDFB92A2-946C-11D9-A066-00307174A781} - C:\WINDOWS\SYSTEM\HJC.DLL

D) Eliminar la entrada O2 - BHO: (no name) que contenga el mismo archivo que se repite en las entradas 018, por ej:

• O2 - BHO: (no name) - {BDFB92A3-946C-11D9-A066-00301E38021A} - C:\WINDOWS\SYSTEM\HJC.DLL

**Nota** Ya que el segundo archivo DLL que hay que eliminar cambia de nombre en casi todos los casos (nombre aleatorio) vamos a ir agregando debajo el listado de los cuales ya se han reportado el el foro.

- Prender la opción de "Ver archivos ocultos y del sistema"

- Buscar y eliminar manualmente los archivos SE.DLL y el .DLL aleatorio el cual eliminamos en las entradas 02 y 018

- Reinicie nuevamente en modo normal y ejecute CCleaner para terminar de limpiar los archivos temporales, cookies y archivos innecesarios del PC.


**Nota** Si tiene dudas en cuanto a lo que hay que eliminar con HijackThis puede poner su log para ser analizado en el "Foro de HijackThis"

<body onselectstart="return false">

________________________________________________

Esto es una guía de esfuerzo personal. Usela bajo su propio riesgo.

Forospyware.com no se hace responsable de los problemas que pueden ocurrir usando esta información. Si usted quisiera ayuda con cualesquiera de estos arreglos, usted puede pegar su log de HijackThis en el Foro de HijackThis