La pregunta del millón...

Don Enrique!!!...

Creo que ya me ha resuelto Usted el problema.

Corrí el programa que viene en la solución propuesta y hasta esta hora
no se me ha vuelto a hacer presente ninguno de los síntomas que se venían
presentando por culpa del malvado "sp.html" y lo que sea que lo provocara.

El sistema trabaja estable, sin saturarme las memorias físicas y de
intercambio y sin que se presenten las molestas páginas de búsqueda.

Muchas, pero muchas, gracias, Amigo Enrique. Ojalá que todo haya vuelto
a la normalidad.

Te mando un cordial saludo.


Ceolintzin.



"Enrique [MVP Windows]" wrote in message
news:

Léete esta página:

http://www.trojaner-info.de/anleitu...blank.html

He hecho una traducción rápida y tosca del alemán:
_______________________________________________________________

Los numerosos utilizadores de Internet de Explorer de Microsoft resisten

desde ciertas semanas con

un navegante Hijacker particularmente agresivo que tiene que alejar

solamente con mucha dificultad.

Todos los instrumentos (utensilios) corrientes por ejemplo como el

CWShredder, el Spybot Search y el

Destroy, el SpywareBlaster y la mercancía de Ada no se hallan en situación

ahora de alejar a este

navegante Hijacker. También entre las víctimas más grandes entre tanto que

satisfacen conocido

'sueldo fijo' con HijackThis trae aporta alguna liberación duradera. Si

esto aparece ante todo así,

como si el problema sea resuelto, el levantamiento (rapto) involuntario de

la página de salida es

súbito de nuevo allí lo más tarde 24 horas después.

La infección (ligeramente) tiene que reconocer fácilmente por medio de un

scan (un scannérisation)

con HijackThis a las inscripciones (registros) siguientes:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main, Search el bar = res:

//

C:\WINDOWS\System32\cdae.dll / sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main, Search la página res: //
C:\WINDOWS\System32\cdae.dll / sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search, SearchAssistant res: //
C:\WINDOWS\System32\cdae.dll / sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main, Search el bar = res:

//

C:\WINDOWS\System32\cdae.dll / sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main, Search la página res: //
C:\WINDOWS\System32\cdae.dll / sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search, SearchAssistant res: //
C:\WINDOWS\System32\cdae.dll / sp.html (obfuscated)

O2 - BHO: (no el nombre) - {2BBD3D0B-93EC-41A3-BF94-331092075F59 -

C:\WINDOWS\System32\cdae.dll (el

fichero missing)
...
El nombre del DLL es otro en casa de cada víctima, ya que es producido por

casualidad a una

infección. En todos los casos conocidos acaban la línea R0 y R1 con

...\sp.html (obfuscated) y una

inscripción BHO appartenante (el navegante Helper Object) en la línea O2

de un log de HijackThis.

Propagándose sobre los foros trabajábamos ' con fiebre ' en una solución

(anulación). Pues, los

puntos entscheidenen eran oscuros mucho tiempo:

* ¿ Dónde y cómo se contamina?
* ¿ Cuál hueco de seguridad utiliza a este navegante Hijacker?

Fueron conocidos solamente por DLL con un nombre por casualidad producido

que era totalmente

invisible una vez sobre el ordenador activamente, así como escondida una

inscripción (un registro)

también en Registry. En la infección intentionellement

ajustada(reglamentada) muchas veces, la

página de salida de Internet de Explorer fue cambiada lo más tarde a 22:40

hora de la misma (del

igual) día por la página de búsqueda searchx.cc.

El resultado de esta colaboración es Cleaner que borra (apaga(extingue))

el fichero responsable de

la infección, y también el DLL siempre periódicos y reposa(repone) la

página de salida sobre

about:blank.

Cleaner es capaz de funcionar bajo Windows98 / en 2000 / XP. A la

distancia, el utilizador debe

anunciarse si se efectua allí con derechos de administrador a su sistema.

Después de que el fichero solamente de 84 Kb SpHjfix.exe sea cargado, el

fichero SpHjfix.exe por un

doble clic empezado (partido) y el botón debe empezar (irse) " la

desinfección " tienen prisa.

_______________________________________________________

Ésta es la solución que proponen:
http://www.trojaner-info.de/cgi-bin...le=sphjfix


Saludos,
Enrique Cortés
Microsoft MVP - Windows - IE/OE


Normas de conducta de los grupos de noticias:
http://support.microsoft.com/defaul...newsreglas
http://www.microsoft.com/communitie...fault.mspx

Este mensaje se proporciona "como está" sin garantías de ninguna clase, y

no otorga ningún derecho.

This posting is provided "AS IS" with no warranties, and confers no

rights.

"Ceolintzin - México" escribió en el

mensaje

news:%

Hola, Enrique:

No, no existe un "sp.exe" en el Task Manager y todos los programas que
actualmente están corriendo (y que aparecen ahí) los conozco y sé a qué se
refieren.

De lo que sí no sé nada es de los Servicios o Módulos que estan

cargados

en el sistema, pero tampoco sé si por ahí pueda andar el bichito.

Gracias y un saludote.


Ceolintzin.



"Enrique [MVP Windows]" wrote in message
news:
> Comprueba si en el Administrador de tareas de Windows (Ctrl+Alt+Supr)
aparece un tal "sp.exe" como
> programa o proceso activo.
>
> Si aparece, es que estás infectado por un troyano, y los antispyware

nada

pueden hacer. Coméntame.
>
> Saludos,
> Enrique Cortés
> Microsoft MVP - Windows - IE/OE
>
>
> Normas de conducta de los grupos de noticias:
> http://support.microsoft.com/defaul...newsreglas
> http://www.microsoft.com/communitie...fault.mspx
>
> Este mensaje se proporciona "como está" sin garantías de ninguna clase,

y

no otorga ningún derecho.
> This posting is provided "AS IS" with no warranties, and confers no
rights.
>
> "Ceolintzin - México" escribió en el
mensaje
> news:
>
> Hola, Grupo:
>
> Así es, Amigos, esta es la pregunta del millón... bueno, por lo

menos

> para mi... jejeje...:
>
> ¿Cómo puedo saber en qué momento y qué programa, servicio, módulo o

lo

> que sea que fuere me crea un archivo específico en una carpeta
determinada?.
>
> Me explico:
>
> Tengo más o menos 2 semanas tratando de eliminar de mi Win XP Home

un

> malvado Spyware (programa espía o como se llame) que constantemente me
está
> dando lata con querer abrirme una página de búsqueda de tonterías y
abriendo
> mini-ventanas que tratan de verme la cara de tonto (¿será?), además de

que

> me modifica página de inicio, página de búsqueda, etc., etc.
>
> Me he percatado que al momento que esto ocurre se crean 2 archivos:
uno
> llamado "sp.html" en la carpeta Temp de mi sesión y otro en la carpeta
> System32 que siempre tiene un nombre distinto, pero invariablemente es

de

> extención dll.
>
> Estoy seguro que sabiéndo de dónde provienen esos archivos se podría
> fácilmente eliminar el "virus".
>
> Ya hace unos días había consultado al foro con el mismo "tema" y
varios
> de los integrantes y participantes me dieron sugerencias muy valiosas
> (muchas gracias!!), pero hasta ahora no he podido resolver el problema

al

> 100%. He instalado y corrido los siguientes programas:
>
> - Ad-aware 6, 01R331 08.07.2004
> - CoolWWWSearch.SmartKiller
> - HijackThis v1.97.7
> - CWShredder v1.59.1
> - SpywareBlaster v3.1
> - SpywareGuard v2.2
>
> Estos programas lo único que hacen es detectar y restaurar los
"efectos"
> del virus o Spyware, pero no consiguen encontrar o erradicar la "causa".
>
> Por si después de tanta palabrería ya se les olvidó, aquí está de
nuevo,
> Amigos, la pregunta del millón:
>
> ¿Cómo puedo saber en qué momento y qué programa, servicio, módulo o

lo

> que sea que fuere me crea un archivo específico en una carpeta
determinada?.
>
> Muchas gracias a todos por su atención y... ¡¡¡ Feliz Domingo !!!...
> bueno, lo que queda de él... jejeje...
>
>
> Ceolintzin.
>
>
>
>
>

Me alegro. Y gracias por responder con el resultado obtenido. De esta forma, otros usuarios con el
mismo problema podrán beneficiarse también. A veces, es difícil encontrar soluciones para los nuevos
ataques que van apareciendo en Internet.

Gracias ;-)

Saludos,
Enrique Cortés
Microsoft MVP - Windows - IE/OE


Normas de conducta de los grupos de noticias:
http://support.microsoft.com/defaul...newsreglas
http://www.microsoft.com/communitie...fault.mspx

Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho.
This posting is provided "AS IS" with no warranties, and confers no rights.

"Ceolintzin - México" escribió en el mensaje
news:

Don Enrique!!!...

Creo que ya me ha resuelto Usted el problema.

Corrí el programa que viene en la solución propuesta y hasta esta hora
no se me ha vuelto a hacer presente ninguno de los síntomas que se venían
presentando por culpa del malvado "sp.html" y lo que sea que lo provocara.

El sistema trabaja estable, sin saturarme las memorias físicas y de
intercambio y sin que se presenten las molestas páginas de búsqueda.

Muchas, pero muchas, gracias, Amigo Enrique. Ojalá que todo haya vuelto
a la normalidad.

Te mando un cordial saludo.


Ceolintzin.



"Enrique [MVP Windows]" wrote in message
news:

Léete esta página:

http://www.trojaner-info.de/anleitu...blank.html

He hecho una traducción rápida y tosca del alemán:
_______________________________________________________________

Los numerosos utilizadores de Internet de Explorer de Microsoft resisten

desde ciertas semanas con

un navegante Hijacker particularmente agresivo que tiene que alejar

solamente con mucha dificultad.

Todos los instrumentos (utensilios) corrientes por ejemplo como el

CWShredder, el Spybot Search y el

Destroy, el SpywareBlaster y la mercancía de Ada no se hallan en situación

ahora de alejar a este

navegante Hijacker. También entre las víctimas más grandes entre tanto que

satisfacen conocido

'sueldo fijo' con HijackThis trae aporta alguna liberación duradera. Si

esto aparece ante todo así,

como si el problema sea resuelto, el levantamiento (rapto) involuntario de

la página de salida es

súbito de nuevo allí lo más tarde 24 horas después.

La infección (ligeramente) tiene que reconocer fácilmente por medio de un

scan (un scannérisation)

con HijackThis a las inscripciones (registros) siguientes:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main, Search el bar = res:

//

C:\WINDOWS\System32\cdae.dll / sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main, Search la página res: //
C:\WINDOWS\System32\cdae.dll / sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search, SearchAssistant res: //
C:\WINDOWS\System32\cdae.dll / sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main, Search el bar = res:

//

C:\WINDOWS\System32\cdae.dll / sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main, Search la página res: //
C:\WINDOWS\System32\cdae.dll / sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search, SearchAssistant res: //
C:\WINDOWS\System32\cdae.dll / sp.html (obfuscated)

O2 - BHO: (no el nombre) - {2BBD3D0B-93EC-41A3-BF94-331092075F59 -

C:\WINDOWS\System32\cdae.dll (el

fichero missing)
...
El nombre del DLL es otro en casa de cada víctima, ya que es producido por

casualidad a una

infección. En todos los casos conocidos acaban la línea R0 y R1 con

...\sp.html (obfuscated) y una

inscripción BHO appartenante (el navegante Helper Object) en la línea O2

de un log de HijackThis.

Propagándose sobre los foros trabajábamos ' con fiebre ' en una solución

(anulación). Pues, los

puntos entscheidenen eran oscuros mucho tiempo:

* ¿ Dónde y cómo se contamina?
* ¿ Cuál hueco de seguridad utiliza a este navegante Hijacker?

Fueron conocidos solamente por DLL con un nombre por casualidad producido

que era totalmente

invisible una vez sobre el ordenador activamente, así como escondida una

inscripción (un registro)

también en Registry. En la infección intentionellement

ajustada(reglamentada) muchas veces, la

página de salida de Internet de Explorer fue cambiada lo más tarde a 22:40

hora de la misma (del

igual) día por la página de búsqueda searchx.cc.

El resultado de esta colaboración es Cleaner que borra (apaga(extingue))

el fichero responsable de

la infección, y también el DLL siempre periódicos y reposa(repone) la

página de salida sobre

about:blank.

Cleaner es capaz de funcionar bajo Windows98 / en 2000 / XP. A la

distancia, el utilizador debe

anunciarse si se efectua allí con derechos de administrador a su sistema.

Después de que el fichero solamente de 84 Kb SpHjfix.exe sea cargado, el

fichero SpHjfix.exe por un

doble clic empezado (partido) y el botón debe empezar (irse) " la

desinfección " tienen prisa.

_______________________________________________________

Ésta es la solución que proponen:
http://www.trojaner-info.de/cgi-bin...le=sphjfix


Saludos,
Enrique Cortés
Microsoft MVP - Windows - IE/OE


Normas de conducta de los grupos de noticias:
http://support.microsoft.com/defaul...newsreglas
http://www.microsoft.com/communitie...fault.mspx

Este mensaje se proporciona "como está" sin garantías de ninguna clase, y

no otorga ningún derecho.

This posting is provided "AS IS" with no warranties, and confers no

rights.

"Ceolintzin - México" escribió en el

mensaje

news:%

Hola, Enrique:

No, no existe un "sp.exe" en el Task Manager y todos los programas que
actualmente están corriendo (y que aparecen ahí) los conozco y sé a qué se
refieren.

De lo que sí no sé nada es de los Servicios o Módulos que estan

cargados

en el sistema, pero tampoco sé si por ahí pueda andar el bichito.

Gracias y un saludote.


Ceolintzin.



"Enrique [MVP Windows]" wrote in message
news:
> Comprueba si en el Administrador de tareas de Windows (Ctrl+Alt+Supr)
aparece un tal "sp.exe" como
> programa o proceso activo.
>
> Si aparece, es que estás infectado por un troyano, y los antispyware

nada

pueden hacer. Coméntame.
>
> Saludos,
> Enrique Cortés
> Microsoft MVP - Windows - IE/OE
>
>
> Normas de conducta de los grupos de noticias:
> http://support.microsoft.com/defaul...newsreglas
> http://www.microsoft.com/communitie...fault.mspx
>
> Este mensaje se proporciona "como está" sin garantías de ninguna clase,

y

no otorga ningún derecho.
> This posting is provided "AS IS" with no warranties, and confers no
rights.
>
> "Ceolintzin - México" escribió en el
mensaje
> news:
>
> Hola, Grupo:
>
> Así es, Amigos, esta es la pregunta del millón... bueno, por lo

menos

> para mi... jejeje...:
>
> ¿Cómo puedo saber en qué momento y qué programa, servicio, módulo o

lo

> que sea que fuere me crea un archivo específico en una carpeta
determinada?.
>
> Me explico:
>
> Tengo más o menos 2 semanas tratando de eliminar de mi Win XP Home

un

> malvado Spyware (programa espía o como se llame) que constantemente me
está
> dando lata con querer abrirme una página de búsqueda de tonterías y
abriendo
> mini-ventanas que tratan de verme la cara de tonto (¿será?), además de

que

> me modifica página de inicio, página de búsqueda, etc., etc.
>
> Me he percatado que al momento que esto ocurre se crean 2 archivos:
uno
> llamado "sp.html" en la carpeta Temp de mi sesión y otro en la carpeta
> System32 que siempre tiene un nombre distinto, pero invariablemente es

de

> extención dll.
>
> Estoy seguro que sabiéndo de dónde provienen esos archivos se podría
> fácilmente eliminar el "virus".
>
> Ya hace unos días había consultado al foro con el mismo "tema" y
varios
> de los integrantes y participantes me dieron sugerencias muy valiosas
> (muchas gracias!!), pero hasta ahora no he podido resolver el problema

al

> 100%. He instalado y corrido los siguientes programas:
>
> - Ad-aware 6, 01R331 08.07.2004
> - CoolWWWSearch.SmartKiller
> - HijackThis v1.97.7
> - CWShredder v1.59.1
> - SpywareBlaster v3.1
> - SpywareGuard v2.2
>
> Estos programas lo único que hacen es detectar y restaurar los
"efectos"
> del virus o Spyware, pero no consiguen encontrar o erradicar la "causa".
>
> Por si después de tanta palabrería ya se les olvidó, aquí está de
nuevo,
> Amigos, la pregunta del millón:
>
> ¿Cómo puedo saber en qué momento y qué programa, servicio, módulo o

lo

> que sea que fuere me crea un archivo específico en una carpeta
determinada?.
>
> Muchas gracias a todos por su atención y... ¡¡¡ Feliz Domingo !!!...
> bueno, lo que queda de él... jejeje...
>
>
> Ceolintzin.
>
>
>
>
>