Modificación maliciosa de Iexplorer (mshp.dll)Problemas de seguridad, requiero ayuda

goblin · #1 (**permalink**) 28/01/2004, 14:34

Saludos.
He detectado un problema de Seguridad en mi Internet Explorer.

Cada vez que alguna página Web no se encuentra en vez de mostrarse la página predeterminada del programa, diciendo: Pagina no encontrada... intente actualizar o detectar configuración de red.

En ves de esto, se muestra la página de un buscador.

Hace unos día detecte esto.
Lo primero que hice fué entrar al registro de windows, para descubrir que la configuración de Internet explorer con referencia a la página de inicio y a la barra de busqueda, se habían relacionado con la siguiente dirección: res://mshp.dll/sp.html

Bueno. Pensando que solo era "una de esas" situaciones en que "ciertos sitios de internet" modifican el registro sin autorización (NO SOLO SON SITIOS DE OCIO...ya, no). Para luego restaurarlo con los valores personales.

Eso hice. Restauré mis valores (pagina de inicio y buscador) y Eliminé el archivo mshp.dll (que se había creado en el direcorio raiz).

Luego de conectarme a internet y abrir Internet explorer, una vez más. Descubrí tal archivo había sido creado de nuevo, y en la papelera aun permanecía el eliminado.

El archivo se crea cada ves que entro a internet y que abro internet explorer, desde el icono. O desde EJECUTAR comandos.

Para intentar saber de que se trataba el archivo lo abrí con Bloc de Notas. La mayor parte del archivo es codigo HTML. En varias partes del cuerpo de este se hace referencia a las direcciones: http://www.v61.com/ y http://search-about.net

Obviamente, averigué de que se trataban estas direcciones.
La Primera es un sitio de Sexo.
La segundo es el buscador mencionado al principio.

Reitero que este tipo de violaciones a la seguridad no se hacen solo en sitios de ocio . Con esto aclaro que no he accedido alguna página con contenido de Ocio; Por lo menos sin desconocerlo. Observen, que facilmente alguien se podría confiar de la segunda dirección (Como medio de investigación), y que no es necesariamente un sitio de ocio... es un buscador.

Quisiera saber, si alguien sabe de que forma puedo quitar la relación de arranque que tiene Internet Explorer con el sitio que descarga el archivo mshp.dll

Mi programa es Internet Explorar 6
Ya he reinstalado el programa
He bajado las actualizaciones SP1.
He realizado UpDate a Windows.

Y hasta ahora no he podido solucionar el problema.

¿Alguna solución que no sea, usar otro navegador?... no se puede escapar al problema, tarde o temprano se debe usar Iexplorer (no todas las páginas son compatibles)

Muchas Gracias, por su atención.

Otra cosa. No sé si tiene que ver. Pero, ultimamente he tenido otros problemas con el programa. Se muestra un mensaje de error con respecto al archivo mshtml.dll... Se muestra el mensaje:

Explorer provocó un error en mshtml.dll
Explorar se cerrará

Si continuan los problemas, pruebe después de reiniciar el equipo.

El Mensaje tiene como titulo de programa "EXPLORER".
...despues de cerrar el cuadro de dialogo, se cierra iexplorer. Y se reinicia Explorer (Del sistema operativo); Tal vez sepan por experiencia que al intentar cerrar "Explorer" (presionando Crt + Alt + Delete, finalizando tarea), se desparecen algunos iconos de la barra de tareas y probablemente ActiveDesktop presente problemas (al final toca reiniciar el sistema).

goblin · #2 (**permalink**) 29/01/2004, 13:54

Saludos.

OK. Sé que es intentar responder esto.

Por lo menos, quisiera saber como puedo modificar la dirección de la pagina, de ERROR 404 del Intenet Explorer.

Como restauro el predeterminado, o como lo cambio.

Pues está relcionado al archivo ya mensionado... y esto es lo que hace que se muestre el SUPUESTO buscador cuando no se encuentra una página.

goblin · #3 (**permalink**) 30/01/2004, 23:23

Saludos.
No me canso de auto-responder a mis mensaje. Solo creo que a alguien le puede llegar a servir.

He encontrado la solución.

Por Internet hallé información sobre mi problema y sobre el archivo mshp.dll.

Se trata de un SpyWare. Este tipo de programas ya son catalogados como Troyanos... debería haber publicado este mensaje en la sección de "seguridad". Tal vez algún Moderador desee reubicarlo.

Encontré información sobre el virus, en la dirección:
http://www.alerta-antivirus.es/virus....html?cod=3462

E información sobre como eliminarlo, o como "reparar" (entre comillas) el sistema

en:
http://www.zonavirus.com/Foro/topic.asp?TOPIC_ID=4609

Suerte.

- Ok, si se desea abusar de la vulnerabilidad de un sistema, pero no se debe abusar de los usuarios... "Sin usuarios no hay páginas Web, y sin páginas Web no hay WebMaster"-

negama · #4 (**permalink**) 14/03/2004, 13:28

Hola .. por lo q veo este problema se ha vuelto generico ..

resulta que en el sistema existen archivo con la extension .reg que modifican el registro de internet explorer a iniciar el equipo... en el mercado existen los famosos spyware .. pero cuidado al usarlos porq existe gran posibilidad q arruine programas q utilizas normalmente sin problemas, es decir, la cura sale contraproducente.... entonces lo q se debe hacer para eliminar al famoso hp.htm es lo siguiente:

busca en en tu compu los archivos q contengan la palabra hp.htm y encontras algun archivo .reg al editarlo t daras cuenta que son los sitios molestos de inicio de explorer, elimina tal archivo

busca el mshp.dll y eliminalo tambien,

finalmente, Ejecuta el Regedit: MiPC\HKEY_LOCAL_MACHINE\Software\Microsoft\Interne t Explorer\Main. Ahora pincha dos veces sobre Default_page_URL y pon tu dirección favorita, y cambia aquellos registros donde aparezca el mentado res://mshp.dll/sp.html. Ahora reinicia.

Espero les sirva a todos los q tengan esta bronca.

PARCH · #5 (**permalink**) 20/03/2004, 13:06

PASATE POR ESTE POST, EN EL CUAL LA EXPLICACION QUE DOY TAMBIEN TE VALE PARA TU CASO

http://www.forosdelweb.com/showthrea...5&pagenumber=2

lexus · #6 (**permalink**) 09/08/2004, 20:25

o mas sencillo, solo baja el programa adaware de downloads.com y el te limpia todo el sistema de todas esas cosas que te cambian la pagina de inicio.. lo tengo desde que me paso lo mismo que a vos y no me a vuelto a suceder,y cuando intenta volver a pasar me avisa y lo elimina de inmediato. son puros spywares molestos..
suerte, espero les sirva.

elpiedra · #7 (**permalink**) 10/08/2004, 07:37

Bueno ahora que te mandaron al foro "correcto"

podes empezar mirando el Mini-Tutorial de Spywares, donde tenes las herramientas y los pasos a seguir para una buena eliminación.

Como bien pusiste ese virus tipo troyano se encarga de descargarte spywares en tu ordenador los cuales son los causantes de que cambian tu pagina de inicio, búsqueda y error. Este tipo de spywares son reconocidos como Browsers Hijackers (secuestradores de navegador)

Como su nombre lo dice se apodera de nuestro indefenso IE para poder manipularlo a su antojo, llevándonos a diferentes paginas si que se lo pidamos y sin dejarnos restaurar nuestro sistema manualmente.

Para eliminarlos tanto a los hijackers como el resto de spywares ya hay varias herramientas las principales son:

Ad-Aware 6 > Busca y elimina spywares
SpyBot S&D > Busca, elimina y protege.
SpywareBlaster > Protege
AntiSecuestro > Elimina y restaura el paso de los hijackers
CWShredder > Elimina hijackers y dialers
HijackThis 1.98 > La mejor herramienta para sacar definitivamente los hijackers de nuestro PC, pero en forma manual.

Anda probando los programas de la lista, bajalos, actualízalos, configúralos y pásalos en ese orden y si ninguno lo elimina usa el HijackThis.

Después nos contas que tal te fue

Salu2