Autor Tema: McAfee y mghtml.exe  (Leído 2350 veces)

Desconectado belisa

  • Junior Member
  • **
  • Mensajes: 11
McAfee y mghtml.exe
« en: 21 de Septiembre de 2004, 02:29:50 pm »
Hola!

Tengo un problema con el antivirus. Tengo instalado McAfee y todo funciona bien (aparentemente) pero cuando está escaneando para comprobar si hay virus aparece un mensaje de alerta diciendo q el archivo mghtml.exe está intentando acceder a un programa protegido. He leído que es un archivo del propio antivirus y q se debe dejar que acceda, pero también que puede ser un virus. Me extraña que empiece a salir ahora de repente, al principio no lo hacía. ¿Podéis ayudarme? :?

Muxas gracias!

Desconectado choche

  • Iniciado
  • *****
  • Mensajes: 3697
McAfee y mghtml.exe
« Respuesta #1 en: 21 de Septiembre de 2004, 03:40:11 pm »
Creo q tienes un virus en el pc. En todas las webs q he mirado sobre mghtml.exe, dicen esto:

Citar
Una vez ejecutado en la computadora de la víctima, generalmente gracias a engaños que hacen creer al usuario que se trata de algún programa o herramienta interesante, el troyano intenta también acabar con todos los procesos de antivirus y cortafuegos conocidos que estén en memoria. Los programas son los siguientes:


Citar
El gusano intenta acabar con la ejecución de una larga lista de programas de seguridad, como antivirus, cortafuegos, etc., matando en memoria los procesos que contengan cualquiera de las siguientes cadenas:


Y en la lista sale el "mghtml.exe"

Creo q deberías inciar el pc en modo seguro y realizar un scan completo.

Desconectado ikun

  • Iniciado
  • *****
  • Mensajes: 1621
McAfee y mghtml.exe
« Respuesta #2 en: 21 de Septiembre de 2004, 03:40:48 pm »
Hola belisa cariño!!bienvenida!! :D  :D
te cuen tienes unpqueños virus-

W32/Forbot.C. Se copia como "winitr32.exe"
http://www.vsantivirus.com/forbot-c.htm

Nombre: W32/Forbot.C
Tipo: Gusano y Caballo de Troya de acceso remoto
Alias: Forbot.C, W32/Forbot-C, Backdoor.Win32.Wootbot.c, W32/Sdbot.worm.gen.h
Fecha: 4/set/04
Plataforma: Windows 32-bit
Tamaño: variable

Este troyano con características de gusano, puede ser configurado para permitir el acceso a un atacante a la máquina infectada, utilizando canales de IRC (Internet Relay Chat).

Cuando se ejecuta, se instala en el directorio System con el siguiente nombre:

    c:\windows\system\winitr32.exe

NOTA: "c:\windows\system" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows 9x y ME, como "c:\winnt\system32" en Windows NT y 2000 y "c:\windows\system32" en Windows XP y Windows Server 2003).

Modifica algunas de las siguientes entradas en el registro:

    HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce
    Win32 Wmls Driver = winitr32.exe

    HKLM\Software\Microsoft\Windows\CurrentVersion\Run
    Win32 Wmls Driver = winitr32.exe

    HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
    Win32 Wmls Driver = winitr32.exe

    HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce
    Win32 Wmls Driver = winitr32.exe

    HKCU\Software\Microsoft\Windows\CurrentVersion\Run
    Win32 Wmls Driver = winitr32.exe

    HKLM\SYSTEM\CurrentControlSet
    \Enum\Root\LEGACY_MICROSOFT_CONFIG

El troyano permite a un atacante remoto, el control del equipo infectado mediante BOTS vía IRC (un bot es un programa que actúa como un usuario de IRC, y está preparado para responder o actuar automáticamente ejecutando ciertos comandos).

Algunas de las acciones posibles:

- Realizar ataques de denegación de servicio (DoS) mediante envío masivo de paquetes ping, syn, udp (flooding).

- Ejecutar un servidor socks4

- Reenvío de puertos

- Acceso a la libreta de direcciones de Windows

- Eliminar recursos compartidos, incluidos IPC$ y ADMIN$

- Escaneo de puertos

- Obtención de claves (CD Keys) de populares juegos

- Descarga y ejecución de archivos vía HTTP o por conexión directa

- Obtención de información de la computadora infectada (clave de registro de Windows, velocidad del procesador, memoria, usuarios, etc.)

- Agregar o quitar servicios del sistema

- Finalizar sesión, reiniciar o apagar el sistema

- Obtener nombres de usuarios de Yahoo Pager, .NET messenger y AOL Instant Messenger

- Iniciar o detener un servidor HTTP en cualquier puerto especificado, habilitando el acceso a determinados directorios del sistema al usuario remoto.

- Iniciar o detener un servidor FTP que permite examinar archivos del sistema, y cargar o descargar archivos.

- Finalizar procesos, incluyendo aquellos de conocidos antivirus y cortafuegos, además de herramientas del propio Windows, como los siguientes:

    _avp32.exe
    _avpcc.exe
    _avpm.exe
    ackwin32.exe
    advxdwin.exe
    agentsvr.exe
    agentw.exe
    alertsvc.exe
[un monton de ellas mas  y
 
 
   ...
    mgavrte.exe
   mghtml.exe
    mgui.exe
    minilog.exe
    monitor.exe
    moolive.exe
   ...

Reparación manual

Cortafuegos

Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro troyano con Internet, así como cualquier intento de acceder a nuestro sistema.

ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus).

Deshabilitar las carpetas compartidas

Es importante desconectar cada computadora de cualquier red antes de proceder a su limpieza.


Antivirus

Actualice sus antivirus con las últimas definiciones, luego siga estos pasos:

1. Reinicie Windows en modo a prueba de fallos, como se indica en este artículo:

Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm

2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros.

3. Borre los archivos detectados como infectados.


Editar el registro

1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT, y pulse ENTER

2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

    HKEY_CURRENT_USER
    \Software
    \Microsoft
    \Windows
    \CurrentVersion
    \Run

3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:

    Win32 Wmls Driver

4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

    HKEY_CURRENT_USER
    \Software
    \Microsoft
    \Windows
    \CurrentVersion
    \RunOnce

5. Pinche en la carpeta "RunOnce" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:

    Win32 Wmls Driver

6. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

    HKEY_LOCAL_MACHINE
    \SOFTWARE
    \Microsoft
    \Windows
    \CurrentVersion
    \Run

7. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:

    Win32 Wmls Driver

8. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

    HKEY_LOCAL_MACHINE
    \SOFTWARE
    \Microsoft
    \Windows
    \CurrentVersion
    \RunOnce

9. Pinche en la carpeta "RunOnce" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:

    Win32 Wmls Driver

10. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

    HKEY_LOCAL_MACHINE
    \SOFTWARE
    \Microsoft
    \Windows
    \CurrentVersion
    \RunServices

11. Pinche en la carpeta "RunServices" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:

    Win32 Wmls Driver

12. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

    HKEY_LOCAL_MACHINE
    \SYSTEM
    \CurrentControlSet
    \Enum
    \Root
    \LEGACY_MICROSOFT_CONFIG

13. Pinche en la carpeta "LEGACY_MICROSOFT_CONFIG" y bórrela.

14. Use "Registro", "Salir" para salir del editor y confirmar los cambios.


Borrado manual de los archivos creados por el gusano

Desde el Explorador de Windows, localice y borre el siguiente archivo:

    c:\windows\system\svchosting.exe

Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".


y el resto lo lees aqui
http://www.vsantivirus.com/forbot-c.htm

un besote

Desconectado belisa

  • Junior Member
  • **
  • Mensajes: 11
McAfee y mghtml.exe
« Respuesta #3 en: 21 de Septiembre de 2004, 05:57:22 pm »
Graaacias por toda la informacion.

El problemilla sigue porque todavía no he tocado el registro.
He escaneado con McAfee a modo de fallos y no ha detectado nada.
En cuanto a lo del registro, tengo una pregunta: ¿existe alguna diferencia entre acceder a él desde MS-DOS y entrar simplemente desde windows (inicio/ejecutar/regedit)? Lo digo porque en otra ocasión, me deshice de un virus editándolo desde MS-DOS porque desde windows no se solucionó. Aunque pudo ser casualidad...

Me gustaría saber qué es lo que se está eliminando al borrar todo eso, ¿son archivos que ha creado el virus en windows? Es solo curiosidad...

Un saludo!

 

Aviso Legal | Política de Privacidad | Política de Cookies

el contenido de la web se rige bajo licencia
Creative Commons License