Foros de daboweb
SEGURIDAD INFORMATICA, Firewall, parches, vacunas, antivirus, anti troyanos, spyware etc => Seguridad Informatica - Firewall - Virus - Troyanos - Spyware - Ad Aware - Malware => Mensaje iniciado por: belisa en 21 de Septiembre de 2004, 02:29:50 pm
-
Hola!
Tengo un problema con el antivirus. Tengo instalado McAfee y todo funciona bien (aparentemente) pero cuando está escaneando para comprobar si hay virus aparece un mensaje de alerta diciendo q el archivo mghtml.exe está intentando acceder a un programa protegido. He leído que es un archivo del propio antivirus y q se debe dejar que acceda, pero también que puede ser un virus. Me extraña que empiece a salir ahora de repente, al principio no lo hacía. ¿Podéis ayudarme? :?
Muxas gracias!
-
Creo q tienes un virus en el pc. En todas las webs q he mirado sobre mghtml.exe, dicen esto:
Una vez ejecutado en la computadora de la víctima, generalmente gracias a engaños que hacen creer al usuario que se trata de algún programa o herramienta interesante, el troyano intenta también acabar con todos los procesos de antivirus y cortafuegos conocidos que estén en memoria. Los programas son los siguientes:
El gusano intenta acabar con la ejecución de una larga lista de programas de seguridad, como antivirus, cortafuegos, etc., matando en memoria los procesos que contengan cualquiera de las siguientes cadenas:
Y en la lista sale el "mghtml.exe"
Creo q deberías inciar el pc en modo seguro y realizar un scan completo.
-
Hola belisa cariño!!bienvenida!! :D :D
te cuen tienes unpqueños virus-
W32/Forbot.C. Se copia como "winitr32.exe"
http://www.vsantivirus.com/forbot-c.htm
Nombre: W32/Forbot.C
Tipo: Gusano y Caballo de Troya de acceso remoto
Alias: Forbot.C, W32/Forbot-C, Backdoor.Win32.Wootbot.c, W32/Sdbot.worm.gen.h
Fecha: 4/set/04
Plataforma: Windows 32-bit
Tamaño: variable
Este troyano con características de gusano, puede ser configurado para permitir el acceso a un atacante a la máquina infectada, utilizando canales de IRC (Internet Relay Chat).
Cuando se ejecuta, se instala en el directorio System con el siguiente nombre:
c:\windows\system\winitr32.exe
NOTA: "c:\windows\system" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows 9x y ME, como "c:\winnt\system32" en Windows NT y 2000 y "c:\windows\system32" en Windows XP y Windows Server 2003).
Modifica algunas de las siguientes entradas en el registro:
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce
Win32 Wmls Driver = winitr32.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Win32 Wmls Driver = winitr32.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
Win32 Wmls Driver = winitr32.exe
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce
Win32 Wmls Driver = winitr32.exe
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Win32 Wmls Driver = winitr32.exe
HKLM\SYSTEM\CurrentControlSet
\Enum\Root\LEGACY_MICROSOFT_CONFIG
El troyano permite a un atacante remoto, el control del equipo infectado mediante BOTS vía IRC (un bot es un programa que actúa como un usuario de IRC, y está preparado para responder o actuar automáticamente ejecutando ciertos comandos).
Algunas de las acciones posibles:
- Realizar ataques de denegación de servicio (DoS) mediante envío masivo de paquetes ping, syn, udp (flooding).
- Ejecutar un servidor socks4
- Reenvío de puertos
- Acceso a la libreta de direcciones de Windows
- Eliminar recursos compartidos, incluidos IPC$ y ADMIN$
- Escaneo de puertos
- Obtención de claves (CD Keys) de populares juegos
- Descarga y ejecución de archivos vía HTTP o por conexión directa
- Obtención de información de la computadora infectada (clave de registro de Windows, velocidad del procesador, memoria, usuarios, etc.)
- Agregar o quitar servicios del sistema
- Finalizar sesión, reiniciar o apagar el sistema
- Obtener nombres de usuarios de Yahoo Pager, .NET messenger y AOL Instant Messenger
- Iniciar o detener un servidor HTTP en cualquier puerto especificado, habilitando el acceso a determinados directorios del sistema al usuario remoto.
- Iniciar o detener un servidor FTP que permite examinar archivos del sistema, y cargar o descargar archivos.
- Finalizar procesos, incluyendo aquellos de conocidos antivirus y cortafuegos, además de herramientas del propio Windows, como los siguientes:
_avp32.exe
_avpcc.exe
_avpm.exe
ackwin32.exe
advxdwin.exe
agentsvr.exe
agentw.exe
alertsvc.exe
[un monton de ellas mas y
...
mgavrte.exe
mghtml.exe
mgui.exe
minilog.exe
monitor.exe
moolive.exe
...
Reparación manual
Cortafuegos
Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro troyano con Internet, así como cualquier intento de acceder a nuestro sistema.
ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus).
Deshabilitar las carpetas compartidas
Es importante desconectar cada computadora de cualquier red antes de proceder a su limpieza.
Antivirus
Actualice sus antivirus con las últimas definiciones, luego siga estos pasos:
1. Reinicie Windows en modo a prueba de fallos, como se indica en este artículo:
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros.
3. Borre los archivos detectados como infectados.
Editar el registro
1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT, y pulse ENTER
2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\Software
\Microsoft
\Windows
\CurrentVersion
\Run
3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:
Win32 Wmls Driver
4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\Software
\Microsoft
\Windows
\CurrentVersion
\RunOnce
5. Pinche en la carpeta "RunOnce" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:
Win32 Wmls Driver
6. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
7. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:
Win32 Wmls Driver
8. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\RunOnce
9. Pinche en la carpeta "RunOnce" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:
Win32 Wmls Driver
10. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\RunServices
11. Pinche en la carpeta "RunServices" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:
Win32 Wmls Driver
12. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SYSTEM
\CurrentControlSet
\Enum
\Root
\LEGACY_MICROSOFT_CONFIG
13. Pinche en la carpeta "LEGACY_MICROSOFT_CONFIG" y bórrela.
14. Use "Registro", "Salir" para salir del editor y confirmar los cambios.
Borrado manual de los archivos creados por el gusano
Desde el Explorador de Windows, localice y borre el siguiente archivo:
c:\windows\system\svchosting.exe
Pinche con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".
y el resto lo lees aqui
http://www.vsantivirus.com/forbot-c.htm
un besote
-
Graaacias por toda la informacion.
El problemilla sigue porque todavía no he tocado el registro.
He escaneado con McAfee a modo de fallos y no ha detectado nada.
En cuanto a lo del registro, tengo una pregunta: ¿existe alguna diferencia entre acceder a él desde MS-DOS y entrar simplemente desde windows (inicio/ejecutar/regedit)? Lo digo porque en otra ocasión, me deshice de un virus editándolo desde MS-DOS porque desde windows no se solucionó. Aunque pudo ser casualidad...
Me gustaría saber qué es lo que se está eliminando al borrar todo eso, ¿son archivos que ha creado el virus en windows? Es solo curiosidad...
Un saludo!