Autor Tema: virus svchost.exe (SOLUCIONADO)  (Leído 16603 veces)

Desconectado fernando

  • Member
  • ***
  • Mensajes: 380
virus svchost.exe (SOLUCIONADO)
« en: 27 de Octubre de 2005, 11:29:42 am »
 :| :| me parece que me contagiado...ayer intente conectarme a internet y si me conectaba, pero al intentar navegar, las paginas no aparecian (ninguna pagina) y llame al servicio tecnico de jazztel. me dijeron que los ping si los hacia y tras pedirme que hiciera y pusiera cosas en inicio. ejecutar. cmd. , me vi que salia un desconocido svchost.exe..... :cry: :cry: me dijeron que miraron en la pagina de alertaantivirus y que le sabia el susodicho svchost.exe como un virus... :beaten: yo no lo mire pq no podia conectarme pero hoy lo he estado mirando desde un ciber y no veo nada...la pregunta es si esto es un troyano(eso dijeron ellos) y como lo puedo quitar pq me esta quitando todo el ancho de banda y no me deja conectarme...

tengo el windows xp profesional
ad-aware 6.0
spywareblaster
spybot search&destroy
the cleaner
nod32....y aun asi tengo el dichoso troyano??? :roll:

alguna sugerencia??ejke toy muy mosca.... :amazing:
a por el bichoooo :superman: :superman:
Caer esta permitido, levantarse es obligatorio...

Desconectado Liamngls

  • Iniciado
  • *****
  • Mensajes: 15689
    • Manuales-e
Re: virus svchost.exe
« Respuesta #1 en: 27 de Octubre de 2005, 11:31:25 am »
Y al lado del svchost.exe que ponía ?


Desconectado fernando

  • Member
  • ***
  • Mensajes: 380
Re: virus svchost.exe
« Respuesta #2 en: 27 de Octubre de 2005, 11:59:15 am »
pues la verdad qno lo recuerdo... :amazing: era al hacer el ping que me dijo la chica para ver si se escuchaban los puertos,estaban en espera o ni eso...y ponia mi direccion de inernet y puerto escuchando y debajo ponia lo del svchost.exe no recuerdeo loq ponia algo como qno aparecia o un error..y yo nose si ejke el svchost ha desaparecido de mi ordenador y es un proceso importante o es de verdad un troyano...
puede ser un trooyano??pq me lo cargo eh!! :X :X
gracias!! :wink:
Caer esta permitido, levantarse es obligatorio...

Desconectado destroyer

  • Administrator
  • ******
  • Mensajes: 15870
  • Si quieres cambiar al mundo, cámbiate a ti mismo
    • cajondesastres.com De todo un poco
Re: virus svchost.exe
« Respuesta #3 en: 27 de Octubre de 2005, 12:04:29 pm »
Hola:
  Por empezar a descartar opciones seria conveniente escaneases el pc con tu antivirus actualizado en modo seguro o a prueba de fallos  asi como con spybot y ad aware (aunque creo que tienes una version antigua, la actual es ad aware Se 1.06).
Despues de ello uiza seria conveniente hicieses un LOG del hijackthis y lo posteases aqui.. a ver que te comentan los entendidos en el tema.

Un saludo

Te muevo el mensaje al foro de virus


Desconectado Danae

  • Iniciado
  • *****
  • Mensajes: 3211
  • Casi siempre en el armario.
    • windowsfacil,  primeros pasos con windows y el pc
Re: virus svchost.exe
« Respuesta #4 en: 27 de Octubre de 2005, 06:31:43 pm »
Vamos a aclarar cosas, el archivo que tú mencionas, si está bien escrito, es un proceso legitimo de Windows, otra cosa es que no esté bien escrito, el SVCHOST.exe es legítimo,

SVHOST.exe es falso
SVCSHOST.exe es falso

Y así podíamos seguir.

Este archivo SÓLO debe aparecer cuando se tiene Windows 2000 o xp.

Su ubicación debe ser C:\WINDOWS\system32\svchost.exe en Windows XP y C:\WINNT\system32\svchost.exe en Windows 2000.
 
No importa si SVCHOST.EXE aparece repetido varias veces en la lista de procesos, esto es normal.

SVCHOST.EXE puede llegar a ocupar hasta unos 60MB de la memoria de sistema.

El uso de procesador por parte de SVCHOST.EXE no debe ser mas de 20% en algunos casos éste uso de CPU no debe ser permanente, o sea no debe ocupar CPU.

Cuando el SVCHOST.exe da problemas, lo que ocurre es que el PC se ralentiza, y eso lo verás simplemente abriendo el administrador de tareas y viendo que el consumo es excesivo y constante.

Si eso ocurre, lo más probable que estés siendo objeto de ataques mediante la vulnerabilidad conocida del RPC, lo cual quiere decir que no tienes instalados todos los parches en tu sistema operativo, en concreto los que solucionan el problema de RPC

Descarga los parches para cerrar el agujero LSASS y el RPC/DCOM de Microsoft.

No obstante, como parece que tienes problemas para conectar a Internet, yo te diría que sigas estas instrucciones  http://www.daboweb.com/foros/index.php?topic=13633.0 y publiques el Log, a ver que ven los expertos en él.

Saludos

Desconectado fernando

  • Member
  • ***
  • Mensajes: 380
Re: virus svchost.exe
« Respuesta #5 en: 28 de Octubre de 2005, 12:42:30 am »
bueno poues aqui va el log...

Logfile of HijackThis v1.99.1
Scan saved at 0:39:38, on 28/10/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Archivos de programa\Eset\nod32krn.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\UAService7.exe
C:\WINDOWS\htpatch.exe
C:\Archivos de programa\Eset\nod32kui.exe
C:\Archivos de programa\MSN Messenger\msnmsgr.exe
C:\Archivos de programa\Jazztel\Jazztel ADSL USB\dslmon.exe
C:\Archivos de programa\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Archivos de programa\Mozilla Firefox\firefox.exe
C:\Documents and Settings\darwin\Escritorio\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.es
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.yahoo.com
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://fr.rd.yahoo.com/customize/ie/defaults/su/msgr7/*http://fr.search.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Archivos de programa\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar2.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\01.02.4000.1001\es\msntb.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\01.02.4000.1001\es\msntb.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar2.dll
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Archivos de programa\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Yahoo! Pager] C:\Archivos de programa\Yahoo!\Messenger\ypager.exe -quiet
O4 - Global Startup: DSLMON.lnk = ?
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Búsqueda en Google - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Traducir palabra inglesa - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Instantánea de caché de la página - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Páginas similares - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Páginas vinculadas - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmbacklinks.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\j2re1.4.2_04\bin\npjpi142_04.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\j2re1.4.2_04\bin\npjpi142_04.dll
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.cab
O16 - DPF: {9122D757-5A4F-4768-82C5-B4171D8556A7} (PhotoPickConvert Class) - http://appdirectory.messenger.msn.com/AppDirectory/P4Apps/PhotoSwap/PhtPkMSN.cab
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (ASquaredScanForm Element) - http://www.windowsecurity.com/trojanscan/axscan.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{BD86C786-F45A-4564-9674-D9964E222B49}: NameServer = 62.14.63.145 62.14.2.1
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset  - C:\Archivos de programa\Eset\nod32krn.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\WINDOWS\system32\UAService7.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

ahora a ver que dicen los expertos... :mrgreen:
y si danae...es svchost.exe...lo unico que me aparecen 4....en system, servicio local, servicio de red... :?

lo unico que nose de donde descargar esto que me has dicho....
 los parches para cerrar el agujero LSASS y el RPC/DCOM de Microsoft. :cry: :cry:

gracias por las molestias!! :)
Caer esta permitido, levantarse es obligatorio...

Desconectado destroyer

  • Administrator
  • ******
  • Mensajes: 15870
  • Si quieres cambiar al mundo, cámbiate a ti mismo
    • cajondesastres.com De todo un poco
Re: virus svchost.exe
« Respuesta #6 en: 28 de Octubre de 2005, 12:44:14 am »
 Lo muevo al foro de virus y seguimos alli.

un saludo

Desconectado Gepetto

  • Iniciado
  • *****
  • Mensajes: 1129
Re: virus svchost.exe
« Respuesta #7 en: 28 de Octubre de 2005, 08:58:29 am »
El parche del LSASS lo puedes descargar de aqui y el otro aquí. Anque teniendo el ZA instalado, ese tipo de vulnerabilidades no te deberían afectar, a pesar de carecer de los parches.

El svchost.exe es un conjunto de servicios de Win. Si tienes varios, alguno si que podría ser malicioso (agun troyano o virus aprovechandose o explotando algún servicio). Por eso es importante lo que dice destroyer, pasar un antivirus actualizado en modo a prueba de fallos.

Bueno, a ver que dicen del log.

Desconectado Danae

  • Iniciado
  • *****
  • Mensajes: 3211
  • Casi siempre en el armario.
    • windowsfacil,  primeros pasos con windows y el pc
Re: virus svchost.exe
« Respuesta #8 en: 28 de Octubre de 2005, 01:47:51 pm »
Código: [Seleccionar]
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
pues a la espera de los expertos, esta entrada ya no me gusta nada, no la borres aun, espera a ver que dicen, pero yo juraría que es la causante,  :? o al menos una de las causantes.

A ver si entra algún experto.

Saludos

Desconectado Gepetto

  • Iniciado
  • *****
  • Mensajes: 1129
Re: virus svchost.exe
« Respuesta #9 en: 29 de Octubre de 2005, 12:07:51 am »
He estado mirando por encima y de momento estoy de acuerdo con danae. De todas formas no olvides pasar el antivirus.

 

Aviso Legal | Política de Privacidad | Política de Cookies

el contenido de la web se rige bajo licencia
Creative Commons License