Bueno, tengo el ordenador infectado con este maldito troyano que se abre muchas veces y consume memoria, como lo puedo eliminar??
Gracias.-
Ayuda troyano scvhost.exe
-
NaZ
- Expulsado
- Posts: 6098
- Joined: Sun Apr 30, 2006 11:00 pm
- Location: Somewhere over the rainbow
-
paxe_91
- Goleador
- Posts: 743
- Joined: Tue May 16, 2006 11:00 pm
- Location: la caye y a veces mi casaaa
-
vorjasss
- Bota De Oro
- Posts: 1077
- Joined: Sun Dec 04, 2005 12:00 am
- Location: a saber
-
cristiandH
- Expulsado
- Posts: 876
- Joined: Sat Mar 18, 2006 12:00 am
tio tienes que configurar bien el firewall y el antivirus , porque seguramente tienes algunos puertos del firewall abiertos y por hay sobre todo te pueden entrar hackers o lammers .
el troyano hace una copia de su fichero ejecutable :
%System%\scvhost.exe
Con el objetivo de iniciarse automáticamente cada vez que se inicie Windows, el troyano agrega un enlace a su fichero ejecutable en la llave de autoinicio del registro del sistema:
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Internet Explorer Helper"="%System%\scvhost.exe"
para eliminarlo :
1. Termina el proceso con el Administrador de Tareas (su posible nombre es scvhost.exe)
2. Elimina el archivo:
%System%\scvhost.exe
3. Borra los siguientes parámetros de la llave de autoinicios del registro:
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
Internet Explorer Helper="%System%\scvhost.exe"
el troyano hace una copia de su fichero ejecutable :
%System%\scvhost.exe
Con el objetivo de iniciarse automáticamente cada vez que se inicie Windows, el troyano agrega un enlace a su fichero ejecutable en la llave de autoinicio del registro del sistema:
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Internet Explorer Helper"="%System%\scvhost.exe"
para eliminarlo :
1. Termina el proceso con el Administrador de Tareas (su posible nombre es scvhost.exe)
2. Elimina el archivo:
%System%\scvhost.exe
3. Borra los siguientes parámetros de la llave de autoinicios del registro:
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
Internet Explorer Helper="%System%\scvhost.exe"
-
killer32
- Bota De Oro
- Posts: 2178
- Joined: Thu Nov 16, 2006 12:00 am
-
Anto_75
- Pichichi
- Posts: 915
- Joined: Thu Apr 13, 2006 11:00 pm
- Location: Madrid
Para tenerlo claro...
* El archivo se llama SVCHOST.exe, no confundir con virus que se hacen llamar SVHOST.exe o SVCSHOST.exe, etc.
* Este archivo SVCHOST.exe sólo debe aparecer en Windows 2000 y XP.
* Su ubicacion debe ser C:\WINDOWS\system32\svchost.exe en Windows XP y C:\WINNT\system32\svchost.exe en Windows 2000.
* No importa si SVCHOST.EXE aparece repetido varias veces en la lista de procesos, esto es normal.
* SVCHOST.EXE puede llegar a ocupar hasta unos 60MB de la memoria de sistema. Solo preocúpate si el uso de procesador por parte de SVCHOST.EXE es excesivo, no debe ser mas de 20% en algunos casos. (en mi caso personal solo un 1%) El uso del CPU es aleatorio y circunstancial, no debe ocupar CPU en todo el momento, si es así, sospecha de que estas siendo atacado externamente por algun bicho que aprovecha la vulnerabilidad RPC.
* El archivo se llama SVCHOST.exe, no confundir con virus que se hacen llamar SVHOST.exe o SVCSHOST.exe, etc.
* Este archivo SVCHOST.exe sólo debe aparecer en Windows 2000 y XP.
* Su ubicacion debe ser C:\WINDOWS\system32\svchost.exe en Windows XP y C:\WINNT\system32\svchost.exe en Windows 2000.
* No importa si SVCHOST.EXE aparece repetido varias veces en la lista de procesos, esto es normal.
* SVCHOST.EXE puede llegar a ocupar hasta unos 60MB de la memoria de sistema. Solo preocúpate si el uso de procesador por parte de SVCHOST.EXE es excesivo, no debe ser mas de 20% en algunos casos. (en mi caso personal solo un 1%) El uso del CPU es aleatorio y circunstancial, no debe ocupar CPU en todo el momento, si es así, sospecha de que estas siendo atacado externamente por algun bicho que aprovecha la vulnerabilidad RPC.
Manager Aston Villa liga virtual PSW
-
NaZ
- Expulsado
- Posts: 6098
- Joined: Sun Apr 30, 2006 11:00 pm
- Location: Somewhere over the rainbow
Cristian, si acabo con el proceso se me cierra el ordenador... :S, se supone que tendria que haber algun programa para eliminarlo no?cristiandH wrote:tio tienes que configurar bien el firewall y el antivirus , porque seguramente tienes algunos puertos del firewall abiertos y por hay sobre todo te pueden entrar hackers o lammers .
el troyano hace una copia de su fichero ejecutable :
%System%\scvhost.exe
Con el objetivo de iniciarse automáticamente cada vez que se inicie Windows, el troyano agrega un enlace a su fichero ejecutable en la llave de autoinicio del registro del sistema:
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Internet Explorer Helper"="%System%\scvhost.exe"
para eliminarlo :
1. Termina el proceso con el Administrador de Tareas (su posible nombre es scvhost.exe)
2. Elimina el archivo:
%System%\scvhost.exe
3. Borra los siguientes parámetros de la llave de autoinicios del registro:
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
Internet Explorer Helper="%System%\scvhost.exe"
P.D.: He descubierto que es un virus y se llama W32/Agobot-S... estoy jodido... mierda.... xD
-
cristiandH
- Expulsado
- Posts: 876
- Joined: Sat Mar 18, 2006 12:00 am
este es el perfil de ese virus
Nombre: W32/Gaobot.AE
Tipo: Gusano de Internet y caballo de Troya
Alias: W32.HLLW.Gaobot.AE, W32.HLLW.Gaobot.AA, Backdoor.Agobot.3.f, W32/Agobot.AA, Gaobot.M, W32/Gaobot.M.worm, W32/Gaobot.worm.ae, W32.HLLW.Gaobot.AF, W32/Agobot-S, Backdoor.Agobot.3.f, W32/Gaobot.worm.ab, WORM_AGOBOT.AB
Fecha: 11/set/03
Plataforma: Windows 32-bit
Tamaño: 201,216 bytes (UPX)
Puertos: TCP/135, TCP/445, TCP/13659
Reparación manual
Nota:Te recomiendo utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro troyano con Internet, así como cualquier intento de acceder a nuestro sistema.
ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus).
Deshabilitar las carpetas compartidas
Es importante desconectar cada computadora de cualquier red antes de proceder a su limpieza.
Antivirus
1. Actualiza tu antivirus con las últimas definiciones
2. Ejecútelos en modo escaneo, revisando todos sus discos
3. Borre los archivos detectados como infectados
Borrado manual de los archivos creados por el gusano
Desde el Explorador de Windows, localiza y borra el siguiente archivo:
c:\windows\system\scvhost.exe
Pincha con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y selecciona "Vaciar la papelera de reciclaje".
Editar el registro
1. Ejecuta el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, pincha en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
3. Pincha en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:
Config Loader
4. En el panel izquierdo del editor, pincha en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\RunServices
5. Pincha en la carpeta "RunServices" y en el panel de la derecha, bajo la columna "Nombre", busca y borra la siguiente entrada:
Config Loader
6. Usa "Registro", "Salir" para salir del editor y confirmar los cambios.
7. Reinicia tu computadora (Inicio, Apagar el sistema, Reiniciar).
Nombre: W32/Gaobot.AE
Tipo: Gusano de Internet y caballo de Troya
Alias: W32.HLLW.Gaobot.AE, W32.HLLW.Gaobot.AA, Backdoor.Agobot.3.f, W32/Agobot.AA, Gaobot.M, W32/Gaobot.M.worm, W32/Gaobot.worm.ae, W32.HLLW.Gaobot.AF, W32/Agobot-S, Backdoor.Agobot.3.f, W32/Gaobot.worm.ab, WORM_AGOBOT.AB
Fecha: 11/set/03
Plataforma: Windows 32-bit
Tamaño: 201,216 bytes (UPX)
Puertos: TCP/135, TCP/445, TCP/13659
Reparación manual
Nota:Te recomiendo utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro troyano con Internet, así como cualquier intento de acceder a nuestro sistema.
ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus).
Deshabilitar las carpetas compartidas
Es importante desconectar cada computadora de cualquier red antes de proceder a su limpieza.
Antivirus
1. Actualiza tu antivirus con las últimas definiciones
2. Ejecútelos en modo escaneo, revisando todos sus discos
3. Borre los archivos detectados como infectados
Borrado manual de los archivos creados por el gusano
Desde el Explorador de Windows, localiza y borra el siguiente archivo:
c:\windows\system\scvhost.exe
Pincha con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y selecciona "Vaciar la papelera de reciclaje".
Editar el registro
1. Ejecuta el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, pincha en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
3. Pincha en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:
Config Loader
4. En el panel izquierdo del editor, pincha en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\RunServices
5. Pincha en la carpeta "RunServices" y en el panel de la derecha, bajo la columna "Nombre", busca y borra la siguiente entrada:
Config Loader
6. Usa "Registro", "Salir" para salir del editor y confirmar los cambios.
7. Reinicia tu computadora (Inicio, Apagar el sistema, Reiniciar).
-
NaZ
- Expulsado
- Posts: 6098
- Joined: Sun Apr 30, 2006 11:00 pm
- Location: Somewhere over the rainbow
-
cristiandH
- Expulsado
- Posts: 876
- Joined: Sat Mar 18, 2006 12:00 am