Síguenos en nuestro canal oficial de WHATSAPP

[NaZ]

Bueno, tengo el ordenador infectado con este maldito troyano que se abre muchas veces y consume memoria, como lo puedo eliminar??

Gracias.-

[paxe_91]

eso seguro k es 1 troyano?? yo lo tngo dsd siempre y no m a paxao na yo kreia k era algo normal dl sistema... :S vaya x dios jaja peo nose kitarlo buska en google k el lo sabe to

[vorjasss]

yo tmb lo tengooooo juas juas juas

[cristiandH]

tio tienes que configurar bien el firewall y el antivirus , porque seguramente tienes algunos puertos del firewall abiertos y por hay sobre todo te pueden entrar hackers o lammers .

el troyano hace una copia de su fichero ejecutable :

%System%\scvhost.exe

Con el objetivo de iniciarse automáticamente cada vez que se inicie Windows, el troyano agrega un enlace a su fichero ejecutable en la llave de autoinicio del registro del sistema:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Internet Explorer Helper"="%System%\scvhost.exe"

para eliminarlo :

1. Termina el proceso con el Administrador de Tareas (su posible nombre es scvhost.exe)
2. Elimina el archivo:
%System%\scvhost.exe
3. Borra los siguientes parámetros de la llave de autoinicios del registro:
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
Internet Explorer Helper="%System%\scvhost.exe"

[killer32]

yo tam lo tngo pero m sale unas cuantas veces en el administrador de tareas

como s borran los parametros esos de la llave de autoinicio del registro?
este troyano q ace?

[Anto_75]

Para tenerlo claro...

* El archivo se llama SVCHOST.exe, no confundir con virus que se hacen llamar SVHOST.exe o SVCSHOST.exe, etc.
* Este archivo SVCHOST.exe sólo debe aparecer en Windows 2000 y XP.
* Su ubicacion debe ser C:\WINDOWS\system32\svchost.exe en Windows XP y C:\WINNT\system32\svchost.exe en Windows 2000.
* No importa si SVCHOST.EXE aparece repetido varias veces en la lista de procesos, esto es normal.
* SVCHOST.EXE puede llegar a ocupar hasta unos 60MB de la memoria de sistema. Solo preocúpate si el uso de procesador por parte de SVCHOST.EXE es excesivo, no debe ser mas de 20% en algunos casos. (en mi caso personal solo un 1%) El uso del CPU es aleatorio y circunstancial, no debe ocupar CPU en todo el momento, si es así, sospecha de que estas siendo atacado externamente por algun bicho que aprovecha la vulnerabilidad RPC.

[NaZ]

tio tienes que configurar bien el firewall y el antivirus , porque seguramente tienes algunos puertos del firewall abiertos y por hay sobre todo te pueden entrar hackers o lammers .

el troyano hace una copia de su fichero ejecutable :

%System%\scvhost.exe

Con el objetivo de iniciarse automáticamente cada vez que se inicie Windows, el troyano agrega un enlace a su fichero ejecutable en la llave de autoinicio del registro del sistema:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Internet Explorer Helper"="%System%\scvhost.exe"

para eliminarlo :

1. Termina el proceso con el Administrador de Tareas (su posible nombre es scvhost.exe)
2. Elimina el archivo:
%System%\scvhost.exe
3. Borra los siguientes parámetros de la llave de autoinicios del registro:
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
Internet Explorer Helper="%System%\scvhost.exe"

Cristian, si acabo con el proceso se me cierra el ordenador... :S, se supone que tendria que haber algun programa para eliminarlo no?

P.D.: He descubierto que es un virus y se llama W32/Agobot-S... estoy jodido... mierda.... xD

[cristiandH]

este es el perfil de ese virus

Nombre: W32/Gaobot.AE
Tipo: Gusano de Internet y caballo de Troya
Alias: W32.HLLW.Gaobot.AE, W32.HLLW.Gaobot.AA, Backdoor.Agobot.3.f, W32/Agobot.AA, Gaobot.M, W32/Gaobot.M.worm, W32/Gaobot.worm.ae, W32.HLLW.Gaobot.AF, W32/Agobot-S, Backdoor.Agobot.3.f, W32/Gaobot.worm.ab, WORM_AGOBOT.AB
Fecha: 11/set/03
Plataforma: Windows 32-bit
Tamaño: 201,216 bytes (UPX)
Puertos: TCP/135, TCP/445, TCP/13659

Reparación manual

Nota:Te recomiendo utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro troyano con Internet, así como cualquier intento de acceder a nuestro sistema.

ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus).

Deshabilitar las carpetas compartidas

Es importante desconectar cada computadora de cualquier red antes de proceder a su limpieza.


Antivirus

1. Actualiza tu antivirus con las últimas definiciones
2. Ejecútelos en modo escaneo, revisando todos sus discos
3. Borre los archivos detectados como infectados


Borrado manual de los archivos creados por el gusano

Desde el Explorador de Windows, localiza y borra el siguiente archivo:

c:\windows\system\scvhost.exe



Pincha con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y selecciona "Vaciar la papelera de reciclaje".


Editar el registro

1. Ejecuta el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER

2. En el panel izquierdo del editor, pincha en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run

3. Pincha en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:

Config Loader

4. En el panel izquierdo del editor, pincha en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\RunServices

5. Pincha en la carpeta "RunServices" y en el panel de la derecha, bajo la columna "Nombre", busca y borra la siguiente entrada:

Config Loader

6. Usa "Registro", "Salir" para salir del editor y confirmar los cambios.

7. Reinicia tu computadora (Inicio, Apagar el sistema, Reiniciar).

[NaZ]

mmm, tengo un problema, que al buscar el archivo "scvhost.exe" no lo encuentra en ninguna parte, he probado entrar en la carpeta system directamente pero alli no esta...esto ya me da que dudar...

Salu2 y gracias Cristian.

[cristiandH]

pues mira a ver si sigue teniendo los sintomas del troyano ; que se te abran ventanas tipo pop ups etc . salu2