Troyano windows sistem32 svchost.exe (SOLUCIONADO)

[msc hotline sat]

El programa no falla, es problema de los temporales, que igual no los borras habitualmente y tienes un montón...



Pero dile que no los elimine, a ver si asi se lo salta y sigue hasta el final.



Aparte, una vez terminado esto, desde el IE -> Herramientas -> opciones de Internet, borra los temporales.



Y tras reiniciar, nos cuentas el resultado.



saludos



ms, 5-9-2011

[msc hotline sat]

Recibidos varios ficheros para analizar, no se detectan rutinas viricas en ellos.



Sigue con lo indicado, y si persistiera el problema del ELITRIIP, lanza primero una comprobacion de errores desde MIPC -> Botón derecho sobre disco C: -> propiedades -> herramientas -> comprobar errores



y nos cuentas tus progresos al respecto, gracias



saludos



ms, 5-9-2011

[Carlos X]

Bien, he borrado los archivos temporales, cookies y he reiniciado.



El Elitriip me ha escaneado por dos veces, la segunda despues de reiniciar el pc, durante seis o siete minutos ha analizado, al principio me preguntó "si quería que bloqueara intrusión en TCP 445", no se a que intrusión se refería pero me lo ha bloqueado, ayer también me salió este mensaje al principio del Elitriip. Le he marcado que no elimine temporales pero de pronto terminó al cabo de varios minutos, como digo, sin que me dejara archivo de texto para ver resultados.

He comprobado errores del disco duro, lo ha hecho en las tres fases sin que me advierta de ningún error.



Por otro lado, el Avast sigue advirtiéndome constantemente "archivo Windows/temp/conhost.exe" abierto por "Windows sistem32 svchost.exe" le sigo marcando siempre la opción que cancele la apertura como me comentásteis ayer.

Igual es que hay que hacer algo con el Avast, reiniciar o volver a instalar, aunque supongo que quitar el antivirus sin saber seguro si hay algo maligno no creo que sea lo más oportuno.



Ya me diréis que debo hacer ahora para asegurarnos de que no hay ningún troyano oculto. Si es así supongo que el Avast dejaría de advertirme sobre esa posible intrusión.



Saludos.

[msc hotline sat]

Pues arranca en MODO SEGURO CON FUNCIONES DE RED y mira si con un Inicio -> Buscar envuentras este CONHOST.EXE , y en tal caso, envianoslo para analizar:



>[b]ENVIO DE MUESTRAS Y ELIMINACIÓN DE CLAVES - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



Tras recibirlo/s, lo/s analizaremos e implementaremos su control y eliminación, si procede, en nuestras utilidades, de lo cual informaremos



saludos



ms, 5-9-2011

[Carlos X]

He reiniciado en modo seguro con funciones de red y en buscar conhost.exe no sale nada.



De todas formas ayer tarde un amigo me comentó que le pasara el DTTSKiller, que es una herramienta muy buena para detectar Rootkits y así fue, pues detectó windows sistem32 svchost.exe, lo eliminé y desde entonces no me ha vuelto a saltar el Avast advirtiéndome de la apertura de windows/temp/conhost.exe por el citado bicho.



Salvo que me aconsejéis algo más para desinfectar y limpiar el pc, doy por solucionado el problema, cruzando los dedos.



Por ello, os agradezco mucho vuestro interés y ayuda para solventar el tema.



Gracias y saludos.

[msc hotline sat]

Pues ya habías dicho que te detectaba un SVCHOST.EXE lanzado desde la carpeta de sistema, y no habiamos hecho caso, porque con este nombre y esta ruta, es el lanzador de tareas de windows... Si ahora dices que lo ha detectado el DTTSKiller (que no conzco) creo que algo está mal escrito, pues de lo contrario te habrías cargado parte importante del sistema !!! Quizas querías decir SCVHOST.EXE, o la ruta es c:\windows\system\, sin el 32, pero tal como dices, "detectó windows sistem32 svchost.exe", OJOOOOO !!! que si dice sistem32 y no system32, ahí estaba el kit de la cuestión, confirma que dijera sistem32, lo cual no es del sistema !!!, y en tal caso el SVCHOST.EXE no era el del sistema, y se nos pasó por alto :oops:



No es excusa, sino que usan toda la picardía del mundo para despistar y engañar a usuarios y técnicos... había visto alguna vez usar system en lugar de system32, pero lo de sistem32 en lugar de system32... tiene su picaresca !



Esperamos nos confirmes dicha ruta, gracias



saludos



ms, 6-9-2011

[Carlos X]

Efectivamente está mal escrito, es TDSSKiller y me detectó ese archivo, ya tengo dudas si con "i" o con"y" pero claramente ponía svchost.exe y me advertía como rootkit TDL4, con lo cual no dudé en eliminar. De hecho no me ha vuelto a salir la ventana del Avast con ese aviso de apertura de conhost.exe.

No se si queda claro con mi explicación, pero parece evidente que eliminado está el bicho.

Gracias y saludos.

[msc hotline sat]

Pues sería sistem con i latina, pues el SVCHOST.EXE de C:\windows\system32\ aun debe tenerlo para poder utilizar windows !



Pues ya aclarado, damos por solucionado el Tema y procedemos a cerrarlo



Si nos necesita de nuevo, ya sabe donde estamos



saludos



ms, 6-9-2011