SVCHOST .EXE (SOLUCIONADO)

[groarrr333]

Hola a todos , mi problema es que al pasar el scan online de kaspersky me detecta un virus en la carpeta WINDOWS32/DGL/SVCHOOST.EXE , dice que es un keylogger y no se si eliminarlo de forma manual pues el kaspersky no me da la opcion de eliminarlo , ¿ que debo hacer ? gracias

[evangelion_01]

pues si l escribiste igual que como te aviso si es virus ya que el original se llama svchost ese debe ser un keylogger, espera a que lleguen los admins. para que te sigan con que programa se elimina eso

[msc hotline sat]

Envianos muestra de este fichero para analizar y pasaremos a controlarlo y eliminar claves y demas en nuestras proximas utilidades, de lo cual informaremos.



->[b] Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334



saludos



ms, 20-09-2007

[groarrr333]

hola , os tengo que decir que hace tiempo tuve instalado por mi mismo el douglas keylogger , pero ese programa no se conecta a internet si no lo configuras tu mismo , es para captar lo que escriben otros en tu propio ordenador , ya lo desinstale en su dia , ¿ puede ser que sean restos de aquella instalacion ? gracias .

[msc hotline sat]

Hay que verlo, analizarlo, monitorizarlo y ver lo que hace.



Lo que stá claro por el nombre es que quiere ser confundido con el SVCHOST.EXE que es el lanzador de ap`licaciones de windows.



Mira algo al respecto de ello:


[quote]


El SVCHOST.EXE es, originalmente, el lanzador de tareas del windows, pero debe estar en la carpeta de sistema, C:\windows\system32 si es XP



Como que son varias las aplicaciones que se lanzan en el inicio a través de este lanzador, aparecerá en el Administrador de tareas varias veces, pasando desapercibido si hay uno mas o uno menos.



Por ello es aprovechado por los coders para usar este nombre ocultando su gusano, si bien no puede estar en la misma carpeta que el original con el mismo nombre, y lo ponen en una cerca, o la previa de C:\windows o en una posterior como por ejemplo c:\windows\system32 \drivers, por ejemplo...



En otros casos utilizan la misma carpeta, pero cambiando ligeramente el nombre, por ejemplo utilizando SCVHOST en lugar de SVCHOST, para pasar desapercibido y otros nombres o combinaciones alfanumericas que se preste a confusion, como SVCH0ST que no es el SVCHOST ya que la O es un cero. etc.



Pero aun siendo normal puede que la aplicacion lanzada sea malware, por lo que siempre se ha de disponer de un buen antivirus y de los parches de microsoft instalados y actualizados, lo cual puede ser motivo de incidencias en caso contrario



Y con lo indicado se da por aclarado el uso del nombre SVCHOST por los malwares.


[/quote]

Cuando nos llegue la muestra sabremos a qué atenernos



saludos



ms, 20-09-2007

[groarrr333]

hola , perdonad pero no acabo de entender en que consiste la muestra que os debo enviar .

[lucl]

Pues que sigas la ruta



WINDOWS32/DGL/[b]SVCHOOST.EXE [/b]



y busques el archivo remarcado en negrita, y lo envies segun se indica en este link, saludos





https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

[groarrr333]

Hola , creo que meti' la pata, ayer busque' el archivo y lo mande a la papelera dado el mosqueo que tengo , pensaba enviaroslo hoy pero al abrir la papelera para hacerlo ya no estaba , creo que al pasar algun limpiador , tengo unos cuantos , no me di cuenta de desmarcar la limpieza de la papelera asi que voy a intentar recuperarlo con undelete-plus , gracias y si lo consigo os lo envio .

:oops:

[msc hotline sat]

Eso es humano... , la pena es que de este "SVCHOOST.EXE" era la primera muestra y sin ella no tenemos pistas, pero si no lo encuentra ni se le regenera, eliminado está, y solucionado su prpoblema, y si lo encuentra, nos lo envia y lo analizaremos para solucionarlo para todos.



saludos



ms, 21-09-2007

[groarrr333]

vale , gracias por la ayuda , esta solucionado .

[lucl]

Se cierra en consecuencia saludos