scvshosts.exe (SOLUCIONADO)

[sackettxxx]

Hola como estan le cuento mi problema que tengo con mi pc hac eunos dias me comenzo a salir una ventana a la hora que inicia window osea cuando y aesta en escritorio me sal euna ventana que dice scvshosts.exe dice que no se a podido efectuar la busqueda porque el archivo no existe o algo parecido y nose que hace le eh pasado muhcos antivirus y ninguno sigue saliendo ese msjs yo se que ustedes me ayudaran y de verdad gracias de ante mano a todos los foreros..



ESTE es mi log







Logfile of HijackThis v1.99.1

Scan saved at 05:45:11 p.m., on 02/10/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.exe

C:\Archivos de programa\Nokia\Nokia PC Suite 6\LaunchApplication.exe

C:\Archivos de programa\Eset\nod32kui.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\MSN Messenger\msnmsgr.exe

C:\Archivos de programa\Eset\nod32krn.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\PC Connectivity Solution\ServiceLayer.exe

C:\WINDOWS\system32\wuauclt.exe

C:\WINDOWS\system32\WgaTray.exe

C:\Archivos de programa\WinRAR\WinRAR.exe

C:\DOCUME~1\coco\CONFIG~1\Temp\Rar$EX00.327\HijackThis.exe



R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\SYSTEM\blank.htm

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)

F2 - REG:system.ini: Shell=Explorer.exe scvshosts.exe

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O4 - HKLM\..\Run: [SystemTray] SysTray.Exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [ScanRegistry] C:\W

O4 - HKLM\..\Run: [EPSON Stylus CX4900 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBVL.EXE /FU "C:\WINDOWS\TEMP\E_SA9.tmp" /EF "HKLM"

O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Archivos de programa\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup

O4 - HKLM\..\Run: [SoundMam] C:\WINDOWS\system32\SVOHOST.exe

O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: Yahoo! Literati - http://download2.games.yahoo.com/games/clients/y/tt5_x.cab

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {326A7290-FAE3-48C5-9FBA-F071633E1EB5} (VPlayer Control) - http://video.vividas.com/CDN1/5029_paramount/es/web/player/vivid_ocx.jpeg

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.mail.live.com/mail/w1/resources/MSNPUpld.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab

O16 - DPF: {9122D757-5A4F-4768-82C5-B4171D8556A7} (PhotoPickConvert Class) - http://appdirectory.messenger.msn.com/AppDirectory/P4Apps/PhotoSwap/PhtPkMSN.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{C6D4D0FC-B864-4417-BA17-12AF69563586}: NameServer = 200.48.225.130,200.48.225.146

O17 - HKLM\System\CS1\Services\Tcpip\..\{C6D4D0FC-B864-4417-BA17-12AF69563586}: NameServer = 200.48.225.130,200.48.225.146

O17 - HKLM\System\CS2\Services\Tcpip\..\{C6D4D0FC-B864-4417-BA17-12AF69563586}: NameServer = 200.48.225.130,200.48.225.146

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe

O23 - Service: ServiceLayer - Nokia. - C:\Archivos de programa\PC Connectivity Solution\ServiceLayer.exe

[msc hotline sat]

Envianos estos ficheros para analizar:



SCVSHOSTS.EXE (posiblemente esta en carpeta de sistema, pero no te confundas con el SVCHOST.EXE que es del sistema ! Si no lo ewncuentras, buscalo con Inicio -> Buscar -> Todos los ficheros y carpetas -> scvshosts.exe



C:\WINDOWS\system32\SVOHOST.exe



C:\W





->[b] Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334





y prueba mientras el ELISTARA, que igual al SVOHOST ya lo conocemos ...



http://www.zonavirus.com/descargas/elistara.asp







Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso



SALUDOS



MS, 3-10-2007

[msc hotline sat]

Recibida muestra del SVOHOST.EXE y demas, hemos potenciado el ELISTARA.EXE con su control y eliminacion.



A partir de la version 14.77, ya disponible en esta web para pruebas de evaluaicon en el foro de zonavirus, es detectada y eliminada esta variante.



http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso





saludos



ms, 14-10-2007

[sackettxxx]

Hola Gracias por responder... busque como me digo en inicio-buscar y busque scvshosts.exe y no encontro nada .... pero sigue saliendo aquel mensaje que puedo hacer :cry: :cry: ayudemen... GRAcias :)

[evangelion_01]

Ya esta implementado su control con el nuevo ElistarA, descargatelo, pasalo en modo seguro y luego nos posteas el log que te deje en el .txt de infosat

[msc hotline sat]

Deciamos ayer en la presentacion del ELISTARA 14.77:



ELISTARA.EXE



-v14.77-( 4 de Octubre del 2007) (Muestras de DownLoader.ConHook "*****.DLL", NaviPromo, Sfkeylogger "SFKLG.DLL", IEHelp(BHO) "IEHELP.DLL", (2)PWS-Lineage "SVCHOTS y SVOHOST.EXE" y PWS-WoW.WJ "WINRAR.EXE")





Correspondiente, entre otras a las muestras por Vd enviadas, luego pruebe dicha utilidad y recuerde siempre , tras probar nuestras utilidades de evaluacion, reiniciar y postearnos el contenido del c:\infosat.txt . gracias



saludos



ms, 5-10-2007

[sackettxxx]

Hola amigos foreros aki les posteo lo que me salio cuadno le pase el elistara pero aun me sigue saliendo ese mensajito mi pc se ah vuelto un poco mas rapida pero aun sigue saliendo el msnj al iniciar window :(





Tue Oct 09 16:50:28 2007

EliStartPage v14.80 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\WEB\RELATED.HTM --> Eliminado

C:\WINDOWS\SYSTEM32\SVOHOST.EXE --> Eliminado PWS-QQRob

C:\WINDOWS\SYSTEM32\WINSCOK.DLL --> PWS-QQRob Renombrado a .VIR

C:\WINDOWS\SYSTEM32\AUTORUN.INI --> Eliminado (Fichero Complementario).

Entrada Eliminada [HKLM\...\Run] "SoundMam"="C:\WINDOWS\system32\SVOHOST.exe"

Eliminada Class, "{9AFB8248-617F-460D-9366-D71CDEDA3179}" -> NULL1

Eliminada Carpeta "%Archivos de Programa%\FunWebProducts"

Eliminada Carpeta "%Archivos de Programa%\MyWebSearch"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Detectado AUTORUN.INF en la Unidad (D)

open=sxs.exe

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.



Tue Oct 09 16:52:03 2007

EliStartPage v14.80 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\WINDOWS\SYSTEM32\WINSCOK.DLL.VIR --> Eliminado, PWS-QQRob

C:\WINDOWS\twain_32\escndv\es0077\ffmt\EPIPD.DLL --> Eliminado, NavHelper(BHO)



Tue Oct 09 17:04:38 2007

EliStartPage v14.80 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminados Ficheros Temporales del IE

[sackettxxx]

weno aki les adjunto el msjito que me sale al iniciar window espero me ayuden gracias

[evangelion_01]

pues a juzgar por el mensaje que te aperece, no encuentra el archivo scvchost que mencionas, por loq ue significa que ya se elimino, pero aun falta que envies la muestra que solicito el infosat:

Detectado AUTORUN.INF en la Unidad (D)

open=sxs.exe

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.



por lo qeu dedusco que lo que hace que esa ventanita se siga abriendo es el autorun que tienes ahi, al eliminarlo se quitaria el problema, pero AUN NO LO ELIMINES!! ahorita envialo y espera que te respondan

[msc hotline sat]

Ante todo, actualiza el ELISTARA: Estamos ya en el 14.90 y solo se ha de probar siempre la ultima version, no las anteriores !!!



saludos



ms, 10-10-2007

[sackettxxx]

Mon Oct 29 12:20:15 2007

EliStartPage v14.93 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Disculpen la demora aki les mando mi nuevo log del elistart .. aun sigue saliendo dicho msj :?



lista de Acciones (por Acción Directa):

Eliminados Ficheros Temporales del IE



Mon Oct 29 12:20:28 2007

EliStartPage v14.93 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 4981

Nº Total de Ficheros: 56119

Nº de Ficheros Analizados: 13271

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

[flacoroo]

haz esto.....



1.- Spybot 1.5 lo debes de actualizar.



a.- deshabilita Restaurar Sistema



2.- Enciende tu computadora en modo seguro.



3.- Abre tu Spybot 1.5 …sigue estos pasos:



a).- en el menú modo toma la opción avanzado.



b).- entras en la pestaña herramientas



c).- del lado derecho te aparecerán varias opciones, habilitas todas



d).- después entras a información de desinstalación y vas uno por uno buscando programas que creas que no haz instalado o programas que pueden llevarte a que sea lenta la computadora o tenga fallas, como toolsbars, programas gratuitos para mejorar el puntero del Mouse, emoticons, etc…



e).- También debes eliminar cadenas de programas que están solas o que no hagan referencia a un programa especifico.

Ejemplo: mxhsjxhsga1237493021%dffg$$$hdhdhsjs



f).-Después entras en Inicio de sistemas



g:- Ahí veras a todos los programas que se cargan al comenzar Windows…de lado derecho hay una imagen como un pequeño teclado dale clic para que se abra una ventana…y ahora iras de arriba hacia abajo o inversa…chécando uno por uno cada archivo y ayudándote con la información que te sale lado derecho donde dice base de datos iras haciendo lo siguiente:



1.- deshabiltar todas las que te digan NO NECESARIO…



2.- Eliminar todas las que te digan : virus, troyano, innecesario, etc.



3.-en caso de que no te salga información sobre un programa, debes de ver de que programa es, si vez que es un programa conocido pues no lo deshabilites, en la parte de abajo hay unos archivos que dicen WINLOGON esos no los deshabilites (en caso de tenerlos)



h).- de ahí te iras a la opción Partes Internas del Sistemas y oprimes la opción comprobar y si te sale algo en la ventana de abajo le das reparar los problemas seleccionado y le das borrar a todos.



i).- de ahí te vas a la opción BHOs y eliminas las cadenas que no están en verde ó en su defecto que no digan GENUINE



j).- de ahí también el mismo procedimiento a la siguiente opción ActiveX



y de ahí ejecutas el spybot y eliminas todo lo que te salga e inmunizas….

[msc hotline sat]

Pues con esta version ya controlamos un SCVSHOST.EXE :



ELISTARA



---v14.93-(29 de Octubre del 2007) (Muestras de (2)Vundo6(notify), Vundo5, DownLoader.ConHook "*****.DLL", BackDoor-CVT "WIN***32.DLL", FakeAlert "*****.DLL", NaviPromo, [i][b]YahLover "SCVSHOSTS.EXE", [/b][/i]PWS-OnLineGames.BDB "AVPO0.DLL", PWS-QQPass "WINDOWS.SCR", Cnsmin(BHO) "ISNHELPER.DLL", DownLoader.VB.FT "A.EXE" y Añadida Extensión .BAK al la Exploración de Ficheros)



Posiblemente se trate de otra variante.Envienos dicho fichero SCVSHOSTS.EXE para analizar e implementaremos su control y eliminacion en la version de hoy (si nos llega pronto) del ELISTARA 14.94 con la que poder eliminarlo



saludos



ms, 30-10-2007

[sackettxxx]

por fin!! logre quitar aque mensaje que me salia cada vez al iniciar window .... pues pase de nuevo el elistar y de ahy pase el cleanup y ya no me sale aquel mensajito GRACIAS!! bueno ahora antes de dar por solucionado mi caso pues me gustaria que me recomienden un antivirus on line ahora tngo instalado el nod32 pero mi pc es un petium III y pues tengo programas de diseños y el nod ha puesto mas lenta mi pc kisiera poner un buen antivirus on line k no sea tan pesado y que sea bueno una vez probe con el avg y pues me encontro virus en algunos programas y me borro los archivos del programa y pues tenia k volver a instalarlo de nuevo osea.. busco un antivirus k me elimine el virus sin eliminar archivos gracias por su ayuda :P

[msc hotline sat]

Pues celebramos que el actual ELISTARA ya le haya solucionado el problema, y tras contestar a continuaicon la pregunta que nos hace, procedemos a cerrar el Tema



Los antivirus ONLINE no quedan residentes en memoria, son para testeos puntuales, pero no sirven para proteccion de un ordenador al no qyedar residente. Quizas no se refiere a ellos, sino a uno bajado de Internet (los ONLINE son ejecutados desde Internet, pero lo que Vd instala en el ordenador no es un AV ONLINE, sino uno normal y corriente, instalado y residente, como debe ser, aunque pese un poco.



Al respecto puede informarse en :







que es la opinion de nuestros foreros, pero si el NOD32 le parece pesado... vaya pensando en potenciar su ordenador o cambiarlo por uno de actual cuando pueda





Si nos necesita de nuevo, ya sabe donde estamos



saludos



ms, 2-11-2007



nota: y todos los antivirus pueden tener falsos positivos, para esto están las exclusiones que puede configurar en cada uno de ellos. ms.