sysvxd.exe (SOLUCIONADO)

[Francisca333]

Hola, Tengo un problema que pensé no era tan grave pero al parecer es un virus. Hace poco me baje un programa para acelerar un juego de Facebook y ganar mas puntos (Restaurant City) y todo iba bien hasta que intente apagar el pc y sale Fianlizar tarea y este nombre sysvxd.exe y sale un cuadrado negro y disco c:

http://flywing0128.myweb.hinet.net/sysvxd.JPG eso es lo que me sale y tambien una alerta de Firewall. ya elimine el programa que me baje pero me da susto que sea un Virus, Tambien en Archivos de programas hay una carpeta que se llama SGPSA. No sé si es normal, pero me parece que antes no estaba.

Trate de buscar si alguien mas tenia este problema, para leer la solucion y no molestar, encontré algunos parecidos pero la verdad no entendia nada asi que priefiero preguntar antes de empezar a meter mas la pata, bueno muchas gracias!!!

[msc hotline sat]

Este sysvxd.exe podría tratarse de un fake alert.



Envienos este fichero para analizar (suponemos que estará en C:\windows) :





[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253





Tras recibirlo, lo analizaremos e implementaremos su control y eliminacion, si procede, en nuestras utilidades, de lo cual informaremos



saludos



ms, 30-9-2009

[Francisca333]

Hola, Muchas gracias por responder mi post, lo que entendi es que tengo que comprimir el programa que supuestamente tiene el virus, ponerle una contraseña y mandarlo? porque tengo el link de la pagina donde lo bajé, a lo mejor es mas fácil y rapido.

que prefieres?

[msc hotline sat]

Para que sea analizado en I+D de SATINFO, ha de llegar el fichero en la forma indicada, no van a buscarlo en links y demás.



Piense que es un servicio paralelo al que se ofrece a los clientes que tienen contratados dichos servicios, el cual se ofrece a este foro altruisticamente...



Tan pronto lo reciban y sea analizado, informaremos del resultado.



saludos



ms, 30-9-2009

[Francisca333]

Listo!! ya lo Envie, ese es el programa que usé para Restaurant City, ahora voy a enviar una carpeta que hay en archivos de programa que me parece sospechosa.

Muchas Gracias!! por todo

[msc hotline sat]

Espero que haya enviado el fichero que se le pedia: [b][i]C:\windows\sysvxd.exe[/i][/b].



Mañana, a la vuelta al trabajo en SATINFO, será analizado y se informará del resultado.



De momento solo le podemos ofrecer información obtenida al respecto en Internet:



C:\WINDOWS\Sysvxd.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully



A la vista de su fichero, veremos si se trata del Fake Alert en cuestion y obraremos en consecuencia



saludos



ms, 4-10-2009

[Francisca333]

Envie 3 archivos, que me parecen sospechosos.Desde que tengo el piap( que es el programa que usé para acelerar el juego restaurant city) empecé a tener problemas con mi pc, el nombre " sysvxd.exe" al poner apagar equipo me aparecia una ventana que decia sysvxd.exe sigue en proseso y tenia que finalizar tarea. Yo creo que es lo mismo que el programa para el restaurant city, a lo mejor es otro virus, pero no sé de donde habrá salido.-

[Francisca333]

Muchas Gracias por su tiempo!!!

[msc hotline sat]

Es un placer... :wink:



Y mientras, añada .VIR al fichero de marras, C:\WINDOWS\Sysvxd.exe



Así, tras reiniciar, ya no se pondrá en marcha , y cuando veamos si el fichero es o no malicioso, obraremos en consecuencia.



saludos



ms, 4-10-2009

[Francisca333]

Ya esta quedo como sysvxd.VIR muchas gracias de nuevo !! :)

[msc hotline sat]

Pues muy bien hecho !



Los hemos recibido y pasamos a analizarlos.



Tan pronto tengamos mas noticias le informaremos.

[msc hotline sat]

Analizados los tres ficheros que nos envia, ninguno de los tres nos provoca la pantalla que nos dice: http://flywing0128.myweb.hinet.net/sysvxd.JPG , pero es la DLL vemos un BHO que pasamos a controlar y eliminar como BHO.IFR con la version de hoy del ELISTARA 19.39 :


[quote]
[b] ELISTARA: [/b]

http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso
[/quote]

A partir de las 19 h GMT, estará disponible en esta web, para pruebas de evaluacion en el foro de zonavirus



De todas formas, el mensaje en "chino" es muy raro que le aparezca en un ordenador con sistema en castellano, o es que su sistema no está en castellano ???



saludos



ms, 5-10-2009

[msc hotline sat]

Ya hemos subido la versión 19.39 del ELISTARA



Descargala y tras probarla nos comentas el resultado, gracias



saludos



ms, 5-10-2009

[Francisca333]

Ya descarge el Elistara voy a probarlo enseguida, con respecto a la imagen en chino esa no es la que me aparce a mí, busque una imagen en un buscador mas o menos similar a la que me aparecio a mí y la única que se parecia era esa que estaba en chino...

era un ejemplo no más, no alcancé a copiar la que me aparecio a mí o mas bien dicho no sabia como copiarla. pero la semana pasada me aparecia eso, ya no me aparece más, yo creo que es porque ya no uso el hack de restaurant city. bueno voy a probar el Elistara. muchas gracias por todo!! :D

[lucl]

Bien pues entonces prueba elistanra y peganos el log de infosat.txt para ver el resultado y dar por solucionado el tema si es que procede, saludos.

[Francisca333]

(5-10-2009 20:37:48 (GMT))

EliStartPage v19.39 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 5 de Octubre del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\SVCHOST.EXE.Muestra EliStartPage v19.39

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\DRIVERS\SVCHOST.EXE --> Eliminado

Entrada Eliminada [HKCU\...\Run] "svchost.exe"="C:\WINDOWS\system32\drivers\svchost.exe"

Eliminado , Installed Components "{08B0E5C0-4FCB-11CF-AAA5-00401C608500}"

Eliminado , Installed Components "{CC2A9BA0-3BDD-11D0-821E-444553540000}"

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(5-10-2009 20:38:52 (GMT))

EliStartPage v19.39 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 5 de Octubre del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

C:\Archivos de programa\SGPSA\BHO.DLL --> Eliminado, AdWare.BHO.IFR



Nº Total de Directorios: 6837

Nº Total de Ficheros: 100490

Nº de Ficheros Analizados: 22061

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1



(5-10-2009 20:59:05 (GMT))

EliStartPage v19.39 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 5 de Octubre del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado SP3 de Windows XP



(5-10-2009 20:59:17 (GMT))

EliStartPage v19.39 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 5 de Octubre del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 6840

Nº Total de Ficheros: 100621

Nº de Ficheros Analizados: 22067

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0











Ya esto es el resultado del Elistara, salia troyano eliminado, pero en C:\windows me volvio a aparecer el sysvxd.exe y ademas estaba el que habia cambiado por sysvxd.VIR, pero elimine el nuevo sysvxd.exe

y en disco local em aparecio una carpeta que dice muestras y dentro hay un archivo que se llama asi

SVCHOST.EXE.Muestra EliStartPage v19.39 que hago con eso, lo borro?¿

disculpen por hacer tantas preguntas la verdad es que me cuesta mucho manejarme en los computadores. muchisimas gracias nuevamente

[msc hotline sat]

Nada de eliminarlo ! Tal como dice el informe, envienoslo para analizar, hay que ver lo que es :



Por favor, envienos una muestra del fichero

C:\Muestras\SVCHOST.EXE.Muestra EliStartPage v19.39



ya sabe como... :)



saludos



ms, 6-10-2009

[Francisca333]

si, ya aprendi como mandarlos :) .

ya lo mande graciass :D

[msc hotline sat]

Bien, pues en unas tres horas, cuando entremos a trabajar en SATINFO, lo veremos y analizaremos.



Está claro que se trata de un malware ya que no estaba en la carpeta de sistema, como el de windows, sino en C:\WINDOWS\SYSTEM32\DRIVERS\SVCHOST.EXE, lo cual es propio de algunos malwares con dicho nombre.



Tan pronto lo hayamos analizado, informaremos



saludos



ms, 7-10-2009

[msc hotline sat]

Pues recibida la muestra, una vez analizada ha resultado ser una variante de ZACK, que pasamos a controlar con el ELISTARA de hoy 19.41


[quote]
[b] ELISTARA: [/b]

http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso
[/quote]

A partir de las 19 h GMT, estará disponible en esta web, para pruebas de evaluacion en el foro de zonavirus



saludos



ms, 7-10-2009

[Francisca333]

Holaa, disculpen por no haber respondido antes es que tengo mucho trabajo. Bueno que tengo que hacer ahora?, analizar con el elistara mi computador o esperar los resultados? muchas gracias :)

[msc hotline sat]

Descarga el nuevo ELISTARA y tras probarlo nos posteas el informe resultante, gracias



saludos



ms, 8-10-2009

[Francisca333]

Listo!





(9-10-2009 5:24:46 (GMT))

EliStartPage v19.42 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 8 de Octubre del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado SP3 de Windows XP

Eliminados Ficheros Temporales del IE



(9-10-2009 5:25:01 (GMT))

EliStartPage v19.42 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 8 de Octubre del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

C:\Documents and Settings\Usuario\Escritorio\eliminar\Muestras\SVCHOST.EXE.MUESTRA ELISTARTPAGE V19.39 --> Eliminado, Trojan.Zack.A



Nº Total de Directorios: 6883

Nº Total de Ficheros: 100702

Nº de Ficheros Analizados: 22064

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1

:D

[msc hotline sat]

Pues solo le queda actualizar los parches de Microsoft lanzando un windowsupdate:



[b][i]No detectado SP3 de Windows XP[/i][/b]





Por lo demás, damos por solucionado el tema y procedemos a cerrarlo



Si nos necesita de nuevo, ya sabe donde estamos



saludos



ms, 9-10-2009