Problemas con un troyano

[P4F4R0]

El otro día, navegando por internet, de repente empezaron a salirme avisos de virus de un tal Antimalvare Doctor. Tengo el Mcaffe Internet Suite, que no los detectó y además se desinstaló. Instalé el Avast, el SuperAntyspyware, el Malwarebytes' Anti-Malware.....Al final limpió todo salvo un troyano que detecta el SuperAntyspyware que es el Troja.Dropper/SVCHost-Fake. El McAfee, no detecta nada en ningún análisis. Ahora ya no va tan lento pero, a menudo, se abren pantallas del explorer de publicidad. Además, y no sé si tiene algo que ver, de vez en cuando y siempre al iniciar windows, me desconecta el volúmen. Por favor, podeis ayudarme. Gracias de antemano y un saludo en mi primer mensaje.

[msc hotline sat]

Pues envienos el fichero donde le detectan este Troja.Dropper/SVCHost-Fake y tras analizarlo informaremos:







[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



Tras recibirlos, los analizaremos e implementaremos su control y eliminacion, si procede, en nuestras utilidades, de lo cual informaremos



saludos



ms, 21-5-2010





Aparte pruebe el ELISTARA por si ya lo controlaramos:


[quote="para DESCARGAR el ELISTARA, msc"] http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso [/quote] ms.

[P4F4R0]

el archivo está en



C:\System Volume Information\_restore{d5fffa500b1b}\svchost.exe



pero me dice que no puedo acceder a él, porque tengo el acceso denegado.



¿hay algo que pueda hacer?. Gracias

[msc hotline sat]

Sí, claro, y no se preocupe, no está activo, es la copia de seguridad de dicho fichero, para restablecerlo (si fuera bueno) mediante una restauración de sistema a un punto anterior que estuviera contemplado.



Para eliminarlo, simplemente desactive la restauracion de sistema, arranque en modo seguro y lance su antivirus, o lo que utilizó para eliminar el que estaba activo.



Luego, una vez solucionado, no se olvide de volver a activar la restauracion de sistema



Para todo ello:



Botón derecho sobre MIPC -> Propiedades -> RESTAURAR -> desactivar restauracion de sistema





saludos



ms, 23-5-2010

[P4F4R0]

Muchas gracias. ¿Que significa que no está activo?. Sigo con síntomas de que algo le sucede al ordenador. He hecho repetidas veces, y con diferentes antivirus, lo de desactivar restaurar sistema y pasarlo en modo a prueba de fallos.



El Superantispyware me dice que son:



Trojan.Dropper/SVCHost-Fake

C:\SYSTEM VOLUME INFORMATION\_RESTORE{D5FFFA500B1B}\SVCHOST.EXE

C:\SYSTEM VOLUME INFORMATION\_RESTORE{D5FFFA500B1B}\SVCHOST.EXE

C:\WINDOWS\Prefetch\SVCHOST.EXE-18DD64E3.pf



Trojan.Agent/Gen-FakeAlert

C:\SYSTEM VOLUME INFORMATION\_RESTORE{D5FFFA500B1B}\SMSS.EXE

C:\SYSTEM VOLUME INFORMATION\_RESTORE{D5FFFA500B1B}\SMSS.EXE

C:\WINDOWS\Prefetch\SMSS.EXE-3A365619.pf



Lo que me gustaría es poder limpiar los archivos infectados a ver si funciona correctamente el ordenador. Repito, muchas gracias y un saludo

[lucl]

Haz lo que te dice Msc mas arriba, descarga elistara y ejecutalo en tu pc. Nos pegas el log que te dejara en C infosat.txt saludos.





http://www.zonavirus.com/descargas/elistara.asp

[msc hotline sat]

Pero si algo le incordia no son estos que ha detectado, ya que son .PF (que solo son complementarios de los ejecutables) y los demas estan en la carpeta del RESTORE, que están guardados en carpeta inaccesible para una posible restauracion de sistema, y que para eliminarlos se ha de empezar por desactivar dicha restauracion de sistema, como ya se indicó al principio.



Y que no estén activos significa que están fuera de circulación, que no están en uso, y por tanto no están afectando.



Pero posiblemente tendrá otros malwares, veamos el contenido de c:\infosat.txt tras haber ejecutado el ELISTARA y sabremos a qué atenernos.



saludos



ms, 24-5-2010