Problemas con svchost

taper · Mensaje por **taper** » 13 May 2004, 10:44

Despues de leer por el foro, he optado por ir cancelando las tareas svchost.exe no teniendo problemas has que una de ellas me dio el siguiente mensaje:

Apagar el sistema

Se está apagando el sistema. Guarde todo

trabajo en curso y cierre la sesión. Se perderá

cualquier cambio que no haya sido guardado.

El apagado ha sido iniciado por NT

AUTORITHY\SYSTEM

Tiempo restante

para el apagado: xx:xx:xx

Mensaje

Windows debe reiniciar ahora porque el

servicio Llamada a procedimiento

remoto (RPC) terminó de forma inesperada

Al reiniciarlo lo que me aparece en pantalla es :

Elidcom-RPC v4.3

Detectado gusano SVCHOST

Reinicie para completar la eliminacion.

Aunque reinicie sigue apareciendo el mismo mensaje, pero el aviso de que me queda un minuto solo sale si quiero cancelar esa tarea con el nombre de svchost.exe.

Tengo instalados los parches de microsoft, o eso creo, como puedo quitar ese mensaje del inicio y por supuesto el svchost.exe que me apaga el ordenador. :( :(

Mensaje por **msc hotline sat** » 13 May 2004, 11:42

puede ser el Cycle.A

De entrada, baja y lanza el ELIRPCA.EXE v4.7, que te lo solucionará.

http://www.zonavirus.com/descargas/EliRPCA.exe

Luego subiré otra mas especifica, que será la ELILSA.EXE para eliminar todos los que entran aprovechando el bug del LSASS

Y, por cierto, actualiza los parches de microsoft !!! y tu antivirus.

saludos

ms, 13-05-2004

taper · Mensaje por **taper** » 13 May 2004, 20:59

Tengo el antivirus actualizado (panda), he pasado el escaneador de puertos de symantec, tenia el 135 y el 5000 abiertos y ahora estan cerrados, la version 4.6 de elirpca me da que tengo el Svchost virico, y me he encontrado un fichero en la carpeta windows llamado svchost.exe.vir, lo he borrado despues de arrancar a prueba de fallos, pero al arrancar normal me vuelve a aparecer en la pantalla de inicio lo del svchost virico, y miro en la carpera de windows y tengo otra vez el fichero con extension VIR.

No se como quitarlo, noto que el ordenador va mas lento.

Voy a seguir trasteando a ver si lo consigo eliminar.

:?

Mensaje por **msc hotline sat** » 14 May 2004, 13:09

Efectivamente, tienes el Cycle.A

Con el ELIRPCA actual debería habertelo eliminado, pues lo ha renombrado a SVCHOST.EXE.VIR, con lo que el virus ya ha sido "encerrado", pero si luego vuelve a infectarse por no tener aplicados los parches ni tener cortafuegos, en el rearranque volverá a encontrarlo.

Por un lado, envienos el fichero SVCHOST.EXE.VIR en un zip anexado a un mail dirigido a zonavirus@satinfo.es en cuyo texto pinga un copiar y pegar de este post. Estudiaremos el fichero, que suponemos tiene el Cycle, pero que se lo confirmaremos, y tras ello indicaremos nuestra contestacion como respuesta de este Tema.

Por otro lado, tras lo indicado, desconecte el ordenador de Internet, y lance la utilidad desconectado de Internet, y tras ejecutar el ELILSA.EXE y bloquear el intento de intrusion, conecte a Internet y baje los parches de microsoft conectando al windowsupfate.

Para ello, antes baje la nueva utilidad en cuestion:

https://foros.zonavirus.com/viewtopic.php?t=737

Esperamos su e-mail

saludos

ms, 14-05-2004