Buenas noches.... me pueden decir p/f como elimino el troyano svcnvt.exe
gracias
jp
como elimino troyano
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Es posible que se trate de una variante del virus DELF, del cual el ELISTARA controla ya algunas variantes:
ELISTARA:
http://www.zonavirus.com/descargas/elistara.asp
Tras descargarla, lance dicha utilidad y diganos si se lo ha detectado y eliminado, o si le pide enviar muestra de algun sospechoso y si se trata de una variante no controlada, en cuyo caso le pedimos que nos envie muestra de dicho fichero, anexada a un mail dirigido azonavirus@satinfo.es en cuyo texto nos indique la referencia REF SVCNVT y tras analizarla e implementar su eliminacion en nueva version de dicha utilidad, le informaremos como respuesta de este Tema.
saludos
ms, 16-11-2005
ELISTARA:
Tras descargarla, lance dicha utilidad y diganos si se lo ha detectado y eliminado, o si le pide enviar muestra de algun sospechoso y si se trata de una variante no controlada, en cuyo caso le pedimos que nos envie muestra de dicho fichero, anexada a un mail dirigido a
saludos
ms, 16-11-2005
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
no elimino a svcnvt.exe
ahora cuando ejecuto el spybot me dice que no pudo detectar el boot de C: y sigue habilitado en el inicio del sistema.
corri el programa recomendado por ustedes y no me genero ningun archivo.
deice que la ruta del archivo es
C:windows\system32\svcnvt.exe home pero al buscarlo no se encuentra en esa carpeta.
ayuda gracias
corri el programa recomendado por ustedes y no me genero ningun archivo.
deice que la ruta del archivo es
C:windows\system32\svcnvt.exe home pero al buscarlo no se encuentra en esa carpeta.
ayuda gracias
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
No entiendo lo que dice del boot con el spybot ???
QUE EL SPYBOT NO PUDO DETECTAR EL BOOT ???
y que sigue habilitado en el inicio del sistema, el que ???
Y el ELISTARA genera in archivo de salida en C:\infosat.txt como el mismo indica
Si no puido encobntar el fiochero es porque quizas se oculta si esta en uso o porque tenga atributos de oculto, system y demas. Arranque en modo seguro con solo simbolo de sistema yu desde DOS vaya a c:\windows\system32
entrando CD \windows\system32 <emter> y desde alli haga ATTRIB svcnvt.exe <enter> y verá si existe y los atributos que tiene. Quite los atribitos con ATTRIB -H -S por ejemplo y luego myeva dicho ficherp a otra carpeta, por ejemplo al directorio raiz, con MOVE svcnvt.exe c:\ <enter>
Por cierto que no sé que quiere decir con "home" tras el nombre de dicho fichero ???
Todo esto siu el informe del EListara no le indica que ya lo ha movido y renombrado, claro.
saludos
ms, 19-11-2005
[quote="JAVISKYS"]ahora cuando ejecuto el spybot me dice que no pudo detectar el boot de C: y que sigue habilitado en el inicio del sistema[/quote]
QUE EL SPYBOT NO PUDO DETECTAR EL BOOT ???
y que sigue habilitado en el inicio del sistema, el que ???
Y el ELISTARA genera in archivo de salida en C:\infosat.txt como el mismo indica
Si no puido encobntar el fiochero es porque quizas se oculta si esta en uso o porque tenga atributos de oculto, system y demas. Arranque en modo seguro con solo simbolo de sistema yu desde DOS vaya a c:\windows\system32
entrando CD \windows\system32 <emter> y desde alli haga ATTRIB svcnvt.exe <enter> y verá si existe y los atributos que tiene. Quite los atribitos con ATTRIB -H -S por ejemplo y luego myeva dicho ficherp a otra carpeta, por ejemplo al directorio raiz, con MOVE svcnvt.exe c:\ <enter>
Por cierto que no sé que quiere decir con "home" tras el nombre de dicho fichero ???
Todo esto siu el informe del EListara no le indica que ya lo ha movido y renombrado, claro.
saludos
ms, 19-11-2005
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
disculpas y otra vez:
Bueno días, disculpe de pronto por el afán de escribir, no fui lo suficientemente claro.voy a intentarlo de nuevo:
El nombre del archivo es svcnvt.exe y cuando lo busco en los programas de inicio en el sistema (con msconfig) y con el programa “spybot search & destroy” me dice que la ruta donde se encuentra ese archivo es c:\windows\system32\svcnvt.exe home, cuando lo busco en dicha carpeta, no esta. Como usted dice debe tener atributos de oculto.
Cuando ejecuto el antivirus AVG, me dice “boot sector of disk reading error c:\”, puede ser que el archivo en mención este generando errores de lectura en el disco c:?
Ahora bien, encontré el archivo generado por el EliStartPage y en uno de sus apartes dice:
Wed Nov 16 23:53:45 2005
EliStartPage v10.60 (c)2005 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones:
C:\WINDOWS\SYSTEM\AZESEARCH4.OCX --> Eliminado AZESearch
Por favor, envienos una muestra del fichero
C:\WINDOWS\TEMP\FAVME.EXE.Muestra EliStartPage v10.60
a "virus@satinfo.es ". Gracias.
C:\WINDOWS\SYSTEM\FAVME.EXE --> Eliminado
C:\WINDOWS\NDNUNINSTALL6_38.EXE --> Eliminado NewDotNet Uninst
Eliminada Class, "{DAA873D4-958C-453C-81CA-3FE6F3676A87}"
Se ha detectado que el Servidor DNS no es el de su ISP.
IPs: 85.255.114.60,85.255.112.156
Pero no hace mención de eliminación del virus o estoy equivocado?
Gracias por su paciencia
El nombre del archivo es svcnvt.exe y cuando lo busco en los programas de inicio en el sistema (con msconfig) y con el programa “spybot search & destroy” me dice que la ruta donde se encuentra ese archivo es c:\windows\system32\svcnvt.exe home, cuando lo busco en dicha carpeta, no esta. Como usted dice debe tener atributos de oculto.
Cuando ejecuto el antivirus AVG, me dice “boot sector of disk reading error c:\”, puede ser que el archivo en mención este generando errores de lectura en el disco c:?
Ahora bien, encontré el archivo generado por el EliStartPage y en uno de sus apartes dice:
Wed Nov 16 23:53:45 2005
EliStartPage v10.60 (c)2005 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones:
C:\WINDOWS\SYSTEM\AZESEARCH4.OCX --> Eliminado AZESearch
Por favor, envienos una muestra del fichero
C:\WINDOWS\TEMP\FAVME.EXE.Muestra EliStartPage v10.60
a "
C:\WINDOWS\SYSTEM\FAVME.EXE --> Eliminado
C:\WINDOWS\NDNUNINSTALL6_38.EXE --> Eliminado NewDotNet Uninst
Eliminada Class, "{DAA873D4-958C-453C-81CA-3FE6F3676A87}"
Se ha detectado que el Servidor DNS no es el de su ISP.
IPs: 85.255.114.60,85.255.112.156
Pero no hace mención de eliminación del virus o estoy equivocado?
Gracias por su paciencia
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
A ver, lo del Error leyendo el Boot sector con el AVG no tiene nada que ver cin este bicho, simplemente esta usando un sistema operativo con tecnología NT (XP, W2000, etc) que no permite acceder a dicho sector por ser reservado al sistema.
Lo que no sé es lo de HOME al final de "c:\windows\system32\svcnvt.exe home" , es la primera vez que lo veo, pero en cualquier caso este fichero parece que está en la carpeta de sistema, pero por si acaso búsquelo como svcnt*.exe ya que puede ser rarillo ???
Pero hay dos cosas importantes ademñás de la eliminacion de troyanos que ha conseguifo con el ELISTARA, y es la deteccion de un sospechoso, que le pide que nos envie muestra para analizar_
"Por favor, envienos una muestra del fichero
C:\WINDOWS\TEMP\FAVME.EXE.Muestra EliStartPage v10.60
a "virus@satinfo.es ". Gracias."
y la deteccion que esta usando un servicor de DNS atipico, con URL 's 85.255.114.60,85.255.112.156 para el principal y secundario respectivamente
que corresponden a un servidor de DNS ubicado en Ukraina, que no creo que sea el recomendado por su ISP:
Hostname Country Code County Name Region Region Name City Postal Code Latitude Longitude ISP Organization Metro Code Area Code
85.255.114.60 UA Ukraine 07 Kharkivs'ka Oblast' Kharkiv 50.0000 36.2500 Inhoster hosting company Inhoster hosting company
85.255.112.156 UA Ukraine 07 Kharkivs'ka Oblast' Kharkiv 50.0000 36.2500 Inhoster hosting company Inhoster hosting company
Hable con su ISP, que creo que es de Bogotá, Colombia, sobre el servidor de DNS que le recomiendan y con nuestra utilidad CONFGDNS.EXE implantelas en lugar de las actuales, que Dios sabe lo que le pueden hacer...
Y con el analisis de la muestra que nos enviará y especialmente si encuentra el fichero en cuestion (vea de buscarlo arrancando en modo seguro, para que no esté en uso poor si se oculta con ello) implementaremos en proximas versiones del ELISTARA le control y eliminacion de esta nueva variante
saludos
ms, 19-11-2005
Lo que no sé es lo de HOME al final de "c:\windows\system32\svcnvt.exe home" , es la primera vez que lo veo, pero en cualquier caso este fichero parece que está en la carpeta de sistema, pero por si acaso búsquelo como svcnt*.exe ya que puede ser rarillo ???
Pero hay dos cosas importantes ademñás de la eliminacion de troyanos que ha conseguifo con el ELISTARA, y es la deteccion de un sospechoso, que le pide que nos envie muestra para analizar_
"Por favor, envienos una muestra del fichero
C:\WINDOWS\TEMP\FAVME.EXE.Muestra EliStartPage v10.60
a "
y la deteccion que esta usando un servicor de DNS atipico, con URL 's 85.255.114.60,85.255.112.156 para el principal y secundario respectivamente
que corresponden a un servidor de DNS ubicado en Ukraina, que no creo que sea el recomendado por su ISP:
Hostname Country Code County Name Region Region Name City Postal Code Latitude Longitude ISP Organization Metro Code Area Code
85.255.114.60 UA Ukraine 07 Kharkivs'ka Oblast' Kharkiv 50.0000 36.2500 Inhoster hosting company Inhoster hosting company
85.255.112.156 UA Ukraine 07 Kharkivs'ka Oblast' Kharkiv 50.0000 36.2500 Inhoster hosting company Inhoster hosting company
Hable con su ISP, que creo que es de Bogotá, Colombia, sobre el servidor de DNS que le recomiendan y con nuestra utilidad CONFGDNS.EXE implantelas en lugar de las actuales, que Dios sabe lo que le pueden hacer...
Y con el analisis de la muestra que nos enviará y especialmente si encuentra el fichero en cuestion (vea de buscarlo arrancando en modo seguro, para que no esté en uso poor si se oculta con ello) implementaremos en proximas versiones del ELISTARA le control y eliminacion de esta nueva variante
saludos
ms, 19-11-2005
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online