"""AYUDA URGENTE CON svchost.exe "&

[ALVAROP7]

Soy nuevo en esto de los spyware pero hace dias me infecte hasta el alma, gracias a sus foros leei como desinfectarme y asi lo hice des carge el "ewido" y el "elistar" y desaparecieron pero me sale una ventanita de ms-dos que dice SVCHOST.EXE y aparece a cada rato les agradeceri que me dijeran si es virus, spyware o que cosa por que ya corri antiviruis y hasta actualice mi computadora con windows update y nada.....



mi win es 2000 profecional



[b]INTERVENCION DE ZONAVIRUS:[/b] en Tema paralelo, https://foros.zonavirus.com/viewtopic.php?t=10081&highlight= añadía este HJT :





Logfile of HijackThis v1.99.1

Scan saved at 04:29:29 p.m., on 09/01/2006

Platform: Windows 2000 SP4 (WinNT 5.00.2195)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)



Running processes:

C:\winnt\System32\smss.exe

C:\winnt\system32\winlogon.exe

C:\winnt\system32\services.exe

C:\winnt\system32\lsass.exe

C:\winnt\system32\svchost.exe

C:\winnt\system32\spoolsv.exe

C:\WINNT\System32\svchost.exe

C:\Archivos de programa\ewido\security suite\ewidoctrl.exe

C:\winnt\system32\regsvc.exe

C:\winnt\system32\MSTask.exe

C:\SiteClient\clisvc.exe

C:\Archivos de programa\ViRobot NT\vrmonsvc.exe

C:\winnt\System32\WBEM\WinMgmt.exe

C:\WINNT\system32\mspmspsv.exe

C:\winnt\system32\svchost.exe

C:\winnt\Explorer.EXE

C:\WINNT\system32\igfxtray.exe

C:\WINNT\system32\hkcmd.exe

C:\WINNT\system32\igfxpers.exe

C:\SiteClient\SiteCli.exe

C:\Archivos de programa\ViRobot NT\vrmonnt.exe

C:\Archivos de programa\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe

C:\winnt\batserv2.exe

C:\winnt\system32\internat.exe

C:\Archivos de programa\Samsung\Digimax Viewer 2.1\STImgBrowser.exe

C:\Archivos de programa\WinZip\WZQKPICK.EXE

C:\winnt\system32\sysc.exe

C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE

C:\Archivos de programa\MSN Messenger\msnmsgr.exe

C:\WINNT\msagent\AgentSvr.exe

C:\Archivos de programa\WinRAR\WinRAR.exe

C:\DOCUME~1\ADMINI~1\CONFIG~1\Temp\Rar$EX02.454\HijackThis.exe



R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer proporcionado por Prodigy Infinitum de Telmex

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O1 - Hosts: 64.92.170.148 http://www.bankone.com

O1 - Hosts: 64.92.170.148 bankone.com

O1 - Hosts: 64.92.170.148 halifax.com

O1 - Hosts: 64.92.170.148 http://www.halifax.com

O1 - Hosts: 64.92.170.148 halifax.co.uk

O1 - Hosts: 64.92.170.148 http://www.halifax.co.uk

O1 - Hosts: 64.92.170.148 http://www.bankofamerica.com

O1 - Hosts: 64.92.170.148 bankofamerica.com

O1 - Hosts: 64.92.170.148 http://www.paypal.com

O1 - Hosts: 64.92.170.148 paypal.com

O1 - Hosts: 64.92.170.148 http://www.lloydstsb.com

O1 - Hosts: 64.92.170.148 lloydstsb.com

O1 - Hosts: 64.92.170.148 http://www.lloydstsb.co.uk

O1 - Hosts: 64.92.170.148 lloydstsb.co.uk

O1 - Hosts: 64.92.170.148 http://www.bbvanet.com

O1 - Hosts: 64.92.170.148 bbvanet.com

O1 - Hosts: 64.92.170.148 http://www.bancopostaonline.poste.it

O1 - Hosts: 64.92.170.148 bancopostaonline.poste.it

O1 - Hosts: 64.92.170.148 http://www.poste.it

O1 - Hosts: 64.92.170.148 poste.it

O1 - Hosts: 64.92.170.148 http://www.credem.it

O1 - Hosts: 64.92.170.148 credem.it

O1 - Hosts: 64.92.170.148 http://www.creval.it

O1 - Hosts: 64.92.170.148 creval.it

O1 - Hosts: 64.92.170.148 http://www.gruppocarige.it

O1 - Hosts: 64.92.170.148 gruppocarige.it

O1 - Hosts: 64.92.170.148 http://www.rasbank.it

O1 - Hosts: 64.92.170.148 rasbank.it

O1 - Hosts: 64.92.170.148 http://www.bancagenerali.it

O1 - Hosts: 64.92.170.148 bancagenerali.it

O1 - Hosts: 64.92.170.148 http://www.garanti.com.tr

O1 - Hosts: 64.92.170.148 garanti.com.tr

O1 - Hosts: 64.92.170.148 http://www.kocbank.com.tr

O1 - Hosts: 64.92.170.148 kocbank.com.tr

O1 - Hosts: 64.92.170.148 http://www.disbank.com.tr

O1 - Hosts: 64.92.170.148 disbank.com.tr

O1 - Hosts: 64.92.170.148 http://www.cassarimini.it

O1 - Hosts: 64.92.170.148 cassarimini.it

O1 - Hosts: 64.92.170.148 http://www.unicredit.it

O1 - Hosts: 64.92.170.148 unicredit.it

O1 - Hosts: 64.92.170.148 http://www.chase.com

O1 - Hosts: 64.92.170.148 chase.com

O1 - Hosts: 64.92.170.148 http://www.southtrust.com

O1 - Hosts: 64.92.170.148 southtrust.com

O1 - Hosts: 64.92.170.148 http://www.wachovia.com

O1 - Hosts: 64.92.170.148 wachovia.com

O1 - Hosts: 64.92.170.148 http://www.wellsfargo.com

O1 - Hosts: 64.92.170.148 wellsfargo.com

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: C:\winnt\adsldpbf.dll - {EEE7178C-BBC3-4153-9DDE-CD0E9AB1B5B6} - C:\winnt\adsldpbf.dll (file missing)

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx

O3 - Toolbar: (no name) - {09C02180-3B46-4CD8-83FF-34DAF442BDEF} - (no file)

O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon

O4 - HKLM\..\Run: [Acceso directo a la página de propiedades de High Definition Audio] HDAShCut.exe

O4 - HKLM\..\Run: [igfxtray] C:\WINNT\system32\igfxtray.exe

O4 - HKLM\..\Run: [igfxhkcmd] C:\WINNT\system32\hkcmd.exe

O4 - HKLM\..\Run: [igfxpers] C:\WINNT\system32\igfxpers.exe

O4 - HKLM\..\Run: [SiteClient] C:\SiteClient\SiteCli.exe

O4 - HKLM\..\Run: [InitClient] C:\SiteClient\InitCli.exe

O4 - HKLM\..\Run: [Vrmon] C:\Archivos de programa\ViRobot NT\vrmonnt.exe Main

O4 - HKLM\..\Run: [MMTray] C:\Archivos de programa\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe

O4 - HKLM\..\Run: [System service] C:\winnt\system32\system.exe

O4 - HKLM\..\Run: [BatSrv] C:\winnt\batserv2.exe

O4 - HKCU\..\Run: [internat.exe] internat.exe

O4 - HKCU\..\Run: [PayTime] C:\winnt\system32\paytime.exe

O4 - HKCU\..\Run: [aupd] C:\WINNT\system32\sywsvcs.exe

O4 - HKCU\..\Run: [WindowsUpdateNT] C:\winnt\System\svwhost.exe

O4 - HKCU\..\Run: [AlexaToolbar] C:\winnt\alt.exe

O4 - Global Startup: Digimax Viewer 2.1.lnk = C:\Archivos de programa\Samsung\Digimax Viewer 2.1\STImgBrowser.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE

O4 - Global Startup: WinZip Quick Pick.lnk = C:\Archivos de programa\WinZip\WZQKPICK.EXE

O14 - IERESET.INF: START_PAGE_URL=http://www.prodigy.com.mx

O16 - DPF: ChatSpace Java Client 4.0.0.320 - http://63.99.211.87/ChatSpace/Java/cms40320.cab

O16 - DPF: {11111111-1111-1111-1111-222222222222} - ms-its:mhtml:file://d:\foo.mht!http://nucleus.name/exp/chm//x.chm::/open.exe

O16 - DPF: {471678BB-F992-4BE6-9761-7767883E8619} (DEXTUploadX.FileDownloadMonitor Class) - http://www.samsungcamera.co.kr/DEXTUploadX/DEXTUploadX.cab

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by112fd.bay112.hotmail.msn.com/resources/MsnPUpld.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1136662028296

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab

O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/mcfscan/2,1,0,4667/mcfscan.cab

O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/controls/msnchat45.cab

O20 - Winlogon Notify: browsela - C:\winnt\system32\browsela.dll (file missing)

O20 - Winlogon Notify: igfxcui - C:\winnt\SYSTEM32\igfxdev.dll

O20 - Winlogon Notify: Satinfo - C:\alvaro\EliNotif.dll (file missing)

O21 - SSODL: SysTray.Exbr - {6368D1FC-6F5C-4f1b-B164-E67214F678E9} - C:\WINNT\system32\ncnlkhcg.dll (file missing)

O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - VERITAS Software Corp. - C:\winnt\System32\dmadmin.exe

O23 - Service: OracleOra9iClientCache - Unknown owner - C:\orant\BIN\ONRSD.EXE

O23 - Service: SiteClient Service for VMS (SiteClientService) - Unknown owner - C:\SiteClient\clisvc.exe

O23 - Service: ViRobot Expert Monitoring (vrmonsvc) - HAURI - C:\Archivos de programa\ViRobot NT\vrmonsvc.exe

[msc hotline sat]

De entrada elimine estas claves:



O1 - Hosts: 64.92.170.148 http://www.bankone.com

O1 - Hosts: 64.92.170.148 bankone.com

O1 - Hosts: 64.92.170.148 halifax.com

O1 - Hosts: 64.92.170.148 http://www.halifax.com

O1 - Hosts: 64.92.170.148 halifax.co.uk

O1 - Hosts: 64.92.170.148 http://www.halifax.co.uk

O1 - Hosts: 64.92.170.148 http://www.bankofamerica.com

O1 - Hosts: 64.92.170.148 bankofamerica.com

O1 - Hosts: 64.92.170.148 http://www.paypal.com

O1 - Hosts: 64.92.170.148 paypal.com

O1 - Hosts: 64.92.170.148 http://www.lloydstsb.com

O1 - Hosts: 64.92.170.148 lloydstsb.com

O1 - Hosts: 64.92.170.148 http://www.lloydstsb.co.uk

O1 - Hosts: 64.92.170.148 lloydstsb.co.uk

O1 - Hosts: 64.92.170.148 http://www.bbvanet.com

O1 - Hosts: 64.92.170.148 bbvanet.com

O1 - Hosts: 64.92.170.148 http://www.bancopostaonline.poste.it

O1 - Hosts: 64.92.170.148 bancopostaonline.poste.it

O1 - Hosts: 64.92.170.148 http://www.poste.it

O1 - Hosts: 64.92.170.148 poste.it

O1 - Hosts: 64.92.170.148 http://www.credem.it

O1 - Hosts: 64.92.170.148 credem.it

O1 - Hosts: 64.92.170.148 http://www.creval.it

O1 - Hosts: 64.92.170.148 creval.it

O1 - Hosts: 64.92.170.148 http://www.gruppocarige.it

O1 - Hosts: 64.92.170.148 gruppocarige.it

O1 - Hosts: 64.92.170.148 http://www.rasbank.it

O1 - Hosts: 64.92.170.148 rasbank.it

O1 - Hosts: 64.92.170.148 http://www.bancagenerali.it

O1 - Hosts: 64.92.170.148 bancagenerali.it

O1 - Hosts: 64.92.170.148 http://www.garanti.com.tr

O1 - Hosts: 64.92.170.148 garanti.com.tr

O1 - Hosts: 64.92.170.148 http://www.kocbank.com.tr

O1 - Hosts: 64.92.170.148 kocbank.com.tr

O1 - Hosts: 64.92.170.148 http://www.disbank.com.tr

O1 - Hosts: 64.92.170.148 disbank.com.tr

O1 - Hosts: 64.92.170.148 http://www.cassarimini.it

O1 - Hosts: 64.92.170.148 cassarimini.it

O1 - Hosts: 64.92.170.148 http://www.unicredit.it

O1 - Hosts: 64.92.170.148 unicredit.it

O1 - Hosts: 64.92.170.148 http://www.chase.com

O1 - Hosts: 64.92.170.148 chase.com

O1 - Hosts: 64.92.170.148 http://www.southtrust.com

O1 - Hosts: 64.92.170.148 southtrust.com

O1 - Hosts: 64.92.170.148 http://www.wachovia.com

O1 - Hosts: 64.92.170.148 wachovia.com

O1 - Hosts: 64.92.170.148 http://www.wellsfargo.com

O1 - Hosts: 64.92.170.148 wellsfargo.com



O2 - BHO: C:\winnt\adsldpbf.dll - {EEE7178C-BBC3-4153-9DDE-CD0E9AB1B5B6} - C:\winnt\adsldpbf.dll (file missing)



O3 - Toolbar: (no name) - {09C02180-3B46-4CD8-83FF-34DAF442BDEF} - (no file)



O4 - HKLM\..\Run: [System service] C:\winnt\system32\system.exe



O16 - DPF: {11111111-1111-1111-1111-222222222222} - ms-its:mhtml:file://d:\foo.mht!http://nucleus.name/exp/chm//x.chm::/open.exe



O20 - Winlogon Notify: browsela - C:\winnt\system32\browsela.dll (file missing)



O20 - Winlogon Notify: Satinfo - C:\alvaro\EliNotif.dll (file missing)



O21 - SSODL: SysTray.Exbr - {6368D1FC-6F5C-4f1b-B164-E67214F678E9} - C:\WINNT\system32\ncnlkhcg.dll (file missing)



Luego lance el actual ELISTARA y envienos las muestras que le pida !!!





Tras ello, reinicie y noc cuenta el resultado, y si persisten los problemas, NIOS DICE LO QUE NOTA y nos postea nuevo log del HJT como respuesta de este Tema



saludos



ms, 10-1-2006

[ALVAROP7]

Y COMO LOS ELIMINO POR MEDIO DEL HJK O MANUALMENTE???

[msc hotline sat]

Como hemos dicho muchas veces, las claves se eliminan lanzando el HJT, marcando a la izquierda de las que se quieren eliminar y pulsando en FIX.







Por cierto, creo recordar que había pedido informacion sobre el HiJackThis, y aunque no deben eliminarse claves sin pleno conocimiento de causa, he encontrado este TUTORIAL informativo en castellano, que aclara conceptos:



http://www.arwinianos.net/biblioteca/articulo/3/2



Y sobre el SVCHOST.EXE que mencionaba tambien en el otro Tema, decirle que originalmente este fichero, sito en la carpeta de sistema de windows (en XP c:\windows\system32) es el lanzador de tareas de windows, y que puede estar repetido en varias ocasiones en el administrador de tareas de cualquier ordenador (normalmente 3 o 4), lo cual es normal si es lanzado desde dicho directorio, pero se trata de virus si es lanzado desde otro directorio o varia alguna de sus letras,. del original SVCHOST a SCVHOST , SVHOST, SVCHOSTS, VSCHOST, etc



Saludos



ms, 11-1-2006

[ALVAROP7]

OK SI MIRA EL PROBLEMA CON ESE ARCHIVO ES QUE APRECE UN PANTALLASO NEGRO DE MS-DOS CON LA LEYENDA DE SVCHOST.EXE Y LUEGO SOLITO SE QUITA

Y VUELVE A APRECER Y ASI SUCESIVAMENTE.... SERA VIRUS O UNA FALLA DEL SISTEMA??????

[msc hotline sat]

No, sencillamente es que la aplicacion que lanza es de DOS y se ve la ventana del proceso, sin mas importancia



saludos



ms, 12-1-2006

[ALVAROP7]

Y COMO PUEDO HACER PARA QUE YANO SE VEA???

[msc hotline sat]

Puede que el programa lo tenga contemplado lanzandolo con /s o /silent, en modo silencioso ??? pero esto lo has de preguntar a los creadores del programa o leer el manual si alli lo dice



saludos



ms, 13-1-2006

[ALVAROP7]

ok corri de nuevo el elistar y desaparecio el pantallaso negro ese de svchost.exe por fin puedo trabajar agusto...



les agradesco que se hallan tomado la molestia de contestarme... y gracias por el manual ya lo estoy estuduando a fondo......



podemos decir a esto caso cerrado.....

[msc hotline sat]

Pues lo celebramos, y solucionado el problema, procedemos a cerrar el Tema



saludos



ms, 16-1-2006