Sin acceso al explorador de Windows, svcroot.exe

Nuncius · Mensaje por **Nuncius** » 10 Mar 2007, 13:35

Hola a todos. Os explico mi problema. Empecé a usar el hijackthis, para quitar algo de spyware inofensivo que tenía mi máquina, entre los más relevantes que quité se encuentran el messenger incluido en xp por defecto, y el que yo creo que ha producido esta situación, el svchost.exe.

El problema vino tras la limpieza, y es que tras eliminar svchost.exe, mi XP empezó a cargar cinco veces al iniciarse, el proceso svcroot.exe, el cual, me impide que habra cualquier ventana gestionada por el explorador de windows. Por ejemplo, si abro "Mis documentos", o "Mi PC", el escritorio pierde la barra de tareas, desaparecen todos los iconos y sólo queda el fondo de pantalla como intentando cargar algo, que al final no se carga y que me deja sin poder acceder a la carpeta y otra vez en el escritorio.

Otro indicio de que se trata de svcroot.exe, es que si intento eliminar el proceso, me aparece un panel de información en el que sale una cuenta atrás de un minuto, tras la cual se reinicia mi ordenador. En modo a prueba de fallos todo funciona correctamente.

Dejo mi log de hijackthis para ver si le veis algo extraño. Muchas gracias por adelantado.

Logfile of HijackThis v1.99.1

Scan saved at 12:40:36, on 10/03/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16414)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\Rundll32.exe

C:\Archivos de programa\Eset\nod32kui.exe

C:\Archivos de programa\FileZilla Server\FileZilla Server Interface.exe

C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe

C:\WINDOWS\system32\CTsvcCDA.EXE

C:\Archivos de programa\FileZilla Server\FileZilla Server.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\Archivos de programa\Eset\nod32krn.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\Archivos de programa\Mozilla Firefox\firefox.exe

C:\Archivos de programa\MSN Messenger\msnmsgr.exe

C:\Archivos de programa\MSN Messenger\usnsvc.exe

C:\Archivos de programa\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

R3 - URLSearchHook: Barra Yahoo! con bloqueador de ventanas emergentes - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: CInterceptor Object - {38D3FE60-3D53-4F37-BB0E-C7A97A26A156} - C:\Archivos de programa\Pando Networks\Pando\PandoIEPlugin.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0\bin\ssv.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar2.dll

O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll

O3 - Toolbar: PDF de Adobe - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar2.dll

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [P17Helper] Rundll32 P17.dll,P17Helper

O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE

O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [FileZilla Server Interface] "C:\Archivos de programa\FileZilla Server\FileZilla Server Interface.exe"

O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized

O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [swg] C:\Archivos de programa\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe

O8 - Extra context menu item: Convertir a PDF de Adobe - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convertir a PDF existente - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convertir destino de vínculo a PDF existente - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convertir destino de vínculo en archivo PDF de Adobe - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convertir selección a archivo PDF existente - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convertir selección a PDF de Adobe - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convertir vínculos seleccionados a PDF de Adobe - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html

O8 - Extra context menu item: Convertir vínculos seleccionados a PDF existente - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0\bin\ssv.dll

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O11 - Options group: [INTERNATIONAL] International*

O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Archivos de programa\Yahoo!\Common\yinsthelper.dll

O17 - HKLM\System\CCS\Services\Tcpip\..\{0AAC7D1D-464E-4D9B-9BA5-6E8393AC2999}: NameServer = 80.58.61.250,80.58.61.254

O17 - HKLM\System\CS1\Services\Tcpip\..\{0AAC7D1D-464E-4D9B-9BA5-6E8393AC2999}: NameServer = 80.58.61.250,80.58.61.254

O17 - HKLM\System\CS2\Services\Tcpip\..\{0AAC7D1D-464E-4D9B-9BA5-6E8393AC2999}: NameServer = 80.58.61.250,80.58.61.254

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: Adobe LM Service - Adobe Systems - C:\Archivos de programa\Archivos comunes\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\guard.exe

O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE

O23 - Service: FileZilla Server FTP server (FileZilla Server) - FileZilla Project - C:\Archivos de programa\FileZilla Server\FileZilla Server.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: iPod Service - Apple Computer, Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

Mensaje por **lucl** » 11 Mar 2007, 18:39

Tengo entendido que es un troyano de los de pulsaccion (leen el teclado ), pero con un antivirus actualizado tendria que ser suficiente para quitarlo o al menos para localizar los archivos, pasate este que aconsejamos aqui y nos dices si te localizo algo

https://www.virustotal.com/es/

ejecuta elistara arrancando en modo seguro y luego peganos el log que te dejara en C llamado infosat.txt, saludos.

http://www.zonavirus.com/articulos/como-arrancar-en-modo-seguro-o-a-prueba-de-fallos.asp

http://www.zonavirus.com/descargas/elistara.asp

Mensaje por **msc hotline sat** » 11 Mar 2007, 20:53

Efectivamente lucl, pero no veo por ninguna parte del log del HJT la presencia ni carga de dicho fichero ???

La descripcion del mismo es la siguiente:

http://www.pandasoftware.com/spain/virus_info/enciclopedia/verficha.aspx?NRCACHEHINT=Guest&lst=det&idvirus=75203

Pero me parece que no nos lo cuenta todo... Es que ha eliminado las claves del mismo con el HJT ???

En cualquier caso, mire si tiene dicho fichero en la carpeta de sistema y si es asi, envienoslo para analizar y controlar con nuestras utilidades

Me refiero al svcroot.exe

y no será que eliminó una clave como esta ???:

F2 - REG:system.ini: Shell=Explorer.exe svcroot.exe

porque ello conllevaría la pérdida del explorador de windows, solo debe restaurarse la clave, no eliminarla ! , esto es, dejarla sin el svcroot , o se :

F2 - REG:system.ini: Shell=Explorer.exe

para ello usamos nuestras utilidades...

y por cierto, el SVCHOST originalmente es el lanzador de tareas de windows, y deben haber unos cuantos en el adminsitrados de tareas..., si bien este nombre y similares , tambien es usado por malwares:

[quote]
El SVCHOST.EXE es, originalmente, el lanzador de tareas del windows, pero debe estar en la carpeta de sistema, C:\windows\system32 si es XP

Como que son varias las aplicaciones que se lanzan en el inicio a través de este lanzador, aparecerá en el Administrador de tareas varias veces, pasando desapercibido si hay uno mas o uno menos.

Por ello es aprovechado por los coders para usar este nombre ocultando su gusano, si bien no puede estar en la misma carpeta que el original con el mismo nombre, y lo ponen en una cerca, o la previa de C:\windows o en una posterior como por ejemplo c:\windows\system32 \drivers, por ejemplo...

En otros casos utilizan la misma carpeta, pero cambiando ligeramente el nombre, por ejemplo utilizando SCVHOST en lugar de SVCHOST, para pasar desapercibido y otros nombres o combinaciones alfanumericas que se preste a confusion, como SVCH0ST que no es el SVCHOST ya que la O es un cero. etc.

Pero aun siendo normal puede que la aplicacion lanzada sea malware, por lo que siempre se ha de disponer de un buen antivirus y de los parches de microsoft instalados y actualizados, lo cual puede ser motivo de incidencias en caso contrario

Y con lo indicado se da por aclarado el uso del nombre SVCHOST por los malwares.

[/quote]

saludos

ms, 11-03-2007