Malditos svxhost.exe y slvchost.exe

Estado
Cerrado para nuevas respuestas

cirrabo

Nuevo Miembro
Miembro
#1
Hola a todos:

Llevo varios días peleando con los archivos svxhost.exe y slvchost.exe. El primero de ellos parece corresponder al gusano W32/Forbot-K, pero no hay antivirus que lo pula, y del segundo de los archivos no encuentro nada por Google. Al no ser experto, no me atrevo demasiado a entrar en el registro a eliminar líneas, ya que una vez lo hice y tuve que reinstalar el Sistema operativo (uso XP con el Service Pack 2 instalado)

Lo que vienen a hacer estos dos archivitos (o algúno de ellos) es paralizar la conexión a internet, correo, etc, etc. Cuando uno elimina del administrador de tareas de Windows esos dos procesos, puedes de nuevo navegar, pero al reiniciar siempre vuelven ahí.

Pido ayuda sobre cómo eliminarlo, y para ellos posteo el resultado de Hijack This, que es este:

Logfile of HijackThis v1.98.2

Scan saved at 9:38:08, on 02/10/2004

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

E:\WINDOWS\System32\smss.exe

E:\WINDOWS\system32\winlogon.exe

E:\WINDOWS\system32\services.exe

E:\WINDOWS\system32\lsass.exe

E:\WINDOWS\system32\svchost.exe

E:\WINDOWS\System32\svchost.exe

E:\WINDOWS\Explorer.EXE

E:\WINDOWS\system32\spoolsv.exe

E:\Archivos de programa\Sophos SWEEP for NT\SWNETSUP.EXE

E:\Archivos de programa\Sophos SWEEP for NT\SWEEPSRV.SYS

E:\WINDOWS\system32\wscntfy.exe

E:\WINDOWS\System32\rmctrl.exe

E:\WINDOWS\SOUNDMAN.EXE

E:\WINDOWS\system32\ctfmon.exe

E:\Archivos de programa\Messenger\msmsgs.exe

E:\Archivos de programa\Sophos SWEEP for NT\ICMON.EXE

C:\Archivos de programa\Internet Explorer\Iexplore.exe

D:\antivirus\hijack this\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - (no file)

O4 - HKLM\..\Run: [NeroCheck] E:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [RemoteControl] E:\WINDOWS\System32\rmctrl.exe

O4 - HKLM\..\Run: [WinampAgent] "E:\Archivos de programa\Winamp\Winampa.exe"

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [slvchost1] slvchost32.exe

O4 - HKLM\..\Run: [slvchost] slvchost32.exe

O4 - HKLM\..\Run: [SVX Control Service] svxhost.exe

O4 - HKLM\..\RunServices: [slvchost1] slvchost32.exe

O4 - HKLM\..\RunServices: [slvchost] slvchost32.exe

O4 - HKLM\..\RunServices: [SVX Control Service] svxhost.exe

O4 - HKCU\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "E:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [SVX Control Service] svxhost.exe

O4 - Global Startup: Microsoft Office.lnk = E:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O4 - Global Startup: InterCheck Monitor.LNK = E:\Archivos de programa\Sophos SWEEP for NT\ICMON.EXE

O8 - Extra context menu item: Download All by FlashGet - E:\DOCUME~1\Cirrabo\ESCRIT~1\jc_all.htm

O8 - Extra context menu item: Download using FlashGet - E:\DOCUME~1\Cirrabo\ESCRIT~1\jc_link.htm

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://E:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {0D6709DD-4ED8-40CA-B459-2757AEEF7BEE} (Dldrv2 Control) - http://210.80.76.119/object/Dldrv.ocx

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5co...b?1096148131935

O17 - HKLM\System\CCS\Services\Tcpip\..\{15712628-3B05-441D-9244-CB79062869DF}: NameServer = 80.58.34.33 80.58.4.97

O17 - HKLM\System\CS1\Services\Tcpip\..\{15712628-3B05-441D-9244-CB79062869DF}: NameServer = 80.58.34.33 80.58.4.97

Por favor que alguien me ayude.
 

Pervers79

Nuevo Miembro
Miembro
#2
svxhost.exe - WIN32/FORBOT.H; se trata de un troyano con aspecto de gusano.

Se instala en C:\WINDOWS\SYSTEM con el nombre svxhost.exe. Para eliminarlo desactiva la opción restaurar sistema, reinicia en modo seguro (a prueba de fallos). Abre el administrador de tareas y finaliza el progreso svxhost.exe si aparece.

Utiliza el editor de registro (regedit) y busca las siguientes entradas:

- HKLM\Software\Microsoft\Windows\CurrentVersion\Run SVX Control Service = svxhost.exe

- HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce\SVX Control Service

- HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices SVX Control Service = svxhost.exe

- HKCU\Software\Microsoft\Windows\CurrentVersion\Run SVX Control Service = svxhost.exe

- HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce SVX Control Service = svxhost.exe

Eliminalas y cierra el editor ahora busca el archivo "svxhost.exe" borralo y vacia la papelera. Ya puedes volver a iniciar Windows normalmente.

En cuanto al svlchost tampoco se que es, al igual que el wscntfy.exe. Bueno de todas formas espera a la opinión de los verdaderos expertos.

B)
 

alnitak

Ex-Admin
Miembro
#3
NOTA IMPORTANTE: Por favor, no posteen sus logs juntos a los de otra persona porque se prestará a generar confusión, abran un nuevo tema para plantear su problema y posteen su log ahí.
Hola, están bien las instrucciones de Pervers79 pero las voy a ampliar un poquito porque los gusanos son 2 y antes de eliminarlos es mejos desactivar el restore y hacerlo entrando al sistema en modo seguro.

El wscntfy.exe lo trae el SP2 así que ni tocar.

Asegúrate que tu sistema operativo muestre los archivos y carpetas ocultos:

Mostrar archivos ocultos

Desactiva la opción de restaurar el sistema:

Como activar/desactivar restaurar el sistema

Reinicia el sistema en modo seguro:

Como reiniciar a prueba de fallos

Entra al administrador de tareas: <Ctrl>+<Alt>+<Supr> y termina cualquiera de los siguientes procesos si existen:

svxhost.exe

slvchost32.exe

Ejecuta el HijackThis.

Cierra todos los navegadores, tanto los navegadores Web como el Explorer de Windows (es indispensable que los cierres o no resultará)

Corre el HijackThis, dale a Scan , revisa las casillas de las siguientes entradas y dale a fix:

O4 - HKLM\..\Run: [slvchost1] slvchost32.exe

O4 - HKLM\..\Run: [slvchost] slvchost32.exe

O4 - HKLM\..\Run: [SVX Control Service] svxhost.exe

O4 - HKLM\..\RunServices: [slvchost1] slvchost32.exe

O4 - HKLM\..\RunServices: [slvchost] slvchost32.exe

O4 - HKLM\..\RunServices: [SVX Control Service] svxhost.exe

O4 - HKCU\..\Run: [SVX Control Service] svxhost.exe



Cierra el HijackThis,

Elimina estos archivos si existen:

svxhost.exe

slvchost32.exe

Reinicia normalmente y reactiva la opción de restaurar el sistema.

Actualiza tu sistema a través del Windows Update

Postea otro log después de seguir todas las instrucciones

NOTA IMPORTANTE: Por favor, no posteen sus logs juntos a los de otra persona porque se prestará a generar confusión, abran un nuevo tema para plantear su problema y posteen su log ahí.
 

cirrabo

Nuevo Miembro
Miembro
#4
Después de seguir todas las instrucciones, creo que el tema está arreglado, ya que no me han salido ninguno de los dos ejecutables en el administrador de tareas.

Posteo el log para que me lo confirméis. Muchas gracias por todo.

Logfile of HijackThis v1.98.2

Scan saved at 18:05:15, on 03/10/2004

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

E:\WINDOWS\System32\smss.exe

E:\WINDOWS\system32\winlogon.exe

E:\WINDOWS\system32\services.exe

E:\WINDOWS\system32\lsass.exe

E:\WINDOWS\system32\svchost.exe

E:\WINDOWS\System32\svchost.exe

E:\WINDOWS\Explorer.EXE

E:\WINDOWS\system32\spoolsv.exe

E:\Archivos de programa\Archivos comunes\Panda Software\PavShld\pavprsrv.exe

E:\Archivos de programa\Panda Software\Panda Titanium Antivirus 2004\Pavsrv51.exe

E:\Archivos de programa\Panda Software\Panda Titanium Antivirus 2004\PsImSvc.exe

E:\Archivos de programa\Panda Software\Panda Titanium Antivirus 2004\AVENGINE.EXE

E:\WINDOWS\System32\rmctrl.exe

E:\WINDOWS\SOUNDMAN.EXE

E:\Archivos de programa\Panda Software\Panda Titanium Antivirus 2004\APVXDWIN.EXE

E:\WINDOWS\system32\ctfmon.exe

E:\Archivos de programa\Messenger\msmsgs.exe

E:\Archivos de programa\Panda Software\Panda Titanium Antivirus 2004\WebProxy.exe

E:\WINDOWS\system32\wuauclt.exe

D:\antivirus\hijack this\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: DAPHelper Class - {0000CC75-ACF3-4cac-A0A9-DD3868E06852} - E:\Archivos de programa\DAP\DAPBHO.dll

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - E:\DOCUME~1\CIRRABO\ESCRIT~1\fgiebar.dll (file missing)

O3 - Toolbar: DAP Bar - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - E:\Archivos de programa\DAP\DAPIEBar.dll

O4 - HKLM\..\Run: [NeroCheck] E:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [RemoteControl] E:\WINDOWS\System32\rmctrl.exe

O4 - HKLM\..\Run: [WinampAgent] "E:\Archivos de programa\Winamp\Winampa.exe"

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [APVXDWIN] "E:\Archivos de programa\Panda Software\Panda Titanium Antivirus 2004\APVXDWIN.EXE" /s

O4 - HKCU\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "E:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - Global Startup: Microsoft Office.lnk = E:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: &Download with &DAP - E:\ARCHIV~1\DAP\dapextie.htm

O8 - Extra context menu item: Download &all with DAP - E:\ARCHIV~1\DAP\dapextie2.htm

O8 - Extra context menu item: Download All by FlashGet - E:\Documents and Settings\Cirrabo\Escritorio\jc_all.htm

O8 - Extra context menu item: Download using FlashGet - E:\Documents and Settings\Cirrabo\Escritorio\jc_link.htm

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://E:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: Run DAP - {669695BC-A811-4A9D-8CDF-BA8C795F261C} - E:\ARCHIV~1\DAP\DAP.EXE

O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - E:\DOCUME~1\CIRRABO\ESCRIT~1\flashget.exe (file missing)

O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - E:\DOCUME~1\CIRRABO\ESCRIT~1\flashget.exe (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {0D6709DD-4ED8-40CA-B459-2757AEEF7BEE} (Dldrv2 Control) - http://210.80.76.119/object/Dldrv.ocx

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5co...b?1096148131935
 

alnitak

Ex-Admin
Miembro
#5
El log está limpio.

Las entradas del FlashGet no tienen archivo asociado, imagino que lo habrás desinstalado así que limpia estas entradas y si no lo has desinstalado entonces hazlo y después reinstalalo:

O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - E:\DOCUME~1\CIRRABO\ESCRIT~1\fgiebar.dll (file missing)

O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - E:\DOCUME~1\CIRRABO\ESCRIT~1\flashget.exe (file missing)

O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - E:\DOCUME~1\CIRRABO\ESCRIT~1\flashget.exe (file missing)
 

cirrabo

Nuevo Miembro
Miembro
#6
Muchísmas gracias, después de varios días peleando contra esto, me has dado la solución. Si llego a conocer antes este foro, me habría quitado varios quebraderos de cabeza.

Un saludo y, lo dicho, muchas gracias.
 
V

Volkimic

Guest
#7
Wenas

Soy nuevo por aquí. Lo primero es decir que este sitio está mu bien, aunque no lo he podido mirar mu a fondo.

Pese a todo he visto este post (desde el google) y, aun pudiendome colar, he visto que sigues teniendo virus (gusano back-sypofox-a en el archivo lsass.exe).

Visita este sitio que te dicen lo que es y como limpiarlo (vsantivirus).

Yo también lo padecí y me costó limpiarlos (entraron siete juntitos y los dos que se mencionan y este son tres de ellos)

Saludos y perdón si este post es ya innecesario
 

alnitak

Ex-Admin
Miembro
#8
Volkimic estás equivocado, el no estás infectado por ese troyano.

El archivo: E:\WINDOWS\system32\lsass.exe que ves en su sistema no es ningún malware, es mas bien un archivo vital de Windows, fijate bien en el directorio.

El troyano del cual hablas crea un archivo lsass.exe pero en otros directorios
 
Estado
Cerrado para nuevas respuestas
Arriba Pie