Proceso Desconocido

  • Autor makinel
  • Fecha de inicio
Estado
Cerrado para nuevas respuestas
M

makinel

Guest
#1
Hola a todos.

Hace unos días he instalado el WinXP profesional en mi equipo, y desde entonces insisténtemente se ha metido una cantidad de virus en él. A partir de entonces comenzé a poner toda la seguridad que se me ocurrió y a tratar de borrar todos los virus que encontraba. Por último, hay un proceso llamado "scvhost32d.exe" que se inicia al startup y cuando me conecto a internet trata de conectarse. Tengo instalado Norton Antivirus Corporation 8.1 actualizado, y no detecta nada, ni tampoco el spybot ni el adaware. Y por último, en google he buscado y solo se encuentra una página en francés o algo así. Quisiera que alguien me dijera de que se trata ese archivos, y si es algún virus, cómo lo elimino ya que ninguna herramienta lo ha detectado.

Soy nuevo en esto de los foros, y buscando entre todos, me pareció que este dan buenos concejos (además que a mi me han servido mucho), así que espero que me puedan colaborar con eso y en decirme si existe algúna otra cosa rara en mi equipo.

Bajé el Hijacks y no se si estè bien, pero aquí les envío el reporte del startuplist...

StartupList report, 03/11/2004, 07:52:48 p.m.

StartupList version: 1.52

Started from : C:\Documents and Settings\Administrador\Mis documentos\HijackThis.EXE

Detected: Windows XP SP2 (WinNT 5.01.2600)

Detected: Internet Explorer v6.00 SP2 (6.00.2900.2180)

* Using default options

==================================================

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\ARCHIV~1\SYMANT~1\SYMANT~1\DefWatch.exe

C:\ARCHIV~1\SYMANT~1\SYMANT~1\Rtvscan.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\WINDOWS\system32\wscntfy.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\pctspk.exe

C:\WINDOWS\system32\PV92Tray.exe

C:\ARCHIV~1\SYMANT~1\SYMANT~1\vptray.exe

C:\Archivos de programa\Ahead\InCD\InCD.exe

C:\Archivos de programa\Zone Labs\ZoneAlarm\zlclient.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe

C:\WINDOWS\system32\scvhost32d.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Documents and Settings\Administrador\Mis documentos\HijackThis.exe

--------------------------------------------------

Checking Windows NT UserInit:

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]

UserInit = C:\WINDOWS\system32\userinit.exe,

--------------------------------------------------

Autorun entries from Registry:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run

PCTVOICE = pctspk.exe

PV92TRAY = PV92Tray.exe

vptray = C:\ARCHIV~1\SYMANT~1\SYMANT~1\vptray.exe

NeroCheck = C:\WINDOWS\system32\NeroCheck.exe

InCD = C:\Archivos de programa\Ahead\InCD\InCD.exe

Cmaudio = RunDll32 cmicnfg.cpl,CMICtrlWnd

Generic Host Process32 System Backup = scvhost32d.exe

Zone Labs Client = "C:\Archivos de programa\Zone Labs\ZoneAlarm\zlclient.exe"

--------------------------------------------------

Autorun entries from Registry:

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices

Generic Host Process32 System Backup = scvhost32d.exe

Local Service = runddl32.exe

--------------------------------------------------

Autorun entries from Registry:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run

ctfmon.exe = C:\WINDOWS\system32\ctfmon.exe

SpybotSD TeaTimer = C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe

Generic Host Process32 System Backup = scvhost32d.exe

--------------------------------------------------

Shell & screensaver key from C:\WINDOWS\SYSTEM.INI:

Shell=*INI section not found*

SCRNSAVE.EXE=*INI section not found*

drivers=*INI section not found*

Shell & screensaver key from Registry:

Shell=Explorer.exe

SCRNSAVE.EXE=C:\WINDOWS\System32\logon.scr

drivers=*Registry value not found*

Policies Shell key:

HKCU\..\Policies: Shell=*Registry key not found*

HKLM\..\Policies: Shell=*Registry value not found*

--------------------------------------------------

Enumerating Browser Helper Objects:

(no name) - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll - {53707962-6F74-2D53-2644-206D7942484F}

--------------------------------------------------

Enumerating ShellServiceObjectDelayLoad items:

PostBootReminder: C:\WINDOWS\system32\SHELL32.dll

CDBurn: C:\WINDOWS\system32\SHELL32.dll

WebCheck: C:\WINDOWS\System32\webcheck.dll

SysTray: C:\WINDOWS\System32\stobject.dll

--------------------------------------------------

End of report, 4.174 bytes

Report generated in 0,078 seconds
 

alnitak

Ex-Admin
Miembro
#2
Es sin dudas un gusano.

Si dispones de un punto de restauración anterior a los problemas puedes intentar usarlo, si no dispones de un punto de restauración sigue las siguientes instrucciones:

Asegúrate que tu sistema operativo muestre los archivos y carpetas ocultos:

Mostrar archivos ocultos

Desactiva la opción de restaurar el sistema:

Como activar/desactivar restaurar el sistema

Reinicia el sistema en modo seguro:

Como reiniciar a prueba de fallos

Abre el Administrador de tareas: <Ctrl>+<Alt>+<Supr>

De existir termina cada uno estos procesos:

C:\WINDOWS\system32\scvhost32d.exe

Abre el editor de registro:

Inicio>>ejecutar>>escribes regedit y aceptas

Respáldalo salvándolo como archivo:

Selecciona Mi Pc>pica el menú archivo>exportar>asegurate que esté marcada la casilla todos y salvalo.

Ahora navega el registro hasta encontrar y seleccionar la rama:

HKY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\

En el panel derecho elimina estas entradas:

Generic Host Process32 System Backup = scvhost32d.exe

Navega el registro hasta encontrar y seleccionar la rama:

HKY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ RunServices\

En el panel derecho elimina estas entradas:

Generic Host Process32 System Backup = scvhost32d.exe

Cada usuario dispone de un área en el registro de la forma HKEY_CURRENT_USER\. Para cada usuario(ósea sigue todas las instrucciones hasta el final con el usuario que estás usando y después vuelves a entrar al sistema en modo seguro desde cada cuenta de usuario que exista en tu sistema) sigue las siguientes instrucciones para editar el registro.:

Navega el registro hasta encontrar y seleccionar la rama:

HKY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\ Run\

En el panel derecho elimina estas entradas:

Generic Host Process32 System Backup = scvhost32d.exe

Cierra el editor de registro y elimina el archivo:

C:\WINDOWS\system32\scvhost32d.exe

Tema movido al foro de Seguridad por razones obvias
 
Estado
Cerrado para nuevas respuestas
Arriba Pie