De mal en peor troyano en scvhost.exe

Tema en 'Informática - Tecnología' iniciado por Salao, 2 Jul 2007.

  1. Salao

    Salao Forista

    Registrado:
    9 Nov 2005
    Mensajes:
    2.183
    Me Gusta:
    88
    Ubicación:
    MADRID
    Siguiendo vuestros consejos instale el Nod32 y el caso es que detecto un troyano en el fichero scvhost.exe y al desinfectarlo el fichero no funciona y con ello tampoco funciona la red.

    Algún consejo para instalar de nuevo el fichero.

    Gracias
     
  2. McClane

    McClane Moderador Informática Moderador Miembro del Club

    Registrado:
    20 Jul 2006
    Mensajes:
    42.192
    Me Gusta:
    20.946
    Ubicación:
    Getafe Madrid
    Modelo:
    2 E30, 1 E39
    Creo que en el cd de Windows Xp, dentro de la carpeta I386, viene un archivo llamado "scvhost.ex_". Ábrelo con el WinRAR y copia lo que hay dentro donde deba estar.

    Si no está ahí, busca en todo el cd.
     
  3. Salao

    Salao Forista

    Registrado:
    9 Nov 2005
    Mensajes:
    2.183
    Me Gusta:
    88
    Ubicación:
    MADRID
    Voy a verlo ahora mismo
     
  4. Salao

    Salao Forista

    Registrado:
    9 Nov 2005
    Mensajes:
    2.183
    Me Gusta:
    88
    Ubicación:
    MADRID
    Vale ya lo tengo, pero ahora no me deja ni copiarlo, ni borrarlo.
    Voy a ver si lo puedo borrar desde el DOS.


    Gracias chaval
     
  5. McClane

    McClane Moderador Informática Moderador Miembro del Club

    Registrado:
    20 Jul 2006
    Mensajes:
    42.192
    Me Gusta:
    20.946
    Ubicación:
    Getafe Madrid
    Modelo:
    2 E30, 1 E39
    Efectivamente. Como es un proceso crítico no te dejará modificarlo, ya que está cargado. ;-)
     
  6. SPTR

    SPTR Forista Legendario Moderador Miembro del Club

    Registrado:
    18 Ago 2005
    Mensajes:
    9.218
    Me Gusta:
    854
    Ubicación:
    X
    Si es NTFS desde DOS mal.

    Con emuladores NTFS desde DOS lo único que puedes hacer es nada, que desmonte mal la partición NTFS y no haga nada (ya me pasó).

    Usa BARTPE, o la consola misma de recuperación con un simple:

    U: (donde U es unidad de CDROM donde está el CD de XP).
    CD I386
    EXPAND -r svchost.ex_ C:\WINDOWS\SYSTEM32
    EXPAND -r svchost.ex_ C:\WINDOWS\DLLCACHE (importante, sino puede que Windows recupere una versión antigua del fichero como protección de ficheros).
    EXIT (y a rezar...)

    Cuando arranque, entra en windowsupdate.com y actualiza lo que pida, tal vez sea necesario por meter una versión de archivo del CD.

    Usa un CD original con el mismo nivel de Service Pack instalado en la máquina, sino puedes tener problemas.
     
  7. Salao

    Salao Forista

    Registrado:
    9 Nov 2005
    Mensajes:
    2.183
    Me Gusta:
    88
    Ubicación:
    MADRID
    Desde la consola de XP borre el scvhost antiguo y copie en el directorio system32 el nuevo descomprimido.
    Al encender, ya debia estar infectados un mopnton de ficheros y se queda bloqueado al cargar el nod32.
    Voy a modo prueba de errores y desinstalo el nod32 e intento instalar el panda. Cuuando esta haciendo el check de la memoria se queda bloqueado (prueba de que el virus sigue en la memoria).
    Voy a modo normal e intento acceder a regedit para eliminar los restos de la instalación de panda. me dice que no puedo acceder a regedit porque no soy el administrador le cambio el modo y como adminoistrador me dice que no encuentra el fichero.
    Intento instalar el pack2 de XP y al finalizar la carga de los temporales da un urror de codificación numerica.
    En fin no sigo con el rollo, pero la idea es con otro HD y el Panda scanear el HD infectado.

    Creooooo. Alguna sugerencia.
     
  8. SPTR

    SPTR Forista Legendario Moderador Miembro del Club

    Registrado:
    18 Ago 2005
    Mensajes:
    9.218
    Me Gusta:
    854
    Ubicación:
    X
    ¿¿En modo seguro tampoco deja hacer nada??

    Ten cuidado que a veces, en modo seguro no se pueden desinstalar ciertos software, sobretodo los que dependen de msi installer, porque ese servicio no se inicia, y otros tantos tampoco.

    Desde la consola se puede configurar que servicios se inician, pero vamos, llegados a este punto, pincha el disco en otro lado o si tuvieras un liveCD con algún antivirus se lo pasas.

    Al final yo creo que vas a tener que formatear. SP2 no es recomendable instalarlo después de tener mogollón de programas instalados porque vas a tener problemas.

    Y el SVCHOST de ande lo has descomprimido, porque si tenías instalado un SP2 y lo has hecho con un CD con SP1, mal plan. Puede que eso venga de por ahí.

    SVCHOST se encarga de muchos servicios críticos de Windows y si has puesto una versión de fichero que no procede te puede estar pasando eso y más...
     
  9. Salao

    Salao Forista

    Registrado:
    9 Nov 2005
    Mensajes:
    2.183
    Me Gusta:
    88
    Ubicación:
    MADRID
    Gracias SPTR voy a intentar expandir como dices el fichero y efectivamente el fichero que copie era de XP SP1 y no de SP2 que es el que tenia instalado.

    En cuanto llege a caso pruebo a ver.
     
  10. SPTR

    SPTR Forista Legendario Moderador Miembro del Club

    Registrado:
    18 Ago 2005
    Mensajes:
    9.218
    Me Gusta:
    854
    Ubicación:
    X
    Si no tienes CD con XP SP2 integrado, busca el ejecutable del SP2 y extrae el contenido con botón derecho "Abrir con WinRAR" (si es que está instalado, busca un PC que lo tenga para no andar con bizarrerías por comandos). Luego si quieres expande el SCVHOST.EX_ que hayas extraído y copialo con consola a donde debe ir.
     

Compartir esta página