services.exe virus o falso positivo?

Iniciado por tremolero, 11 Septiembre 2012, 17:19 PM

0 Miembros y 2 Visitantes están viendo este tema.

tremolero

Bueno, os comento....

He usado el buscador y lo unico que he encontrado es gente que al pegar el log de hijackthis aparecia services.exe, pero mi duda es la siguiente....

Segun tengo entendido, services.exe pertenece a windows, por lo que si lo borro, no inicia y me toca restaurar, lo raro es que me lo ha detectado varios programas, ahora mismo solo recuerdo panda cloud antivirus, lo gracioso es lo siguiente pone: tipo=troyano detectado, nombre= nombre desconocido, ubicacion= c:\windows\system32\services.exe

He leido por internet que se puede tratar de un falso positivo, pero como lo han detectado varios, no se que pensar, en realidad no he notado nada raro en el pc.

Ahora mismo lo unico que se me ocurre es conseguir otro services.exe, escanearlo para ver si no dice nada y si no lo dice, borrar el que hay en system32 y poner el nuevo.

Que opinais?

Saludos....

Pd: una ultima duda, el archivo hosts, normalmente esta vacio, y ahi se suele añadir la ip y el dominio para acceder mas rapido, sin embargo spybot, añade una lista super larga que lo redirecciona todo a 127.0.0.1, vamos se que la funcion de eso, es que si yo meto esa url, me redirige a mi pc, pero deberia borrarlo o dejarlo asi?

skapunky

Podría tratarse de un falso positivo, pero generalmente cuando ocurren estas cosas con archivos de sistema lo reparan relativamente rápido o dan algún tipo de aviso. Yo estoy convencido qaue es un rootkit.

Podrías pasarle el GMER. http://www.gmer.net/

Ya nos contarás, no es difícil de utilizar.
Killtrojan Syslog v1.44: ENTRAR

tremolero

Pues por desgracia o suerte para mi, skapunky, no me ha detectado nada :S

Nose si lo habre hecho mal, te comento:

- descargo
- ejecuto
- pestaña rootkit/malware
- services, registry, files, C:, D:, ADS marcados
- Scan

me he esperado y cuando ha terminado, ha dicho que no habia nada.

No se hasta que punto puede ser peligroso, ni tampoco que hacer :S algun otro programa o idea?

Saludos...

burbu_1

manda tu services.exe a virus total, 

el de mi xp
CitarSHA256:    372c99aacd2c8a55c6f73c5b621fe48071d847c9d1a5d6300dcaeb73c0a4ff2e
Nombre:    services.exe
Detecciones:    0 / 42

y en mi vista
CitarSHA256:    8748091bf27f05d28d45688e04dd9229a4b2e159209a64f457703f66a8cece4d
Nombre:    services.exe
Detecciones:    0 / 40

no tengo w7 a mano... pero casi seguro que tampoco da detecciones

tremolero

Yo enserio estoy pillando malos rollos ya y no se que pensar.

La verdad ahora resulta q tengo un problema con virus total, y es el siguiente.

me meto en su pagina le doy a seleccionar y cuando voy a buscarlo, no aparece ¬¬ pero si voy yo en mi pc si que lo tengo, desde el buscador de virustotal no me los encuentra ni services.exe ni mctadmin.exe

Puto cerebro que me juega malas pasadas, ahora como siempre, es notar algo raro y veo cosas raras en todos los lados :S

Haber si podeis ayudarme de alguna forma...

Saludos...

MCKSys Argentina

Copia el archivo en otra carpeta y verifica que no este oculto.
MCKSys Argentina

"Si piensas que algo está bien sólo porque todo el mundo lo cree, no estás pensando."


tremolero

Por desgracia para mi, va a ser cierto, ya me lo imagine cuando no me dejaba hacerle el escaneo con virustotal, asi que como me dijistes, inicie con linux y le hice el escaneo y pum! se convirtio en chocapic.

Realmente no he notado nada raro en el pc.. pero lo quiero quitar.

La verdad la unica forma que se me ocurre es buscar un services.exe limpio y sustituirlo, de momento estoy buscando y no encuentro.

Aunque otra duda, puede ver si ese proceso tiene alguna relacion con algo de internet? y ver a donde va a parar?

Saludos...

tremolero

Bueno gente.... la verdad ya no se que hacer, ahora nose, si estoy infectado con millones de virus o estoy limpio total y solo son imaginaciones mias.

Haber os comento he sacado el services.exe de otro pc que estaba limpio y sustituido, ahora todo perfecto, lo unico que me he encontrado en mi pc es esto, y creo que este si que es un falso positivo.
https://www.virustotal.com/file/0f73a7f64c4fdab98cd3a865cc54b3a7195761530fcb115b725cc5a9fb738739/analysis/1267530488/
Os comento, he sacado mctadmin.exe del pc limpio y tambien marca lo mismo, me lo he bajado de varios sitios y marca lo mismo, asi que no se.

Tambien comentar que le he pasado al pc todo lo que se me ha ocurrido, segui un tutorial de este foro que explica en 8 pasos casi todo.
Haber si recuerdo todos los nombres de los programas y os hago una lista:

- spywareblaster
- malwarebytes anti-malware
- spybot
- superantispyware
- tdsskiller
- Gmer
- panda cloud(creo que es online)
- nod32 (online e instalado los dos le he pasado)
- kaspersky (online)
- ad-aware
- Ccleaner

Creo que no se me olvida ninguno xD, creo que he pasado bastantes programas, creo que me falta por pasarle el avg y el avast, pero no se si pasarselo o ya es bastante, tambien decir que tengo instalado comodo firewall y no se si cambiarlo por agnitum outpost, tambien inicie en modo a prueba de fallos y pase todos o la mayoria, la verdad, estoy por hacer un ultimo escaneo con todo en modo a prueba de fallos y sino me detecta nada quedarme tranquilo, pero os comento:

he notado cosas como algun bloqueo del pc, muy pocos pero alguno, bloqueadas de firefox, incluso cuando enciendo el pc, alguna cosa rara despues de iniciar como si le costara.

La verdad como ya he dicho no se si es cosa mia o de verdad hay algo raro, no quiero formatear, aunque seguramente dentro de algun tiempo recurrire a hacerlo.

Siempre he pensado que no era necesario realmente el antivirus, que controlando mas o menos lo que ejecutas, descargas, etc... suele estar controlada la cosa pero buff... luego haces un escaneo y te encuentras con alguna cosa que se te ha colado y no sabes como.

Mi duda es: teniendo instalado antivirus(nod32 por ejemplo), firewall(comodo), ccleaner, malwarebytes y spybot, estaria bien protegido? quizas problemas entre ellos? demasiado e innecesario? ya no se que hacer, en realidad estaria firewall y antivirus en marcha y lo demas son escaneos diarios o semanales...

Saludos...

MCKSys Argentina

En mi caso uso el firewall de windows (tengo seven pro registrado y up-To-Date).
Comodo AV (es liviano y solo lo uso por el sandbox que tiene) y DEP activado para todos los procesos (si algo no corre con DEP, no merece la pena ejecutarlo).

Todo lo "raro" que ejecuto lo hago en una VM (VMWare 8) y no he tenido problemas hasta ahora...
MCKSys Argentina

"Si piensas que algo está bien sólo porque todo el mundo lo cree, no estás pensando."


tremolero

Bueno.. pues yo no puedo activar el firewall de windows, una cosa mas para la sospecha :S
Aunque si que lo tengo actualizado, y comodo solo tengo el firewall, ya que av estoy usando ahora mismo nod32, aunque otra cosa rara es que no se me inicia automaticamente, y si me voy al msconfig y marco la casilla, al darle a aplicar se desmarca sola :S
La cosa es que yo lo puedo ejecutar y se inicia.

Respecto al DEP lo tengo como viene por defecto, he leido por ahi la opcion de desactivarlo, pero no se que es mejor.

Y lo que mas me suele ocurrir, es que se me bloquee el firefox, incluso viendo youtube, lo gracioso es que sigo escuxandolo pero firefox esta bloqueado, ni se ve el video, ni puedo cambiar de pestañas ni nada... y a veces el bloqueo se pasa a windows, la barra se bloquea, no puedo cambiar a otros programas etc... me toca mucho la moral, que se me llegue a bloquear el pc hasta puntos en los que tengo que terminar reseteando, y todo esto empezo por hacerle algun escaneo tonto y querer llegar hasta el fondo del asunto.... creo que al final terminare formateando, porque por mucho que mire procesos, y demas, no noto nada raro, nada que se me sature el cpu, ni nada....

Si se os ocurre algo os lo agradeceria, por lo demas, nose, haber si consigo aguantar, creo que quitare todos los programas de av y demas, porque me parece que tengo mas problemas desde que los instale, y en el proximo formateo,  intentare aguantar hasta enero o ya vere, y supongo que metere nod32, spybot y tendre el malwarebytes instalado para algun escaneo y ccleaner, y como firewall usare el de windows, no se si recurrire a comodo o agnitum.... ya vere.

Saludos...