SVCHOST.EXE, COMO SABER CUAL ES EL ARCHIVO VERDADERO DEL VIRUS EN EL DISCO DURO

Iniciado por JMM13, 2 Febrero 2011, 11:09 AM

0 Miembros y 2 Visitantes están viendo este tema.

JMM13

Buenas a todos/as,

Informandome atraves de otros post de este foro, y por la web, he visto que este tipo de archivos, los svchos.exe, es un tipo de troyano con el cual pueden controlarte remotamente el ordenador. Me he bajado el hijackthis, para hacer un log, y en el he descubierto unos cuantos tipos de archivo de este tipo, y me surjen un par de preguntas:
1- Pueden realmente controlar remotamente mi ordenador, y entrar en mis cuentas (tipo facebook, msn, bancos...etc) y operar por mi o en mi nombre.
2- Como se puede saber cual de los archivos svchost.exe que tengo en mi disco duro, es el contenedor del virus, que formas ahi de eliminarlos y de protegerse para que no vuelva a pasarme.
Muchas gracias de antemano por atenderme, espero poder con el timpo pasar de ser un mienbro de consultas, a poder aportar mi granito de arena.
Salu2,
hancock
Cuando mi cuerpo dice basta....mi mente quiere mas

Magius

Buenas!

http://www.elhacker.net/archivo-SVCHOST.html

http://www.wininfo.com.ar/svchost.html

1. Son procesos de nombre muy parecido a este los que son troyanos, gusanos... estos procesos son de guindows y es un poco delicado tocarlos.
2. Antivirus, explorador de procesos, firewall y los ultimos parches y actualizaciones.

Si te quedan mas dudas, ya sabes  :rolleyes:

Saludos!!


JMM13

Buenas magius,

Con respecto a tu primer enlace, le he hechado un vistazo, y en las mutaciones de msblaster a mi me salen unos cuantos ms, que te comento acontinuacion:
Nombre     PID       Servicios
-msdtC      2320      MSDTC
-msiexec   4444      MSISERVER
-msiexec   4688      N/D
-msnmsgr  5108      N/D

Con respecto a tu segundo enlace, en el ejemplo de tasklist que el pone, el cual deberia ser lo normal o mas parecido, a mi me salen te archivos svchost.exe, a mayores que a el, los cuales te comento:
PID      Servicios
1368     LmHost, RemoteRegistry, SSDPSSRV
1656     WebClient
2748     Stisvc

A mi el que mas me mosquea de estos ultimos, es el RemoteRegistry, por que traducido viene a decir: Registro remoto, lo que no se es que proceso o servicio es, si es que se han conectado o no remotamente a mi pc o no. Si le hechas un vistazo y me cuentas te lo agradeceria.
Salu2,
hancock
Cuando mi cuerpo dice basta....mi mente quiere mas

Magius

Hola! en cuanto al RemoteRegistry:

http://www.teayudo.es/registro-remoto-remoteregistry/

Depende del rol de tu Windows (no se si es de casa, de oficina, si es home o proffesional...) puedes deshabilitar el servicio o no.

El blaster y sus mutaciones ya estan parcheadas y vacunadas. Solo podrias tener el blaster en tu equipo si has instalado un windows sin SP o sin antivirus a internet.

Cita de: juanmartinez en  2 Febrero 2011, 17:27 PM

Con respecto a tu primer enlace, le he hechado un vistazo, y en las mutaciones de msblaster a mi me salen unos cuantos ms, que te comento acontinuacion:
Nombre     PID       Servicios
-msdtC      2320      MSDTC
-msiexec   4444      MSISERVER
-msiexec   4688      N/D
-msnmsgr  5108      N/D


estos ms son normales.

Chauuu!!    :silbar:

JMM13

Buenas Magius,

El rol del sistema es de oficina, con Windows XP Profesional 2002 Servi Pack 3. No obstante, ningun informatico de mi empresa a metido ningun control remoto en este ordenador.
Hoy acabo de hacer en otro tasklist, y me sale totalmente algo diferente al sacado ayer, que te comente en el anterior post. Lo que me parece raro es que en la columna nombre de sesion en todos me sale consola, y uno de los archivos svchost.exe, el uso de meroria es de 40.000 kb, no se si esto es normal, por no decir que tengo unos 10 procesos de consola del archivo svchost.exe abiertos. Por cierto para que no sea todo escrito, ahi alguna forma de capturar pantallas en el simbolo de sistema, para poder subirlas, por que entiendo que lo entendereir mejor que con mis explicaciones. Pues nada, muchas gracias por todo.
Salu2,
hancock
Cuando mi cuerpo dice basta....mi mente quiere mas

JMM13

Buenas,

Acabo de descargarme el kaspersky, el cual me parece un buen av, y le he puesto a realizar diversas tareas para detectar errores. Mi sopresa es, que teniendo habilitadas solo 2 cuentas de usuario, las cuales son: Taller(administrador) que es la que uso, e Invitado(que viene creo por defecto, salvo que la quites), pues la sorpresa es, que utilizando la herramienta de control parental de kaspersky, me sale que permita o bloque las siguientes cuantas atraves de las cuales se conecta este pc a internet, y me salen las siguientes: Administador, ASPNET, Y TALLER. De las cuales la unica que yo tengo en sistema habilitada es la de taller, no se si esto sera algo normal, y si se podra detectar, quien, como cuando y desde donde han creado las otras cuentas. Gracias de antemano, por leer mi post y comentarlo.
Salu2,
hancock
Cuando mi cuerpo dice basta....mi mente quiere mas

Magius

Buenas, hay cuentas que pertencen al propio SO que no puedes gestionar y que ejecutan diferentes roles dentro de la maquina, caparlas o deshabilitarlas puede hacer que este no funcione bien.

Los procesos que estan monitoreando tienen unos tamaños normales, si quieres indagar un poco mas, puedes utilizar el process explorer para saber las dependencias de los procesos y si son benignos.

Saludos!! :P

humberto22

Cita de: juanmartinez en  2 Febrero 2011, 11:09 AM
Buenas a todos/as,

Informandome atraves de otros post de este foro, y por la web, he visto que este tipo de archivos, los svchos.exe, es un tipo de troyano con el cual pueden controlarte remotamente el ordenador. Me he bajado el hijackthis, para hacer un log, y en el he descubierto unos cuantos tipos de archivo de este tipo, y me surjen un par de preguntas:
1- Pueden realmente controlar remotamente mi ordenador, y entrar en mis cuentas (tipo facebook, msn, bancos...etc) y operar por mi o en mi nombre.
2- Como se puede saber cual de los archivos svchost.exe que tengo en mi disco duro, es el contenedor del virus, que formas ahi de eliminarlos y de protegerse para que no vuelva a pasarme.
Muchas gracias de antemano por atenderme, espero poder con el timpo pasar de ser un mienbro de consultas, a poder aportar mi granito de arena.

hola,

puedes verificarlos con http://www.elarchivo.es/proceso/svchost.exe.html o con virustotal.com : si te dise que es un virus, es el virus !

humberto

JMM13

Buenas,

Estos son los archivos svchost que encontrado en mi disco duro:

NOMBRE         CARPETA                           

SVCHOST      C:\I386                        
svchost         C:\WINDOWS\system32                  
_SMSvcHostPerfCounters   C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation   
SMSvcHost      C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\repository               
_SMSvcHostPerfCounters   C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation   
_SMSvcHostPerfCounters   C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation   
_SMSvcHostPerfCounters.vrg   C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation   
SMSvcHost      C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation   
SMSvcHost.exe.config      C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation   
SMSvcHost      C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\repository\         
         SMSvcHost\9c3300fc49960d5cb7c689a04141b5fe

Son diez, al igual que los procesos que me salen al iniciar el administrados de tareas. Eso quiere decir que no ahi ningun archivo o proceso malicioso, o no tiene nada que ver??
Salu2,
hancock
Cuando mi cuerpo dice basta....mi mente quiere mas