Virus SVCHOST.EXE

Cargado en WindowsXP on 31.ago, 2008

He conseguido muy frecuentemente este virus, el cual haciendose pasar por un servicio de windows logra filtrarse dentro de los procesos de inicio, para determinar que existe este virus basta con revisar el directorio raiz del computador y verificar si existe una carpeta Recycled (supuestamente de reciclaje, pero esto es imposible si tenemos un windows en espaÃ±ol ya que la carpeta de reciclaje no deberÃa llamarse asi) otro directorio que tendria que ser extraÃ±o es un tal driver, no puede haber algo asi en nuestro directorio raiz.

Si es asi el procedimiento es buscar los utilitarios de Systernals Autoruns y Process

Ejecute autoruns y verifique en process mediante la ficha explorer la existencia de un Archivo en ejecuciÃ³n cuyo nombre es n/a y la ruta es una carpeta driver (a veces tambien puede ser la carpeta recycled). Verifica si esta en ejecuciÃ³n borrando con el boton suprimir y presionando refrescar (F5) para ver si vuelve a crear la entrada.

Si has verificado su existencia y ejecuciÃ³n debes ahora ejecutar el process

Haz click en la opciÃ³n FIND y haz click en la unica opciÃ³n FIND HANDLE o DLL, alli escribe scvhost.exe y presiona el boton find

Haciendo esto te debe aparecer quien esta cargando dicho archivo, se debe relacionar con la ruta donde esta el archivo sospechoso, una vez ubicado debes hacer click sobre el y cerrar la ventana.

En la ventana principal de Process ubicas el archivo y presionas el boton derecho del Mouse seleccionando la opcion CLOSE HANDLE, la cual detendra su ejecuciÃ³n.

Al intentarlo te saldra una ventana advirtiendote que podrias colapsar la computadora, pero no hagas caso, detener el virus hara que nuestro sistema libere recursos para otras tareas. Presiona SI.

Luego de hacer esto debes eliminar el archivo, para hacerlo debes hacer click en inicio y luego la opciÃ³n EJECUTAR. Alli ingresas CMD y presionas enter.

LLegaras a la ventana de comando, alli debes dir a la carpeta raiz presionando el siguiente comando:

cd\

Claro mÃ¡s ENTER. Una vez en directorio raiz debes ir a la carpeta driver tecleando los siguientes comandos:

cd driver {PRESIONA ENTER}

al estar dentro de la carpeta driver sigue las instrucciones de la siguiente pantalla:

el ultimo comando desbloquea el archivo para poder eliminarlo, solo quedaria borrarlo presionando el comando:

del svchost.exe

Haz lo mismo con la carpeta RECYCLED si te aparece.

Cualquier duda no dudes en comentar.

Comments (26)

26 Responses to “Virus SVCHOST.EXE”

adrian Says:
septiembre 2nd, 2008 at 9:32 AM
no ahi una respuesta mas simple al virus ya q este me hace caer el internet y me coloca la barra de windiws en la forma clasica este virus no es reconocido ni por el NOD32 ni el AVG 8 no se como encontrarlo he eliminarlo ya q casi no se del los comandos del sistema
elviscortijo Says:
septiembre 2nd, 2008 at 3:09 PM
Puedes Probar el Dr. Web CUREIT que no necesita instalaciÃ³n. Otra forma Es booteando con el Disco de HIREN BOOT CD
a_t Says:
septiembre 2nd, 2008 at 5:12 PM
Otra vez tengo el bendito virus en mi compu!!!
adrian Says:
septiembre 6th, 2008 at 9:39 AM
voy a intentar con el Dr. Web CUREIT a ver si lo reconoce gracias por el dato y para a_t si antes tenias el virus como lo sacaste :s gracias a todos
a_t Says:
septiembre 7th, 2008 at 7:12 PM
QuitÃ³ el virus, nada mas y nada menos que el administrador de este blog Elvis!
felo Says:
septiembre 10th, 2008 at 3:19 PM
tengo un problema cuando coloco en el cmd C:\driver>cd s-1-4-Ëœ1
me dice “el sistema no puede hallar la ruta espedificada pero cuando en el paso anterior le di C:\driver>dir/a/x si aparecia dicha carpeta, como podria resolver eso? gracias
elviscortijo Says:
septiembre 10th, 2008 at 5:58 PM
El comando dir permite visualizar el contenido de la ruta en la que nos encontramos, el modificador /a permite ver los archivos ocultos, el modificador /x permite ver el nombre corto del archivo o carpeta.
Lo mas probable es que tu carpeta aÃºn este oculta. Debes hacer que se muestre utilizando el comando:
attrib -s -h -r s-1-4-~1
Con esto logras cambiar los atributos ARCHIVO DE SISTEMA (-s), OCULTO (-h) y SOLO LECTURA (-r), a la carpeta, con el – se quita, con el + se activa.
luego de hacer esto al ejecutar solo dir, sin nada de parametro se debe ver la carpeta. Si asi es ya puedes acceder a la carpeta con el comando:
cd s-1-4-~1
Cualquier duda avisas
JuÃ¡n Says:
octubre 5th, 2008 at 9:35 PM
No entiendo la Ãºltima parte de “solo quedaria borrarlo presionando el comando:

del svchost.exe”
QuedÃ³ incompleto o que hay que hacer exactamente. Gracias.
elviscortijo Says:
octubre 6th, 2008 at 12:53 AM
La palabra era mÃ¡s bien:
Teclear
es decir, solo debes teclear en la linea de comandos:
del svchost.exe
y listo habras eliminado el virus
MAster Chief Says:
octubre 23rd, 2008 at 2:05 PM
AquÃ no funcionÃ³. Se que he eliminado este virus antes, pero no me acuerdo ahora. He probado tu mÃ©todo y no me funciona, Pues al reiniciar windows se regenera, y eso que elimine los archivos, carpetas y todos los registros del virus en regedit. Â¿Hay alguna otra forma de eliminarlo seguro?
elviscortijo Says:
octubre 23rd, 2008 at 4:37 PM
Hasta donde lo seguistes? de nada vale quitarlo del registro si no has detenido previamente la ejecuciÃ³n del archvio svchost.exe, primero detenlo despues borralo del registro.
Ya sabes que para detener su ejecuciÃ³n como handle con el process.
Cualquier duda me avisas
Elieser Reyes Says:
octubre 24th, 2008 at 12:10 AM
Epa Elvis como esta la vaina, es Elieser programador de sistemas, soy el amigo de Leonardo del UNIR, esta bien tu blog, llegue por google buscando como deshacerme de ese mismo virus, segui tus pasos y lo elimine en menos de 2 min, si tienes correo de msn agregame para que hablemos un dia. Saludos.
Niko Says:
octubre 30th, 2008 at 7:35 PM
hola, soy nuevo en Ã©sto y tengo un problema con mi pc, paso a explicar:

cuando enciendo mi pc, aparte de demorar mucho tiempo en encender y estabilizarce, me aparece una/s ventanas de error, las cules dicen; “”no se puede cargar ni ejecutar c:\windows\svchost.exe asegurese de que el archivo exista en el equipo o quite del registro toda referencia al mismo”" y luego aparece otro que dice “”windows no puede encontrar el archivo csrcs.exe asegurese de que la ruta de acceso este bien escrita….etc”"…..las dos ventanas solo me dan la opcion de ACEPTAR nada mas…..????…….. alguien me puede ayudar con Ã©sto?? tengo entendido de que se trataba de un virus o tryano que fue eliminado pero la ventana de error me sigue apareciendo y mi pc esta muy lenta…

desde ya muchas gracias… Niko
luis Says:
noviembre 4th, 2008 at 4:51 PM
hoal tengo un problema con mi pc ,tengo un virus en mi pc se llama Gyfourvab.exe aparece en el arranque de windows xp y en el registro,quisiera saber que puedo hacer contra este virus ya probe con el norton ,el karpesky y el NOD32 AntiVirus y tambien el mcafee.
nilton campso Says:
noviembre 14th, 2008 at 11:56 PM
Tengo una cabina de internet no se en que momento entro pero ya llevo 3 meses conviviendo con el hara 3 dias me trajo por varias veces la lan abajo sin tener algun contacto con la red me trae abajo el msn se cierran las paginas me he vuelto lokooooo ahora trato de que no siga en el proceso pero no sedeja el muy pelaooo este no solo eso si no que tengo el alg.exe wdfmgr.exe en el mismop estado he pasado varios antivirus y uno nuevo que no voy a negar que es bueno EEYE pero al final hasta tuvo conflicto tanto asi que las pc se quedaron en stanby no se por donde empezar lo que si se es que es un SUPERVIRUS despues de 3 meses recien lo he detectado yo espero dominarlo sigo en el proceso de matarlo bueno aun la noche es corta no se que cuanto mas me falte ……… cualquier ayuda o quieran dar soporte llamar a 2843087 a quisiera emigrar a linux – ubuntu a ver si me ayudan y me dan detalles espero su pronta ayuda
nemfo Says:
diciembre 7th, 2008 at 11:22 PM
excelente …gracias … he recorrido un monton de paginas y ninguna con una solucion completa…

pero aca siguiendo los pasos descritos … efectivamente el virus keda eliminado..

hay ke tomar en cuenta ke se debe borrar todas las carpetas RECYCLER …de todas las unidades de disco…. incluyendo la del pendrive

ok
muchas gracias
Pablo Says:
diciembre 14th, 2008 at 12:28 PM
a mi no me sale la carpeta driver en el disco c:

que es lo q puedo aser
armando Says:
enero 30th, 2009 at 5:51 PM
Que onda a todos:
me gustaria que alguien pudiera ayudarme a solucionar un problema en mi pc ya que me aparece lo siguiente..

Windows no puede encontrar el archivo “mexica.exe”. asegurese de que la ruta y nombre de archivo estan escritas correctamente y vuelva a intentarlo……

Windows no puede encontrar el archivo “C://Windows/system32/mexica.exe”.

alguen que me pueda apoyar para poder solucionar este problema ya que me tiene harto poe que cuando prendo mi pc al comenzar a cargar aparece esto y no he podido solucionarlo.

le agradeceria mucho ala persona que me apoye les dejo mi correo electronico por si alguien opta por ayudarme gracias.

19armando82@live.com.mx
Yeni V Says:
marzo 12th, 2009 at 6:54 PM
Hola, me pueden ayudar a eliminar el virus mexica.exe

Gracias
Daniel C Says:
marzo 30th, 2009 at 9:24 AM
Cuando le doy buscar en el process, me aparece 0 matching items, y lo que sigue despues no lo entiendo. Y te pregunto si mi pc tiene que estar en modo a prueba de fallos.
Gioberti Says:
abril 15th, 2009 at 7:42 AM
En el disco C me aparece la carpeta RECYCLER

pero cuando corro el AUTORUNS no me aparece el archivo n/a
me aparece un archivo n/a pero es de Microsoft (el mismo que aparece en la figura de muestra pero inmediatamente encima)
Que puedo hacer??
Gioberti Says:
abril 15th, 2009 at 7:44 AM
En el disco C me aparece la carpeta RECYCLER

pero cuando corro el AUTORUNS no me aparece el archivo n/a
me aparece un archivo n/a pero es de Microsoft (el mismo que aparece en la figura de muestra pero inmediatamente encima)
Que puedo hacer??
habia escrito mal mi correo:
gioberti.morales@gmail.com
amparo Says:
junio 25th, 2009 at 3:47 PM
HOLAS ELVIS TENGO UN PROBLEMA CON RECYCLER HOY EN LA MAÃ‘ANA INGRESE AL LABORATORIO DE COMPUTO DE MI UNIVERSIDAD Y AL CONECTAR MI USB EN 1 DE ESAS PCs SE INFILTRO EL ARCHIVO RECYCLER Y CONVIRTIO MIS CARPETAS EN APLICACIONES, AHORA LLEGUE A CASA Y QUISE ABRIR MIS ARCHIVOS Y NO PUDE ABRIRILOS POR Q ESTAN COMO EJECUTABLES, NO INTENTÃ‰ SCANEARLO CON MI ANTIVIRUS POR TEMOR DE VOLAR MIS CARPETAS Q CONTIENEN MIS ARCHIVOS.
PLZ AYUDAME
Jose Says:
octubre 12th, 2009 at 10:26 PM
Gente, es la primera vez que posteo.
Para Elvis o alguien que le haya pasado algo similar a lo que explica Adrian y me pueda ayudar.
Es muy parecido, se hace mas notorio cuando juego en red al counter strike o al warcraft, en realidad son los unicos que juego. De repente es como si se cayera internet, pero se visualiza como conectado; el tema es que en realidad se desconecta y se bloquea el acceso a conexion de internet y la barra de herramientas de windows cambia de apariencia a una vieja barra.
La unica forma de poder volver a conectarme es reiniciando.
Ya pase el Nod32, KAspersky, F-Scure y no pude eliminar; por favor que alguien me ayude.
Muchas Gracias
Mi mail es josegiulioni@hotmail.com
Elvis Cortijo Says:
octubre 14th, 2009 at 8:18 PM
Para Jose Giulioni, lee los siguientes post y me avisas:
http://elviscortijo.wordpress.com/2009/10/02/detecta-y-elimina-rootkit-trend-micro-rootkitbooster/
http://elviscortijo.wordpress.com/2009/09/13/virus_win32-hllw-shadow-based/
roy Says:
noviembre 13th, 2009 at 2:03 AM
INFORMACION
Virus residente en memoria que se copia con el nombre de “svchost.exe” en la carpeta de Windows.

> CARACTERISTICAS
Cuando el virus se ejecuta crea una copia de si mismo con el nombre “svchost.exe” dentro de la siguiente carpeta:

C:\Windows

Para ejecutarse en cada reinicio del sistema crea la siguiente entrada en el registro de Windows:

HKLM\Software\Microsoft\Windows
\CurrentVersion\RunServices
PowerManager = c:\windows\svchost.exe

El virus busca en el equipo infectado archivos cuya extensiÃ³n sea “.exe” para infectarlos, el virus incrementa el tamaÃ±o de estos archivos a 36352 bytes.

> INSTRUCCIONES PARA ELIMINARLO
1. Desactive la restauraciÃ³n automÃ¡tica en Windows XP/ME.

2. Reinicie en Modo a prueba de fallos.

3. Ejecute un antivirus actualizado y repara o elimine los archivos infectados.

4. Desde Inicio, Ejecutar, escriba REGEDIT y pulse Enter para acceder al Registro del sistema.

5. Elimine bajo la columna “Nombre”, la entrada “PowerManager”, en la siguiente clave del registro:

HKLM\Software\Microsoft\Windows
\CurrentVersion\RunServices
PowerManager = c:\windows\svchost.exe

6. Cierre el editor del Registro del sistema.

7. Reinicie el equipo y ejecute un antivirus actualizado para eliminar toda presencia del virus.