Infección que no puedo apagar, disfraza el proceso como scvhost.exe [cerrado]

1

Hace poco tiempo, mi máquina doméstica fue golpeada y pude limpiar casi todo excepto este proceso. No puedo encontrar el origen, pero se muestra en mi administrador de procesos como scvhost.net por el usuario del SISTEMA. Gradualmente ocupa más memoria y, a veces, reproduce lo que parecen pistas de audio aleatorias. Puedo cerrar el proceso pero dentro de un minuto se iniciará de nuevo. He intentado varias correcciones que encontré a través de búsquedas en Google, pero nada parece funcionar. ¿Alguna idea?

    
pregunta StrawDog 03.11.2012 - 23:21
fuente

4 respuestas

3

Si puede ver el proceso e incluso finalizarlo, no se está protegiendo demasiado bien. Incluso si la única forma de estar seguro de erradicar el virus es volver a instalar , es probable que la infección no sea técnicamente muy avanzada y se pueda eliminar con " "certeza razonable".

Supongo que ya lo intentaste con Restaurar sistema y no tuviste suerte. Si no lo intentó, verifique si puede revertir el sistema a un estado anterior a la infección. Si pudieras, eso sería algo que querrías probar (pero mira en la parte inferior una advertencia).

De lo contrario, comience por tomar una herramienta como Process Explorer y muestre el árbol de procesos después de limpio (bueno, sucio ...) reiniciar. Podrás ver el proceso scvhost y su padre. Por lo general, este truco de 'reinicio' se administra a través de la interfaz del servicio, o mediante dos programas diferentes que se "cuidan" entre sí, reiniciando a su compañero tan pronto como lo vean.

Así que primero compruebas el objeto scvhost.

Si su principal es un binario "desconocido", que no forma parte del sistema Windows, puede "suspender" tanto el principal como el secundario. Ninguno reaccionará, ya que no mataste a ninguno (todavía). Si el padre es "services.exe" (y es el real services.exe), entonces su infección se ha disfrazado como un servicio y usted solo debe suspender al niño.

En el escenario de servicio, abra la Consola de servicios , configúrela en "No reiniciar si termina" y deshabilítela. El servicio por lo que no se ejecuta en el arranque. Luego, finalice el proceso secundario (después de haber sido suspendido, no debería poder notar que se están cambiando las configuraciones y volver a cambiarlas), e intente reiniciar. Sin embargo, vea la nota en la parte inferior para una advertencia primero.

Si no era un servicio, busque en el disco el proceso padre (el Explorador de procesos generalmente le indica dónde comenzó el proceso). En estas configuraciones, el padre tiene las únicas tareas de lanzar al niño y supervisarlo, y tratar de no llamar la atención. Es posible que no encuentre el ejecutable secundario (incluso puede que no sea un archivo por sí solo), pero debería poder eliminar el elemento primario. Busque su nombre en los lugares habituales en el Registro (o también puede probar Autoruns ).

Antes de hacer esto, verifique que sí tenga una copia de seguridad actualizada de sus archivos de datos. Es concebible que la infección haya hecho que el sistema se haya vuelto inestable o que haya sido atrapado con explosiones, y esta eliminación bastante brutal podría desencadenar algo desagradable.

    
respondido por el LSerni 04.11.2012 - 00:15
fuente
1

Es probable que esta pregunta no sea adecuada para este sitio, ya que es demasiado estrecha y localizada (no es probable que sea relevante para otros) y no proporciona suficiente información para diagnosticar el problema.

Dicho esto, en términos generales, el procedimiento es el siguiente:

  1. La única forma segura de recuperar es formatear su unidad, reinstalar su sistema operativo y sus aplicaciones desde cero, cambiar todas sus contraseñas y restaurar sus datos desde una copia de seguridad realizada antes de que se infecte (debe estar seguro de que es antes de que estuvieras comprometido).

  2. Si quieres vivir peligrosamente, aquí hay un enfoque alternativo. Actualice su software A / V (antivirus) para asegurarse de que tiene las últimas definiciones, luego ejecute un análisis completo de su disco duro. Luego, descargue MalwareBytes y escanee su disco duro (es posible que tenga que escribirlo en un CD o dispositivo USB y luego arrancar desde el CD o dispositivo USB). Haga que eliminen y corrijan cualquier infección que encuentren. Luego, cambia todas tus contraseñas. A ver si esto soluciona el problema. Si no soluciona el problema, la alternativa es ir al paso 1 (reformatear y reinstalar).

respondido por el D.W. 04.11.2012 - 05:19
fuente
0

Creo que encontrará este tipo de pregunta más adecuada para un superusuario o un sitio similar para trabajos de nivel técnico. Dicho esto, cuando estuve más involucrado con la eliminación de malware, hubo algunas tácticas básicas.

Primero, asegúrese de la versión exacta del sistema operativo que está utilizando (por ejemplo, si windows xp, luego home, pro, etc. o gana 7, y luego home, pro, ultimate, etc.). Algunos sistemas operativos más antiguos son más propensos a la corrupción y otros problemas. Esto también le ayudará a decidir qué herramientas descargar específicamente para lidiar con ese malware en particular.

Segundo, averigüe qué paquete de servicio del sistema operativo tiene frente a cuál es la versión más reciente de eso. Cualquier lapso (en absoluto) de actualizaciones, revisiones, etc. puede dejar su máquina casi totalmente a merced de algo nuevo que las heurísticas no detectan en un AV. De hecho, las actualizaciones suelen ser más importantes que AV para proteger una máquina y he visto problemas que seguían regresando después de los escaneos AV pero que fueron neutralizados con éxito después de que se instalaron las actualizaciones y las revisiones.

En tercer lugar, no sigas descargando todas las pequeñas aplicaciones para tratar de combatirlas, ya que pueden ser versiones ocultas de otros virus o simplemente no funcionan y te dejan con spyware u otros inconvenientes. Del mismo modo, tenga cuidado con lo que hace en esa máquina, ya que podría estar ocultando otro malware que podría estar haciendo más que simplemente reproducir música en momentos inconvenientes (por ejemplo, registrar sus contraseñas, etc.).

Hay capítulos enteros de libros escritos sobre el tratamiento de virus y otros programas maliciosos, por lo que está algo más allá del alcance de esta publicación. Pero puedes empezar con esto.

    
respondido por el stackuser 04.11.2012 - 07:58
fuente
0

Verifique el proceso padre (árbol de proceso) y finalícelo. Asegúrese de descargar aplicaciones solo de sitios confiables y SIEMPRE tenga un antivirus actualizado.

    
respondido por el Krishna Chaitanya 05.11.2012 - 03:02
fuente

Lea otras preguntas en las etiquetas