ELIMINANDO EL VIRUS SCVHOST.

EXE En este post quiero brindar la solucion del virus que se propaga en las computadoras con windows xp, este virus, en realidad es un troyano, que se camufla bajo con un archivo ejecutable llamado SCVHOST.EXE, el cual abre una puerta trasera en la pc y por los puertos abiertos envia informacion privada del usuario hacia servidores desconocidos y pone en riesgo la seguridad de las personas. Este a mi parecer es uno de los virus mas dificiles que he tenido en mi maquina, se propaga por medio de dispositivos de memoria usb y sus archivos son invisibles a windows. Probe 10 diferentes antivirus, y ninguno lo pudo eliminar, incluidos el Adaware, Spybot, Kaspersky, AVG, NOD32, HijackThis, etc........ Tuve que investigar mucho pues lamentablemente muchas personas se han equivocado y creen que el proceso del sistema llamado SVCHOST.EXE es un virus, por lo que entorpecen las busquedas, este proceso se carga hasta 7 veces con windows y es de sistema, es muy importante y no se debe eliminar pues le da estabilidad al sistema operativo, algunas veces, al conectarse a internet, el proceso consume memoria y se dispara tomando el control del 100% del uso de la CPU, sin embargo luego de unos momentos todo se normaliza, por lo que no se debe considerar como un virus. Volviendo al SCVHOST, este troyano como les mencione, se difunde principalmente por dispositivos de almacenamiento usb, de tal forma que al estar contaminado, se crean en la raiz un autorun y un archivo de configuracion, lo cual hace que al conectar la memoria flash a otra pc, al abrir el icono se ejecute el autorun y se contamine la computadora. Se copia a cada una de las particiones que tenga la pc, y esos archivos son ocultos a windows, tambien deshabilita la opcion de Mostrar/Ocultar archivos ocultos por medio de una modificacion en el registro y se copia en una carpeta de Archivos de Programa y System32. Todo con el fin de que lleguemos a pensar que lo logramos eliminar y al abrir cualquier directorio raiz o alguna de estas ubicaciones, se procede de nuevo a la infeccion. Habiendo explicado esto les dejo el procedimiento que implemente para eliminar del todo este molesto virus, les recuerdo que formatear no siempre es la mejor opcion, pues en este caso, el virus se instala en cada particion, asi que en discos grandes es dificil respaldar todos los datos, donde se utilice una para el windows y otra para archivos del usuario, al reinstalar el sistema operativo, este sera infectado de nuevo al ingresar a los documentos. INSTRUCCIONES ------------1. Si hay alguna memoria flash conectada a la PC infectada se respaldan los datos de ser necesario. 2. CTRL + ALT + SUPR y entran en la pestaa de procesos, buscan el que dice scvhost.exe (no svchost!!!) y lo detienen. 3. Se formatea la memoria flash y se extrae. Repetir por cada memoria que haya sido infectada. No se debe abrir de nuevo porque sera reinfectada. Una vez formateada, si el proceso ha sido detenido, los archivos del virus desaparecen del dispositivo flash. Tambien la pueden formatar, pero ya eso depende si los archivos almacenados son importantes y no tienen respaldo. 4. Buscan las carpetas de nombre Microsoft ubicadas en "c:\windows\system32" y "c:\Archivos de programa" y las eliminan totalmente. 5. Ingresan en el regedit, teclean CTRL + B y escriben en la caja de texto scvhost, buscan todas las claves, los valores y datos que apunten a ese nombre y los eliminan sin ningun temor, eso si, con cuidado revisan que se hayan escrito bien el nombre del virus y no vaya a ser que hagan un caos con windows. 6. En el mismo regedit buscan la clave siguiente: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Exp lorer\Advanced\Folder\Hidden\SHOWALL (HKLM = HKEY_Local_Machine) Lo mas probable es que la propiedad CheckedValue tenga el valor de 0, por lo que la modifican y le ponen 1.... Esta clave es la que habilita la opcion de mostrar y ocultar archivos ocultos en el sistema, un valor de 0 la desactiva, cosa que hace el virus, el valor de 1 la activa y la deja normal.

Hasta aqui el virus fue removido en teoria, pero los 3 archivos que reinstalan el virus se encuentran alojados, de forma oculta a windows, en cada una de las particiones que tenga la maquina, y probablemente en todos los discos duros que esten conectados tambien. De tal forma que al ingresar a cualquiera de las raices se difunde de nuevo el virus. 7. Para evitar la reinfeccion vamos a recurrir a uno de los amigos mas queridos que los informaticos tenemos, Linux, o en este caso el Linux que servira como antivirus para Windows jajaja.... Buscamos en internet la distribucion de Slax 6... Pueden descargar el archivo de imagen del SLAX 6 de la direccion: http://www.artux.com.ar/contenido/sl...ra-28-idiomas/ Reiniciar el sistema y bootear el cd de Slax 6, buscar los discos en System, Storage Media .... Eliminar los archivos "scvhost.exe", "desktop.ini" y "autorun.inf" de TODAS las particiones y discos que se encuentren (Son reconocidos todos bajo el nombre de Hard Disk y las diferencia un nombre por hda1, hda5, etc... por lo que es facil saber cuales son). Luego reiniciar de forma normal y si esos archivos fueron eliminados el virus habra desaparecido. Importante, el archivo de imagen del Slax 6 se debe quemar directo con el Nero u otro grabador, no descomprimirlo para luego quemarlo porque Windows le modifica el contenido y lo hace inservible al usar datos de la particion NTFS que posee. Pues bien, eso seria todo, espero les sirva de ayuda, para mi fue un alivio eliminarlo, pues era frustrante pensar que habia eliminado el virus y al momento verlo de nuevo cargado en los procesos, eso hasta que logre descubrir la ubicacion de todos los archivos.... Suerte!

ELIMINANDO EL VIRUS SCVHOST.EXE Bueno, para los que tuvieron el mismo problema que tuve hace algn tiempo, ah les dejo como se quita ese virusillo de porquera de forma manual y muy sencilla... Hay que diferenciar bien entre el proceso SVCHOST.EXE que es propio del sistema y SCVHOST.EXE que es el nombre del virus, a simple vista la diferencia no se nota y solo cambia una letra. Primero empecemos con una descripcin del virus, scvhost.exe es un proceso que se registra como el virus W32/Agobot-S. Este es un troyano que permite a atacantes el acceso al sistema de ubicaciones remotas, puede robar contraseas, cuentas de banca de internet y datos personales. El proceso es un riesgo de seguridad y debe ser removido del sistema de forma ugente. Informacin de W32/Agobot-S Autor: Desconocido Errores conocidos: Puede deshabilitar el Registro de Windows, evitando su modificacin Puede deshabilitar el Administrador de tareas Puede llegar a consumir los recursos del sistema (RAM, CPU) Proc. del sistema: No Uso de red: Si Background: Si Aliases: Autorun.inf Desktop.ini Bueno, eso es importante saber para determinar una forma ms adecuada de eliminarlo (puede aplicarse a otros virus es de los que se tenga conocimiento, ya que la heurstica de los virus es conocida). Paso 0. Debemos reiniciar nuestro sistema, un momento antes de que aparezca la barra de inicio de carga de Windows apretamos "F8" y debemos entrar a l como administrador o superusuario en modo seguro con smbolo de sistema. Para ver que no se estn ejecutando ninguno de los archivos de nuestro virus en el cmd de Windows escribimos "tasklist" sin comillas y le damos enter. Con lo que la lista de procesos en ejecucin aparecer. Se ver algo como:
Nombre de imagen PID Nombre de sesin Nm. de Uso de memoria =================== ====== ================== ========= ============== System Idle Process 0 Console 0 16 KB System 4 Console 0 28 KB smss.exe 714 Console 0 36 KB scvhost.exe 1326 Console 0 84.013 KB

y varios otros procesos bueno para desactivar nuestro el virus le en el cmd de windows escribimos "taskkill /PID (nro de pid del virus)" y hasta el momento todo bien por que deshabilitamos el proceso del virus. Para acceder a todas las herramientas en el cmd de Windows escribimos "explorer" con lo que nos aparecer una pregunta de si queremos seguir en modo a prueba de errores hacemos click en "SI" y nos aparecer la barra de Inicio Paso 1. (Necesario si el virus deshabilito el registro) Como nuestro problema ha deshabilitado el registro, virus de porquera, no nos preocupemos,

habilitar nuestro registro es juego de nios, lo nico necesario es nuestro block de notas Abramos nuestro block de notas y escribamos lo siguiente: Dim WshShell Set WshShell=WScript.CreateObject("WScript.Shell" ) On Error Resume Next WshShell.RegDelete "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools" WshShell.RegDelete "HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools" Luego grabamos el archivo en cualquier ubicacin como desbloquear.vbs (cualquier nombre es bueno siempre que tenga la extensin vbs.) Abrimos el archivo con los clicks respectivos del ratn jejeje, aceptamos la instalacion del script en nuestro registro y.... VOIL.... registro habilitado. Paso 2. Bueno con el registro habilitado es necesesario borrar algunas entradas del registro. Primero abierto el registro de windows seleccionamos "Mi PC" y tecleamos CTRL+B y les aparecer un buscador para buscar las entradas en el registro y buscamos "scvhost.exe" sin las comillas y no se precupen en borrar las entradas que hagan referencia a ese archivo que nuestro windows no se har un caos (siguiente post como arreglar nuestro registro si lo hicimos un caos). Hay que volver a repetir la bsqueda hasta que no se encuentre ningna entrada a scvhost.exe. Paso 3. Dentro del registro ahora hay que habilitar nuestro administrador de tareas, que la verdad es muy necesario tenerlo habilitado para buscar los procesos que se estn ejecutando en nuestro sistema. Busquemos la entrada: HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System donde debemos borrar cualquier entrada de registro donde este "TASKMGR" que es nuestro administrador de tareas. Paso 4. Muchas veces no podemos eliminar el virus debido a que este se oculta en los archivos del sistema y es necesario poder ver estos archivos pero muchas veces no los vemos todos por ser muy propios del sistema, por lo que tambin dentro de nuestro registro de Windows buscamos la siguiente entrada HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL donde buscamos el valor CheckedValue y cambiamos el valor de 0 a 1 Esto nos permitir ver todas las carpetas en nuestro HDD Paso 5. Una vez hecho esto ya casi hemos eliminado nuestro virusillo de porquera, en este punto del partido el ya estara agonizando de dolor jajaja... Buscamos las carpetas que digan "Microsoft" en C:\Windows\system32 y en C:\Archivos de programa (C:\program files para los que tienen el windows en ingls) y sin miedo las borramos.

Luego con nuestro buscador de Windows, ese que aparece al hacer click en INICIO buscamos los aliases de nuestro vrusillo de porquera como scvhost.exe, autorun.inf, etc.... Y como esos son nuestros archivos del virus los borramos sin mayor problema. Luego vaciamos nuestra papelera de reciclaje pero vindola como carpeta no como nuestro cono en el escritorio.

COLORIN COLORADO, ADIOS VIRUSILLO DESPIADADO jejeje...

Espero que este post les haya ayudado a solucionar ese problema del virus si es que no les detect el antivirus. Fue mi primer post asi que dejen sus comentarios para que vayamos mejorando el asuntito. Les dejo una lista de archivos que nos permiten verificar que procesos estn corriendo en nuestra PC a parte del administrador de tareas y una lista de los procesos ms comunes con una pequea descripcin: Lista de procesos: http://www.liutilities.com/products/wintaskspro/processlibrary/scvhost/ HiJackthis (permite ver procesos y entradas de registro) http://hijackthis.softonic.com/ Total Commander (buen administrador de archivos, para no tener que usar el buscador de windows): http://www.ghisler.com/