Iniciar sesiónCerrar
Correo:
Contraseña:
Entrar
Recordar sesión en este navegador
Iniciar sesiónIniciar sesiónCrear cuentaCrear cuenta
LWP » Foros » Virus/Antivirus » SVHOST2.EXE , spyware, troyano o que es?

Virus/Antivirus - SVHOST2.EXE , spyware, troyano o que es?

Volver
Nuevo Tema
<<>>
 
Vista:

SVHOST2.EXE , spyware, troyano o que es?

Publicado por vaca_loca (2 intervenciones) el 21/08/2005 20:36:03
por casualidad encontre un proceso que se llama SVHOST2.EXE.
Este maldito se ejecutaba aproximadamente cada 30 segundos y se
comunica a traves del puerto 21 FTP a la ip 209.63.57.10, que corresponde
a www1.0catch.com, y no se que tipo de datos transfiere. Este archivo se encontraba en la carpeta Windows, y no se en que momento se instaló.

Modifica al menos 5 entradas del registro
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run (svhost2.exe)
HKEY_USERS\S-1-5-21-1547161642-152049171-1708537768-1007\Software\Microsoft\Windows\ShellNoRoam\MUICache (C:\WINDOWS\SVHOST2.EXE)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run (svhost2.exe=C:\WINDOWS\SVHOST2.EXE)
HKEY_USERS\S-1-5-21-1547161642-152049171-1708537768-1007\Software\Microsoft\Windows\ShellNoRoam\MUICache (C:\WINDOWS\SVHOST2.EXE=SVHOST2)
HKEY_USERS\S-1-5-21-1547161642-152049171-1708537768-1007\Software\Microsoft\Search Assistant\ACMru\5603 (000=svhost2).

El archivo tiene 424 KB (434,688 bytes), y por su nombre puede camouflarse
en la lista de procesos, ya que es parecido al normal SVCHOST.EXE.

Que les parece?
Valora esta pregunta
Me gusta: Está pregunta es útil y esta claraNo me gusta: Está pregunta no esta clara o no es útil
0
Responder

RE:SVHOST2.EXE , spyware, troyano o que es?

Publicado por alema66 (53 intervenciones) el 23/08/2005 16:48:57

Encontre esta pagina, si bien el nombre no es exacto (svchost2.exe), suena muy parecido, y por lo menos debe ser de la familia, espero que te sirva

http://www.vsantivirus.com/agobot-3-aht.htm
Valora esta respuesta
Me gusta: Está respuesta es útil y esta claraNo me gusta: Está respuesta no esta clara o no es útil
0
Comentar

RE:SVHOST2.EXE , spyware, troyano o que es?

Publicado por vaca_loca (2 intervenciones) el 24/08/2005 03:32:59
hola alema66
Gracias por tu respuesta, al parecer no se trata del mismo virus
al que se refiere esa página que es el W32/Agobot.3.AHT. y se copia
en
c:\windows\system32\scvhost.exe
y el que tenía por aquí se copiaba en
c:\windows\svhost2.exe

Según sophos.com, el svhost2.exe tiene un enemigo, que es otro
troyano, el W32/Agobot-KD que se instala como
c:\windows\system32\ WINSECURITY.EXE

El svhost2.exe se carga al iniciar windows, y al parecer queda
residente o se hace llamar por otro proceso, ya que normalmente
no se ve continuamente en la lista de procesos, sino que aparece
en esta cada 30 segundos y a la vez se comunica durante algunos
segundos al IP 209.63.57.10, por el puerto remoto 21, no recuerdo
el local aunque puede ser el mismo que figura en
http://forums.breekpunt.nl/forums/topic.asp?ARCHIVE=true&TOPIC_ID=10740

Hace un rato me puse a averiguar y ese IP 209.63.57.10 corresponde
a www.fcpages.com y tiene un alias que es www1.0catch.com.
Al eliminar el archivo y borrar las entradas del registro, ya no vuelve
a molestar.

saludos
Valora esta respuesta
Me gusta: Está respuesta es útil y esta claraNo me gusta: Está respuesta no esta clara o no es útil
0
Comentar

RE:SVHOST2.EXE , spyware, troyano o que es?

Publicado por alema66 (53 intervenciones) el 02/09/2005 20:55:38
gracias por los datos
Valora esta respuesta
Me gusta: Está respuesta es útil y esta claraNo me gusta: Está respuesta no esta clara o no es útil
0
Comentar