svchosl.pif.

Buenas tardes: tengo un pc con procesador P-IV, 256 MB ram y con WinXp Prof.;
me ha ocurrido algo muy extraño, por medio del hotmail una persona conocida
me envió un correo el cual tenia como asunto “emoticones”, resulta que antes
de descargarlo el hotmail me indicó que no habia virus presente el en archivo
adjunto (a ser descargado), al momento de descargarse por completo dicho
adjunto, sucedió lo siguiente: hubo un proceso de lentitud en el equipo, así
como un sonido raro dentro de CPU, me desconecté de internet y reinicie el
pc. Al reiniciarlo y en la pantalla de elección de sesión (existen 4 sesiones
[mamá, papá, hermano y yo]), apareren todos con el mismo icono (ajedres), al
seleccionar mi sesión resulta que no hay imagen en el escritorio y ningun
archivo de documento dentro de la carpeta de Mis Documentos (*.doc; *.xls;
*.ppt; *.jpg; *.bmp), así mismo, en las otras tres sesiones. Por si fuera
poco, perdí la configuración de Office completamente; y de la camara web y la
impresora, pues me pide los drivers de estos dos ultimos en cada sesión que
inicio. El unico detalle es que al presionar Crtl+Alt+Supr (Administrador de
Tareas) en Aplicaciones aparecia “Worm” con un icono de Visual Basic, al
solicitar Finalizar la tarea, aparecio un mensaje de error el el programa
“svchosl.pif.”, de inmediato realicé un escaneo con el Norton AV 2004
resultando “no hay virus presentes”, bueno lo unico adicional que hice fue
eliminar este “svchosl.pif.” del registro “Run” y de la ruta
“c:\windows\system32”, les comento: tengo el antivirus activo y actualizado,
ademas del servidor de seguridad a internet activo. Me pregunto entonces que
paso allí y como evito esto en el futuro ya que esta falla aparentemente
ignoro la presencia del antivirus y el firewall de windows. Gracias.

Te pregunto: Hiciste doble click a ese archivo Pif ???? si es asi, estas infectado..

Mr.Tucker Dot Com.-
Mr.Tucker [MS-MVP Windows - IE/OE] Anteriormente posteando como "Stripper"

"Antonio Oronoz" escribió en el mensaje news:
> Buenas tardes: tengo un pc con procesador P-IV, 256 MB ram y con WinXp Prof.;
> me ha ocurrido algo muy extraño, por medio del hotmail una persona conocida
> me envió un correo el cual tenia como asunto “emoticones”, resulta que antes
> de descargarlo el hotmail me indicó que no habia virus presente el en archivo
> adjunto (a ser descargado), al momento de descargarse por completo dicho
> adjunto, sucedió lo siguiente: hubo un proceso de lentitud en el equipo, así
> como un sonido raro dentro de CPU, me desconecté de internet y reinicie el
> pc. Al reiniciarlo y en la pantalla de elección de sesión (existen 4 sesiones
> [mamá, papá, hermano y yo]), apareren todos con el mismo icono (ajedres), al
> seleccionar mi sesión resulta que no hay imagen en el escritorio y ningun
> archivo de documento dentro de la carpeta de Mis Documentos (*.doc; *.xls;
> *.ppt; *.jpg; *.bmp), así mismo, en las otras tres sesiones. Por si fuera
> poco, perdí la configuración de Office completamente; y de la camara web y la
> impresora, pues me pide los drivers de estos dos ultimos en cada sesión que
> inicio. El unico detalle es que al presionar Crtl+Alt+Supr (Administrador de
> Tareas) en Aplicaciones aparecia “Worm” con un icono de Visual Basic, al
> solicitar Finalizar la tarea, aparecio un mensaje de error el el programa
> “svchosl.pif.”, de inmediato realicé un escaneo con el Norton AV 2004
> resultando “no hay virus presentes”, bueno lo unico adicional que hice fue
> eliminar este “svchosl.pif.” del registro “Run” y de la ruta
> “c:\windows\system32”, les comento: tengo el antivirus activo y actualizado,
> ademas del servidor de seguridad a internet activo. Me pregunto entonces que
> paso allí y como evito esto en el futuro ya que esta falla aparentemente
> ignoro la presencia del antivirus y el firewall de windows. Gracias.
>
>

bueno lo unico adicional que hice fue

Ante todo muchas gracias por tu pronta respuesta, la respuesta es No, no hice
click a algun archivo con extensión Pif, lo que mas me extraña es que el
Hotmail que usa mcAfee como antivirus me indico que el adjunto que me iba a
descargar no poseia virus y al descargarmelo al 100% en norton 2004 en mi pc
no hizo ninguna alerta al respecto, repito, esta actualizado al dia tanto en
AV, como el Windows en cuanto a actualizaciones (WindUpd)...ahora me
pregunto, existe algun codigo malisioso que borra los archivos *.doc; *.xls;
*.ppt; *.jpg; *.bmp, de inmediato, o sera algun hacker que hizo de las suyas
(Nota: soy usuario DialUp), sera posible esto?...Gracias de nuevo.

"Mr.Tucker [MS MVP Windows]" wrote:

> Te pregunto: Hiciste doble click a ese archivo Pif ???? si es asi, estas infectado..
>
> Mr.Tucker Dot Com.-
> Mr.Tucker [MS-MVP Windows - IE/OE] Anteriormente posteando como "Stripper"
>
> "Antonio Oronoz" escribió en el mensaje news:
> > Buenas tardes: tengo un pc con procesador P-IV, 256 MB ram y con WinXp Prof.;
> > me ha ocurrido algo muy extraño, por medio del hotmail una persona conocida
> > me envió un correo el cual tenia como asunto “emoticones”, resulta que antes
> > de descargarlo el hotmail me indicó que no habia virus presente el en archivo
> > adjunto (a ser descargado), al momento de descargarse por completo dicho
> > adjunto, sucedió lo siguiente: hubo un proceso de lentitud en el equipo, así
> > como un sonido raro dentro de CPU, me desconecté de internet y reinicie el
> > pc. Al reiniciarlo y en la pantalla de elección de sesión (existen 4 sesiones
> > [mamá, papá, hermano y yo]), apareren todos con el mismo icono (ajedres), al
> > seleccionar mi sesión resulta que no hay imagen en el escritorio y ningun
> > archivo de documento dentro de la carpeta de Mis Documentos (*.doc; *.xls;
> > *.ppt; *.jpg; *.bmp), así mismo, en las otras tres sesiones. Por si fuera
> > poco, perdí la configuración de Office completamente; y de la camara web y la
> > impresora, pues me pide los drivers de estos dos ultimos en cada sesión que
> > inicio. El unico detalle es que al presionar Crtl+Alt+Supr (Administrador de
> > Tareas) en Aplicaciones aparecia “Worm” con un icono de Visual Basic, al
> > solicitar Finalizar la tarea, aparecio un mensaje de error el el programa
> > “svchosl.pif.”, de inmediato realicé un escaneo con el Norton AV 2004
> > resultando “no hay virus presentes”, bueno lo unico adicional que hice fue
> > eliminar este “svchosl.pif.” del registro “Run” y de la ruta
> > “c:\windows\system32”, les comento: tengo el antivirus activo y actualizado,
> > ademas del servidor de seguridad a internet activo. Me pregunto entonces que
> > paso allí y como evito esto en el futuro ya que esta falla aparentemente
> > ignoro la presencia del antivirus y el firewall de windows. Gracias.
> >
> >
>

Hola a todos...

He sido infectado con dicho virus en dos computadores..
En uno mi hermano alcanzo a desconectar de la corriente el computador
y evitar daños mayores. Se le borraron sus imagenes y quien sabe que
otros documentos.

En el otro no confirme el dialogo y al parecer no se habrian borrado
archivos (eso espero al menos) pero el virus quedo instalado.


Para quien tenga el virus lo que he hecho hasta el momento es lo
siguiente:
1.- detener el proceso (task manager) llamado svchosl.pif, por si
acaso poner que termine con el arbol de procesos.
2.- eliminar de c:\windows\system32 el archivo llamado svchosl.pif
3.- eliminar de c:\ los archivos: codm, cts, ma1.tmp, p, simbolic3.pif
y extasis.pif. Estos dos ultimos tienen icono de "ms-dos" y pueden
varian en nombre.
4.- ejecutar msconfig y deshabilitar el inicio de svchosl.pif, para
esto ir al tab "inicio" y luego reiniciar
5.- verificar con task manager que no este corriendo la instancia de
svchosl.pif

Ademas hay una entrada en el
registroHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared
Tools\MSConfig\startupreg\Svchost
pero aun no determino si hay que borrar todo o modificar, seguramente
eso lo solucionara un antivirus.

El virus en si no es un ejecutable sino al parecer un equivalente a un
.bat que seguramente ejecuta algo asi como delete *.gif, *.jpg, etc...
No logro obtener mucha iformacion de el pues hay que analizarlo en
codigo assembler.


Espero que nadie mas caiga ni pierda esas preciadas fotos ni archivos
importantes...

Saludos...
Nicolas Riesco...