Procesos del Windows que pueden

esconder virus y malwares

msc hotline sat

mircoles, 01 de diciembre de 2010

Que es un Proceso?
Un proceso es en si mismo, un programa que se est ejecutando en ese momento,
por ejemplo, abres una aplicacin, el ejecutable de la misma, pasar a ser un
proceso, y aparecer en la lista de procesos del Administrador de Procesos de
Windows.
Puede haber procesos importantes, procesos que esconden virus, procesos sin
mucha importancia...
El administrador de Tareas
En general cuando se nos congela algn programa o en general la computadora, lo
primero que hacemos es iniciar una conocida aplicacin llamada: Administrador de
Tareasincluido en los sistemas operativos Microsoft Windows cuyo localizacin esta
en C:WindowsSystem32taskmgr.exe, tiene la funcin de proporcionar informacin
sobre los procesos y aplicaciones que en la computadora est ejecutando.
Para los que no lo conocen se puede acceder desde la combinacin de teclas Ctrl +
Mays + Esc.>> Administrador de tareas.
El administrador de tareas se compone de varias pestaas. En cada una de las
pestaas se puede observar una funcin diferente:
Aplicaciones:Permite ver en un lista de los programas ejecutados, que como modo
usuario al seleccionar una de ella se puede: finalizar, minimizar, maximizar, traer al
frente, etc.
Procesos:Permite visualizar los procesos que ejecuta el computador, quin lo
ejecuta y el uso de la CPU y el uso de memoria. En nombre de imagen aparece el
nombre del archivo ejecutable que esta siendo ejecutado; en nombre de usuario se
establece si es el usuario quien activ el proceso (slo los procesos ejecutados por
el usuario pueden ser finalizados), si corresponde a una ejecucin de red o una
ejecucin de sistema.
Rendimiento: se puede observar un grfico correspondiente al uso de la CPU.
Red: en la pestaa de funciones de red se puede observar un grfico que muestra
el uso de la red
Usuarios: se puede ver qu usuarios tienen permisos en el sistema operativo
----------------------------------------------------------------------------------------------------------------------------------------------Desde la pestaas de procesos se puede ver diversos procesos donde el malware y
virus se esconde, que capaz nuestro antivirus y firewall no logro detectar.
svchost.exe:

Chequea el registro para poder armar la lista de servicios que necesita cargar. Se
encuentra en System32, es un procesos de sistema y se ejecuta en mltiples
instancias.
Muchas veces puede llegar a consumir el 100% del uso del CPU, esto mayormente
se debe a problemas con las actualizaciones de Windows, o una sobresaturacion de
las mismas a la hora de descagarlas.
Una de su soluciones seria crear un archivo desde bloc de notas que en general se
encuentra en inicio>Todos los programas>Accesorios.
Guardaremos nuestro bloc de nota cambiando el .tex por .bat
Rem Re-register dlls
REGSVR32 WUAPI.DLL /s
REGSVR32 WUAUENG.DLL /s
REGSVR32 WUAUENG1.DLL /s
REGSVR32 ATL.DLL /s
REGSVR32 WUCLTUI.DLL /s
REGSVR32 WUPS.DLL /s
REGSVR32 WUPS2.DLL /s
REGSVR32 WUWEB.DLL /s
Rem Stop Services
net stop WuAuServ
taskkill /f /im wuauclt.exe
REm add other service here
Rem Delete SoftwareDistribution Folder
RMDIR C:windowsSoftwareDistribution /s/q
net start WuAuServ
Echo Look for any errors
echo To Reboot
Pause
shutdown -r -t 10

Abren el .bat y se reiniciara, esto solucionara problemas con svchost (no funciona
con win 7)
Otra solucin es descargar esta actualizacion de Windows que corrige dicha falla,
que funciona con el windows XP
Evitar que vuelva a suceder:

El primer paso es abrir el Administrador de Tareas para ver cuntos ficheros

svchost.exe se encuentran en funcionamiento.

Despus tenemos que posarnos sobre alguno de estos archivos, hacer click derecho
y dirigirnos a la opcin Ir al servicio.

El paso siguiente consiste en observar cules son los procesos (en la pestaa
Servicios) que no se estn utilizando en el momento o que no requieren de una
activacin permanente.

Una vez que hayan visto cules son los servicios menos necesarios del ordenador
hay que ir a Inicio | Ejecutar y tipear el siguiente comando: services.msc
-En la ventana que se abra hay que observar los mismos procesos que vimos en la
pestaa de Servicios del Administrador de Tareas. Despus hay que hacer click
derecho sobre los que deseamos desactivar y vamos a Propiedades.
En la ventana que se abra hay que desplegar el pequeo men de opciones y
seleccionar la opcin Desactivado.

Finalmente slo resta Aplicar y Aceptar los cambios realizados. Listo, los servicios
innecesarios ya no consumirn recursos y se elevar el rendimiento del ordenador.
Muchas veces este proceso no esta en su carpeta correspondiente o posee un
nombre parecido con letras o letras; cambiadas, agregadas, quitadas esto seria
algn malware, que se camufla para no ser reconocido.
Se lo puede encontrar con los siguientes nombres.
scvhost.exe Lo instala el virus W32/Agobot-S. Se trata de un gusano y troyano
backdoor de IRC que se copia asi mismo aprovechando los recursos compartidos
con passwords dbiles. E intenta propagarse utilizando las vulnerabilidades del RPC
Locator y DCOM RPC.
svchosts.exe Lo instala el virus Sdbot-N. Es un troyano backdoor que permite a un
usuario remoto controlar nuestra mquina a travs del IRC. Se ejecuta en
background, y trata de conectarse a un canal especfico de un servidor de IRC y
luego queda a la escucha de ciertos comandos para llevar a cabo sus
correspondientes acciones.
svshost.exe Lo instala el virus Worm.P2P.Spybot.gen
Wmpnetwk.exe y wmpnscfg.exe
Estos archivos provienen del Windows Media Player Network Sharing Service, es un

ejecutable que se conecta a la red, en cual su ubicacin se encuentra en:

C:Archivos de programaWindows Media Player
En condiciones normales, este proceso no debera ocupar ms de 0% de CPU y no
ms de 700 KB de RAM.
Para solucionar esto se debera bloquearlo
acceda a services.msc una manera de encontrarlo seria ir inicio y poner en
bsqueda el nombre del archivo. Una vez abierto el programa se busca el procesos
Media Player Network Sharing Service, hagan clic derecho y presionen Stop.

Tomar algn tiempo en parar el servicio. Una vez hecho, hagan clic derecho de
nuevo y seleccionen propiedades. Cambien el tiempo de inicio a Manual y reinicien
el equipo.

Una vez que la computadora es reiniciada, regresen a propiedades de nuevo y

cambien el tipo de inicio a automtico y listo!.

mms.exe Este archivo y proceso de Windows, administra las consolas de servicios,

es un proceso esencial cuando se emplean algunas herramientas del sistema.
Suele ubicarse en:
C:WINDOWSsystem32mmc.exe
A veces se lo halla en C:Windowsmmc.exe o en otro directorio, es un virus.
Rundll32.exe
Es un proceso del sistema en donde corre las DLLs y pone sus bibliotecas en
memoria, para que puedan ser utilizada ms eficientemente por las aplicaciones.
Rundll32.exe, permite invocar una funcin exportada de una DLL de 16 o de 32
bits.
Muchas veces este proceso es cambiado por archivos plagados de troyanos.
Su solucion es instalarlo nuevamente usted puede buscarlo en el cd de instalacin o
descargndolo en:
http://www.p-nand-q.com/download/rundll32.html

cmd.exe
Este es un proceso del sistema que vendra a ser la consola de comandos (de hecho
cmd es por "command". y debe encontrarse en C:WINDOWSsystem32cmd.exe
Si usted puede ver que este procesos ocupa mas 50% de los recursos de su Pc .
Segurtamente este infectado con algn troyano in detectable que no puede captar
norton una de las opciones sera actualizar el sistema desde la pagina de
windowsupdate o escanea en linea con antivirus como mcafee o panda. si es
posible, restaura el sistema a un punto en el que no tuvieras ese problema.
Javaw.exe
El javaw.exe es un proceso por Sun Microsystems que da funcionalidad a este
Internet Protocol. A menudo trabajos junto con Internet Explorer. Este programa es
un proceso no esencial del sistema. Deriva de la aplicacion Java
Muchas veces ocupa hasta el 100% del CPU.
Seria mejor instalar la version 6.17 si tienes alguna otra.
en Windows7 la version 6.20 genera problemas, por lo que la mas estable es la
6.17
dllhost.exe
En general es un troyano que se mantiene activo, normalmente se aloja en la
carpeta system32 de Windows, y si vas a eliminar el archivo .exe, el vuelve y se
autocrea, igualmente si lo eliminas de la lista de procesos tambien vuelve y
aparece.
En general se encuentran procesos que se llaman dlllhost.exe
winlogon.exe
Es un proceso de Windows que tiene como responsabilidad la administracin de lo
que tiene que ver con el inicio de sesin de los usuarios as como los perfiles y
algunas veces del cierre de sesin. Es de suma importancia, no podemos
terminarlo, porque sino, el funcionamiento que tendr el sistema ser bastante
inestable, y pues obviamente, eso es lo que se quiere evitar.
algunos virus / malwares, utilizan el nombre de winlogon.exe (o similares) para
infectar tu computadora de virus. Existen pruebas de que los virus W32.Netsky.D /
Backdoor-CFB, se esconden con este nombre para pasar desapercibidos.
wlcomm.exe
El wlcomm.exe es parte de Live Messenger. Pero los problemas surgen cuando
empieza a utilizar gran parte del cpu y congela la computadora de una manera muy
consecutiva, para su solucin;
* Desinstalar cualquier agregado al Live Messenger, como el MSN Plus! o cualquier
otro programa para agregar conos y similares.
* Probar desinstalar el Live Messenger desde Agregar y quitar programas, volverlo
a instalar.
* Si tiene un firewall o algn antivirus con firewall, se debe poner en la "lista de
excluidos" (es decir, la lista de programas que no deben tenerse en cuenta) el
archivo wlcomm.exe
Wininit.exe
El proceso y archivo wininit.exe, es parte de Windows Vista. Se encarga de cargar
servicios bsicos de este sistema operativo: el administrador de servicios, el
subsistema LSA y el administrador de sesiones locales.
Suele ubicarse en:
C:WindowsSystem32wininit.exe

Existen mltiples programas malignos que emplean el nombre de archivo

wininit.exe, entre ellos Win32/VB.FW, VB.FW, W32.Solow, W32/Archiles.worm,
W32/Generic.worm.h, W32/SillyFD-AA, W32/Sillyworm.WR, W32/Sillyworm.WR,
W32/VB.FW!worm, W32/VB.UT.worm, W32/VBWorm.NFE, Win32.Worm.VB.CQ,
Win32/VB.FW, Worm.VB.akc, Worm.Win32.VB.fw, Worm/VB.AZI, Worm/VB.CQ.2,
WORM_VB.CNG, WOLLF.16 TROJAN.
Generalmente este archivo es un virus, cuando se lista como programa a iniciarse
con Windows, en la lista que se muestra en la solapa Inicio, de la herramienta
msconfig (Inicio - Ejecutar - escribir: msconfig).
El nombre del proceso que se inicia con Windows puede ser Microsoft Update 32 wininit.exe, pero no tiene relacin con Windows, es slo para despistar.
KMservice.exe
Muchas veces pasando el antivirus nos aparece que es un archivo infectado pero
esto es falso no es el malware (virus , adware, spyware) es un activador pirata para
Office 2010.
lsass.exe
Se trata de un proceso que permite el correcto funcionamiento de todos los
protocolos de seguridad del sistema operativo Windows, pero como la mayora de
los programas que desarrolla Microsoft este tiene una vulnerabilidad que fue
aprovechada para ser contaminado por el virus W32/Sasser.A.
Qu es el virus W32/Sasser.A?
Se trata de un gusano de redes, programado en Visual C++, que se propaga
explotando la vulnerabilidad en el proceso LSASS (Local Security Authority
Subsystem), reparada por Microsoft en su parche MS04-011 (ver MS04-011
Actualizacin crtica de Windows (835732), http://www.vsantivirus.com/vulms04011.htm). Afecta computadoras que corran bajo Windows XP o 2000, sin el parche
MS04-011 instalado.
LSASS controla varias tareas de seguridad consideradas crticas, incluyendo control
de acceso y polticas de dominios. Una de las interfaces MS-RPC asociada con el
proceso LSASS, contiene un desbordamiento de bfer que ocasiona un volcado de
pila, explotable en forma remota. La explotacin de este fallo, no requiere
autenticacin, y puede llegar a comprometer a todo el sistema.
Bsicamente una vez que est infectado lsass.exe es como si tu PC tuviera la
puerta abierta para ser controlada este es un problema ms que nada de los
equipos que usan Windows pirata o que simplemente no est actualizado.
Cmo se si mi proceso est infectado?
Bueno este virus se propaga igual por USB asi que bsicamente si tienes ver
archivos ocultos y ven que en una memoria USB existe un archivo autorun y
lsass.exe quiere decir que tienes el virus, en algunos equipos ms vulnerables esos
se reinician cada 60 segundos lo que hace un infierno de virus.
Lo q se debe hacer es; primero, verificar que la ruta del proceso sea la carpeta
Windows/System32; la segunda es que el nombre sea exactamente lsass.exe y
lass.exe, Isass.exe, etc., que son nombres que camuflajean el verdadero proceso.
Fuente