svchost.exe sigue consumiendo todos los recursos luego de formatear! (CERRADO)

[MRgoo]

Buenos días, creo tener el clasico problema con el svchost.exe, se repite varias veces y me pone muy lenta la compu comiendo todos los recursos llegando a veces al 100%. Hasta ayer probe varias posibles soluciones pero no logre reparar el error, así que decidi formatear (formato lento) y cargar un Windows XP SP3 original sin nada modificado actualizado a diciembre 2009 y para mi sorpresa el problema persiste :evil:



Le intente carga la actualización que se nombra en varios sitios pero se ve que ya la tiene el SP3:



[img]http://i45.tinypic.com/50ljm.jpg[/img]



Una captura del administrador de tareas:



[img]http://i46.tinypic.com/2hrlqps.jpg[/img]



[b]HijackThis me arroja lo siguiente:[/b]



Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 20:24:48, on 23/12/2009

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v8.00 (8.00.6001.18702)

Boot mode: Normal



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe

C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\SOUNDMAN.EXE

C:\WINDOWS\system32\RUNDLL32.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe

C:\WINDOWS\system32\ctfmon.exe

C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\SearchIndexer.exe

C:\WINDOWS\system32\wscntfy.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Archivos de programa\Mozilla Firefox\firefox.exe

C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe

C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe

C:\WINDOWS\system32\SearchProtocolHost.exe

C:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe



R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [avast!] C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O20 - Winlogon Notify: RailNotification - C:\WINDOWS\SYSTEM32\winlogonnotification.dll

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe



--

End of file - 3920 bytes



[b]Una captura del ProcessExplorer:[/b]



[img]http://i47.tinypic.com/afht3o.jpg[/img]





[b]Una captura de tasklist /svc:[/b]



[img]http://i46.tinypic.com/23u38dy.jpg[/img]



[b]Tambien intente desahabilitando las actualizaciones automaticas o creando un "instalador" a apartir de un .txt a .bat con lo siguiente:[/b]


[quote]Rem Re-register dlls

REGSVR32 WUAPI.DLL /s

REGSVR32 WUAUENG.DLL /s

REGSVR32 WUAUENG1.DLL /s

REGSVR32 ATL.DLL /s

REGSVR32 WUCLTUI.DLL /s

REGSVR32 WUPS.DLL /s

REGSVR32 WUPS2.DLL /s

REGSVR32 WUWEB.DLL /s

Rem Stop Services

net stop WuAuServ

taskkill /f /im wuauclt.exe

REm add other service here

Rem Delete SoftwareDistribution Folder

RMDIR C:\windows\SoftwareDistribution /s/q

net start WuAuServ

Echo Look for any errors

echo To Reboot

Pause

shutdown -r -t 10[/quote]

[u]Pero tampoco me funciono.[/u]



Tambien les comento que he revisado este hilo: [url]https://foros.zonavirus.com/viewtopic.php?f=13&t=27759[/url] (tema cerrado) pero note que yo no tengo esa entrada, espero puedan ayudarme.



Saludos!

[msc hotline sat]

Estás confundiendo términos !!!



El SVCHOST es el lanzador de procesos del sistema operativo y es normal que haya varios, segun las aplicaciones que tienes en marcha



Si bien algunos malwares utilizan dicho nombre para ocultar un troyano, si está lanzado desde la carpeta de sistema (C:\windows\system32) es normal que aparezca en los informes que ves.



Si no quieres que haya tantos, simplemente no lances tantas aplicaciones en el inicio del ordenador, y no abras tantas ventanas de nuevos procesos sin cerrar las anteriores.



Y el hecho de señalar el Proceso inactivo del sistema, parece que lo entiendes al reves... El hecho que dispongas de 70 % de CPU en ello, quiere decir que aun con todo lo residente, aun te queda el 70 % de CPU disponible, lo cual puedes aumentar reduciendo las ventanas abiertas, pero aun asi no está tan mal !



Y el log del HJT está limpio, pero solo muestra una mínima parte del registro. Por si pudieramos encontrar algo mas no visible en lo que posteas, prueba el ELISTARA y nos informas del resultado:


[quote="para DESCARGAR el ELISTARA, msc"] http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso [/quote]
RAR



saludos



ms, 24-12-2009

[MRgoo]

Empiezo a creer que no se trate de algún virus si no de las actualizaciones de Bill.



Entiendo lo que me decis, pero el tema es que las capturas son de la pc recien formateada! no tiene nada al inicio más que el avast como es posible que me consuma más de la mitad del CPU? Hasta no hace mucho no me pasaba del 6% ahora ronda los 30-50% y sube y tiene pico de hasta 100%.



Lo que hice, pensado que era el Window XP actualizado a Dic 09, fue cargarle uno anterior que ya habia probado pero todo igual, calculo que lo hace debido a alguna actualización de windows :?:



Hay veces que tiene picos de 50% y por mas que cierre todo lo que estoy haciendo no baja :?



[b]Al inicio tengo lo siguiente, deshabilite algunas cosas:[/b]



[img]http://i49.tinypic.com/2zoymao.jpg[/img]



[img]http://i48.tinypic.com/33e63qp.jpg[/img]





[b]Te dejo lo que me pediste:[/b]



(24-12-2009 18:38:17 (GMT))

EliStartPage v19.96 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 24 de Diciembre del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(24-12-2009 18:39:20 (GMT))

EliStartPage v19.96 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 24 de Diciembre del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 2608

Nº Total de Ficheros: 34734

Nº de Ficheros Analizados: 15273

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



[b]Con el formateo de hoy, el HijackThis me arrojo:[/b]



Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 04:06:21 p.m., on 24/12/2009

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)

Boot mode: Normal



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe

C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\SOUNDMAN.EXE

C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe

C:\WINDOWS\system32\RUNDLL32.EXE

C:\Archivos de programa\Google\Gmail Notifier\gnotify.exe

C:\Archivos de programa\ABIT\ABIT uGuru\GuruClock.exe

C:\Archivos de programa\ABIT\ABIT uGuru\uGuru.exe

C:\WINDOWS\system32\ctfmon.exe

F:\uTorrent\uTorrent.exe

C:\Archivos de programa\ABIT\ABIT uGuru\uGuru_Event_Receiver.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Bonjour\mDNSResponder.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe

C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Mozilla Firefox\firefox.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\Nero\Nero8\Nero Burning Rom\nero.exe

C:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

[b]O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)[/b]

O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [avast!] C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [{0228e555-4f9c-4e35-a3ec-b109a192b4c2}] C:\Archivos de programa\Google\Gmail Notifier\gnotify.exe

O4 - HKLM\..\Run: [GuruClock] C:\Archivos de programa\ABIT\ABIT uGuru\GuruClock.exe

O4 - HKLM\..\Run: [ABIT uGuru] C:\Archivos de programa\ABIT\ABIT uGuru\uGuru.exe

O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [AlcoholAutomount] "C:\Archivos de programa\Alcohol Soft\Alcohol 120\axcmd.exe" /automount

O4 - HKCU\..\Run: [uTorrent] "F:\uTorrent\uTorrent.exe"

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe



--

End of file - 4353 bytes





La linea en negrita no resulta rara?





Hay alguna forma de limitar los servicios que usa el svchost.exe? Cuales se podrían deshabilitar?

Muchas gracias, saludos!

[msc hotline sat]

Pues mas bien parece alguna utilidad instalada manualmente.



Si quiere ver los procesos básicos, arranque en modo seguro y con el Administrador de Tareas los verá. El resto son de drivers y ejecutables opcionales.



Quizas sea cosa del AVAST... desinstalelo y pruebe con el AVG, a ver si con ello lo soluciona ??? y tras ello nos informa del resultado



saludos



ms, 26-12-2009

ref AR/Car-32.85-61.15

[julibaga]

Yo veo que tienes Torrent y uGuru. Este último no sé qué es. Pero seguro no vienen con el windows.

[msc hotline sat]

Sí, él lo sabrá que lo ha instalado, ya que no son troyanos, aunque alguno como el Torrent, NO RECOMENDABLE por ser los P2P un foco de troyanos, y el otro es una utilidad de diagnosis y control del hardware de la placa base, monitoreo de parametros y demas:



http://www.bleepingcomputer.com/startups/uGuru.exe-102.html



saludos



ms, 18-12-2009

[MRgoo]

uGuru es una utilidad de mi motherboard, nunca causo problemas.





Borre todas las cosas marcadas arriba y mejoro bastante el sistema, ya no llega a picos de 100% pero se sigue poniendo pesada.

Me canso ya :?

[msc hotline sat]

Pues pruebe desinstalando el P2P, las comparticiones pueden chupar mucho, y el Torrent es lo que tiene...



Informenos del resultado, gracias



saludos



ms, 28-12-2009

[yelcr]

Hola soy nuevo es esta pagina, pero estoy convencido que es un virus, ya que tengo 14 maquinas conectadas en red y no e podido detener este problema, me aparece en varias PCs, incluso recien formateada y sin haberle isntalado nada, estoy en busca de una buena solucion a este problema...

[msc hotline sat]

Empieza por seguir las Normas, yelcr, no escribas en Temas antiguos:



https://foros.zonavirus.com/viewtopic.php?f=1&t=17382



y abre un Tema para tu problema, este no viene al caso, y además al no haber contestado el autor del Tema como se le pedía, se cierra el Tema en consecuencia



Visto lo que dices, en el Tema que abras al respecto, postea los resultados de las dos utilidades, ELISTARA y SPROCES:


[quote="para DESCARGAR el ELISTARA, msc"] http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso [/quote]


[quote="msc"]
[b]SPROCES.EXE[/b] (herramienta de investigación)

http://www.zonavirus.com/descargas/sproces.asp



Y tras pulsar en SALIR, posteanos el contenido del C:\SPROCLOG.TXT [/quote]
lo analizaremos e informaremos al respecto.



saludos



ms, 23-4-2010

RCR