svchost al 100 % (Solucionado)

Arcangel · Mensaje por **Arcangel** » 21 Sep 2004, 02:37

No se si sera o no un virus pero esto es lo que me sucede, estoy superdesesperado asi que cualquier sugerencia sera bien recibida

Mi problema es el siguiente al estar unos minutos conectado a internet se me sube el uso de la cpu al 100% y no me baja de alli, comprobando procesos hay uno que es el svchost que es el causante del asunto. Instale el parche del sasser y el blaster y formatee otro disco duro e instale alli otra vez windows xp con todos los drivers de los dispositivos (tarjeta grafica, chipset, tarjea de sonido). El hecho de tener la cpu al 100 % hace que apenas pueda navegar por internet y que los programas que tengo abiertos me vayan muy lentos. Tengo instalado el bit defender y me he mirado el ordenador con varios antivirus en linea y no coge nada, si intentas cerrar la conexion a internet(ADSL TERRA DE 6 A 8) que cuesta bastante y lo vuelves a intentar ya no te carga ninguna pagina y sigue estando la cpu al 100 %. Si cierras el proceso pasa algo muy parecido es decir que aunque conectes a internet la cpu sigue al 100 % y no te carga nada.

esta es nueva de hoy, cuando he llegado a casa he puesto internet y bueno a parte del superproblema que ya he comentado me viene otro, que no es otro que teniendo ADSL las paginas web me van a una velocidad peor que la del 56 Kas, no se que pasa pero estoy abierto a todas las sugerencias que se os ocurran.

Saludos y gracias por contestar

WINDOWS XP PROFESIONAL

TARJETA NVIDIA 440 MX

PROCESADOR INTEL A 2,4 GB

MEMORIA DDR A 256 MB

caito · Mensaje por **caito** » 21 Sep 2004, 03:50

Mira este post :

https://foros.zonavirus.com/viewtopic.php?t=1081

Comenta cómo te fue.

Salu2

Caito

Arcangel · Mensaje por **Arcangel** » 21 Sep 2004, 16:57

Agradezco el tutorial, muy bueno de verdad, pero he pasado el spybot y no me ha detectado nada, lo he probado en el modo seguro y tampoco ha detectado nada. Tampoco es que tenga seguro que es un virus, pero es algo raro, de todos modos agradezco tu respuesta

caito · Mensaje por **caito** » 21 Sep 2004, 22:40

Si has pasado los programas que te recomienda El Piedra en ese post, puedes de ahí mismo bajar el Hijak This, lo instalas en su propia carpeta , lo corres en modo normal y le pones Scan, luego Save Log, el log lo copias y pegas como respuesta a este post.

Salu2

Caito

Arcangel · Mensaje por **Arcangel** » 22 Sep 2004, 00:50

Esto es lo que me pone el log que me comentas. Yo no veo nada anormal, mira a ver si tu encuentras algo.

Saludos

Logfile of HijackThis v1.98.2

Scan saved at 0:52:55, on 22/09/2004

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:

D:\WINDOWS\System32\smss.exe

D:\WINDOWS\system32\winlogon.exe

D:\WINDOWS\system32\services.exe

D:\WINDOWS\system32\lsass.exe

D:\WINDOWS\system32\svchost.exe

D:\WINDOWS\System32\svchost.exe

D:\WINDOWS\system32\spoolsv.exe

D:\WINDOWS\Explorer.EXE

D:\WINDOWS\System32\nvsvc32.exe

D:\Archivos de programa\Archivos comunes\Softwin\BitDefender Communicator\xcommsvr.exe

D:\ARCHIV~1\GENIUS~1\GNETMOUS.EXE

D:\WINDOWS\System32\wuauclt.exe

D:\WINDOWS\System32\taskmgr.exe

D:\Archivos de programa\Internet Explorer\IEXPLORE.EXE

D:\Archivos de programa\Internet Explorer\IEXPLORE.EXE

D:\WINDOWS\System32\cmd.exe

D:\Archivos de programa\Archivos comunes\Softwin\BitDefender Scan Server\bdss.exe

D:\Archivos de programa\BitDefender Professional Edition\vsserv.exe

d:\archivos de programa\bitdefender professional edition\bdmcon.exe

D:\Documents and Settings\Arcangel\Escritorio\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: (no name) - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - (no file)

O4 - HKLM\..\Run: [mouseElf] D:\ARCHIV~1\GENIUS~1\GNETMOUS.EXE

O4 - HKLM\..\Run: [MSConfig] D:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto

O4 - HKLM\..\Run: [BDMCon] d:\archiv~1\bitdef~1\bdmcon.exe

O4 - HKLM\..\Run: [BDNewsAgent] d:\archiv~1\bitdef~1\bdnagent.exe

O8 - Extra context menu item: &Download with &DAP - D:\ARCHIV~1\DAP\dapextie.htm

O8 - Extra context menu item: Download &all with DAP - D:\ARCHIV~1\DAP\dapextie2.htm

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - D:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - D:\WINDOWS\web\related.htm

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1095631568092

O17 - HKLM\System\CCS\Services\Tcpip\..\{5E84F6EB-9915-43F8-98BC-2590692B756F}: NameServer = 195.235.113.3 195.235.96.90

caito · Mensaje por **caito** » 22 Sep 2004, 01:32

Lo único que veo de malo es esto :

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - D:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - D:\WINDOWS\web\related.htm

Tienes que actualizarte por windows update.Tambien (además de borrar esas entradas) elimina los archivos Temporales de Internet,cokies,historial y el contenido de la carpeta Temp.

Cuenta cómo te fue.

Salu2

Caito

Arcangel · Mensaje por **Arcangel** » 22 Sep 2004, 18:11

Exactamente eso que ves malo, ¿que es exactamente? ¿publicidad?. En cuanto a windows update me actualice hace 2 dias y me detecto que necesitaba 16 actualizaciones criticas y de seguridad, las baje, me las instale pero todo sigue igual, al rato de estar con internet, el proceso svchost se me sube al 100 %. Si sabes algo mas a la espera estoy

Saludos

caito · Mensaje por **caito** » 23 Sep 2004, 01:50

Esta :

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

es indiferente borrarla o no , en internet hay quien lo aconseja y quien no, en fin es igual.

Si quieres puedes dejarla.

Estas :

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - D:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - D:\WINDOWS\web\related.htm

Son relativas a Alexa ( spiware ) y hay que eliminarlas.

En cuanto al svchost no es normal que esté siempre al 100 %, confías en tu antivirus ?

salu2

Caito

Arcangel · Mensaje por **Arcangel** » 23 Sep 2004, 17:08

Gracias por la aclaracion. En cuanto a mi antivirus a mi parecer tengo el mejor instalado que es el bitdefender y ademas formatee hace unos dias y me paso al poco de formatear asi que no se que puede ir mal, de lo que estoy seguro es de que solo pasa cuando estoy en internet, si no estoy no pasa. El spybot ahora me detecta, y creo que antes tambien algo llamado DSO exploit, que por cierto no puedo eliminar, si sabes algo agradezco respuestas.

Saludos

Mensaje por **msc hotline sat** » 23 Sep 2004, 17:30

Aparte de la ayuda sobre spywares que te ha facilitado Caito, como que al principio indicvabas problemas con SVCHOST al 100 % y con este nombre, aparte del lanzador de tareas de windows, se esconden muchos gusanos como algunos de los que entran por el RPCDCOM, por lo que recomiendo bajar y lanzar el ELIRPCA.EXE con lo que se eliminarían los gusanos al respecto, si los hubiera.

Además, hoy hemos subido una nueva version de esta utilidad, que ya es compatible con SP2 de XP y que le indicaría si encontrara a faltar parches al respecto

https://foros.zonavirus.com/viewtopic.php?t=796

saludos

ms, 23-09-2004

Arcangel · Mensaje por **Arcangel** » 24 Sep 2004, 00:51

Pues he pasado la herramienta y me pone que no ha encontrado nada. Concretamente dice que no ha encontrado gusanos exploit dcom rpc.

De todos modos y por si lo sabeis interpretar he hecho un tasklist /svc y esto es lo que me ha sacado que tengo activo, a ver que os parece

Nombre de imagen PID Servicios

========================= ====== =============================================

System Idle Process 0 N/D

System 4 N/D

smss.exe 392 N/D

csrss.exe 448 N/D

winlogon.exe 472 N/D

services.exe 516 Eventlog, PlugPlay

lsass.exe 528 PolicyAgent, ProtectedStorage, SamSs

svchost.exe 704 RpcSs

*****svchost.exe 728 AudioSrv, Browser, CryptSvc, Dhcp, dmserver,

Este es el que da

tantos problemas ERSvc, EventSystem,

FastUserSwitchingCompatibility, helpsvc,

lanmanserver, lanmanworkstation, Messenger,

Netman, Nla, RasAuto, RasMan, Schedule,

seclogon, SENS, ShellHWDetection, srservice,

TapiSrv, TermService, Themes, TrkWks,

uploadmgr, W32Time, winmgmt, WmdmPmSp,

wuauserv, WZCSVC

svchost.exe 868 Dnscache

svchost.exe 896 LmHosts, RemoteRegistry, SSDPSRV, WebClient

spoolsv.exe 1060 Spooler

explorer.exe 1072 N/D

nvsvc32.exe 1212 NVSvc

xcommsvr.exe 1300 XCOMM

bdss.exe 1316 bdss

gnetmous.exe 1432 N/D

vsserv.exe 1540 VSSERV

wuauclt.exe 208 N/D

SpybotSD.exe 876 N/D

taskmgr.exe 956 N/D

IEXPLORE.EXE 1408 N/D

IEXPLORE.EXE 408 N/D

cmd.exe 908 N/D

tasklist.exe 1564 N/D

wmiprvse.exe 1500 N/D

Gracias y saludos

efraingh · Mensaje por **efraingh** » 24 Sep 2004, 21:55

En el post de Arcangel donde pone el resultado del hijackthis tiene una linea que dice

C:\Windows\System32\cmd.exe

No estoy seguro ya que no uso Win XP, pero al parecer ese nombre de archivo al menos en el puro nombre recibia antes el command y su extension era .com o sea command.com que ahora entonces deberia ser cmd.com, es a manera de sugerencia para que lo puedan checar a ver si es parte del problema, no estoy diciendo con esto que haya que eliminar la linea, sino que se tenga en cuenta, ademas de que esta ubicado en system32, siendo que normalmente creo antes se ubicaba en c:\windows\command.

Lo que si podria hacer es deshabilitar con msconfig la linea quitando la marca en esa linea y reiniciar y ver como funciona. Si no hay cambio alguno en mejora entonces volver a activar dicha linea porque entonces es parte del sistema y no un virus. Con eso no se pierde la linea en caso de ser parte del sistema

Aparte el resultado dice:

Win XP debe actualizar con el Service Pack 1

IE 6.0 debe actualizar a Service Pack 1

Estos entrando en http://www.windowsupdate.com

Lo que no se si se pueda hacer en forma manual buscando en la pagina de microsoft y descargando uno mismo el archivo de SP1 tanto para win xp como para ie 6.0, ¿se podra? Es decir NO hacerlo desde windowsupdate, esa es mi duda.

Efrain

piotre · Mensaje por **piotre** » 24 Sep 2004, 22:48

Hola Arcangel. Acabo de poner un post sin ver el tuyo diciendo lo mismo que tu. Bueno no decia lo mismo, pero me pasa lo mismo. La unica diferencia es que a mi tambien me pasaba lo mismo que a ti con svchost ese, pero lo arregle poniendo una actualizacion para blaster o no se que. Pero a mi el problema me ha persistido. Voy a probar lo que me han contestado, si funciona ya te aviso. Si encuentras solucion, por favor dimela ok? Por cierto a mi tambien me ha pasado al formatear el ordenador. Saludos.

piotre · Mensaje por **piotre** » 25 Sep 2004, 12:25

Prueba a instalar esto:

http://www.microsoft.com/en/us/default.aspxdownloads/details.aspx?FamilyID=2354406c-c5b6-44ac-9532-3de40f69c074&displaylang=es

A mi me funcionaba para quitar lo del svchost, lo que pasa es q a mi me surgian luego problemas relacionados con procesos q consumian memoria y conexion a internet, de tal forma que al final no iba internet y el ordenador se colgaba. Mi tema esta en este foro. Si quieres echarle un ojo es un post con el titulo "problema grave".

Saludos.

Arcangel · Mensaje por **Arcangel** » 25 Sep 2004, 13:28

efraingh: Bueno te comento, puesto que no usas xp, decirte que las cosas en este sistema operativo han cambiado un poco, ahora la carpeta de windows/system esta practicamente vacia, tiene alguna que otra carpeta pero sin darle mucha importancia, lo que era la ruta de windows/system por ejemplo en el 98 que ahi era donde se basaba el eje del sistema operativo ahora xp lo tiene en windows/system32 todo se ubica ahi, creo que es porque el sistema operativo se basa en 32 bits y de ahi system 32, luego en el 98 por ejemplo tambien lo que eran las ventanas de msdos como tu bien dices tienen ese nombre command, pero ahora en xp ha cambiado teniendo el nombre de cmd.exe, asi que no es un virus eso lo tengo seguro, al hacer el chequeo con ese programa debi cerrar todos los programas que tenia abiertos, ya que ese era uno de ellos, y estaba abierto por que hice el tasklist /svc del que he puesto los resultados un poco mas abajo, lo que si no entiendo es donde dice que tengo que actualizar a Service Pack 1 , por que creo que ya estoy actualizado. No se de todas formas gracias por tu interes.

piotre: En principio yo ya estoy parcheado contra el blaster, ahora, no sabia que existiesen actualizaciones de parches, en ese caso igual no estoy actualizado, pero el problema que tengo yo no entraba dentro de las cosas que hacia el blaster. ¿Que es exactamente eso para instalar?, ya que creo que me he instalado todo lo posible, parches, actulizaciones, service pack 1. De todos modos admito todas las sugerencias y no te preocupes que si llego a encontrar el problema ya te comentare que pasaba,.. pero sinceramente creo que eso va a ser algo dificil. Ahora le echo un vistazo al post tuyo de problema grave.

Saludos y gracias por la atencion

piotre · Mensaje por **piotre** » 25 Sep 2004, 13:52

A mi me pasaba lo mismo q a ti, recien instalado xp ponia internet y el svchost me subia al 100% el uso de cpu, consiguiendo q internet me fuera muy lento(tengo ono a 300) y al final colgandose el pc. reiniciaba sin internet puedo(desenxufado el cable del modem del ordenador) ponia ese parxe y lo del svchost se me iba. A mi el problema es q eso se iba pero luego tenia otros problemas con otros procesos q me seguian jorobando internet. Solo era eso. Saludos.

caito · Mensaje por **caito** » 25 Sep 2004, 17:01

Para Arcangel :

no estás actualizado , según el Hijack this te falta el SP1,y actualizar el IE

( no tengo XP pero me imagino que si actualizas con el SP1 o el 2 automaticamente se actualiza tu IE ).

Salu2

Caito

paxensis · Mensaje por **paxensis** » 26 Sep 2004, 12:10

Hola gente,

pues yo estoy en las mismas. Le he pasado varios antivirus y nada, la cosa sigue igual. He seguido los consejos publicados aquí, y nada.

En algún otro lugar he leído que puede ser que alguien haya instalado un servidor dentro de nuestro pc. Para solucionar este problema hay que deshabilitar la opción Internet Information Server (IIS) de Agregar o quitar componentes de windows. En mi caso no aparece esta opción (incluso he empleado un truco para windows xp para que aparecieran los servicios ocultos, y nada de nada), así que no estoy seguro de que sea este mi problema. Lo dejo aquí por si quereis probar a ver que tal os va.

Como podéis imaginar, yo no he solucionado esto todavía, así que estaré atento al tema, a ver si damos con la solución.

Saludos...

paxensis · Mensaje por **paxensis** » 26 Sep 2004, 20:13

He actualizado el windows con el Service Pack 2 bajándomelo de una page, porque desde windows update no me dejaba. La página de microsoft me daba un error cuando le decía que revisara las actualizaciones. La cosa es que lo he instalado y todo sigue igual. Bueno, ahora el svchost.exe que me come el 100% de la cpu de dice que es un servicio de red. Cuando entro en modo seguro no me aparece este svchost no me ocupa toda la cpu. Lo que sigo sin encontrar es el IIS de windows, aunque recupere los servicios ocultos que no aparecen en Agregar o quitar componentes de windows.

En fin, seguiremos esperando....

paxensis · Mensaje por **paxensis** » 28 Sep 2004, 23:20

Hola gente,

bien, problema solucionado....

Explico paso a paso por si es de utilidad para otros usuarios.

La cosa es que di con el problema. Se trataba del DSO Exploit, que se puede eliminar con el Spybot. Pero le pasaba el Spybot una y otra vez y no se iba. Tuvo fácil solución: hay que actualizar al Spybot 1.3.1, sino no lo borra. Pues bien, una vez pasada esta versión (ojo, también hay que eliminarlo de la opción Recuperar), se reinicia y listo. Todo más fácil de lo que parecía, pero me ha costado lo suyo.

Bien, recuerdo para aquellos que no siguen el hilo que a mí este bichito me ponía la cpu al 100% a través del svchost.exe cuando estaba conectado a internet, si quitaba la conexión del cable de red, esto no me pasaba.

Muchas gracias a todos y espero ayudar con la solución a mi problema.

JEXUS · Mensaje por **JEXUS** » 29 Sep 2004, 02:36

paxensis ¿me podrias decir donde has conseguido el spy&bot 1.3.1?, porque yo no lo encuentro por ningun lado.

Dices que hay que quitar la opcion de recuperar ¿a que te refieres?

Gracias.

caito · Mensaje por **caito** » 29 Sep 2004, 04:54

Me parece que la última v. es la 1.3

ftp://ftp.download.com/pub/win95/utilities/spybotsd13.exe

Salu2

Caito

paxensis · Mensaje por **paxensis** » 29 Sep 2004, 11:53

Jesus, puedes encontrar la actualización del Spybot 1.3.1 en esta dirección:

http://www.hispamp3.com/noticias/noticia.php?noticia=20030105095414

Ahí tienes un enlace a una actualización manuel donde te bajas un archivo zip que se llama "mainapp". Lo descomprimes en la carpeta donde tengas el ejecutable del Spybot (me parece que te pregunta si deseas sustituir uno por otor, le dices que sí), y al arrancar el programa verás arriba que la versión que tienes es la 1.3.1.

Os recuerdo, las anteriores no eliminan el DSO exploit....

Saludos....

Mensaje por **maura63** » 29 Sep 2004, 12:05

Solo a titulo de comentario indicar a Caito que al instalar el SP2 en XP automaticamente se instala el SP2 del IE 6.0

[color=red]Y recordar que Microsoft recomendaba que antes de instalar el SP2 se comprobara que se estaba limpios de spyware y de virus[/color].

Y solucionado el tema lo cerramos.

Saludos

maura63