Hola a todos,
tengo un grave problema: ayer estaba trabajando y en un momento dado me saltó una alarma de virus. No le di importancia porque el antivirus había saltado y seguí.
Tuve que reiniciar al instalar un aplicación de microsoft y el ordenador tardó unos 10 minutos en arrancar... 3 o 4 minutos para abrir una carpeta, se quedaba colgado, etc.
La cosa es que si abro el administrador de tareas veo 4 o 5 procesos svchost.exe. Fui probando a eliminarlos y si elimino el correcto (1 de los 4 o 5) se me abre la típica ventanita de "el ordenador se apagará en 1 minuto". La paro con shutdown -a y puedo trabajar sin problemas pero cada vez que reinicio tengo que repetir el proceso.
Los antivirus (tanto el PandaSoftware on line como el que tengo en local) no me detectan nada. Me he bajado todo tipo de aplicaciones y nada. Lo peor es que el ordenador es de un cliente y no puedo formatearlo!!!
¿Es un virus? ¿Podeis ayudarme?
Muchas gracias por todo.
Virus en svchost.exe?
Has probado con este
Antivirus On-line:
· Computer Associates
https://www.virustotal.com/es/
Segun tu tipo de conexion adsl podras arrancar en modo seguro con funciones de red y limpiar en caso de detectar algo.
Saludos
maura63
Antivirus On-line:
· Computer Associates
Segun tu tipo de conexion adsl podras arrancar en modo seguro con funciones de red y limpiar en caso de detectar algo.
Saludos
maura63
Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
Quien hace una pregunta,teme parecer ignorante durante cinco minutos.Quien no pregunta se mantiene ignorante toda la vida. (Ortega y Gasset)
Quien hace una pregunta,teme parecer ignorante durante cinco minutos.Quien no pregunta se mantiene ignorante toda la vida. (Ortega y Gasset)
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
La aplicacion SVCHOST es el lanzador de tareas de windows y todos tenemos 3 o 4 en el Administrador de tareas lanzadas.
El que detuvieras uno de estos procesos te provocó un ERROR de windows por el que el sistema lanzó un shutdown, que no debías haber detenido, porque para algo lo lanza windows: Para protegerse contra el ERROR detectado.
Aparte de virus, puedes tener instalados spywares que ralenticen tanto el arranque como el proceso. lo cual podras detectar y eliminar siguiendo las instrucciones del tutorial de spywares, aparte de lanzar el antivirus ONLINE que te ha propuesto Maura63:
https://foros.zonavirus.com/viewtopic.php?t=4795
Tras ello, comprueba si arranca y comporta normalmente, y nos lo cuentas como respuesta de este Tema, gracias
saludos
ms, 2-03-2005
El que detuvieras uno de estos procesos te provocó un ERROR de windows por el que el sistema lanzó un shutdown, que no debías haber detenido, porque para algo lo lanza windows: Para protegerse contra el ERROR detectado.
Aparte de virus, puedes tener instalados spywares que ralenticen tanto el arranque como el proceso. lo cual podras detectar y eliminar siguiendo las instrucciones del tutorial de spywares, aparte de lanzar el antivirus ONLINE que te ha propuesto Maura63:
Tras ello, comprueba si arranca y comporta normalmente, y nos lo cuentas como respuesta de este Tema, gracias
saludos
ms, 2-03-2005
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
Muchas gracias por contestar.
Arranqué en modo seguro y pasé Adware y spybot. El primero detectó una cookie "maligna" y listo. El segundo dos elementos críticos y 9 sospechosos, los puse los 11 en cuarentena.
Vuelvo a arrancar y todo sigue igual, hasta que no mato un proceso svchost.exe no puedo hacer nada. Por cierto, antes se me olvidó comentaros que puedo entrar en internet pero no puedo ver ninguna de mis conexiones de red (es como si no tuviera configurada ninguna).
En fin, el Hijack me da esto:
Logfile of HijackThis v1.99.0
Scan saved at 15:52:30, on 02/03/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\Network Associates\Common Framework\FrameworkService.exe
C:\Archivos de programa\Network Associates\VirusScan\Mcshield.exe
C:\Archivos de programa\Network Associates\VirusScan\VsTskMgr.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Synaptics\SynTP\SynTPLpr.exe
C:\Archivos de programa\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Archivos de programa\Archivos comunes\Sonic\Update Manager\sgtray.exe
C:\Archivos de programa\Network Associates\VirusScan\SHSTAT.EXE
C:\Archivos de programa\Network Associates\Common Framework\UpdaterUI.exe
C:\Archivos de programa\QuickTime\qttask.exe
C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Archivos de programa\PACDUE\hj\HijackThis_1.99.0.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar =http://format.packardbell.com/cgi-bin/redirect/?country=SP&range=AD&phase=6&key=SEARCH
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =http://www.google.es/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = file://C:\APPS\IE\offline\sp.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Packard Bell
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Archivos de programa\PACDUE\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [SynTPLpr] C:\Archivos de programa\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Archivos de programa\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [UpdateManager] "c:\Archivos de programa\Archivos comunes\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [ShStatEXE] "C:\Archivos de programa\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Archivos de programa\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=file://C:\APPS\IE\offline\sp.htm
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) -http://www.pandasoftware.com/activescan/as5/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{D72AC928-5FC9-4312-B8D8-7C50E83AB070}: NameServer = 212.49.128.65
O23 - Service: Servicio del administrador de discos lógicos - Unknown - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Registro de sucesos - Unknown - C:\WINDOWS\system32\services.exe
O23 - Service: Servicio COM de grabación de CD de IMAPI - Unknown - C:\WINDOWS\System32\imapi.exe
O23 - Service: Servicio de registro de McAfee - Network Associates, Inc. - C:\Archivos de programa\Network Associates\Common Framework\FrameworkService.exe
O23 - Service: Network Associates McShield - Network Associates, Inc. - C:\Archivos de programa\Network Associates\VirusScan\Mcshield.exe
O23 - Service: Network Associates Task Manager - Network Associates, Inc. - C:\Archivos de programa\Network Associates\VirusScan\VsTskMgr.exe
O23 - Service: Escritorio remoto compartido de NetMeeting - Unknown - C:\WINDOWS\System32\mnmsrvc.exe
O23 - Service: NVIDIA Display Driver Service - Unknown - C:\WINDOWS\System32\nvsvc32.exe (file missing)
O23 - Service: OracleOUIHomeClientCache - Unknown - C:\OraHome1\BIN\ONRSD.EXE
O23 - Service: Plug and Play - Unknown - C:\WINDOWS\system32\services.exe
O23 - Service: Administrador de sesión de Ayuda de escritorio remoto - Unknown - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Tarjeta inteligente - Unknown - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: SmartLinkService - Unknown - slserv.exe (file missing)
O23 - Service: Registros y alertas de rendimiento - Unknown - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Instantáneas de volumen - Unknown - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Adaptador de rendimiento de WMI - Unknown - C:\WINDOWS\System32\wbem\wmiapsrv.exe
Arranqué en modo seguro y pasé Adware y spybot. El primero detectó una cookie "maligna" y listo. El segundo dos elementos críticos y 9 sospechosos, los puse los 11 en cuarentena.
Vuelvo a arrancar y todo sigue igual, hasta que no mato un proceso svchost.exe no puedo hacer nada. Por cierto, antes se me olvidó comentaros que puedo entrar en internet pero no puedo ver ninguna de mis conexiones de red (es como si no tuviera configurada ninguna).
En fin, el Hijack me da esto:
Logfile of HijackThis v1.99.0
Scan saved at 15:52:30, on 02/03/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\Network Associates\Common Framework\FrameworkService.exe
C:\Archivos de programa\Network Associates\VirusScan\Mcshield.exe
C:\Archivos de programa\Network Associates\VirusScan\VsTskMgr.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Synaptics\SynTP\SynTPLpr.exe
C:\Archivos de programa\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Archivos de programa\Archivos comunes\Sonic\Update Manager\sgtray.exe
C:\Archivos de programa\Network Associates\VirusScan\SHSTAT.EXE
C:\Archivos de programa\Network Associates\Common Framework\UpdaterUI.exe
C:\Archivos de programa\QuickTime\qttask.exe
C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Archivos de programa\PACDUE\hj\HijackThis_1.99.0.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = file://C:\APPS\IE\offline\sp.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Packard Bell
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Archivos de programa\PACDUE\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [SynTPLpr] C:\Archivos de programa\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Archivos de programa\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [UpdateManager] "c:\Archivos de programa\Archivos comunes\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [ShStatEXE] "C:\Archivos de programa\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Archivos de programa\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=file://C:\APPS\IE\offline\sp.htm
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) -
O17 - HKLM\System\CCS\Services\Tcpip\..\{D72AC928-5FC9-4312-B8D8-7C50E83AB070}: NameServer = 212.49.128.65
O23 - Service: Servicio del administrador de discos lógicos - Unknown - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Registro de sucesos - Unknown - C:\WINDOWS\system32\services.exe
O23 - Service: Servicio COM de grabación de CD de IMAPI - Unknown - C:\WINDOWS\System32\imapi.exe
O23 - Service: Servicio de registro de McAfee - Network Associates, Inc. - C:\Archivos de programa\Network Associates\Common Framework\FrameworkService.exe
O23 - Service: Network Associates McShield - Network Associates, Inc. - C:\Archivos de programa\Network Associates\VirusScan\Mcshield.exe
O23 - Service: Network Associates Task Manager - Network Associates, Inc. - C:\Archivos de programa\Network Associates\VirusScan\VsTskMgr.exe
O23 - Service: Escritorio remoto compartido de NetMeeting - Unknown - C:\WINDOWS\System32\mnmsrvc.exe
O23 - Service: NVIDIA Display Driver Service - Unknown - C:\WINDOWS\System32\nvsvc32.exe (file missing)
O23 - Service: OracleOUIHomeClientCache - Unknown - C:\OraHome1\BIN\ONRSD.EXE
O23 - Service: Plug and Play - Unknown - C:\WINDOWS\system32\services.exe
O23 - Service: Administrador de sesión de Ayuda de escritorio remoto - Unknown - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Tarjeta inteligente - Unknown - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: SmartLinkService - Unknown - slserv.exe (file missing)
O23 - Service: Registros y alertas de rendimiento - Unknown - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Instantáneas de volumen - Unknown - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Adaptador de rendimiento de WMI - Unknown - C:\WINDOWS\System32\wbem\wmiapsrv.exe
Elimina en modo seguro estas
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar =http://format.packardbell.com/cgi-bin/redirect/?country=SPrange=ADphase=6key=SEARCH
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = file://C:\APPS\IE\offline\sp.htm -
O14 - IERESET.INF: START_PAGE_URL=file://C:\APPS\IE\offline\sp.htm -
Saludos
maura63
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = file://C:\APPS\IE\offline\sp.htm -
O14 - IERESET.INF: START_PAGE_URL=file://C:\APPS\IE\offline\sp.htm -
Saludos
maura63
Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
Quien hace una pregunta,teme parecer ignorante durante cinco minutos.Quien no pregunta se mantiene ignorante toda la vida. (Ortega y Gasset)
Quien hace una pregunta,teme parecer ignorante durante cinco minutos.Quien no pregunta se mantiene ignorante toda la vida. (Ortega y Gasset)
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Además, solo tiene un servicio de windows lanzado por el SVCHOST, contra los varios que necesita windows.
Debe reparar el sistema, arrancando con el CD de instalacion y cuando detecte la particion instalada, seleccionar REPARAR, no reinstalar, para no perder las aplicaciones instaladas.
Tras ello, actualizar con el windowsupdate y reiniciar
Debe tener aplicaciones corruptas que al ser lanzadas le daban dicho problema, y esta es la manera de repararlas
saludos
ms, 2-03-.2005
Debe reparar el sistema, arrancando con el CD de instalacion y cuando detecte la particion instalada, seleccionar REPARAR, no reinstalar, para no perder las aplicaciones instaladas.
Tras ello, actualizar con el windowsupdate y reiniciar
Debe tener aplicaciones corruptas que al ser lanzadas le daban dicho problema, y esta es la manera de repararlas
saludos
ms, 2-03-.2005
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
Msc te comento
Prueba.
Saludos
maura63
[quote]Debe reparar el sistema, arrancando con el CD de instalacion y cuando detecte la particion instalada, seleccionar REPARAR, no reinstalar, para no perder las aplicaciones instaladas.
Tras ello, actualizar con el windowsupdate y reiniciar[/quote]
Prueba.
Saludos
maura63
Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
Quien hace una pregunta,teme parecer ignorante durante cinco minutos.Quien no pregunta se mantiene ignorante toda la vida. (Ortega y Gasset)
Quien hace una pregunta,teme parecer ignorante durante cinco minutos.Quien no pregunta se mantiene ignorante toda la vida. (Ortega y Gasset)