svchost.exe

[electroestatico]

bueno ps no se ke le pasa a mi pc osea ye vi que es un virus jeje que se oculta en ese proceso pero nose no puedo quitarlo solo puedo estar un momento en el explorer porke despuez ya no me funciona.



el svchost.exe me ocupa el99% de la memoria del cpu



creo que esta pasando justo ahora a ver si puedo poner este tema :S

[msc hotline sat]

Empieza por lanzar un antivirus ONLINE y saldrás de dudas



https://www.virustotal.com/es/



Y nos informas del resultado, como respuesta de este Tema, gracias



saludos



ms, 21-05-2005

[electroestatico]

ya lo pase y no se arregla despuez de pasarlo y borrar unas cosas que me señalo lo puse en modo a prueba de fallos y pase mi antivirus y detecto algo tambien el ad-aware y borre todo lo que encontre y nada todavia despuez de un tiempo de estar conectado se activa



y me pone la pc muy lenta y no puedo usar el explorer





otra cosa cuando cierro uno de los svchost.exe que no es el que ocupa todo el cpu se abre la ventanita del BLASTER la que te marca un minuto para apagar la pc..pero solo cuando cierro ese proceso.



no se que hacer no puedo hacer mi tarea y es para el martes jaja :cry:

[msc hotline sat]

No tiene nada que ver con el BLASTER, La ventana del shutdown es del wuidows, que ante un ERROR de sistema, la lanza, y ello ocurre cuando intrusiona el BLASTER, el SASSER, o cuando corta un proceso de sistema que le provoca un ERROR, ante el que responde windows con el shutdown para evitar dalos mayores, pero en este caso es Vd el que lo provoca al detener dicho proceso lanzado por el SVCHOST.



Recuerde que originalmnente el SVCHOST es el lanzador de tareas del windows, y habrá varios en proceso normalmente, aunque sea utilizado su nombre o con pequeñas diferencias para esconder algun que otro gusano, pero el que hat en la carpeta de sistema es inicialmente del sistema operativo.



Lance su antivirus y su antispyware arrancando en modo seguro y deshabilitando la restauracion de sistema si usa XP, y diganos los bichos que todavía detecta, para poderle ayudar.



Y si ya no detecta nada u persisten los problemas, diganoslo tambien u le pediríamos un log del HiJackThis, pero ante todo, compruebe que ya no detecta nada con los medios indicados



saludos



ms, 23-05-2005

[electroestatico]

ok muchas gracias jeje deja lo hago.



de verdad ke con este problema ni de dormir tengo tiempo jaja tengo que estar el doble de tiempo en la pc.

[msc hotline sat]

Pues tenganos informados de lo que detecta o en su caso copienos el log del HJT segun :


[quote]


Instrucciones para enviarnos log del HiJackThis:



Bajar :

http://www.merijn.org/files/hijackthis.zip



Descarga el programa HijackThis 1.99.1 y colócalo en una carpeta propia C:\HijackThis\. Ejecútalo y presiona el botón "Do a system scan and save a logfile"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedira el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está. Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta a este tema.




[/quote]

saludos



ms, 23-05-2005

[electroestatico]

aqui esta.


[quote]Logfile of HijackThis v1.99.1

Scan saved at 09:25:50 a.m., on 23/05/2005

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Trend Micro\PC-cillin 2003\Tmntsrv.exe

C:\Archivos de programa\Trend Micro\PC-cillin 2003\tmproxy.exe

C:\WINDOWS\AGRSMMSG.exe

C:\WINDOWS\System32\ezSP_Px.exe

C:\Archivos de programa\Trend Micro\PC-cillin 2003\pccguide.exe

C:\Archivos de programa\Trend Micro\PC-cillin 2003\PCCClient.exe

C:\Archivos de programa\Trend Micro\PC-cillin 2003\Pop3trap.exe

C:\Archivos de programa\Microsoft AntiSpyware\gcasServ.exe

C:\Archivos de programa\RFA\rfagent.exe

C:\Archivos de programa\Winamp\winampa.exe

C:\Archivos de programa\iTunes\iTunesHelper.exe

C:\Archivos de programa\Microsoft AntiSpyware\gcasDtServ.exe

C:\Archivos de programa\iPod\bin\iPodService.exe

C:\WINDOWS\System32\??curity\wuauclt.exe

C:\Archivos de programa\Sony\VAIO Action Setup\VAServ.exe

C:\HijackThis\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.com.mx/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\WINDOWS\PCHealth\HelpCtr\System\panels\blank.htm

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

R3 - Default URLSearchHook is missing

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: MPEG Support Dll - {57A70350-87D9-4EA2-B3AC-C1C1B5296035} - C:\WINDOWS\System32\mpegcore.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar2.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar2.dll

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe

O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe

O4 - HKLM\..\Run: [VAIOSURVEY] C:\Archivos de programa\Sony\VAIO Survey\LASurvey.exe

O4 - HKLM\..\Run: [ZZZ] C:\WINDOWS\Sonysys\Eflyer\SubFlyer.exe

O4 - HKLM\..\Run: [pccguide.exe] "C:\Archivos de programa\Trend Micro\PC-cillin 2003\pccguide.exe"

O4 - HKLM\..\Run: [PCCClient.exe] "C:\Archivos de programa\Trend Micro\PC-cillin 2003\PCCClient.exe"

O4 - HKLM\..\Run: [Pop3trap.exe] "C:\Archivos de programa\Trend Micro\PC-cillin 2003\Pop3trap.exe"

O4 - HKLM\..\Run: [gcasServ] "C:\Archivos de programa\Microsoft AntiSpyware\gcasServ.exe"

O4 - HKLM\..\Run: [rfagent] "C:\Archivos de programa\RFA\rfagent.exe"

O4 - HKLM\..\Run: [WinampAgent] C:\Archivos de programa\Winamp\winampa.exe

O4 - HKLM\..\Run: [MS UniX] navupdate64.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [iTunesHelper] "C:\Archivos de programa\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [KAVPersonal50] "C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize

O4 - HKLM\..\RunServices: [MS UniX] navupdate64.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [MS UniX] navupdate64.exe

O4 - HKCU\..\Run: [Btow] C:\Documents and Settings\Ruben\Datos de programa\slor.exe

O4 - HKCU\..\Run: [Bhdg] C:\WINDOWS\System32\??curity\wuauclt.exe

O4 - Startup: Adobe Gamma.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: VAIO Action Setup (Server).lnk = ?

O8 - Extra context menu item: &Google Search - res://C:\Archivos de programa\Google\GoogleToolbar2.dll/cmsearch.html

O8 - Extra context menu item: Instantánea de caché de la página - res://C:\Archivos de programa\Google\GoogleToolbar2.dll/cmcache.html

O8 - Extra context menu item: Páginas similares - res://C:\Archivos de programa\Google\GoogleToolbar2.dll/cmsimilar.html

O8 - Extra context menu item: Páginas vinculadas - res://C:\Archivos de programa\Google\GoogleToolbar2.dll/cmbacklinks.html

O14 - IERESET.INF: START_PAGE_URL=http://www.sony-latin.com/registration/vaio

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1116587171218

O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab

O16 - DPF: {D19781C5-2051-44F8-8445-DDC82933C191} (VacPro.internazionale_ver11) - http://advnt01.com/dialer/internazionale_ver11.CAB

O17 - HKLM\System\CCS\Services\Tcpip\..\{669C8FD4-5C6E-418B-AC1E-BC29AFA8771C}: NameServer = 200.33.148.202 200.33.148.196

O23 - Service: Adobe LM Service - Adobe Systems - C:\Archivos de programa\Archivos comunes\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: Servicio del iPod (iPodService) - Apple Computer, Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe

O23 - Service: kavsvc - Kaspersky Lab - C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe

O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\ARCHIV~1\ARCHIV~1\SONYSH~1\AVLib\Sptisrv.exe

O23 - Service: Trend NT Realtime Service (Tmntsrv) - Trend Micro Incorporated. - C:\Archivos de programa\Trend Micro\PC-cillin 2003\Tmntsrv.exe

O23 - Service: Trend Micro Proxy Service (tmproxy) - Trend Micro Incorporated. - C:\Archivos de programa\Trend Micro\PC-cillin 2003\tmproxy.exe

O23 - Service: VAIO Media Music Server (VAIOMediaPlatform-MusicServer-AppServer) - Unknown owner - C:\Archivos de programa\Sony\VAIO Media Music Server\SSSvr.exe" /Service=VAIOMediaPlatform-MusicServer-AppServer /DisplayName="VAIO Media Music Server (file missing)

O23 - Service: VAIO Media Music Server (HTTP) (VAIOMediaPlatform-MusicServer-HTTP) - Unknown owner - C:\Archivos de programa\Archivos comunes\Sony Shared\VAIO Media Platform\sv_httpd.exe" /Service=VAIOMediaPlatform-MusicServer-HTTP /RegRoot="Software\Sony Corporation\VAIO Media Platform\2.0" /RegExt="Applications\MusicServer\HTTP (file missing)

O23 - Service: VAIO Media Music Server (UPnP) (VAIOMediaPlatform-MusicServer-UPnP) - Sony Corporation - C:\Archivos de programa\Archivos comunes\Sony Shared\VAIO Media Platform\UPnPFramework.exe

O23 - Service: VAIO Media Photo Server (VAIOMediaPlatform-PhotoServer-AppServer) - Sony Corporation - C:\Archivos de programa\Sony\Photo Server\appsrv\PhotoAppSrv.exe

O23 - Service: VAIO Media Photo Server (HTTP) (VAIOMediaPlatform-PhotoServer-HTTP) - Unknown owner - C:\Archivos de programa\Archivos comunes\Sony Shared\VAIO Media Platform\SV_Httpd.exe" /Service=VAIOMediaPlatform-PhotoServer-HTTP /RegRoot="Software\Sony Corporation\VAIO Media Platform\2.0" /RegExt="\Applications\PhotoServer\HTTP (file missing)

O23 - Service: VAIO Media Photo Server (UPnP) (VAIOMediaPlatform-PhotoServer-UPnP) - Sony Corporation - C:\Archivos de programa\Archivos comunes\Sony Shared\VAIO Media Platform\UPnPFramework.exe


[/quote]

creo que tengo muchas cosas raras

[msc hotline sat]

Alguna que otra:



Mira si conoces estas aplicaciones, y si no las conoces, seleccionarlas y eliminalas con FIX



O2 - BHO: MPEG Support Dll - {57A70350-87D9-4EA2-B3AC-C1C1B5296035} - C:\WINDOWS\System32\mpegcore.dll

O4 - HKLM\..\Run: [VAIOSURVEY] C:\Archivos de programa\Sony\VAIO Survey\LASurvey.exe

O4 - HKLM\..\Run: [ZZZ] C:\WINDOWS\Sonysys\Eflyer\SubFlyer.exe

O4 - HKLM\..\Run: [MS UniX] navupdate64.exe

O4 - HKLM\..\RunServices: [MS UniX] navupdate64.exe

O4 - HKCU\..\Run: [MS UniX] navupdate64.exe

O4 - HKCU\..\Run: [Btow] C:\Documents and Settings\Ruben\Datos de programa\slor.exe

O4 - HKCU\..\Run: [Bhdg] C:\WINDOWS\System32\??curity\wuauclt.exe

O4 - Global Startup: VAIO Action Setup (Server).lnk = ?





selecciona y elimina con FIX estas claves:



R3 - Default URLSearchHook is missing

O16 - DPF: {D19781C5-2051-44F8-8445-DDC82933C191} (VacPro.internazionale_ver11) - http://advnt01.com/dialer/internazionale_ver11.CAB

O23 - Service: VAIO Media Music Server (VAIOMediaPlatform-MusicServer-AppServer) - Unknown owner - C:\Archivos de programa\Sony\VAIO Media Music Server\SSSvr.exe" /Service=VAIOMediaPlatform-MusicServer-AppServer /DisplayName="VAIO Media Music Server (file missing)

O23 - Service: VAIO Media Music Server (HTTP) (VAIOMediaPlatform-MusicServer-HTTP) - Unknown owner - C:\Archivos de programa\Archivos comunes\Sony Shared\VAIO Media Platform\sv_httpd.exe" /Service=VAIOMediaPlatform-MusicServer-HTTP /RegRoot="Software\Sony Corporation\VAIO Media Platform\2.0" /RegExt="Applications\MusicServer\HTTP (file missing)

O23 - Service: VAIO Media Photo Server (HTTP) (VAIOMediaPlatform-PhotoServer-HTTP) - Unknown owner - C:\Archivos de programa\Archivos comunes\Sony Shared\VAIO Media Platform\SV_Httpd.exe" /Service=VAIOMediaPlatform-PhotoServer-HTTP /RegRoot="Software\Sony Corporation\VAIO Media Platform\2.0" /RegExt="\Applications\PhotoServer\HTTP (file missing)





y tras reiniciar, si no conoces estas utilidades, eliminalas



C:\Archivos de programa\RFA\rfagent.exe

C:\WINDOWS\System32\??curity\wuauclt.exe



saludos



ms, 24-05-2005

[msc hotline sat]

Y se muieve este Tema al apartado de analisis del HJT, que es adonde ha derivado



Por cierto que debe recordar que solo se debe postear logs del HJT tras haber eliminado virus y spywares que se detecten normalmente, y la existencia del wuauclt.exe es muy tipica de la familia del virus ANKER entre otros, aunque tambien podría ser del windowsupdate,



Tebalo presente, pues los antivirus, si detectan el gusano, eliminan las claves de registro que modifican los gusanos para intercerptar, restringir, detener, diferentes caracteristicas de windows, lo cual no se ve en el HJT, que es solo un 1 % del registro, y eliminado lo que se ve en el HJT, los antivirus no detectaran gusano ni en consecuencia sabrán las claves que el mismo hubiera podido modificar, quedando dificilmente restaurables.



Con nuestras utilidades ELI... sí que restablecemos las claves aunque no detectemos el virus, pero claro, hay que saber la familia del virus que ha habido para lanzar la utilidad correspondiente.



Debe tenerse esto muy presente, que ya indicamos al principio de este apartado, junto con lo del UNFIX, pero por si no se supiera...







saludos



ms, 24-05-2005