Buenas,

Desde hace unos días se me ralentiza el ordenador, he mirado en el administrador de tareas y me sale que el archivo svchost.exe me esta consumiendo casi el 100% de la memoria del ordenador. Le he pasado el Kaspersky (actualizado) varias veces y programas como el Ad-ware el Spybot y el RegCleaner y nada de nada.

Así que aquí os dejo mi log:


Logfile of HijackThis v1.99.0
Scan saved at 1:08:06, on 20/01/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSExplorer.EXE
C:WINDOWSsystem32spoolsv.exe
C:Archivos de programaMSN AppsUpdater1.02.3000.1001esmsnappau.exe
C:Archivos de programaArchivos comunesRealUpdate_OBrealsched.exe
C:WINDOWSSystem32CTHELPER.EXE
C:Archivos de programaiTunesiTunesHelper.exe
C:Archivos de programaQuickTimeqttask.exe
C:Archivos de programaSlySoftCloneCDCloneCDTray.exe
C:Archivos de programaWinampwinampa.exe
C:WINDOWSSystem32RUNDLL32.EXE
C:Archivos de programaeDonkey2000eDonkey2000.exe
C:Archivos de programaJavajre1.5.0binjusched.exe
C:WINDOWSSystem32ctfmon.exe
C:WINDOWSSystem32CTsvcCDA.exe
C:WINDOWSSystem32nvsvc32.exe
C:WINDOWSSystem32taskmgr.exe
C:WINDOWSSystem32MsPMSPSv.exe
C:Archivos de programaiPodbiniPodService.exe
C:WINDOWSSystem32wuauclt.exe
C:WINDOWSSystem32wuauclt.exe
C:DOCUME~1DanielCONFIG~1TempRar$EX00.140HijackThis.exe

R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page_bak = about:blank
R1 - HKCUSoftwareMicrosoftWindowsCurrentVersionInternet Settings,ProxyOverride = *new-search.net*;*x-google.net*
R0 - HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:Archivos de programaAdobeAcrobat 5.0ReaderActiveXAcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:ARCHIV~1SPYBOT~1SDHelper.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:Archivos de programaMSN AppsST1.02.3000.1001en-xustmain.dll
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:ARCHIV~1FlashGetjccatch.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:Archivos de programaMSN AppsMSN Toolbar1.02.3000.1001esmsntb.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:Archivos de programaMSN AppsMSN Toolbar1.02.3000.1001esmsntb.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:ARCHIV~1FlashGetfgiebar.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:WINDOWSSystem32msdxm.ocx
O4 - HKLM..Run: [MSVSync] videosync.exe
O4 - HKLM..Run: [Microsoft Update] wuampd.exe
O4 - HKLM..Run: [msnappau] "C:Archivos de programaMSN AppsUpdater1.02.3000.1001esmsnappau.exe"
O4 - HKLM..Run: [TkBellExe] "C:Archivos de programaArchivos comunesRealUpdate_OBrealsched.exe" -osboot
O4 - HKLM..Run: [CTHelper] CTHELPER.EXE
O4 - HKLM..Run: [UpdReg] C:WINDOWSUpdReg.EXE
O4 - HKLM..Run: [Jet Detection] "C:Archivos de programaCreativeSBLivePROGRAMADGJDet.exe"
O4 - HKLM..Run: [NeroFilterCheck] C:WINDOWSsystem32NeroCheck.exe
O4 - HKLM..Run: [SearchUpgrader] C:Archivos de programaCommon filesSearchUpgraderSearchUpgrader.exe
O4 - HKLM..Run: [iTunesHelper] C:Archivos de programaiTunesiTunesHelper.exe
O4 - HKLM..Run: [QuickTime Task] "C:Archivos de programaQuickTimeqttask.exe" -atboottime
O4 - HKLM..Run: [KAVPersonal50] C:Archivos de programaKaspersky LabKaspersky Anti-Virus Personalkav.exe /minimize
O4 - HKLM..Run: [CloneCDTray] "C:Archivos de programaSlySoftCloneCDCloneCDTray.exe" /s
O4 - HKLM..Run: [WinampAgent] C:Archivos de programaWinampwinampa.exe
O4 - HKLM..Run: [NvCplDaemon] RUNDLL32.EXE C:WINDOWSSystem32NvCpl.dll,NvStartup
O4 - HKLM..Run: [nwiz] nwiz.exe /install
O4 - HKLM..Run: [NvMediaCenter] RUNDLL32.EXE C:WINDOWSSystem32NvMcTray.dll,NvTaskbarInit
O4 - HKLM..Run: [eDonkey2000] "C:Archivos de programaeDonkey2000eDonkey2000.exe" -t
O4 - HKLM..Run: [SunJavaUpdateSched] C:Archivos de programaJavajre1.5.0binjusched.exe
O4 - HKLM..RunServices: [MSVSync] videosync.exe
O4 - HKLM..RunServices: [Microsoft Update] wuampd.exe
O4 - HKCU..Run: [CTFMON.EXE] C:WINDOWSSystem32ctfmon.exe
O4 - HKCU..Run: [MSVSync] videosync.exe
O4 - HKCU..Run: [Microsoft Update] wuampd.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:Archivos de programaArchivos comunesAdobeCalibrationAdobe Gamma Loader.exe
O8 - Extra context menu item: Download All by FlashGet - C:Archivos de programaFlashGetjc_all.htm
O8 - Extra context menu item: Download using FlashGet - C:Archivos de programaFlashGetjc_link.htm
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:ARCHIV~1MICROS~2OFFICE11EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:Archivos de programaJavajre1.5.0binnpjpi150.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:Archivos de programaJavajre1.5.0binnpjpi150.dll
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:ARCHIV~1MICROS~2OFFICE11REFIEBAR.DLL
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:ARCHIV~1FlashGetflashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:ARCHIV~1FlashGetflashget.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:Archivos de programaMessengerMSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:Archivos de programaMessengerMSMSGS.EXE
O16 - DPF: {14A3221B-1678-1982-A355-7263B1281987} - ms-its:mhtml:file://C:foo.mht!http://82.179.166.145/x15.chm::/trs15.exe
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/Mi ... b30149.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/205ad2016f3 ... 601_es.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v ... 5637140734
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Me ... b30149.cab
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:WINDOWSSystem32CTsvcCDA.exe
O23 - Service: Servicio del administrador de discos lógicos - Unknown - C:WINDOWSSystem32dmadmin.exe
O23 - Service: Registro de sucesos - Unknown - C:WINDOWSsystem32services.exe
O23 - Service: Servicio COM de grabación de CD de IMAPI - Unknown - C:WINDOWSSystem32imapi.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:Archivos de programaiPodbiniPodService.exe
O23 - Service: kavsvc - Kaspersky Lab - C:Archivos de programaKaspersky LabKaspersky Anti-Virus Personalkavsvc.exe
O23 - Service: Escritorio remoto compartido de NetMeeting - Unknown - C:WINDOWSSystem32mnmsrvc.exe
O23 - Service: DDE de red - Unknown - C:WINDOWSsystem32netdde.exe
O23 - Service: DSDM de DDE de red - Unknown - C:WINDOWSsystem32netdde.exe
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:WINDOWSSystem32nvsvc32.exe
O23 - Service: Plug and Play - Unknown - C:WINDOWSsystem32services.exe
O23 - Service: Administrador de sesión de Ayuda de escritorio remoto - Unknown - C:WINDOWSsystem32sessmgr.exe
O23 - Service: Sistema de ayuda de tarjeta inteligente - Unknown - C:WINDOWSSystem32SCardSvr.exe
O23 - Service: Tarjeta inteligente - Unknown - C:WINDOWSSystem32SCardSvr.exe
O23 - Service: Registros y alertas de rendimiento - Unknown - C:WINDOWSsystem32smlogsvc.exe
O23 - Service: Telnet - Unknown - C:WINDOWSSystem32tlntsvr.exe
O23 - Service: Instantáneas de volumen - Unknown - C:WINDOWSSystem32vssvc.exe
O23 - Service: Video Sync Manager - Unknown - C:WINDOWSSystem32videosync.exe (file missing)
O23 - Service: Adaptador de rendimiento de WMI - Unknown - C:WINDOWSSystem32wbemwmiapsrv.exe

Saludos

Ha desaparecido el resto del post..guay

el archivo svchost.exe lo tengo yo y creo que es del antirivus "antivir guard"

svchost.exe es un proceso de Windows, no de un antivirus, básicamente es el encargado en Windows XP de ejecutar los servicios que corren desde una DLL, chequea el registro para poder armar la lista de servicios que necesita cargar.

La verdad es que estoy bastante desquiciado, llevo bastantes dias con este problema y encima ahora tengo otro más. Cada vez que reinicio el ordenador me sale una ventana del Kaspersky diciéndome esto:

Attention! Your computer has beed attacked from the Internet. Network attack Lovesan from 80.34.226.183 has been successfully repelled... y asi cada dos por tres pero con IPS diferentes.

He formateado el ordenador y he vuelto a instalar las actualizaciones del Windows.

Referente al svchost que me tiene hasta los coj...

mced me dijo que tenía que hacer esto:


"Procedamos pues con la búsqueda.

Me va Vd. a abrir el Administrador de Tareas, pestaña Procesos. Normalmente tendrás las columnas Nombre de Imagen, Nombre de Usuario, CPU y Uso de Memoria. Haz aparecer la columna de identificación PID: "Ver > Seleccionar columnas..." --> Marca "Identificador de proceso (PID)".

Vete al svchost capullazo que te está chupando la vida y apúntate su número de PID.

Ahora saca una terminal (Inicio -> Ejecutar -> cmd) y ejecuta el comando tasklist /svc. Aparecerán varios svchost; pero como tenemos el número PID del que da problemas, podrás identificarlo fácilmente. Copia los servicios que tiene asociados (para hacer eso en XP, pega con el botón derecho del ratón en cualquier zona de la terminal; escoge "marcar"; selecciona el texto; y con un nuevo toque de botón derecho, ya tendrás lo seleccionado en el portapapeles).

Una vez copiados al portapapeles, pégalos aquí. Con un poco de suerte, esto nos permitirá restringir un poco la búsqueda del culpable.

No te duermas, que el sábado a media tarde me voy de viaje."

Y aquí esta el svchost mamonazo:


svchost.exe 1016 AudioSrv, BITS, Browser, CryptSvc, Dhcp,
dmserver, ERSvc, EventSystem,
FastUserSwitchingCompatibility, helpsvc,
lanmanserver, lanmanworkstation, Netman,
Nla, Schedule, seclogon, SENS,
ShellHWDetection, srservice, TermService,
Themes, TrkWks, uploadmgr, W32Time, winmgmt,
WZCSVC

Pero ahora no se que tengo que hacer


Y yo me pregunto, ¿todo esto que me esta pasando es normal después de que haya formateado el ordenador y de haber instalado todas las actualizaciones del Windows Update?. Pq llevo un montón de años utilizando ordenador pero nunca me había pasado nada así. No entiendo como una cosa que no me había dando nunca problemas de un día para otro me los da, y lo mejor de todo es que no es ningún virus, troyano o gusano. No lo entiendo

A ver si me podéis ayudar

Saludos

O16 - DPF: {14A3221B-1678-1982-A355-7263B1281987} - ms-its:mhtml:file://C:foo.mht!http://82.179.166.145/x15.chm::/trs15.exe

Sospecho que ese es el culpable.

Mata el proceso desde el propio hijacktjis. Y borra lo archivos a que hace referencia.

Prueba entonces.

Un saludo

Mierda, mierda y requetemierda... toda la respuesta que escribí --y no precisamente corta--, a tomar por el saco :(((((((

<b>Uran</b>, mientras decido el modo en que voy a suicidarme, haz lo siguiente: abre de nuevo una terminal y escribe:

<b>net start</b>

El mensaje del Kaspersky es totalmente normal. Son intentos de ataques a través del puerto 135, de los miles de capullos que aún están infectados por el Lovsan aka Blaster. Yo tengo uno cada 20 segundos.

A ver si el problema es precisamente el Windows Update. Yo no lo he usado en mi vida (si tengo que bajarme un parche, lo hago manualmente) y aquí estoy tan fresco.

mced, calma. Búscalo en el foro antiguo y haces un copy&paste. Mira, haste te pongo el link y todo:
http://www.adslayuda.com/XForum+file-vi ... 32570.html

Gracias por contestar. Ahora estoy en el curro, cuando llegue a casa ( por ahí a las 8 de la noche) hago eso del net start.

Referente al si el problema pueden ser las actualizaciones del Windows Update, no creo que sea por eso. Ya que ayer formatee el ordenador y a los quince minutos de conectarlo a internet ya se me estaba colapsado, y todo esto sin haber instalado las actualizaciones.

Thank you, <b>Koerma</b>.

Acabo de llegar a casa y he metido lo de net start

Perdón: se me había olvidado decirte que postearas el listado (lo que te devuelve el <b>net start</b>).

Me sale esto:

Actualizaciones automáticas
Administrador de carga
Administrador de cuentas de seguridad
Administrador de discos lógicos
Almacenamiento protegido
Audio de Windows
Ayuda de NetBIOS sobre TCP/IP
Ayuda y soporte técnico
Cliente de seguimiento de vinculos distrib
Cliente DHCP
Cliente DNS
Cliente Web
Cola de impresión
Compatibilidad de cambio rápido de usuario
Conexiones de red
Configuración inalámbrica rápida
Detección de hardware shell
Estación de trabajo
Examinador de equipos
Horario de Windows
Inicio de sesión secundario
Instrumental de administración de Windows
kavsvc
Llamada a procedimiento remoto(RPC)
NLA (Network Location Awareness)
Notificación de sucesos del sistema
NVIDIA Display Driver Service
Número de serie de medio portátil
Plug and Play
Programador de tareas
Registro de sucesos
Registro remoto
Servicio de descubrimientos SSDP
Servicio de informe de errores
Servicio de restauración de sistema
Servicios de cifrado
Servicios de Terminal Server
Servicios IPSEC
Servidor
Sistema de sucesos COM+
Temas

Como veo que el tema es bastante complejo si quieres me agregas al messenger y mejor charlamos por ahi.

Nah, mañana está solucionado (además, puede que alguien tenga este mismo problema en un futuro, y le agradará verlo aquí resuelto). En cuanto vuelva del curro estudiaré tu nueva lista de <b>tasklist</b>.

Por cierto, edita tu mensaje y cambia esa dirección de correo, porque tal y como la has puesto, es una presa fácil para los recolectores de spam. Mejor escribe puccini80@QUITALASMAYUSCULAShotmail.com

Te dejo la lista de servicios que tienes que detener, clasificados en tres categorías: Inútiles, Detenibles/depende y Vitales. Por supuesto, intenta primero los Inútiles. Ya sabes: Inicio > Panel de Control > Herramientas Administrativas > Servicios. Click derecho y Detener. Uno a uno hasta que des con él.

Una vez que hayas encontrado al devora recursos, ponlo en "Manual". Luego te recomiendo que reinicies el sistema.

Inútiles. No te va a pasar nada por dejarlos inactivos. No obstante, si quieres mantenerlos... tú mismo.
Servicio de transferencia inteligente en segundo plano
Examinador de equipos
Servicio de informe de errores
Sistema de sucesos COM+ (sólo necesario si usas alguna aplicación COM+)
Ayuda y Servicio Técnico
NLA (inútil si tienes instalado SP2)
Inicio de sesión secundario
Temas
Cliente de seguimiento de vínculos distribuidos (sólo útil en grandes redes)
Horario de Windows (sólo útil si te gusta tener el reloj sincronizado contínuamente)


Detenibles/depende. Es recomendable reactivarlos tras comprobar su "inocencia". O si lo necesitas.
Audio de Windows
Servicios de cifrado
Administrador de discos lógicos
Compatibilidad de cambio rápido de usuario (sólo necesario para cambiar de usuario sin cerrar aplicaciones)
Servidos (sólo necesario si tu equipo comparte archivos e impresoras en la red local)
Notificación de sucesos del sistema
Detección de hardware shell
Servicio de restauración del sistema (sólo necesario si usas los puntos de restauración; chupa mucho disco duro)
Servicios de Terminal Server
Configuración inalámbrica rápida (sólo necesario si usas dispositivos wireless)


Vitales. Sólo detenlos si no es ninguno de los anteriores. Las consecuencias las pongo al lado de cada uno.
Cliente DHCP (puede dejar de funcionar Internet)
Estación de trabajo (muchos otros servicios dependen de éste)
Conexiones de red (puede dejar de funcionar Internet y/o la red local)
Programador de Tareas (algunas cosas puede que no funcionen si lo detienes)
Instrumental de administración de Windows (el cortafuegos y el panel de seguridad del SP2 requieren de él)

Joder vaya currada te has metido. Esta noche lo miro. Muchisimas gracias.

Por finnnnn, al final pude solucionarlo.

Después de hacer todo lo que me dijo mced y ver que aun así no se me solucionaba el problema, decidí instalar el Norton 2005 la versión de prueba. Y tras una pasada me detecto un gusano llamado Winregs32.exe. Tuve que ir al administrador de tareas y terminar el proceso desde ahí, después lo elimine manualmente. Más tarde el Norton me detecto y elimino los siguientes archivos:

TFTP2932.exe
P3.exe
ctfmon.exe
tftp.exe

Después me fui al editor de registros y elimine las entradas. En la del Winregs32.exe me ponía esto: Winregs32.exe Microsoft Update Machine.

Por lo poco que he podido saber de este gusano parece crear más y más copias de si mismo así que tendremos que estar seguros de que lo hemos eliminado completamente.

Lo que me ha dejado bastante sorprendido es que el Kaspersky con las últimas actualizaciones no me lo detectara.



Quiero dar las gracias a mced por toda la ayuda que me ha prestado. Eres un fenómeno.

Sí que es extraño. Por eso siempre es conveniente tener dos antivirus en el sistema: uno de los "clásicos" y otro que no tenga monitor residente (para evitar conflictos), como F-Prot o Clam Antivirus (gratuitos ambos).

Lo que no acabo de comprender es esa voracidad de recursos del svchost. Por lo que he leído, el virus toquetea algo en el DCOM, pero es algo que tendré que investigar más detenidamente.