Problema con SVCHOST.EXE

Estado
Cerrado para nuevas respuestas

rafaeldr1

Nuevo Miembro
Miembro
#1
Tengo un sistema Windows Xp y tiene un problema:

Cuando inicio mi computadora y se cargan todos los programas después ya de haber cargado todo lo que tiene que salir en la parte de abajo se queda el boton del cpu en donde dice que sta cargando todo el tiempo y me he esperado mucho tiempo y sigue cargando mas y mas.

Entonces me di cuenta que cuando le pongo en administrador de tareas para ver los procesos veo que hay uno que se llama svchost.exe y que este sta usando una cierta parte del CPU. Entonces lo cerré para ver que pasaba y así ya dejo de cargar se apago el foquito del CPU.

Pero me he dado cuenta que cuando quiero oír música o cuando hago click en el boton de la parte de abajo en los iconos del botoncito de audio sale un mensaje que dice que no hay un dispositivo mezclador de audio o algo así.

No c si se refiera esto al proceso de svchost.exe porque si no lo hubiese cerrado y pusiera música si se oiria y ya no saldría ese mensaje pero ya cuando finalizo ese proceso es cuando ya no c puede oír ningún sonido mas que los sonidos de Windows pero ninguno otro.

Y pues yo tengo que cerrar ese programa el svchost porque si no la maquína se la pasaría Cargando todo el tiempo. pero pues va a pasar lo mismo con el sonido.

es un virus o que? que tengo que hacer?

Bueno pues ya fue mucho rollo.

Ayudenme Porfavor se los agradecería mucho!!

Me despido de ustedes. Un saludo.

:(
 

josmacpas

Nuevo Miembro
Miembro
#2
el proceso svchost.exe pertenece al sistema creo que se encarga de cargar las dlls aparte que si lo cierras te ahoga la conexión a internet, lo unico que hay un virus que mediante una vulnerabilidad de lsass.exe se te puede colar, si tienes cortafuegos debes de bloquear la salida lsass.exe, pero los procesos svchost dejalos pasar todos pues igual has bloqueado algúno de ellos y por eso te carga la cpu al no poder ejecutarse. Informacion: Solución excesivo consumo de CPU (svchost.exe del 100% de la CPU)
 

rafaeldr1

Nuevo Miembro
Miembro
#3
Lo he cerrado el svchost y no pasa nada con el internet sigue funcionando igual no c desconecta ni nada.

Enotces que rollo pues?
 
A

Arwing

Guest
#4
Entonces quizá sea algún virus, postea un Log del programa HijackThis 1.99 y veamos qué tienes ahí.

Arwing
 

rafaeldr1

Nuevo Miembro
Miembro
#7
Es esto? lo copie .....hijackthis

ogfile of HijackThis v1.99.0

Scan saved at 03:24:23 p.m., on 19/12/2004

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

C:\ARCHIV~1\Iomega\System32\AppServices.exe

C:\Archivos de programa\Norton AntiVirus\navapsvc.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe

C:\Archivos de programa\Messenger Plus! 3\MsgPlus.exe

C:\WINDOWS\System32\egrpgfye.exe

C:\WINDOWS\Lsass.exe

C:\WINDOWS\System32\rundll32.exe

C:\Documents and Settings\vero\Datos de programa\oate.exe

C:\WINDOWS\System32\m?iexec.exe

C:\WINDOWS\System32\wuauclt.exe

C:\Archivos de programa\MSN Messenger\msnmsgr.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Documents and Settings\vero\Escritorio\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.com/0SEESLA/SAOS01

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.cnn.com/

R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://www.ramgo.com/search.html

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.t1msn.com/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

F2 - REG:system.ini: UserInit=C:\Windows\System32\wsaupdater.exe,

O2 - BHO: MxTargetObj Class - {0000607D-D204-42C7-8E46-216055BF9918} - C:\WINDOWS\mxTarget.dll

O2 - BHO: C:\WINDOWS\lbbho.dll - {11BDA77A-1605-46F7-A4FA-B604F55ECFA6} - C:\WINDOWS\lbbho.dll

O2 - BHO: DEFAULT SUPPORT KNOB - {287592B1-402A-CF5F-4CDC-C531A785D710} - C:\ARCHIV~1\slowmath\Bat32.dll (file missing)

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1.1\SDHelper.dll

O2 - BHO: (no name) - {F5A1ECA1-7536-2CB9-4A5C-5AF07CCD6F95} - C:\WINDOWS\System32\quxrmlg.dll

O2 - BHO: (no name) - {F65ED384-37A7-836C-7D57-81F0D747830C} - C:\WINDOWS\System32\wountrly.dll

O3 - Toolbar: (no name) - {EAC7F484-76AF-4CE9-A925-0A4A773C91C3} - (no file)

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: Hole meet face - {D3E3A708-7D4A-2AC9-6FD5-AFF1F014F557} - C:\ARCHIV~1\slowmath\Bat32.dll (file missing)

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [ccRegVfy] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccRegVfy.exe"

O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [MessengerPlus3] "C:\Archivos de programa\Messenger Plus! 3\MsgPlus.exe"

O4 - HKLM\..\Run: [zastfwpxhhze] C:\WINDOWS\System32\egrpgfye.exe

O4 - HKLM\..\Run: [satmat] C:\WINDOWS\satmat.exe

O4 - HKLM\..\Run: [Winlogon] C:\WINDOWS\Lsass.exe

O4 - HKCU\..\Run: [Instant Access] rundll32.exe p2esocks_1015.dll,InstantAccess

O4 - HKCU\..\Run: [ares] "C:\Archivos de programa\Ares\Ares.exe" -h

O4 - HKCU\..\Run: [Bets] C:\Documents and Settings\vero\Datos de programa\oate.exe

O4 - HKCU\..\Run: [Sbujoeet] C:\WINDOWS\System32\m?iexec.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE

O8 - Extra context menu item: &Define - C:\WINDOWS\Web\ERS_DEF.HTM

O8 - Extra context menu item: &Search the Web - C:\WINDOWS\Web\ERS_SRC.HTM

O8 - Extra context menu item: Look Up in &Encyclopedia - C:\WINDOWS\Web\ERS_ENC.HTM

O9 - Extra button: Bromas y chistes - {068C36CF-483E-4CA8-A7F2-10EFFDA49C45} - http://www.accesoplugin.com/prom/a_bromas2...irus&ver=1t=new (file missing)

O9 - Extra button: Antivirus - {4358161B-A4B8-498E-8019-3DAB50DFD578} - http://www.accesoplugin.com/prom/a_virus2/...irus&ver=1t=new (file missing)

O9 - Extra button: Xanadu - {5CC384BB-1326-11D5-F4AE-00C04923F885} - C:\Archivos de programa\Foreignword\Xanadu\XanaduLaunch.exe (file missing)

O9 - Extra button: Investigador - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Researcher\EROProj.dll

O9 - Extra button: (no name) - {9819CC0E-9669-4D01-9CD7-2C66DA43AC6C} - (no file)

O9 - Extra button: Letras de canciones - {AF0828BC-CB46-4C8D-95B6-8A7C4988F9FF} - c:\dial-cadenamusical2\index.html (file missing)

O9 - Extra button: Eliminar virus - {C8950078-94A4-4C32-BB9C-4666357965AF} - C:\eliminar-virus\index.htm (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE

O9 - Extra button: Mensaje - {03FBB191-FB50-4154-91D7-587D5E3C0000} - C:\Documents and Settings\vero\Datos de programa\MATRIX\Mensaje\LanzarDll.exe (file missing) (HKCU)

O9 - Extra 'Tools' menuitem: Mensaje - {03FBB191-FB50-4154-91D7-587D5E3C0000} - C:\Documents and Settings\vero\Datos de programa\MATRIX\Mensaje\LanzarDll.exe (file missing) (HKCU)

O23 - Service: Symantec Event Manager - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Password Validation Service - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccPwdSvc.exe

O23 - Service: Servicio del administrador de discos lógicos - Unknown - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: Registro de sucesos - Unknown - C:\WINDOWS\system32\services.exe

O23 - Service: Servicio COM de grabación de CD de IMAPI - Unknown - C:\WINDOWS\system32\imapi.exe

O23 - Service: Iomega App Services - Iomega Corporation - C:\ARCHIV~1\Iomega\System32\AppServices.exe

O23 - Service: Macromedia Licensing Service - Unknown - C:\Archivos de programa\Archivos comunes\Macromedia Shared\Service\Macromedia Licensing.exe

O23 - Service: Escritorio remoto compartido de NetMeeting - Unknown - C:\WINDOWS\System32\mnmsrvc.exe

O23 - Service: Norton AntiVirus Auto Protect Service - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\navapsvc.exe

O23 - Service: DDE de red - Unknown - C:\WINDOWS\system32\netdde.exe

O23 - Service: DSDM de DDE de red - Unknown - C:\WINDOWS\system32\netdde.exe

O23 - Service: Panda Process Protection Service - Unknown - C:\Archivos de programa\Archivos comunes\Panda Software\PavShld\pavprsrv.exe (file missing)

O23 - Service: Plug and Play - Unknown - C:\WINDOWS\system32\services.exe

O23 - Service: Administrador de sesión de Ayuda de escritorio remoto - Unknown - C:\WINDOWS\system32\sessmgr.exe

O23 - Service: ScriptBlocking Service - Symantec Corporation - C:\ARCHIV~1\ARCHIV~1\SYMANT~1\SCRIPT~1\SBServ.exe

O23 - Service: Sistema de ayuda de tarjeta inteligente - Unknown - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: Tarjeta inteligente - Unknown - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: Registros y alertas de rendimiento - Unknown - C:\WINDOWS\system32\smlogsvc.exe

O23 - Service: Telnet - Unknown - C:\WINDOWS\System32\tlntsvr.exe

O23 - Service: Instantáneas de volumen - Unknown - C:\WINDOWS\System32\vssvc.exe

O23 - Service: Adaptador de rendimiento de WMI - Unknown - C:\WINDOWS\System32\wbem\wmiapsrv.exe

TENGO QUE ELIMINAR ALGO O KE?
 
A

Arwing

Guest
#10
Antes de empezar, necesitas una copia original de userinit.exe

userinit.exe

Userinit Logon Application

C:\WINDOWS\system32\userinit.exe

Microsoft Corporation Version 5.1.2600.1106

Revisa que el archivo exista y la versión sea la correcta.

Ejecuta el Regedit y busca la siguiente llave

HKEY_LOCAL_MACHINE

\Software

\Microsoft

\WindowsNT

\Currentversion\Winlogon

Cambialo de:

UserInit=c:\windows\system32\wsaupdater.exe,

A:

UserInit=c:\windows\system32\userinit.exe,

Nota: Si borras el archivo sin arreglar el registro, no serás capaz de iniciar una sesión en Windows XP, incluyendo en modo seguro.

Vuelve a generar un Log con HijackThis y revisa que la entrada F2 haya cambiado y aparezca userinit.exe.

Si se realizó el cambio entonces sigue las siguientes instrucciones:

Nota importante: Si no conoces algún procedimiento que te recomiendo, por lo general estarán remarcados en negrita (deshabilitar la restauración del sistema, abrir el Regedit, etc.) visita el siguiente post de ayuda:Manual pasos a seguir para el uso HijackThis

Abre el Administrador de Procesos y cierra los siguientes procesos (si es que están ahí):

C:\WINDOWS\System32\egrpgfye.exe

C:\WINDOWS\satmat.exe

C:\WINDOWS\Lsass.exe <-- no lo confundas con el verdadero

C:\Documents and Settings\vero\Datos de programa\oate.exe

C:\WINDOWS\System32\m?iexec.exe

Desactiva la Opción de Restaurar el Sistema. Una vez que tu sistema esté limpio puedes volver a activarlo.

Abre el HijackThis y selecciona las siguientes entradas (las que todavía estén presentes):

R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://www.ramgo.com/search.html

O2 - BHO: MxTargetObj Class - {0000607D-D204-42C7-8E46-216055BF9918} - C:\WINDOWS\mxTarget.dll

O2 - BHO: C:\WINDOWS\lbbho.dll - {11BDA77A-1605-46F7-A4FA-B604F55ECFA6} - C:\WINDOWS\lbbho.dll

O2 - BHO: DEFAULT SUPPORT KNOB - {287592B1-402A-CF5F-4CDC-C531A785D710} - C:\ARCHIV~1\slowmath\Bat32.dll (file missing)

O2 - BHO: (no name) - {F5A1ECA1-7536-2CB9-4A5C-5AF07CCD6F95} - C:\WINDOWS\System32\quxrmlg.dll

O2 - BHO: (no name) - {F65ED384-37A7-836C-7D57-81F0D747830C} - C:\WINDOWS\System32\wountrly.dll

O3 - Toolbar: (no name) - {EAC7F484-76AF-4CE9-A925-0A4A773C91C3} - (no file)

O3 - Toolbar: Hole meet face - {D3E3A708-7D4A-2AC9-6FD5-AFF1F014F557} - C:\ARCHIV~1\slowmath\Bat32.dll (file missing)

O4 - HKLM\..\Run: [zastfwpxhhze] C:\WINDOWS\System32\egrpgfye.exe

O4 - HKLM\..\Run: [satmat] C:\WINDOWS\satmat.exe

O4 - HKLM\..\Run: [Winlogon] C:\WINDOWS\Lsass.exe

O4 - HKCU\..\Run: [Bets] C:\Documents and Settings\vero\Datos de programa\oate.exe

O4 - HKCU\..\Run: [Sbujoeet] C:\WINDOWS\System32\m?iexec.exe

O8 - Extra context menu item: &Define - C:\WINDOWS\Web\ERS_DEF.HTM

O8 - Extra context menu item: &Search the Web - C:\WINDOWS\Web\ERS_SRC.HTM

O8 - Extra context menu item: Look Up in &Encyclopedia - C:\WINDOWS\Web\ERS_ENC.HTM

O9 - Extra button: Bromas y chistes - {068C36CF-483E-4CA8-A7F2-10EFFDA49C45} - http://www.accesoplugin.com/prom/a_bromas2...irus&ver=1t=new (file missing)

O9 - Extra button: Antivirus - {4358161B-A4B8-498E-8019-3DAB50DFD578} - http://www.accesoplugin.com/prom/a_virus2/...irus&ver=1t=new (file missing)

O9 - Extra button: Xanadu - {5CC384BB-1326-11D5-F4AE-00C04923F885} - C:\Archivos de programa\Foreignword\Xanadu\XanaduLaunch.exe (file missing)

O9 - Extra button: (no name) - {9819CC0E-9669-4D01-9CD7-2C66DA43AC6C} - (no file)

O9 - Extra button: Letras de canciones - {AF0828BC-CB46-4C8D-95B6-8A7C4988F9FF} - c:\dial-cadenamusical2\index.html (file missing)

O9 - Extra button: Eliminar virus - {C8950078-94A4-4C32-BB9C-4666357965AF} - C:\eliminar-virus\index.htm (file missing)

O9 - Extra button: Mensaje - {03FBB191-FB50-4154-91D7-587D5E3C0000} - C:\Documents and Settings\vero\Datos de programa\MATRIX\Mensaje\LanzarDll.exe (file missing) (HKCU)

O9 - Extra 'Tools' menuitem: Mensaje - {03FBB191-FB50-4154-91D7-587D5E3C0000} - C:\Documents and Settings\vero\Datos de programa\MATRIX\Mensaje\LanzarDll.exe (file missing) (HKCU)

Y da click en el botón "Fix Checked"

Descarga el programa Disk Cleaner y úsalo para borrar todos los archivos temporales de tu computadora.

Habilita a todas las carpetas para que Muestren Carpetas y Archivos Ocultos

Ahora busca los siguientes archivos y carpetas y bórralos:

C:\WINDOWS\System32\egrpgfye.exe

C:\WINDOWS\Lsass.exe

C:\Documents and Settings\vero\Datos de programa\oate.exe

C:\WINDOWS\System32\m?iexec.exe

C:\WINDOWS\mxTarget.dll

C:\WINDOWS\lbbho.dll

C:\WINDOWS\System32\quxrmlg.dll

C:\WINDOWS\System32\wountrly.dll

C:\WINDOWS\satmat.exe

Reinicia el sistema y prueba que tal te va ahora. Publícame otro log para ver cómo ha quedado tu sistema.

Saludos

Arwing
 
R

Rafa_DR

Guest
#11
OYE LE VI Y LA VERSION ES ESTA:

5.1.2600.0

Y SI OMITO ESE PASO Y HAGO LO QUE ESTA DESPUES DE ESO QUE PUSISTE DE ESO DE CAMBIAR CLAVES EN EL REGISTRO Y LO DEL HIJACK.?

ENTONCES ? :(
 

rafaeldr1

Nuevo Miembro
Miembro
#12
:( Eiii no se keden a medias!!!

Contestenme ayudenme!! Necesitan más informacion?¿¿

kreo que una compu puede más que un hombre :rolleyes:

jeje

...
 

rafaeldr1

Nuevo Miembro
Miembro
#13
AMIGOO RESPONDEME YA PLEASE!!

Y SIN IMPORTAR LA VERSION DEL WINDOWS HAGO LOS SIGUIENTES PASOS?

NO PASARÁ NADA?

OSEA QUE BORRE LOS ARCHIVOS QUE IDENTIFICO EL HIJACK LOS QUE PUSISTE QUE ELIMINARA?

responddanme ia pls!! :confused:
 

rafaeldr1

Nuevo Miembro
Miembro
#14
EL PROBLEMA SE AH RESUELTO.

Gracias de todas formas.

Pero me quede con la duda de si eliminar esos archivos (entradas) que pusiste de los que salen en el hijack y las carpetas que hay en windows?

Entonces que puedo hacer? eliminarlos?

grax...
 
Estado
Cerrado para nuevas respuestas
Arriba Pie