Problemas con el svchost.exe

Estado
Cerrado para nuevas respuestas

bres

Ex-Mod
Miembro
#1
Llevo todo el dia que se me va cerrando el SVCHOST.exe y entonces da un error del RPC y se reinicia el windows. Creo que es por el bittorrent porque des de que lo he cerrado no lo ha vuelto a hacer. También le he pasado el ad-aware y el regcleaner, pero ahora le he pasado el hijackthis y he visto algúnas cosas que me han parecido raras. Lo pongo aquí a ver si los expertos en esto de la web me veis algo raro:

Logfile of HijackThis v1.97.7

Scan saved at 22:12:05, on 11/10/2004

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\SYSTEM32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Archivos comunes\EPSON\EBAPI\SAgent2.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\ARCHIV~1\AGNITUM\OUTPOS~1\outpost.exe

C:\Archivos de programa\Archivos comunes\Panda Software\PavShld\pavprsrv.exe

C:\Archivos de programa\Panda Software\Panda Titanium Antivirus 2004\pavsrv51.exe

C:\Archivos de programa\Panda Software\Panda Titanium Antivirus 2004\PsImSvc.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Panda Software\Panda Titanium Antivirus 2004\AVENGINE.EXE

C:\WINDOWS\System32\Fast.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Logitech\iTouch\iTouch.exe

C:\Archivos de programa\Messenger Plus! 2\MsgPlus.exe

C:\Archivos de programa\Panda Software\Panda Titanium Antivirus 2004\APVXDWIN.EXE

C:\Archivos de programa\Panda Software\Panda Titanium Antivirus 2004\WebProxy.exe

C:\Archivos de programa\Mozilla Firefox\firefox.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\AMSN\bin\wish.exe

E:\MARC\Downloads\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 127.0.0.1:5555

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\Archivos de programa\Evrsoft\1st Page 2000\Templates\blank.htm

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: (no name) - {04079851-5845-4dea-848C-3ECD647AA554} - (no file)

O2 - BHO: (no name) - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - (no file)

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar1.dll

O3 - Toolbar: ReGet Bar - {17939A30-18E2-471E-9D3A-56DD725F1215} - (no file)

O3 - Toolbar: (no name) - {71ED4FBA-4024-4bbe-91DC-9704C93F453E} - (no file)

O3 - Toolbar: (no name) - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - (no file)

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar1.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [zBrowser Launcher] C:\Archivos de programa\Logitech\iTouch\iTouch.exe

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [MessengerPlus2] "C:\Archivos de programa\Messenger Plus! 2\MsgPlus.exe"

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [Outpost Firewall] C:\ARCHIV~1\AGNITUM\OUTPOS~1\outpost.exe /waitservice

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [APVXDWIN] "C:\Archivos de programa\Panda Software\Panda Titanium Antivirus 2004\APVXDWIN.EXE" /s

O4 - Global Startup: EPSON Status Monitor 3 Environment Check(2).lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV02.EXE

O9 - Extra 'Tools' menuitem: Consola de Sun Java (HKLM)

O9 - Extra button: Investigador (HKLM)

O9 - Extra button: Messenger (HKLM)

O9 - Extra 'Tools' menuitem: Messenger (HKLM)

O9 - Extra button: Trashcan (HKCU)

O9 - Extra 'Tools' menuitem: Show Trashcan (HKCU)

O10 - Unknown file in Winsock LSP: c:\archivos de programa\panda software\panda titanium antivirus 2004\pavlsp.dll

O10 - Unknown file in Winsock LSP: c:\archivos de programa\panda software\panda titanium antivirus 2004\pavlsp.dll

O10 - Unknown file in Winsock LSP: c:\archivos de programa\panda software\panda titanium antivirus 2004\pavlsp.dll

O10 - Unknown file in Winsock LSP: c:\archivos de programa\panda software\panda titanium antivirus 2004\pavlsp.dll

O12 - Plugin for .mid: C:\Archivos de programa\Internet Explorer\PLUGINS\npqtplugin2.dll

O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab28177.cab

O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab

O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab28578.cab

O16 - DPF: {58172624-85DD-4482-9E64-02ADCA637E96} - http://www.kungfuchess.com/activex/web580.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab

O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/...7876.0997106481

O16 - DPF: {CAFEEFAC-0014-0001-0001-ABCDEFFEDCBA} (Java Runtime Environment 1.4.1_01) -

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

O16 - DPF: {EE8B6D5F-FEF2-11D0-B13F-00A024798EF3} (Microsoft Search Settings Control) - http://lg.home.microsoft.com/search/lobby/searchsettings.cab

O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab28578.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{17CA71A4-3EBA-4142-823E-8D1EDF1C2037}: NameServer = 195.235.113.3,195.235.96.90
 
A

Arwing

Guest
#2
Hola, abre el Panel de Agregar/Quitar Programas y desinstala algúna que diga algo como: 'My Search Bar', 'MyWay Speed Bar', 'My Web Search Bar' o 'Fun Web Products Easy Installer'. Por cierto, ya está la versión 3.20.100 de MSN Plus!

Luego cierra todos los navegadores y administradores de archivos (como el Explorador de Windows) y con HJT marca estas entradas:

O2 - BHO: (no name) - {04079851-5845-4dea-848C-3ECD647AA554} - (no file)

O2 - BHO: (no name) - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - (no file)

O3 - Toolbar: (no name) - {71ED4FBA-4024-4bbe-91DC-9704C93F453E} - (no file)

O3 - Toolbar: (no name) - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - (no file)

Lo del SVCHOST no se me ocurre nada.

PD. Esta entrada desconozco que sea:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\Archivos de programa\Evrsoft\1st Page 2000\Templates\blank.htm

¿Te suena?

Arwing
 

bres

Ex-Mod
Miembro
#3
Gracias Arwing, algún dia me tendrás que dar clases para saber ver lo que esta mal en los logs del hijackthis :D

Ya he borrado la My Search Bar, y arreglado las entradas del registro. La última que no te suena a mí si, es de un programa de diseño web. El MSN plus lo usa mi hermano, yo voy con mi aMSN, así que mientras no se queje no se lo cambiaré :eek:.

Lo del svchost si se repite ya intentaré sacar más informacion, he puesto el log del HijackThis porque lo he pasado para ver si podría ser culpa de algo raro, y como era la primera vez que lo usaba y no tenia ni idea de que entradas borrar y cuales no, he aprovechado este foro y lo he puesto para daros faena o a tí o a alnitak.

Gracias de nuevo.
 
A

Arwing

Guest
#4
Cuando quieras, puedes pasarte por mi web y leer los manuales que tengo ahí (aunque ahorita la BD no funciona :eek:)

Arwing
 

alnitak

Ex-Admin
Miembro
#5
Bres está actualizado tu sistema ?

Te lo pregunto porque veo que sigues con el Windows Update viejo y esto me hace sospechar que llevas al menos un par de meses sin actualizar. Han salido varios gusanos que explotan vulnerabilidades el RPC y es posible que estés recibiendo ataques y a la pregunta del Outpost sobre algúna conexión en entrada del svchost hayas respondido que si sin fijarte bien.

Creo que deberias ante todo actualizar, después revisar tus normas personalizadas para el svchost y si hay algúna que permita conexiones en entradas eliminala.

Otro sospechoso es Panda, nunca he escuchado que provoque un problema parecido pero hablando de Panda no me extraña nada.

Sobrescribe tu versión del hijackThis por la el HijackThis 1.98.2 y por favor creale una carpeta que sea solo para elasí no te arriesgas a perder los respaldos.
 

bres

Ex-Mod
Miembro
#6
Gracias por los consejos alnitak, con el panda llevo ya tantos años como 4 y medio o así y nunca me ha dado problemas.

Lo del Windows update, no se que le pasa al explorer que se cuelga cuando voy a actualizar, de vez en cuando me voy bajando los parches a mano y instalandolo, y es verdad que hace bastante que no actualizo. Por cierto, me pongo el SP2 o no?

El outpost creo que tengo todas las conexiones del svchost aceptadas porque antes me ralentizaba el sistema, probaré de cambiar las configuraciones.

Ahora voy a actualizarme el hijackthis
 

alnitak

Ex-Admin
Miembro
#7
Sobre el SP2 ya es cuestion de opiniones. Yo no he querido actualizar mi sistema porque a todo aquel que lo ha hecho le va bastante mas lento y con conflictos, pero tampoco me he queriro quedar sin SP2 así que he seguido los pasos de este tutorial:

Crear CD de Windows XP personalizado con nLite | Manuales

He creado mi propio CD de XP + SP2 y he aprovechado para eliminar todos los servicios inecesarios. Mi sistema nunca ha estado tan rápido y el SP2 solo me ha dado un problema con un driver de mi Nvidia, por lo demas todo sin problemas.
 
Estado
Cerrado para nuevas respuestas
Arriba Pie