Uso del CPU

Estado
Cerrado para nuevas respuestas

unpastin

Nuevo Miembro
Miembro
#1
A los pocos minutos de haberme conectado a internet, el uso del CPU se me dispara al 100% sin explicación, un amigo me dijo que puede ser un gusano, pero el antivirus no me detencta nada. Los procesos que aparentemente me causan el problema son el svchost.exe y el SERVICE.exe.

que debo hacer?!!!
 

dk01

Ex-Admin
Miembro
#2
Hola unpastin.

A priori pareciera que es el Service.exe el causante de tu problema, pero como no se sabe si es algún componente de algún programa, lo primero que debes hacer es descargar el HijackThis de la sección de descargas, ejecutarlo y postear aquí el log del mismo. Así podremos ver en detalle qué es lo que le sucede a tu máquina.

Buena suerte.
 

corazon_inquieto

Ex- Mod
Miembro
#3
hola

Los procesos son estos:

svchost.exe * Service Host Process Parte de Windows. Agrupa varios servicios.

services.exe * Services Control Manager Servicio de Windows, arranca y para los servicios

Otra cosa es que sean bichos camuflandose en esos procesos, bajate el hijack this salvalo a una carpeta propia y cierra todos los programas que tengas corriendo y ejecuta el programa, salva su log y postealo aquí.

Para mirar los procesos si algún dia no conoces algúno determinado, están en esta pagina Procesos

saludos.
 

unpastin

Nuevo Miembro
Miembro
#4
impresionante la rapidez en que responden!!!

le hice caso y aquí esta mi log.

no entiendo nada de esto, espero que me puedan explicar qué debo hacer.

desde ya infinitas gracias!!!!!!!!!!!!!!!

Logfile of HijackThis v1.98.2

Scan saved at 2:57:33, on 24/09/2004

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\SYSTEM32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\System32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\System32\drivers\CDAC11BA.EXE

C:\Archivos de programa\Archivos comunes\Panda Software\PavShld\pavprsrv.exe

C:\Archivos de programa\Panda Software\Panda Titanium Antivirus 2004\Pavsrv51.exe

C:\Archivos de programa\Panda Software\Panda Titanium Antivirus 2004\PsImSvc.exe

C:\WINDOWS\system32\srvany.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\resetservice.exe

C:\Archivos de programa\Panda Software\Panda Titanium Antivirus 2004\AVENGINE.EXE

C:\Archivos de programa\Panda Software\Panda Titanium Antivirus 2004\apvxdwin.exe

C:\WINDOWS\SYSTEM32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\System32\SERVICE.exe

C:\Archivos de programa\Panda Software\Panda Titanium Antivirus 2004\WebProxy.exe

C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\WINDOWS\System32\carpserv.exe

C:\WINDOWS\System32\ctfmon.exe

C:\WINDOWS\System32\taskmgr.exe

C:\WINDOWS\system32\tftp.exe

C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE

C:\Documents and Settings\server\Mis documentos\ANDRES\TEMP\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.uolsinectis.com.ar

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.uolsinectis.com.ar

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.uolsinectis.com.ar

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = UOL-Sinectis

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.uolsinectis.com.ar:80

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: DAPHelper Class - {0000CC75-ACF3-4cac-A0A9-DD3868E06852} - C:\Archivos de programa\DAP\DAPBHO.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: DAP Bar - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - C:\Archivos de programa\DAP\DAPIEBar.dll

O4 - HKLM\..\Run: [ATIPTA] C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [CARPService] carpserv.exe

O4 - HKLM\..\Run: [DownloadAccelerator] C:\ARCHIV~1\DAP\DAP.EXE /STARTUP

O4 - HKLM\..\Run: [ScanRegistry] C:\W

O4 - HKLM\..\Run: [Win32 Configuration] videosd32.exe

O4 - HKLM\..\Run: [Windows_Serivce] SERVICE.exe

O4 - HKLM\..\Run: [APVXDWIN] "C:\Archivos de programa\Panda Software\Panda Titanium Antivirus 2004\APVXDWIN.EXE" /s

O4 - HKLM\..\RunServices: [Win32 Configuration] videosd32.exe

O4 - HKLM\..\RunServices: [Windows_Serivce] SERVICE.exe

O4 - HKLM\..\RunOnce: [Windows_Serivce] SERVICE.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [Win32 Configuration] videosd32.exe

O4 - HKCU\..\Run: [Windows_Serivce] SERVICE.exe

O4 - HKCU\..\RunOnce: [Windows_Serivce] SERVICE.exe

O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE

O8 - Extra context menu item: &Download with &DAP - C:\ARCHIV~1\DAP\dapextie.htm

O8 - Extra context menu item: Download &all with DAP - C:\ARCHIV~1\DAP\dapextie2.htm

O9 - Extra button: Run DAP - {669695BC-A811-4A9D-8CDF-BA8C795F261C} - C:\ARCHIV~1\DAP\DAP.EXE

O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE

O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE

O17 - HKLM\System\CCS\Services\Tcpip\..\{F41E12DC-E52F-4E5D-AC54-3280811C963C}: NameServer = 216.244.219.2 216.244.219.3

O21 - SSODL: System - {D39C82CD-7434-4378-8AF4-BD874B3BDCA1} - C:\WINDOWS\system32\system32.dll
 

alnitak

Ex-Admin
Miembro
#5
NOTA IMPORTANTE: Por favor, no posteen sus logs juntos a los de otra persona porque se prestará a generar confusión, abran un nuevo tema para plantear su problema y posteen su log ahí.
Hola. Asegúrate que tu sistema operativo muestre los archivos y carpetas ocultos:

Mostrar archivos ocultos

Desactiva la opción de restaurar el sistema:

Como activar/desactivar restaurar el sistema

Reinicia el sistema en modo seguro:

Como reiniciar a prueba de fallos

Abre el Administrador de tareas: <Ctrl>+<Alt>+<Supr>

De existir termina cada uno de estos procesos:

videosd32.exe

SERVICE.exe

Cierra el administrador de tareas y vuélvelo a abrir para asegurarte que esos procesos ya no estén.

Abre el editor de registro:

Inicio>>ejecutar>>escribes regedit y aceptas

Respaldalo salvandolo como archivo:

Selecciona Mi Pc>pica el menú archivo>exportar>asegutare que esté marcada la casilla todos y salvalo.

Ahora navega el registro hasta encontrar y seleccionar la rama:

HKY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\

En el panel derecho elimina estas entradas:

[ScanRegistry] C:\W

[Win32 Configuration] videosd32.exe

[Windows_Serivce] SERVICE.exe

Ahora navega el registro hasta encontrar y seleccionar la rama:

HKY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ RunServices\

En el panel derecho elimina estas entradas:

[Win32 Configuration] videosd32.exe

[Windows_Serivce] SERVICE.exe

Navega el registro hasta encontrar y seleccionar la rama:

HKY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ RunOnce\

En el panel derecho elimina estas entradas:

[Windows_Serivce] SERVICE.exe

Cada usuario dispone de un área en el registro de la forma HKEY_LOCAL_USERS\. Por cada usuario(ósea sigue todas las instrucciones hasta el final con el usuario que estás usando y después vuelves a entrar al sistema en modo seguro desde cada cuenta de usuario que exista en tu sistema) sigue las siguientes instrucciones para editar el registro.:

Navega el registro hasta encontrar y seleccionar la rama:

HKY_LOCAL_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\ Run\

En el panel derecho elimina estas entradas:

[Win32 Configuration] videosd32.exe

[Windows_Serivce] SERVICE.exe

Navega el registro hasta encontrar y seleccionar la rama:

HKY_LOCAL_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\ RunOnce\

En el panel derecho elimina estas entradas:

[Windows_Serivce] SERVICE.exe

Ya puedes cerrar el editor de registro.

Inicia el HijackThis.

Cierra todos los navegadores, tanto los navegadores Web como el Explorer de Windows (es indispensable que los cierres o no resultará)

Corre el HijackThis, dale a Scan , revisa las casillas de las siguientes entradas(las que todavía estén presentes) y dale a fix:

O21 - SSODL: System - {D39C82CD-7434-4378-8AF4-BD874B3BDCA1} - C:\WINDOWS\system32\system32.dll

Elimina estos archivos:

SERVICE.exe

videosd32.exe

Reinicia normalmente, reactiva la opción de restaurar el sistema y postea otro log.

NOTA IMPORTANTE: Por favor, no posteen sus logs juntos a los de otra persona porque se prestará a generar confusión, abran un nuevo tema para plantear su problema y posteen su log ahí.
 

unpastin

Nuevo Miembro
Miembro
#6
hola masters! les cuento que hice todo lo que me dijeron y funciono bien, hasta que llegué al ultimo paso, el de

"Corre el HijackThis, dale a Scan , revisa las casillas de las siguientes entradas(las que todavía estén presentes) y dale a fix:

O21 - SSODL: System - {D39C82CD-7434-4378-8AF4-BD874B3BDCA1} - C:\WINDOWS\system32\system32.dll"

al hacer esto me aparecio un mensaje de error, y el ultimo paso:

"Elimina estos archivos:

SERVICE.exe

videosd32.exe"

directamente no lo pude hacer.

se suponia que tenia que suceder eso? lo ultimo que tenia que hacer, eliminar el SERVICE.exe y el videosd32.exe, no lo pude terminar, acaso eso es normal?

igualmente aquí está mi nuevo log:

Logfile of HijackThis v1.98.2

Scan saved at 21:41:38, on 24/09/2004

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\SYSTEM32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\System32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\System32\drivers\CDAC11BA.EXE

C:\Archivos de programa\Archivos comunes\Panda Software\PavShld\pavprsrv.exe

C:\Archivos de programa\Panda Software\Panda Titanium Antivirus 2004\Pavsrv51.exe

C:\Archivos de programa\Panda Software\Panda Titanium Antivirus 2004\PsImSvc.exe

C:\WINDOWS\system32\srvany.exe

C:\WINDOWS\system32\resetservice.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Panda Software\Panda Titanium Antivirus 2004\AVENGINE.EXE

C:\Archivos de programa\Panda Software\Panda Titanium Antivirus 2004\apvxdwin.exe

C:\WINDOWS\SYSTEM32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\WINDOWS\System32\carpserv.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Archivos de programa\Panda Software\Panda Titanium Antivirus 2004\WebProxy.exe

C:\WINDOWS\System32\taskmgr.exe

C:\Documents and Settings\server\Mis documentos\ANDRES\TEMP\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.uolsinectis.com.ar

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.uolsinectis.com.ar

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.uolsinectis.com.ar

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = UOL-Sinectis

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.uolsinectis.com.ar:80

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: DAPHelper Class - {0000CC75-ACF3-4cac-A0A9-DD3868E06852} - C:\Archivos de programa\DAP\DAPBHO.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: DAP Bar - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - C:\Archivos de programa\DAP\DAPIEBar.dll

O4 - HKLM\..\Run: [ATIPTA] C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [CARPService] carpserv.exe

O4 - HKLM\..\Run: [DownloadAccelerator] C:\ARCHIV~1\DAP\DAP.EXE /STARTUP

O4 - HKLM\..\Run: [APVXDWIN] "C:\Archivos de programa\Panda Software\Panda Titanium Antivirus 2004\APVXDWIN.EXE" /s

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE

O8 - Extra context menu item: &Download with &DAP - C:\ARCHIV~1\DAP\dapextie.htm

O8 - Extra context menu item: Download &all with DAP - C:\ARCHIV~1\DAP\dapextie2.htm

O9 - Extra button: Run DAP - {669695BC-A811-4A9D-8CDF-BA8C795F261C} - C:\ARCHIV~1\DAP\DAP.EXE

O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE

O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE

el problema persiste, el proceso que me consume todo el uso del CPU es el svchost.exe, POR FAVOR QUÉ DEBO HACER?!!!

les agradezco desde ya por la ayuda que me están dando!!!
 

alnitak

Ex-Admin
Miembro
#7
Ok.

Tenemos 2 sospechosos.

El primer y principal sospechoso es Panda. Ya te has habrás dado cuenta de lo poco y mal que te protege de los gusanos, ahora bien, además de ser un pésimo antivirus panda suele generar una infinidad de conflictos que terminan en muchos casos en sistemas colapsados con el consumo al 100%.

Lo primero que intentaría es desinstalar panda y limpiar el registro para volverlo después a instalar si el problema se arregla.

El segundo sospechoso es este:

C:\WINDOWS\system32\resetservice.exe

Que está siendo lanzado como servicio por este otro:

C:\WINDOWS\system32\srvany.exe

En este caso lo otro que se puede intentar es entrar a:

Inicio>>ejecutar>>msconfig>>pestaña servicios

aquí desmarca las casilla de esos 2 ejecutables si es que están.

Cabe destacar que los he visto en varios logs y hasta la fecha no se que hacen pero los sistema en los cuales los he visto correr no parecen salir perjudicados por lo tanto no acostumbro mandarlos a desactivar y mi sospechoso principal sigue siendo Panda
 
A

Arwing

Guest
#9
Descarga algún programa limpiador de registros. Uno de los más conocidos es RegCleaner, y desde la pantalla principal seleccionas todas las referencias a Panda y las mandas eliminar. O haces una limpieza automática del registro. Eso es un ejemplo.

También podrías usar el Registry Medic.

Arwing
 
Estado
Cerrado para nuevas respuestas
Arriba Pie