Forums Últimos mensajes - Powered by IBM
 
Tags Palabras claves

svchost me consume TODA la memoria.

30/06/2004 - 05:07 por Guillermo | Informe spam
Ayuda Hacer una pregunta
Inicio el ordenador, al principio todo normal pero poco a
poco el svchost.exe me va consumiendo toda la memoria. Hay
varías aplicaciones de svchost pero siempre es la de
SERVICIO LOCAL la que va aumentando, dando al final el
consecuente error de falta de memoria virtual ( lo cual
deduzco que ocurre porque se come toda la normal y después
va a por la virtual)

El ordenador tiene XP home edition, tiene una McAffe
firewall y antivirus. Lo he llevado a un sitio a que lo
miren y no saben na de na.

Pentium 4, 2.8, 512 Ram ddr, portátil fijutsu siemens,
amilo.
email Siga el debateRespuesta 9 respuestasRespuesta Tengo una respuesta

Preguntas similare

Leer las respuestas

#6 Anonimo
01/07/2004 - 16:32 | Informe spam
Empezamos por el final... te pongo el log del hijackthis:

Logfile of HijackThis v1.97.7
Scan saved at 15:31:47, on 01/07/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\McAfee\McAfee Internet
Security\GUARDDOG.EXE
C:\WINDOWS\System32\Ati2evxx.exe
C:\Archivos de programa\Archivos comunes\Microsoft
Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\McAfee\McAfee Firewall\CPD.EXE
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\McAfee\McAfee Internet
Security\GUARDDOG.EXE
C:\Archivos de programa\McAfee\McAfee Firewall\CPD.EXE
C:\Archivos de programa\McAfee\McAfee Shared
Components\Guardian\CMGrdian.exe
C:\Program Files\ATI Technologies\ATI Control
Panel\atiptaxx.exe
C:\Archivos de programa\McAfee\McAfee Shared
Components\Instant Updater\RuLaunch.exe
C:\Archivos de programa\Messenger\msmsgs.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Documents and
Settings\Guillermo\Escritorio\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start
Page = http://www.google.com/
R0 - HKCU\Software\Microsoft\Internet
Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-
784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0
\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {AE7CD045-E861-484f-8273-
0445EE161910} - C:\Archivos de programa\Adobe\Acrobat 6.0
\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: McAfee VirusScan - {ACB1E670-3217-45C4-A021-
6B829A8A27CB} - C:\Archivos de programa\McAfee\McAfee
VirusScan\VSCShellExtension.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-
00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: PDF de Adobe - {47833539-D0C5-4125-9FA8-
0819E2EAAC93} - C:\Archivos de programa\Adobe\Acrobat 6.0
\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [McAfee Guardian] "C:\Archivos de
programa\McAfee\McAfee Shared
Components\Guardian\CMGrdian.exe" /SU
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32
\\NeroCheck.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI
Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKCU\..\Run:
[McAfee.InstantUpdate.Monitor] "C:\Archivos de
programa\McAfee\McAfee Shared Components\Instant
Updater\RuLaunch.exe" /STARTMONITOR
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE
Class) -
http://207.188.7.150/30f0ef540998c13cdb06/netzip/RdxIE601.c
ab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000}
(Shockwave Flash Object) -
http://download.macromedia.com/pub/.../flash/swf
lash.cab


en cuanto a la línea de comando de "tasklist" no consigo
que funcione y he visto en una página que (no se la
fiabilidad que tendrá) que no existe ese comando para XP y
de verdad que no me funciona. Pero vamos que lo sigo
intentando!
Una vez más, gracias por todo.
guille escribió:
ya me imaginaba que iba a ser un poco lioso. He probado




lo
del cmd pero me dice que no reconoce el comando interno




o
externo, programa o archivo por lotes ejecutable.

Me sale directamente con:
c:\ Documents and settings\ Guillermo>

y ahí inserto "tasklist /fi "IMAGENAME eq svchost.exe"/
svc"
y me da el resultado que te he dicho. Espero no hacerte
perder el tiempo, pero es que no se muy bien como




funciona
esto. Lo he intentado poniendo Tasklist solo, junto,
separado, con comillas, sin comillas y nada de nada.




Lioso???, inicio/ejecutar y teclear "cmd" (sin comillas),


te debe salir
al simbolo de sistema. En fin, he analizado los procesos


que ponias
anteriormente y en principio no veo nada extraño. Mis


sospechas iban por
que alguna clase de virus te hubiera infectado el


sistema, los únicos
servicios que en principio me llaman la atención es


SharedAccess y
WZCSVC ¿tienes alguna conexión de red de tipo wireless?,


si no es así
podrías estar afectado por el virus dabber-b, es un virus


que aprovecha
la misma vulnerabilidad que el sasser, por lo que para


infectarte no es
necesario hacer nada especial, simplemente instalar


winXP, sin tener la
precaución de tener activo algun firewall antes de


conectarte a la red.
Estos tipos de virus, aun estando desinfectado el


sistema, pueden dejar
muy tocado el ordenador.

http://www.vsantivirus.com/dabber-b.htm



Vamos a ver si detectamos el fallo.


1. Ves a esta clave de registro y fijate en los servicios


que tienes
corriendo en modo local, (inicio/ejecutar/regedit y


buscas la clave)
fijate especialmente, en que no este listado el servicio


lass.

HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVer


sion\Svchost

2. Pasale al sistema un scanner online... como el de
http://housecall.trendmicro.com/

3. Pasale el ad-aware de www.lavasoftusa.com, previa


actualización de su
archivo de referencia.

4. Pasale también el CWShredder:
http://www.spychecker.com/program/c...edder.html

5. Y por último, por si no tuvieras exito (será a falta


de programas!!!
;-) ) le pasas el HijackThis:
http://www.spychecker.com/program/hijackthis.html

Y posteas el log de salida a ver si damos con el fallo.


Otra forma de sacar la salida que te pedía es desde


simbolo de sistema
(ya sabemos como hacerlo) Y tecleando (exactamente)


tasklist /svc ->
esto lista todo sin ningún filtro, por lo que la salida


será más extensa
que con el metodo que anteriormente mencionaba, echale


también un
vistazo a este KB.

Descripción del proceso svchost.exe en windows xp
http://support.microsoft.com/defaul...cid=kb;Es-


eS;314056
Saludos
Fernando M.
.

Respuesta Responder a este mensaje
#7 guillermo
01/07/2004 - 18:09 | Informe spam
Bueno, conseguí lo del Tasklist /svc, resulta que no tenía
el taskmanager instalado...
Ahí va lo que sale:

Image Name PID Services
=
==System Idle Process 0 N/A
System 4 N/A
smss.exe 928 N/A
csrss.exe 1040 N/A
winlogon.exe 1064 N/A
services.exe 1112 Eventlog, PlugPlay
lsass.exe 1124 ProtectedStorage, SamSs
svchost.exe 1300 RpcSs
svchost.exe 1480 AudioSrv, Browser,
CryptSvc, Dhcp, ERSvc,
EventSystem,
FastUserSwitchingCompatibility,
helpsvc, HidServ,
lanmanserver,
lanmanworkstation,
Messenger, Netman, Nla,
RasMan, Schedule,
seclogon, SENS,
ShellHWDetection,
srservice, TapiSrv,
TermService, Themes,
TrkWks, uploadmgr,
W32Time, winmgmt,
WmdmPmSp, wuauserv, WZCSVC
svchost.exe 1748 Dnscache
svchost.exe 1820 LmHosts, WebClient
spoolsv.exe 128 Spooler
GuardDog.exe 188 GuardDogEXE
ati2evxx.exe 300 Ati HotKey Poller
mdm.exe 336 MDM
slserv.exe 460 SLService
svchost.exe 492 stisvc
cpd.exe 800 McAfee Firewall
explorer.exe 1632 N/A
GuardDog.exe 1640 N/A
CMGrdian.exe 1908 N/A
atiptaxx.exe 1936 N/A
RuLaunch.exe 1952 N/A
cpd.exe 1968 N/A
IEXPLORE.EXE 1008 N/A
taskmgr.exe 1512 N/A
cmd.exe 632 N/A
ntvdm.exe 976 N/A
tasklist.exe 1372 N/A
wmiprvse.exe 1236 N/A


Empezamos por el final... te pongo el log del hijackthis:

Logfile of HijackThis v1.97.7
Scan saved at 15:31:47, on 01/07/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\McAfee\McAfee Internet
Security\GUARDDOG.EXE
C:\WINDOWS\System32\Ati2evxx.exe
C:\Archivos de programa\Archivos comunes\Microsoft
Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\McAfee\McAfee Firewall\CPD.EXE
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\McAfee\McAfee Internet
Security\GUARDDOG.EXE
C:\Archivos de programa\McAfee\McAfee Firewall\CPD.EXE
C:\Archivos de programa\McAfee\McAfee Shared
Components\Guardian\CMGrdian.exe
C:\Program Files\ATI Technologies\ATI Control
Panel\atiptaxx.exe
C:\Archivos de programa\McAfee\McAfee Shared
Components\Instant Updater\RuLaunch.exe
C:\Archivos de programa\Messenger\msmsgs.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Documents and
Settings\Guillermo\Escritorio\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start
Page = http://www.google.com/
R0 - HKCU\Software\Microsoft\Internet
Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-
784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0
\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {AE7CD045-E861-484f-8273-
0445EE161910} - C:\Archivos de programa\Adobe\Acrobat 6.0
\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: McAfee VirusScan - {ACB1E670-3217-45C4-A021-
6B829A8A27CB} - C:\Archivos de programa\McAfee\McAfee
VirusScan\VSCShellExtension.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-
00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: PDF de Adobe - {47833539-D0C5-4125-9FA8-
0819E2EAAC93} - C:\Archivos de programa\Adobe\Acrobat 6.0
\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [McAfee Guardian] "C:\Archivos de
programa\McAfee\McAfee Shared
Components\Guardian\CMGrdian.exe" /SU
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32
\\NeroCheck.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI
Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKCU\..\Run:
[McAfee.InstantUpdate.Monitor] "C:\Archivos de
programa\McAfee\McAfee Shared Components\Instant
Updater\RuLaunch.exe" /STARTMONITOR
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE
Class) -
http://207.188.7.150/30f0ef540998c13cdb06/netzip/RdxIE601.


c
ab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000}
(Shockwave Flash Object) -
http://download.macromedia.com/pub/...s/flash/sw


f
lash.cab


en cuanto a la línea de comando de "tasklist" no consigo
que funcione y he visto en una página que (no se la
fiabilidad que tendrá) que no existe ese comando para XP


y
de verdad que no me funciona. Pero vamos que lo sigo
intentando!
Una vez más, gracias por todo.
guille escribió:
ya me imaginaba que iba a ser un poco lioso. He






probado
lo
del cmd pero me dice que no reconoce el comando






interno
o
externo, programa o archivo por lotes ejecutable.

Me sale directamente con:
c:\ Documents and settings\ Guillermo>

y ahí inserto "tasklist /fi "IMAGENAME eq






svchost.exe"/
svc"
y me da el resultado que te he dicho. Espero no






hacerte
perder el tiempo, pero es que no se muy bien como




funciona
esto. Lo he intentado poniendo Tasklist solo, junto,
separado, con comillas, sin comillas y nada de nada.




Lioso???, inicio/ejecutar y teclear "cmd" (sin




comillas),
te debe salir
al simbolo de sistema. En fin, he analizado los procesos


que ponias
anteriormente y en principio no veo nada extraño. Mis


sospechas iban por
que alguna clase de virus te hubiera infectado el


sistema, los únicos
servicios que en principio me llaman la atención es


SharedAccess y
WZCSVC ¿tienes alguna conexión de red de tipo




wireless?,
si no es así
podrías estar afectado por el virus dabber-b, es un




virus
que aprovecha
la misma vulnerabilidad que el sasser, por lo que para


infectarte no es
necesario hacer nada especial, simplemente instalar


winXP, sin tener la
precaución de tener activo algun firewall antes de


conectarte a la red.
Estos tipos de virus, aun estando desinfectado el


sistema, pueden dejar
muy tocado el ordenador.

http://www.vsantivirus.com/dabber-b.htm



Vamos a ver si detectamos el fallo.


1. Ves a esta clave de registro y fijate en los




servicios
que tienes
corriendo en modo local, (inicio/ejecutar/regedit y


buscas la clave)
fijate especialmente, en que no este listado el servicio


lass.

HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVe




r
sion\Svchost

2. Pasale al sistema un scanner online... como el de
http://housecall.trendmicro.com/

3. Pasale el ad-aware de www.lavasoftusa.com, previa


actualización de su
archivo de referencia.

4. Pasale también el CWShredder:
http://www.spychecker.com/program/c...edder.html

5. Y por último, por si no tuvieras exito (será a falta


de programas!!!
;-) ) le pasas el HijackThis:
http://www.spychecker.com/program/hijackthis.html

Y posteas el log de salida a ver si damos con el fallo.


Otra forma de sacar la salida que te pedía es desde


simbolo de sistema
(ya sabemos como hacerlo) Y tecleando (exactamente)


tasklist /svc ->
esto lista todo sin ningún filtro, por lo que la salida


será más extensa
que con el metodo que anteriormente mencionaba, echale


también un
vistazo a este KB.

Descripción del proceso svchost.exe en windows xp
http://support.microsoft.com/defaul...cid=kb;Es-


eS;314056
Saludos
Fernando M.
.



.

Respuesta Responder a este mensaje
#8 fermu
01/07/2004 - 18:12 | Informe spam
escribió:

Empezamos por el final... te pongo el log del hijackthis:




No veo nada raro en ese log... lo clasico: McAfee Firewall, el
antivirus, el adobe, el nero, el messenger... en fin nada especial y en
el IE parece todo en orden... Con respecto a lo que antes dije, supongo
que le habrás pasado toda la batería de programas sin resultado, no es
así?. Si ninguno te ha detectado nada, no sé que servicio pueda estar
ocupando la cpu en svchost. respecto a tasklist te aseguro que si existe
(estoy calvo de ejecutarlo).

[pego]
TASKLIST [/S sistema [/U usuario [/P contraseña]]]
[/M [módulo] | /SVC | /V] [/FI filtro] [/FO formato] [/NH]

Descripción:
Esta herramienta de la línea de comandos muestra una lista de
aplicaciones y las tareas o procesos asociados que se ejecutan
en un sistema local o remoto
[oego]


Lo único que se me ocurre finalmente que puedas hacer, es que ejecutes
desde el simbolo de sistema un "netstat -ano" (sin comillas, cierra
antes todas las conexiones externas que tengas) a ver que puertos
extraños de salida vemos...
Saludos
Fernando M.
Respuesta Responder a este mensaje
#9 fermu
01/07/2004 - 18:39 | Informe spam
guillermo escribió:

Bueno, conseguí lo del Tasklist /svc, resulta que no tenía
el taskmanager instalado...
Ahí va lo que sale:




En ese log tampoco veo nada raro :-(...

Vamos a intentarlo de otra manera ejecuta este programa...

[Descarga directa].

http://www.sysinternals.com/files/procexpnt.zip


Aquí podrás analizar de forma interactiva los servicios que están
ocupando el svchost.exe en un momento determinado, si haces doble click
sobre un proceso determinado (svchost) se te abrirá una ventana con
pestañas, elige la de servicios y mirá los procesos asociados del
svchost que te este consumiendo memoria, haz también lo que mencionaba
antes... en última instacia lo único que se me ocurre es que tuvieras un
rootkit instalado.


Saludos
Fernando M.
email Siga el debate Respuesta Responder a este mensaje
Ads by Google
Help Hacer una pregunta AnteriorRespuesta Tengo una respuesta
Search Busqueda sugerida