svchost.exe 100% CPU

Iniciado por kaioeukz, 18 Agosto 2010, 03:39 AM

0 Miembros y 2 Visitantes están viendo este tema.

kaioeukz

bueno desde hace unos dias mi pc esta teniendo este problema del svchost.exe 100% CPU
por lo que eh visto hay un virus en mi pc eh intentado varias cosas pero sigue igual
primer sintoma que tenia era reiniciarse constantemente asik lo puse en modo a prueba de fallos y use el antivirus nod 32,CCleaner,Malwarebytes,ad Aware,ewido ,elimine algunos archivos y dejo de suceder eso de reiciniarse,ahora se puede entrar a windows pero me salta el problema svchost.exe 100% CPU tambien baje un programa para ver cual era
el archivo que me estaba usando ese consumo lo desabilite pero me salto otro
uno era (DcomLaunch) y despues el otro no me acuerdo bien pero era de la conexion a red
tambien eh intentando bajar paches para LSASS y el RPC/DCOM pero los k encontre era para el windows xp service pack 1 y yo tengo el service pack 2

quiesiera saber si hay alguna solucion posible a esto

como mencione mi windows es xp profesional version 2002 service pack 2

estos son los ultimos resultados de mis analisis

Malwarebytes. actualizado

Tipos de Análisis: Análisis Completo (C:\|)
Objetos examinados: 288682
Tiempo transcurrido: 3 hora(s), 42 minuto(s), 13 segundo(s)

Procesos en Memoria Infectados: 0
Módulos de Memoria Infectados: 0
Claves del Registro Infectadas: 0
Valores del Registro Infectados: 0
Elementos de Datos del Registro Infectados: 0
Carpetas Infectadas: 0
Archivos Infectados: 3

Procesos en Memoria Infectados:
(No se han detectado elementos maliciosos)

Módulos de Memoria Infectados:
(No se han detectado elementos maliciosos)

Claves del Registro Infectadas:
(No se han detectado elementos maliciosos)

Valores del Registro Infectados:
(No se han detectado elementos maliciosos)

Elementos de Datos del Registro Infectados:
(No se han detectado elementos maliciosos)

Carpetas Infectadas:
(No se han detectado elementos maliciosos)

Archivos Infectados:
C:\Downloads\torrent\PowerISO42.jpg (Extension.Mismatch) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{AC06C7D4-4520-4C1B-BCD8-F13AB7B16A9A}\RP365\A0091115.exe (Trojan.Agent.Gen) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{AC06C7D4-4520-4C1B-BCD8-F13AB7B16A9A}\RP365\A0091116.exe (Trojan.Agent.Gen) -> Quarantined and deleted successfully.


antivirus nod 32 actualizado
los archivos infectados son estos
nose si es necesario pòner todo el resultado
no los pude eliminar,espero ver si hay una solucion


Comienzo: 17/08/2010 1:24:58
Registro de sucesos
NOD32 Scanner versión 5371 (20100816) NT
Línea de comando: C:\

Fecha: 17.8.2010  hora: 01:24:59
La Tecnología Anti-Stealth está activada.
Discos, carpetas y archivos analizados: C:\
C:\pagefile.sys - Error abriendo archivo (El archivo está bloqueado) [4]


C:\System Volume Information\_restore{AC06C7D4-4520-4C1B-BCD8-F13AB7B16A9A}\RP366\A0111813.exe »ZIP »11.exe - Variante modificada de Win32/Injector.BXE (Troyano)
C:\System Volume Information\_restore{AC06C7D4-4520-4C1B-BCD8-F13AB7B16A9A}\RP366\A0111814.exe »ZIP ».exe »NTKrnl - Win32/Bifrose.ADR (Troyano)
C:\System Volume Information\_restore{AC06C7D4-4520-4C1B-BCD8-F13AB7B16A9A}\RP366\A0111814.exe »ZIP »11.exe - Variante modificada de Win32/Injector.BXE (Troyano)
C:\System Volume Information\_restore{AC06C7D4-4520-4C1B-BCD8-F13AB7B16A9A}\RP366\A0111815.exe »ZIP »crack.exe »NTKrnl - Win32/Bifrose.ADR (Troyano)
C:\System Volume Information\_restore{AC06C7D4-4520-4C1B-BCD8-F13AB7B16A9A}\RP366\A0111815.exe »ZIP »11.exe - Variante modificada de Win32/Injector.BXE (Troyano)

Cantidad de archivos analizados: 594417
Cantidad de amenazas detectadas: 5
Hora de finalización: 05:22:41 . Tiempo total de análisis: 14262 seg (03:57:42)

Notas:
[4] El archivo no puede ser abierto. Es usado en exclusividad por otra aplicación.


Mr.Blue

#1
http://www.neuber.com/free/svchost-analyzer/index.html

De ahi podes bajar para analizar los svchost, bajate tambien el hijackthis, y deja tu log para analizarlo, si no sabes.

Tambien podes analizarlo directamente desde internet en esta web

http://www.hijackthis.de/

Cuando veas cuales son las entradas infectadas, las seleccionas y le das a fix checked.
Saludos.

kaioeukz

Sr.Blanco  hice todo lo que me dijiste pero no puedo eliminar esto que supuestamente segun el scaneo es el archivo infectado

O4 - Startup: updpxe32.exe
del resultado del HijackThis

cuando le doy fix checked me dice

Unable to delete the file
O4 - Startup: updpxe32.exe
The file may be in use.Use Task Manager to shutdown the program and run HijackThis again to delete the file

cuando entro a open process manager no me aparece y cuando lo busco con
show DLLs tampoco lo veo nose si estare haciendo algo mal
o buscando en un lugar incorrecto

Mr.Blue

#3
Inicia tu maquina en modo a prueba de fallos eh intenta borrarlo desde ahi.
Si no aca tenes una guia de desinfeccion.

http://cert.inteco.es/virusDetail/Actualidad/Actualidad_Virus/Detalle_Virus/DwnLdr_IKH#desinfeccion

Este es el fichero que tenes q eliminar y donde hace una copia de seguridad del mismo
%Temp%\~TM7.tmp: es una copia de sí mismo.
%StartMenu%\updpxe32.exe

En el link que te deje podes ver como se elimina

Saludos

leogtz

Puedes utilizar el comando wmic para saber la ruta de los procesos y así saber cuál eliminar

wmic process get caption, commandline

De ahí te puedes ir a donde está el archivo y eliminarlo.
Código (perl) [Seleccionar]

(( 1 / 0 )) &> /dev/null || {
echo -e "stderrrrrrrrrrrrrrrrrrr";
}

http://leonardogtzr.wordpress.com/
leogutierrezramirez@gmail.com

alexa roberts

#5
hola, mira te recomiendo esta pagina y desde alli podras restaurar el proceso es muy bueno http://elarchivo.es/proceso/svchost.exe.html