Svchost dando por culo!! ayuda!!



  • Desde hace algún tiempo noto que el ordenador, sin venir a cuento, empieza a tener un ruido molesto, es un ruido que viene de los discos duros, como si estuviera leyendo constantemente o algo parecido.

    Como digo, esta bien y empieza a hacerlo sin venir a cuento. Ha averiguado que quitando un proceso que se llama "svchost.exe" se quita el ruido, pero al rato vuelve, y si lo vuelvo a quitar, me aparece la clasica ventana que aparece cuando uno ha pillado el blaster, de que se apagará el ordenador en xx segundos", entonces le hago un "shutdown -a" desde Inicio-ejecutar y ya no se me apaga el ordenador, pero sige el molesto ruido.

    Alguien sabe que leches hace este svchost y porque produce ese molesto ruido?


  • Veteranos HL

    Hola, he aquí un poco de información:

    svchost es el encargado en Windows XP de ejecutar los servicios que corren desde una DLL (dynamic-link libraries).

    El archivo Svchost.exe se encuentra en la carpeta windows \System32.
    Cuando se inicia Windows, Svchost.exe chequea el registro para poder armar la lista de servicios que necesita cargar.
    Cada instancia de Svchost.exe puede ejecutar uno o mas servicios, todo depende de la manera en que se inicie.
    Los grupos de servicios se encuentran en la siguiente rama del registro:

    HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Svchost

    Cada valor dentro de esta rama, representa un grupo y será visualizado como una instancia de Svchost, cuando veamos la lista de procesos.

    El programa se inicia automáticamente cada vez que se carga el windows y es esencial para la estabilidad y seguridad del pc, por lo que no deberías cerrarlo si quieres que las aplicaciones de 32 bits te funcionen bien (casi todas menos el HL2 ese que habéis posteado por ahí);D

    Hasta aquí todo claro, pero hay un "pero": hay un troyano denominado W32.dasher (y otras variantes) que se camufla en el pc bajo el nombre de esa aplicación, que se aprovecha de las vulnerabilidades LSASS de windows (microsoft bulletin) y es el que hace que el equipo se apague (cosa que tu evitas con el shutdown -a).

    Esto ya deja bastante claro que el problema no es svchost sino el troyano camuflado como tal, de todas formas, si tienes dudas, la manera de identificar al troyano es porque este no se guarda en el directorio System32 del win, así que haz una busqueda por el pc a ver si lo localizas.

    aquí tienes un poco más de info sobre las dos variantes del troyano y supongo que tb alguna utilidad para eliminarlo:

    http://securityresponse.symantec.com/avcenter/venc/data/w32.welchia.worm.html
    http://securityresponse.symantec.com/avcenter/venc/data/w32.assarm@mm.html

    Un saludo



  • Seguramente sea un troyano o un virus, hazle un chequeo a fondo a ese ordenata



  • Al buscar svchost por todo el disco duro, me aparece:

    SVCHOST.EXE -3530F672.pf – C:\WINDOWS\PREFETCH 12 KB ARCHIVO PF
    svchost.exe -- C:\WINDOWS\system32 13 KB Aplicación
    SVCHOST.EXE -2D5FBD18.pf -- C:\WINDOWS\PREFETCH 18 KB ARCHIVO PF
    svchost.exe -- C:\WINDOWS\system32 14 KB Aplicación

    El primero y el tercero me dan mal rollo y he estado a punto de borrarlos, que os parece?

    Muchísimas gracias a todos



  • En el windows de mi familia, solo hay svchost.exe en: c:\windows\system32 y en c:\windows\system32\dllchache.

    Espero te sirva.

    Salu2!!!


  • Veteranos HL

    Hola

    como bien dices el 1 y el 3 de la lista no inspiran ninguna confianza, yo los borraría, aunque antes de arriesgarte puedes pasar alguna herramienta para eliminar al troyano y comprobar luego si esos dos archivos siguen ahí. Me parece que en alguno de los links que te di hay algún removal tool.

    Un saludo…y posteanos cuando hayas conseguido arreglar el problema , a ver cual ha sido la solución final.


  • Global Moderator

    los archivos de la carpeta prefecth de windows no son sospechosos, son archivos que genera el propio sistema para acelerar la ejecucion de partes del codigo, vamos que es como una "precache" de programas que se ejecutan habitualmente.

    no pasa nada si los borras, porque windows los volvera a generar. tambien es recomendable de vez en cuando borrar el contenido de esta carpeta para hacer limpieza.

    el problema no es de svchost, sino de alguna libreria dudosa que carga al arrancar el sistema y que setara registrada como un servicio del sistema (echale un vistazo a la lista de servicios)



  • ¿como puedes tener en system32 dos ficheros con el mismo nombre y distinto tamaño?


Accede para responder
 

Has perdido la conexión. Reconectando a Hardlimit.