SvcHost está tomando el 100% de la CPU. ¿Parece ser DcomLaunch o TermService - virus?


5

Así que mi SvcHost De repente, estoy tomando el 100% de mi CPU, y me gustaría averiguar qué servicio es responsable de esto. ¿Hay alguna manera de diferenciar la carga generada por los múltiples servicios que se ejecutan en un único SvcHost?

He ejecutado un análisis de virus y salió limpio Mi herramienta está vieja y desactualizada, por lo que no encontró nada.

Intenté pasar por los servicios, parándolos uno por uno, pero no pude encontrar al culpable (note que algunos servicios también se reiniciaron automáticamente y no quise desactivarlos).


Actualizar: solía Explorador de procesos anoche, pero hubo muchos servicios, algunos de los cuales no pudieron ser detenidos, en la ofensiva SvcHost. Hoy volví a revisar la sugerencia de Heavyd y tuve suerte porque solo dos servicios están en la ofensiva SvcHost hoy.

DcomLaunch - DCOM Server Process Launcher

TermService - Terminal Services

Ninguno de los cuales son paradores. Estoy al tanto de las actualizaciones de Windows. Vamos a ejecutar otro escaneo de virus por el gusto de eso, aunque nada apareció anoche . Tal vez es hora de un nuevo comienzo (esta instalación es de algún momento en 2004).


Actualizar: Definitivamente un virus. Después del último reinicio, el uso de la CPU se redujo, pero recibí algunos mensajes extraños de "Software de instalación de seguridad" en el arranque, procesos con nombres extraños en ejecución (por ejemplo, 555573478785.exe ), y claves sospechosas añadidas a HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run que no estaban allí anoche

Symantec AntiVirus Corporate 8.1.0.825 presentó algunas advertencias, pero no parece estar detectando todo :-(


Malwarebytes Anti-Malware resultados:

Malwarebytes' Anti-Malware 1.44
Database version: 3763
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

2/19/2010 12:12:58 PM
mbam-log-2010-02-19 (12-12-58).txt

Scan type: Full Scan (C:\|D:\|)
Objects scanned: 290960
Time elapsed: 1 hour(s), 23 minute(s), 54 second(s)

Memory Processes Infected: 0
Memory Modules Infected: 1
Registry Keys Infected: 25
Registry Values Infected: 1
Registry Data Items Infected: 1
Folders Infected: 1
Files Infected: 6

Memory Processes Infected:
(No malicious items detected)

Memory Modules Infected:
C:\WINDOWS\kbabjtm.dll (Trojan.Hiloti) -> Delete on reboot.

Registry Keys Infected:
HKEY_CLASSES_ROOT\Interface\{2e9937fc-cf2f-4f56-af54-5a6a3dd375cc} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{741de825-a6f0-4497-9aa6-8023cf9b0fff} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{cf54be1c-9359-4395-8533-1657cf209cfe} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{147a976f-eee1-4377-8ea7-4716e4cdd239} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Typelib\{d518921a-4a03-425e-9873-b9a71756821e} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{56256a51-b582-467e-b8d4-7786eda79ae0} (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{00a6faf1-072e-44cf-8957-5838f569a31d} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{07b18ea1-a523-4961-b6bb-170de4475cca} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{07b18ea9-a523-4961-b6bb-170de4475cca} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{07b18eab-a523-4961-b6bb-170de4475cca} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{1d4db7d2-6ec9-47a3-bd87-1e41684e07bb} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{25560540-9571-4d7b-9389-0f166788785a} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{3dc201fb-e9c9-499c-a11f-23c360d7c3f8} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{63d0ed2c-b45b-4458-8b3b-60c69bbbd83c} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{9ff05104-b030-46fc-94b8-81276e4e27df} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{1d4db7d2-6ec9-47a3-bd87-1e41684e07bb} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{59c7fc09-1c83-4648-b3e6-003d2bbc7481} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{68af847f-6e91-45dd-9b68-d6a12c30e5d7} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{9170b96c-28d4-4626-8358-27e6caeef907} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{d1a71fa0-ff48-48dd-9b6d-7a13a3e42127} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{ddb1968e-ead6-40fd-8dae-ff14757f60c7} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{f138d901-86f0-4383-99b6-9cdd406036da} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{56256a51-b582-467e-b8d4-7786eda79ae0} (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\RunDll32Policy\f3ScrCtr.dll (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Multimedia\WMPlayer\Schemes\f3pss (Adware.MyWebSearch) -> Quarantined and deleted successfully.

Registry Values Infected:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\MenuExt\&Search\(default) (Adware.Hotbar) -> Quarantined and deleted successfully.

Registry Data Items Infected:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Notification Packages (Trojan.Vundo.H) -> Data: kbabjtm.dll  -> Delete on reboot.

Folders Infected:
C:\Documents and Settings\All Users\Application Data\55533526 (Rogue.Multiple) -> Quarantined and deleted successfully.

Files Infected:
C:\WINDOWS\kbabjtm.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS\Temp\~TM17.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\~TM466.tmp (Trojan.Hiloti) -> Quarantined and deleted successfully.
C:\Documents and Settings\mach\Local Settings\Temporary Internet Files\Content.IE5\2WE7TOVW\load[1].exe (Malware.Packer.Gen) -> Quarantined and deleted successfully.
C:\Documents and Settings\mach\Application Data\avdrn.dat (Malware.Trace) -> Quarantined and deleted successfully.
C:\Documents and Settings\mach\Start Menu\Programs\Startup\monnid32.exe (Trojan.Bredolab) -> Delete on reboot.

Resultados del segundo escaneo:

Malwarebytes' Anti-Malware 1.44
Database version: 3763
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

2/19/2010 1:54:07 PM
mbam-log-2010-02-19 (13-54-07).txt

Scan type: Full Scan (C:\|D:\|)
Objects scanned: 290753
Time elapsed: 1 hour(s), 18 minute(s), 34 second(s)

Memory Processes Infected: 0
Memory Modules Infected: 0
Registry Keys Infected: 0
Registry Values Infected: 0
Registry Data Items Infected: 0
Folders Infected: 0
Files Infected: 2

Memory Processes Infected:
(No malicious items detected)

Memory Modules Infected:
(No malicious items detected)

Registry Keys Infected:
(No malicious items detected)

Registry Values Infected:
(No malicious items detected)

Registry Data Items Infected:
(No malicious items detected)

Folders Infected:
(No malicious items detected)

Files Infected:
C:\System Volume Information\_restore{0D9A148D-2E7E-411F-8807-407114206A75}\RP2138\A0129104.dll (Trojan.Hiloti) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{0D9A148D-2E7E-411F-8807-407114206A75}\RP2138\A0129105.exe (Malware.Packer.Gen) -> Quarantined and deleted successfully.

Actualizar: Después de un par de exploraciones más, parece que mi PC ya no tiene un virus.

¡Gracias a todos!


1
Utilice MalwareBytes AntiMalware. Sucedió que sufrí el mismo problema con un par de PC en una red. Todos presentaron los mismos síntomas (svchost.exe usando 100% de CPU) pero con diferentes servicios cada uno. Un escaneo rápido mostró que se instaló un gusano en ambas máquinas.
LaughingMan

@ LaughingMan: Gracias, nunca lo intenté. También le doy una oportunidad a Sysinternals RootKit Revealer.
Cory Charlton

¿Se solucionó tu problema?
LaughingMan

Ejecutando un segundo escaneo ahora, hasta ahora se han encontrado dos objetos infectados. Voy a seguir ejecutándolo un par de veces, así como buscar otras opciones de limpiador gratis. Esperando una combinación de herramientas y múltiples exploraciones eventualmente limpiará el herpes de mi PC :-P
Cory Charlton

Respuestas:


7

Sugeriría agarrar Explorador de procesos de Microsoft / SysInternals . Con el explorador de procesos puede abrir el proceso svchost específico y ver qué servicios se están ejecutando desde ese proceso. Luego puede usar la pestaña "Servicios" en los detalles del proceso para detener los servicios individuales y encontrar al culpable.


+1: tomé esa ruta anoche pero había muchos servicios, algunos de los cuales no se pudieron detener. Parece que tuve suerte hoy porque solo dos servicios están en la posición ofensiva svchost hoy. Voy a actualizar la pregunta.
Cory Charlton

7

Mientras los servicios múltiples se ejecuten en un solo svchost.exe, no se puede diferenciar la carga. Pero hay una manera fácil y segura de dividirlos en svchost.exe separados:

SC Config Servicename Type= own

Haga esto en una ventana de línea de comandos o póngalo en un script BAT / CMD. Los requisitos para que esto funcione son:

  • Privilegios administrativos cuando el SC los comandos se ejecutan.
  • Reinicio de la computadora. No tiene efecto antes.
  • El espacio después de "=".

El estado original puede ser restaurado por:

SC Config Servicename Type= share

Ejemplo: para hacer Instrumentación de Administración Windows Ejecutar en un SVCHOST.EXE separado:

SC Config winmgmt Type= own

He usado la siguiente secuencia en un sistema Windows XP. Puede ser pegado directamente en una ventana de línea de comandos.

rem  1. "Automatic Updates"
SC Config wuauserv Type= own

rem  2. "COM+ Event System"
SC Config EventSystem Type= own

rem  3. "Computer Browser"
SC Config Browser Type= own

rem  4. "Cryptographic Services"
SC Config CryptSvc Type= own

rem  5. "Distributed Link Tracking"
SC Config TrkWks Type= own

rem  6. "Help and Support"
SC Config helpsvc Type= own

rem  7. "Logical Disk Manager"
SC Config dmserver Type= own

rem  8. "Network Connections"
SC Config Netman Type= own

rem  9. "Network Location Awareness"
SC Config NLA Type= own

rem 10. "Remote Access Connection Manager"
SC Config RasMan Type= own

rem 11. "Secondary Logon"
SC Config seclogon Type= own

rem 12. "Server"
SC Config lanmanserver Type= own

rem 13. "Shell Hardware Detection"
SC Config ShellHWDetection Type= own

rem 14. "System Event Notification"
SC Config SENS Type= own

rem 15. "System Restore Service"
SC Config srservice Type= own

rem 16. "Task Scheduler"
SC Config Schedule Type= own

rem 17. "Telephony"
SC Config TapiSrv Type= own

rem 18. "Terminal Services"
SC Config TermService Type= own

rem 19. "Themes"
SC Config Themes Type= own

rem 20. "Windows Audio"
SC Config AudioSrv Type= own

rem 21. "Windows Firewall/Internet Connection Sharing (ICS)"
SC Config SharedAccess Type= own

rem 22. "Windows Management Instrumentation"
SC Config winmgmt Type= own

rem 23. "Wireless Configuration"
SC Config WZCSVC Type= own

rem 24. "Workstation"
SC Config lanmanworkstation Type= own

rem End.

0

Te sugiero que des AVIRA AntiVirus un intento. Tiene una tasa de detección más alta que cualquier otro antivirus importante. Definitivamente lo recomiendo.


0

La misma condición conmigo. Este es el virus de mi lado. Pero no hay duda de que NO ANTIVIRUS puede curarlo porque SvcHost Se estaba inyectando e infectando. SvcHost nunca puede ser borrado o terminado entonces.

  • Utilizar el Explorador de procesos de Sysinternals

  • A continuación, encuentre qué servicio SvcHost se está ejecutando. without a parent. Porque cada svchost.exe debe ser cargado por services.exe. O puede averiguar la Parent de un proceso haciendo doble clic en él & gt; & gt; Pestaña "Imagen" & gt; & gt; Etiqueta "padre".

Además, si el virus que tienes es el mismo que el que tengo conmigo (la infección de todos los html archivos con VBScript), debe hacer los siguientes pasos.

  • Limpiar todo .html archivos (o) eliminar el código de cada .html expediente.

  • Después de limpiar el .html archivos, para mí en esta situación, seguramente reemplazé el SVCHOST.EXE desde el CD de instalación de Windows XP, usando Recovery Console desde el arranque.

Al usar nuestro sitio, usted reconoce que ha leído y comprende nuestra Política de Cookies y Política de Privacidad.
Licensed under cc by-sa 3.0 with attribution required.