[AYUDA] Windows XP una carreta.

28/03/2007 - 19:10 por Guido Bicocca | Informe spam
Estimados, solicito su ayuda ya que no me quedan pruebas por realizar al
respecto. Tengo varios equipos que si bien no son últimos modelos son equipos
que hasta hace unos días venían funcionando sin ningún tipo de inconveniente
para el uso que se le está dando; el uso dado es el de cualquier lugar de
trabajo, Internet, MS. Office, Lotus Notes, etc. Nada de software super
exigente, creo yo a mi parecer que el software más exigente es el IBM Client
Access que es el emulador para AS/400, el Antivirus [Symantec Corporate
Antiviurs 10.1.5] y el MS. Office 2003.
Como dije los equipos son clones de 1 GHZ para arriba con 256mb de RAM,
exepto uno que es un Sempron 3100 con 512 MB de RAM.

El tema es que Ms. Windows XP sistema operativo instalado en todas las
Workstation anda para atrás. El sistema se convirtió en algo super lento.
Donde se dificulta realizar 2 tareas a la vez ni digamos alguna extra. Por lo
general los Usuarios son de tener varias ventanas abiertas, pero nunca se me
quejaron como ahora.
Por lo que me puse a investigar, ejecute antes que nada en 'modo seguro' un
defragmentador del disco, el Antivirus, antispyware [Spybot Search and
Destroy & Lavasoft Adware]. Luego en 'modo normal' volvi a ejecutar los
antispyware y corri el CCleaner para limpiar temporales, cookies, y demás
archivos, de paso también limpié la Registry.

Una vez que poseo todo el sistema completamente limpio, igual cabe destacar
que el resultado del antivirus fué impecable, no poseían virus ninguna
máquina, al mismo que con el AntiSpyware se habrán encontrado 3 o 4 bichos
por máquina entre ambos software que se corrieron. El problema persiste el
equipo se encontraba igual de lento que antes de correr todos estos pasos.
Por lo que me dirigí al Windows Update, los sistemas se encontraban
completamente actualizados y nos les hacía falta ningún tipo de update, poseo
instalado un servidor con WSUS donde actualiza a cada uno de los equipos que
se encuentra en mi dominio de la LAN.
Una vez visto que en las búsquedas normales el problema persiste, me dirijo
al 'Event Viwer' del sistema, nuevamente me encuentro que la busqueda falla
ya que no poseía ningún error y ninguna advertencia en el Log de Sistema &
Aplicación. El último error data de hacía más de 3 meses y no era nada
relevante para el sistema.

Cuando me fijo en el 'Task Manager' veo que algo extraño pasa, el proceso de
'SVCHOST.EXE' en la mayoría de estos equipos se encuentra con un uso de
procesador que ronda en el 80% y el 95%. Tarda en tomar este porcentaje al
rededor de 5 minutos, pero luego de que llega a estos valores, el mismo no
baja más. Por lo que me parece que el problema se encuentra ahí.

Un dato importante, una maquina que poseía este inconveniente, fué
formatiada e instalada desde 0 y no lo presentó hasta ahora el mismo
problema. Pero otra maquina que no lo tenía ahora lo tiene, por lo que si
formateo los equipos y re-instalo no me da la seguridad de que el problema se
solucione.

Me ayudaría mucho si alguno me puede dar una mano al respecto.
Muchas gracias por todo.
Saludos

Guido.

Preguntas similare

Leer las respuestas

#1 Guido Bicocca
29/03/2007 - 13:40 | Informe spam
Antes que nada quiero agradecerte la respuesta. El tema es que si mato el
SVCHOST.EXE se me mueren mucho servicios del sistema. Voy a buscar como
detectar este Virus y eliminarlo. Gracias por el dato. El tema es que me
llama la atencion por que si se encuentra en la Intranet, la misma es
corporativa y se encuentra al rededor de todo el mundo.
Y por lo general se detectan a tiempo los virus a penas salen y se evitan ya
desde Estados Unidos.
Pero gracias me llama la atencion lo del virus pero no lo pienso descartar,
me voy aponer manos a la obra en busqueda de datos relacionados!
Muchas gracias!
Saludos!
Guido.

"Ronaldo" wrote:

Busca en este mismo grupo el mensaje titulado "¿Es esto normal? svhost
utiliza el 100% regularmente?" del día 23 pasado. Aparentemente tienes el
mismo problema, Yo mismo lo tuve tenido el mismo problema con un virus
Win32:Torvil [Worm] y es posible que mis consejos te sirvan.. Yo tengo
varios sistemas en el mismo equipo y todos se me infectaron igual que en tu
red, por lo que deberas desconectar el cable de LAN de cada PC y no volver a
conectarla hasta haber depurado todas las demas o será el cuento de nunca
acabar pues en mi caso el virus se transmitió de sistema en sistema en el
mismo PC y tambien se propaga entre las PCs de una Red Local.

Tambien hice varios escaneos en linea e instalé varios antivirus hasta que
instalé el AVAST gratuito que fué el que lo detectó y eliminó. Mira la
imagen adjunta.

Como ultimo recurso puedes formatear las PCs pero con el cable LAN
desconectado y no volver a conectar hasta haber formateado todas las PCs.

Saludos.









Respuesta Responder a este mensaje
#2 Ronaldo
29/03/2007 - 21:55 | Informe spam
Tienes razón que matar el svchost detiene varios si no es que todos los
servicios, eso ya lo experimenté y no lo recomiendo, mira en la pagina del
enlace, para que tomes nota de los programas que son capaces de detectar el
virus segun su version.

Yo tambien tarde mucho con diversos escaneos y no podía creer que el AVAST
aparentemente tan insignificante haya encontrado el Win32:Torvil [Wrm], pero
ningun antivirus es perfecto y se requiere usar diversos hasta encontrar lo
que aparentemente no existe (segun muchos antivirus pues no existe mucha
informacion relacionada), aunque los sintomas estén presentes... la memoria
al 100% o casi, es claro indicio de infeccion, si estuviera al +/- al 75-85%
y temporalmente al iniciar se podría sospechar de servicios detenidos, pero
constantemente y cerca del 100% es sin duda infeccion.
No existe mucha informacion respecto a este virus, la siguiente es todo lo
que encontré hasta este momento.

viruspool.net - Malware research index
http://www.viruspool.net/virus.cms?&idg6542

Microsoft Security Malicious Software Encyclopedia: Win32/Torvil
http://www.microsoft.com/security/e...Torvil#top

Saludos.


"Guido Bicocca" escribió en el
mensaje news:
Antes que nada quiero agradecerte la respuesta. El tema es que si mato el
SVCHOST.EXE se me mueren mucho servicios del sistema. Voy a buscar como
detectar este Virus y eliminarlo. Gracias por el dato. El tema es que me
llama la atencion por que si se encuentra en la Intranet, la misma es
corporativa y se encuentra al rededor de todo el mundo.
Y por lo general se detectan a tiempo los virus a penas salen y se evitan


ya
desde Estados Unidos.
Pero gracias me llama la atencion lo del virus pero no lo pienso


descartar,
me voy aponer manos a la obra en busqueda de datos relacionados!
Muchas gracias!
Saludos!
Guido.

"Ronaldo" wrote:

> Busca en este mismo grupo el mensaje titulado "¿Es esto normal? svhost
> utiliza el 100% regularmente?" del día 23 pasado. Aparentemente tienes


el
> mismo problema, Yo mismo lo tuve tenido el mismo problema con un virus
> Win32:Torvil [Worm] y es posible que mis consejos te sirvan.. Yo tengo
> varios sistemas en el mismo equipo y todos se me infectaron igual que en


tu
> red, por lo que deberas desconectar el cable de LAN de cada PC y no


volver a
> conectarla hasta haber depurado todas las demas o será el cuento de


nunca
> acabar pues en mi caso el virus se transmitió de sistema en sistema en


el
> mismo PC y tambien se propaga entre las PCs de una Red Local.
>
> Tambien hice varios escaneos en linea e instalé varios antivirus hasta


que
> instalé el AVAST gratuito que fué el que lo detectó y eliminó. Mira la
> imagen adjunta.
>
> Como ultimo recurso puedes formatear las PCs pero con el cable LAN
> desconectado y no volver a conectar hasta haber formateado todas las


PCs.
>
> Saludos.
>
>
>
>
>
>
>
>
>
Respuesta Responder a este mensaje
#3 Guido Bicocca
30/03/2007 - 20:08 | Informe spam
Ronaldo,

Gracias por tu respuesta. Ayer había escrito un mensaje antes de tu
respuesta pero veo que no salió.
Con respecto al virus me llama la atención. ¿Por qué? Porqué he hecho un
analisis exautivo del sistema no solo con el antivirus corporativo, sino que
también con los antispyware y además con los antivirus online de:

* Panda
* Symantec
* Karpesky

Y con todos ellos la busqueda había fracasado. Por los datos que puede yo
encontrar sin ver tus links con respecto al virus que nombrás, es un virus
muy viejo por lo que los antivirus que pase y todo lo demás debería
encontrarlo.

Estuve leyendo el thread que me mandaste. Y se que es algo por el estilo lo
que me esta sucediendo. Es más el servicio que me trae problemas es el de
Actualizaciones Automaticas, al igual al que le trajo el problema a ese
muchacho de Perú. Utilizando el Proccess Explorer pude visualizar esa
información. Incluso en el stack del proceso como nombran es el de
Actualizaciones Automaticas.
He instalado el Windows Installer 3.1 V2 y luego el otro parche que nombran
en esos links y nada.

Pero hoy he encontrado una punta que puede ser interezante y me ayuda a
tomar la decición que es algo que le está sucediendo a Windows y que no es un
Virus.
Resulta que ayer por medio de WSUS se instalaron en los servidores el
Windows 2003 SP2. Como se instaló ayer a última hora el equipo no lo he
reiniciado. Y por lo visto muchos servicios se habían detenido, entre ellos
el WSUS y el Web Server, corre una aplicación web para mi intranet. Por lo
que ese equipo no presentó problemas de lentitud al iniciarse, el equipo que
estaba con el SVCHOST.EXE, consumiendo demasiados recursos.
Pero cuando hoy a media mañana reinicie el servidor y el WSUS comensó a
funcionar a la normalidad el proceso SVCHOST en este equipo volvió a tomar
posesion del CPU y no lo abandonó más. Por lo que no creo que sea problema de
Virus sino que hay algo en esa maquina que tiene un problema con las
actualizaciones automaticas.
Me encuentro a la espera de comentarios.
Muchas gracias por el tiempo dedicado.
Saludos

Guido.

"Ronaldo" wrote:

Tienes razón que matar el svchost detiene varios si no es que todos los
servicios, eso ya lo experimenté y no lo recomiendo, mira en la pagina del
enlace, para que tomes nota de los programas que son capaces de detectar el
virus segun su version.

Yo tambien tarde mucho con diversos escaneos y no podía creer que el AVAST
aparentemente tan insignificante haya encontrado el Win32:Torvil [Wrm], pero
ningun antivirus es perfecto y se requiere usar diversos hasta encontrar lo
que aparentemente no existe (segun muchos antivirus pues no existe mucha
informacion relacionada), aunque los sintomas estén presentes... la memoria
al 100% o casi, es claro indicio de infeccion, si estuviera al +/- al 75-85%
y temporalmente al iniciar se podría sospechar de servicios detenidos, pero
constantemente y cerca del 100% es sin duda infeccion.
No existe mucha informacion respecto a este virus, la siguiente es todo lo
que encontré hasta este momento.

viruspool.net - Malware research index
http://www.viruspool.net/virus.cms?&idg6542

Microsoft Security Malicious Software Encyclopedia: Win32/Torvil
http://www.microsoft.com/security/e...Torvil#top

Saludos.


"Guido Bicocca" escribió en el
mensaje news:
> Antes que nada quiero agradecerte la respuesta. El tema es que si mato el
> SVCHOST.EXE se me mueren mucho servicios del sistema. Voy a buscar como
> detectar este Virus y eliminarlo. Gracias por el dato. El tema es que me
> llama la atencion por que si se encuentra en la Intranet, la misma es
> corporativa y se encuentra al rededor de todo el mundo.
> Y por lo general se detectan a tiempo los virus a penas salen y se evitan
ya
> desde Estados Unidos.
> Pero gracias me llama la atencion lo del virus pero no lo pienso
descartar,
> me voy aponer manos a la obra en busqueda de datos relacionados!
> Muchas gracias!
> Saludos!
> Guido.
>
> "Ronaldo" wrote:
>
> > Busca en este mismo grupo el mensaje titulado "¿Es esto normal? svhost
> > utiliza el 100% regularmente?" del día 23 pasado. Aparentemente tienes
el
> > mismo problema, Yo mismo lo tuve tenido el mismo problema con un virus
> > Win32:Torvil [Worm] y es posible que mis consejos te sirvan.. Yo tengo
> > varios sistemas en el mismo equipo y todos se me infectaron igual que en
tu
> > red, por lo que deberas desconectar el cable de LAN de cada PC y no
volver a
> > conectarla hasta haber depurado todas las demas o será el cuento de
nunca
> > acabar pues en mi caso el virus se transmitió de sistema en sistema en
el
> > mismo PC y tambien se propaga entre las PCs de una Red Local.
> >
> > Tambien hice varios escaneos en linea e instalé varios antivirus hasta
que
> > instalé el AVAST gratuito que fué el que lo detectó y eliminó. Mira la
> > imagen adjunta.
> >
> > Como ultimo recurso puedes formatear las PCs pero con el cable LAN
> > desconectado y no volver a conectar hasta haber formateado todas las
PCs.
> >
> > Saludos.
> >
> >
> >
> >
> >
> >
> >
> >
> >




Respuesta Responder a este mensaje
#4 Ronaldo
30/03/2007 - 21:57 | Informe spam
Como ya dije, yo me pasé escaneando con varios antivirus instalados y en
linea y teniendo el AVAST no lo había utilizado por considerarlo incapaz,
estuve varias semanas obstinado en encontrar la causa pues todo indicaba un
sistema perfectamente limpio, y de hecho formatee uno de los sistemas
teniendo tres y se volvió a infectar, estuve escaneando un sistema desde el
otro y en linea el Kasperky on-line (si no mal recuerdo) indicó algo sin
especificar en la carpeta de System Voloume Information, luego compartí
dicha carpeta y escanee todo el sistema con en AVAST y wala!..

A ver; esto fue hace tanto tiempo que algo me confundió,... segun la imagen
que guardé, que a proposito no habia estudiado, dice que el virus estaba en
Configuracion Local, pero eso no es lo que recuerdo, recuerdo que había una
copia del virus en la carpeta System32 y otras tres copias en la carpeta
System Volume Information, (fue mas o mens por el mismo periodo del año, de
ahi la confusion) asi que ignora la imagen y el nombre de virus
W32:Torvil... realmente no es ese el nombre del virus, pero si recuerdo
perfectamente que el AVAST gratuito fué el que lo encontró.

A veces pasa que al inicio del sistema se ponga un tanto lento hasta que
cargan todos los servicios y no se vuelve a repetir... asi que bien podría
tu problema estar relacionado con los servicios, lo extraño es que el
Servicio de Actualizaciones Automaticas no depende de ningun otro y no tiene
dependencias, es independiente de todos y configurado adecuadamente no
debería causar problema. Ahora que pienso en ese servicio recuerdo que
tambien he tenido lentitud causada por ese servicio, pero sin mayores
contratiempos.. lo que te puedo comentar con respecto a ese servicio es; ¿Lo
has detenido, puesto en inicio manual, deshabilitado o lo has cambiado de
Cuenta del Sistema Local a Permitir que los servicios interactuen con el
escritorio, o configurado algo en "Recuperacion"?, ¿para ver si hay alguna
diferencia?... ¿O has deshabilitado temporalmente Actualizaciones
Automaticas, para comparar el funcionamiento del CPU?

¿Has escaneado con un detector de Rootkit?... ¿has buscado informacion sobre
"WUAUSERV.EXE" o "wuauserv.dll "?

Estos archivos estan relacionados con Actualizaciones Automaticas y
cualquiera puede estar corrupto o infectado. Hace rato estuve buscando
informacion relativa al wuauserv incluyendo la informacion del registro y
encontré una ruta que me condujo a un virus que ignoraba tener, dicho virus
se describe en el enlace... lo que hice fué despues de haber encontrado un
valor que me causó interes el valor es nombrado "0" y se encuentra en
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv\Enum, con la
informacion en el valor nmbrado "0" que es: Root\LEGACY_WUAUSERV\0000 ...
copie esta informacion y la puse en el Google y un enlace .:: Click2Clean
::.- me condujo a esta pagina;
http://click2clean.e-games.com.my/v...asp?seqS90 que me dice que
ese valor de registro es un virus nombrado Win32/Stration.worm.116489 ... y
no causa sintomas ni contratiempo, pero es una muestra de que puede haber
infecciones latentes que no son detectadas por los antivirus. Te paso
esta informacion para que revises los archivos .exe y .dll relacionados con
Actualizaciones Automaticas y lo relativo al registro, y puede ser que
encuentres la causa de esta manera.

Saludos.



"Guido Bicocca" escribió en el
mensaje news:
Ronaldo,

Gracias por tu respuesta. Ayer había escrito un mensaje antes de tu
respuesta pero veo que no salió.
Con respecto al virus me llama la atención. ¿Por qué? Porqué he hecho un
analisis exautivo del sistema no solo con el antivirus corporativo, sino


que
también con los antispyware y además con los antivirus online de:

* Panda
* Symantec
* Karpesky

Y con todos ellos la busqueda había fracasado. Por los datos que puede yo




encontrar sin ver tus links con respecto al virus que nombrás, es un virus
muy viejo por lo que los antivirus que pase y todo lo demás debería
encontrarlo.

Estuve leyendo el thread que me mandaste. Y se que es algo por el estilo


lo
que me esta sucediendo. Es más el servicio que me trae problemas es el de
Actualizaciones Automaticas, al igual al que le trajo el problema a ese
muchacho de Perú. Utilizando el Proccess Explorer pude visualizar esa
información. Incluso en el stack del proceso como nombran es el de
Actualizaciones Automaticas.
He instalado el Windows Installer 3.1 V2 y luego el otro parche que


nombran
en esos links y nada.

Pero hoy he encontrado una punta que puede ser interezante y me ayuda a
tomar la decición que es algo que le está sucediendo a Windows y que no es


un
Virus.
Resulta que ayer por medio de WSUS se instalaron en los servidores el
Windows 2003 SP2. Como se instaló ayer a última hora el equipo no lo he
reiniciado. Y por lo visto muchos servicios se habían detenido, entre


ellos
el WSUS y el Web Server, corre una aplicación web para mi intranet. Por lo
que ese equipo no presentó problemas de lentitud al iniciarse, el equipo


que
estaba con el SVCHOST.EXE, consumiendo demasiados recursos.
Pero cuando hoy a media mañana reinicie el servidor y el WSUS comensó a
funcionar a la normalidad el proceso SVCHOST en este equipo volvió a tomar
posesion del CPU y no lo abandonó más. Por lo que no creo que sea problema


de
Virus sino que hay algo en esa maquina que tiene un problema con las
actualizaciones automaticas.
Me encuentro a la espera de comentarios.
Muchas gracias por el tiempo dedicado.
Saludos

Guido.

"Ronaldo" wrote:

> Tienes razón que matar el svchost detiene varios si no es que todos los
> servicios, eso ya lo experimenté y no lo recomiendo, mira en la pagina


del
> enlace, para que tomes nota de los programas que son capaces de detectar


el
> virus segun su version.
>
> Yo tambien tarde mucho con diversos escaneos y no podía creer que el


AVAST
> aparentemente tan insignificante haya encontrado el Win32:Torvil [Wrm],


pero
> ningun antivirus es perfecto y se requiere usar diversos hasta encontrar


lo
> que aparentemente no existe (segun muchos antivirus pues no existe mucha
> informacion relacionada), aunque los sintomas estén presentes... la


memoria
> al 100% o casi, es claro indicio de infeccion, si estuviera al +/- al


75-85%
> y temporalmente al iniciar se podría sospechar de servicios detenidos,


pero
> constantemente y cerca del 100% es sin duda infeccion.
> No existe mucha informacion respecto a este virus, la siguiente es todo


lo
> que encontré hasta este momento.
>
> viruspool.net - Malware research index
> http://www.viruspool.net/virus.cms?&idg6542
>
> Microsoft Security Malicious Software Encyclopedia: Win32/Torvil
>


http://www.microsoft.com/security/e...Torvil#top
>
> Saludos.
>
>
> "Guido Bicocca" escribió en el
> mensaje news:
> > Antes que nada quiero agradecerte la respuesta. El tema es que si mato


el
> > SVCHOST.EXE se me mueren mucho servicios del sistema. Voy a buscar


como
> > detectar este Virus y eliminarlo. Gracias por el dato. El tema es que


me
> > llama la atencion por que si se encuentra en la Intranet, la misma es
> > corporativa y se encuentra al rededor de todo el mundo.
> > Y por lo general se detectan a tiempo los virus a penas salen y se


evitan
> ya
> > desde Estados Unidos.
> > Pero gracias me llama la atencion lo del virus pero no lo pienso
> descartar,
> > me voy aponer manos a la obra en busqueda de datos relacionados!
> > Muchas gracias!
> > Saludos!
> > Guido.
> >
> > "Ronaldo" wrote:
> >
> > > Busca en este mismo grupo el mensaje titulado "¿Es esto normal?


svhost
> > > utiliza el 100% regularmente?" del día 23 pasado. Aparentemente


tienes
> el
> > > mismo problema, Yo mismo lo tuve tenido el mismo problema con un


virus
> > > Win32:Torvil [Worm] y es posible que mis consejos te sirvan.. Yo


tengo
> > > varios sistemas en el mismo equipo y todos se me infectaron igual


que en
> tu
> > > red, por lo que deberas desconectar el cable de LAN de cada PC y no
> volver a
> > > conectarla hasta haber depurado todas las demas o será el cuento de
> nunca
> > > acabar pues en mi caso el virus se transmitió de sistema en sistema


en
> el
> > > mismo PC y tambien se propaga entre las PCs de una Red Local.
> > >
> > > Tambien hice varios escaneos en linea e instalé varios antivirus


hasta
> que
> > > instalé el AVAST gratuito que fué el que lo detectó y eliminó. Mira


la
> > > imagen adjunta.
> > >
> > > Como ultimo recurso puedes formatear las PCs pero con el cable LAN
> > > desconectado y no volver a conectar hasta haber formateado todas las
> PCs.
> > >
> > > Saludos.
> > >
> > >
> > >
> > >
> > >
> > >
> > >
> > >
> > >
>
>
>
>
Respuesta Responder a este mensaje
#5 Guido Bicocca
03/04/2007 - 16:20 | Informe spam
Muchas gracias por la respuesta, ahora estoy analizando bien todo.
Lo que puedo comunicarte es que el servicio lo tengo deshabilitado y el
equipo funciona a la perfección.


"Ronaldo" wrote:

Como ya dije, yo me pasé escaneando con varios antivirus instalados y en
linea y teniendo el AVAST no lo había utilizado por considerarlo incapaz,
estuve varias semanas obstinado en encontrar la causa pues todo indicaba un
sistema perfectamente limpio, y de hecho formatee uno de los sistemas
teniendo tres y se volvió a infectar, estuve escaneando un sistema desde el
otro y en linea el Kasperky on-line (si no mal recuerdo) indicó algo sin
especificar en la carpeta de System Voloume Information, luego compartí
dicha carpeta y escanee todo el sistema con en AVAST y wala!..

A ver; esto fue hace tanto tiempo que algo me confundió,... segun la imagen
que guardé, que a proposito no habia estudiado, dice que el virus estaba en
Configuracion Local, pero eso no es lo que recuerdo, recuerdo que había una
copia del virus en la carpeta System32 y otras tres copias en la carpeta
System Volume Information, (fue mas o mens por el mismo periodo del año, de
ahi la confusion) asi que ignora la imagen y el nombre de virus
W32:Torvil... realmente no es ese el nombre del virus, pero si recuerdo
perfectamente que el AVAST gratuito fué el que lo encontró.

A veces pasa que al inicio del sistema se ponga un tanto lento hasta que
cargan todos los servicios y no se vuelve a repetir... asi que bien podría
tu problema estar relacionado con los servicios, lo extraño es que el
Servicio de Actualizaciones Automaticas no depende de ningun otro y no tiene
dependencias, es independiente de todos y configurado adecuadamente no
debería causar problema. Ahora que pienso en ese servicio recuerdo que
tambien he tenido lentitud causada por ese servicio, pero sin mayores
contratiempos.. lo que te puedo comentar con respecto a ese servicio es; ¿Lo
has detenido, puesto en inicio manual, deshabilitado o lo has cambiado de
Cuenta del Sistema Local a Permitir que los servicios interactuen con el
escritorio, o configurado algo en "Recuperacion"?, ¿para ver si hay alguna
diferencia?... ¿O has deshabilitado temporalmente Actualizaciones
Automaticas, para comparar el funcionamiento del CPU?

¿Has escaneado con un detector de Rootkit?... ¿has buscado informacion sobre
"WUAUSERV.EXE" o "wuauserv.dll "?

Estos archivos estan relacionados con Actualizaciones Automaticas y
cualquiera puede estar corrupto o infectado. Hace rato estuve buscando
informacion relativa al wuauserv incluyendo la informacion del registro y
encontré una ruta que me condujo a un virus que ignoraba tener, dicho virus
se describe en el enlace... lo que hice fué despues de haber encontrado un
valor que me causó interes el valor es nombrado "0" y se encuentra en
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv\Enum, con la
informacion en el valor nmbrado "0" que es: Root\LEGACY_WUAUSERV\0000 ...
copie esta informacion y la puse en el Google y un enlace .:: Click2Clean
::.- me condujo a esta pagina;
http://click2clean.e-games.com.my/v...asp?seqS90 que me dice que
ese valor de registro es un virus nombrado Win32/Stration.worm.116489 ... y
no causa sintomas ni contratiempo, pero es una muestra de que puede haber
infecciones latentes que no son detectadas por los antivirus. Te paso
esta informacion para que revises los archivos .exe y .dll relacionados con
Actualizaciones Automaticas y lo relativo al registro, y puede ser que
encuentres la causa de esta manera.

Saludos.



"Guido Bicocca" escribió en el
mensaje news:
> Ronaldo,
>
> Gracias por tu respuesta. Ayer había escrito un mensaje antes de tu
> respuesta pero veo que no salió.
> Con respecto al virus me llama la atención. ¿Por qué? Porqué he hecho un
> analisis exautivo del sistema no solo con el antivirus corporativo, sino
que
> también con los antispyware y además con los antivirus online de:
>
> * Panda
> * Symantec
> * Karpesky
>
> Y con todos ellos la busqueda había fracasado. Por los datos que puede yo




> encontrar sin ver tus links con respecto al virus que nombrás, es un virus
> muy viejo por lo que los antivirus que pase y todo lo demás debería
> encontrarlo.
>
> Estuve leyendo el thread que me mandaste. Y se que es algo por el estilo
lo
> que me esta sucediendo. Es más el servicio que me trae problemas es el de
> Actualizaciones Automaticas, al igual al que le trajo el problema a ese
> muchacho de Perú. Utilizando el Proccess Explorer pude visualizar esa
> información. Incluso en el stack del proceso como nombran es el de
> Actualizaciones Automaticas.
> He instalado el Windows Installer 3.1 V2 y luego el otro parche que
nombran
> en esos links y nada.
>
> Pero hoy he encontrado una punta que puede ser interezante y me ayuda a
> tomar la decición que es algo que le está sucediendo a Windows y que no es
un
> Virus.
> Resulta que ayer por medio de WSUS se instalaron en los servidores el
> Windows 2003 SP2. Como se instaló ayer a última hora el equipo no lo he
> reiniciado. Y por lo visto muchos servicios se habían detenido, entre
ellos
> el WSUS y el Web Server, corre una aplicación web para mi intranet. Por lo
> que ese equipo no presentó problemas de lentitud al iniciarse, el equipo
que
> estaba con el SVCHOST.EXE, consumiendo demasiados recursos.
> Pero cuando hoy a media mañana reinicie el servidor y el WSUS comensó a
> funcionar a la normalidad el proceso SVCHOST en este equipo volvió a tomar
> posesion del CPU y no lo abandonó más. Por lo que no creo que sea problema
de
> Virus sino que hay algo en esa maquina que tiene un problema con las
> actualizaciones automaticas.
> Me encuentro a la espera de comentarios.
> Muchas gracias por el tiempo dedicado.
> Saludos
>
> Guido.
>
> "Ronaldo" wrote:
>
> > Tienes razón que matar el svchost detiene varios si no es que todos los
> > servicios, eso ya lo experimenté y no lo recomiendo, mira en la pagina
del
> > enlace, para que tomes nota de los programas que son capaces de detectar
el
> > virus segun su version.
> >
> > Yo tambien tarde mucho con diversos escaneos y no podía creer que el
AVAST
> > aparentemente tan insignificante haya encontrado el Win32:Torvil [Wrm],
pero
> > ningun antivirus es perfecto y se requiere usar diversos hasta encontrar
lo
> > que aparentemente no existe (segun muchos antivirus pues no existe mucha
> > informacion relacionada), aunque los sintomas estén presentes... la
memoria
> > al 100% o casi, es claro indicio de infeccion, si estuviera al +/- al
75-85%
> > y temporalmente al iniciar se podría sospechar de servicios detenidos,
pero
> > constantemente y cerca del 100% es sin duda infeccion.
> > No existe mucha informacion respecto a este virus, la siguiente es todo
lo
> > que encontré hasta este momento.
> >
> > viruspool.net - Malware research index
> > http://www.viruspool.net/virus.cms?&idg6542
> >
> > Microsoft Security Malicious Software Encyclopedia: Win32/Torvil
> >
http://www.microsoft.com/security/e...Torvil#top
> >
> > Saludos.
> >
> >
> > "Guido Bicocca" escribió en el
> > mensaje news:
> > > Antes que nada quiero agradecerte la respuesta. El tema es que si mato
el
> > > SVCHOST.EXE se me mueren mucho servicios del sistema. Voy a buscar
como
> > > detectar este Virus y eliminarlo. Gracias por el dato. El tema es que
me
> > > llama la atencion por que si se encuentra en la Intranet, la misma es
> > > corporativa y se encuentra al rededor de todo el mundo.
> > > Y por lo general se detectan a tiempo los virus a penas salen y se
evitan
> > ya
> > > desde Estados Unidos.
> > > Pero gracias me llama la atencion lo del virus pero no lo pienso
> > descartar,
> > > me voy aponer manos a la obra en busqueda de datos relacionados!
> > > Muchas gracias!
> > > Saludos!
> > > Guido.
> > >
> > > "Ronaldo" wrote:
> > >
> > > > Busca en este mismo grupo el mensaje titulado "¿Es esto normal?
svhost
> > > > utiliza el 100% regularmente?" del día 23 pasado. Aparentemente
tienes
> > el
> > > > mismo problema, Yo mismo lo tuve tenido el mismo problema con un
virus
> > > > Win32:Torvil [Worm] y es posible que mis consejos te sirvan.. Yo
tengo
> > > > varios sistemas en el mismo equipo y todos se me infectaron igual
que en
> > tu
> > > > red, por lo que deberas desconectar el cable de LAN de cada PC y no
> > volver a
> > > > conectarla hasta haber depurado todas las demas o será el cuento de
> > nunca
> > > > acabar pues en mi caso el virus se transmitió de sistema en sistema
en
> > el
> > > > mismo PC y tambien se propaga entre las PCs de una Red Local.
> > > >
> > > > Tambien hice varios escaneos en linea e instalé varios antivirus
hasta
> > que
> > > > instalé el AVAST gratuito que fué el que lo detectó y eliminó. Mira
la
> > > > imagen adjunta.
> > > >
> > > > Como ultimo recurso puedes formatear las PCs pero con el cable LAN
> > > > desconectado y no volver a conectar hasta haber formateado todas las
> > PCs.
> > > >
> > > > Saludos.
> > > >
> > > >
> > > >
> > > >
> > > >
> > > >
> > > >
> > > >
> > > >
> >
> >
> >
> >








Respuesta Responder a este mensaje
Ads by Google
Help Hacer una preguntaSiguiente Respuesta Tengo una respuesta
Search Busqueda sugerida