Google Groups no longer supports new Usenet posts or subscriptions. Historical content remains viewable.
Dismiss

svchost me consume TODA la memoria.

914 views
Skip to first unread message

Guillermo

unread,
Jun 29, 2004, 11:07:03 PM6/29/04
to
Inicio el ordenador, al principio todo normal pero poco a
poco el svchost.exe me va consumiendo toda la memoria. Hay
varías aplicaciones de svchost pero siempre es la de
SERVICIO LOCAL la que va aumentando, dando al final el
consecuente error de falta de memoria virtual ( lo cual
deduzco que ocurre porque se come toda la normal y después
va a por la virtual)

El ordenador tiene XP home edition, tiene una McAffe
firewall y antivirus. Lo he llevado a un sitio a que lo
miren y no saben na de na.

Pentium 4, 2.8, 512 Ram ddr, portátil fijutsu siemens,
amilo.


fermu

unread,
Jun 30, 2004, 4:40:55 AM6/30/04
to
Guillermo escribió:

> Inicio el ordenador, al principio todo normal pero poco a
> poco el svchost.exe me va consumiendo toda la memoria. Hay
> varías aplicaciones de svchost pero siempre es la de
> SERVICIO LOCAL la que va aumentando, dando al final el
> consecuente error de falta de memoria virtual ( lo cual
> deduzco que ocurre porque se come toda la normal y después
> va a por la virtual)
>

Svchost es un lanzador generíco de procesos, que de hecho es también
utilizado por muchos virus. Deberás indentificar que servicio/s te están
ocupando tanta memoria para ello ejecuta los siguiente desde el simbolo
de sistema

tasklist /fi "IMAGENAME eq svchost.exe" /svc

El comando te debe dar una salida parecida a esta:

Nombre de imagen PID Servicios
========================= ======
=============================================
svchost.exe 816 RpcSs
svchost.exe 880 6to4, AudioSrv, BITS, Browser, , TapiSrv,
TermService, Themes, TrkWks, uploadmgr,
W32Time, winmgmt, WmdmPmSp, wuauserv,
WZCSVC
svchost.exe 996 Dnscache
svchost.exe 1040 LmHosts, RemoteRegistry, SSDPSRV, WebClient


Solo hay que identificar que procesos son ajenos a los "legales" de
windows, si tienes dudas postea aquí la pantalla de salida e intentamos
ayudarte.

--
Saludos
Fernando M.

guillermo

unread,
Jun 30, 2004, 7:54:18 AM6/30/04
to
Ante todo muchas gracias por responder, eso ya es algo, lo
único es que no lo he entendido muy bien: "para ello
ejecuta los siguiente desde el simbolo de sistema" esto no
se hacerlo, soy un usuario medio, así que me tendrás
que "guiar" un poco más. No se si es el msconfig, o el
cmd.exe ( digo esto porque son de las pocas cosas que
conozco. Por otra parte, ayer en la red vi cosas sobre lo
del svchost. En un post te decían que si ibas a ayuda y
soporte técnico te, en ayuda técnica, en información
avanzada del servicio te indica todos los programas y su
estado. Esto creo que podría ayudar asi que lo pego en
este post. Repito, muchas gracias ya solo por esa primera
respuesta.

Servicio Ejecución Estado Inicio
WZCSVC svchost.ex e -k netsvcs Activo Automático
wuauserv svchost.ex e -k netsvcs Activo Automático
WmiApSrv wmiapsrv.e xe Detenido Manual
WmdmPmSp svchost.ex e -k netsvcs Activo Automático
winmgmt svchost.ex e -k netsvcs Activo Automático
WebClient svchost.ex e -k LocalServi ce Activo Automático
W32Time svchost.ex e -k netsvcs Activo Automático
VSS vssvc.exe Detenido Manual
UPS ups.exe Detenido Manual
upnphost svchost.ex e -k LocalServi ce Detenido Manual
uploadmgr svchost.ex e -k netsvcs Activo Automático
TrkWks svchost.ex e -k netsvcs Activo Automático
Themes svchost.ex e -k netsvcs Activo Automático
TermServic e svchost.ex e -k netsvcs Activo Manual
TapiSrv svchost.ex e -k netsvcs Activo Manual
SysmonLog smlogsvc.e xe Detenido Manual
SwPrv dllhost.ex e /Processid :{155EB24D -F21D-4C34 -BC7B-
B64E 110DEF33} Detenido Manual
stisvc svchost.ex e -k imgsvc Activo Automático
SSDPSRV svchost.ex e -k LocalServi ce Inicio pendiente
Manual
srservice svchost.ex e -k netsvcs Activo Automático
Spooler spoolsv.ex e Activo Automático
SLService slserv.exe Activo Automático
SimpTcp tcpsvcs.ex e Detenido Automático
ShellHWDet ection svchost.ex e -k netsvcs Activo
Automático
SharedAcce ss svchost.ex e -k netsvcs Detenido Manual
SENS svchost.ex e -k netsvcs Activo Automático
seclogon svchost.ex e -k netsvcs Activo Automático
Schedule svchost.ex e -k netsvcs Activo Automático
SCardSvr SCardSvr.e xe Detenido Manual
SCardDrv SCardSvr.e xe Detenido Manual
SamSs lsass.exe Activo Automático
RSVP rsvp.exe Detenido Manual
RpcSs svchost -k rpcss Activo Automático
RpcLocator locator.ex e Detenido Manual
RemoteAcce ss svchost.ex e -k netsvcs Detenido
Deshabilitado
RDSessMgr sessmgr.ex e Detenido Manual
RasMan svchost.ex e -k netsvcs Activo Manual
RasAuto svchost.ex e -k netsvcs Detenido Manual
ProtectedS torage lsass.exe Activo Automático
PolicyAgen t lsass.exe Detenido Automático
PlugPlay services.e xe Activo Automático
NtmsSvc svchost.ex e -k netsvcs Detenido Manual
NtLmSsp lsass.exe Detenido Manual
Nla svchost.ex e -k netsvcs Activo Manual
Netman svchost.ex e -k netsvcs Activo Manual
Netlogon lsass.exe Detenido Manual
NetDDEdsdm netdde.exe Detenido Manual
NetDDE netdde.exe Detenido Manual
MSIServer msiexec.ex e /V Detenido Manual
MSDTC msdtc.exe Detenido Manual
mnmsrvc mnmsrvc.ex e Detenido Manual
Messenger svchost.ex e -k netsvcs Activo Automático
MDM mdm.exe" Activo Automático
McShield Mcshield.e xe" Detenido Manual
McAfee Firewall CPD.EXE" /SERVICE Activo Automático
Macromedia Licensing Service Macromedia Licensing. exe"
Detenido Deshabilitado
LmHosts svchost.ex e -k LocalServi ce Activo Automático
lanmanwork station svchost.ex e -k netsvcs Activo
Automático
lanmanserv er svchost.ex e -k netsvcs Activo Automático
iPodServic e iPodServic e.exe Detenido Deshabilitado
ImapiServi ce imapi.exe Detenido Manual
HidServ svchost.ex e -k netsvcs Activo Automático
helpsvc svchost.ex e -k netsvcs Activo Automático
GuardDogEX E GUARDDOG.E XE" /SERVICE Activo Automático
Fax fxssvc.exe Detenido Automático
FastUserSw itchingCom patibility svchost.ex e -k netsvcs
Activo Manual
EventSyste m svchost.ex e -k netsvcs Activo Manual
Eventlog services.e xe Activo Automático
ERSvc svchost.ex e -k netsvcs Activo Automático
Dnscache svchost.ex e -k NetworkSer vice Activo Automático
dmserver svchost.ex e -k netsvcs Detenido Manual
dmadmin dmadmin.ex e /com Detenido Manual
Dhcp svchost.ex e -k netsvcs Activo Automático
CryptSvc svchost.ex e -k netsvcs Activo Automático
COMSysApp dllhost.ex e /Processid :{02D4B3F1 -FD88-11D1 -
960D-0080 5FC79235} Detenido Manual
ClipSrv clipsrv.ex e Detenido Manual
CiSvc cisvc.exe Detenido Manual
C-DillaSrv CDANTSRV.E XE Detenido Deshabilitado
C-DillaCda C11BA CDAC11BA.E XE Detenido Deshabilitado
Browser svchost.ex e -k netsvcs Activo Automático
BITS svchost.ex e -k netsvcs Detenido Manual
AvSynMgr Avsynmgr.e xe" Detenido Deshabilitado
AudioSrv svchost.ex e -k netsvcs Activo Automático
Ati HotKey Poller Ati2evxx.e xe Activo Automático
AppMgmt svchost.ex e -k netsvcs Detenido Manual
ALG alg.exe Detenido Manual
Alerter svchost.ex e -k LocalServi ce Detenido Manual

La verdad es que es un poco denso esto...




>-----Mensaje original-----

>.
>

fermu

unread,
Jun 30, 2004, 8:10:53 AM6/30/04
to
guillermo escribió:

> Ante todo muchas gracias por responder, eso ya es algo, lo
> único es que no lo he entendido muy bien: "para ello
> ejecuta los siguiente desde el simbolo de sistema" esto no
> se hacerlo, soy un usuario medio, así que me tendrás
> que "guiar" un poco más.

Ves a inicio/ ejecutar y tecleas "cmd" sin comillas, teclea exactamente
la orden que mencionaba en mi anterior post, en el momento que notes ese
aumento de consumo. La salida (al menos para mi) será más clara.


--
Saludos
Fernando M.

guille

unread,
Jun 30, 2004, 10:28:51 AM6/30/04
to
ya me imaginaba que iba a ser un poco lioso. He probado lo
del cmd pero me dice que no reconoce el comando interno o
externo, programa o archivo por lotes ejecutable.

Me sale directamente con:
c:\ Documents and settings\ Guillermo>

y ahí inserto "tasklist /fi "IMAGENAME eq svchost.exe"/
svc"
y me da el resultado que te he dicho. Espero no hacerte
perder el tiempo, pero es que no se muy bien como funciona
esto. Lo he intentado poniendo Tasklist solo, junto,
separado, con comillas, sin comillas y nada de nada.


>-----Mensaje original-----

>.
>

fermu

unread,
Jun 30, 2004, 11:40:53 AM6/30/04
to
guille escribió:

> ya me imaginaba que iba a ser un poco lioso. He probado lo
> del cmd pero me dice que no reconoce el comando interno o
> externo, programa o archivo por lotes ejecutable.
>
> Me sale directamente con:
> c:\ Documents and settings\ Guillermo>
>
> y ahí inserto "tasklist /fi "IMAGENAME eq svchost.exe"/
> svc"
> y me da el resultado que te he dicho. Espero no hacerte
> perder el tiempo, pero es que no se muy bien como funciona
> esto. Lo he intentado poniendo Tasklist solo, junto,
> separado, con comillas, sin comillas y nada de nada.


Lioso???, inicio/ejecutar y teclear "cmd" (sin comillas), te debe salir
al simbolo de sistema. En fin, he analizado los procesos que ponias
anteriormente y en principio no veo nada extraño. Mis sospechas iban por
que alguna clase de virus te hubiera infectado el sistema, los únicos
servicios que en principio me llaman la atención es SharedAccess y
WZCSVC ¿tienes alguna conexión de red de tipo wireless?, si no es así
podrías estar afectado por el virus dabber-b, es un virus que aprovecha
la misma vulnerabilidad que el sasser, por lo que para infectarte no es
necesario hacer nada especial, simplemente instalar winXP, sin tener la
precaución de tener activo algun firewall antes de conectarte a la red.
Estos tipos de virus, aun estando desinfectado el sistema, pueden dejar
muy tocado el ordenador.

http://www.vsantivirus.com/dabber-b.htm

Vamos a ver si detectamos el fallo.


1. Ves a esta clave de registro y fijate en los servicios que tienes
corriendo en modo local, (inicio/ejecutar/regedit y buscas la clave)
fijate especialmente, en que no este listado el servicio lass.

HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Svchost

2. Pasale al sistema un scanner online... como el de
http://housecall.trendmicro.com/

3. Pasale el ad-aware de www.lavasoftusa.com, previa actualización de su
archivo de referencia.

4. Pasale también el CWShredder:
http://www.spychecker.com/program/coolwebshredder.html

5. Y por último, por si no tuvieras exito (será a falta de programas!!!
;-) ) le pasas el HijackThis:
http://www.spychecker.com/program/hijackthis.html

Y posteas el log de salida a ver si damos con el fallo.


Otra forma de sacar la salida que te pedía es desde simbolo de sistema
(ya sabemos como hacerlo) Y tecleando (exactamente) tasklist /svc ->
esto lista todo sin ningún filtro, por lo que la salida será más extensa
que con el metodo que anteriormente mencionaba, echale también un
vistazo a este KB.

Descripción del proceso svchost.exe en windows xp
http://support.microsoft.com/default.aspx?scid=kb;Es-eS;314056
--
Saludos
Fernando M.

anon...@discussions.microsoft.com

unread,
Jul 1, 2004, 10:32:53 AM7/1/04
to
Empezamos por el final... te pongo el log del hijackthis:

Logfile of HijackThis v1.97.7
Scan saved at 15:31:47, on 01/07/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\McAfee\McAfee Internet
Security\GUARDDOG.EXE
C:\WINDOWS\System32\Ati2evxx.exe
C:\Archivos de programa\Archivos comunes\Microsoft
Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\McAfee\McAfee Firewall\CPD.EXE
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\McAfee\McAfee Internet
Security\GUARDDOG.EXE
C:\Archivos de programa\McAfee\McAfee Firewall\CPD.EXE
C:\Archivos de programa\McAfee\McAfee Shared
Components\Guardian\CMGrdian.exe
C:\Program Files\ATI Technologies\ATI Control
Panel\atiptaxx.exe
C:\Archivos de programa\McAfee\McAfee Shared
Components\Instant Updater\RuLaunch.exe
C:\Archivos de programa\Messenger\msmsgs.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Documents and
Settings\Guillermo\Escritorio\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start
Page = http://www.google.com/
R0 - HKCU\Software\Microsoft\Internet
Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-
784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0
\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {AE7CD045-E861-484f-8273-
0445EE161910} - C:\Archivos de programa\Adobe\Acrobat 6.0
\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: McAfee VirusScan - {ACB1E670-3217-45C4-A021-
6B829A8A27CB} - C:\Archivos de programa\McAfee\McAfee
VirusScan\VSCShellExtension.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-
00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: PDF de Adobe - {47833539-D0C5-4125-9FA8-
0819E2EAAC93} - C:\Archivos de programa\Adobe\Acrobat 6.0
\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [McAfee Guardian] "C:\Archivos de
programa\McAfee\McAfee Shared
Components\Guardian\CMGrdian.exe" /SU
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32
\\NeroCheck.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI
Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKCU\..\Run:
[McAfee.InstantUpdate.Monitor] "C:\Archivos de
programa\McAfee\McAfee Shared Components\Instant
Updater\RuLaunch.exe" /STARTMONITOR
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE
Class) -
http://207.188.7.150/30f0ef540998c13cdb06/netzip/RdxIE601.c
ab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000}
(Shockwave Flash Object) -
http://download.macromedia.com/pub/shockwave/cabs/flash/swf
lash.cab


en cuanto a la línea de comando de "tasklist" no consigo
que funcione y he visto en una página que (no se la
fiabilidad que tendrá) que no existe ese comando para XP y
de verdad que no me funciona. Pero vamos que lo sigo
intentando!
Una vez más, gracias por todo.
>-----Mensaje original-----

>.
>

guillermo

unread,
Jul 1, 2004, 12:09:28 PM7/1/04
to
Bueno, conseguí lo del Tasklist /svc, resulta que no tenía
el taskmanager instalado...
Ahí va lo que sale:

Image Name PID Services
========================= ======
=============================================
System Idle Process 0 N/A
System 4 N/A
smss.exe 928 N/A
csrss.exe 1040 N/A
winlogon.exe 1064 N/A
services.exe 1112 Eventlog, PlugPlay
lsass.exe 1124 ProtectedStorage, SamSs
svchost.exe 1300 RpcSs
svchost.exe 1480 AudioSrv, Browser,
CryptSvc, Dhcp, ERSvc,
EventSystem,
FastUserSwitchingCompatibility,
helpsvc, HidServ,
lanmanserver,
lanmanworkstation,
Messenger, Netman, Nla,
RasMan, Schedule,
seclogon, SENS,
ShellHWDetection,
srservice, TapiSrv,


TermService, Themes,
TrkWks, uploadmgr,
W32Time, winmgmt,
WmdmPmSp, wuauserv, WZCSVC

svchost.exe 1748 Dnscache
svchost.exe 1820 LmHosts, WebClient
spoolsv.exe 128 Spooler
GuardDog.exe 188 GuardDogEXE
ati2evxx.exe 300 Ati HotKey Poller
mdm.exe 336 MDM
slserv.exe 460 SLService
svchost.exe 492 stisvc
cpd.exe 800 McAfee Firewall
explorer.exe 1632 N/A
GuardDog.exe 1640 N/A
CMGrdian.exe 1908 N/A
atiptaxx.exe 1936 N/A
RuLaunch.exe 1952 N/A
cpd.exe 1968 N/A
IEXPLORE.EXE 1008 N/A
taskmgr.exe 1512 N/A
cmd.exe 632 N/A
ntvdm.exe 976 N/A
tasklist.exe 1372 N/A
wmiprvse.exe 1236 N/A


>-----Mensaje original-----

>.
>

fermu

unread,
Jul 1, 2004, 12:12:47 PM7/1/04
to
anon...@discussions.microsoft.com escribió:

> Empezamos por el final... te pongo el log del hijackthis:


No veo nada raro en ese log... lo clasico: McAfee Firewall, el
antivirus, el adobe, el nero, el messenger... en fin nada especial y en
el IE parece todo en orden... Con respecto a lo que antes dije, supongo
que le habrás pasado toda la batería de programas sin resultado, no es
así?. Si ninguno te ha detectado nada, no sé que servicio pueda estar
ocupando la cpu en svchost. respecto a tasklist te aseguro que si existe
(estoy calvo de ejecutarlo).

[pego]
TASKLIST [/S sistema [/U usuario [/P contraseña]]]
[/M [módulo] | /SVC | /V] [/FI filtro] [/FO formato] [/NH]

Descripción:
Esta herramienta de la línea de comandos muestra una lista de
aplicaciones y las tareas o procesos asociados que se ejecutan
en un sistema local o remoto
[oego]


Lo único que se me ocurre finalmente que puedas hacer, es que ejecutes
desde el simbolo de sistema un "netstat -ano" (sin comillas, cierra
antes todas las conexiones externas que tengas) a ver que puertos
extraños de salida vemos...
--
Saludos
Fernando M.

fermu

unread,
Jul 1, 2004, 12:39:00 PM7/1/04
to
guillermo escribió:

> Bueno, conseguí lo del Tasklist /svc, resulta que no tenía
> el taskmanager instalado...
> Ahí va lo que sale:


En ese log tampoco veo nada raro :-(...

Vamos a intentarlo de otra manera ejecuta este programa...

[Descarga directa].

http://www.sysinternals.com/files/procexpnt.zip


Aquí podrás analizar de forma interactiva los servicios que están
ocupando el svchost.exe en un momento determinado, si haces doble click
sobre un proceso determinado (svchost) se te abrirá una ventana con
pestañas, elige la de servicios y mirá los procesos asociados del
svchost que te este consumiendo memoria, haz también lo que mencionaba
antes... en última instacia lo único que se me ocurre es que tuvieras un
rootkit instalado.


--
Saludos
Fernando M.

0 new messages