dvs_88
24/04/07, 20:53:26
Hola, pues soy nuevo aquí y he entrado porque mi computadora está infectada. La verdad no soy tan experto como la mayoría de usuarios de aquí pero espero me pueda explicar y me puedan ayudar. Estaría muy agradecido.
Este creo que fué un virus que hace año(s) tuvo su auge pero a mí me acaba de salir. Creo que es un trojan y bueno tengo el winXP servicepack 2, y al prender el equipo simplemente al aparecer la pantalla azul con la lista de usuarios para iniciar sesión desde ahí aparece un error de aplicación titulado svchost.exe y dice "La instrucción en "0x00a02007" hace referencia a la memoria en "0x000ca000". La memoria no se puede "read"." Y trae botones aceptar y cancelar. Si presiono cualquiera de ellos ese error desaparece y puede o no aparecer otro(s) similar(es) también con el título de iexplore.exe, y sale la ventana que trae la cuenta regresiva de un minuto y dice "Se está apagando el sistema. Guarde todo trabajo en curso y cierre la sesión" "El apagado ha sido iniciado por NT AUTORITHY\SYSTEM" y obviamente al llegar a cero se reinicia el equipo.
No obstante desde que aparece la primera ventana de error con "aceptar y cancelar" si no le hago caso, puedo iniciar sesión y operar regularmente, por ejemplo el internet explorer no lo abre pero el firefox sí, intenté abrir el Giant AntiSpyware y dice que tuvo un error abriéndolo y que no lo puede hacer. Entonces abrí el CCleaner para ver correr el limpiador (el cual limpió muy muy rápido, siempre tarda como 5 o 10 minutos y ahora tardó segundos) luego le puse que buscara problemas en el registro y después de encontrar algunas extensiones de archivo inválidas y dlls faltantes, al ir en 32% se traba. Después me puse a ver los startup progams y me encontré con varios desconocidos que borré y había uno que aunque lo borraba, cada vez que reiniciaba volvía a estar ahí y era algo como "v7" (no recuerdo muy bien) y creo que estaba en el system32, entonces fué cuando encontré su foro y el hijackthis el cual usé y le puse check en donde aparecía el tal v7 y le puse fix, entonces ya no me aparece como startup program pero el error sigue apareciendo y los mismos problemas. Con el administrador de tareas de windows siempre he visto como proceso activo uno o varios llamados svchost y nunca había tenido problemas pero ahora aparecen muchas veces, hasta 10 me parece y además de eso también de uno que no había visto aparece y se llama "vwsrv" y otro "cscript". Antes del hijackthis corrí el nod32 y ahí es donde encontró 6 amenazas que todas incluían algo sobre worm y/o trojan, sólo me daba la opción de borrar en 2 de ellas y las otras siguen apareciendo.
Intenté buscar otros temas con este virus pero cada uno ponía su log de hijackthis y era diferente en varias cosas al mío entonces no me servía mucho. Lo ejecuté cerrando todo menos la ventana de error que se queda ahí todo el tiempo. A continuación lo pongo:
Logfile of HijackThis v1.99.1
Scan saved at 06:29:42 p.m., on 24/04/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Ahead\InCD\InCDsrv.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Archivos de programa\Nod32\nod32krn.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\vwsrv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\pctspk.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\system32\cscript.exe
C:\Documents and Settings\Daniel.COMPU\Mis documentos\Varios\Juegos\Hijack\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O1 - Hosts: localhost 127.0.0.1
O2 - BHO: (no name) - {0409d121-6f0d-4bab-9d48-ffbc941fb651} - C:\WINDOWS\system32\c_9dex.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {1557B435-8242-4686-9AA3-9265BF7525A4} - C:\WINDOWS\system32\tmp12E.tmp.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: VPNS System - {9FA1AA9E-7ECF-4f3b-AC23-7F09E01298E4} - C:\WINDOWS\dxdiag.dll
O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe
O4 - HKLM\..\Run: [gcasServ] "C:\Archivos de programa\GIANT Company Software\GIANT AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [InCD] C:\Archivos de programa\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {05D44720-58E3-49E6-BDF6-D00330E511D3} (StagingUI Object) - http://zone.msn.com/binFrameWork/v10/StagingUI.cab53083.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {3BB54395-5982-4788-8AF4-B5388FFDD0D8} (ZoneBuddy Class) - http://zone.msn.com/BinFrameWork/v10/ZBuddy.cab53083.cab
O16 - DPF: {3FE16C08-D6A7-4133-84FC-D5BFB4F7D886} (WebGameLoader Class) - http://www.miniclip.com/ricochet/ReflexiveWebGameLoader.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://danielvaladez.spaces.live.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {5736C456-EA94-4AAC-BB08-917ABDD035B3} (ZonePAChat Object) - http://zone.msn.com/binframework/v10/ZPAChat.cab53083.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/ES-ES/a-UNO1/GAME_UNO1.cab
O16 - DPF: {8731163E-77B9-4F91-9122-F112521C28AF} (MMSPlayerX Class) - http://mmbox.itelcel.com/mmawap/jsp/composer/player/mmsPlayer.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {8F2B3E96-94B3-4CA0-919A-531DDC9ABE92} (XUploadPhotos Class) - http://hi5.com/friend/photoshare/bin/PhotoUploadLib.dll
O16 - DPF: {9BDF4724-10AA-43D5-BD15-AEA0D2287303} (ZPA_TexasHoldem Object) - http://zone.msn.com/bingame/zpagames/zpa_txhe.cab53083.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://cdn2.zone.msn.com/binFramework/v10/ZIntro.cab53083.cab
O16 - DPF: {DA2AA6CF-5C7A-4B71-BC3B-C771BB369937} (StadiumProxy Class) - http://zone.msn.com/binframework/v10/StProxy.cab53852.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O20 - AppInit_DLLs: msiuins.dll
O21 - SSODL: iebrowser - {3D1AA133-A97F-431B-93C4-09741AB4D2BC} - C:\WINDOWS\iebrowser.dll
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Archivos de programa\Ahead\InCD\InCDsrv.exe
O23 - Service: Servicio del iPod (iPod Service) - Apple Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Nod32\nod32krn.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: ServiceLayer - Nokia. - C:\Archivos de programa\Archivos comunes\PCSuite\Services\ServiceLayer.exe
O23 - Service: vwservice - Unknown owner - C:\WINDOWS\system32\vwsrv.exe
Ojalá me puedan ayudar.
Gracias
Daniel
Este creo que fué un virus que hace año(s) tuvo su auge pero a mí me acaba de salir. Creo que es un trojan y bueno tengo el winXP servicepack 2, y al prender el equipo simplemente al aparecer la pantalla azul con la lista de usuarios para iniciar sesión desde ahí aparece un error de aplicación titulado svchost.exe y dice "La instrucción en "0x00a02007" hace referencia a la memoria en "0x000ca000". La memoria no se puede "read"." Y trae botones aceptar y cancelar. Si presiono cualquiera de ellos ese error desaparece y puede o no aparecer otro(s) similar(es) también con el título de iexplore.exe, y sale la ventana que trae la cuenta regresiva de un minuto y dice "Se está apagando el sistema. Guarde todo trabajo en curso y cierre la sesión" "El apagado ha sido iniciado por NT AUTORITHY\SYSTEM" y obviamente al llegar a cero se reinicia el equipo.
No obstante desde que aparece la primera ventana de error con "aceptar y cancelar" si no le hago caso, puedo iniciar sesión y operar regularmente, por ejemplo el internet explorer no lo abre pero el firefox sí, intenté abrir el Giant AntiSpyware y dice que tuvo un error abriéndolo y que no lo puede hacer. Entonces abrí el CCleaner para ver correr el limpiador (el cual limpió muy muy rápido, siempre tarda como 5 o 10 minutos y ahora tardó segundos) luego le puse que buscara problemas en el registro y después de encontrar algunas extensiones de archivo inválidas y dlls faltantes, al ir en 32% se traba. Después me puse a ver los startup progams y me encontré con varios desconocidos que borré y había uno que aunque lo borraba, cada vez que reiniciaba volvía a estar ahí y era algo como "v7" (no recuerdo muy bien) y creo que estaba en el system32, entonces fué cuando encontré su foro y el hijackthis el cual usé y le puse check en donde aparecía el tal v7 y le puse fix, entonces ya no me aparece como startup program pero el error sigue apareciendo y los mismos problemas. Con el administrador de tareas de windows siempre he visto como proceso activo uno o varios llamados svchost y nunca había tenido problemas pero ahora aparecen muchas veces, hasta 10 me parece y además de eso también de uno que no había visto aparece y se llama "vwsrv" y otro "cscript". Antes del hijackthis corrí el nod32 y ahí es donde encontró 6 amenazas que todas incluían algo sobre worm y/o trojan, sólo me daba la opción de borrar en 2 de ellas y las otras siguen apareciendo.
Intenté buscar otros temas con este virus pero cada uno ponía su log de hijackthis y era diferente en varias cosas al mío entonces no me servía mucho. Lo ejecuté cerrando todo menos la ventana de error que se queda ahí todo el tiempo. A continuación lo pongo:
Logfile of HijackThis v1.99.1
Scan saved at 06:29:42 p.m., on 24/04/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Ahead\InCD\InCDsrv.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Archivos de programa\Nod32\nod32krn.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\vwsrv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\pctspk.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\system32\cscript.exe
C:\Documents and Settings\Daniel.COMPU\Mis documentos\Varios\Juegos\Hijack\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O1 - Hosts: localhost 127.0.0.1
O2 - BHO: (no name) - {0409d121-6f0d-4bab-9d48-ffbc941fb651} - C:\WINDOWS\system32\c_9dex.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {1557B435-8242-4686-9AA3-9265BF7525A4} - C:\WINDOWS\system32\tmp12E.tmp.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: VPNS System - {9FA1AA9E-7ECF-4f3b-AC23-7F09E01298E4} - C:\WINDOWS\dxdiag.dll
O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe
O4 - HKLM\..\Run: [gcasServ] "C:\Archivos de programa\GIANT Company Software\GIANT AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [InCD] C:\Archivos de programa\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {05D44720-58E3-49E6-BDF6-D00330E511D3} (StagingUI Object) - http://zone.msn.com/binFrameWork/v10/StagingUI.cab53083.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {3BB54395-5982-4788-8AF4-B5388FFDD0D8} (ZoneBuddy Class) - http://zone.msn.com/BinFrameWork/v10/ZBuddy.cab53083.cab
O16 - DPF: {3FE16C08-D6A7-4133-84FC-D5BFB4F7D886} (WebGameLoader Class) - http://www.miniclip.com/ricochet/ReflexiveWebGameLoader.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://danielvaladez.spaces.live.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {5736C456-EA94-4AAC-BB08-917ABDD035B3} (ZonePAChat Object) - http://zone.msn.com/binframework/v10/ZPAChat.cab53083.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/ES-ES/a-UNO1/GAME_UNO1.cab
O16 - DPF: {8731163E-77B9-4F91-9122-F112521C28AF} (MMSPlayerX Class) - http://mmbox.itelcel.com/mmawap/jsp/composer/player/mmsPlayer.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {8F2B3E96-94B3-4CA0-919A-531DDC9ABE92} (XUploadPhotos Class) - http://hi5.com/friend/photoshare/bin/PhotoUploadLib.dll
O16 - DPF: {9BDF4724-10AA-43D5-BD15-AEA0D2287303} (ZPA_TexasHoldem Object) - http://zone.msn.com/bingame/zpagames/zpa_txhe.cab53083.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://cdn2.zone.msn.com/binFramework/v10/ZIntro.cab53083.cab
O16 - DPF: {DA2AA6CF-5C7A-4B71-BC3B-C771BB369937} (StadiumProxy Class) - http://zone.msn.com/binframework/v10/StProxy.cab53852.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O20 - AppInit_DLLs: msiuins.dll
O21 - SSODL: iebrowser - {3D1AA133-A97F-431B-93C4-09741AB4D2BC} - C:\WINDOWS\iebrowser.dll
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Archivos de programa\Ahead\InCD\InCDsrv.exe
O23 - Service: Servicio del iPod (iPod Service) - Apple Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Nod32\nod32krn.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: ServiceLayer - Nokia. - C:\Archivos de programa\Archivos comunes\PCSuite\Services\ServiceLayer.exe
O23 - Service: vwservice - Unknown owner - C:\WINDOWS\system32\vwsrv.exe
Ojalá me puedan ayudar.
Gracias
Daniel