svchost.exe error de aplicación

[juanjo09]

Hola amigos:



Hace varias semanas que me ha empezado a salir de manera completamente aleatoria el error de svchost.exe que indica algo de que la memoria no se puede "written". Poco después de que aparece el error, se me queda todo bloqueado, así que al final no queda más remedio que darle al botón de reset. En visor de sucesos aparece un evento en categoría (100) pero no indica qué está provocando dicho error, pone unknown y ceros. He testeado la memoria ram y está bien.



Comentar que si que uso un programa de msdos pero que este programa no estaba ejecutándose en el momento de aparecer el error, si que tengo compartido dicho programa por red y otro usuario estaba trabajando en el programa remotamente, aunque también ha salido el error cuando nadie tenía abierto el programa. El programa de msdos lo llevo utilizando desde hace años y nunca me había dado problemas. Tampoco he hecho ninguna actualización del sistema operativo que es windows xp sp2.



He intentado de todo pero parece que no hay manera de quitarlo de encima. Alguien me puede echar una mano, abajo pongo el log de hijackthis. Muchas gracias y un saludo!













Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 15:38:04, on 29/09/2009

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal



Running processes:

H:\WINDOWS\System32\smss.exe

H:\WINDOWS\system32\winlogon.exe

H:\WINDOWS\system32\services.exe

H:\WINDOWS\system32\lsass.exe

H:\WINDOWS\system32\svchost.exe

H:\WINDOWS\System32\svchost.exe

H:\WINDOWS\system32\spoolsv.exe

H:\Archivos de programa\Symantec\Norton Ghost 2003\GhostStartService.exe

H:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE

H:\Archivos de programa\Raxco\PerfectDisk2008\PD91Agent.exe

H:\WINDOWS\system32\r_server.exe

H:\WINDOWS\system32\svchost.exe

H:\WINDOWS\system32\vmnat.exe

H:\WINDOWS\system32\vmnetdhcp.exe

H:\Archivos de programa\VMware\VMware Workstation\vmware-authd.exe

H:\WINDOWS\Explorer.EXE

H:\WINDOWS\system32\ctfmon.exe

H:\Archivos de programa\AutorunRemover\AutorunRemover.exe

h:\Archiv~1\Printfil\Printfil.exe

h:\Archiv~1\Printfil\Printfil.exe

H:\Archivos de programa\VMware\VMware Workstation\vmware.exe

H:\Archivos de programa\VMware\VMware Workstation\vmware-vmx.exe

H:\WINDOWS\system32\ntvdm.exe

C:\NO-BORRAR\Escritorio\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

R3 - URLSearchHook: Barra Yahoo! con bloqueador de ventanas emergentes - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - H:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - H:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "H:\Archivos de programa\Adobe\Reader 9.0\Reader\Reader_sl.exe"

O4 - HKCU\..\Run: [ctfmon.exe] H:\WINDOWS\system32\ctfmon.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] H:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] H:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] H:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] H:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Startup: Acceso directo a start.lnk = C:\Windows 2000 Professional\start.bat

O4 - Global Startup: Acceso directo a Autorun Virus Remover v2.3 build 0618.lnk = H:\Autorun Virus Remover v2.3 build 0618.exe

O4 - Global Startup: LPT_ONE.BAT

O4 - Global Startup: LPT_TWO.BAT

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://H:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - H:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - H:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - H:\Archivos de programa\Messenger\msmsgs.exe

O10 - Unknown file in Winsock LSP: h:\archivos de programa\vmware\vmware workstation\vsocklib.dll

O10 - Unknown file in Winsock LSP: h:\archivos de programa\vmware\vmware workstation\vsocklib.dll

O16 - DPF: {0D41B8C5-2599-4893-8183-00195EC8D5F9} (asusTek_sysctrl Class) - http://support.asus.com/common/asusTek_sys_ctrl.cab

O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - H:\Archivos de programa\Yahoo!\Common\yinsthelper.dll

O17 - HKLM\System\CCS\Services\Tcpip\..\{C9B2217B-4692-465F-8FEB-9B835BF596FD}: NameServer = 80.58.0.33,80.58.32.97

O20 - AppInit_DLLs: CLKERN.DLL

O23 - Service: GhostStartService - Symantec Corporation - H:\Archivos de programa\Symantec\Norton Ghost 2003\GhostStartService.exe

O23 - Service: PD91Agent - Raxco Software, Inc. - H:\Archivos de programa\Raxco\PerfectDisk2008\PD91Agent.exe

O23 - Service: PD91Engine - Raxco Software, Inc. - H:\Archivos de programa\Raxco\PerfectDisk2008\PD91Engine.exe

O23 - Service: Remote Administrator Service (r_server) - Unknown owner - H:\WINDOWS\system32\r_server.exe

O23 - Service: VMware Agent Service (ufad-ws60) - VMware, Inc. - H:\Archivos de programa\VMware\VMware Workstation\vmware-ufad.exe

O23 - Service: VMware Authorization Service (VMAuthdService) - VMware, Inc. - H:\Archivos de programa\VMware\VMware Workstation\vmware-authd.exe

O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - H:\WINDOWS\system32\vmnetdhcp.exe

O23 - Service: VMware NAT Service - VMware, Inc. - H:\WINDOWS\system32\vmnat.exe



--

End of file - 4765 bytes

[msc hotline sat]

Ante todo, faltan muchos parches, lanzar un windowsupdate e instalar los que encuentre a faltar.



Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)





Luego, vemos estas claves anómalas:



O10 - Unknown file in Winsock LSP: h:\archivos de programa\vmware\vmware workstation\vsocklib.dll



O10 - Unknown file in Winsock LSP: h:\archivos de programa\vmware\vmware workstation\vsocklib.dll





Lanzar LSPFIX para repararlas.



[url=http://www.zonavirus.com/articulos/manual-lsp-fix.asp][b]Manual LSP-Fix[/b][/url]



[url=http://www.zonavirus.com/descargas/lsp-fix.asp][b]Descargar LSP-Fix[/b][/url]





Y tras reiniciar, comentarnos el resultado, gracias



saludos



ms, 29-9-2009

[juanjo09]

Hola msc:

Antes de nada gracias por tu respuesta. He hecho todo lo que me has indicado y te pongo de nuevo el log del programa hijackthis. El problema es que no sé por qué sale el error ni sé alguna manera de poder reproducir el error, sale de manera aleatoria cuando le da la gana, normalmente sale al menos una vez diariamente, pero a veces no sale todos los días. A veces sale por la mañana o a veces por la tarde, no parece que esté relacionado con nada concreto que hago, el caso es que soy incapaz de reproducir el error, por lo que ahora a esperar a ver si ya no sale más. Comentar también que el error me salía antes de que puse el programa vmware hace unos días, no obstante cuando abro el programa LSP fix me dice "no problems found". Te agradezco mucho la ayuda que me has prestado, espero que no salga más el error.







Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 2:14:27, on 30/09/2009

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v8.00 (8.00.6001.18702)

Boot mode: Normal



Running processes:

H:\WINDOWS\System32\smss.exe

H:\WINDOWS\system32\winlogon.exe

H:\WINDOWS\system32\services.exe

H:\WINDOWS\system32\lsass.exe

H:\WINDOWS\system32\svchost.exe

H:\WINDOWS\System32\svchost.exe

H:\WINDOWS\system32\spoolsv.exe

H:\Archivos de programa\Symantec\Norton Ghost 2003\GhostStartService.exe

H:\WINDOWS\System32\svchost.exe

H:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE

H:\WINDOWS\system32\nvsvc32.exe

H:\Archivos de programa\Raxco\PerfectDisk2008\PD91Agent.exe

H:\WINDOWS\system32\r_server.exe

H:\WINDOWS\system32\svchost.exe

H:\WINDOWS\system32\vmnat.exe

H:\WINDOWS\system32\vmnetdhcp.exe

H:\Archivos de programa\VMware\VMware Workstation\vmware-authd.exe

H:\WINDOWS\Explorer.EXE

H:\WINDOWS\system32\RUNDLL32.EXE

H:\WINDOWS\system32\ctfmon.exe

H:\Archivos de programa\AutorunRemover\AutorunRemover.exe

h:\Archiv~1\Printfil\Printfil.exe

h:\Archiv~1\Printfil\Printfil.exe

C:\NO-BORRAR\Escritorio\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

R3 - URLSearchHook: Barra Yahoo! con bloqueador de ventanas emergentes - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - H:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - H:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "H:\Archivos de programa\Adobe\Reader 9.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE H:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE H:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKCU\..\Run: [ctfmon.exe] H:\WINDOWS\system32\ctfmon.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] H:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] H:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] H:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] H:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Startup: Acceso directo a start.lnk = C:\Windows 2000 Professional\start.bat

O4 - Global Startup: Acceso directo a Autorun Virus Remover v2.3 build 0618.lnk = H:\Autorun Virus Remover v2.3 build 0618.exe

O4 - Global Startup: LPT_ONE.BAT

O4 - Global Startup: LPT_TWO.BAT

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://H:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - H:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - H:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - H:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - H:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - H:\Archivos de programa\Messenger\msmsgs.exe

O10 - Unknown file in Winsock LSP: h:\archivos de programa\vmware\vmware workstation\vsocklib.dll

O10 - Unknown file in Winsock LSP: h:\archivos de programa\vmware\vmware workstation\vsocklib.dll

O16 - DPF: {0D41B8C5-2599-4893-8183-00195EC8D5F9} (asusTek_sysctrl Class) - http://support.asus.com/common/asusTek_sys_ctrl.cab

O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - H:\Archivos de programa\Yahoo!\Common\yinsthelper.dll

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1254246919718

O17 - HKLM\System\CCS\Services\Tcpip\..\{C9B2217B-4692-465F-8FEB-9B835BF596FD}: NameServer = 80.58.0.33,80.58.32.97

O20 - AppInit_DLLs: CLKERN.DLL

O23 - Service: GhostStartService - Symantec Corporation - H:\Archivos de programa\Symantec\Norton Ghost 2003\GhostStartService.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - H:\WINDOWS\system32\nvsvc32.exe

O23 - Service: PD91Agent - Raxco Software, Inc. - H:\Archivos de programa\Raxco\PerfectDisk2008\PD91Agent.exe

O23 - Service: PD91Engine - Raxco Software, Inc. - H:\Archivos de programa\Raxco\PerfectDisk2008\PD91Engine.exe

O23 - Service: Remote Administrator Service (r_server) - Unknown owner - H:\WINDOWS\system32\r_server.exe

O23 - Service: VMware Agent Service (ufad-ws60) - VMware, Inc. - H:\Archivos de programa\VMware\VMware Workstation\vmware-ufad.exe

O23 - Service: VMware Authorization Service (VMAuthdService) - VMware, Inc. - H:\Archivos de programa\VMware\VMware Workstation\vmware-authd.exe

O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - H:\WINDOWS\system32\vmnetdhcp.exe

O23 - Service: VMware NAT Service - VMware, Inc. - H:\WINDOWS\system32\vmnat.exe



--

End of file - 5923 bytes

[msc hotline sat]

Persisten las dos claves O10 que deberían haber desaparecido tras la accion del LSPFIX... ??? vUELVA A LANZARLO.



Y esta otra, si no sabe de lo que es y no es voluntaria, eliminela:



O4 - Global Startup: Acceso directo a Autorun Virus Remover v2.3 build 0618.lnk = H:\Autorun Virus Remover v2.3 build 0618.exe



[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253





saludos



ms, 30-9-2009