Foros de Windows y Seguridad Informática: Log RSIT written by Zheiwander

Bueno,creo que tengo el PC infectado con un virus (sospecho que es liser.exe).
Dicho virus no me deja acceder a google,asi que tengo que hacer mis busquedas desde yahoo.
Otro sintoma es que hay algunos programas(principalmente los antivirales) en los que no me deja acceder,ya que sospecho que el virusito de marras trastea con el appdir de los antes mencionados. Estos son(de momento)
ComboFix.exe (Programa Combofix)
HTJI.exe (Hijackthis)
SpybotS&D.exe (Spybot
MBAM.exe (Malware remover)

Adjunto el siguiente log que tuve que sacar con el programa RSIT.exe, ya que con hijack no podia

En modo a prueba de fallos tampoco puedo usar los programas antes mencionados




info.txt logfile of random's system information tool 1.06 2009-06-26 18:22:02

======Uninstall list======

-->MsiExec /X{1C4551A6-4743-4093-91E4-1477CD655043}
-->rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf
Actualización para Windows XP (KB898461)-->"C:\WINDOWS\$NtUninstallKB898461$\spuninst\spuninst.exe"
Adobe Flash Player 10 ActiveX-->C:\WINDOWS\System32\Macromed\Flash\uninstall_activeX.exe
Adobe Flash Player 10 Plugin-->C:\WINDOWS\System32\Macromed\Flash\uninstall_plugin.exe
Adobe Shockwave Player 11.5-->C:\WINDOWS\system32\Adobe\uninstaller.exe
Apple Mobile Device Support-->MsiExec.exe /I{659B48CD-0608-4ED5-94C0-0B6C87114F10}
Apple Software Update-->MsiExec.exe /I{6956856F-B6B3-4BE0-BA0B-8F495BE32033}
Blade: The Edge of Darkness-->MsiExec.exe /I{FD881863-F311-48B5-A8C2-12EECA736D5A}
CCleaner (remove only)-->"C:\Archivos de programa\CCleaner\uninst.exe"
Choice Guard-->MsiExec.exe /I{8FFC5648-FAF8-43A3-BC8F-42BA1E275C4E}
CloneDVD 4.2.5.0-->"C:\Archivos de programa\CloneDVD\unins000.exe"
Compresor WinRAR-->C:\Archivos de programa\WinRAR\uninstall.exe
ConectaBOX 1000 B-->C:\Archivos de programa\Telefonica\ConectaBox61C\Uninstal.exe
ConvertXtoDVD 2.99.9.600b-->"C:\Archivos de programa\VSO\ConvertX\3\unins000.exe"
Dragonica(EU)-->C:\Archivos de programa\gPotato.eu\Dragonica\EU\uninst.exe
Fallout 3-->RunDll32 C:\ARCHIV~1\ARCHIV~1\INSTAL~1\PROFES~1\RunTime\11\00\Intel32\Ctor.dll,LaunchSetup "C:\Archivos de programa\InstallShield Installation Information\{974C4B12-4D02-4879-85E0-61C95CC63E9E}\setup.exe" -l0x9 -removeonly
FlashGet 1.9.6.1073-->C:\Archivos de programa\FlashGet\uninst.exe
Gigabyte Raid Configurer-->RunDll32 C:\ARCHIV~1\ARCHIV~1\INSTAL~1\PROFES~1\RunTime\11\00\Intel32\Ctor.dll,LaunchSetup "C:\Archivos de programa\InstallShield Installation Information\{3A1B5D40-41E9-43FA-8C7B-A8667F5586EF}\SETUP.EXE" -l0xa -removeonly
Grandia2-->RunDll32 C:\ARCHIV~1\ARCHIV~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Archivos de programa\InstallShield Installation Information\{51A128D8-3F9E-48D6-A916-4E28184A15EC}\setup.exe"
Herramienta de carga de Windows Live-->MsiExec.exe /I{205C6BDD-7B73-42DE-8505-9A093F35A238}
High Definition Audio Driver Package - KB888111-->"C:\WINDOWS\$NtUninstallKB888111WXP$\spuninst\spuninst.exe"
HijackThis 2.0.2-->"C:\Archivos de programa\trend micro\HijackThis.exe" /uninstall
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB953595)-->C:\WINDOWS\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall /qb+ REBOOTPROMPT=""
HP Extended Capabilities 5.3-->C:\Archivos de programa\HP\Digital Imaging\ExtCapUninstall\hpzscr01.exe -datfile hpqhsc01.dat
HP Image Zone Express-->MsiExec.exe /X{FE64AE29-0883-4C70-8388-DC026019C900}
HP Imaging Device Functions 5.3-->C:\Archivos de programa\HP\Digital Imaging\DigitalImagingMonitor\hpzscr01.exe -datfile hpqbud01.dat
HP PSC & OfficeJet 5.3.B-->"C:\Archivos de programa\HP\Digital Imaging\{5B79CFD1-6845-4158-9D7D-6BE89DF2C135}\setup\hpzscr01.exe" -datfile hposcr07.dat
HP Software Update-->MsiExec.exe /X{15EE79F4-4ED1-4267-9B0F-351009325D7D}
HP Solution Center & Imaging Support Tools 5.3-->C:\Archivos de programa\HP\Digital Imaging\eSupport\hpzscr01.exe -datfile hpqbud05.dat
Indeo® Software-->C:\WINDOWS\IsUninst.exe -f"C:\Archivos de programa\Ligos\Indeo\Uninst.isu"
iTunes-->MsiExec.exe /I{CC5702D7-86E2-45A8-99D7-E8B976ADCC56}
Java™ 6 Update 13-->MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216013FF}
K-Lite Codec Pack 4.7.0 (Full)-->"C:\Archivos de programa\K-Lite Codec Pack\unins000.exe"
Left 4 Dead-->"C:\Archivos de programa\Steam\steam.exe" steam://uninstall/500
Mass Effect-->C:\Archivos de programa\Archivos comunes\BioWare\Uninstall Mass Effect.exe
Microsoft .NET Framework 2.0 Service Pack 2 Language Pack - ESN-->MsiExec.exe /I{85AC0FFA-643D-3103-9310-7086ECB0C36C}
Microsoft .NET Framework 2.0 Service Pack 2-->MsiExec.exe /I{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}
Microsoft .NET Framework 3.0 Service Pack 2 Language Pack - ESN-->MsiExec.exe /I{BDEDB104-4067-3D5E-81F0-DBEBFE856B45}
Microsoft .NET Framework 3.0 Service Pack 2-->MsiExec.exe /I{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}
Microsoft .NET Framework 3.5 Language Pack SP1 - esn-->MsiExec.exe /I{92E4A65F-7007-3357-A69A-167F71A337BD}
Microsoft .NET Framework 3.5 SP1-->C:\WINDOWS\Microsoft.NET\Framework\v3.5\Microsoft .NET Framework 3.5 SP1\setup.exe
Microsoft .NET Framework 3.5 SP1-->MsiExec.exe /I{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}
Microsoft Games for Windows - LIVE Redistributable-->MsiExec.exe /X{929CE49F-1CA7-4CF3-A9A1-6D757443C63F}
Microsoft Visual C++ 2005 Redistributable-->MsiExec.exe /X{7299052b-02a4-4627-81f2-1818da5d550d}
mIRC-->"c:\x-cript\mirc32.exe" -uninstall
Mozilla Firefox (3.0.11)-->C:\Archivos de programa\Mozilla Firefox\uninstall\helper.exe
MSVCRT-->MsiExec.exe /I{22B775E7-6C42-4FC5-8E10-9A5E3257BD94}
MSXML 6.0 Parser (KB933579)-->MsiExec.exe /I{0A869A65-8C94-4F7C-A5C7-972D3C8CED9E}
Nero 6 Enterprise Edition-->C:\Archivos de programa\Ahead\nero\uninstall\UNNERO.exe /UNINSTALL
NVIDIA Drivers-->C:\WINDOWS\System32\nvuninst.exe UninstallGUI
NVIDIA PhysX-->MsiExec.exe /X{1C4551A6-4743-4093-91E4-1477CD655043}
OpenAL-->"C:\Archivos de programa\OpenAL\oalinst.exe" /U
Paquete de idioma de Microsoft .NET Framework 3.5 SP1 - esn-->c:\WINDOWS\Microsoft.NET\Framework\v3.5\Microsoft .NET Framework 3.5 Language Pack SP1 - esn\setup.exe
PowerISO-->"C:\Archivos de programa\PowerISO\uninstall.exe"
QuickTime-->MsiExec.exe /I{C78EAC6F-7A73-452E-8134-DBB2165C5A68}
Realtek High Definition Audio Driver-->RunDll32 C:\ARCHIV~1\ARCHIV~1\INSTAL~1\PROFES~1\RunTime\11\50\Intel32\Ctor.dll,LaunchSetup "C:\Archivos de programa\InstallShield Installation Information\{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}\SETUP.EXE" -l0xa -removeonly
ScummVM 0.13.1a-->"C:\Archivos de programa\ScummVM\unins000.exe"
Segoe UI-->MsiExec.exe /I{A1F66FC9-11EE-4F2F-98C9-16F8D1E69FB7}
Skype™ 4.0-->MsiExec.exe /X{24D753CA-6AE9-4E30-8F5F-EFC93E08BF3D}
Spybot - Search & Destroy-->"C:\Archivos de programa\Spybot - Search & Destroy\unins000.exe"
Steam-->MsiExec.exe /X{048298C9-A4D3-490B-9FF9-AB023A9238F3}
System Requirements Lab-->C:\Archivos de programa\SystemRequirementsLab\Uninstall.exe
TeamSpeak 2 RC2-->"C:\Archivos de programa\Teamspeak2_RC2\unins000.exe"
The Godfather™ II-->19
Ventrilo-->MsiExec.exe /I{789289CA-F73A-4A16-A331-54D498CE069F}
Windows Imaging Component-->"C:\WINDOWS\$NtUninstallWIC$\spuninst\spuninst.exe"
Windows Installer 3.1 (KB893803)-->"C:\WINDOWS\$MSI31Uninstall_KB893803v2$\spuninst\spuninst.exe"
Windows Live Asistente para el inicio de sesión-->MsiExec.exe /I{7593234B-2AEB-4FC9-B02D-C9B30D86084C}
Windows Live Call-->MsiExec.exe /I{38A0481D-544D-4C01-BB32-39332391D012}
Windows Live Communications Platform-->MsiExec.exe /I{3B4E636E-9D65-4D67-BA61-189800823F52}
Windows Live Essentials-->C:\Archivos de programa\Windows Live\Installer\wlarp.exe
Windows Live Essentials-->MsiExec.exe /I{853BAA28-5C1E-4678-ADAC-6A37B8A526AB}
Windows Live Messenger-->MsiExec.exe /X{BD1BBE79-BB25-460D-A2BD-D496A5E13786}
Windows XP Service Pack 2-->C:\WINDOWS\$NtServicePackUninstall$\spuninst\spuninst.exe
X-CRiPt 5.1-->"c:\X-CRiPt\Uninstal.exe"
XML Paper Specification Shared Components Language Pack 1.0-->"C:\WINDOWS\$NtUninstallXPSEPSCLP$\spuninst\spuninst.exe"

======System event log======

Computer Name: FERRE-MJCHTRZOV
Event Code: 7023
Message: El servicio Administración de aplicaciones terminó con el error:
No se puede encontrar el módulo especificado.


Record Number: 115416
Source Name: Service Control Manager
Time Written: 20090625213434.000000+120
Event Type: ERROR
User:

Computer Name: FERRE-MJCHTRZOV
Event Code: 7036
Message: El servicio Administración de aplicaciones entró en estado detenido.

Record Number: 115415
Source Name: Service Control Manager
Time Written: 20090625213434.000000+120
Event Type: Información
User:

Computer Name: FERRE-MJCHTRZOV
Event Code: 7035
Message: Se ha enviado satisfactoriamente un control iniciar al servicio Administración de aplicaciones.

Record Number: 115414
Source Name: Service Control Manager
Time Written: 20090625213434.000000+120
Event Type: Información
User: FERRE-MJCHTRZOV\Andreu

Computer Name: FERRE-MJCHTRZOV
Event Code: 7023
Message: El servicio Administración de aplicaciones terminó con el error:
No se puede encontrar el módulo especificado.


Record Number: 115413
Source Name: Service Control Manager
Time Written: 20090625213434.000000+120
Event Type: ERROR
User:

Computer Name: FERRE-MJCHTRZOV
Event Code: 7036
Message: El servicio Administración de aplicaciones entró en estado detenido.

Record Number: 115412
Source Name: Service Control Manager
Time Written: 20090625213434.000000+120
Event Type: Información
User:

=====Application event log=====

Computer Name: FERRE-MJCHTRZOV
Event Code: 1800
Message: Se inició el Servicio de Centro de seguridad de Windows.

Record Number: 273
Source Name: SecurityCenter
Time Written: 20090509092705.000000+120
Event Type: Información
User:

Computer Name: FERRE-MJCHTRZOV
Event Code: 1800
Message: Se inició el Servicio de Centro de seguridad de Windows.

Record Number: 272
Source Name: SecurityCenter
Time Written: 20090508092907.000000+120
Event Type: Información
User:

Computer Name: FERRE-MJCHTRZOV
Event Code: 1800
Message: Se inició el Servicio de Centro de seguridad de Windows.

Record Number: 271
Source Name: SecurityCenter
Time Written: 20090508090206.000000+120
Event Type: Información
User:

Computer Name: FERRE-MJCHTRZOV
Event Code: 4097
Message: La aplicación, C:\Games\Wolverine\Binaries\Wolverine.exe, produjo un error de aplicación.
El error ocurrió el 05/05/2009 a las 22:04:41.562.
La excepción producida fue c0000005 en la dirección 0112DAC2 (Wolverine!GImage__GImage)

Record Number: 270
Source Name: DrWatson
Time Written: 20090505220441.000000+120
Event Type: Información
User:

Computer Name: FERRE-MJCHTRZOV
Event Code: 1000
Message: Aplicación con errores: wolverine.exe, versión: 1.0.0.1, módulo con error: wolverine.exe, versión 1.0.0.1, dirección de error 0x00d2dac2.

Record Number: 269
Source Name: Application Error
Time Written: 20090505220438.000000+120
Event Type: ERROR
User:

======Environment variables======

"ComSpec"=%SystemRoot%\system32\cmd.exe
"Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem;C:\Archivos de programa\QuickTime\QTSystem\
"windir"=%SystemRoot%
"OS"=Windows_NT
"PROCESSOR_ARCHITECTURE"=x86
"PROCESSOR_LEVEL"=6
"PROCESSOR_IDENTIFIER"=x86 Family 6 Model 15 Stepping 6, GenuineIntel
"PROCESSOR_REVISION"=0f06
"NUMBER_OF_PROCESSORS"=2
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP
"FP_NO_HOST_CHECK"=NO
"CLASSPATH"=.;C:\Archivos de programa\Java\jre6\lib\ext\QTJava.zip
"QTJAVA"=C:\Archivos de programa\Java\jre6\lib\ext\QTJava.zip

-----------------EOF-----------------




Gracias de antemano

Baja este programa:
Dr.Web CureIt
ftp://ftp.drweb.com/...rweb-cureit.exe

Manual:
http://www.trucoswin...web-cureit.html

Doble click en drweb-cureit.exe
Clic en Star para que comience el scaneo
Al principio verifica la memoria y tienes que cliquear Yes cuando te pregunte si quieres que tal archivo sea curado (cure it ),esto es un scan rápido
Tambien te puede aparecer un pop up ofreciendo la posibilidad de comprar el programa ,solo elimina ese pop up y sigue…
Cuando ese scan termine haz clic en Options > Change settings
Elige la solapa Scan y destildas "Heuristic analysis".
Ahora vuelve a la ventana principal y eliges los discos a scanear:
elige “All Drives”,un punto rojo te indica cuales elegiste
Haz clic en la flecha verde ubicada a la derecha y comenzará el scaneo
Click 'Yes to all' si te pregunta si quieres “Cure” o “Move “ los archivos
Cuando el scaneo termine te fijas en los archivos encontrados y junto a ellos se halla un ícono trata de cliquear en ese y si puedes cliquea en otro ícono a la derecha y elige Move incurable
Esto pondrá esos archivos en “%userprofile%\DoctorWeb\quarantaine-folder”si no han podido “curarse”.
Ahora en el Menu principal clic en File y elige save report list
Guarda ese reporte en tu escritorio (el nombre será DrWeb.csv)
Cierra el programa.
Pon ese reporte y un nuevo log
saludos
caito