System Alert Malware y Crytical System Error (CERRADO)

[fefe777]

buenas.. bueno la computadora presentaba ambos errores



el System Alert Malware threats que se ponia en la barra de inicio a mano derecha y el icono era un triangulo amarillo con un signo de admiracion parpadeante



el otro es el Crytical System Error que es un icono redondo con un signo de pregunta y un signo de prohibido parpadeante...



creo que estaban relacionados con el Virus Burst... bueno yo corri el EliStarA 12.51 y el primero si lo quito pero el segundo no.. lo corri 2 veces aqui pongo el INFOSAT.TXT de ambas ejecuciones...



[b]Primera EJECUCION:[/b]





Tue Oct 10 22:54:06 2006

EliStartPage v12.51 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\WEB\RELATED.HTM --> Eliminado

C:\ARCHIVOS DE PROGRAMA\SOFTCODEC\PMSNGR.EXE --> Puper-Isa Renombrado a .VIR

C:\ARCHIVOS DE PROGRAMA\SOFTCODEC\PMMON.EXE --> Eliminado Puper-Isa

C:\ARCHIVOS DE PROGRAMA\SOFTCODEC\ISAMINI.EXE --> Puper-Isa Renombrado a .VIR

C:\ARCHIVOS DE PROGRAMA\SOFTCODEC\ISADDON.DLL --> Puper-Isa Acceso Denegado.

C:\ARCHIVOS DE PROGRAMA\SOFTCODEC\IESPLUGIN.DLL --> Eliminado Puper-Isa

C:\ARCHIVOS DE PROGRAMA\SOFTCODEC\ISAMONITOR.EXE --> Puper-Is Renombrado a .VIR

C:\ARCHIVOS DE PROGRAMA\SOFTCODEC\ISADDON.DLL --> Eliminado Puper-Isa

Eliminada Class, "{202A961F-23AE-42B1-9505-FFE3C818D717}" -> C:\Archivos de programa\SoftCodec\isaddon.dll

Eliminada Class, "{479FD0CF-5BE9-4C63-8CDA-B6D371C67BD5}" -> C:\Archivos de programa\SoftCodec\iesplugin.dll

No detectado Parche MS04-011 de Microsoft instalado. (LSASS)

No detectado Parche MS04-012 de Microsoft instalado. (RPC)

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

No detectado Parche MS06-040 de Microsoft instalado. (SServidor)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Tue Oct 10 22:56:45 2006

EliStartPage v12.51 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\Archivos de programa\Roxio Easy Media Creator 7.5 UK Trial\common\Roxio Shared\SharedCOM\CPSNAVIGATIONBARCONTROL.DLL --> Eliminado, 180Solutions





[b]SEGUNDA EJECUCION[/b]



Tue Oct 10 22:54:06 2006

EliStartPage v12.51 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\WEB\RELATED.HTM --> Eliminado

C:\ARCHIVOS DE PROGRAMA\SOFTCODEC\PMSNGR.EXE --> Puper-Isa Renombrado a .VIR

C:\ARCHIVOS DE PROGRAMA\SOFTCODEC\PMMON.EXE --> Eliminado Puper-Isa

C:\ARCHIVOS DE PROGRAMA\SOFTCODEC\ISAMINI.EXE --> Puper-Isa Renombrado a .VIR

C:\ARCHIVOS DE PROGRAMA\SOFTCODEC\ISADDON.DLL --> Puper-Isa Acceso Denegado.

C:\ARCHIVOS DE PROGRAMA\SOFTCODEC\IESPLUGIN.DLL --> Eliminado Puper-Isa

C:\ARCHIVOS DE PROGRAMA\SOFTCODEC\ISAMONITOR.EXE --> Puper-Is Renombrado a .VIR

C:\ARCHIVOS DE PROGRAMA\SOFTCODEC\ISADDON.DLL --> Eliminado Puper-Isa

Eliminada Class, "{202A961F-23AE-42B1-9505-FFE3C818D717}" -> C:\Archivos de programa\SoftCodec\isaddon.dll

Eliminada Class, "{479FD0CF-5BE9-4C63-8CDA-B6D371C67BD5}" -> C:\Archivos de programa\SoftCodec\iesplugin.dll

No detectado Parche MS04-011 de Microsoft instalado. (LSASS)

No detectado Parche MS04-012 de Microsoft instalado. (RPC)

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

No detectado Parche MS06-040 de Microsoft instalado. (SServidor)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Tue Oct 10 22:56:45 2006

EliStartPage v12.51 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\Archivos de programa\Roxio Easy Media Creator 7.5 UK Trial\common\Roxio Shared\SharedCOM\CPSNAVIGATIONBARCONTROL.DLL --> Eliminado, 180Solutions



Tue Oct 10 23:06:37 2006

EliStartPage v12.51 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado Parche MS04-011 de Microsoft instalado. (LSASS)

No detectado Parche MS04-012 de Microsoft instalado. (RPC)

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

No detectado Parche MS06-040 de Microsoft instalado. (SServidor)

Eliminados Ficheros Temporales del IE



Tue Oct 10 23:16:19 2006

EliStartPage v12.51 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado Parche MS04-011 de Microsoft instalado. (LSASS)

No detectado Parche MS04-012 de Microsoft instalado. (RPC)

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

No detectado Parche MS06-040 de Microsoft instalado. (SServidor)

Eliminados Ficheros Temporales del IE



SI SABEN COMO QUITAR EL CRYTICAL SYSTEM ERROR SE LOS AGRADECERIA MUCHO...

[koga]

1)Para empezar lance un windows update urgente!!!

Pues si no le seguiran entrando virus.



2)Paso la herramienta en modod seguro y previa desactivacion de la restauracion del sistema???, si no lo hizo hagalo y de paso descargue este programa y ejecutelo luego del Elistara:



ELITRIIP:

http://www.zonavirus.com/descargas/elitriip.asp



Luego reinicia y postea nuevamente el contenido del archivo C:/Infosat.txt



Si no se solucionara descargue El Hijackthis.



¿Como utilizar el Hijackthis en los foros?

Lo primero que debemos hacer es descargarlo en nuestro ordenador y lócalo en una carpeta propia C:\HijackThis\

Ejecútalo y presiona el botón "Do a system scan and save a logfile"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedira el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está.

Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta a este tema..



Descargar Hijackthis:

http://www.zonavirus.com/descargas/trendmicro-hijackthis.asp





Saludos.

[msc hotline sat]

El Burst es una de las variantes del Puper, y ya lo hemos eliminado de su ordenador, diganos los sintomas que persisten, adenas de postear el log del HJT, conforme indicado por koga, para saber si persiste lo de la ALERTA (FAKE ALERT) de los que ya conocemos muchos y si este aun no, iremos a por él :lol:



saludos



ms, 11-10-2006

[chocolove_el]

podrian chekr este analisis y decirme q hay de malo???? porfa me urgeeeeeeeeeeeeeee





C:\Archivos de programa\Video Access ActiveX Object\pmmnt.exe

C:\WINDOWS\system32\VTTimer.exe

C:\WINDOWS\system32\RunDll32.exe

C:\Archivos de programa\Lexmark X1100 Series\lxbkbmgr.exe

C:\Archivos de programa\Video Access ActiveX Object\isamini.exe

C:\Archivos de programa\QuickTime\qttask.exe

C:\Archivos de programa\Lexmark X1100 Series\lxbkbmon.exe

C:\Archivos de programa\iTunes\iTunesHelper.exe

C:\Archivos de programa\Eset\nod32kui.exe

C:\Archivos de programa\SpywareLocked\SpywareLocked.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Ares\Ares.exe

C:\Archivos de programa\iPod\bin\iPodService.exe

C:\Archivos de programa\Microsoft Encarta\Biblioteca de Consulta Encarta 2005\EDICT.EXE

C:\ARCHIV~1\Yahoo!\MESSEN~1\ymsgr_tray.exe

C:\Archivos de programa\Eset\nod32.exe

C:\Archivos de programa\MSN Messenger\msnmsgr.exe

C:\Archivos de programa\MSN Messenger\usnsvc.exe

C:\hijackthis\HijackThis.exe



R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.t1msn.com.mx/0SEESMX/SAOS01?FORM=TOOLBR

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://e1.rd.yahoo.com/customize/ie/defaults/sp/msgr8/*http://espanol.search.yahoo.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://espanol.yahoo.com

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://espanol.yahoo.com

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://e1.rd.yahoo.com/customize/ie/defaults/su/msgr8/*http://espanol.search.yahoo.com

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://e1.rd.yahoo.com/customize/ie/defaults/sp/msgr8/*http://espanol.search.yahoo.com

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://espanol.yahoo.com

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://e1.rd.yahoo.com/customize/ie/defaults/su/msgr8/*http://espanol.search.yahoo.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

R3 - URLSearchHook: (no name) - {00A6FAF6-072E-44cf-8957-5838F569A31D} - C:\Archivos de programa\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.DLL

R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: MyWebSearch Search Assistant BHO - {00A6FAF1-072E-44cf-8957-5838F569A31D} - C:\Archivos de programa\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.DLL

O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: mwsBar BHO - {07B18EA1-A523-4961-B6BB-170DE4475CCA} - C:\Archivos de programa\MyWebSearch\bar\1.bin\MWSBAR.DLL

O2 - BHO: ShprRprts - {2A8A997F-BB9F-48F6-AA2B-2762D50F9289} - C:\Archivos de programa\ShopperReports\Bin\2.0.20\ShprRprt.dll (file missing)

O2 - BHO: URLLink - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - (no file)

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: (no name) - {A6ACAE64-F798-4930-AD86-BD3FB32038DB} - C:\Archivos de programa\Video Access ActiveX Object\isadd.dll

O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\Windows Live Toolbar\msntb.dll

O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\Windows Live Toolbar\msntb.dll

O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll

O3 - Toolbar: Protection Bar - {84938242-5C5B-4A55-B6B9-A1507543B418} - C:\Archivos de programa\Video Access ActiveX Object\iesplugin.dll

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [VTTimer] VTTimer.exe

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Archivos de programa\Lexmark X1100 Series\lxbkbmgr.exe"

O4 - HKLM\..\Run: [My Web Search Bar] rundll32 C:\ARCHIV~1\MYWEBS~1\bar\1.bin\MWSBAR.DLL,S

O4 - HKLM\..\Run: [MyWebSearch Email Plugin] C:\ARCHIV~1\MYWEBS~1\bar\1.bin\mwsoemon.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [iTunesHelper] "C:\Archivos de programa\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [SpywareLocked] C:\Archivos de programa\SpywareLocked\SpywareLocked.exe /h

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [Yahoo! Pager] "C:\ARCHIV~1\Yahoo!\MESSEN~1\YAHOOM~1.EXE" -quiet

O4 - HKCU\..\Run: [MyWebSearch Email Plugin] C:\ARCHIV~1\MYWEBS~1\bar\1.bin\mwsoemon.exe

O4 - HKCU\..\Run: [ares] "C:\Archivos de programa\Ares\Ares.exe" -h

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O8 - Extra context menu item: &Search - http://edits.mywebsearch.com/toolbaredits/menusearch.jhtml?p=ZNxmk570YYMX

O8 - Extra context menu item: &Windows Live Search - res://C:\Archivos de programa\Windows Live Toolbar\msntb.dll/search.htm

O8 - Extra context menu item: Abrir en nueva ficha de fondo - res://C:\Archivos de programa\Windows Live Toolbar\Components\es-mx\msntabres.dll.mui/229?925b64bf06a5452daec0e6d8909f80ef

O8 - Extra context menu item: Abrir en nueva ficha en primer plano - res://C:\Archivos de programa\Windows Live Toolbar\Components\es-mx\msntabres.dll.mui/230?925b64bf06a5452daec0e6d8909f80ef

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\ARCHIV~1\Yahoo!\Common\yhexbmese1.dll

O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\ARCHIV~1\Yahoo!\Common\yhexbmese1.dll

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Investigador - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Researcher\EROPROJ.DLL

O9 - Extra button: ShopperReports - Compare product prices - {946B3E9E-E21A-49c8-9F63-900533FAFE14} - C:\Archivos de programa\ShopperReports\Bin\2.0.20\ShprRprt.dll (file missing)

O9 - Extra button: ShopperReports - Compare travel rates - {946B3E9E-E21A-49c8-9F63-900533FAFE15} - C:\Archivos de programa\ShopperReports\Bin\2.0.20\ShprRprt.dll (file missing)

O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.exe.imgfarm.com/images/nocache/funwebproducts/ei/SmileyCentralFWBInitialSetup1.0.0.15.cab

O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Archivos de programa\Yahoo!\Common\yinsthelper.dll

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: iPod Service - Apple Computer, Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe

O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe

[msc hotline sat]

Pues sí que estas mal !

Se cierra este Tema, y lo primero será que descargues el actual ELISTARA y lo pruebes:


ELISTARA:
http://www.zonavirus.com/descargas/elistara.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso


y el indicado informe junto con otro log de una nueva ejecucion del HJT, lo posteas en el siguiente apartado:

viewforum.php?f=13

abriendo un nuevo Tema al respecto con titulo:

"Infectado por PUPER, posteo de log de Infosat y HJT"

y seguiremos ayudandole

saludos

ms, 31-03-2007