que es el popuper.exe ? (solucionado)

[matiasmanson]

Hola hace un tiempo que se me abren muchas ventanas del explorer con propagandas y cosas que dicen que mi pc esta infectada y hasta se me corta la conexion despues de varias horas conectado, y cuando apago , me dice algo de que el archivo popuper.dll tiene un error y pongo aceptar y nada. Que es lo que tendria que hacer, ya corri los programas de elistara, hjt , adaware y no logra quitarlo. si tienen alguna otra cosa que tengo que hacer, Gracias y hasta luego.



MATIASMANSON

[maura63]

Bajar :

http://www.zonavirus.com/descargas/trendmicro-hijackthis.asp



Descarga el programa HijackThis 1.99.1 y colócalo en una carpeta propia C:\HijackThis\. Ejecútalo y presiona el botón "Do a system scan and save a logfile"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedira el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está. Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta a este tema.



Comprueba si tienes y elimina



C:\WINDOWS\System32\intmonp.exe

C:\WINDOWS\popuper.exe



O16 - DPF: {14A3221B-1678-1982-A355-7263B1281987} - ms-its:mhtml:file://C:tsk.mht!http://69.50.171.149/webace/s1//q.chm::/file.exe









Saludos

maura63

[msc hotline sat]

De entrada cuidado con el POPUPER.EXE:




[quote]
popuper.exe - Dangerous



--------------------------------------------------------------------------------



popuper.exe

Popuper.exe is Trojan/Backdoor
[/quote]

A la vista del log del HJT le indicaremos las claves y ficheros a eliminar



Puede tener relacion con el SMITFRAUD.C: https://foros.zonavirus.com/viewtopic.php?t=6632&highlight=smitfraud



saludos



ms, 11-05-2005

[matiasmanson]

Logfile of HijackThis v1.99.0

Scan saved at 11:41:54 a.m., on 11/05/2005

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\LEXBCES.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\LEXPPS.EXE

C:\WINDOWS\popuper.exe

C:\WINDOWS\System32\msole32.exe

C:\WINDOWS\System32\shnlog.exe

C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe

C:\Archivos de programa\Trend Micro\PC-cillin 2002\Tmntsrv.exe

C:\WINDOWS\System32\intmonp.exe

C:\Archivos de programa\Trend Micro\PC-cillin 2002\PCCPFW.exe

c:\archiv~1\intern~1\iexplore.exe

C:\WINDOWS\System32\intmon.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Archivos de programa\Opera7\Opera.exe

C:\Archivos de programa\BitTornado\btdownloadgui.exe

C:\Archivos de programa\BitTornado\btdownloadgui.exe

C:\Documents and Settings\Matias Manson\Escritorio\Hijachthis\HijackThis.exe



R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.quicknavigate.com/search.php?qq=%1

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.quicknavigate.com/bar.html

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.quicknavigate.com/search.php?qq=%1

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.quicknavigate.com/search.php?qq=%1

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.quicknavigate.com/search.php?qq=%1

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.quicknavigate.com/search.php?qq=%1

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.quicknavigate.com/

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

F2 - REG:system.ini: Shell=explorer.exe, msmsgs.exe

O2 - BHO: VMHomepage Class - {FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFF} - C:\WINDOWS\System32\hp3E31.tmp

O4 - HKCU\..\Run: [MULTIBODY] C:\DOCUME~1\MATIAS~1\DATOSD~1\GREATB~1\rdrgramonce.exe

O15 - Trusted IP range: (HKLM)

O17 - HKLM\System\CCS\Services\Tcpip\..\{398EFD69-43CC-442D-A371-115D54C132AF}: NameServer = 200.51.212.7 200.51.211.7

O17 - HKLM\System\CS1\Services\Tcpip\..\{398EFD69-43CC-442D-A371-115D54C132AF}: NameServer = 200.51.212.7 200.51.211.7

O23 - Service: Servicio del administrador de discos lógicos - Unknown - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: Registro de sucesos - Unknown - C:\WINDOWS\system32\services.exe

O23 - Service: Servicio COM de grabación de CD de IMAPI - Unknown - C:\WINDOWS\System32\imapi.exe

O23 - Service: LexBce Server - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE

O23 - Service: Escritorio remoto compartido de NetMeeting - Unknown - C:\WINDOWS\System32\mnmsrvc.exe

O23 - Service: DDE de red - Unknown - C:\WINDOWS\system32\netdde.exe

O23 - Service: DSDM de DDE de red - Unknown - C:\WINDOWS\system32\netdde.exe

O23 - Service: Panda Process Protection Service - Unknown - C:\Archivos de programa\Archivos comunes\Panda Software\PavShld\pavprsrv.exe (file missing)

O23 - Service: PC-cillin PersonalFirewall - Trend Micro Inc. - C:\Archivos de programa\Trend Micro\PC-cillin 2002\PCCPFW.exe

O23 - Service: Plug and Play - Unknown - C:\WINDOWS\system32\services.exe

O23 - Service: Administrador de sesión de Ayuda de escritorio remoto - Unknown - C:\WINDOWS\system32\sessmgr.exe

O23 - Service: Security Agent - Unknown - C:\WINDOWS\system32\scagent.exe (file missing)

O23 - Service: Sistema de ayuda de tarjeta inteligente - Unknown - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: Tarjeta inteligente - Unknown - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: SoundMAX Agent Service - Analog Devices, Inc. - C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe

O23 - Service: Registros y alertas de rendimiento - Unknown - C:\WINDOWS\system32\smlogsvc.exe

O23 - Service: Trend NT Realtime Service - Trend Micro Inc. - C:\Archivos de programa\Trend Micro\PC-cillin 2002\Tmntsrv.exe

O23 - Service: Instantáneas de volumen - Unknown - C:\WINDOWS\System32\vssvc.exe

O23 - Service: VNC Server Version 4 - RealVNC Ltd. - C:\Archivos de programa\RealVNC\VNC4\WinVNC4.exe

O23 - Service: Adaptador de rendimiento de WMI - Unknown - C:\WINDOWS\System32\wbem\wmiapsrv.exe

O23 - Service: Workstation NetLogon Service - Unknown - C:\WINDOWS\mfcno.exe (file missing)

[maura63]

Tienes lo que te comente en un principio y alguna cosilla mas



En modo seguro y desactivando restauracion busca en C con el explorador estas entradas y elimina



C:\WINDOWS\popuper.exe -

C:\WINDOWS\System32\msole32.exe -

C:\WINDOWS\System32\shnlog.exe -

C:\WINDOWS\System32\intmonp.exe -

C:\WINDOWS\System32\intmon.exe -



Luego lanza hijacthis , scan, marcas estas y FIX .



R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.quicknavigate.com/search.php?qq=%1 -

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.quicknavigate.com/search.php?qq=%1 -

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.quicknavigate.com/search.php?qq=%1 -

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.quicknavigate.com/search.php?qq=%1 -

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.quicknavigate.com/search.php?qq=%1 - N

F2 - REG:system.ini: Shell=explorer.exe, msmsgs.exe -

O2 - BHO: VMHomepage Class - {FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFF} - C:\WINDOWS\System32\hp3E31.tmp -

O4 - HKCU\..\Run: [MULTIBODY] C:\DOCUME~1\MATIAS~1\DATOSD~1\GREATB~1\rdrgramonce.exe -

O15 - Trusted IP range: (HKLM) -



O23 - Service: Panda Process Protection Service - Unknown - C:\Archivos de programa\Archivos comunes\Panda Software\PavShld\pavprsrv.exe (file missing) -



O23 - Service: Workstation NetLogon Service - Unknown - C:\WINDOWS\mfcno.exe (file missing) -



En modo normal comprueba el resultado





Saludos

maura63

[matiasmanson]

Me quedo asi despues de borrar



Logfile of HijackThis v1.99.1

Scan saved at 12:19:05 p.m., on 11/05/2005

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\LEXBCES.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\LEXPPS.EXE

C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe

C:\Archivos de programa\Trend Micro\PC-cillin 2002\Tmntsrv.exe

C:\Archivos de programa\Trend Micro\PC-cillin 2002\PCCPFW.exe

C:\Archivos de programa\Opera7\Opera.exe

C:\Documents and Settings\Matias Manson\Escritorio\Hijachthis\HijackThis.exe



R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.quicknavigate.com/bar.html

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.quicknavigate.com/

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

F2 - REG:system.ini: Shell=explorer.exe, msmsgs.exe

O2 - BHO: drprivhr - {E8206CF5-132A-FA3E-DC92-749423991F1B} - C:\WINDOWS\System32\drprivhr.dll

O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto

O17 - HKLM\System\CCS\Services\Tcpip\..\{398EFD69-43CC-442D-A371-115D54C132AF}: NameServer = 200.51.212.7 200.51.211.7

O17 - HKLM\System\CS1\Services\Tcpip\..\{398EFD69-43CC-442D-A371-115D54C132AF}: NameServer = 200.51.212.7 200.51.211.7

O23 - Service: VNC Server Version 4 (WinVNC4) - Unknown owner - C:\Archivos de programa\RealVNC\VNC4\WinVNC4.exe" -service (file missing)

[maura63]

Elimina DOS entradas



R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = [color=red]http://www.quicknavigate.com/bar.html [/color]



Y comprueba si se ha resuelto tu problema.



Saludos

maura63

[matiasmanson]

Bueno por ahora te puedo decir que esta solucionado el tema , cualquier cosita te aviso . Muchisimas Gracias Por su ayuda. Saludos !



MatiasManson

[maura63]

Yo optaria por conectar con windows update y actualizar al SP2 + algun que otro parche que ha aparecido.



Damos por solucionado el tema y cerramos.



Saludos

maura63

[msc hotline sat]

NOTA POSTCIERRE:



Pudiendo tener alguna relacion con el SMITFRAUD.C:



Al haber potenciado el ELISTARA.EXE desde la v 7.4 de forma que controle, detenga los procesos al respecto, detecte y elimine los ficheros generados por él, y restaure las claves modificadas por el bicho, añadimos esta informacion para su apptovechamiento en el futuro:



[b]información:[/b]

https://foros.zonavirus.com/viewtopic.php?t=6803&highlight=smitfraud



[b]descarga:[/b]

http://www.zonavirus.com/descargas/elistara.asp



saludos



ms, 18-05-2005