¿"puper.dll"?; Ayuda, por favor... (SOLUCIONADO)

bobby · Mensaje por **bobby** » 26 Ago 2006, 04:45

Hola,

No sé si alguien me podrá ayudar, pero ahi vá mi problemilla:

Tengo instalado en mi pc el "Internet Security Suite 2006" de McAfee ( que por cierto, funciona de maravilla), y hace más o menos unos dos meses se me coló un pequeño troyano en mi pc, de forma que cada vez que enciendo o reinicio mi pc desde entonces, me aparece una ventana de aviso del ViruScan de McAfee diciendo que ha detectado un troyano y lo ha eliminado.Este troyano es reconocido con el nombre de "puper.dll" y siempre me indica ViruScan que esta en una carpeta de "system32" de nombre: "ld.XXXX.tmp", siendo las X o bien números distintos cada vez ó bien la letra B en la primera o segunda posición de X y el resto números.

He estado navegando y buscando por la red información de este troyano y como eliminarlo, pero todo lo que he encontrado referente a "puper.dll" hace referencia a que se encuentra en archivos tipo " hd.XXXX.tmp y que los sintomas son : que reconfigura la pagina principal del navegador, que crea vínculos con algunas páginas de internet y otras cosillas, pero a mí no me sucede nada de esto de momento , lo único es que tengo este molesto amiguito viviendo dentro de mi pc y me gustaría eliminarlo de una vez si fuera posible.

He probado deshabilitando la restauración del sitema de mi pc (mi sistema operativo es XP) , reiniciando en modo seguro y lanzando el ViruScan, pero no me detecta nada; sin embargo como siempre me dice ViruScan que está en una carpeta del tipo "ld.XXXX.tmp", a continuación realizo una busqueda de todos los archivos de este tipo que tenga en el pc (solo me aparece uno, en "system32", por supuesto) y lo lanzo a la papelera de reciclaje, cierro el explorador de windows, vacio la papelera y reinicio de forma normal, pero en maldito bicho, vuelve a aparecer una y otra vez o eso es por lo menos lo que me dice ViruScan. Me intentado poner en contacto con los de McAfee, pero no sé si es que están de vacaciones o simplemente pasan de mi así que si alguien pudiera y quisiera ayudarme, pues bienvenido sea. Muchas gracias por adelantado si así es y sino tambien por atenderme y aguantar esta parrafada que he escrito.

Saludos.

Mensaje por **msc hotline sat** » 26 Ago 2006, 08:24

No, los de McAfee no pasan de Vd, de lo que pasan un poco es de los troyanos, al no ser virus.

Por ello, en SATINFO, donde trabajo, hacemos utilidades complementarias, a las que en este foro se tiene acceso para evaluacion:

Descargue estas dos utilidades, ELISTARA.EXE y ELINOTIF.DLL en una misma carpeta, y luego lance el ELISTARA y tras reiniciar nos portea el contenido del C:\infosat.txt que se le habrá creado, para ver el resultado del proceso y si este ha sido suficiernte o se le pide que nos envie muestras para implementar su control y eliminacion en la proxima version-

Piense que hay muchas variantes de PUPER, todos ellos downloaders, y cada día mas...

ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp

ELINOTIF.DLL

http://www.zonavirus.com/descargas/elinotif.asp

saludos

ms, 26-8-2006

bobby · Mensaje por **bobby** » 26 Ago 2006, 11:32

Lo primero y como dije en mi mensaje anterior, muchas gracias por perder un poco de tiempo con mi problemilla...

He seguido las anteriores instrucciones y al reiniciar mi pc esta vez ViruScan no ha echo nada, no sé si porque se ha eliminado el "puper.dll" o porque esta vez no lo ha detectado; al lanzar el ELISTARA , he detectado que se habian añadido sitios de confianza en el explorer, los cuales he eliminado como me decía el ELISTARA.

Ha continuación mando el informe creado en mi pc:

Sat Aug 26 11:04:08 2006

EliStartPage v12.24 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\NCOMPAT.TLB --> Eliminado

Por favor, envienos una muestra del fichero

C:\Muestras\DFRGSRV.EXE.Muestra EliStartPage v12.24

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\DFRGSRV.EXE --> Eliminado

C:\WINDOWS\SYSTEM32\OT.ICO --> Eliminado (Fichero Complementario).

C:\WINDOWS\SYSTEM32\ts.ico --> Eliminado (Fichero Complementario).

Eliminada Class, "{21FFB6C0-0DA1-11D5-A9D5-00500413153C}" -> NULL1

Eliminada Carpeta "%WinSys%\1024"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Sat Aug 26 11:09:38 2006

EliStartPage v12.24 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\Documents and Settings\Alberto\Mis documentos\XP-ANTISPY_SETUP-SPANISH.EXE --> AutoExtraible

C:\Documents and Settings\Alberto\Mis documentos\crackeando una WEP\NETSTUMBLERINSTALLER_0_4_0.EXE --> AutoExtraible

C:\Documents and Settings\Alberto\Escritorio\software varios\6-5_XP-2K_DD_32464.EXE --> AutoExtraible

C:\Documents and Settings\Alberto\Escritorio\software varios\LAPIZ MEMORIA\crackeo de red WEP\NETSTUMBLERINSTALLER_0_4_0.EXE --> AutoExtraible

C:\Archivos de programa\Microsoft IntelliType Pro\SQWIZ.EXE --> Eliminado, 180Solutions

C:\Archivos de programa\Microsoft IntelliPoint\SQWIZ.EXE --> Eliminado, 180Solutions

C:\Archivos de programa\Nero\Nero 7\Nero Vision\NVDV.DLL --> Eliminado, Hotbar

C:\System Volume Information\_restore{8BEAEAA9-5A7B-4B18-92F3-EDFA0E19C33A}\RP1\A0000040.EXE --> Eliminado, 180Solutions

C:\System Volume Information\_restore{8BEAEAA9-5A7B-4B18-92F3-EDFA0E19C33A}\RP1\A0000041.EXE --> Eliminado, 180Solutions

C:\System Volume Information\_restore{8BEAEAA9-5A7B-4B18-92F3-EDFA0E19C33A}\RP1\A0000042.DLL --> Eliminado, Hotbar

Sat Aug 26 11:13:04 2006

EliStartPage v12.24 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\Documents and Settings\Alberto\Mis documentos\XP-ANTISPY_SETUP-SPANISH.EXE --> AutoExtraible

C:\Documents and Settings\Alberto\Mis documentos\crackeando una WEP\NETSTUMBLERINSTALLER_0_4_0.EXE --> AutoExtraible

C:\Documents and Settings\Alberto\Escritorio\software varios\6-5_XP-2K_DD_32464.EXE --> AutoExtraible

C:\Documents and Settings\Alberto\Escritorio\software varios\LAPIZ MEMORIA\crackeo de red WEP\NETSTUMBLERINSTALLER_0_4_0.EXE --> AutoExtraible

Mensaje por **msc hotline sat** » 26 Ago 2006, 11:49

Pues ha eliminado varios, pero hay unio que hemos movido a cuarentena pero que necesitamos muestra de este fichero para implementar su control y eliminacion en nuestra proxima version de ELISTARA, que será sobre el miercoles o jueves de la proxima semana porque en SATINFO estamos de vacaciones..., y empezamos el lunes a media plantilla, hasta terminarlas todos:

·"Por favor, envienos una muestra del fichero

C:\Muestras\DFRGSRV.EXE.Muestra EliStartPage v12.24

a "virus@satinfo.es". Gracias. "

Pero tras reiniciar ya no tendrá el bicho en memoria ! Solo quedará por limpiar restos

Todas las muestras que pedimos al respecto, nos las puede enviar a zonavirus@satinfo.es anexadas a un mail en cuyo texto indique como referencia "REF %NICK FORERO%" y asi podremos informarle si hay alguna incidencia sobre el particular, gracias.

saludos

ms, 26-8-2006

bobby · Mensaje por **bobby** » 26 Ago 2006, 14:02

Gracias de nuevo por todo, es verdad, he probado a apagar y encender mi pc de nuevo y ese maldito troyano ya no está.

El archivo de muestra ya lo he enviado esta mañana después de enviaros el informe del ELISTARA, no obstante, he vuelto a mandar la carpeta a la dirección "zonavirus@satinfo.es ".

Espero que les pueda servir de ayuda.

Estaré pendiente de sus noticias, gracias.

Saludos.

Mensaje por **msc hotline sat** » 26 Ago 2006, 18:54

Pues el miercoles o jueves, cuando hayamos podido procesar la muestra (tendremos cientos)

con la version 12.25 o 12.26 del ELISTARA eliminaremos los restos,

Ya informaremos en el foro.

Pero de momento puede trabajar normalmente porque está en cuarentena... :lol:

saludos

ms, 26-8-2006

Mensaje por **msc hotline sat** » 29 Ago 2006, 18:41

Hemos recibido fichero DFRGSRV.EXE que mañana procesarenis

De entrada indicarle que detectamos en él una variante del ZLOB:

Con el ELISTARA 12.25 o 12.26, en funcion de las dificultades de los que estamos procesando actualmente, mañana o pasado el ELISTYARA ki controlara, de lo cual se informara en el foro, como siempre

saludos

ms, 29-8-2006

Mensaje por **msc hotline sat** » 29 Ago 2006, 18:53

Algunos antivirus ya lo detectan como tal, como puede verse con el analisis en VIRUSTOTAL:

[quote="VirusTotal de HISPASEC"]
VirusTotal es un servicio gratuito de análisis de archivos mediante multiples motores antivirus.

ESTADO: FINALIZADOEste es el resultado completo de analizar el archivo "DFRGSRV.EXE.Muestra_EliStartPage_" que VirusTotal ha recibido el día 29.08.2006 a las 18:34:11 (CET).

Antivirus Version Actualización Resultado

AntiVir 6.35.1.3 29.08.2006 TR/Dldr.Zlob.KP

Authentium 4.93.8 29.08.2006 no ha encontrado virus

Avast 4.7.844.0 28.08.2006 Win32:Trojan-gen. {Other}

AVG 386 29.08.2006 no ha encontrado virus

BitDefender 7.2 29.08.2006 Trojan.Downloader.Zlob.LZ

CAT-QuickHeal 8.00 29.08.2006 TrojanDownloader.Zlob.lz

ClamAV devel-20060426 29.08.2006 no ha encontrado virus

DrWeb 4.33 29.08.2006 Trojan.Popuper

eTrust-InoculateIT 23.72.109 29.08.2006 no ha encontrado virus

eTrust-Vet 30.3.3047 29.08.2006 Win32/Beovens!generic

Ewido 4.0 25.08.2006 no ha encontrado virus

Fortinet 2.77.0.0 29.08.2006 W32/Zlob.ML!tr.dldr

F-Prot 3.16f 25.08.2006 no ha encontrado virus

F-Prot4 4.2.1.29 26.08.2006 no ha encontrado virus

Ikarus 0.2.65.0 29.08.2006 Trojan-Downloader.Win32.Zlob.lz

Kaspersky 4.0.2.24 29.08.2006 Trojan-Downloader.Win32.Zlob.lz

McAfee 4840 29.08.2006 no ha encontrado virus

Microsoft 1.1560 29.08.2006 TrojanDownloader:Win32/Zlob!661A

NOD32v2 1.1729 28.08.2006 a variant of Win32/TrojanDownloader.Zlob

Norman 5.90.23 29.08.2006 W32/Suspicious_U.gen

Panda 9.0.0.4 29.08.2006 Suspicious file

Sophos 4.08.0 29.08.2006 Troj/Zlob-ML

Symantec 8.0 29.08.2006 Trojan.Zlob

TheHacker 5.9.8.201 28.08.2006 no ha encontrado virus

UNA 1.83 29.08.2006 no ha encontrado virus

VBA32 3.11.1 28.08.2006 suspected of MalwareScope.Downloader.Zlob.1 (paranoid heuristics)

VirusBuster 4.3.7:9 29.08.2006 no ha encontrado virus

[/quote]

Ya se puede ver que es un troyano downloader, como todos los de la familia del PUPER ...

saludos

ms, 29-9-2006

Mensaje por **msc hotline sat** » 30 Ago 2006, 17:39

Ya disponible nueva version de ELISTARA 12.25 para control y eliminacion de malware segun muestra enviada

---v12.25-(30 de Agosto del 2006) (Muestras de (4)Puper "DFRGSRV.EXE, ISHOST.EXE, ISMON.EXE y IXT*.DLL", Proxy-Raser "STONEDRV.EXE", (2)ZangoSA "ZANGO.EXE y ZANGOHOOK.DLL", Hotbar "HBTHOSTIE.DLL", (3)PWS-JA "IBM00***.EXE y DLL", Vundo(notify) y (2)BackDoor-CVT "WIN***32.DLL")

Ya puede probarla y comentarnos el resultado, gracias

saludos

ms, 30-8-2006

bobby · Mensaje por **bobby** » 31 Ago 2006, 22:42

Gracias por vuestra continua información e interés.

He descargado de ElistarA 12.25 y he hecho lo mismo que me dijisteis el primer día: He creado una carpeta con la aplicación de el ElistarA 12.5 y el Elinotif.dll descargado del otro día y he lanzado el ElistarA 12.25; ponía en la ventana del ElistaA que ha detectado 3 virus y los ha eliminado, no sé si habrá acabado ya con este troyano así que os vuelvo a mandar el informe que se ha creado en mi pc esperando noticias vuestras:

Sat Aug 26 11:04:08 2006

EliStartPage v12.24 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\NCOMPAT.TLB --> Eliminado

Por favor, envienos una muestra del fichero

C:\Muestras\DFRGSRV.EXE.Muestra EliStartPage v12.24

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\DFRGSRV.EXE --> Eliminado

C:\WINDOWS\SYSTEM32\OT.ICO --> Eliminado (Fichero Complementario).

C:\WINDOWS\SYSTEM32\ts.ico --> Eliminado (Fichero Complementario).

Eliminada Class, "{21FFB6C0-0DA1-11D5-A9D5-00500413153C}" -> NULL1

Eliminada Carpeta "%WinSys%\1024"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Sat Aug 26 11:09:38 2006

EliStartPage v12.24 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\Documents and Settings\Alberto\Mis documentos\XP-ANTISPY_SETUP-SPANISH.EXE --> AutoExtraible

C:\Documents and Settings\Alberto\Mis documentos\crackeando una WEP\NETSTUMBLERINSTALLER_0_4_0.EXE --> AutoExtraible

C:\Documents and Settings\Alberto\Escritorio\software varios\6-5_XP-2K_DD_32464.EXE --> AutoExtraible

C:\Documents and Settings\Alberto\Escritorio\software varios\LAPIZ MEMORIA\crackeo de red WEP\NETSTUMBLERINSTALLER_0_4_0.EXE --> AutoExtraible

C:\Archivos de programa\Microsoft IntelliType Pro\SQWIZ.EXE --> Eliminado, 180Solutions

C:\Archivos de programa\Microsoft IntelliPoint\SQWIZ.EXE --> Eliminado, 180Solutions

C:\Archivos de programa\Nero\Nero 7\Nero Vision\NVDV.DLL --> Eliminado, Hotbar

C:\System Volume Information\_restore{8BEAEAA9-5A7B-4B18-92F3-EDFA0E19C33A}\RP1\A0000040.EXE --> Eliminado, 180Solutions

C:\System Volume Information\_restore{8BEAEAA9-5A7B-4B18-92F3-EDFA0E19C33A}\RP1\A0000041.EXE --> Eliminado, 180Solutions

C:\System Volume Information\_restore{8BEAEAA9-5A7B-4B18-92F3-EDFA0E19C33A}\RP1\A0000042.DLL --> Eliminado, Hotbar

Sat Aug 26 11:13:04 2006

EliStartPage v12.24 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\Documents and Settings\Alberto\Mis documentos\XP-ANTISPY_SETUP-SPANISH.EXE --> AutoExtraible

C:\Documents and Settings\Alberto\Mis documentos\crackeando una WEP\NETSTUMBLERINSTALLER_0_4_0.EXE --> AutoExtraible

C:\Documents and Settings\Alberto\Escritorio\software varios\6-5_XP-2K_DD_32464.EXE --> AutoExtraible

C:\Documents and Settings\Alberto\Escritorio\software varios\LAPIZ MEMORIA\crackeo de red WEP\NETSTUMBLERINSTALLER_0_4_0.EXE --> AutoExtraible

Thu Aug 31 22:19:21 2006

EliStartPage v12.25 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Thu Aug 31 22:22:25 2006

EliStartPage v12.25 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\Documents and Settings\Alberto\Mis documentos\XP-ANTISPY_SETUP-SPANISH.EXE --> AutoExtraible

C:\Documents and Settings\Alberto\Mis documentos\crackeando una WEP\NETSTUMBLERINSTALLER_0_4_0.EXE --> AutoExtraible

C:\Documents and Settings\Alberto\Mis documentos\CRACK para actualizacion Windows Genuine Advantage Validation KB905474\KB905474_1.5.540.0.EXE --> Eliminado, Bifrose (dropper)

C:\Documents and Settings\Alberto\Escritorio\software varios\6-5_XP-2K_DD_32464.EXE --> AutoExtraible

C:\Documents and Settings\Alberto\Escritorio\software varios\LAPIZ MEMORIA\crackeo de red WEP\NETSTUMBLERINSTALLER_0_4_0.EXE --> AutoExtraible

C:\System Volume Information\_restore{8BEAEAA9-5A7B-4B18-92F3-EDFA0E19C33A}\RP1\A0000037.EXE --> Eliminado, Puper (dldr)

C:\Muestras\DFRGSRV.EXE.MUESTRA ELISTARTPAGE V12.24 --> Eliminado, Puper (dldr)

Mensaje por **msc hotline sat** » 01 Sep 2006, 07:05

Pues felicidades, no solo ha eliminado los dos ficheros PUPER que tenia ( el de la carpeta de muestra y el del restore), sino la madre del cordero. un supuesto crack para validacion del windows que contenia el BIfrose, un downloader que descargaba troyanos...

Pues lo celebramos, y dando el Tema por solucionado, procedemos a cerrarlo.

Si nos necesita de nuevo, ya sabe donde estamos :lol:

saludos

ms, 1-9-2006