troyano Puper

[kaotiko]

Pues eso, antes de nada decir que puse activada la desactivacion de restaurar sistema de mi pc y pase el antivirus online que aconseja este foro. Luego reinicie en modo a prueba de fallos y pase el SpyBot y Elistara. Al reiniciar Elistara dice que detecta troyano Puper y unas muestras que pide que envie (que ya hice), así que vuelvo a pasar elistara normal y no me detecta nada.

Mi pregunta es, como me cargo este tal Puper. Otra cosa que noto, quiza sea por otras causas, es que ya no descarga a la misma velocidad que antes, si abre las paginas y demas a igual velocidad, pero descargas no, no lo entiendo, y tampoco se si estaria realcionado con algun tipo de infeccion o por este troyano.



Gracias y perdonar las molestias

[msc hotline sat]

El PUPER es un conocido downloader del que hay multitud de variantes y cada día aparecen de nuevas, que vamos controlando a medida qie nos envian las correspondientes muestras



El martes 12 (mañana es fiesta nacional en Catalunya) implementaremos el control y eliminaicon de sus muestras en la proxima version del ELISTARA que se subirá a esta web por la tarde, cuando hayamos compilado el trabajo de todo el día al respecto.



A las 19 horas esperamos que estará listo y subido a esta web, descarguelo entonces, pruebelo y nos comenta el resultado posteandonos el contenido de C:\infosat.txt , gracias



saludos



ms, 10-9-2006

[kaotiko]

Ok, muchas gracias os mantendré informados al respecto para entonces.

[msc hotline sat]

Recuerda que tienes que probar la version 12.32

ELISTARA:
http://www.zonavirus.com/descargas/elistara.asp

Tras lanzarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso


saludos

ms, 10-9-2006

[kaotiko]

Wed Sep 13 23:27:02 2006

EliStartPage v12.31 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[HKLM\...\Run]

Por favor, envienos una muestra del fichero

C:\WINDOWS\TEMP\ATXF2.EXE

a "virus@satinfo.es". Gracias.

[WinLogon\Notify\CFGMNGR32]

Por favor, envienos una muestra del fichero

C:\WinLogon\HK.DLL

a "virus@satinfo.es". Gracias.

Por favor, envienos una muestra del fichero

C:\Muestras\HK.DLL.Muestra EliStartPage v12.31

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\HK.DLL --> Acceso Denegado.

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

No detectado Parche MS06-040 de Microsoft instalado. (SServidor)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Este es el resultado de elistara despues de pasar un antivirus online, spybot y elistara, estos dos ultimos en modo a prueba de fallos

[msc hotline sat]

Pues envianos las muestras que se te piden !!!

Todas las muestras que pedimos al respecto, nos las puede enviar a zonavirus@satinfo.es anexadas a un mail en cuyo texto indique como referencia "REF <nick que usa en el foro>" y asi podremos informarle si hay alguna incidencia sobre el particular, gracias.


Tras recibirlas, las analizaremos e implementaremos su control y eliminación, si procede, en nuestras utilidades, de lo cual informaremos en el foro, como siempre.


saludos

ms, 14-9-2006

[msc hotline sat]

Tpdas las muestras de los fichjeros pedidos han resultado ser bariantes del PUPER que pasan a ser controladas por la nueva version 12.45 del ELISTARA de hoy



Pero este DMFPD.EXE no estaba en la relacion ???



Nos lo envia por algo ???



saludos



ms, 2-10-2006



nota: pendiente para respuesta en 21006

[kaotiko]

Bueno, vamos por partes XD



Esta version la envio porque elistara lo decia y estaba en la carpeta muestras, quiza es una infeccion que no tenia nada que ver con PUPER.



Al asunto.



Pase Elistara 12.43 y me detecto 5 infecciones de las cuales elimino 3 y una al reiniciar pero siempre habia una que se escapaba, y siempre sale el mensaje de PUPER encontrado y se procedera a eliminar en el siguiente reinicio, siempre igual, nunca lo elimina. Tenia (y aun puede haber) bastantes infecciones y otros downloaders como un tal AX o algo asi que ya envie, pero me descargue un programa llamado superAntiSpyware y me he eliminado gran parte de ellos, ya no me salen multitud de mensajes, ni popups y cosas similares, pero PUPER sigue ahi.



Los problemas que tengo son que al acceder a la pagina, al apartado este del foro, se me cierran todas las ventanas de mozilla o explorer que tenga abiertas, aunque no tengan nada que ver. O si busco en google hijackthis tambien se cierra, es increible. Esto no lo entiendo, aparte de que la conexion va lentisima siempre.



Bueno, basicamente es esto, me descargare la nueva version de elistara y hijackthis si puede, desde otro pc o ubuntu a ver que me dice, pero no se cual sera el problema. No se si me dejo algo.



Que significa pendiente para respuesta 21006?





saludos y gracias

[msc hotline sat]

Pues gracias, pero es que no hemos visto nada de él en el infosat.txt ni entendemos que estuviera en c:\muestras ???

Lo de pendiente para respuesta... es interno nuestro para localizar los temas a informar cuando hubiera nueva version. pero hay problema de descarga de la ultima version del ELISTARA hasta que ADMIN lo arregle...

http://www.zonavirus.com/descargas/elistara.asp

si el fichero del PUPER resistente estaba entre las muestras enviadas, pruebe la nueva version e infornenos, gracias

saludos

ms,. 3-10-2006

[kaotiko]

ya he pasado la nueva version en a prueba de fallos y normal. SIgue detectandolo y sin poder eliminarlo. El resultado es el siguiente:

Tue Oct 03 21:27:17 2006

EliStartPage v12.46 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[HKLM\...\Run]

Por favor, envienos una muestra del fichero

C:\WINDOWS\TEMP\ATXF3.EXE

a "virus@satinfo.es". Gracias.

Key Eliminada [WinLogon\Notify\CFGMNGR32] -> C:\WINDOWS\SYSTEM32\HK.DLL

C:\WINDOWS\SYSTEM32\HK.DLL --> DownLoader.AXG (notify) Acceso Denegado.

C:\WINDOWS\SYSTEM32\HK.DLL --> DownLoader.AXG (notify) Acceso Denegado.

Se ha detectado que el Servidor DNS no es el de su ISP.

IPs: 85.255.115.42,85.255.112.114

Linea Eliminada del HOSTS --> 127.0.0.1 avp.com

Linea Eliminada del HOSTS --> 127.0.0.1 ca.com

Linea Eliminada del HOSTS --> 127.0.0.1 f-secure.com

Linea Eliminada del HOSTS --> 127.0.0.1 housecall.trendmicro.com

Linea Eliminada del HOSTS --> 127.0.0.1 kaspersky.com

Linea Eliminada del HOSTS --> 127.0.0.1 mcafee.com

Linea Eliminada del HOSTS --> 127.0.0.1 my-etrust.com

Linea Eliminada del HOSTS --> 127.0.0.1 nai.com

Linea Eliminada del HOSTS --> 127.0.0.1 networkassociates.com

Linea Eliminada del HOSTS --> 127.0.0.1 secure.nai.com

Linea Eliminada del HOSTS --> 127.0.0.1 securityresponse.symantec.com

Linea Eliminada del HOSTS --> 127.0.0.1 sophos.com

Linea Eliminada del HOSTS --> 127.0.0.1 symantec.com

Linea Eliminada del HOSTS --> 127.0.0.1 trendmicro.com

Linea Eliminada del HOSTS --> 127.0.0.1 us.mcafee.com

Linea Eliminada del HOSTS --> 127.0.0.1 v4.windowsupdate.microsoft.com

Linea Eliminada del HOSTS --> 127.0.0.1 v5.windowsupdate.microsoft.com

Linea Eliminada del HOSTS --> 127.0.0.1



v5windowsupdate.microsoft.nsatc.net

Linea Eliminada del HOSTS --> 127.0.0.1 viruslist.com

Linea Eliminada del HOSTS --> 127.0.0.1 windowsupdate.com

Linea Eliminada del HOSTS --> 127.0.0.1 windowsupdate.microsoft.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.avp.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.bitdefender.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.ca.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.f-secure.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.kaspersky.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.mcafee.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.my-etrust.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.nai.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.networkassociates.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.pandasoftware.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.ravantivirus.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.sophos.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.symantec.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.trendmicro.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.viruslist.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.windowsupdate.com

Linea Eliminada del HOSTS --> 127.0.0.1 www3.ca.com

Linea Eliminada del HOSTS --> 127.0.0.1 downloads1.kaspersky-labs.com

Linea Eliminada del HOSTS --> 127.0.0.1 downloads2.kaspersky-labs.com

Linea Eliminada del HOSTS --> 127.0.0.1 downloads3.kaspersky-labs.com

Linea Eliminada del HOSTS --> 127.0.0.1 downloads4.kaspersky-labs.com

Linea Eliminada del HOSTS --> 127.0.0.1



downloads-us1.kaspersky-labs.com

Linea Eliminada del HOSTS --> 127.0.0.1



downloads-eu1.kaspersky-labs.com

Linea Eliminada del HOSTS --> 127.0.0.1 kaspersky-labs.com

Linea Eliminada del HOSTS --> 127.0.0.1 mast.mcafee.com

Linea Eliminada del HOSTS --> 127.0.0.1 dispatch.mcafee.com

Linea Eliminada del HOSTS --> 127.0.0.1 update.symantec.com

Linea Eliminada del HOSTS --> 127.0.0.1 liveupdate.symantec.com

Linea Eliminada del HOSTS --> 127.0.0.1 customer.symantec.com

Linea Eliminada del HOSTS --> 127.0.0.1 rads.mcafee.com

Linea Eliminada del HOSTS --> 127.0.0.1



liveupdate.symantecliveupdate.com

Linea Eliminada del HOSTS --> 127.0.0.1 download.mcafee.com

Linea Eliminada del HOSTS --> 127.0.0.1 updates.symantec.com

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

No detectado Parche MS06-040 de Microsoft instalado. (SServidor)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Os pego tambien lo eliminado de HOSTS. El atxf3.exe ya lo he enviado. Tambien hay un atxf2 y 1 . exe pero no se que son.

Se han solucionado parte de los problemas, aunque aun persiste lo de entrar en la pagina o ejecutar mediaplayer. Aparte de la lentitud.



Siento ser tan pesado XD. Gracias y saludos

[msc hotline sat]

Del PUPER ya no tienes rastros

Este ATXF3.EXE lo pasamos a controlat con la 12.47 de hoy





Pero de este otro necesitamos muestra tambien:



C:\WINDOWS\SYSTEM32\HK.DLL -->



es un DownLoader.AXG (notify) que conocemos, pero puede tratarse de una variante que no esté contemolada



Con dicha muestra procederemos a controlarla



saludos



ms, 4-10-2006









ES41006

[msc hotline sat]

Hemos desarrollado nueva DLL ELINOTIF para control del HK.DLL, por lo que le pedimos que descargue esta ELINOTIF.DLL y el nuevo ELISTARA.EXE en una misma carpeta, y desde alli ejecute el ELISTARA que instalará dicha DLL en el registro para que se ejecute en el siguiente reinicio, lo cual permitirá eliminar la HK.DLL antes de que entre en proceso y asi eliminar el virus que queda

ELISTARA:
http://www.zonavirus.com/descargas/elistara.asp

ELINOTIF.DLL
http://www.zonavirus.com/descargas/elinotif.asp

Tras ello, reinicie normalmente y posteenos el contenido de C:\infosat.txt para comprobar el resultado del proceso.

Y con ello esperamos gaber acabado con toidos sus virus, de momento

saludos

ms, 4-10-2006

[kaotiko]

Bien, elistara ya no detecta nada, ni puper ni pide que envie muestras, no borra ninguna infeccion porque no encuentra nada. Aunque sigo con el problema de no poder acceder a este espacio del foro ni poder ejecutar hijackthis todo ello con la lentitud de internet. Pero el problema puper solucionado.



Para comentar los otros errores mejor abrir otro hilo para que este todo mas ordenado y asunto puper cerrado?



muchas gracias y saludos

[msc hotline sat]

No todo se acaba con el ELISTARA...

Posteanos el log del HJT:


HJT : (HiJackThis)

¿Como utilizar el Hijackthis ?
Lo primero que debemos hacer es descargarlo en nuestro ordenador y lócalo en una carpeta propia C:\HijackThis\
Ejecútalo y presiona el botón "Do a system scan and save a logfile"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedira el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está.
Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta de este Tema
· Descargar Hijackthis

Tras analizarlo, infornaremos

saludos

ms, 10-10-2006