Problema con CCPWD.DLL, elistara no lo elimina

[Gouki1]

Hola, hace un momento inserté una USB que estaba infectada con el virus ZAYLE, así que recurrí al Elistara para eliminarlo, sin embargo al explorar el disco duro, me apareció un aviso de que no había podido eliminar el fichero infectado, que se haría al reiniciar la limpieza... Aquí dejo el fichero INFOSAT.TXT generado:



Tue Jul 17 00:58:25 2007

EliStartPage v14.43 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\

D:\Archivos de programa\Archivos comunes\Symantec Shared\CCPWD.DLL --> Acceso Denegado, Hotbar

D:\Archivos de programa\Gamers Tower\3D Wonder\_3DWONDER_ICONMANAGER.DLL --> Eliminado, DownLoader.AXG (notify)

D:\Archivos de programa\Symantec\LiveUpdate\S32LUWI1.DLL --> Eliminado, Hotbar



Si hay alguna manera de saber si es una amenaza verdadera, por favor, díganmelo, porque por lo que sé es un archivo de Norton Password Manager...

Saludos.

[msc hotline sat]

Hay que ver que es este fichero , CCPWD.DLL , pues inicialmente es de Symantec ...



http://es.internetsecurityzone.com/Entities/ccPwd



Envianoslo para analizar e informaremos:



->[b] Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334



saludos



ms, 17-07-2007

[Gouki1]

Gracias por la pronta respuesta como siempre, tengo una duda, volví a analizar la unidad, y cada vez que me indica que no lo pudo eliminar, le añade la extensión .VIR al archivo, en un principio el archivo se llamaba "CCPWD.DLL", ahora, después de explorar la unidad con el elistara dos veces, el archivo se llama "CCPWD.DLL.VIR.VIR", es éste el archivo (que estaba oculto como archivo protegido del sistema) el que enviaré.

[msc hotline sat]

Se trata de analizarlo nosotros, a ver lo que es, y si es un falso positivo, lo excluiremos, y si es un malware te diremos como eliminarlo.



Es lógico que no se deje eliminar si es un servico que está en uso...



Pero no hagas nada mas que enviarnos dicha muestra y ya te informaremos



saludos



ms, 17-07-2007

[Gouki1]

Gracias por la respuesta, y ya, ya he enviado el fichero en .RAR con la contraseña indicada, sólo me queda esperar respuesta.. Gracias de antemano. :wink:

[msc hotline sat]

Sí, lo analizaremos considerando que puede ser falso positivo de fichero de Symantec , o nuevo malware que utiliza dicho nombre ...



Ya informaremos



saludos



ms, 17-07-2007

[msc hotline sat]

Al entrar en proceso vemos que tambien se ha detectado lo mismo y eliminado el fichero LIVEUPDATE.EXE :



D:\Archivos de programa\Symantec\LiveUpdate\S32LUWI1.DLL --> Eliminado, Hotbar



Posiblemente sea todo ello un falso positivo, tenerlo en cuenta si es el caso para restaurar dicho fichero borrado.



salduos



ms, 17-07-2007

[Gouki1]

:? Pues gracias por todo, y sí, al parecer si es un falso positivo, al menos eso creo yo también, pues ya no he podido activar el Autoprotect de Norton, me indica que hay un problema interno del programa, y me manda a la base de datos de Symantec, donde me dice que no se ha encontrado el problema, así que tendré que reinstalar dicho programa. :roll:

[msc hotline sat]

Ya está disponible la nueva version 14.44 del ELISTARA en la que se ha cambiado la cadena de deteccion de dicho HOTBAR.



Cuando quieras la pruebas



Por nuestra parte, damos por solucionado el Tema y procedemos a cerrarlo



saludos



ms, 17-07-2007



Nota: Existe un boton en la parte inferior izquierda, para desactivar la eliminacion automatica de ficheros, y solo avisar y ofrecer eliminar o no, pues ante la proliferacion de nuevas variantes de malwares y los millones de ficheros existentes, siempre hay la posibilidad de falsos positivos, especialmente en utilidades de evaluacion que cambian cada dia. ms.