zwunzi.dll (SOLUCIONADO)

[mpablo88]

Hola que tal tengo un problemita con el zwunzi.dll, tambien lo tuve con el .exe, pero ya lo borre con el malwarebyte la opcion fileassassyn, me recomiendan que haga lo mismo con el .dll, cuales son los riesgos?,y a que se debe esta carpeta creada con esos archivos "malware" ( nose si tiene algo que ver pero esto me salto cuando instale un software de un celular blackberry, o fue casualidad o nose ), gracias por leer, salu2

[Sahakero]

El malwarebytes lo detecta como malware?

O es tu antivirus el que lo detecta?

Que virus dice que es?

[mpablo88]

[quote="Sahakero"]El malwarebytes lo detecta como malware?

O es tu antivirus el que lo detecta?

Que virus dice que es?[/quote]

Mi antivirus "avira" me lo detecta como virus posible troyano, C:\Archivos de programa\Zwunzi\zwunzi.dll

TR/Dropper.Gen

[msc hotline sat]

En el Tema https://foros.zonavirus.com/viewtopic.php?f=6&t=30429&p=168361&hilit=zwunzi.dll#p168361



se indicaba que el ELISTARA ya controlaba el Adware.Zwunzi:


[quote]
ELISTARA



---v19.81-( 1 de Diciembre del 2009) (Muestras de (4)PWS-OnLineGames.Herss, Autoit.Csrcs "CSRCS.EXE", Hosvet.B "SVHOST.EXE", [b][i][u](2)Adware.Zwunzi "ZWUNZI.DLL y EXE"[/u][/i][/b], (2)Trojan.BHO.CTF "WE83686.DLL y CTFMON_PN.EXE", (2)Spy.Banker.APPF "IELOWUTIL2.EXE y PDM2.DLL")[/quote]

Descargue la version actual del ELISTARA y posteenos el informe resultante, gracias


[quote="para DESCARGAR el ELISTARA, msc"]



http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso [/quote]

saludos



ms, 9-1-2010





saludos

[mpablo88]

Aca les dejo el analisis de elistara, al parecer no lo detecto, pero mi avira lo sigue tomando como virus



P.D: los de realtek decidi no eliminarlos por si me pasa algo con los driver de sonido

[msc hotline sat]

Salvo que no quepan por tamaño, los informes deben postearse con un copiar y pegar de su contenido:





(9-1-2010 17:02:26 (GMT))

EliStartPage v20.07 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 8 de Enero del 2010)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\ALCMTR.EXE --> Eliminado SpyRealtek

C:\Documents and Settings\usuario\Escritorio\MP3.lnk --> Eliminado (Fichero Complementario).

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(9-1-2010 17:03:43 (GMT))

EliStartPage v20.07 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 8 de Enero del 2010)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

C:\Archivos de programa\Realtek\Audio\Drivers\WDM\ALCMTR.EXE --> Infectado, SpyRealtek

C:\Archivos de programa\Realtek\InstallShield\ALCMTR.EXE --> Infectado, SpyRealtek

C:\Documents and Settings\usuario\Mis documentos\CAMSTUDIO20.EXE --> Eliminado, WebHancer(inst)

C:\Documents and Settings\usuario\Mis documentos\TMPGENC DVD AUTHOR 1 6 26 73 + PLUG-IN AC-3 + CRACK.EXE --> Eliminado, LowZones(dr)

C:\WINDOWS\system32\ReinstallBackups\0005\DriverFiles\ALCMTR.EXE --> Eliminado, SpyRealtek



Nº Total de Directorios: 10742

Nº Total de Ficheros: 156841

Nº de Ficheros Analizados: 39035

Nº de Ficheros Infectados: 5

Nº de Ficheros Limpiados: 3





Vemos que se han detectado y eliminado varios troyanos, pero este, si aun está, puede que sea una variante no controlada, envienoslo para analizar:



C:\Archivos de programa\Zwunzi\zwunzi.dll





[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



Tras recibirlos, los analizaremos e implementaremos su control y eliminacion, si procede, en nuestras utilidades, de lo cual informaremos



saludos



ms, 9-1-2010

[mpablo88]

Ahi se los envie en .rar ya que no me dejaba de otra forma.



Perdon por adjuntar el archivo, me habia olvidado que era copiar y pegar, saludos

[msc hotline sat]

Pues lo analizaremos y si procede implemenaremos su control y eliminacion en la proxima version del ELISTARA, de lo cual informaremos, pero para aparcarlo si procede, añadiendo .VIR a su extension, subelos al VirusTotal y posteanos el informe resultante: www.virustotal.com/es



Asi ganaremos tiempo al tiempo :)



saludos



ms, 9-1-2010

[mpablo88]

Perdon por la demora, aqui le dejo lo que me pidio



Motor antivirus Versión Última actualización Resultado

a-squared 4.5.0.48 2010.01.09 Riskware.AdWare.Win32.Zwangi!IK

AhnLab-V3 5.0.0.2 2010.01.09 -

AntiVir 7.9.1.130 2010.01.08 -

Antiy-AVL 2.0.3.7 2010.01.08 AdWare/Win32.Zwangi.gen

Authentium 5.2.0.5 2010.01.09 -

Avast 4.8.1351.0 2010.01.09 Win32:Adware-gen

AVG 8.5.0.430 2010.01.04 Generic4.UBK

BitDefender 7.2 2010.01.09 Gen:Adware.Heur.Ku4@18RDedli

CAT-QuickHeal 10.00 2010.01.09 Trojan.Agent.ATV

ClamAV 0.94.1 2010.01.09 -

Comodo 3514 2010.01.08 -

DrWeb 5.0.1.12222 2010.01.09 Adware.Zwunzi

eSafe 7.0.17.0 2010.01.07 -

eTrust-Vet 35.2.7226 2010.01.08 Win32/ASuspect.HAAEM

F-Prot 4.5.1.85 2010.01.09 -

F-Secure 9.0.15370.0 2010.01.09 -

Fortinet 4.0.14.0 2010.01.09 -

GData 19 2010.01.09 Gen:Adware.Heur.Ku4@18RDedli

Ikarus T3.1.1.80.0 2010.01.09 not-a-virus:AdWare.Win32.Zwangi

Jiangmin 13.0.900 2010.01.09 -

K7AntiVirus 7.10.943 2010.01.09 -

Kaspersky 7.0.0.125 2010.01.09 not-a-virus:AdWare.Win32.Zwangi.dc

McAfee 5856 2010.01.09 -

McAfee+Artemis 5856 2010.01.09 -

McAfee-GW-Edition 6.8.5 2010.01.09 Heuristic.BehavesLike.Win32.Trojan.J

Microsoft 1.5302 2010.01.09 -

NOD32 4757 2010.01.09 Win32/Adware.OneStep

Norman 6.04.03 2010.01.09 -

nProtect 2009.1.8.0 2010.01.09 Trojan-Clicker/W32.Zwangi.593920

Panda 10.0.2.2 2010.01.09 -

Prevx 3.0 2010.01.09 Medium Risk Malware

Rising 22.29.05.04 2010.01.09 AdWare.Win32.Findbasic.a

Sophos 4.49.0 2010.01.09 Zwunzi

Sunbelt 3.2.1858.2 2010.01.09 -

Symantec 20091.2.0.41 2010.01.09 -

TheHacker 6.5.0.3.143 2010.01.09 -

TrendMicro 9.120.0.1004 2010.01.09 -

VBA32 3.12.12.1 2010.01.09 AdWare.Win32.Zwangi.df

ViRobot 2010.1.8.2128 2010.01.08 -

VirusBuster 5.0.21.0 2010.01.09 -

Información adicional

Tamano archivo: 593920 bytes

MD5...: 725762539467adbec645855a4dad45f9

SHA1..: c3799664f82d56a077b31d03b39ffeba0284690c

SHA256: a1bb7f293aa09956e811aec1d94ab1f57f9b03aa7208125885d237b98a21b885

ssdeep: 12288:TmHbrkk6+0kfozUSFXhxfKcZC2OIRymvBdC7YeMH:KANHoCSyDiYeMH

PEiD..: -

PEInfo: PE Structure information



( base data )

entrypointaddress.: 0x4ca2

timedatestamp.....: 0x4af188a8 (Wed Nov 04 13:59:04 2009)

machinetype.......: 0x14c (I386)



( 5 sections )

name viradd virsiz rawdsiz ntrpy md5

.text 0x1000 0x8e5b 0x9000 6.46 f2af9a633b0c126bc678a8893c0f374e

.rdata 0xa000 0x21a3 0x3000 3.84 e75f5fe2da247de3fec2505a3a0e4baa

.data 0xd000 0x127c 0x1000 1.92 86f981bbd125daeae272fc8aa466ac96

.rsrc 0xf000 0x80060 0x81000 7.99 382a3678a9a30bffac0711b029a99283

.reloc 0x90000 0x15fe 0x2000 2.70 b37d9353f3cecc357ec0b40faa18450b



( 2 imports )

> KERNEL32.dll: FreeLibrary, GetProcAddress, LoadLibraryA, RtlUnwind, RaiseException, ExitProcess, GetCurrentThreadId, GetCommandLineA, GetVersionExA, HeapAlloc, TlsAlloc, SetLastError, GetLastError, TlsFree, TlsSetValue, TlsGetValue, GetModuleHandleA, HeapFree, DeleteCriticalSection, LeaveCriticalSection, EnterCriticalSection, SetUnhandledExceptionFilter, QueryPerformanceCounter, GetTickCount, GetCurrentProcessId, GetSystemTimeAsFileTime, GetModuleFileNameA, TerminateProcess, GetCurrentProcess, SetHandleCount, GetStdHandle, GetFileType, GetStartupInfoA, FreeEnvironmentStringsA, GetEnvironmentStrings, FreeEnvironmentStringsW, WideCharToMultiByte, GetEnvironmentStringsW, HeapDestroy, HeapCreate, VirtualFree, UnhandledExceptionFilter, WriteFile, VirtualAlloc, HeapReAlloc, IsBadWritePtr, HeapSize, IsBadReadPtr, IsBadCodePtr, GetACP, GetOEMCP, GetCPInfo, InitializeCriticalSection, InterlockedExchange, VirtualQuery, GetLocaleInfoA, GetStringTypeA, MultiByteToWideChar, GetStringTypeW, LCMapStringA, LCMapStringW, VirtualProtect, GetSystemInfo

> USER32.dll: SetWindowsHookExA



( 7 exports )

Command, Install, Main, Opt, Service, SetProc, Uninstall

RDS...: NSRL Reference Data Set

-

sigcheck:

publisher....: n/a

copyright....: n/a

product......: n/a

description..: n/a

original name: n/a

internal name: n/a

file version.: n/a

comments.....: n/a

signers......: -

signing date.: -

verified.....: Unsigned

pdfid.: -

<a href='http://info.prevx.com/aboutprogramtext.asp?PX5=E317BD79004B57A210CB09664892CE001305E700' target='_blank'>http://info.prevx.com/aboutprogramtext.asp?PX5=E317BD79004B57A210CB09664892CE001305E700</a>

trid..: Win32 Executable MS Visual C++ (generic) (75.0%)

Win32 Executable Generic (16.9%)

Generic Win/DOS Executable (3.9%)

DOS Executable Generic (3.9%)

Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)

[lucl]

Pues ahora ya solo queda esperar al lunes que lo analicen y te den la herramienta necesaria para eliminarlo. Y si ya les añadiste la extension .VIR como te dijo Msc puedes esperar tranquilo pues no se activaran cada vez que enciendas el pc, saludos

[mpablo88]

Muchas gracias por la atencion, esperare, saludos

[msc hotline sat]

Bien, vemos que solo 18 de los 41 antivirus del VirusTotal lo controlan, por lo que se trata de una nueva variante que solo un 43 % lo conoce, y que nosotros implementaremos en la proxima version del ELISTARA



Pero ya ahora puedes buscar y eliminar los ficheros al respecto con el ELIMD5, introduciendole su hash:



725762539467adbec645855a4dad45f9



ELIMD5

http://www.zonavirus.com/descargas/elimd5.asp



saludos



ms, 10-1-2010

[mpablo88]

Hola, ya logre borrarlo, antes no me dejaba y volvia a aparecer, pero se ve que ahora no aparecio mas, que seria eso del zwunzi? y como aparecio?, ya que soy muy cuidadoso con todo lo que "entra" a la pc, gracias por todo

[msc hotline sat]

Mañana lo analizaremos, tras entrar a trabajar en SATINFO, y podremos saber de qué se trata.



Mientras, mira la informacion existente:



http://www.threatexpert.com/report.aspx?md5=b05a45db270a425361a921f9352da91b



saludos



ms, 10-1-2010

[msc hotline sat]

Recibida la muestra enviada, en el preanalisis un 56 % lo detectan como Zwangi, por lo que pasamos a monitorizarlo e implementar su control y eliminacion a partir del ELISTARA de hoy, 20.08


[quote]
[b] ELISTARA: [/b]

http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso
[/quote]

A partir de las 19 h GMT, estará disponible en esta web, para pruebas de evaluacion en el foro de zonavirus



saludos



ms, 11-1-2010

[mpablo88]

(12-1-2010 13:25:13 (GMT))

EliStartPage v20.08 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 11 de Enero del 2010)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminados Ficheros Temporales del IE



(12-1-2010 13:25:37 (GMT))

EliStartPage v20.08 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 11 de Enero del 2010)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

C:\Archivos de programa\Realtek\Audio\Drivers\WDM\ALCMTR.EXE --> Eliminado, SpyRealtek

C:\Archivos de programa\Realtek\InstallShield\ALCMTR.EXE --> Eliminado, SpyRealtek

C:\RECYCLER\S-1-5-21-1708537768-706699826-682003330-1003\DC43.EXE --> Eliminado, Frauder.KG



Nº Total de Directorios: 11292

Nº Total de Ficheros: 160015

Nº de Ficheros Analizados: 40900

Nº de Ficheros Infectados: 3

Nº de Ficheros Limpiados: 3



Elimino otros, zwunzi no aparecio, ya que mi Avira actualizo en el dia de ayer y lo detecto y lo borro, como tengo autoenviar lo que me detecta a la base de datos de Avira lo habran chequeado y lo bloquearon, buenos, esto es todo me parece, saludos y muchas gracias

[msc hotline sat]

Pues visto que quedaba un virus que posiblemente tenga en sus pendrives,







Y vacune el ordenador y todas sus unidades de disco y pendrive con el ELIPEN:



[b]ELIPEN.EXE[/b]

http://www.zonavirus.com/descargas/elipen.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso



saludos



ms, 12-1-2010

[mpablo88]

(12-1-2010 14:03:39)

EliPen v1.9b (c)2009 S.G.H. / Satinfo S.L.

------------------------------------------



Unidad C:\ Protegida



(12-1-2010 14:09:53 (GMT))

EliStartPage v20.08 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 11 de Enero del 2010)

--------------------------------------------------

Lista de Acciones (por Acción Directa):



(12-1-2010 14:09:57 (GMT))

EliStartPage v20.08 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 11 de Enero del 2010)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 11293

Nº Total de Ficheros: 160097

Nº de Ficheros Analizados: 40899

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

[msc hotline sat]

Esto no es ningun pendrive...



(12-1-2010 14:03:39)

EliPen v1.9b (c)2009 S.G.H. / Satinfo S.L.

------------------------------------------



Unidad C:\ Protegida



_________





Debe seleccionar la unidad USB donde inserta el pendrive (por ejemplo H: o la que sea) y darle a PROCESAR.



Asi vacunará el pendrive y veremos si había algun AUTORUN.INF y lo que lanzaba.



saludos



ms, 12-1-2010

[mpablo88]

Pero no tengo ningun pendrive conectado

[msc hotline sat]

Pues de lo que se trata es de ver si algun pendrive se infectó coin este virus, y ademas asi lo protegeremos.



Inserta un pendrive, seleccionas la unidad en el ELIPEN y le das a PROCESAR, y asi cada uno que tengas.



saludos



ms, 12-1-2010

[mpablo88]

Ok, le dare una respuesta a las 20hs Argentina dentro de 9 horas, porque mi hermano es quien tiene un pendrive y ahi podre analizarlo

[msc hotline sat]

ok, pues le contestaremos a ello mañana, ya que aquí serán las 03 h AM :)



saludos



ms, 12-1-2002

[mpablo88]

Ok, mira te cuento, recien hable con mi hermano y hace como 1 mes que no utiliza el pendrive en esta pc, lo que si conecto es el nuevo celular que se compro "blackberry curve", pero no voy a utilizar el elipen en el blackberry mira si le pasa algo me mataria.Repito no se conecto ningun pendrive, solo el celular que le mencionaba

[msc hotline sat]

Pues eliminado todo en el ordenador, no acerque dicha Blackberry a otros ordenadores sin vacunarlos con el ELIPEN.



Y dando por solucionado el Tema, procedemos a cerrarlo



Si nos necesita de nuevo, ya sabe donde estamos



saludos



ms, 13-1-2010

[mpablo88]

Muchas gracias por su ayuda, es la segunda vez que utilizo este medio para solucionar problemas y la verdad que lo hacen muy bien, saludos

[msc hotline sat]

Ha sido un placer.



saludos



ms, 13-1-2010