Win32 SillyDI.AHO y cz32.exe...

Garalt · Mensaje por **Garalt** » 27 Mar 2006, 16:07

Wenas, tengo un problema, el zonealarm al iniciar el PC me muestra un archivo infectado, D:\WINDOWS\system32\dr32.exe con el ~~[b]~~Win32 SillyDI.AHO[/b] y cada vez que inicio el pc lo detecta y lo desinfecta supuestamente .

También cuando inicio el PC, el Firewall del mismo zonealarm me pide que de permiso para que el archivo cz32.exe (D:\Documents and Settings\"minombre"\cz32.exe) inicie cmd.exe, yo hasta ahora lo he denegado siempre, ya que haciendo un escaneo con el zonealarm a todo el PC detecta el cz32.exe como un virus, pero no puede desinfectarlo. Si lo elimino manualmente en el proximo inicio del PC vuelve a aparecer... alguien puede ayudarme? muchas gracias de antemano.

Saludos

Mensaje por **msc hotline sat** » 27 Mar 2006, 16:27

Pues envianos muestras de los dos ficheros relacionados, DR32.EXE y CZ32.EXE y tras analizarlos y monitorizarlos, los pasarenmos a controlar y eliminar con nuestras utilidades, de lo cual informaremos.

Para ello anexelos a un mail dirigido a zonavirus@satinfo.es en cuyo texto indique la referencia "REF SILLY32"

saludos

ms, 27-3-2006

Garalt · Mensaje por **Garalt** » 27 Mar 2006, 23:32

no puedo adjuntar el archivo porque lo detecta como un virus, que puedo haceR?

Mensaje por **msc hotline sat** » 28 Mar 2006, 05:52

Desactivar el antivirus para enviarlo,

Y para que no lo detecte ningun antivirus de los servidores de internet, con el antivirus desactivado, empaquete el fichero en un ZIP con password VIRUS y nos lo envia asi.

saludos

ms. 28-3-2006

Garalt · Mensaje por **Garalt** » 29 Mar 2006, 19:33

No hay forma, incluso con mi antivirus desactivado, al enviarlo desde hotmail me lio impide, ya que detecta virus, aun estando comprimido. Lo mismo me ocurre si lo envio desde una cuenta gmail.

Mensaje por **flacoroo** » 29 Mar 2006, 19:48

MSC te pide que lo comprimas y que le pongas una contraseña de esa manera al mandarlo no lo podra eliminar el antivirus ya que no puede entrar a checar que es por la contraseña que tiene....

Mensaje por **msc hotline sat** » 30 Mar 2006, 10:17

Efectivamente:

"empaquete el fichero en un ZIP con password VIRUS y nos lo envia asi.

"

De esta forma está encriptado y no hay quien detecte virus en lo que contenga el ZIP

Asi es como enviamos las muestras viricas a McAfee

saludos

ms, 30-3-2006

Garalt · Mensaje por **Garalt** » 30 Mar 2006, 20:38

Ya esta enviado el cz32.exe, en cuando al dr32, me apareció un par de veces, y no me ha vuelto a aparecer... un misterio.

Espero vuestro veredicto :wink:

Gracias

Mensaje por **msc hotline sat** » 31 Mar 2006, 10:33

Recibida muestra, es una variante comprimida del VUNDO. Hoy lo implementaremos en el ELISTARA nuevo que necesitara un nuevo ELINOTIF,DLL, ya que se inserta en un 020 de Winlogon y volveria a reaparecer

Esta tarde estaran disponibles las dos, las bajas a una misma carpeta, arrancan en modo seguro y ejecutas el ELISTARA y, tras reiniciar, nos comentas el resultado, posteando el contenido del C:\infosat.txt que te hará dicho proceso

saludos

ms, 31-3-2006

Mensaje por **msc hotline sat** » 31 Mar 2006, 12:31

Subida a esta web nueva version 11.44 del ELISTARA, pruebala con el ELINOTIF segun indicado

---v11.44-(31 de Marzo del 2006) (Muestras de DownLoader.Agent.AFL "SENSSRV.DLL", ProcKill.CR "SVCPROC.EXE", Vundo(dr) "CZ32.EXE")

Tras reiniciar nos comnentas el resultado, gracias

saludos

ms, 31-3-2006

Garalt · Mensaje por **Garalt** » 03 Abr 2006, 17:01

Os explico lo que me ocurre:

descargo la ultima version del ELISTARA y el ELINOTIF en la misma carpeta, ejecuto ELISTARA, me detecta el troyano VUNDO, me pide que reinicie, lo hago... Al volver a entrar a windows, vuelve a hacer un chequeo y me vuelve a mostrar el mensaje, detectado troyano Vundo, reinicie el sistema para eliminarlo... y asi sucesivamente. Y cada vez que me conecto a internet vuelvo a tener el dichoso Cz32.exe.

Que debo hacer ahora?

Gracias por la ayuda.

Mensaje por **msc hotline sat** » 03 Abr 2006, 17:28

Recuerda que la primera ejecucion debes hacerla arrancando en modo seguro. y luego reiniciar normalmente

Si ya lo has hecho asi, posteanos el contenido de C:\infosat.txt como respuesta de este Tema, gracias

saludos

ms, 3-4-2006

Garalt · Mensaje por **Garalt** » 09 Abr 2006, 15:10

Nada, no hay forma... nisiquiera me aparece ese "infosat.txt" que menciones (alguna vez antes he usado elistara y si me lo ha creado)

PD: mi teclado no me deja seleccionar nmingun modo al pulsar F8 ya que hasta que no entro a windows no funciona, un misterio.

Garalt · Mensaje por **Garalt** » 11 Abr 2006, 22:36

Seria todo un detalle un poco de ayuda... se me complica todo, y el pc cada vez se ralentiza más

Mensaje por **msc hotline sat** » 12 Abr 2006, 07:14

Es que a las horas que posteas no estoy, y lo hago cuando lo veo luego... ya entiendo tus nervios, pero no tenemos la culpa de lo que te pasa!

Quizas tienes un teclado inalambrico o usas un portatil sin teclas de funciones y por ello tienes problemas, Configuralo por soft pero has de arrancar en modo seguro:

https://foros.zonavirus.com/viewtopic.php?t=5266

Por ultimo, releido todo el Temam veo que quizas te haga falta tener el ELINOTIF.DLL cipiado en la misma carpeta que el ELISTARA, lo cual deberúa deciurlo al ejecutarlo, pero prueba de copiar los dos ficheros actuales al respecto en una misma carpeta y luego arrancar en modo seguro y lanzar el ELISTARA, que ya utilizará el ELINOITF si le hace falta, instalando una clave en el registro llamandolo, para qie en la proxima arrancada NORMALtermine el proceso

No te olvides de normalizar la configuracion para que arranque nomalmente tras ello, deshaciendo los cambio hechos para que arrancara en modo seguro

ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp

ELINOTIF.DLL

http://www.zonavirus.com/descargas/elinotif.asp

saludos

ms, 12-4-2006