Ayuda Virus Zayle (SOLUCIONADO)

Swordzz · Mensaje por **Swordzz** » 16 May 2007, 05:49

Que tal, tengo este problema ojalá pudieran ayudarme:

Síntomas:

Al dar click derecho sobre una unidad USB ( la cual inserté)

en la parte superior dice ZAYLE como opción y al querer expulsar la USB de forma segura no permite hacerlo ni formatear la USB

Pero ya no sale Zayle sólo en la USB sino que también en mis discos duros ( 2 )

Espero respuesta, gracias.

Mensaje por **msc hotline sat** » 16 May 2007, 06:30

Pues sin duda es un nuevo especimen de los que se propaga a traves de los pendrive, a traves del AUTORUN.INF, que al insertarlo en cualquier USB se autoejecuta procesando lo programado en dicho AUTORUN

Todavía no hemos tenido ningun caso de este (pero sí de otros muchos, y este sistema está de moda ante el cada día mayor uso de los pendrive)

Mira de editar el fichero AUTORUN.INF que tendrás en tu pendrive infectado y nos lo posteas (Copiar y pegar de su contenido), asi veremos los ficheros que llama y te pediremos nos envies para analizar los que creamos pueden ser el virus propiamente dicho.

Tras ello implementaremos su control y eliminacion en nuestras utilidades.

Hoy mismo podemos ofrecer la que lo controle y elimine si tenemos tu colaboracion al respecto

saludos

ms, 16-05-2007

nota: Digo hoy, miercoles en España, que donde estás puede que aun sea martes ahora :wink:

Swordzz · Mensaje por **Swordzz** » 16 May 2007, 07:29

Otra ves yo, mira hice lo que me sugeriste y aquí esta la información dentro del AUTORUN.INF

Está tal cual el contenido:

[code]
[autorun]
open=crsvc.exe
shell\1=ZAYLE
shell\1\Command=crsvc.exe
shellexecute=crsvc.exe







TODO POR TI LETZEL

####################################################################################################
###################WMRRRRRRRRRRM####################################WMRRRRBBRRRRMW##################
##############WRYt=??>>???????>??itZM##########################WRIt=??>>>??????>===tVRW#############
###########WX+?>>>??==++iitttttti+=??+IZW###################WZt>>>>???==++iitttttii=?>?IZ###########
#########Bt?>>????===+++iitIIYYYYYIi+?>;=Z################Ri=>>????====++iiittIYYYYIti=?;+Z#########
########Y;>?============++++iittIIIIti=?>>+Z############Bi;>??=============+++iittIIIti+?>>+R#######
######M+>?=+iii++++============+++iiii+=??>>+R#########X;>?==++++++++=======?====+++++++=?>>;IW#####
#####M=>=+ttttttii+==?????????????=======?>>>>V######M+;>?+ittttiiii+==??????????????====??>>;+W####
####M=>=iIIIYYIIt+=??>>>>>>>>>>>>>>?????????>>;Y####M=;?=itIIIIIIti+=??>>>>>>>>>>>>>>????????>;i####
####t;?iIYYYYYYti+?>>;;;;;;;;;;;>>>>>>???????>>;V##M+;?=iIIIYYYIti+=?>>;;;;;;;;;;;>>>>>????==??;X###
###M:>=tIYYYYYIi+?>;;;;;;;;;;;;;;;>>>>>???????>>;VW=;?=iIIYYYYYIi+=?>;;;;;;;;;;;;;;;>>>??==+++=>=W##
###I;?+tIIYYYIi+=>;;;;;;;;;;;;;;;;;;>>>>???????>>>=;>=+tIIYYYYIi+=>;;;;;;;;;;;;;;;;;>>>??=+iti+?;W##
###=;?+ttIIIIti=?>;;;;;;;;;;;;;;;;;;;>>>>???????>>;>?+itIYYYYIt+=>;;;;;;;;;;;;;;;;;;>>??=+itIti=>W##
###=;?=iitttti+=?;;;;;;;;;;;;;;;;;;;;>>>>>???????>>?+itIIYYYIt+=?;;;;;;;;;;;;;;;;;;;>>??=+itYIi=?W##
###=:>=++iitti=?>;;;;;;;;;;;;;;;;;;;;;;>>>>????????+ittIYYYIi+=>;;;;;;;;;;;;;;;;;;;;>>??=+tIYYi=?W##
###+:>?=+++ii+=?>>;;;;;;;;;;;;;;;;;;;;;;>>>>>?????=itIIYYYti+?>;;;;;;;;;;;;;;;;;;;;;>??=+itYVYi=;W##
###B:;>?===+++=?>>;;;;;;;;;;;;;;;;;;;;;;;;>>>>????+tIYYYIti=?>;;;;;;;;;;;;;;;;;;;;;>>??=+tIYVI+?+W##
###W=:;>???===??>>;;;;;;;;;;;;;;;;;;;;;;;;;>>>>???iIYYYIt+=>;;;;;;;;;;;;;;;;;;;;;;>>??==itYVYi=;V###
####V:;;;>>>????>>>;;;;;;;;;;;;;;;;;;;;;;;;;>>>>??iYYYti+?>;;;;;;;;;;;;;;;;;;;;;;>>>??=+iIYYt=>?W###
#####I:;;;;>>>>??>>>;;;;;;;;;;;;;;;;;;;;;;;;;;>>>>tYIt+=?;;;;;;;;;;;;;;;;;;;;;;;>>>??=+itIIt+?>R####
#####W=::;;;;>>>>>>>>>>;;;;;;;;;;;;;;;;;;;;;;;;>>>iIi+?>;;;;;;;;;;;;;;;;;;;;;;;>>>>??=+iIIt+?;X#####
######M=:::;;;;>>>==+=>;;;;;;;;;;;;;;;;, :, ,:;;>>+i=?;. ;: .;;, ,,., :;;;;;;;>>>>??=+itti=?;Y######
#######Mt::::;;;>=ii?;;;;;;;;;;;;;;;;;;..;, ::;;;;==>;,  :.  ,.  , :: :;;;;;;;>>>??=++ii+=>;Y#######
########Wt::::;;?+=;::;;;;;;;;;;;;;;;;: :;..:;;;;;>>;,., : ,  ,.,, :.,;;;;;;>>>>??=++i+=?>;X########
##########V::::;>;:::;>;;;;;;;;;;;;;;;;:;;:::;;;;;;;;:;;:;:;::;:;;:::;;;;;;>>>>??=++++=>;=B#########
###########Z;:::,,::;;;;;;;;;;;;;;;;;;;;;:,;;:,,::,,:::,,:,,:::,;;;;;;;;;>>>>??==+++=?>;iW##########
############Bi:,:::::;;;;>;;;;;;;;;;;;;;;, ;;: ,:;..;;, :: ,:: ,;;;;;;;;>>>>??==+++=>;;V############
##############Y;::::::;;;;>;;;;;;;;;;;;;; ,;;..;;: :;, :;, :;, :;;;;;;>>>>??===++=?>;=B#############
###############Mi,::::::;;;;;;;;;;;;;;;;:,,::,,:;:,;:.,:;,,::,,::;;;;>>>>??==++=?>;;YW##############
#################X;,::::::;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;>>>??===+=?>;=Z################
##################Bi::::::::;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;>>>>??===?>;;tW#################
####################X;,::::::::;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;>>>>?????>>;=B###################
#####################MI;,::::::::::;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;>>>>???>>;;>YW####################
#######################R?,,:::::::::::;;;;;;;;;;;;;;;;;;;;;;;;;;>>>>>>>>;;;>YW######################
########################WV>,,,,,::::::::;;;;;;;;;;;;;;;;;;;;;;;>>>>>>>;;:>IM########################
##########################WV>:,,,,,::::::;;;;;;;;;;;;;;;;;;>>>>>>>>>;;:;tM##########################
############################WBi:,,,,,:::::;;;;;;;;;;;;;>>>>>>>>>>;;;;=IB############################
###############################B+:,,,,,:::::;;;;;;;;>>>>>>>>>>>;;::=Z###############################
#################################R+;,,,,,,::::;;;;;>??????>>>;;:>tXW################################
###################################WY;,,,,,,:::;;;;>===??>>;;;;tB###################################
#####################################WZ+:,,,,:::::;?+=??>;;:=ZW#####################################
########################################Rt>,,,,:::>++=>;:;IRW#######################################
##########################################WVi:,,,:>+?;;=VM##########################################
#############################################MX+;,:>>IM#############################################
################################################MXIXW###############################################


...    . .      . .    . .    . .    . . .    . .    . .    . . .    . .    . .    . .      . .    .
...    . .      . .    . .    . .    . . .    . .    . .    . . .    . .    . .    . .      . .    .
...    . .      . .    . .    . . ...,:;;;:;>;,..    . . .... . .    . .    . .    . .      . .    .
...    . . .... . .... . . .. . ..,:;=+iitiitii+;:,... . .... . .    . .    . .    . .      . .    .
...    . .    . . .... . . .. . .,;>?+iitIYYYYIIt++=>;,,.  .. . .    . .    . .    . .      . .    .
...    . .    . . .... . . .. . . .,;;===+itYVXXXVYIt++=>,. . . .... . . .. . . .... . .... . ...  .
..........    . . .... . . .. . . ..,,>==??++iIVXXXXXVYIti?,. . .... . . .. . . .... . .... . ...  .
..;>=++=?>;>>;:,...... . . .. . ....,>=it++ii++iIVVVVVXXVYti>.. .... . . .. . . .... . .... . ...  .
..tIYXXZZZXXVYIIi+==;,.... .. . ....,>++??++it++=+YVVYYVXXVIt?:..  . . . .. . . .... . .... . ...  .
..>;?=tYZBMWWMMBBRZVIi==>,... . . ...:?++=iYVt++i+=IVYIIIYXZYt+>.  . . . .. . . .... . .... . ...  .
......,:?tYZBWWWWWWWMBZXYt=;,.........,:>=+?iZZItt?>IYItttYRRYIt,.   . . .. . . .... . .... . ...  .
.....,::;?iIVXRBWWWWWWWWMMRXI+?;,..... .>++=+?IRBI:,=iitiitXBXIt,.   . . .. . . .... . .... . ...  .
.....:=+iIVXXXVVXZBMWWWWWWWWMBZYi?:... ..,?i++=iV?.:>?iiiiiXBZIi,.   . . .. . . .... . .... . ...  .
...  .,;?=iYZBBBRZXXZMWWWWWWWWWMRXt?,....,:==?>:,,:;>+iiiitZBXIt;  . . . .. . . .... . .... . ...  .
...    ....:?tVZBMMBRBWWWWWWWWWWWMZY+??>?++?;::;>>?=+iiiiiIRRYI+,  . . . .. . . .... . .... . ...  .
...    . .   ,;=iYRMWWWWWWWWWWWWWWWRVIIt+>:;>?=++iitttttiitVZYIi?,.. . . .. . . .... . .... . ...  .
...    . .     .,?tVRMWWWWWWWWWWWWWWRi>;;>>?+itttIIIIIItttttYVYtti?;:... .. . . .... . .... . ...  .
...    . .     ..;=tVZMWWWWWWWWWWWBXi;;>>?+ttIIIIIIIIItttIItttIYYItii=:. .. . . .  . .      . . .  .
...    . .    .:>+YZRMWWWWWWWWWWWZ+;;>>?+ttIIIIIYYVVYYYYYYIItttttIIYIti>. . . . .  . .      . .    .
...    . .   .:+YZMWWWWWWWWWWWWMI;:;;?+itIIIIYXZRRRRRRZZZXVYIti++=iVZXIt, . . . .  . .      . .    .
...    . . .:?tXBWWWWWWWWWWWWWMI::;>+tttIYXRBMBZXYYIYVYtttIIYIi=??+XMZYi. . . . .  . .      . .    .
...    . ..>iVRMWWWWWWWWWWWWWWX?;>>+tttIYZMMRVXZi?+XWWXt??+i+iti??IRMXi;  . . . .....,:,.   . .    .
...    . .;iVBWWWWWWWWWWWWWWWR+;>?+ttttIXMMVVZRRXiIMWZYi,,..:?+i=?VMMY=,  . . . .....;++i:. . .    .
... .  ..:=YRWWWWWWWWWWWWWWWWX?;?=iitttYBMXIXBMX++XWWVI+. ....>iiiZWR+..  . . . .....;+?+t; . .    .
... .  ..+IVRWWWWWWWWWWWWWWRt?:?=+iiiiiYRMXtVRXt=IM#BIt+,   . :?tVMBI?..    . . .  ..,?+?i+.. .    .
... .  ..=IVRMWWWWWWWWWWWWWX?:.;++iiiiiIZBVYXZt+YM#WVtI+:.  . ,?tXZIII=>:.  . .    ..,>+>=I?. .    .
... .  . .>IZMWWWWWWWWWWWWMY;:,>+iiiiiiiYRZt=tVXBWWZtIt+;.  ..,?tI==VZXYI=. . . .... .:=>>tY; .    .
... .. . .,+VBWWWWWWWWWWWWMY>=;>iiiiii+++tXV+??=VMMYYXYi?:....,>+II++IXZXYi:. . .... .,?=;+VY:.    .
... .. . ..=tXBWWWWWWWW#WWWBBB=;iti+++++==+ttttt+tYYRMRVIi+?;,..;+VI=iIVZXVY=:. .... ..>+?>tXI,    .
... .... . ,=IXBWWWMVVW#W#WWWWI:=ti+++++==???=iYXVtYRMWMBZVIti+>:=ZV+=ttIXZVYI+;. .. ..;=?;=YX?    .
....:?>;:. .>tIXRMMI;=XRM##WWWX;>it+=======???iZWZIXBWWWWWMBZVYIIIYI+?=+iiYXXYYI: .. ..;==;>iXI.   .
....;=+tt+;,;iiIVZX=:?YVIB#WWWWR+>it+=====???tRWMI+IVRMWWWWWWMBZVIti?>>?++iIVXVYi, ....:=>:;+XZ;   .
....;+tYXXYi?>=tIII>;+VXIXWWWW#WI;=tYt===???iRWBYiYVVXZMWWWWWWWMZI?:;;:?++==+IXXYi;,:::>?::;=XRi   .
....>itVRMMBXI++IIi;>iVZIIM#W#Mt::==iIIi=?>=VMBYVXIXVYYVRWWWMRZY+;:;;:>+++====tXXYYt?>??,,:;=VRI.  .
... :iiYZMWWWBXYtti>>+YRVYM##WY:>+??==iIIi??YBZYXRIiiIYYXZXY+>;;;>>>>=++++===?+IXXVVIi>,,::>+YRV,  .
... ,i+iVBWWWWMZIti??+YRZYR#WZ;:+=iZVi==itIiIZZIYRZI++=it+=??+i+==+++++++===??=iVZXVIi:,,:>?+XBX>  .
... .?i?tZMWWWWMRIi??=tXRVZMBi:iItVXXXVI+=+iIIVYitVXXYIIIttttiiiiiii+++====????iVRZt>:,,:;??IBMZt. .
... .,i;>IRWWWWWWX?>==+YRZYYZi:tVYXXXXZZXYi==iIIt==tYYYYIIIttttiiii++====?????=iVXI?:::;>??iRWMY;. .
... ..;i?+VBWWWWWMt?+i+iXRVtRt;tZVVXXXXXXXVYIi=++=???=iittttiiiii++++==?????==iYY+;:::;?==IRWBI:.  .
... ...:t+=YBWWWWWZi=iiiIXXYi;:tZXVVVVVXXXXXVVYt++=>>>;;>?+i+iii+++===????==+iIt?:,::>=+IXBBX=.    .
... ....:i+=IZMWWWWV=+tttIXXI?;>VBZXVVVVVVVVVVVYYIti+??>:,>++++++===????==+iII+;,:::?iYZBBZi:..    .
... .... ,=i+tVRMWWMXiiIItIYVI+;+XBZVVYYVVVVVYYYYIIItii++=+++++====???=+iIXZY?::;>=IXBBRV=:.. .    .
... .... ..:+tIYXRMWWZtitIItIIti??IZRZVYYYYYYYYYYIIItttttiiiii+++++++tIVZBRt>,:>+YRBBZI=,.  . .    .
... .... . .,>itIIYZMMRYiitIIttti+?=tXRRZVYYYYIIIIIttttttiittttttIYVZRBBRX+::>iVZRRXt;..    . .    .
... .... . ....;+ittIVZRXVYIIttti+===?+IVZRZZZXXXVYYIIIIIYYVVXXZRRRRZXVVY?:;+VXXYt=:..      . .    .
... .... . .... .:>?+iitIYVXVYYIttti+=????+IYXZRRRRRRRRRRRRRZZXXVVYYYttIYi+iIt=;,... .      . .    .
... .... . .... . ...;??=+tIIIYYYYYIItii+=?>>>=tIIYVXYIIIIttiii++=?>>;>+ii+?:.. .. . .      . .    .
...    . .      . .   ...:>+ittttttttiittttti==+i+===>?=??>>?>;;;:,......,... . .. . .      . .    .
...    . .      . .    . ..,:::::,::::,:::::;;::::::,,,,,,,,,....... . .    . .    . .      . .    .
...    . .      . .    . .    . .    . . .    . .    . .    . . .    . .    . .    . .      . .    .

[/code]

Ojalá te sirva.

Mensaje por **msc hotline sat** » 16 May 2007, 07:34

Y tanto !

Con Inicio -> Buscar mira de encontrar este fichero:

crsvc.exe

y nos lo envias para analizar:

->~~[b]~~ Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

Nos pondremos a trabajar con él tan pronto entremos a trabajar en SATINFO, si nos lo envias, claro !

Y en tal caso hoy subiremos la utilidad de control y eliminacion en principio para tí, y luego para todo el foro, claro, de lo cual infdormaremos.

saludos

ms, 156-5-2007

Mensaje por **msc hotline sat** » 16 May 2007, 14:41

Recibida muestra.

Lo controlaremos en el ELISTARA 13.98 QUE ESTAMOS HACIENDO HOY Y estará disponible a partir de las 20 h GMT en esta web para evaluacion en el foro de zonavirus.

Subida a Jott'is, solo un antivirus lo controla actualmente y otro mediante deteccion heuristica:

[quote]Scanner results

Scan taken on 16 May 2007 11:39:02 (GMT)

A-Squared Found nothing

AntiVir Found HEUR/Malware

ArcaVir Found nothing

Avast Found nothing

AVG Antivirus Found nothing

BitDefender Found nothing

ClamAV Found nothing

Dr.Web Found nothing

F-Prot Antivirus Found nothing

F-Secure Anti-Virus Found nothing

Fortinet Found nothing

Kaspersky Anti-Virus Found nothing

NOD32 Found nothing

Norman Virus Control Found nothing

Panda Antivirus Found Trj/TaskKill.A

Rising Antivirus Found nothing

VirusBuster Found nothing

VBA32 Found nothing
[/quote]

Le vamos a llamar Troyano Letzel por rezar que está dedicado a dicha persona.

seguiremos informando.

saludos

ms, 16-05-2007

Mensaje por **msc hotline sat** » 16 May 2007, 15:00

Terminada la exploracion con VIRUSTOTAL, solo McAfee, Panda y dos mas lo controlan:

[quote="VirusTotal"]
STATUS: FINISHEDComplete scanning result of "crsvc.gxe", received in VirusTotal at 05.16.2007, 13:37:27 (CET).

Antivirus Version Update Result

AhnLab-V3 2007.5.16.1 05.16.2007 no virus found

AntiVir 7.4.0.15 05.16.2007 HEUR/Malware

Authentium 4.93.8 05.15.2007 no virus found

Avast 4.7.997.0 05.15.2007 no virus found

AVG 7.5.0.467 05.15.2007 no virus found

BitDefender 7.2 05.16.2007 no virus found

CAT-QuickHeal 9.00 05.15.2007 no virus found

ClamAV devel-20070416 05.16.2007 no virus found

DrWeb 4.33 05.16.2007 no virus found

eSafe 7.0.15.0 05.15.2007 no virus found

eTrust-Vet 30.7.3634 05.15.2007 no virus found

Ewido 4.0 05.15.2007 no virus found

FileAdvisor 1 05.16.2007 no virus found

Fortinet 2.85.0.0 05.16.2007 suspicious

F-Prot 4.3.2.48 05.15.2007 no virus found

F-Secure 6.70.13030.0 05.16.2007 no virus found

Ikarus T3.1.1.7 05.16.2007 no virus found

Kaspersky 4.0.2.24 05.16.2007 no virus found

McAfee 5031 05.15.2007 New Malware.d

Microsoft 1.2503 05.16.2007 no virus found

NOD32v2 2270 05.16.2007 no virus found

Norman 5.80.02 05.15.2007 no virus found

Panda 9.0.0.4 05.16.2007 Trj/TaskKill.A

Prevx1 V2 05.16.2007 no virus found

Sophos 4.17.0 05.11.2007 no virus found

Sunbelt 2.2.907.0 05.12.2007 no virus found

Symantec 10 05.16.2007 no virus found

TheHacker 6.1.6.115 05.15.2007 no virus found

VBA32 3.12.0 05.16.2007 no virus found

VirusBuster 4.3.7:9 05.15.2007 no virus found

Webwasher-Gateway 6.0.1 05.16.2007 Heuristic.Malware

Aditional Information

File size: 49152 bytes

MD5: 33188d89a6a59468c7d71ad815170517

SHA1: 14c293c7b94cd1ba69fe175f0d55c7ed1e4d95d0
[/quote]

De entrada queda residente y por el nombre de Panda puede matar procesos ???

Lo de Zayle es porque se lanza desde el AUTORUN.INF que lo contiene.

Con la nueva version del ELISTARA eliminaremos totalmente el malware de Discos duros y pendrives que sean explorados.

Se recuerda la necesidad de pulsar SHIFT al introducir los pendrives, para no ejecutarlo en dicha insercion, pues de lo contrario volveriamos a infectar el disco duro

saludos

ms, 16-05-2007

Swordzz · Mensaje por **Swordzz** » 17 May 2007, 03:27

Muchas gracias mi problema ha sido resuelto satisfactoriamente.

Saludos

Mensaje por **msc hotline sat** » 17 May 2007, 05:40

[url=http://forum.telecharger.01net.com]

[img]http://forum.telecharger.01net.com/data/units/microhebdo/smilies/65.gif[/img][/url]

Pues lo celebramos, y dando el Tema por solucionado, procedemos a cerrarlo.

Si nos necesita de nuevo, ya sabe donde estamos

saludos

ms, 17 de Mayo de 2007