PDA

View Full Version : zwunzi.exe è un processo pericoloso?


Prince_81
25-02-2010, 12:00
nella lista dei processi di windows vista ho notato zwunzi.exe, da quanto ho capito forse si installa assieme a messengerdiscovery, ho provato a lanciare spybot search destroy ma non me lo segnala come adware o spyware quindi non so che fare.

Voi ne sapete qualcosa di questo processo?

xcdegasp
25-02-2010, 16:36
fallo analizzare su virustotal.com e viruscan.org così vedi se qualcuno lo vede come oggetto pericoloso :)

bender8858
25-02-2010, 16:50
Ho trovato questi:

http://www.nod32.it/threat-center/encyclopedia1.php?id=2120
http://www.prevx.com/filenames/734672131509209559-X1/ZWUNZI.EXE.html

Ciao :)

Prince_81
25-02-2010, 18:48
bender prevx lo ha rilevato ma non lo cancella perchè vuole la licenza non è che esiste un software gratuito che lo elimina?

bender8858
25-02-2010, 18:58
Scarichi malwarebytes ed elimini il file con FileAssasin (situato in altri strumenti), oppure scarichi direttamente fileassasin dal sito di malwarebytes (io ti consiglio la prima opzione perchè lo strumento integrato in MBAM è più potente).
Ciao :)

Chill-Out
25-02-2010, 19:48
Segui il consiglio dato al Post # 2 http://www.hwupgrade.it/forum/showpost.php?p=31030302&postcount=2

crips
25-02-2010, 19:50
Scarichi malwarebytes ed elimini il file con FileAssasin (situato in altri strumenti), oppure scarichi direttamente fileassasin dal sito di malwarebytes (io ti consiglio la prima opzione perchè lo strumento integrato in MBAM è più potente).
Ciao :)

Prima di usare la funzione fileassassin di Mbam io farei una bella scansione completa con Mbam perchè senzaltro ci sono anche delle chiavi di registro collegate :)

Prince_81
25-02-2010, 21:13
nella cartella zwunzi in c->programmi oltre al file zwunzi.exe ci sono altri due file zwunzi.dll e unistall.exe, a questo punto mi chiedo se zwunzi fosse nocivo mica prevederebbe il file unistall?

Chill-Out
26-02-2010, 08:10
fallo analizzare su virustotal.com e viruscan.org così vedi se qualcuno lo vede come oggetto pericoloso :)

Segui il consiglio dato al Post # 2 http://www.hwupgrade.it/forum/showpost.php?p=31030302&postcount=2

nella cartella zwunzi in c->programmi oltre al file zwunzi.exe ci sono altri due file zwunzi.dll e unistall.exe, a questo punto mi chiedo se zwunzi fosse nocivo mica prevederebbe il file unistall?

Controlla il file dove indicato :)

Prince_81
26-02-2010, 10:27
ho fatto analizzare il file zwunzi.exe su virustotal.com e poi ho cliccato su visualizza ultimo report ed eccovi cosa mi è uscito:
Antivirus Versione Ultimo aggiornamento Risultato
a-squared 4.5.0.50 2010.02.24 Riskware.AdWare.Win32.Zwangi!IK
AhnLab-V3 5.0.0.2 2010.02.24 -
AntiVir 8.2.1.172 2010.02.24 -
Antiy-AVL 2.0.3.7 2010.02.24 -
Authentium 5.2.0.5 2010.02.24 -
Avast 4.8.1351.0 2010.02.24 -
AVG 9.0.0.730 2010.02.24 -
BitDefender 7.2 2010.02.24 -
CAT-QuickHeal 10.00 2010.02.24 -
ClamAV 0.96.0.0-git 2010.02.24 -
Comodo 4049 2010.02.24 -
DrWeb 5.0.1.12222 2010.02.24 -
eSafe 7.0.17.0 2010.02.24 -
eTrust-Vet 35.2.7326 2010.02.24 -
F-Prot 4.5.1.85 2010.02.24 -
F-Secure 9.0.15370.0 2010.02.24 -
Fortinet 4.0.14.0 2010.02.21 -
GData 19 2010.02.24 -
Ikarus T3.1.1.80.0 2010.02.24 not-a-virus:AdWare.Win32.Zwangi
Jiangmin 13.0.900 2010.02.24 -
K7AntiVirus 7.10.981 2010.02.23 -
Kaspersky 7.0.0.125 2010.02.24 -
McAfee 5902 2010.02.24 -
McAfee+Artemis 5902 2010.02.24 -
McAfee-GW-Edition 6.8.5 2010.02.24 -
Microsoft 1.5406 2010.02.24 -
NOD32 4893 2010.02.24 -
Norman 6.04.08 2010.02.24 -
nProtect 2009.1.8.0 2010.02.24 -
Panda 10.0.2.2 2010.02.24 -
PCTools 7.0.3.5 2010.02.24 -
Rising 22.34.01.03 2010.02.11 -
Sophos 4.50.0 2010.02.24 -
Sunbelt 5696 2010.02.24 -
Symantec 20091.2.0.41 2010.02.24 -
TheHacker 6.5.1.6.208 2010.02.24 -
TrendMicro 9.120.0.1004 2010.02.24 -
VBA32 3.12.12.2 2010.02.24 -
ViRobot 2010.2.24.2200 2010.02.24 -
VirusBuster 5.0.27.0 2010.02.24 -
Informazioni addizionali
File size: 58720 bytes
MD5 : 66f29736a8b5274209eba3f821d4bbd8
SHA1 : 137769d7406d46c17683d9072030a25f83b18c27
SHA256: ee96a74d0170f73ad66d5435b01f6896396fda8b9b9e40914c69ba0e1e76051b
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x47E3
timedatestamp.....: 0x4B758C18 (Fri Feb 12 18:12:56 2010)
machinetype.......: 0x14C (Intel I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x7879 0x8000 6.32 4a8907376bd1730a996cba5065d34ba3
.rdata 0x9000 0x19AC 0x2000 4.18 2ce0434b78a3d0267cf4fb199acc06e4
.data 0xB000 0x958 0x1000 1.04 81ca61ccb51b7a4b538dce029521e4fd
.rsrc 0xC000 0x10 0x1000 0.00 620f0b67a91f7f74151bc5be745b7110

( 1 imports )

> kernel32.dll: lstrcpyA, lstrlenA, UnmapViewOfFile, FlushViewOfFile, MapViewOfFile, CloseHandle, CreateFileMappingA, GetFileSize, CreateFileA, GetProcAddress, LoadLibraryExA, lstrcmpA, RtlUnwind, RaiseException, GetSystemTimeAsFileTime, GetModuleHandleA, GetStartupInfoA, GetCommandLineA, GetVersionExA, HeapAlloc, HeapFree, SetUnhandledExceptionFilter, ExitProcess, TerminateProcess, GetCurrentProcess, WriteFile, GetStdHandle, GetModuleFileNameA, UnhandledExceptionFilter, FreeEnvironmentStringsA, GetEnvironmentStrings, FreeEnvironmentStringsW, WideCharToMultiByte, GetLastError, GetEnvironmentStringsW, SetHandleCount, GetFileType, HeapDestroy, HeapCreate, VirtualFree, VirtualAlloc, HeapReAlloc, IsBadWritePtr, HeapSize, IsBadReadPtr, IsBadCodePtr, GetStringTypeA, MultiByteToWideChar, GetStringTypeW, GetACP, GetOEMCP, GetCPInfo, LoadLibraryA, InterlockedExchange, VirtualQuery, GetLocaleInfoA, VirtualProtect, GetSystemInfo, LCMapStringA, LCMapStringW, QueryPerformanceCounter, GetTickCount, GetCurrentThreadId, GetCurrentProcessId

( 0 exports )
TrID : File type identification
Win32 Executable MS Visual C++ (generic) (65.2%)
Win32 Executable Generic (14.7%)
Win32 Dynamic Link Library (generic) (13.1%)
Generic Win/DOS Executable (3.4%)
DOS Executable Generic (3.4%)
ssdeep: 768:5RtvYFUo/t3iwWVcgbzL6uB/r06l+ZezS5temlODePBLFRq:LtvYv/tVWVcEzP/r0O6ezSr6DePBW
sigcheck: publisher....: n/a
copyright....: n/a
product......: n/a
description..: n/a
original name: n/a
internal name: n/a
file version.: n/a
comments.....: n/a
signers......: Zwunzi.com
UTN-USERFirst-Object
signing date.: 6:13 PM 2/12/2010
verified.....: -
Prevx Info: http://info.prevx.com/aboutprogramtext.asp?PX5=13D9FC19603D8669E5EC006470D1C00042EF6269
PEiD : -
RDS : NSRL Reference Data Set
-

che significa?

xcdegasp
02-03-2010, 22:18
ultimo report significa che hai visualizzato una vecchia scansione quindi nel frattempo possono essere cambiate le cose...
dopo aver inviato il file devi clickare su "rianalizza" o qualcosa del genere..

comunque lì solo prevx e a-squared lo danno per dannoso, ma mancherebbe anche virscan.org

Prince_81
03-03-2010, 16:42
per farla finita sono andato nella cartella di zwunzi e ho usato il file unistall per eliminarlo, da allora non si è più avviato e nemmeno nel registro di sistema sembra ci sia più traccia.