Accedi per seguire   
Seguaci 0
Belzebù

Rilevato Trojan Win32.nsanti

8 messaggi in questa discussione

Inviato (modificato)

CounterSpy mi ha rilevato il suddetto Win32.NSAnti trojan definito ad "alto" rischio mettendomelo in quarantena...

vorrei sapere se posso eliminarlo definitivamente!

infatti di default mi ha eliminato alcuni cookies non troppo pericolosi mentre per questo l'opzione era la quarantena.. forse perché ha intaccato chiavi di registro? come faccio a sapere se me ne posso liberare? tra l'altro sul sito nella descrizione del trojan viene caldamente consigliata l'immediata eliminazione..

Modificato da Belzebù

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Ciao,

le infezioni messe in quarantena sono del tutto innoque , quindi dal quel punto di vista puoi stare tranquillo....

facciamo comunque qualche altro controllo;

# Fai scan online Kaspersky in questo modo

# Posta un log di hijackthis

:)

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Kaspersky lo uso come antivirus.. (B)

ho fatto la scansione e non ha rilevato nulla di che

mentre questo è il log di Hijack..

ma non è strano che solo CounterSpy mi rilevi questo trojan se è così pericoloso? ho provato anche altri antispyware come SpySweeper o A-squared o AVG e non rilevano nulla.. :)

Logfile of HijackThis v1.99.1

Scan saved at 23.27.24, on 17/05/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16441)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\Programmi\Windows Defender\MsMpEng.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Programmi\Analog Devices\SoundMAX\SMax4PNP.exe

C:\Programmi\Analog Devices\SoundMAX\smax4.exe

C:\Programmi\Java\jre1.6.0_01\bin\jusched.exe

C:\Programmi\Windows Defender\MSASCui.exe

C:\Programmi\Microsoft Office\Office12\GrooveMonitor.exe

C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe

C:\Programmi\Comodo\Firewall\CPF.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Programmi\PeerGuardian2\pg2.exe

C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\guard.exe

C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe

C:\Programmi\Comodo\Firewall\cmdagent.exe

C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\WINDOWS\system32\nvsvc32.exe

C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe

C:\Programmi\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

C:\WINDOWS\system32\svchost.exe

C:\Programmi\Outlook Express\msimn.exe

C:\Programmi\Internet Explorer\iexplore.exe

C:\Programmi\Hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti

O1 - Hosts: 127.255.255.255 serial.alcohol-soft.com

O1 - Hosts: 127.255.255.255 www.alcohol-soft.com

O1 - Hosts: 127.255.255.255 images.alcohol-soft.com

O2 - BHO: IE7pro BHO - {00011268-E188-40DF-A514-835FCD78B1BF} - C:\Programmi\IE7pro\IE7Pro.dll

O2 - BHO: Octh Class - {000123B4-9B42-4900-B3F7-F4B073EFC214} - C:\Programmi\Orbitdownloader\orbitcth.dll

O2 - BHO: Supporto di collegamento per Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programmi\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll

O2 - BHO: flashget urlcatch - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\Programmi\FlashGet\jccatch.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_01\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: NXIECatcher Class - {83B80A9C-D91A-4F22-8DCF-EA7204039F79} - C:\Programmi\Net Transport\NXIEHelper.dll

O2 - BHO: IECatcher Class - {B930BA63-9E5A-11D3-A288-0000E80E2EDE} - C:\PROGRA~1\MASSDO~1\MDHELPER.DLL

O2 - BHO: FlashGet GetFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - C:\Programmi\FlashGet\getflash.dll

O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)

O3 - Toolbar: NetXfer - {C16CBAAC-A75C-4DB5-A0DD-CDF5CAFCDD3A} - C:\Programmi\Net Transport\NXToolBar.dll

O4 - HKLM\..\Run: [soundMAXPnP] "C:\Programmi\Analog Devices\SoundMAX\SMax4PNP.exe"

O4 - HKLM\..\Run: [soundMAX] "C:\Programmi\Analog Devices\SoundMAX\smax4.exe" /tray

O4 - HKLM\..\Run: [NvCplDaemon] "RUNDLL32.EXE" C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] "nwiz.exe" /install

O4 - HKLM\..\Run: [NvMediaCenter] "RUNDLL32.EXE" C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Programmi\Java\jre1.6.0_01\bin\jusched.exe"

O4 - HKLM\..\Run: [Windows Defender] "C:\Programmi\Windows Defender\MSASCui.exe" -hide

O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programmi\Microsoft Office\Office12\GrooveMonitor.exe"

O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programmi\File comuni\Ahead\Lib\NeroCheck.exe

O4 - HKLM\..\Run: [AVP] "C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe"

O4 - HKLM\..\Run: [COMODO Firewall Pro] "C:\Programmi\Comodo\Firewall\CPF.exe" /background

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [PeerGuardian] C:\Programmi\PeerGuardian2\pg2.exe

O4 - Startup: Adobe Gamma.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Startup: ERUNT AutoBackup.lnk = C:\Programmi\ERUNT\AUTOBACK.EXE

O4 - Startup: Ritaglio schermata e avvio di OneNote 2007.lnk = C:\Programmi\Microsoft Office\Office12\ONENOTEM.EXE

O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Programmi\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe

O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Reader 8.0\Reader\reader_sl.exe

O8 - Extra context menu item: &Download all by Orbit - res://C:\Programmi\Orbitdownloader\orbitmxt.dll/202

O8 - Extra context menu item: &Download by Orbit - res://C:\Programmi\Orbitdownloader\orbitmxt.dll/201

O8 - Extra context menu item: &Download selected by Orbit - res://C:\Programmi\Orbitdownloader\orbitmxt.dll/203

O8 - Extra context menu item: &Grab video by Orbit - res://C:\Programmi\Orbitdownloader\orbitmxt.dll/204

O8 - Extra context menu item: &Scarica con FlashGet - C:\Programmi\FlashGet\jc_link.htm

O8 - Extra context menu item: &Scarica tutto con FlashGet - C:\Programmi\FlashGet\jc_all.htm

O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000

O8 - Extra context menu item: Salva oggetto con NetXfer - C:\Programmi\Net Transport\NXAddLink.html

O8 - Extra context menu item: Salva tutti gli oggetti con NetXfer - C:\Programmi\Net Transport\NXAddList.html

O8 - Extra context menu item: Scarica &tutto con Mass Downloader - C:\Programmi\Mass Downloader\Add_All.htm

O8 - Extra context menu item: Scarica con &Mass Downloader - C:\Programmi\Mass Downloader\Add_Url.htm

O9 - Extra button: IE7pro Preferences - {0026439F-A980-4f18-8C95-4F1CBBF9C1D8} - C:\Programmi\IE7pro\IE7Pro.dll

O9 - Extra 'Tools' menuitem: IE7pro Preferences - {0026439F-A980-4f18-8C95-4F1CBBF9C1D8} - C:\Programmi\IE7pro\IE7Pro.dll

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_01\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_01\bin\ssv.dll

O9 - Extra button: Mass Downloader - {0FD01980-CCCB-11D3-80D4-0000E80E2EDE} - C:\Programmi\Mass Downloader\massdown.exe

O9 - Extra 'Tools' menuitem: &Mass Downloader - {0FD01980-CCCB-11D3-80D4-0000E80E2EDE} - C:\Programmi\Mass Downloader\massdown.exe

O9 - Extra button: Anti-virus web - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll

O9 - Extra button: Invia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra 'Tools' menuitem: I&nvia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programmi\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL

O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Programmi\FlashGet\FlashGet.exe

O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Programmi\FlashGet\FlashGet.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe

O11 - Options group: [iNTERNATIONAL] International*

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1150502877701

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdat...b?1168419650390

O17 - HKLM\System\CCS\Services\Tcpip\..\{A0EF7A44-B689-4906-9CB4-709D4FA97CB2}: NameServer = 151.99.125.1,151.99.0.100

O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programmi\File comuni\Microsoft Shared\Help\hxds.dll

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL

O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\FILECO~1\MICROS~1\OFFICE12\MSOXMLMF.DLL

O20 - Winlogon Notify: !SASWinLogon - C:\Programmi\SUPERAntiSpyware\SASWINLO.dll

O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: Adobe LM Service - Adobe Systems - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\guard.exe

O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Unknown owner - C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" -r (file missing)

O23 - Service: Comodo Application Agent (CmdAgent) - COMODO - C:\Programmi\Comodo\Firewall\cmdagent.exe

O23 - Service: NBService - Nero AG - C:\Programmi\Nero\Nero 7\Nero BackItUp\NBService.exe

O23 - Service: NMIndexingService - Nero AG - C:\Programmi\File comuni\Ahead\Lib\NMIndexingService.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: Sunbelt CounterSpy Antispyware (SBCSSvc) - Sunbelt Software - C:\Programmi\Sunbelt Software\CounterSpy\SBCSSvc.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe

O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programmi\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

O23 - Service: Sistema Webroot Spy Sweeper (WebrootSpySweeperService) - Webroot Software, Inc. - C:\Programmi\Webroot\Spy Sweeper\SpySweeper.exe

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Ciao...

il log è perfettamente pulito... :up1:

ti riporto quanto specificato sul file in questione (NsAnti)

NsAnti è uno strumento per comprimere e criptare Windows PE files. Nonostante NsAnti solitamente non sia maligno, È spesso usato per eludere l'individuazione di files infetti da parte dei programmi di sicurezza, quindi tali files potrebbero essere varianti di Trojan o worm...

Non vi è la sicurezza che sia proprio un virus quindi ma solo una possibilità, quindi occorre sapere il nome esatto dell'infezione, ma sopratutto del file individuato ...

(per esempio:

Trojan.NSAnti.B... in questo caso, oltre al nome dell'infezione, ci saranno i seguenti file che lo riguardano:

  • %SYSTEM%\ winlogine.exe
  • acsmic.dll
  • svchost.exe

Oppure: Win32.NSAnti.n

files correlati:

  • 1.exe
  • 10sy.exe
  • 2.exe
  • 3.exe
  • 4.exe
  • byetmr.exe
  • fastgo.exe)

Abbiamo ora queste possibilità:

1. fai analizzare il file su Virus Total (il link è nella mia firma)

2. me lo invii compresso che lo invio al laboratorio di analisi (occorrerà qualche giorno per la risposta)

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

ecco il rapporto di counter spy:

Trojan.Win32.NSAnti Trojan more information...

Status: Quarantined

Registry entries detected

HKEY_LOCAL_MACHINE\Software\Classes\KMPLAYER.KPL\SHELL\ENQUEUE\DROPTARGET

HKEY_LOCAL_MACHINE\Software\Classes\KMPLAYER.KPL\SHELL\OPEN\DROPTARGET

HKEY_LOCAL_MACHINE\Software\Classes\KMPLAYER.KPL\SHELL\PLAY\DROPTARGET

HKEY_LOCAL_MACHINE\Software\Classes\KMPLAYER.KSF\SHELL\ENQUEUE\DROPTARGET

HKEY_LOCAL_MACHINE\Software\Classes\KMPLAYER.KSF\SHELL\OPEN\DROPTARGET

HKEY_LOCAL_MACHINE\Software\Classes\KMPLAYER.KSF\SHELL\PLAY\DROPTARGET

in realtà si tratta di chiavi di registro.. che tra l'altro mi sembrano siano associate a KMPlayer cioè un lettore molto noto.. come faccio dunque sia a scansionarle con Virus Total o a inviarti il tutto? (ma davvero lo faresti analizzare? siete proprio eccezionali!!)

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Ciao...

il file dovrebbe (non ne sono sicuro) essere questo:

KMPLAYER.KPL

Comunque se è di KMPlayer probabilmente si tratta di un falso positivo in quanto compresso con il programma in questione... ed il programma non è conosciuto come distributore di malware

Cliccando sul link si legge: Bloodhound.NsAnti, Packed.Win32.NSAnti [LINK]

in pratica dice quello che ti ho tradotto più sopra (quello nel quote)... e dice che se l'antivirus rileva questa minaccia, di inviare il file per un'analisi

Please submit such files to Symantec Security Response for further analysis

In pratica la possibilità di falsi positivi è parecchio alta usando tale compressione

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Inviato (modificato)

Ciao...

il file dovrebbe (non ne sono sicuro) essere questo:

KMPLAYER.KPL

sì ma non riesco a trovarlo tramite ricerca..

anzi non mi dà nessun file KMPLAYER né con estensione KPL né con KSF dunque anche per sottoporre il tutto ad un'analisi diventa difficile.. dal momento che sono voci di registro non so come trattarle..

Comunque se è di KMPlayer probabilmente si tratta di un falso positivo in quanto compresso con il programma in questione... ed il programma non è conosciuto come distributore di malware

ok ma allora in tal caso dovrei lasciare le voci che counter spy ha trovato in quarantena? oppure dirgli di ignorare tutto?

Modificato da Belzebù

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Se hai KMPlayer digli di ristabilire le voci e di ignorare tutto... se non erro le voci dovrebbero servire alla PlayList

Se vuoi avere un maggior riscontro, prova a fare uno scan online qui:

foto0038se.jpg

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Crea un account o accedi per lasciare un commento

Devi essere un utente registrato per partecipare

Crea un account

Iscriviti per un nuovo account nella nostra community. È facile!


Registra un nuovo account

Accedi

Sei già registrato? Accedi qui.


Accedi Ora
Accedi per seguire   
Seguaci 0