Trojan su sens.dll

[ltc044]

Da un pò di tempo l'ottimo Avira AntiVir Personal (versione freeware) mi segnala la presenza di un Trojan nel file

sens.dll

contenuto all'interno di c:\windows\system32

Ho provato a cancellarlo, ma non è possibile. Ho provato anche ad entrare con linux, ma anche li non ci sono riuscito (senz'altro perchè sono niubbo, probabilmente non avevo la distro giusta per lavorare su NTFS...).

Poi ho provato a guardare su google, e mi pare di avere capito che se elimino sens.dll non funziona più windows !!!!

Leggendo sul forum ho provato a fare una scansione con VIRUSTOTAL, che mi segnala una positività del 25%.

Adesso che faccio ?? Non ne ho la più pallidsa idea !!!

[ltc044]

Aggiungo il risultato della scansione con VirusTotal:

Codice:

Antivirus        Versione        Ultimo aggiornamento      Risultato 
AhnLab-V3     2008.5.16.0     2008.05.16                       - 
AntiVir           7.8.0.19          2008.05.17                    TR/Patched.BD.150 
Authentium     5.1.0.4           2008.05.17                        - 
Avast            4.8.1195.0      2008.05.17                    Win32:Patched-FF 
AVG              7.5.0.516        2008.05.16                        - 
BitDefender    7.2                 2008.05.17                     Trojan.Patched.BD 
CAT-QuickHeal 9.50              2008.05.16                         - 
ClamAV          0.92.1            2008.05.17                         - 
DrWeb           4.44.0.09170   2008.05.17                         - 
eSafe            7.0.15.0         2008.05.16                          - 
eTrust-Vet     31.4.5796       2008.05.16                          - 
Ewido            4.0                2008.05.14                          - 
F-Prot           4.4.2.54         2008.05.16                          - 
F-Secure       6.70.13260.0   2008.05.17                          - 
Fortinet         3.14.0.0         2008.05.17                          - 
GData           2.0.7306.1023  2008.05.17                     Win32:Patched-FF 
Ikarus           T3.1.1.26.0     2008.05.17                     Trojan.Patched.BD 
Kaspersky      7.0.0.125        2008.05.17                          - 
McAfee         5297              2008.05.17                          - 
Microsoft       1.3408           2008.05.13                          - 
NOD32v2       3106              2008.05.16                          - 
Norman         5.80.02           2008.05.16                          - 
Panda           9.0.0.4           2008.05.17                          - 
Prevx1          V2                 2008.05.17                           - 
Rising            20.44.51.00    2008.05.17                      Trojan.Win32.Patch.d 
Sophos         4.29.0            2008.05.17                           - 
Sunbelt         3.0.1123.1      2008.05.17                           - 
Symantec      10                 2008.05.17                           - 
TheHacker      6.2.92.311     2008.05.15                           - 
VBA32           3.12.6.6         2008.05.17                           - 
VirusBuster     4.3.26:9        2008.05.16                           - 
Webwasher-Gateway 6.6.2   2008.05.17                     Trojan.Patched.BD.150 

Informazioni addizionali 
File size: 38912 bytes 
MD5...: 255631232d0e55e0d8c593c06dfeda42 
SHA1..: 9235e3b2710c4558804a36b324237de165d0fcf9 
SHA256: 026e4455b631521eb62122916a0573bb8585db04c4f8e726fb73e4f447eaec65 
SHA512: 2358ba7d277fb117951d4ddccef24e21adc2dce77f7c0f9f790661828f6d968e
06e96e3fdecada17dfa10bb599e9e356aacffa942fd9179ff68b8ee0d06bb9d1 
PEiD..: - 
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x722612a3
timedatestamp.....: 0x41252beb (Thu Aug 19 22:38:35 2004)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x722d 0x7400 6.32 d02829e3250c37a72c901aa6012cd852
.data 0x9000 0x29c 0x200 1.62 5a0f2e57aa07bc30a10295a9dc8aa488
.rsrc 0xa000 0x1520 0x1600 3.95 1ef872deceab5ec81f62aa55fe58b402
.reloc 0xc000 0x6c4 0x800 6.15 5bb7fb37a59094ba5b7a00dc52b7ccb5

( 6 imports ) 
> ntdll.dll: wcscpy, wcscmp, _wcsnicmp, wcschr, wcscat, wcslen
> RPCRT4.dll: RpcBindingSetAuthInfoExW, RpcBindingFromStringBindingW, NdrServerCall2, I_RpcBindingIsClientLocal, RpcServerRegisterIfEx, RpcServerUseProtseqEpW, RpcMgmtSetServerStackSize, RpcServerUnregisterIf, RpcBindingFree, RpcStringBindingComposeW, NdrClientCall2, RpcStringFreeW
> ole32.dll: StringFromIID, CoCreateInstance, CoRegisterClassObject, CoRevokeClassObject, CoInitializeEx, CoTaskMemFree, CoUninitialize
> USER32.dll: wsprintfW
> KERNEL32.dll: SetUnhandledExceptionFilter, UnhandledExceptionFilter, GetCurrentProcess, TerminateProcess, LocalFree, FormatMessageW, SetEvent, GetSystemPowerStatus, OpenEventW, InitializeCriticalSection, GetProcessHeap, FreeLibrary, GetProcAddress, LoadLibraryW, DisableThreadLibraryCalls, DeleteCriticalSection, CloseHandle, GetTickCount, InterlockedIncrement, InterlockedDecrement, EnterCriticalSection, LeaveCriticalSection, HeapAlloc, HeapFree, InterlockedExchange, DeleteTimerQueueTimer, Sleep, CreateTimerQueueTimer, GetLastError, QueueUserWorkItem, MapViewOfFile, CreateFileMappingW, UnmapViewOfFile, lstrlenW, DelayLoadFailureHook, InterlockedCompareExchange, LoadLibraryA, QueryPerformanceCounter, GetCurrentThreadId, GetCurrentProcessId, GetSystemTimeAsFileTime
> ADVAPI32.dll: RegEnumKeyExW, RegSetKeySecurity, RegDeleteValueW, OpenSCManagerW, OpenServiceW, QueryServiceStatus, CloseServiceHandle, WmiNotificationRegistrationW, RegOpenKeyExW, RegQueryValueExW, RegSetValueExW, RegCloseKey, GetLengthSid, InitializeAcl, AddAccessAllowedAce, InitializeSecurityDescriptor, SetSecurityDescriptorDacl, AllocateAndInitializeSid, FreeSid, RegisterServiceCtrlHandlerExW, SetServiceStatus, RegisterEventSourceW, ReportEventW, DeregisterEventSource

( 4 exports ) 
SensNotifyNetconEvent, SensNotifyRasEvent, SensNotifyWinlogonEvent, ServiceMain

[Chill-Out]

Probabile Falso Positivo per il momento non cancellarlo assolutamente

Falla scansionare anche qui: http://virusscan.jotti.org/ così abbiamo un'uteriore riscontro

[Nuz]

Servirebbero i log di tutte le scansioni con i software consigliati nella guida alla disinfezione:

http://www.hwupgrade.it/forum/showthread.php?t=1599737

Intanto puoi provare a fare il controllo dei file di Windows. Se non risulta "buono" verrà ripristinato.

Clicca su Start, poi in esegui digita: sfc /scannow.

Pare che in questo modo un utente sul forum di BitDefender abbia risolto:

http://forum.bitdefender.com/index.p...rt=#entry23403



Edit: effettua innanzitutto la verifica che ti ha giustamente suggerito Chill-Out, potrebbe effettivamente anche trattarsi di un Falso Positivo.

[ltc044]

Grazie della prontissima risposta.

Ho provato a fare la scansione anche sul sito che mi ha suggerito Chill-Out, e la situazione è analoga.

Quote:

File: sens.dll
Status: POSSIBLY INFECTED/MALWARE
(Note: this file was only classified as malware by scanners known to generate more false positives than the average scanner. Do not consider these results definately accurate. Also, because of this, results of this scan will not be recorded in the database.)
MD5: 255631232d0e55e0d8c593c06dfeda42

e questa è la sequenza delle scansioni

Quote:

Scan taken on 17 May 2008 08:49:59 (GMT)

A-Squared Found nothing
AntiVir Found TR/Patched.BD.150
ArcaVir Found nothing
Avast Found Win32:Patched-FF
AVG Antivirus Found nothing
BitDefender Found Trojan.Patched.BD
ClamAV Found nothing
CPsecure Found nothing
Dr.Web Found nothing
F-Prot Antivirus Found nothing
F-Secure Anti-Virus Found nothing
Fortinet Found nothing
Ikarus Found Trojan.Patched.BD
Kaspersky Anti-Virus Found nothing
NOD32 Found nothing
Norman Virus Control Found nothing
Panda Antivirus Found nothing
Sophos Antivirus Found nothing
VirusBuster Found nothing
VBA32 Found nothing

[xcdegasp]

per risolvere il problema basta che scrivi un email all'assistenza di Avira, sono disponibilissimi e in tempi brevi oltre a risponderti dicendo la loro analisi ti diranno anche i tempi per la correzione nel antivirus

Codice:

[email protected]

allegagli il file zippato (con indicato il percorso in cui sitrovava nel tuo disco) e il link all'analisi di www.virustotal.com

[ltc044]

Quote:

Originariamente inviato da xcdegasp

per risolvere il problema basta che scrivi un email all'assistenza di Avira, sono disponibilissimi e in tempi brevi oltre a risponderti dicendo la loro analisi ti diranno anche i tempi per la correzione nel antivirus

Codice:

[email protected]

allegagli il file zippato (con indicato il percorso in cui sitrovava nel tuo disco) e il link all'analisi di www.virustotal.com

Ho fatto come consigliato !!
Adesso aspetto la risposta di Avira.
Se è come dici sono proprio mega ....

[Chill-Out]

Quote:

Originariamente inviato da ltc044

Ho fatto come consigliato !!
Adesso aspetto la risposta di Avira.
Se è come dici sono proprio mega ....

Attendiamo il responso, ciao.

[ltc044]

Quote:

Originariamente inviato da Nuz

Intanto puoi provare a fare il controllo dei file di Windows. Se non risulta "buono" verrà ripristinato.

Clicca su Start, poi in esegui digita: sfc/ scannow.

ho provato, ma digitando (su esegui)

sfc/scannow

mi dice che non esiste il file

(anche con lo spazio dopo lo slash...)

[Nuz]

Avevo sbagliato, il comando è sfc /scannow.

[ltc044]

Quote:

Originariamente inviato da Chill-Out

Attendiamo il responso, ciao.

.. e questo è il respondo dello staff di Avira

Codice:

Dear Sir or Madam, 
 
 
Thank you for your recent inquiry. 
 
We found the virus TR/Patched.BD.150 in the attachment you have sent us. 
The current version of AntiVir already detects this virus. 
 
We thank you for your assistance. 
 
It's not a false positive.
 
Attachment(s) you sent: 
- sens_dll.zip
-- 
Freundliche Gruesse / Best regards
Avira GmbH

Fabian Henne
First Level Support

Avira GmbH
Lindauer Str. 21, D-88069 Tettnang, Germany
Internet: http://www.avira.com

[ltc044]

Quote:

Originariamente inviato da Nuz

Intanto puoi provare a fare il controllo dei file di Windows. Se non risulta "buono" verrà ripristinato.

Clicca su Start, poi in esegui digita: sfc/ scannow.

ho eseguito il comando indicato. Dopo che mi ha chiesto svariate volte di inserire il cd di windows xp con cui ho installato, si è conclusa (in un tempo non brevissimo) la operazione .... senza alcun messaggio finale !
E' giusto così ??

[xcdegasp]

rifai una scansione con avira
visto che figata è scrivere ad avira?

[Chill-Out]

Quote:

Originariamente inviato da ltc044

.. e questo è il respondo dello staff di Avira

Codice:

Dear Sir or Madam, 
 
 
Thank you for your recent inquiry. 
 
We found the virus TR/Patched.BD.150 in the attachment you have sent us. 
The current version of AntiVir already detects this virus. 
 
We thank you for your assistance. 
 
It's not a false positive.
 
Attachment(s) you sent: 
- sens_dll.zip
-- 
Freundliche Gruesse / Best regards
Avira GmbH

Fabian Henne
First Level Support

Avira GmbH
Lindauer Str. 21, D-88069 Tettnang, Germany
Internet: http://www.avira.com

Ma l'avranno rianalizzato? Se hai ancora il sample inviato ad Avira me lo postresti mandare? Grazie.

Hai PM

[ltc044]

Quote:

Originariamente inviato da xcdegasp

rifai una scansione con avira
visto che figata è scrivere ad avira?

ho rifatto la scansione con Avira (del solo sens.dll) ed adesso tutto è ok, il trojan sarebbe scomparso...

Quote:

Originariamente inviato da Chill-Out

Ma l'avranno rianalizzato? Se hai ancora il sample inviato ad Avira me lo postresti mandare? Grazie.

Hai PM

ti ho postato il link allo zip che contiene il sens.dll originale, che effettivamente ancor adesso mi viene segnalato positivo per trojan !! (parlo di quello zippato che mi ero messo sul desktop, ovviamente).

In teoria quindi con il comando di cui sopra avrei risolto il problema ??

[ltc044]

Inoltre posto qui il riferimento a virustotal con la scansione del rinnovato sens.dll, che finalmente viene segnalato NEGATIVO da tutti gli antivirus !!!

Link alla scansione virustotal di sens.dll riparato

Che abbia ragione davvero Avira ??

[Chill-Out]

Quote:

Originariamente inviato da ltc044

Inoltre posto qui il riferimento a virustotal con la scansione del rinnovato sens.dll, che finalmente viene segnalato NEGATIVO da tutti gli antivirus !!!

http://www.virustotal.com/it/analisis/da918eb585d214e85dfa936a7a19bfe5

Che abbia ragione davvero Avira ??

Il link non è cliccabile, comunque dovresti aver risolto