PDA

Visualizza versione completa : Virus e Spyware W32/Stanit infezione file .exe



ARAGORN II
01-10-09, 21: 40
Ciao a tutti!

Sono ARAGORN II nuovo del forum, e membro di P2PForum (in effetti ho anche sbagliato a scrivere il nickname, se ci fosse modo di modificarlo ve ne sarei grato, eheh! :bgg2)

Vi scrivo perchè questa sera AntiVir Avira preso da una strana concitazione ha incominciato a segnalarmi una miriade di file .exe come virus (per la precisione W32/Stanit); sospettando fossero dei falsi positivi ho provato aggiornare l'antivirus, riavviare il PC, ma la cosa non è migliorata.

Ho notato poi che i primi 3 .exe si trovavano nella cartella C:/User/Public e li ho cancellati (avevano dei nomi strani, mai sentiti), mentre gli altri provenivano tutti da una stessa cartella situata nel desktop che utilizzo per raccogliere appunto i file di installazione dei programmi che ho installati (Skype, VLC, ecc...).

Dal momento che i file di installazione posso sempre riscaricarli, ho fatto una scansione mirata alla cartella in questione ed ho messo circa una 80ina di .exe in quarantena (stranamente qualche eseguibile sembra essersi salvato dal contagio), ora sto facendo una scansione approfondita del sistema (che non è ancora terminata) ma sembra (incrociando le dita) che non venga rilevato granchè.

Per completezza ho fatto anche una scansione con Windows Defender (giusto perchè avevo installato anche lui), Hijackthis e AdAware 2009 che risultano puliti. Il pc non presenta alcun rallentamento ne malfunzionamento apparente.

Mi chiedevo, c'è qualcosa che posso fare per assicurarmi che sia stata solo una spiacevole momentanea situazione? ;)

Vi ringrazio in anticipo per la risposta. :)

:bai2

LadyHawke
01-10-09, 22: 02
Ciao Aragorn :hap

Senti, scaricati subito, e dico subito Virit (http://www.tgsoft.it/italy/download.asp), aggiornalo, scollegati appena possibile e lancialo: il tuo Stanit è più conosciuto con il nome di Tenga.A e macina gli EXE, che una volta corrotti non sono generalmente più recuperabili, quindi capisci che se attacca roba di sistema siamo fritti :boh

Fammi sapere che dice Virit

:bai2

ARAGORN II
02-10-09, 13: 09
Ciao Lady! :)

Grazie innanzi tutto per la risposta rapidissima! Ho provato a fare la scansione con VirIT del disco su cui è installato Windows Vista, non appena possibile, come mi dicevi (mantenendo le impostazioni standard, solo dopo mi sono accorto che la scansione degli archivi compressi non era abilitata, non so se può essere un problema?) è sembra essere tutto pulito.

Allego di seguito il log:


VirIT eXplorer Lite Log

[SCANSIONE DELLA MEMORIA]
[Hidden Services]
avgntflt - avgntflt - system32\DRIVERS\avgntflt.sys
avipbb - avipbb - system32\DRIVERS\avipbb.sys

OK
--------------------------------------------------------
02/10/2009 - 07:40:41

[SCANSIONE DEL REGISTRO]
OK

[C:]
MASTER BOOT RECORD: OK
BOOT SECTOR: OK


Chiavi Registro infette: 0.
Files Infetti: 0.
Files Sospetti: 0.
Files Analizzati: 221834.
Files Totali: 221834.
Chiavi Registro rimosse: 0.
Virus Rimossi: 0.


Non ho ancora scansionato la partizione con Windows 7, ma pensavo non fosse strettamente necessario visto che il virus si è manifestato mentre utilizzavo Vista, è così o sarebbe meglio scansionare anche quella?

C'è altro che potrei fare?

Grazie mille! :)

:bai

PS. Grazie anche per il cambio del nick! ;)

Asterix
02-10-09, 13: 45
Ciao



C'è altro che potrei fare?


Sicuramente cancellare i punti di ripristino sistema, in quanto l'infezione potrebbe essere presente in uno di essi.

Poi per scrupolo, anche se dubito vedendo il log, verifica se hai ancora qualche sua traccia

file:

dl.exe
CBACK.EXE
GAELICUM.EXE

e le seguenti chiavi di registro.

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
“GAELICUM.EXE”=”<Path>\GAELICUM.EXE”

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
“CBACK.EXE”=”<Path>\CBACK.EXE”

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
“CBACK.EXE”=”<Path>\dl.EXE”

:bai

LadyHawke
02-10-09, 14: 19
Dai anche una ripulita generale utilizzando ATF-Cleaner (http://www.atribune.org/ccount/click.php?id=1) e spuntando tutte le opzioni (anche quelle di Firefox/Opera se li usi)

Il Tenga cerca di scaricare il file DL.EXE indicato da Asterix attraverso un url (http://utenti.lycos.it/[***]/dl.exe), per cui è lecito pensare che inserisca questo link in qualche posizione favorevole: controlla che il File Hosts sia come descritto qui (http://www.collectiontricks.it/forum/showthread.php?t=275), e in caso contrario segui le istruzioni per ripristinarlo; scarica anche DelDomain.inf (http://www.mvps.org/winhelp2002/DelDomains.inf), clicca con il tasto destro e scegli "installa" per resettare la Trusted Zone.

Dati i rischi del virus, una passatina anche su Windows 7 la darei per sicurezza :och


:bai2

ARAGORN II
02-10-09, 16: 46
Grazie anche ad asterix per le preziose informazioni! :)

Ho provato a cercare i 3 file indicati attraverso lo strumento "Cerca" standard di Windows, e sembra non essercene traccia.
Anche le chiavi di registro sembrano essere assenti, l'unica cosa di cui ho un dubbio è dove debbano essere cercate, in HKey_Local_Machine è giusto?

Questo è quello che ottengo:

http://www.avigion06.p2pforum.it/regedit.jpg

Il file host invece presente una riga in più in fondo, dovrei eliminarla?


# Copyright (c) 1993-2006 Microsoft Corp.
#
# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.
#
# This file contains the mappings of IP addresses to host names. Each
# entry should be kept on an individual line. The IP address should
# be placed in the first column followed by the corresponding host name.
# The IP address and the host name should be separated by at least one
# space.
#
# Additionally, comments (such as these) may be inserted on individual
# lines or following the machine name denoted by a '#' symbol.
#
# For example:
#
# 102.54.94.97 rhino.acme.com # source server
# 38.25.63.10 x.acme.com # x client host

127.0.0.1 localhost
::1 localhost

Ho fatto girare AFT Cleaner spuntando tutte le opzioni e levando la spunta solo per le password di Firefox e Opera; dal momento che potrei avere qualche problema nel ricordarle tutte, spero che non crei difficoltà.

Ho resettato, come mi hai suggerito Lady, la Trusted Zone.

Mentre effettuavo il tutto, Avira mi ha segnalato un .exe infettato da TR/PSW.Delf.CRW, l'ho messo in quarantena, comunque proveniva da una penna USB che avevo inserito.

Volevo chiedere se tutti i file exe infetti trovati in precedenza da Avira, che ora si trovano in quarantena, possono essere cancellati, o è meglio lasciarli lì?

Ora sto mandando VirIT sulla partizione di Windows 7.

Non ho ancora cancellato i punti di ripristino, perchè mi chiedevo, non potrebbero essere un utile appiglio nel caso la situazioni degeneri? Nel caso non fosse così provvedo a cancellarli tutti, anche l'ultimo (se Windows me lo permette).

Come ultima cosa, stavo notando proprio ora che il processo explorer.exe sembra un po' incasinato, cioè ora si è calmato, ma subito dopo aver cercato i file tendeva ad occupare almeno il 40% di cpu, anche se forse potrebbe essere dovuto al fatto che ricercando i file, si sia "risvegliato" il processo di indicizzazione, che a volte in Vista, torna alla carica quando meno te lo aspetti. Si è anche bloccato una volta (mi riferisco a explorer.exe), ma sono riuscito a recuperarlo ed ora sembra andar bene.

Vi ringrazio per tutto l'aiuto che mi state dando. :)

Stefano

:bai

Asterix
02-10-09, 17: 19
::1 localhost è per il nuovo protocollo IPv6


Non ho ancora cancellato i punti di ripristino, perchè mi chiedevo, non potrebbero essere un utile appiglio nel caso la situazioni degeneri?

Si se il pc risulta instabile puoi recuperare la situazione con il virus, ora sta a te decidere quale risulta il minor dei mali :P

:bai

PS prova anche questo tools http://www.free-av.com/en/tools/3/avira_antivir_removal_tool.html in mod provvisoria

ARAGORN II
02-10-09, 17: 29
Grazie asterix per le precisazioni, ora penso un attimo a che fare! ;)

Nell'ultima scansione della partizione di Windows 7, sono stati trovati e rimossi 3 file infetti:


02/10/2009 - 16:48:28

[SCANSIONE DEL REGISTRO]
OK

[G:]
MASTER BOOT RECORD: OK
BOOT SECTOR: OK

G:\Windows\System32\sppsvc.exe Infetto da Trojan.Win32.Rootkit.CW
* * * RIMOSSO * * *
G:\Windows\winsxs\amd64_microsoft-windows-security-spp_31bf3856ad364e35_6.1.7100.0_none_e772eb5d2e663 565\sppsvc.exe Infetto da Trojan.Win32.Rootkit.CW
* * * RIMOSSO * * *
G:\Windows\winsxs\Backup\amd64_microsoft-windows-security-spp_31bf3856ad364e35_6.1.7100.0_none_e772eb5d2e663 565_sppsvc.exe_fc6922a9 Infetto da Trojan.Win32.Rootkit.CW
* * * RIMOSSO * * *

Chiavi Registro infette: 0.
Files Infetti: 3.
Files Sospetti: 0.
Files Analizzati: 104614.
Files Totali: 104614.
Chiavi Registro rimosse: 0.
Virus Rimossi: 3.

Potrebbero riferirsi allo stesso virus che ha intaccato Vista?

:bai

Asterix
02-10-09, 19: 55
Ciao

io nella tua situazione proverei anche una scansione completa di tutti gli hd tramite un boot cd, partendo dal bootcd non viene caricato nessun s.o e quindi tutti i processi risultano liberi per la cancellazione.

in rete ho trovato questi bootcd

Kaspersky Rescue CD (http://devbuilds.kaspersky-labs.com/devbuilds/RescueDisk/)
Avira AntiVir Rescue System (http://dl.antivir.de/down/vdf/rescuecd/rescuecd.exe)
BitFedender Rescue CD (http://download.bitdefender.com/rescue_cd/)

Si scarica la iso e poi si procede con la masterizzazione.

:bai

ARAGORN II
02-10-09, 21: 31
Riporto i risultati della scansione effettuata con Antivir Removal Tool, su tutte le partizioni del disco.


[2/10/2009 20:27:19]
AntiVir Removal Tool 3.0 (c) 2009 Avira GmbH
Removal Tool for:
Sober.J/P/Y
TR/Agent.imh/its
TR/Drop.Agent.qna.2/Agent.qna.1
TR/PSW.Delf.AH/Kates.C.25
TR/Spy.Delf.tge/Banker.AATZ/Banker.AATZ.1/Banker.AATZ.2/Banker.AATZ.3
W32/Stanit.A
Worm/NetSky.P

Version: 3.0.1.17, Jun 3 2009 11:33:20

Use /? to list all available command line options

- Saving results to logfile "removaltool-win32-en.log".

- Host: "PC-Stefano", IP: 192.168.1.2

Scanning memory... done

No malware found in memory


Scanning drive C: ...

Scanning drive D: ...

Scanning drive G: ...

No malware found on hard drives

scan results:

scanned directories: 54299
scanned files: 307610
scanned streams: 223
scanned processes: 87
scanned modules: 734

infected files: 0
infected processes: 0

repaired/removed files: 0
renamed files: 0
terminated processes: 0

elapsed time for memory scan: 24.76 seconds
average memory scanner throughput: 21138.99 KB/s

elapsed time for file scan: 4528.86 seconds
average file scanner throughput: 913.91 KB/s

Thank you for using AntiVir Removal Tool.


Sembrerebbero non esserci problemi.

Grazie asterix prenderò in considerazione anche questa opzione. ;)

EDIT: Riguardo gli exe in quarantena che dite li cancello?

:bai

ARAGORN II
03-10-09, 16: 47
Scusate il doppio, ma avevo qualche dubbio a proposito del rootkit segnalato da VirIT nella partizione di Windows 7, il fatto è che oggi accedendo a Windows 7 per l'appunto, ho notato che la copia (RC1, regolarmente attivata sul sito della Microsoft) non risultava più genuina.

Ho cercato un po' in giro e da quel che ho capito il processo sppsvc.exe dovrebbe essere un qualcosa che regola l'attivazione di Windows (a grandi linee), ed in effetti ripristinando il file eliminato, la copia che è risultata di nuovo genuina.

Potrebbe quindi essere magari un errore di VirIT?

:bai

Asterix
03-10-09, 19: 24
Ciao

ho appena terminato una scansione con vir.it sul mio windows 7 e quel file è passato indenne. :m:

Prova ad aggiornare vir.it e a rifare la scansione da windows 7, nelle opzioni di scansione di vir.it metti solo scansione così eviti di dover ripristinare il file.

:bai

PS :m: forse ti viene rilevato pericoloso in quanto la scansione la esegui da vista e per lui la posizione del file non è corretta

ARAGORN II
03-10-09, 19: 47
PS :m: forse ti viene rilevato pericoloso in quanto la scansione la esegui da vista e per lui la posizione del file non è corretta

Ecco in effetti questo potrebbe aver senso! :) Anche perchè il processo in questione lo vedo tranquillamente nel Task Manager ed è "firmato" Microsoft.

Proverò comunque a dare un'occhiata.

Grazie!

:bai