Pagina 1 di 2 12 UltimoUltimo
Mostra risultati da 1 a 10 di 13

Discussione: W32/Stanit infezione file .exe

  1. #1
    Data registrazione
    Oct 2009
    Sesso
    Uomo
    Località
    Recanati
    Messaggi
    237
    Grazie dati 
    217
    Grazie ricevuti 
    97
    Ringraziato in
    57 post

    W32/Stanit infezione file .exe

    Ciao a tutti!

    Sono ARAGORN II nuovo del forum, e membro di P2PForum (in effetti ho anche sbagliato a scrivere il nickname, se ci fosse modo di modificarlo ve ne sarei grato, eheh! )

    Vi scrivo perchè questa sera AntiVir Avira preso da una strana concitazione ha incominciato a segnalarmi una miriade di file .exe come virus (per la precisione W32/Stanit); sospettando fossero dei falsi positivi ho provato aggiornare l'antivirus, riavviare il PC, ma la cosa non è migliorata.

    Ho notato poi che i primi 3 .exe si trovavano nella cartella C:/User/Public e li ho cancellati (avevano dei nomi strani, mai sentiti), mentre gli altri provenivano tutti da una stessa cartella situata nel desktop che utilizzo per raccogliere appunto i file di installazione dei programmi che ho installati (Skype, VLC, ecc...).

    Dal momento che i file di installazione posso sempre riscaricarli, ho fatto una scansione mirata alla cartella in questione ed ho messo circa una 80ina di .exe in quarantena (stranamente qualche eseguibile sembra essersi salvato dal contagio), ora sto facendo una scansione approfondita del sistema (che non è ancora terminata) ma sembra (incrociando le dita) che non venga rilevato granchè.

    Per completezza ho fatto anche una scansione con Windows Defender (giusto perchè avevo installato anche lui), Hijackthis e AdAware 2009 che risultano puliti. Il pc non presenta alcun rallentamento ne malfunzionamento apparente.

    Mi chiedevo, c'è qualcosa che posso fare per assicurarmi che sia stata solo una spiacevole momentanea situazione? ;)

    Vi ringrazio in anticipo per la risposta. :)

    Ultima modifica di ARAGORN II; 01-10-09 alle 21: 55.

    Rispondi citando Rispondi citando Il mio PC

  2. # ADS
    Google Adsense Circuito Adsense
    Data registrazione
    da sempre
    Località
    mondo google
    Messaggi
    molti
     
  3. #2
    Data registrazione
    Aug 2009
    Sesso
    Donna
    Messaggi
    1,323
    Grazie dati 
    341
    Grazie ricevuti 
    1,798
    Ringraziato in
    719 post

    Riferimento: W32/Stanit infezione file .exe

    Ciao Aragorn

    Senti, scaricati subito, e dico subito Virit, aggiornalo, scollegati appena possibile e lancialo: il tuo Stanit è più conosciuto con il nome di Tenga.A e macina gli EXE, che una volta corrotti non sono generalmente più recuperabili, quindi capisci che se attacca roba di sistema siamo fritti

    Fammi sapere che dice Virit

    Dum differtur, vita transcurrit

    Rispondi citando Rispondi citando Il mio PC

  4. #3
    Data registrazione
    Oct 2009
    Sesso
    Uomo
    Località
    Recanati
    Messaggi
    237
    Grazie dati 
    217
    Grazie ricevuti 
    97
    Ringraziato in
    57 post

    Riferimento: W32/Stanit infezione file .exe

    Ciao Lady! :)

    Grazie innanzi tutto per la risposta rapidissima! Ho provato a fare la scansione con VirIT del disco su cui è installato Windows Vista, non appena possibile, come mi dicevi (mantenendo le impostazioni standard, solo dopo mi sono accorto che la scansione degli archivi compressi non era abilitata, non so se può essere un problema?) è sembra essere tutto pulito.

    Allego di seguito il log:

    VirIT eXplorer Lite Log

    [SCANSIONE DELLA MEMORIA]
    [Hidden Services]
    avgntflt - avgntflt - system32\DRIVERS\avgntflt.sys
    avipbb - avipbb - system32\DRIVERS\avipbb.sys

    OK
    --------------------------------------------------------
    02/10/2009 - 07:40:41

    [SCANSIONE DEL REGISTRO]
    OK

    [C:]
    MASTER BOOT RECORD: OK
    BOOT SECTOR: OK


    Chiavi Registro infette: 0.
    Files Infetti: 0.
    Files Sospetti: 0.
    Files Analizzati: 221834.
    Files Totali: 221834.
    Chiavi Registro rimosse: 0.
    Virus Rimossi: 0.
    Non ho ancora scansionato la partizione con Windows 7, ma pensavo non fosse strettamente necessario visto che il virus si è manifestato mentre utilizzavo Vista, è così o sarebbe meglio scansionare anche quella?

    C'è altro che potrei fare?

    Grazie mille! :)



    PS. Grazie anche per il cambio del nick! ;)

    Rispondi citando Rispondi citando Il mio PC

  5. #4
    Data registrazione
    Jan 2009
    Sesso
    Boh
    Località
    Vicenza
    Messaggi
    2,689
    Grazie dati 
    445
    Grazie ricevuti 
    2,879
    Ringraziato in
    1,250 post

    Riferimento: W32/Stanit infezione file .exe

    Ciao

    Citazione Originariamente scritto da ARAGORN II Vedi messaggio
    C'è altro che potrei fare?
    Sicuramente cancellare i punti di ripristino sistema, in quanto l'infezione potrebbe essere presente in uno di essi.

    Poi per scrupolo, anche se dubito vedendo il log, verifica se hai ancora qualche sua traccia

    file:

    dl.exe
    CBACK.EXE
    GAELICUM.EXE

    e le seguenti chiavi di registro.

    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    “GAELICUM.EXE”=”<Path>\GAELICUM.EXE”

    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    “CBACK.EXE”=”<Path>\CBACK.EXE”

    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    “CBACK.EXE”=”<Path>\dl.EXE”

    ama la vita.... è l'unico regalo che non riceverai due volte.....

    Rispondi citando Rispondi citando Il mio PC

  6. #5
    Data registrazione
    Aug 2009
    Sesso
    Donna
    Messaggi
    1,323
    Grazie dati 
    341
    Grazie ricevuti 
    1,798
    Ringraziato in
    719 post

    Riferimento: W32/Stanit infezione file .exe

    Dai anche una ripulita generale utilizzando ATF-Cleaner e spuntando tutte le opzioni (anche quelle di Firefox/Opera se li usi)

    Il Tenga cerca di scaricare il file DL.EXE indicato da Asterix attraverso un url (http://utenti.lycos.it/[***]/dl.exe), per cui è lecito pensare che inserisca questo link in qualche posizione favorevole: controlla che il File Hosts sia come descritto qui, e in caso contrario segui le istruzioni per ripristinarlo; scarica anche DelDomain.inf, clicca con il tasto destro e scegli "installa" per resettare la Trusted Zone.

    Dati i rischi del virus, una passatina anche su Windows 7 la darei per sicurezza :och


    Dum differtur, vita transcurrit

    Rispondi citando Rispondi citando Il mio PC

  7. #6
    Data registrazione
    Oct 2009
    Sesso
    Uomo
    Località
    Recanati
    Messaggi
    237
    Grazie dati 
    217
    Grazie ricevuti 
    97
    Ringraziato in
    57 post

    Riferimento: W32/Stanit infezione file .exe

    Grazie anche ad asterix per le preziose informazioni! :)

    Ho provato a cercare i 3 file indicati attraverso lo strumento "Cerca" standard di Windows, e sembra non essercene traccia.
    Anche le chiavi di registro sembrano essere assenti, l'unica cosa di cui ho un dubbio è dove debbano essere cercate, in HKey_Local_Machine è giusto?

    Questo è quello che ottengo:

    Immagine ridotta


    Il file host invece presente una riga in più in fondo, dovrei eliminarla?

    # Copyright (c) 1993-2006 Microsoft Corp.
    #
    # This is a sample HOSTS file used by Microsoft TCP/IP for Windows.
    #
    # This file contains the mappings of IP addresses to host names. Each
    # entry should be kept on an individual line. The IP address should
    # be placed in the first column followed by the corresponding host name.
    # The IP address and the host name should be separated by at least one
    # space.
    #
    # Additionally, comments (such as these) may be inserted on individual
    # lines or following the machine name denoted by a '#' symbol.
    #
    # For example:
    #
    # 102.54.94.97 rhino.acme.com # source server
    # 38.25.63.10 x.acme.com # x client host

    127.0.0.1 localhost
    ::1 localhost
    Ho fatto girare AFT Cleaner spuntando tutte le opzioni e levando la spunta solo per le password di Firefox e Opera; dal momento che potrei avere qualche problema nel ricordarle tutte, spero che non crei difficoltà.

    Ho resettato, come mi hai suggerito Lady, la Trusted Zone.

    Mentre effettuavo il tutto, Avira mi ha segnalato un .exe infettato da TR/PSW.Delf.CRW, l'ho messo in quarantena, comunque proveniva da una penna USB che avevo inserito.

    Volevo chiedere se tutti i file exe infetti trovati in precedenza da Avira, che ora si trovano in quarantena, possono essere cancellati, o è meglio lasciarli lì?

    Ora sto mandando VirIT sulla partizione di Windows 7.

    Non ho ancora cancellato i punti di ripristino, perchè mi chiedevo, non potrebbero essere un utile appiglio nel caso la situazioni degeneri? Nel caso non fosse così provvedo a cancellarli tutti, anche l'ultimo (se Windows me lo permette).

    Come ultima cosa, stavo notando proprio ora che il processo explorer.exe sembra un po' incasinato, cioè ora si è calmato, ma subito dopo aver cercato i file tendeva ad occupare almeno il 40% di cpu, anche se forse potrebbe essere dovuto al fatto che ricercando i file, si sia "risvegliato" il processo di indicizzazione, che a volte in Vista, torna alla carica quando meno te lo aspetti. Si è anche bloccato una volta (mi riferisco a explorer.exe), ma sono riuscito a recuperarlo ed ora sembra andar bene.

    Vi ringrazio per tutto l'aiuto che mi state dando. :)

    Stefano


    Rispondi citando Rispondi citando Il mio PC

  8. #7
    Data registrazione
    Jan 2009
    Sesso
    Boh
    Località
    Vicenza
    Messaggi
    2,689
    Grazie dati 
    445
    Grazie ricevuti 
    2,879
    Ringraziato in
    1,250 post

    Riferimento: W32/Stanit infezione file .exe

    ::1 localhost è per il nuovo protocollo IPv6

    Non ho ancora cancellato i punti di ripristino, perchè mi chiedevo, non potrebbero essere un utile appiglio nel caso la situazioni degeneri?
    Si se il pc risulta instabile puoi recuperare la situazione con il virus, ora sta a te decidere quale risulta il minor dei mali :P



    PS prova anche questo tools http://www.free-av.com/en/tools/3/av...oval_tool.html in mod provvisoria
    ama la vita.... è l'unico regalo che non riceverai due volte.....

    Rispondi citando Rispondi citando Il mio PC

  9. #8
    Data registrazione
    Oct 2009
    Sesso
    Uomo
    Località
    Recanati
    Messaggi
    237
    Grazie dati 
    217
    Grazie ricevuti 
    97
    Ringraziato in
    57 post

    Riferimento: W32/Stanit infezione file .exe

    Grazie asterix per le precisazioni, ora penso un attimo a che fare! ;)

    Nell'ultima scansione della partizione di Windows 7, sono stati trovati e rimossi 3 file infetti:

    02/10/2009 - 16:48:28

    [SCANSIONE DEL REGISTRO]
    OK

    [G:]
    MASTER BOOT RECORD: OK
    BOOT SECTOR: OK

    G:\Windows\System32\sppsvc.exe Infetto da Trojan.Win32.Rootkit.CW
    * * * RIMOSSO * * *
    G:\Windows\winsxs\amd64_microsoft-windows-security-spp_31bf3856ad364e35_6.1.7100.0_none_e772eb5d2e663 565\sppsvc.exe Infetto da Trojan.Win32.Rootkit.CW
    * * * RIMOSSO * * *
    G:\Windows\winsxs\Backup\amd64_microsoft-windows-security-spp_31bf3856ad364e35_6.1.7100.0_none_e772eb5d2e663 565_sppsvc.exe_fc6922a9 Infetto da Trojan.Win32.Rootkit.CW
    * * * RIMOSSO * * *

    Chiavi Registro infette: 0.
    Files Infetti: 3.
    Files Sospetti: 0.
    Files Analizzati: 104614.
    Files Totali: 104614.
    Chiavi Registro rimosse: 0.
    Virus Rimossi: 3.
    Potrebbero riferirsi allo stesso virus che ha intaccato Vista?


    Rispondi citando Rispondi citando Il mio PC

  10. #9
    Data registrazione
    Jan 2009
    Sesso
    Boh
    Località
    Vicenza
    Messaggi
    2,689
    Grazie dati 
    445
    Grazie ricevuti 
    2,879
    Ringraziato in
    1,250 post

    Riferimento: W32/Stanit infezione file .exe

    Ciao

    io nella tua situazione proverei anche una scansione completa di tutti gli hd tramite un boot cd, partendo dal bootcd non viene caricato nessun s.o e quindi tutti i processi risultano liberi per la cancellazione.

    in rete ho trovato questi bootcd

    Kaspersky Rescue CD
    Avira AntiVir Rescue System
    BitFedender Rescue CD

    Si scarica la iso e poi si procede con la masterizzazione.

    ama la vita.... è l'unico regalo che non riceverai due volte.....

    Rispondi citando Rispondi citando Il mio PC

  11. #10
    Data registrazione
    Oct 2009
    Sesso
    Uomo
    Località
    Recanati
    Messaggi
    237
    Grazie dati 
    217
    Grazie ricevuti 
    97
    Ringraziato in
    57 post

    Riferimento: W32/Stanit infezione file .exe

    Riporto i risultati della scansione effettuata con Antivir Removal Tool, su tutte le partizioni del disco.

    [2/10/2009 20:27:19]
    AntiVir Removal Tool 3.0 (c) 2009 Avira GmbH
    Removal Tool for:
    Sober.J/P/Y
    TR/Agent.imh/its
    TR/Drop.Agent.qna.2/Agent.qna.1
    TR/PSW.Delf.AH/Kates.C.25
    TR/Spy.Delf.tge/Banker.AATZ/Banker.AATZ.1/Banker.AATZ.2/Banker.AATZ.3
    W32/Stanit.A
    Worm/NetSky.P

    Version: 3.0.1.17, Jun 3 2009 11:33:20

    Use /? to list all available command line options

    - Saving results to logfile "removaltool-win32-en.log".

    - Host: "PC-Stefano", IP: 192.168.1.2

    Scanning memory... done

    No malware found in memory


    Scanning drive C: ...

    Scanning drive D: ...

    Scanning drive G: ...

    No malware found on hard drives

    scan results:

    scanned directories: 54299
    scanned files: 307610
    scanned streams: 223
    scanned processes: 87
    scanned modules: 734

    infected files: 0
    infected processes: 0

    repaired/removed files: 0
    renamed files: 0
    terminated processes: 0

    elapsed time for memory scan: 24.76 seconds
    average memory scanner throughput: 21138.99 KB/s

    elapsed time for file scan: 4528.86 seconds
    average file scanner throughput: 913.91 KB/s

    Thank you for using AntiVir Removal Tool.
    Sembrerebbero non esserci problemi.

    Grazie asterix prenderò in considerazione anche questa opzione. ;)

    EDIT: Riguardo gli exe in quarantena che dite li cancello?

    Ultima modifica di ARAGORN II; 02-10-09 alle 21: 39.

    Rispondi citando Rispondi citando Il mio PC

Tags per questo thread

Segnalibri

Regole di scrittura

  • Tu non puoi inviare nuove discussioni
  • Tu non puoi inviare risposte
  • Tu non puoi inviare allegati
  • Tu non puoi modificare i tuoi messaggi
  •  
Cookies:direttiva 2009/136/CE (E-Privacy)

Il sito utilizza cookies propri e di terze parti per maggiori informazioni faq - Termini di servizio - Cookies
Il forum non puo' funzionare senza l'uso dei cookies pertanto l'uso della community è vincolato dall'accettazione degli stessi, nel caso contrario siete pregati di lasciare la community, proseguendo la navigazione acconsenti all’uso dei cookie