Wie pack ich W32/Stanit an der Wurzel?

Internet Internet Sicherheit
#1

Hallo,
vor ein paar Tagen hat sich mein Virenscanner gar nicht mehr beruhigt, weil er in etwa 2 Dutzend EXE-Dateien den oben genannten Virus gefunden hat.
Ich benutze AntiVir in der neuesten Version. Nach einem kompletten Scan war dann Ruhe. Bis heute. Da hat er wieder einen gefunden. ok, wenigstens nur eine verseuchte EXE. Er befällt nur EXE-Dateien, wie’s aussieht.
Ich glaube aber, dass der Hund sich irgendwo in meinem System versteckt und ich nur befallene Files zerstört habe. Den Virus selbst aber nicht.

Wo nistet sich der ein, wie krieg ich den an der Wurzel und wie kann ich den zukünftig aussperren?
Wie schon viele andere Leidensgenossen bemerkt haben, gibt es im Netz nur wenig Auskunft über diesen Schädling.

Gruß, Andreas

#2

Hi,

Wo nistet sich der ein, wie krieg ich den an der Wurzel und
wie kann ich den zukünftig aussperren?

vielleicht hilft Dir FAQ:128 - besonders der letzte Link ist interessant.

Gruß,

Malte

#3

Wo nistet sich der ein, wie krieg ich den an der Wurzel und
wie kann ich den zukünftig aussperren?
Wie schon viele andere Leidensgenossen bemerkt haben, gibt es
im Netz nur wenig Auskunft über diesen Schädling.

Laut Sophos http://www.sophos.de/virusinfo/analyses/w32tengaa.html ist eine Aufgabe dieses Virus, einen Trojan Downloader aus dem Internet nachzuladen, der dann wieder weiteren Code nachlädt. Auf deutsch: Du musst damit rechnen, dass dein Computer inzw. vielfach infiziert ist.

Diesem Problem an die Wurzel zu gehen heisst, an die Wurzel deines Betriebssystems zu greifen und dieses neu zu installieren.

Da dieser Virus sich über eine uralte, längst gestopfte RPC-Schwäche in Windows verbreitet, wäre es eine gute Idee, nach der Neuinstallation von Windows, aber vor dem ersten anschliessenden Besuch im Internet aktuelle Patches und ServicePacks zu installieren. Bei WinXP z. B. ein mittels nichtinfiziertem Rechner heruntergeladenes SP2.

HTH
Schorsch

#4

Hallo also ich kann Dir bei deinem Problem helfen es ist so, dass sich irgendwo auf dem Rechner eine Kopier EXE versteckt hat und Antivir sie net entdeckt weil sie vom System verwendet wird also es gibt ein schönen TOOL von Mc Afee unter

http://vil.nai.com/vil/stinger/
einfach DOWNLOADEN und durchlaufen lassen wenn er was findet entfernt er es sofort bis dann ciao

[Bei dieser Antwort wurde das Vollzitat nachträglich automatisiert entfernt]

#5

Hallo Flo

Hallo also ich kann Dir bei deinem Problem helfen es ist so,
dass sich irgendwo auf dem Rechner eine Kopier EXE versteckt
hat und Antivir sie net entdeckt weil sie vom System verwendet
wird also es gibt ein schönen TOOL von Mc Afee unter

http://vil.nai.com/vil/stinger/
einfach DOWNLOADEN und durchlaufen lassen wenn er was findet
entfernt er es sofort bis dann ciao

Irgend etwas hast du völlig mißverstanden. w32/Stanit ist ein seit langen bekannter Virus, der sich an ausführbare Dateien anhängt und bei jedem Aufruf der infizierten Dateien versucht, eine Internetverbindung aufzubauen, um einen Trojaner zu downloaden, der nun seinerseits wieder ein Bot installiert.

Da offensichtlich die infizierten Dateien mehrmals schon ausgeführt wurden, ist vermutlich der unbekannte Trojaner und der von ihm installierte Server schon lange an Bord. Was willst du mit Stinger jetzt weglöschen? Komme bitte nicht mit dem Argument: „Na, vielleicht ist es doch noch nicht passiert.“ Ich möchte jetzt nicht eine bekannte Textstelle unseres Moderators zitieren :smile: Vermutlich wurde das hölzerner Pferdchen nach der Installation der Serversoftware von dieser gelöscht (ist Normalzustand) und ist darum spurlos verschwunden oder sein Code wird ständig gewechselt und darum unbekannt geblieben.

Quellen:
http://www.pcwelt.de/news/sicherheit/117098/index.html
und natürlich die Standardwerke:
http://oschad.de/wiki/index.php/Kompromittierung
http://malte-wetz.de.vu/index.php?viewPage=sec-remov…
http://malte-wetz.de.vu/index.php?viewPage=sec-compr…
http://www.heise.de/security/suche.shtml?T=Sch%E4dli…
http://www.netzwelt.de/news/70253_1-trojaner-paedoph…
http://de.wikipedia.org/w/index.php?title=Botnet&dir…
http://www.stud.tu-ilmenau.de/~traenk/dcsm.htm
http://faq.jors.net/virus.html
Den zweiten Teil kennst du ja selbst zur Genüge!

der hinterwäldler

#6

Hallo Hinterwältler muss sagen hab mich geirrt und Du hast vollkommen recht Danke für die Links !!! :smile:

[Bei dieser Antwort wurde das Vollzitat nachträglich automatisiert entfernt]