Guten Tag

Ich habe folgendes Problem:

Ich bekomme immer wieder Meldungen das gewisse Dateien infiziert sind mit dem W32/Stanit. Zuerst warens ein paar Daten und jetzt in der SystemVolumeinformation. Die hab ich nun in der Quarantäne. 7 Stück an der Zahl nach dem AntiVir Durchlauf.

Ich hab Windows Firewall & AntiVir installiert und natürlich auf dem neusten Stand. Genauso wie Windows Updates alle drauf.

Was ist das für ein Teil und wie kann ich ihn beheben?


Windows XP Prof. Sp2
Habe 2 PC's im HomeNetzwerk die ich per KVM-Switch bediene. Der Virus kam bisher erst auf diesem hier vor. Hab mal das Netzwerkkabel gezogen das der andere mal soweit sauber bleibt.

Hab bei anderen Threads immer wieder den HijackThis Log gesehen. Ich denke ich post ihn auch mal. Hilft vieleicht

Logfile of HijackThis v1.99.1
Scan saved at 17:05:46, on 15.04.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\nvraidservice.exe
C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Microsoft Hardware\Mouse\point32.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
C:\WINDOWS\system32\wbem\unsecapp.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Dokumente und Einstellungen\***\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.trojaner-board.de/showthread.php?p=207047#post207047
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [NVRaidService] C:\WINDOWS\system32\nvraidservice.exe
O4 - HKLM\..\Run: [NVMixerTray] "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [NVIDIA nTune] "C:\Programme\NVIDIA Corporation\nTune\\nTune.exe" clear
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [nTrayFw] C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nTrayFw.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [POINTER] point32.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - h**p://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: app_filter - Unknown owner - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe
O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Unknown owner - C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe" -k runservice (file missing)
O23 - Service: ForceWare IP service (nSvcIp) - Unknown owner - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
O23 - Service: ForceWare user log service (nSvcLog) - Unknown owner - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2005.SR3\RpcSandraSrv.exe

So habs geändert

Ich kann im Logfile nix erkennen ^.^

ich bräuchte hier echt ma hilfe

Hallo phILch,
Qulle ist PCWelt :
Kaspersky taufte ihn " Tenga ", andere Virenscanner erkennen ihn als "W32/Stanit", " W32.Licum " oder " W32/Gael ". Tenga hängt sich an Programmdateien an, kennt aber auch die Möglichkeiten modernerer Malware. Er kann sich als Wurm über das Netzwerk ausbreiten und ist in der Lage, ein Trojanisches Pferd aus dem Web herunter zu laden.
Ist Tenga erstmal auf einem PC aktiv, führt das oft zu mehreren hundert infizierten Dateien, die alle versuchen, ein Trojanisches Pferd aus dem Internet zu laden. Dieses wiederum installiert dann weitere herunter geladene Schädlinge.

Wo genau werden die Datein gefunden (siehe LOG von AntiVir) ? schau ma nach
und lass die Dinger mal bei Jotti virusscan.jotti.org/de/ oder bei
Virustotal virustotal.com/flash/index_en.html Online Scannen.
MFG aus HH

oje klingt ja grauenhaft

Also die Dateien hab ich alle in die Quarantäne von AntiVir geschickt und dann gelöscht. ( Waren keine wichtige Daten für mich) und im Moment gibts keine Meldungen mehr. Daher kann ich schlecht die überprüfen Wie kann ich nun kontrollieren ob ich frei bin? Weil ich hab ja nur infizierte Exe Dateien gelöscht den "Wurm" selber ja nicht oder war der in einer exe Datei enthalten?

Ich hab 2 (im Raid) Laufwerke auf diesem PC und alle Meldungen waren bisher nur auf einem(Nicht die Windowspartition).

mfg Philippe

mOIn phILch,
hab das hier gerade gefunden :http://virus-protect.org/virus/stanit.html
probier es halt aus und berichte nochma
MFG aus HH