W32/Stanit-Überrest - Was tun?
 

Edit: ach verflucht, jetzt habe ich das falsche Unterforum erwischt! @Mods: Entschuldigung, ihr könnt ihn gerne verschieben!

Hej!
Nachdem mein Bruder-PC vom Stanit infiziert wurde (hier war letztendlich ein Format C: nötig, keine Chance mehr sonst irgendetwas noch lauffähig zu erhalten), ist über meinen freigegeben Netzwerkordner der Stanit auch zu mir gekommen. :balla: Glücklicherweise konnte er sich nicht sonderlich in Masse ausbreiten, und Kaspersky und Panda-Online-Scan taten ihr Bestes und desinfizierten die 10-15-*.exe-Files. Eighentlich dachte ich, dass der Stanit beseitig war, v.a. weil diese Programme eben nichts mehr fanden.
Dann der aftershock:
Antivir meldet Stanit-Fund in D:\SYSTEM VOLUME INFORMATION\_RESTORE{65BDC704-224A-4536-9236-98726892698A}\RP13\A0002225.EXE.
Siehe auch hier: http://img366.imageshack.us/img366/2747/stanit0hd.jpg (Screenshot!)
Wieso finden den Panda-Online bzw. Kaspersky nicht?
Stanit scheint sich aus diesem Ordner nicht weiterzuverbreiten, allerdings kann ich nicht auf den Ordner und die Datei zugreifen. Wie wichtig ist der Ordner überhaupt.

Also: Wie werde ich den Stanit hier los? :confused:
Wenn ihr mir helfen könntet - das wäre wirklich wundervoll! :D


edit2: Hijackthis sagt nichts dazu:

Logfile of HijackThis v1.99.1
Scan saved at 12:29:16, on 20.08.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
D:\Winamp\winampa.exe
D:\AVPersonal\AVGNT.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
F:\Spybot - Search & Destroy\TeaTimer.exe
D:\AVPersonal\AVGUARD.EXE
D:\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
D:\eMule\emule.exe
C:\Dokumente und Einstellungen\Sin\Desktop\HijackThis.exe

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - F:\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [WinampAgent] D:\Winamp\winampa.exe
O4 - HKLM\..\Run: [AVGCtrl] "D:\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] F:\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: ATI CATALYST System Tray.lnk = C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/actives...ree/asinst.cab
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - D:\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - D:\AVPersonal\AVWUPSRV.EXE
O23 - Service: kavsvc - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe

Hi,
erst mal Systemwiederherstellung ausschalten. Dann Rechner aus. Dann Rechner wieder an, Systemwiederherstellung wieder an.
Neu scannen. das Prob sollte weg sein.
cacatoa

@Abracadabra
Systemwiederherstellung abschalten : http://www.bsi.bund.de/av/texte/wiederher_xp.htm, dann ist die Datei weg.
EDIT:
Moin cacatoa (zum 2. mal) :D

Okay, vielen Dank! Ich hoffe, meine Kurzkarriere als Stanit-Bekämpfer damit abschließen zu können! :) :bussi:
Ob wohl in Zukunft noch Probleme in Form von Nachwirkungen auftreten können? :confused:

Hi,
davon würde ich nicht ausgehen. Außer du infizierst Dich neu... ;)
cacatoa
@ Rene-Gad: Auch Moin zum 2. mal.. grins

@Abracadabra
Du weisst es schon: die sicherste Weg, Malware los zu werden ist das Neuafsetzen des Systems. Alle anderen Wege könnten ins Nix führen ;).

@Rene-gad: Hmmm... Du hast dir zwar die Mühe für ein sehr schönes Tutorial gemacht :daumenhoc , aber ich denke, ich werde es nochmal so probieren, v.a. weil ich nur ungenügende Möglichkeiten habe, meine Daten vor einem Format zu sichern.
edit: Oh, es ist gar nicht dein Tutorial? *geradebemerkthat* Ähmm... Ja. Du hast es aber in der Siganur. ;)

Zum Thema Systemwiederherstellung: Sollte ich sie standartmäßig deaktiviert lassen? *keineAhnungvondiesemWindowsFeaturehat*

Gruss Abracadabra, der sich immer noch frägt woher mein Bruder den Stanit hattte. :D

@Abracadabra
ähm, wovon redest du?
Nein. Lieber an lassen und ca. 1 Mal pro Monat über Zubehör/Systemprogramme/Datenträgerbereinigung nur die letzte Version von SWH auf der Festpaltte behalten.

@Rene-gad: Hab' meinen Fehler noch vor deinem Post gemerkt. ;) Schau dir das Edit in meinem Vorherigen an. Dachte der Link in deiner Signatur führt zu einem Werk von dir. :)

Danke euch, nochmal.