Integitor.exe und Testfile kommen immer wieder!? ->W32/Stanit

#1 Hallo zusammen,

seit Monaten habe ich ein problem mit einem (vermeintlichen?) Schädling:
In meinem Verzeichnis für CD-Images (also kein häufig genutzter oder gar System-Ordner) befinden sich zwei seltsame Dateien gefunden: INTEGITOR.EXE (früher nannte sie sich mal NVSVC.EXE) und TESTFILE (0 KB).
Wenn ich die Dateien lösche, erscheinen sie nach einigen Tagen wieder (offenbar nur bei aktiver Internetverbindung - was natürlich keine Entwarnung ist... )!
AntiVir erkennt den Schädling zwar (mal als W32/Stanit, ein andermal als WORM/Gaobot.108032.9), kann ihn aber offenbar nicht effektiv entfernen. Auch mit HijackThis und Stinger konnte ich - wenn überhaupt - keine dauerhaften Ergebnisse erzielen.

Das Ding macht mich wirklich wahnsinnig, daher wäre ich für hilfreiche Hinweise äußerst dankbar!

#2 Hallo@Ace_NoOne

AUTOMATIC REMOVAL INSTRUCTIONS / trendmicro
http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=PE_TENGA.A&VSect=Sn

AVIRA Removal Tool 2.0 Download
http://www.techspot.com/downloads/1598-avira-removal-tool.html

Get your system cleaned, by removing the following viruses with this tool version:
o W32/Stanit.A.

Vcleaner
http://www.grisoft.com/doc/removal/lng/us/tpl/tpl01?uti=Vcleaner Download the remover vcleaner.exe. Restart your computer in Safe mode and run the remover on the infected computer. Vcleaner removal utility will detect and remove following viruses:

hoster.zip
http://www.funkytoad.com/download/hoster.zip
Press 'Restore Original Hosts' and press 'OK'
Exit Program.

poste mir dan die Scanreports von den scannern
Info:
http://virus-protect.org/virus/stanit.html
__________
MfG Sabina

rund um die PC-Sicherheit

#3 Werde mich gleich heute Abend ransetzen und dann berichten - besten Dank!

UPDATE:
Keines der oben genannten Tools konnte etwas finden.
Allerdings hat das Zurücksetzen der Hosts etwas verändert - nur leider habe ich keine Kopie der ursprünglichen Konfiguration mehr...

Jedenfalls scheint mein System für den Moment sauber zu sein - aber vielleicht tauchen die beiden Dateien in wenigen Tagen auch wieder auf (ich hatte sie ja bereits vor dem Scannen gelöscht)... Oder aber die Hosts waren so konfiguriert, dass der Schädling jedesmal wieder neu auf meinen PC geladen wurde - was jetzt auch behoben wäre!?

In jedem Fall besten Dank für den Beistand - und ich werde spätestens in einigen Wochen berichten, ob die die beiden Dateien wieder aufgetaucht sind.

#4 §$%&#!
Ich war sicher, das Drecksding sei verschwunden - aber gerade habe ich nochmal in den Ordner reingeschaut, und da sind sie: INTEGITOR.EXE und TESTFILE.
Wenn ich könnte, würde ich einfach die Festplatte wegwerfen - leider sind dafür aber zu viele wichtige Daten dort gespeichert...

Interessanterweise hat AntiVir nicht Alarm geschlagen, als ich den Ordner scannen ließ - es scheint sich also um eine neuere Version des Virus zu handeln!?

Ich hab' die beiden Dateien noch nicht gelöscht - vielleicht will sie ja jemand zur Diagnose!?
Sollte ich vielleicht den "disc images"-Ordner umbenennen, damit der Virus seinen Lieblingsordner nicht mehr findet? Allerdings würde das wahrscheinlich nur dazu führen, dass er schwerer aufzufinden ist...

Hier das aktuelle HJT log, FWIW:

Zitat

Logfile of HijackThis v1.99.1
Scan saved at 16:18:10, on 27.10.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
D:\ANTIVIR\AVGUARD.EXE
D:\AntiVir\AVWUPSRV.EXE
D:\Cisco VPN Client\cvpnd.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\PCHealth\HelpCtr\Binaries\HelpSvc.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Microsoft IntelliType Pro\type32.exe
D:\RBTray\RBTray.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
D:\WinKey\WinKey.exe
D:\AntiVir\AVGNT.EXE
C:\Dokumente und Einstellungen\Frederik\Desktop\virus removal\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Adobe Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: NTIECatcher Class - {C56CB6B0-0D96-11D6-8C65-B2868B609932} - D:\NETTRA~1\NTIEHelper.DLL
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [type32] "C:\Programme\Microsoft IntelliType Pro\type32.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - Startup: autostart query.lnk = C:\WINDOWS\system32\wscript.exe
O4 - Startup: RBTray.lnk = D:\RBTray\RBTray.exe
O4 - Startup: todo.memo
O4 - Startup: WinKey.lnk = D:\WinKey\WinKey.exe
O8 - Extra context menu item: &WordWeb... - res://C:\WINDOWS\System32\wweb32.dll/lookup.html
O8 - Extra context menu item: Download all by Net Transport - D:\NetTransport\NTAddList.html
O8 - Extra context menu item: Download by Net Transport - D:\NetTransport\NTAddLink.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - D:\ANTIVIR\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - D:\AntiVir\AVWUPSRV.EXE
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - D:\Cisco VPN Client\cvpnd.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

#5 Der Thread ist zwar schon ein wenig älter, aber ich hatte das problem auch, daß ständig die datei integitor.exe zusammen mit einer testfile auf meinem rechner war und ich sie nicht loswerden konnte. Ich habe sämtliche virenscanner, die ich finden konnte, drüberlaufen lassen und vor kurzem hat einer, und zwar der kostenlos downloadbare scanner BitDefender 8 Free Edition (hab leider keinen link zum downloaden, eventuell mal bei www.google.de danach suchen) mit dem neuesten Update nicht nur die integitor.exe erkannt, sondern auch noch eine andere, die wohl der ursprung des ganzen übels sein könnte: eine De2.exe ... seitdem ich das alles gelöscht habe, habe ich ruhe vor diesem Übel. Ich hoffe, das bleibt auch so. Also an alle, die sich noch immer mit dem selben problem herumschlagen: probiert mal diesen scanner und drückt die Daumen...

Liebe Grüße
Amatus

#6 Danke für den Tipp; habe es mal drüber laufen lassen, und da wurden tatsächlich noch ein, zwei neue Schädlinge gefunden!

#7 Auf der seite von www.bitdefender.com kann man auch die 25-tage-testversion von BitDefender 9 Professional Plus runterladen. Ein Scan damit hat noch weitere Schädlinge bei mir zu Tage gefördert. Ist vielleicht auch noch mal eine Überlegung wert?
Hoffe, du bekommst das fiese Teil bald los.

Gruß
Amatus