Accedi per seguire   
Seguaci 0
d4n183

Malware Stdrt.Exe

11 messaggi in questa discussione

Da un po' mi compare l'avvisto di avast che ha trovato e bloccato un malware proviente dalla directory c:\windows\temp e il nome del processo è stdrt.exe. Ho fatto una scansione completa con Avast, Malwarebytes Antimalware e Advanced System Care, ma non trovano nulla. Allora ho provato a rimuovere manualmente il file nella modalità provvisoria e poi ho cercato tutte le chiavi di registro che facevano riferimento ad esso e le ho eliminate. Nonostante ciò il processo si rigenera. Guardando dal taskmanager e da msconfig non si vede, quindi non posso stopparlo o deselezionarlo. Qualcuno ha avuto lo stesso problema ed ha risolto?

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

ciao d4n183, prova con un giro di TDSSKiller di Kaspersky.

http://support.kaspersky.com/faq/?qid=208283363

Avast ti indica come si chiama questo malware precisamente?

Inoltre: posta un log di HJT (anche se non credo ci fornirà molte informazioni).

Infine: un altro controllo con HitMan Pro

http://www.surfright.nl/en/downloads

allega i log prodotti da questi tre strumenti.

Se falliamo, via di Combofix.

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Ciao,

che video hai postato? :excl:

il log di HJ non mostra nulla di particolare...

Scarica Process explorer: http://download.sysi...essExplorer.zip

avvialo individua il processo in questione : tasto destro e seleziona "Kill process tree"

Scarica questo http://www.geekstogo...er-by-oldtimer/

chiudi tutti i browser ed avvialo...

Al termine: (occhio ai percorsi)

Portati in C:\WINDOWS\SYSTEM\

ed elimina il file : REGSRV.EXE

Controlla anche di non avere questi (se ci sono eliminali e poi svuota il cestino):

C:\sand-box\tubelist.dat

C:\sand-box\update.dat

-----

Altri consigli... (Facoltativi a tua discrezione)

Disinstalla Spybot ed al suo posto usa MalwareBytes antimalware e fai uno scan con questo

riavvia e vedi se si ripresenta... che in caso usiamo un altro tool

Modificato da Amuk

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Ciao,

che video hai postato? :excl:

Non lo so...è il link che dava avast.

Con Process Explorer il processo stdrt.exe compare e l'ho fermato però al riavvio ricompare, bisogna capire da cosa è avviato.

In C:\windows\system non è presente regsrv.exe.

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Con una ricerchina ho trovato questa pagina...

http://www.microsoft.com/security/portal/threat/encyclopedia/Entry.aspx?Name=Trojan:JS/Redirector.HQ

Che in sintesi, significa che per la versione HQ di JS/Redirector, esiste una wallpaper che automaticamente carica una pagina HTML e che porta "in casa" il nuovo antipaticone.

A questo punto tenterei con Combofix

http://forum.wininizio.it/index.php/topic/98188-combofix-guida-illustrata/

Segui la chiarissima guida compilata da Angelique.

Anche se le cose sono un poco cambiate da 4 anni fa, i fondamentali d'uso sono sempre quelli.

(e sto seriamente pensando di farti buttare a mare Avast...)

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Ho paura che non abbia risolto il problema, al riavvio il processo era ancora presente.

Cosa si può tentare?

P.S. Che consigli al posto di Avast?

ComboFix.txt

Modificato da d4n183

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Onestamente sono un po' interdetto...

C'è un lungo elenco di valori di registro da rimuovere, che magari sono utili e magari no.

Intanto ti linko l'articolo per verificare se queste cose ci sono veramente.

http://greatis.com/blog/how-to-remove-malware/removed-regsrv-exe-stdrt-exe.htm?bcsi_scan_0B02AC0C6B4B1CD9=0&bcsi_scan_filename=removed-regsrv-exe-stdrt-exe.htm

Tra i servizi di sistema c'è un "FlexNET license Manager" o una cosa simile?

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

C'è un Flexnet license service. Non è che è diverso perché ho Win7 x64?

Dovrei magari cambiare antivirus e vedere se lo individua?

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Riproviamo :badmoon1:

Scarica ed installa Wise Registry Cleaner: http://www.wiseclean...leanerfree.html (per il momento non eseguirlo)

1. Disabilita temporaneamente il System Restore su tutte le unità; Riavvia in modalità provvisoria;

(in Opzioni Cartelle, assicurati che l'opzione "Visualizza i file nascosti" sia selezionata e l'opzione "nascondi le estensioni per i file conosciuti sia deselezionata)

2.Apri Process Explorer e controlla che non esista il processo, nel caso terminalo come nel primo post (kill process tree)

3. Elimina i file: C:\WINDOWS\SYSTEM\REGSRV.EXE

C:\WINDOWS\TEMP\MRT2.TMP\STDRT.EXE

4. Elimina anche gli altri i file in C: \ Windows \ Temp, specialmente accertati che non ci sia mrt2FC6.tmp oppure MRT8E59.TMP (sono cartelle... se ve ne sono con nomi simili... elimina!)

5. Elimina i file Temp di JAVA (pannello di controllo\Java\file temporanei di internet\impostazioni\--> elimina file)

6.Fai una ricerca e se trovi qualcuno di questi eliminalo

raidh0st.exe

raidhosst.exe

ytd4.exe

svcgoost.exe

STReLjaSTVo.exe

svchos t.exe

svchos t.exe

tdll.dll

vistaxpupgrade.exe

etdlcyin.dll

fdrpage.dll

fgtdipod.sys

fnts~1netdde.exe

fwsgtdgu.dll

hcrtdceq.dll

hikbentd.dll

hthatd.dll

idplist.dll

infsvchost.exe

instbeta.exe

ipxrtdde.dll

isafeaddrhelper.dll

kbdru32.dll

hotndrtfq.exe

hsiqdrbmb.exe

istojjouk.dll

svcoost.exe

fvgqtdong.dll

jsthsqw.dll

wstdecodq.exe

_voidoitdgxlgpj.dll

alilandrybypatio2.exe

triuni_ver_cguninst.exe

windowstime.exe

ctast.dll

odre.exe

trustdoctor.exe

asksearchasst.exe

drl.exe

uwtdapog.sys

dai una ripulita al registro con Wise Registry Cleaner

Riavvia in modalità normale e controlla con Process Explorer se il processo è ancora presente

Per sicurezza fai una scansione qui e se puoi salva il rapporto o fai uno screenshoot di quello che trova:

http://www.bitdefender.it/scanner/online/free.html

Modificato da Amuk

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Non ho risolto... alla fine ho dovuto optare per la formattazione. Grazie comunque. boring2.gif

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Crea un account o accedi per lasciare un commento

Devi essere un utente registrato per partecipare

Crea un account

Iscriviti per un nuovo account nella nostra community. È facile!


Registra un nuovo account

Accedi

Sei già registrato? Accedi qui.


Accedi Ora
Accedi per seguire   
Seguaci 0