Questo virus è apparso per la prima volta nel 2005.

VARIANTE A
La prima variante sfrutta una vulnerabilità nel servizio RPC DCOM per diffondersi da pc a pc.
il malware una volta approdato sul pc inizia ad infettare tutti i files .exe e scarica altri files infetti dalla rete contenenti altri virus.
Una volta fatto ciò genera una lista di ip e prova ad infettarli utilizzando la vulnerabilità nel servizio RPC DCOM.
-----------------------------------------------------------------------------


ALTRE VARIANTI (B/C/D)

Kaspersky identifica altre varianti di questo malware ma non fornisce una descrizione.
Di queste varianti si sa poco. Certamente sono file infector e infettano tutti i files .exe


EMULE CAUSA L'INFEZIONE DA W32.TENGA?

Molti utenti imputano l'infezione da questo virus all'eseguibile di eMule.
eMule va scaricato solo dal sito ufficiale

http://www.emule-project.net/

Se scaricato da lì è impossibile che sia infetto.
Si raccomanda comunque di eseguire eMule come utente non privilegiato (opzioni>sicurezza>mettere la spunta a "Esegui eMule come utente non privilegiato">OK)
---------------------------------------------------------------------------

PROCEDURA DI RIMOZIONE(tutte le varianti)


1)Disattivare ripristino configurazione di sistema

2)Applicare la patch che corregge la vulnerabilità del servizio RPC DCOM - DOWNLOAD (http://www.microsoft.com/italy/technet/security/bulletin/ms04-012.mspx)

3) Eseguire una scansione con Kaspersky virus removal tool (ISTRUZIONI E DOWNLOAD LINK) (http://www.hwupgrade.it/forum/showpost.php?p=24033078&postcount=7)

4)Scaricare DR.WEB CUREIT (ftp://ftp.drweb.com/pub/drweb/cureit/cureit.exe) e fare una scansione completa di tutto il computer

5) Riportare i risultati delle scansioni secondo i metodi consentiti dalle Regole di Sezione (http://www.hwupgrade.it/forum/showthread.php?t=1751598) e attendere istruzioni.

---------------------------------------------------------------------------

AVVISO:Talvolta questo virus, nel tentativo di infettare i files, li corrompe.

Se non riuscite a sbarazzarvi di questo virus e vi siete decisi a formattare potete fare il backup di tutti i files TRANNE GLI .EXE

---------------------------------------------------------------------------

Bugs Bunny complimenti ancora... Sei fantastico con tutte 'ste guide di rimozione!:)

grande bugs
mancava una guida specifica x questo virus che ho visto si sta di nuovo diffondendo....
complimentoni
ciao ciao

grazie :)

ottimo lavoro, ufficializzo?

per me va bn

ottimo lavoro, ufficializzo?

Certo Mod... Bugs ha fatto un ottimo lavoro, è giusto ufficilizzare!:rolleyes:

procedo :flower:

bene me lo sono beccato.... :muro: :muro:

3) Eseguire una scansione con Kaspersky virus removal tool


un altro link funzionante pls?? :mc:

ciao

http://www.hwupgrade.it/forum/showpost.php?p=24033078&postcount=7

ciao

http://www.hwupgrade.it/forum/showpost.php?p=24033078&postcount=7

inserito :)

Salve ho un problemone...
qualche passo indietro così che possiate avere il quadro generale.
Ho iniziato a seguire i vari passaggi della guida alla disinfezione e sono arrivato al kaspersky online (visto che l'altro quando andava a scaricare il database mi diceva sempre che era danneggiato) poi ho deciso di passare alla guida per il virut e ho fatto la scansione con il kaspersky rescue cd (12 ore di scansione) salvo il log e riavvio il pc.

Al riavvio la sorpresa...windows visto che sono state apportate modifiche sostanziose all'hardware mi chiede di ripetere l'attivazione. Dico beh non fa niente la rifaccio ma successivamente e quindi clicco su no.
Il desktop ok ma di fianco all'orologio le varie icone non ci sono. Nel frattempo con il portatile ho scaricato dr web cure it così finivo le scansioni per poi postare i vari log. Ma quando metto la chiavetta niente. Il computer non si muove. Su risorse del computer niente. Allora dico connetto il modem e lo scarico dal web ma ovviamente niente.
Vado su periferiche ma "l'albero" è vuoto.
Ora io posso tranquillamente formattare (dato che l'hd principale è vuoto per formattazione recentissima) però vi chiedevo come posso salvaguardarmi da questa rottura di virus? E gli altri due hd (che uso solo come "magazzino") saranno liberi dal virut?
Come vi ho detto non potendomi collegare e non funzionando la chiavetta non posso postare i logs

Cioè prevenire è meglio che curare...

Io ho sempre installato antivir sygate firewall e adaware cos'altro potrei installare per essere più sicuro?

grazie

E' partito il secondo post involontariamente...sorry

la modalità provv. funziona?

Intendi se riesco semplicemente ad accederci oppure se funzionano le cose che invece non vanno nella modalità normale?

entrambe le cose
e se riesci a salvarti da qualche parte il log di kasp per vedere cosa ha eliminato

Beh non so, vediamo. Ora che torno a casa provo a salvare i log nella chiavetta.

Cmq anche se non credo che funzioni cosa posso installare dopo la formattazione per prevenire il più possibile?
thanks

per proteggere il pc vedi trattamento in firma
che so è?
se xp hai il suo cd?

si si xp home the original one

niente in mod provvisoria ho gli stessi problemi

prova a verificare ed eventualmente rimpiazzare i file di sistema corrotti con i loro originali.
Tieni a portata di mano il cd di win aggiornato al service pack attualmente installato
Se non ce l'hai aggiornato, creane uno nuovo integrando il service pack mancante seguendo questa guida (http://www.hwupgrade.it/forum/showthread.php?p=15552156) ad NLite

Una volta in possesso del cd aggiornato
Start → Esegui → digita
sfc /scannow (invio)
ti chiederà di inserire il cd per ripristinare i file corrotti o modificati

devo riformattare faccio prima dato che devo scaricare i programmi e volendoli scaricare da un altro computer non posso passarli cmq sul computer...quindi pulizia totale e ciao...

grazie cmq veramente utile

avevi provato a lanciare explorer da task manager?

no cmq ho già reinstallato xp e sto seguendo i consigli della guida...thanks

Ecco il mio problema http://www.hwupgrade.it/forum/showthread.php?t=1991033

Non riesco a scaricare kaspersky virus removal dato che non mi fa collegare hai siti kaspersky.. che faccio???

scaricalo da un'altro pc....copialo in una chiavetta...dai a essa l'attributo sola lettura (così quando la inserisci sul pc infetto è difficile che la infetti), copia il file sul pc infetto:)

Salve a tutti,
mi sono beccato il tenga, non so' come, comunque nod32 mi sta' disinfettando i file exe infetti, dite che puo' andare o devo comunque cancellarli?
Il problema e' che si e' diffuso in due pc, devo comunque formattarli e cancellare tutti gli eseguibili indiscriminatamente?
Sui file disinfettati comunque quando rivado ad effetuare il controllo nod32 non trova alcun virus...
Ciao e grazie.

ciao

esegui le scansioni complete con nod aggiornato e caricaci secondo le regole di sezione i due log
se non bastasse nod scansione con i programmi indicati nel primo post

Grazie per l'interessamento
allora:
PC1, ho fatto la scansione con i tool:
rmgael (AVG)
sysclean
alwill virus worm cleaner
cureit
Virus Removal Tool Setup kaspersky

quindi ho rifatto la scansione con nod32 e non ha rilevato alcun virus.
ho inoltre provveduto con wwdc.exe a chiudere alcune porte da cui sembra arrivi il virus tranne il netbios perche' mi serve, visto che ho i pc in lan.

Mentre per il pc2, sto' ancora eseguendo il vrt di kaspersky, sta' trovando un casino di exe infetti, ma per finire ci vorra' stanotte.

Il dubbio comunque l'ho sul fatto che una volta finita la scansione il tool disinfetta o cancella i file, ma i restanti sono ok? O mi conviene cancellare tutti gli exe? Non mi preoccupa tanto formattare visto che era in programma per martedi', ma vorrei essere sicuro di eliminare il problema.
Ho provato hijackthis sui vari pc ma non risulta nulla, tutto pulito, in pratica mi e' arrivato dalle porte che avevo aperte su una macchina virtuale, da li ha infettato tutte le cartelle condivise.
Ciao

Questo virus è apparso per la prima volta nel 2005.

VARIANTE A
La prima variante sfrutta una vulnerabilità nel servizio RPC DCOM per diffondersi da pc a pc.
il malware una volta approdato sul pc inizia ad infettare tutti i files .exe e scarica altri files infetti dalla rete contenenti altri virus.
Una volta fatto ciò genera una lista di ip e prova ad infettarli utilizzando la vulnerabilità nel servizio RPC DCOM.
-----------------------------------------------------------------------------


ALTRE VARIANTI (B/C/D)

Kaspersky identifica altre varianti di questo malware ma non fornisce una descrizione.
Di queste varianti si sa poco. Certamente sono file infector e infettano tutti i files .exe


EMULE CAUSA L'INFEZIONE DA W32.TENGA?

Molti utenti imputano l'infezione da questo virus all'eseguibile di eMule.
eMule va scaricato solo dal sito ufficiale

http://www.emule-project.net/

Se scaricato da lì è impossibile che sia infetto.
Si raccomanda comunque di eseguire eMule come utente non privilegiato (opzioni>sicurezza>mettere la spunta a "Esegui eMule come utente non privilegiato">OK)
---------------------------------------------------------------------------

PROCEDURA DI RIMOZIONE(tutte le varianti)


1)Disattivare ripristino configurazione di sistema

2)Applicare la patch che corregge la vulnerabilità del servizio RPC DCOM - DOWNLOAD (http://www.microsoft.com/italy/technet/security/bulletin/ms04-012.mspx)

3) Eseguire una scansione con Kaspersky virus removal tool (ISTRUZIONI E DOWNLOAD LINK) (http://www.hwupgrade.it/forum/showpost.php?p=24033078&postcount=7)

4)Scaricare DR.WEB CUREIT (ftp://ftp.drweb.com/pub/drweb/cureit/cureit.exe) e fare una scansione completa di tutto il computer

5) Riportare i risultati delle scansioni secondo i metodi consentiti dalle Regole di Sezione (http://www.hwupgrade.it/forum/showthread.php?t=1751598) e attendere istruzioni.

---------------------------------------------------------------------------

AVVISO:Talvolta questo virus, nel tentativo di infettare i files, li corrompe.

Se non riuscite a sbarazzarvi di questo virus e vi siete decisi a formattare potete fare il backup di tutti i files TRANNE GLI .EXE

---------------------------------------------------------------------------

Piccola nota informativa:
http://www.hwupgrade.it/forum/showpost.php?p=32012331&postcount=635