Win32/Tenga.A

[Vale76]

Salve a a tutti, purtroppo ho la certezza matematica, almeno fino a questo momento, di essere stata colpita dal maledetto W32/Tanitalias Tenga, rilevato ieri sera da Antivir.
Dopo aver eseguito varie operazioni e fatto diverse scansioni, tra cui tramite il tool di rimozione di Avira, il tool di Avast, e e il tool di Drweb, come si consigliava nelle prime pagine di queso thread ancora stamattina, non sono tranquilla per niente dopo aver letto i vosti interventi, perché anche se al momento la situazione sembra tranquilla, sinceramente non sono sicura per niente di averlo eliminato anche se già ieri notte Antivir mi aveva individuato 8 file (credo più o meno sempre riconducibili allo stesso bastardo), 4 dei quali da lui eliminati, 1 eliminato da me dopo che era possibile solo metterlo in quarantena, e i restanti isolati. Da quel momento e fino alle ultime scansioni fatte con i citati tool fino a pochi minuti fa, nessuna infezione viene rilevata; a questo aggiungo che però Spybot mi ha trovato un sospettissimo "trojan guarder" che mi ha eliminato.

Inoltre ho scaricato, nel dubbio, qualche aggiornamento sistema che non ero sicura di avere, e sarei a questo punto propensa a esonerare il colabrodo del firewall di XP per affidarlo a Zone Alarm.

Ho qui un log fatto con Hijackthis. Qualcuno gentilmente per favore me lo potrebbe controllare?

Logfile of HijackThis v1.99.1
Scan saved at 9.01.13, on 10/05/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\system32\sistray.EXE
C:\WINDOWS\system32\keyhook.exe
C:\Programmi\Unlocker\UnlockerAssistant.exe
C:\Programmi\Java\jre1.5.0_11\bin\jusched.exe
C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Programmi\ScanSoft\OmniPageSE2.0\OpwareSE2.exe
C:\Programmi\SPYWAREfighter\spftray.exe
C:\Programmi\Flashpaste\flashpaste.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\Programmi\SPYWAREfighter\spfprc.exe
C:\Programmi\Opera\Opera.exe
C:\Program Files\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - URLSearchHook: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Programmi\Macrogaming\SweetIMBarForIE\toolbar.d ll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: SWEETIE - {1A0AADCD-3A72-4b5f-900F-E3BB5A838E2A} - C:\PROGRA~1\MACROG~1\SWEETI~1\toolbar.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.5.0_11\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Programmi\Macrogaming\SweetIMBarForIE\toolbar.d ll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [SiS Tray] C:\WINDOWS\system32\sistray.EXE
O4 - HKLM\..\Run: [SiS Windows KeyHook] C:\WINDOWS\system32\keyhook.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Programmi\Unlocker\UnlockerAssistant.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.5.0_11\bin\jusched.exe "
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [CmUsbSound] RunDll32 cmcnfgu.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [OpwareSE2] "C:\Programmi\ScanSoft\OmniPageSE2.0\OpwareSE2.exe "
O4 - HKLM\..\Run: [spywarefighterguard] C:\Programmi\SPYWAREfighter\spftray.exe
O4 - HKCU\..\Run: [IncrediMail] C:\Programmi\IncrediMail\bin\IncMail.exe /c
O4 - HKCU\..\Run: [Flashpaste] C:\Programmi\Flashpaste\flashpaste.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: DSLMON.lnk = C:\Programmi\SAGEM\SAGEM F@st 800-840\dslmon.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - http://us.dl1.yimg.com/download.yaho...st20040510.cab
O16 - DPF: {814EA0DA-E0D9-4AA4-833C-A1A6D38E79E9} (DASWebDownload Class) - http://das.microsoft.com/activate/ca...ail/DASAct.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{588FA282-8FD2-4801-9ECE-2F2A31FF4B91}: NameServer = 85.37.17.15 85.38.28.74
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: SPYWAREfighterRP - SpamFighter APS - C:\Programmi\SPYWAREfighter\spfprc.exe


Altre due cose.

1) ho scoperto che anche io ho in una cartella condivisa un certo file

autorun.inf e non riesco a capire che roba è e non so dire se c'era anche prima !

2) in C:/Windows sistem ho scoperto che c'è questo file sospetto:

cmsnxeye.exe

e con questo nome strano mi sembra impossibile sia un file di sistema, ma se poi lo cancello e invece va lasciato?

Grazie a chiunque abbia la gentilezza di volermi aiutare!

[kwb]

Ma quindi la soluzione per eliminare sto tenga benedetto è mettersi in modalità provvisoria e inizia a scannare molto approfonditamente?

[xcdegasp]

spostato nell'area corretta...

[lancetta]

Quote:

Originariamente inviato da Vale76

Salve a a tutti, purtroppo ho la certezza matematica.....CUT!

autorun.inf questo cancellalo....cmsnxeye.exe questo giusto per sicurezza fallo scansionare QUI

fai una cosa prima disattiva il ripristino config di sistema se non sai come fare vedi QUI link
Pulita con CCleaner( QUI)disattivando dalle opzioni avanzate "cancella solo file più vecchi di 48 ore" oppure con ATF Cleaner http://www.atribune.org/ccount/click.php?id=1 (è stand alone) Avvia ATF Cleaner
(se usi Firefox o Opera, selezionali dal menu in alto)
metti la spunta su "Select All" per ogni browser
e clicca su "Empty Selected"


Primo consiglio disinstalla sto SPYWAREfighter che è la brutta copia di avg antispyware,tra l'altro dovrebbe contenere addirittura adware esso stesso
Secondo consiglio disinstallerei anche ste toolbar aggiuntive fossi in te in quanto distorcono le ricerche...poi fai tu....

Quote:

R3 - URLSearchHook: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Programmi\Macrogaming\SweetIMBarForIE\toolbar.d ll
O2 - BHO: SWEETIE - {1A0AADCD-3A72-4b5f-900F-E3BB5A838E2A} - C:\PROGRA~1\MACROG~1\SWEETI~1\toolbar.dll
O3 - Toolbar: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} -
O4 - HKLM\..\Run: [SiS Tray] C:\WINDOWS\system32\sistray.EXE....questa se sai cos'è lasciala..
O4 - HKCU\..\Run: [Flashpaste] C:\Programmi\Flashpaste\flashpaste.exe
O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - http://us.dl1.yimg.com/download.yaho...st20040510.cab
O16 - DPF: {814EA0DA-E0D9-4AA4-833C-A1A6D38E79E9} (DASWebDownload Class) - http://das.microsoft.com/activate/ca...ail/DASAct.cab
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\

Tutto da fixare


scarica Superantispyware aggiornalo e fagli fare una "Perform complete scan" da "scan your computer"

scarica a-squared Free 3.0 aggiornalo e fagli fare una scansione completa del sistema

scarica Panda Antirootkit
decomprimi il file Zip, sul desktop
eseguilo stando connessa, dovrebbe aggiornarsi automaticamente, dopodichè partirà una scansione per verificare la presenza,di eventuali rootkit, sul P.C. ed eseguire eventuali pulizie.

Esegui Questo tool e
quest'altro Tool
fai sapere se trovano qualcosa


scarica elistarA http://www.zonavirus.com/datos/desca...8/elistara.asp in fondo alla pagina Descargar ElistarA
lancialo, ti farà tre domande all'inizio,rispondi si tranne alla terza,("Quiere eliminar las pàgina de inicio y de busqueda del internet explorer" a questa rispondi no) dopo di chè fagli fare una scansione (Explorar) ..quando termina rilascia un log infosat.txt in C:

Un'altra cosa:devi aggiornare assolutamente la java machine, che quella che hai è a rischio vulnerabilità oltre che obsoleta.......
Facci sapere

[ciotolodifiume]

W32/Stanit: è questo il nome del malware trovato in ben 222 (!!!) files .exe nel mio HD principale, dove risiedono XP HE + SP2 e programmi vari, dopo aver effettuato la scansione con Avira Premium Security Suite. Ho messo tutto in quarantena in attesa di un'anima pia che mi dia indicazioni. Grazie

[Riverside]

Quote:

Originariamente inviato da ciotolodifiume

W32/Stanit: è questo il nome del malware trovato in ben 222 (!!!) files .exe nel mio HD principale, dove risiedono XP HE + SP2 e programmi vari, dopo aver effettuato la scansione con Avira Premium Security Suite. Ho messo tutto in quarantena in attesa di un'anima pia che mi dia indicazioni. Grazie

Scansione completa del sistema con Avira, in modalità provvisoria.
Poi, pubblica un log di Hthis.
E' probabile che tu sia infetto da una delle diverse varianti del Tenga o Licum.
Verfica se hai la possibilità di accedere al Regedit dal comando Esegui.
Utilizza il comando Cerca e controlla se trovi questi tre files:
● DL.EXE [da utenti.lycos.it]
● GAELICUM.EXE
● CBACK.EXE
Se fossero presenti, per ora non li toccare.
Altra domanda: Avira non te li ha fatti rimuovere o la decisione di mettere quel pacco di roba in quarantena è stata tua?.

[Sajiuuk Kaar]

Visto che qualcuno è favorevole al bumping ed al crossposting a quanto pare (cose che detesto) Riposto tutto:

Tempo fa mi avevate detto che, per toglierlo oramai era necessario formattare inquanto nessun mezzo la'veva respinto. Ora: ho formattato ed ho adoperato tutte le possibili precauzioni che mi avevate suggerito. Però è entrato lo stesso. Con firewall. Con antivirus. Con TUTTO.
A quanto pare il format è servito a poco ed installare outpost suite anche.
Come al solito NESSUN PROGRAMMA l'ha rilevato. Quando è entrato? Ieri ho scaricato e-mule, oggi lo ho AVVIATO per la prima volta. Ora, magari è,un'impressione miam ma il file originale che si scarica da emule-project.net secondo me è già infetto... Quando l'ho avviato 5 minuti fa l'HD ha iniziato a ravanare. L'ho ista terminato ma ha corrotto i file in _restore. come al solito ho disattivato il ripristino per evitare infezione mastodontica. Ora ho rifatto la scansione e non ce n'è più traccia. Però la situazione è pesante... Se il file eseguibile di e-mule che danno da scaricare è già infetto si potrebbe diffondere un'infezione colossale... questa è la conclusione a cui sono giunto. scaricate dal sito l'ultima versione, avviatela, fate una scansione con l'online scanner di kaspersky e fatemi sapere se ho visto giusto plz.

Codice:

KASPERSKY ONLINE SCANNER REPORT
Thursday, December 06, 2007 8:08:26 PM
Operating System: Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
Kaspersky Online Scanner version: 5.0.98.0
Kaspersky Anti-Virus database last update: 6/12/2007
Kaspersky Anti-Virus database records: 474005
Scan Settings
Scan using the following antivirus database 	extended
Scan Archives 	true
Scan Mail Bases 	true
Scan Target 	My Computer
C:\
D:\
E:\
F:\
G:\
H:\
I:\
Scan Statistics
Total number of scanned objects 	130779
Number of viruses found 	3
Number of infected objects 	29
Number of suspicious objects 	0
Duration of the scan process 	02:35:44

Infected Object Name 	Virus Name 	Last Action
C:\Documents and Settings\All Users\Dati applicazioni\Microsoft\Network\Downloader\qmgr0.dat 	Object is locked 	skipped
C:\Documents and Settings\All Users\Dati applicazioni\Microsoft\Network\Downloader\qmgr1.dat 	Object is locked 	skipped
C:\Documents and Settings\IceThorn\Cookies\index.dat 	Object is locked 	skipped
C:\Documents and Settings\IceThorn\Dati applicazioni\Mozilla\Firefox\Profiles\xdewmlxs.default\cert8.db 	Object is locked 	skipped
C:\Documents and Settings\IceThorn\Dati applicazioni\Mozilla\Firefox\Profiles\xdewmlxs.default\formhistory.dat 	Object is locked 	skipped
C:\Documents and Settings\IceThorn\Dati applicazioni\Mozilla\Firefox\Profiles\xdewmlxs.default\history.dat 	Object is locked 	skipped
C:\Documents and Settings\IceThorn\Dati applicazioni\Mozilla\Firefox\Profiles\xdewmlxs.default\key3.db 	Object is locked 	skipped
C:\Documents and Settings\IceThorn\Dati applicazioni\Mozilla\Firefox\Profiles\xdewmlxs.default\parent.lock 	Object is locked 	skipped
C:\Documents and Settings\IceThorn\Dati applicazioni\Mozilla\Firefox\Profiles\xdewmlxs.default\search.sqlite 	Object is locked 	skipped
C:\Documents and Settings\IceThorn\Dati applicazioni\Mozilla\Firefox\Profiles\xdewmlxs.default\urlclassifier2.sqlite 	Object is locked 	skipped
C:\Documents and Settings\IceThorn\Impostazioni locali\Cronologia\History.IE5\index.dat 	Object is locked 	skipped
C:\Documents and Settings\IceThorn\Impostazioni locali\Cronologia\History.IE5\MSHist012007120620071207\index.dat 	Object is locked 	skipped
C:\Documents and Settings\IceThorn\Impostazioni locali\Dati applicazioni\Microsoft\Windows\UsrClass.dat 	Object is locked 	skipped
C:\Documents and Settings\IceThorn\Impostazioni locali\Dati applicazioni\Microsoft\Windows\UsrClass.dat.LOG 	Object is locked 	skipped
C:\Documents and Settings\IceThorn\Impostazioni locali\Dati applicazioni\Microsoft\Windows Live Contacts\pasquake@hotmail.it\real\members.stg 	Object is locked 	skipped
C:\Documents and Settings\IceThorn\Impostazioni locali\Dati applicazioni\Microsoft\Windows Live Contacts\pasquake@hotmail.it\shadow\members.stg 	Object is locked 	skipped
C:\Documents and Settings\IceThorn\Impostazioni locali\Dati applicazioni\Mozilla\Firefox\Profiles\xdewmlxs.default\Cache\_CACHE_001_ 	Object is locked 	skipped
C:\Documents and Settings\IceThorn\Impostazioni locali\Dati applicazioni\Mozilla\Firefox\Profiles\xdewmlxs.default\Cache\_CACHE_002_ 	Object is locked 	skipped
C:\Documents and Settings\IceThorn\Impostazioni locali\Dati applicazioni\Mozilla\Firefox\Profiles\xdewmlxs.default\Cache\_CACHE_003_ 	Object is locked 	skipped
C:\Documents and Settings\IceThorn\Impostazioni locali\Dati applicazioni\Mozilla\Firefox\Profiles\xdewmlxs.default\Cache\_CACHE_MAP_ 	Object is locked 	skipped
C:\Documents and Settings\IceThorn\Impostazioni locali\Dati applicazioni\Mozilla\Firefox\Profiles\xdewmlxs.default\XUL.mfl 	Object is locked 	skipped
C:\Documents and Settings\IceThorn\Impostazioni locali\Temp\Perflib_Perfdata_764.dat 	Object is locked 	skipped
C:\Documents and Settings\IceThorn\Impostazioni locali\Temp\~DFE23E.tmp 	Object is locked 	skipped
C:\Documents and Settings\IceThorn\Impostazioni locali\Temp\~DFE24C.tmp 	Object is locked 	skipped
C:\Documents and Settings\IceThorn\Impostazioni locali\Temp\~DFF47C.tmp 	Object is locked 	skipped
C:\Documents and Settings\IceThorn\Impostazioni locali\Temp\~DFF4AB.tmp 	Object is locked 	skipped
C:\Documents and Settings\IceThorn\Impostazioni locali\Temporary Internet Files\Content.IE5\index.dat 	Object is locked 	skipped
C:\Documents and Settings\IceThorn\NTUSER.DAT 	Object is locked 	skipped
C:\Documents and Settings\IceThorn\ntuser.dat.LOG 	Object is locked 	skipped
C:\Documents and Settings\LocalService\Cookies\index.dat 	Object is locked 	skipped
C:\Documents and Settings\LocalService\Impostazioni locali\Cronologia\History.IE5\index.dat 	Object is locked 	skipped
C:\Documents and Settings\LocalService\Impostazioni locali\Dati applicazioni\Microsoft\Windows\UsrClass.dat 	Object is locked 	skipped
C:\Documents and Settings\LocalService\Impostazioni locali\Dati applicazioni\Microsoft\Windows\UsrClass.dat.LOG 	Object is locked 	skipped
C:\Documents and Settings\LocalService\Impostazioni locali\Temporary Internet Files\Content.IE5\index.dat 	Object is locked 	skipped
C:\Documents and Settings\LocalService\NTUSER.DAT 	Object is locked 	skipped
C:\Documents and Settings\LocalService\ntuser.dat.LOG 	Object is locked 	skipped
C:\Documents and Settings\NetworkService\Impostazioni locali\Dati applicazioni\Microsoft\Windows\UsrClass.dat 	Object is locked 	skipped
C:\Documents and Settings\NetworkService\Impostazioni locali\Dati applicazioni\Microsoft\Windows\UsrClass.dat.LOG 	Object is locked 	skipped
C:\Documents and Settings\NetworkService\NTUSER.DAT 	Object is locked 	skipped
C:\Documents and Settings\NetworkService\ntuser.dat.LOG 	Object is locked 	skipped
C:\System Volume Information\MountPointManagerRemoteDatabase 	Object is locked 	skipped
C:\WINDOWS\CSC\00000001 	Object is locked 	skipped
C:\WINDOWS\Debug\PASSWD.LOG 	Object is locked 	skipped
C:\WINDOWS\SchedLgU.Txt 	Object is locked 	skipped
C:\WINDOWS\SoftwareDistribution\EventCache\{303D1977-6142-4B6B-81D1-0A709DE9255F}.bin 	Object is locked 	skipped
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log 	Object is locked 	skipped
C:\WINDOWS\system32\CatRoot2\edb.log 	Object is locked 	skipped
C:\WINDOWS\system32\CatRoot2\tmp.edb 	Object is locked 	skipped
C:\WINDOWS\system32\config\AppEvent.Evt 	Object is locked 	skipped
C:\WINDOWS\system32\config\default 	Object is locked 	skipped
C:\WINDOWS\system32\config\default.LOG 	Object is locked 	skipped
C:\WINDOWS\system32\config\SAM 	Object is locked 	skipped
C:\WINDOWS\system32\config\SAM.LOG 	Object is locked 	skipped
C:\WINDOWS\system32\config\SecEvent.Evt 	Object is locked 	skipped
C:\WINDOWS\system32\config\SECURITY 	Object is locked 	skipped
C:\WINDOWS\system32\config\SECURITY.LOG 	Object is locked 	skipped
C:\WINDOWS\system32\config\software 	Object is locked 	skipped
C:\WINDOWS\system32\config\software.LOG 	Object is locked 	skipped
C:\WINDOWS\system32\config\SysEvent.Evt 	Object is locked 	skipped
C:\WINDOWS\system32\config\system 	Object is locked 	skipped
C:\WINDOWS\system32\config\system.LOG 	Object is locked 	skipped
C:\WINDOWS\system32\drivers\sptd.sys 	Object is locked 	skipped
C:\WINDOWS\system32\h323log.txt 	Object is locked 	skipped
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR 	Object is locked 	skipped
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP 	Object is locked 	skipped
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER 	Object is locked 	skipped
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP 	Object is locked 	skipped
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP 	Object is locked 	skipped
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA 	Object is locked 	skipped
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP 	Object is locked 	skipped
C:\WINDOWS\WindowsUpdate.log 	Object is locked 	skipped
D:\AstroPop Deluxe\AstroPop Deluxe\AstroPop.exe 	Object is locked 	skipped
D:\AstroPop Deluxe\AstroPop.exe 	Object is locked 	skipped
D:\AstroPop Deluxe\WinAP.exe 	Object is locked 	skipped
D:\carma2\carma2.exe 	Object is locked 	skipped
D:\carma2\CARMA2_HW.EXE 	Object is locked 	skipped
D:\carma2\Carma2_SW.exe 	Object is locked 	skipped
D:\carma2\clokspl.exe 	Object is locked 	skipped
D:\Dawn of War - Dark Crusade\BugReport\BugReport.exe 	Object is locked 	skipped
D:\Dawn of War - Dark Crusade\DarkCrusade.exe 	Object is locked 	skipped
D:\Dawn of War - Dark Crusade\GraphicsConfig.exe 	Object is locked 	skipped
D:\Dawn of War - Dark Crusade\W40k.exe 	Object is locked 	skipped
D:\Dawn of War - Dark Crusade\W40kWA.exe 	Object is locked 	skipped
D:\Dethkarz\Dethkarz.exe 	Object is locked 	skipped
D:\Dethkarz\Uninstall.exe 	Object is locked 	skipped
D:\Dominion\dominion.exe 	Object is locked 	skipped
D:\Globulation 2\glob2.exe 	Object is locked 	skipped
D:\Globulation 2\glob2win32-uninst.exe 	Object is locked 	skipped
D:\Heavy Weapon Deluxe\Heavy Weapon Deluxe.exe 	Object is locked 	skipped
D:\Internet Download Manager\IDMan.exe 	Object is locked 	skipped
D:\Internet Download Manager\Uninstall.exe 	Object is locked 	skipped
D:\IsoBuster\Help\AHlp.exe 	Object is locked 	skipped
D:\Magic The Gathering - Battlegrounds\SYSTEM\MTGBattlegrounds.exe 	Object is locked 	skipped
D:\Quake III Arena\Check for Quake III Arena Updates.exe 	Object is locked 	skipped
D:\Quake III Arena\Extras\cs\sysinfo.exe 	Object is locked 	skipped
D:\Quake III Arena\Extras\glsetup.exe 	Object is locked 	skipped
D:\Quake III Arena\quake3.exe 	Object is locked 	skipped
D:\Quake III Arena\quake3mod.exe.lnk 	Object is locked 	skipped
D:\Quake III Arena\Radiant-1.4\bspc.exe 	Object is locked 	skipped
D:\Quake III Arena\Radiant-1.4\q3data.exe 	Object is locked 	skipped
D:\Sacred\Config.exe 	Object is locked 	skipped
D:\Sacred\GameServer.exe 	Object is locked 	skipped
D:\Sacred\sacred.exe 	Object is locked 	skipped
D:\Sacred\TraFX.exe 	Object is locked 	skipped
D:\SpellForce\SpellForce 2 - Shadow Wars\FirewallCfg.exe 	Object is locked 	skipped
D:\SpellForce\SpellForce 2 - Shadow Wars\protect.exe 	Object is locked 	skipped
D:\SpellForce\SpellForce 2 - Shadow Wars\SF2Editor.exe 	Object is locked 	skipped
D:\SpellForce\SpellForce 2 - Shadow Wars\SpellForce2.exe 	Object is locked 	skipped
D:\SpellForce\SpellForce 2 - Shadow Wars\UNWISE.EXE 	Object is locked 	skipped
D:\System Volume Information\MountPointManagerRemoteDatabase 	Object is locked 	skipped
D:\System Volume Information\_restore{4BC4513F-5660-4CC7-BFC1-564A6B2CB020}\RP1\A0001010.EXE 	Infected: Virus.Win32.Tenga.a 	skipped
D:\System Volume Information\_restore{4BC4513F-5660-4CC7-BFC1-564A6B2CB020}\RP1\A0001062.exe 	Infected: Virus.Win32.Tenga.a 	skipped
D:\Tumiki fighters\tf.exe 	Object is locked 	skipped
D:\Virtual Midi Keyboard\INSTALL.LOG 	Object is locked 	skipped
D:\Virtual Midi Keyboard\Manual\back.gif 	Object is locked 	skipped
D:\Virtual Midi Keyboard\Manual\bullet.gif 	Object is locked 	skipped
D:\Virtual Midi Keyboard\Manual\forward.gif 	Object is locked 	skipped
D:\Virtual Midi Keyboard\Manual\index.htm 	Object is locked 	skipped
D:\Virtual Midi Keyboard\Manual\keyboard_commands.htm 	Object is locked 	skipped
D:\Virtual Midi Keyboard\Manual\key_assign.gif 	Object is locked 	skipped
D:\Virtual Midi Keyboard\Manual\main_window.gif 	Object is locked 	skipped
D:\Virtual Midi Keyboard\Manual\main_window.htm 	Object is locked 	skipped
D:\Virtual Midi Keyboard\Manual\register.htm 	Object is locked 	skipped
D:\Virtual Midi Keyboard\Manual\settings.gif 	Object is locked 	skipped
D:\Virtual Midi Keyboard\Manual\settings_dialog.htm 	Object is locked 	skipped
D:\Virtual Midi Keyboard\Manual\splash_screen.gif 	Object is locked 	skipped
D:\Virtual Midi Keyboard\Manual\warranty.htm 	Object is locked 	skipped
D:\Virtual Midi Keyboard\Settings.ini 	Object is locked 	skipped
D:\Virtual Midi Keyboard\Uninstall.dat 	Object is locked 	skipped
D:\Void\baseq3\fixpak.pk3 	Object is locked 	skipped
D:\Void\cncs232.dll 	Object is locked 	skipped
D:\Void\KeyCheckDLL.dll 	Object is locked 	skipped
D:\Void\server.cfg 	Object is locked 	skipped
D:\Void\servercache.dat 	Object is locked 	skipped
D:\Zuma Deluxe\PopUninstall.exe 	Object is locked 	skipped
D:\Zuma Deluxe\Zuma.exe 	Object is locked 	skipped
E:\preformat\Pstools.rar/Pstools/psexec.exe 	Infected: not-a-virus:RiskTool.Win32.PsExec.153 	skipped
E:\preformat\Pstools.rar 	RAR: infected - 1 	skipped
E:\System Volume Information\MountPointManagerRemoteDatabase 	Object is locked 	skipped
E:\System Volume Information\_restore{4BC4513F-5660-4CC7-BFC1-564A6B2CB020}\RP1\A0000765.exe 	Infected: not-a-virus:RiskTool.Win32.PsExec.153 	skipped
E:\System Volume Information\_restore{4BC4513F-5660-4CC7-BFC1-564A6B2CB020}\RP1\A0000864.exe 	Infected: Virus.Win32.Tenga.a 	skipped
E:\System Volume Information\_restore{C055CDBA-8770-4AB4-BA84-4A710F4AEEE1}\RP133\A0032194.exe 	Infected: not-a-virus:RiskTool.Win32.PsExec.153 	skipped
E:\utilita'\directx_9c_redist.exe 	Infected: Virus.Win32.Tenga.b 	skipped
F:\System Volume Information\MountPointManagerRemoteDatabase 	Object is locked 	skipped
F:\System Volume Information\_restore{4BC4513F-5660-4CC7-BFC1-564A6B2CB020}\RP1\A0000820.exe 	Infected: Virus.Win32.Tenga.a 	skipped
F:\System Volume Information\_restore{4BC4513F-5660-4CC7-BFC1-564A6B2CB020}\RP1\A0000946.exe 	Infected: Virus.Win32.Tenga.a 	skipped
F:\System Volume Information\_restore{4BC4513F-5660-4CC7-BFC1-564A6B2CB020}\RP1\A0000947.EXE 	Infected: Virus.Win32.Tenga.a 	skipped
F:\System Volume Information\_restore{4BC4513F-5660-4CC7-BFC1-564A6B2CB020}\RP1\A0000948.exe 	Infected: Virus.Win32.Tenga.a 	skipped
F:\System Volume Information\_restore{4BC4513F-5660-4CC7-BFC1-564A6B2CB020}\RP1\A0000949.exe 	Infected: Virus.Win32.Tenga.a 	skipped
F:\System Volume Information\_restore{4BC4513F-5660-4CC7-BFC1-564A6B2CB020}\RP1\A0000950.exe 	Infected: Virus.Win32.Tenga.a 	skipped
F:\System Volume Information\_restore{4BC4513F-5660-4CC7-BFC1-564A6B2CB020}\RP1\A0000951.exe 	Infected: Virus.Win32.Tenga.a 	skipped
F:\System Volume Information\_restore{4BC4513F-5660-4CC7-BFC1-564A6B2CB020}\RP1\A0000952.exe 	Infected: Virus.Win32.Tenga.a 	skipped
F:\System Volume Information\_restore{4BC4513F-5660-4CC7-BFC1-564A6B2CB020}\RP1\A0000953.exe 	Infected: Virus.Win32.Tenga.a 	skipped
F:\System Volume Information\_restore{4BC4513F-5660-4CC7-BFC1-564A6B2CB020}\RP1\A0000954.exe 	Infected: Virus.Win32.Tenga.a 	skipped
F:\System Volume Information\_restore{4BC4513F-5660-4CC7-BFC1-564A6B2CB020}\RP1\A0000955.exe 	Infected: Virus.Win32.Tenga.a 	skipped
F:\System Volume Information\_restore{4BC4513F-5660-4CC7-BFC1-564A6B2CB020}\RP1\A0000956.exe 	Infected: Virus.Win32.Tenga.a 	skipped
F:\System Volume Information\_restore{4BC4513F-5660-4CC7-BFC1-564A6B2CB020}\RP1\A0000957.exe 	Infected: Virus.Win32.Tenga.a 	skipped
F:\System Volume Information\_restore{4BC4513F-5660-4CC7-BFC1-564A6B2CB020}\RP1\A0000958.exe 	Infected: Virus.Win32.Tenga.a 	skipped
F:\System Volume Information\_restore{4BC4513F-5660-4CC7-BFC1-564A6B2CB020}\RP1\A0000959.exe 	Infected: Virus.Win32.Tenga.a 	skipped
F:\System Volume Information\_restore{4BC4513F-5660-4CC7-BFC1-564A6B2CB020}\RP1\A0000960.exe 	Infected: Virus.Win32.Tenga.a 	skipped
F:\System Volume Information\_restore{4BC4513F-5660-4CC7-BFC1-564A6B2CB020}\RP1\A0000961.exe 	Infected: Virus.Win32.Tenga.a 	skipped
F:\System Volume Information\_restore{4BC4513F-5660-4CC7-BFC1-564A6B2CB020}\RP1\A0000962.exe 	Infected: Virus.Win32.Tenga.a 	skipped
F:\System Volume Information\_restore{4BC4513F-5660-4CC7-BFC1-564A6B2CB020}\RP1\A0000963.exe 	Infected: Virus.Win32.Tenga.a 	skipped
F:\System Volume Information\_restore{4BC4513F-5660-4CC7-BFC1-564A6B2CB020}\RP1\A0000964.exe 	Infected: Virus.Win32.Tenga.a 	skipped
F:\System Volume Information\_restore{4BC4513F-5660-4CC7-BFC1-564A6B2CB020}\RP1\A0000968.exe 	Infected: Virus.Win32.Tenga.a 	skipped
G:\System Volume Information\MountPointManagerRemoteDatabase

Preciso che quei file si sono infettati in un tempo di 3 secondi. Il tempo di aprire taskman e terminare emule.exe
Fino a ieri, fatto scansioni, tutto a posto.

Log di Hijackthis:

Codice:

Logfile of HijackThis v1.99.1
Scan saved at 5.54.12, on 07/12/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\Programmi\Analog Devices\Core\smax4pnp.exe
C:\Programmi\Analog Devices\SoundMAX\Smax4.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Programmi\Windows Live\Messenger\msnmsgr.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\Programmi\Mozilla Firefox\firefox.exe
C:\Programmi\Mozilla Thunderbird\thunderbird.exe
C:\DOCUME~1\IceThorn\IMPOST~1\Temp\Rar$EX00.875\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O4 - HKLM\..\Run: [OutpostMonitor] C:\PROGRA~1\Agnitum\OUTPOS~1\op_mon.exe /tray
O4 - HKLM\..\Run: [OutpostFeedBack] "C:\Programmi\Agnitum\Outpost Firewall Pro\feedback.exe" /dump:os_startup
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programmi\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Programmi\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKCU\..\Run: [msnmsgr] "C:\Programmi\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [DAEMON Tools] "C:\Programmi\DAEMON Tools\daemon.exe" -lang 1033
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/default/kavwebscan_unicode.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{0553B2F2-8BCE-480A-94C6-83A9C675C1E3}: NameServer = 85.37.17.40 85.38.28.85
O17 - HKLM\System\CS1\Services\Tcpip\..\{0553B2F2-8BCE-480A-94C6-83A9C675C1E3}: NameServer = 85.37.17.40 85.38.28.85
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL
O20 - AppInit_DLLs: c:\progra~1\agnitum\outpos~1\wl_hook.dll
O23 - Service: Agnitum Client Security Service (acssrv) - Agnitum Ltd. - C:\PROGRA~1\Agnitum\OUTPOS~1\acs.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

L'unica cosa "sospetta" è msn inquanto, dato che hijack è crukko, dice giustamente che dovrebbe essere sotto la directory "Programme"
Io, con ste varianti del tenga non so più che pesci pigliare...

Panda anti-rootkit no nha trovato niente. Fatta adesso la scansione...
Spero solo che non torni a fare danni. IO E-Mule non lo apro PIU'. Al limite lo apro sotto Sandboxie...

[Riverside]

Quote:

Originariamente inviato da Sajiuuk Kaar

Visto che qualcuno è favorevole al bumping ed al crossposting a quanto pare (cose che detesto) Riposto tutto .....

E' esattamente la ragione per la quale il tuo precedente post è stato chiuso.
Visto che sono cose che dici di detestare, evita di predicare bene e razzolare male (ovvero, evita il crossposting).

Quote:

Originariamente inviato da Sajiuuk Kaar

Tempo fa mi avevate detto che, per toglierlo oramai era necessario formattare inquanto nessun mezzo la'veva respinto. Ora: ho formattato ed ho adoperato tutte le possibili precauzioni che mi avevate suggerito. Però è entrato lo stesso. Con firewall. Con antivirus.

Con il firewall, sicuramente: con l'antivirus dubito, visto che dal log di HThis non risulta tu abbia installato alcun antivirus.

Quote:

Originariamente inviato da Sajiuuk Kaar

Quando è entrato? Ieri ho scaricato e-mule, oggi lo ho AVVIATO per la prima volta. Ora, magari è,un'impressione miam ma il file originale che si scarica da emule-project.net secondo me è già infetto...

Secondo te .....

Quote:

Originariamente inviato da Sajiuuk Kaar

IO E-Mule non lo apro PIU'. Al limite lo apro sotto Sandboxie...

Ottima decisione (la prima).
Ed installa un antivirus
E, già che ci sei (evita di rispondermi che non lo usi, perchè non ha alcuna importanza, considerato che ti serve per scaricare gli aggiornamenti da Windows Update) aggiorna Internet Explorer alla versione 7

[Sajiuuk Kaar]

Quote:

Originariamente inviato da Riverside

E' esattamente la ragione per la quale il tuo precedente post è stato chiuso.
Visto che sono cose che dici di detestare, evita di predicare bene e razzolare male (ovvero, evita il crossposting).

M'avete scritto di ripostarlo qui che facevo??? Non dite cose se poi vi contraddite... se è quello che hai detto a me vale anche per te...

Quote:

Originariamente inviato da Riverside

Con il firewall, sicuramente: con l'antivirus dubito, visto che dal log di HThis non risulta tu abbia installato alcun antivirus.

Mmh -.- strano che non me lo becca... c'ho su NOD... Famme fare 'n controllo dei file va...

Quote:

Originariamente inviato da Riverside

Secondo te .....

La differenza tra follia e genio sta' nel risultato ottenuto... scaricalo e fammi sapere...

Quote:

Originariamente inviato da Riverside

Ottima decisione (la prima).

Anche la seconda non e' male...

Quote:

Originariamente inviato da Riverside

Ed installa un antivirus

Ma ho su nod... strano che non me lo becca avviato...

Quote:

Originariamente inviato da Riverside

E, già che ci sei (evita di rispondermi che non lo usi, perchè non ha alcuna importanza, considerato che ti serve per scaricare gli aggiornamenti da Windows Update) aggiorna Internet Explorer alla versione 7

Non lo uso ma mi sono dimenticato di questo... è vero...

[Riverside]

Quote:

Originariamente inviato da Sajiuuk Kaar

Mmh -.- strano che non me lo becca... c'ho su NOD... Famme fare 'n controllo dei file va...

Quote:

Originariamente inviato da Sajiuuk Kaar

Ma ho su nod... strano che non me lo becca avviato...

Già ..... strano ..... ma non troppo, direi.

Quote:

Originariamente inviato da Sajiuuk Kaar

La differenza tra follia e genio sta' nel risultato ottenuto... scaricalo e fammi sapere...

Per principio sono contrario al peer to peer quindi non mi passa minimamente per la mente, di scaricare robaccia come Emule, Limeware, ecc. -.
Però ti posso assicurare che quell'exe, non è infetto.
Poi, sulla questione differenza tra follia e genio, lascio a te trarre le debite conclusioni: sono del parere che quando uno infetta il proprio P.C. sapendo di farlo, non è folle e neppure genio; è, semplicemente, un pirla.

[Sajiuuk Kaar]

Quote:

Originariamente inviato da Riverside

Poi, sulla questione differenza tra follia e genio, lascio a te trarre le debite conclusioni: sono del parere che quando uno infetta il proprio P.C. sapendo di farlo, non è folle e neppure genio; è, semplicemente, un pirla.

Se non ha su niente non vedo cosa ci sia di strano inquanto virus che danneggiano bios non ne circolano...

Comqunue mi riferivo all'idea che il file fosse infetto. Sono sicuro tipo al 99.9% che lo è...

[kwb]

Si dovrebbe fare una statistica per vedere quanti, di quelli infetti, usano emule

[Riverside]

Quote:

Originariamente inviato da Sajiuuk Kaar

Se non ha su niente non vedo cosa ci sia di strano in quanto virus che danneggiano bios non ne circolano...
Comqunue mi riferivo all'idea che il file fosse infetto. Sono sicuro tipo al 99.9%che lo è...

A parte certe strane affermazioni, mi pare che tu abbia convinto te stesso e, al 99,9%, indiviudato il problema che ti affligge
Quindi, presumendo che tu sia in grado di risolvere il problema, non vedo la ragione per la quale continuare questa discussione.

Quote:

Originariamente inviato da kwb

Si dovrebbe fare una statistica per vedere quanti, di quelli infetti, usano emule

Beh la si potrebbe anche fare al contrario: vedere quanti sono coloro che, statisticamente, sono convinti, al 99,9% che l'exe di installazione di Emule sia infetto .

[kwb]

Quote:

Originariamente inviato da Riverside

Beh la si potrebbe anche fare al contrario: vedere quanti sono coloro che, statisticamente, sono convinti, al 99,9% che l'exe di installazione di Emule sia infetto .

Io personalmente non lo sono

[Riverside]

Quote:

Originariamente inviato da kwb

Io personalmente non lo sono

Ma sai che non avevo dubbi in merito??

[Fr33man]

Mi e' successo una cosa stranissima! Condividendo alcune cartelle sul desktop (avendo nod32) e poi esplorarle con il notebook mi ha cancellato tutti i file .exe mettendoli in quarantena definendoli infetti dal virus Tenga.Gen Virus questo ovviamente sul desktop.

E' nod32 ke fa questi scherzi??? Perkè scansionando tutti e due i pc non trovo virus/trojan.

[xcdegasp]

Quote:

Originariamente inviato da Fr33man

Mi e' successo una cosa stranissima! Condividendo alcune cartelle sul desktop (avendo nod32) e poi esplorarle con il notebook mi ha cancellato tutti i file .exe mettendoli in quarantena definendoli infetti dal virus Tenga.Gen Virus questo ovviamente sul desktop.

E' nod32 ke fa questi scherzi??? Perkè scansionando tutti e due i pc non trovo virus/trojan.

fai scansionare quei file ritenuti infetti su entrambi i due siti di riferimento:
http://virusscan.jotti.org/
http://www.virustotal.com/

così puoi avere una conferma da altri antivirus

[Fr33man]

Grazie tante! Cmq ripristinando il file infetto (prima erano tutti gli exe poi gli avevo ripristinati senza problema... me ne era rimasto solo 1) ha ritrivato il virus Tenga.Gen e mi diceva ke poteva disinfettarlo... fatto cio' ora e' tutto ok! Thx di nuovo.

[Sajiuuk Kaar]

Quote:

Originariamente inviato da Fr33man

Grazie tante! Cmq ripristinando il file infetto (prima erano tutti gli exe poi gli avevo ripristinati senza problema... me ne era rimasto solo 1) ha ritrivato il virus Tenga.Gen e mi diceva ke poteva disinfettarlo... fatto cio' ora e' tutto ok! Thx di nuovo.

Controlla anche se quegli eseguibili ora funzionano; anche se li disinfetta ogni tanto purtroppo li corrompe!

[marcozuma]

ciao a tutti, l'ultimo dell'anno anche io mi sono preso un mezzo infarto con sto win32.gael.6666 aka tenga ecc.. aveva infettato 10 exe nel 2° hard disk (E
nota (emule stava funzionando)

seguendo le istruzioni del post ho fatto partire:

- dr web cure it - mi ha curato i 10 files su E: e 4 files su C: appartenenti a nod32 (*.ndq mi sembra). il povero nod aveva bloccato i 10 files su E: ma non aveva curato se stesso

- poi ho fatto una scansione da bitdefender che mi ha trovato alcuni troian nella dir java, cancellati. ho aggiornato poi java dalla 1.0 a quella odierna.

- superantispyware non ha poi trovato piu niente

- AntiRootkit non ha trovato niente

La domandona e':
- posso stare tranquillo ora?
- ma soprattutto: se collego una chiave usb o un hd portatile per fare il backup dei miei lavori rischio???

vi prego help!
grazie mille