Win32/Tenga.A

[Felo^]

Quote:

Originariamente inviato da Vash1986

col firewall l'ho proprio tolto definitivamente di mezzo

Confermo, anch'io l'ho beccato xchè ero senza firewall e l'ho tolto di mezzo utilizzandone uno serio. Per stare proprio sicuri conviene utilizzare Windows Worm door cleaner e chiudere le porte che ti indica.
In particolare io ho risolto chiudendo la porta 139 quella del netbios.

[Posco]

Quote:

Originariamente inviato da Vash1986

per me era un file infetto, ke l'antivirus ha disinfettato (altrimenti sarebbe di pochi kb più grande di quello normale, mentre questo risulta troncato) e di conseguenza distrutto

Si appunto.. ma ti assicuro che quel file li era cosi anche prima che il nod passasse a pulire il pulibile.. e poi anche se fosse se l antivirus disinfetta un file me lo dovrebbe ripristinare o no?
bho.

[Vash1986]

Quote:

Originariamente inviato da Posco

Si appunto.. ma ti assicuro che quel file li era cosi anche prima che il nod passasse a pulire il pulibile.. e poi anche se fosse se l antivirus disinfetta un file me lo dovrebbe ripristinare o no?
bho.

nel caso del tenga, sia nod32 che kaspersky mi hanno sempre distrutto gli eseguibili ^_^

[andorra24]

Quote:

Originariamente inviato da Vash1986

nel caso del tenga, sia nod32 che kaspersky mi hanno sempre distrutto gli eseguibili ^_^

Mah, gli eseguibili te li avra' distrutti il tenga, non certo il nod32 o il kaspersky.

[Vash1986]

Quote:

Originariamente inviato da andorra24

Mah, gli eseguibili te li avra' distrutti il tenga, non certo il nod32 o il kaspersky.

no il tenga aggiunge 3-4kb di codice suo, è l'antivirus ke poi affetta gli eseguibili riducendoli a pochi kb

[Darkman]

Caxx!
Ho il tenga sul computer dell'ufficio!!!!

Merda!

Un rimedio?

Ho formattato ma ho il terrore di postarlo negli altri computer copiando i files!

C'è un metodo sicuro per toglierlo?

[NMarco]

possibile che nessuno fa niente per trovare un rimedio!!!! boh!

[Night82]

Allora i file eseguibili li distrugge il tenga. E' il suo obiettivo primario di distruzione. Per eliminare il tenga la cosa migliore è aggiornare il proprio antivirus. Esterno del mouse su "Risorse del computer", "Proprietà", "Ripristino Configurazione Sistema", Togliere la spunta a "Ripristino Configurazione..". Riavviate in modalità provvisoria e fate una scansione in profondità. Poi quando tornate in Windows rimettere la spunta. Io a suo tempo con Il Panda Platinium (quello in prova per 30 giorni) l'ho tolto.

[eraser]

non mi sono sinceramente imbattuto nel tenga e non ho potuto provare, tuttavia:

avete provato con Avast Virus Cleaner e Dr.Web CureIT! ?

[T-odio]

Raga il problema non è quale o quanti antivirus usate, il problema sta nelle porte aperte. per ora l'unico metodo sicuramente funzionante è il WWDC.
Per esperienza personale, anche se incredibile, con il firewall di windows sp2 non ci sono state mai rogne, (non fate quelle facce, non è sicuro ma attulamente non ho visto un pc infetto da tenga che tenesse su firewall sp2)
qualsiasi antivirus elimina il file infetto in quanto tale, ma se anche non lo fate eliminare potete tranquillamente vedere che il file sarebbe inutilizzabile, e che ha le dimensioni di un semplice file di testo.

Spero di essere d'aiuto

P.s. Quoto per quello che diceva che l'ha beccato in ufficio.
teoricamente il file non si replica da exe ad exe. è il pc ad essere infetto, non il file, col tenga i file sono semplicemente distrutti!!!

[Cobain]

non se se è una coincidenza o cosa ...ma tutti quello che usano il nod 32 hanno il tenga?

[Darkman]

Quote:

Originariamente inviato da T-odio

Raga il problema non è quale o quanti antivirus usate, il problema sta nelle porte aperte. per ora l'unico metodo sicuramente funzionante è il WWDC.
Per esperienza personale, anche se incredibile, con il firewall di windows sp2 non ci sono state mai rogne, (non fate quelle facce, non è sicuro ma attulamente non ho visto un pc infetto da tenga che tenesse su firewall sp2)
qualsiasi antivirus elimina il file infetto in quanto tale, ma se anche non lo fate eliminare potete tranquillamente vedere che il file sarebbe inutilizzabile, e che ha le dimensioni di un semplice file di testo.

Spero di essere d'aiuto

P.s. Quoto per quello che diceva che l'ha beccato in ufficio.
teoricamente il file non si replica da exe ad exe. è il pc ad essere infetto, non il file, col tenga i file sono semplicemente distrutti!!!

Ho formattato e tolto tutto purtroppo! Spero non infetti anche i doc, ecc... perchè sarei veramente nella merda.
La cosa strana è che cmq il tenga l'ho preso, come non so, ho reinstallato sulla partizione principale sostituendo il SO ed è ricomparso...

Adesso, dopo un fdisk e ripartizionamento, Avast! non mi ha ancora segnalato nulla...

[eraser]

scusate ma c'è un pò di confusione:

Tenga.A è un file infector vecchio stile, vedi Parite.B (gli unici due tutt'ora in the wild di questo tipo).

Il suo scopo NON è la distruzione dei files eseguibili, ma semplicemente l'infezione.

E' un file infector e come tale, ogni volta che trova un .exe, aggiunge il proprio codice alla fine del file.

Quindi NON è il pc ad essere infetto (è anche lui) ma in realtà ogni singolo file infetto dal tenga contiene una copia del virus pronta a colpire su altri pc.

Se i files sono "corrotti" è stato probabilmente per qualche errore nella fase di infezione (se la colpa è del Tenga), altrimenti è stato qualche errore nella fase di rimozione (qualche removal tool).

[eraser]

I files che infetta sono esclusivamente i file eseguibili (.EXE), per il resto (SCR compresi) non sono affetti dalla routine di infezione.

[Vash1986]

Quote:

Originariamente inviato da Cobain

non se se è una coincidenza o cosa ...ma tutti quello che usano il nod 32 hanno il tenga?

io e un mio amico l'abbiamo beccato sia con kaspersky che nod32, ma solo sui pc con accesso diretto a internet (e non dietro LAN o router).

hanno ragione T-odio e eraser

T-odio dice giustamente il tenga entra quando hai determinate porte aperte, non se l'antivirus protegge bene. il firewall di windows è un'ottima soluzione per l'originale, poi mi dicono ke esiste una variante ke entra anke con il firewall, boh...

eraser ha ragione nel sostenere che il virus NON distrugge i file. semplicemente aggiunge del codice virulento a questi file (insomma li infetta) per la sua diffusione. è poi l'antivirus che nel tentativo di togliere questa infezione tronca di netto gli eseguibili rendendoli inutilizzabili (a volte li lascia pochi kb).

cmq è da 2 pagine di topic e da 6 mesi che la gente pone le stesse domande e io dò le stesse risposte.

xkè non facciamo uno sticky per il tenga?

[Darkman]

Beh, oggi il tenga mi ha infettato il kernell32.dll di windows ME....

Altra infezione e altro format.

Dimentico: il virus è passato da un computer all'altro mediante lan...

[T-odio]

non vorrei contraddire nessuno ma ho letto da qualche parte che infetta exe dll e zip. Altri tipi di file sono immuni.
Per la lan non so cosa dirti potrebbe essere, ma il tuo win ME va su internet ho è solo in lan con il pc infetto?

[eraser]

guardate, io sono sicuro che infetti solo i .exe (tant'è che ci sono vari cicli di controllo all'interno del codice per verificare che sia un .exe valido eseguibile)

però, per maggior sicurezza, domani rispolvero il virus e lo disassemblo...vediamo un pò....

[Savvo]

Confermo che la soluzione sta nel bloccare la porta 139 sulla connessione internet (basta solo su quella, quindi il netbios lo potete tranquillamente tenere attivo in lan) da disconnessi, dopo aver pulito tutto (anche con Nod32 aggiornato), e aver riavviato il pc (l'svchost ha un comportamento anomalo, quindi dopo la disinfezione va riavviato il pc).

Risolto così su una lan di una decina di pc.

[NMarco]

quindi diciamo che avendo ora un router posso stare tranquillo!?