Win32:Tenga... cheppalle!!!

[insane_2k]

Ebbene si, è approdato nel mio PC..
Ho 3 hard disk, C (con windows e programmi base), D (programmi e giochi), E (Hd per raccogliere dati).
Curiosamente sto benedetto virus ha corrotto solo gli eseguibili dei dischi D ed E, rendendoli praticamente inutilizzabili.

Ho fatto scan approfonditi con Avast, Nod32, VirIT... qualcosa han trovato, hanno messo in quarantena miliardi di files, hanno **disinfettato** tutto, secondo loro...

Ieri formatto e reinstallo i programmi base.... oggi sto navigando tranquillamente e Nod32 mi avvisa della presenza del Tenga... ovviamente tutti gli eseguibili corrotti nuovamente...

Ora ho disattivato il ripristino di sistema, sono andato in provvisoria e ho fatto girare sia Nod che VirIT... ricerche negative.

Questo è il log di HijackThis:

Logfile of HijackThis v1.99.1
Scan saved at 0.14.28, on 04/01/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\NVIDIA~1\Network\Apache Group\Apache2\bin\apache.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programmi\Nod32\nod32krn.exe
C:\PROGRA~1\NVIDIA~1\Network\bin\nSvcIp.exe
C:\PROGRA~1\NVIDIA~1\Network\bin\nSvcLog.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\NVIDIA~1\Network\Apache Group\Apache2\bin\apache.exe
C:\PROGRA~1\NVIDIA~1\Network\bin\nSvcAppFlt.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\rundll32.exe
C:\Programmi\Nod32\nod32kui.exe
C:\PROGRA~1\NVIDIA~1\Network\bin\nTrayFw.exe
C:\Programmi\MessengerPlus\MsgPlus.exe
C:\Programmi\iTunes\iTunesHelper.exe
C:\Programmi\DAEMON Tools\daemon.exe
C:\WINDOWS\VM_STI.EXE
C:\Programmi\iPod\bin\iPodService.exe
C:\PROGRAMMI\VEXPLITE\MONLITE.EXE
C:\Programmi\Athlon64\RMClock.exe
C:\Programmi\SpeedFan\speedfan.exe
C:\Programmi\MSN Messenger\msnmsgr.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Documents and Settings\The Coach\Impostazioni locali\Temp\wzb715\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [nod32kui] "C:\Programmi\Nod32\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [NVMixerTray] "C:\Programmi\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [nTrayFw] C:\PROGRA~1\NVIDIA~1\Network\bin\nTrayFw.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programmi\MessengerPlus\MsgPlus.exe"
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programmi\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programmi\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [BigDogPath] C:\WINDOWS\VM_STI.EXE Philips SPC 300NC PC Camera
O4 - HKLM\..\Run: [VIRIT LITE MONITOR] C:\PROGRAMMI\VEXPLITE\MONLITE.EXE
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Programmi\MessengerPlus\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [RMClock] C:\Programmi\Athlon64\RMClock.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programmi\MSN Messenger\msnmsgr.exe" /background
O4 - Startup: SpeedFan.lnk = C:\Programmi\SpeedFan\speedfan.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: Download Using &BitSpirit - D:\Programmi\BitSpirit\bsurl.htm
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://D:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1136222068448
O17 - HKLM\System\CCS\Services\Tcpip\..\{403AD33F-C35C-4D08-8232-D5895C1E5B63}: NameServer = 151.99.250.2,194.243.154.82
O17 - HKLM\System\CCS\Services\Tcpip\..\{E1DF8C96-C09C-4C3E-BC4D-7365D4DD5E53}: NameServer = 85.37.17.4 151.99.125.1
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: ForceWare Intelligent Application Manager (IAM) - Unknown owner - C:\PROGRA~1\NVIDIA~1\Network\bin\nSvcAppFlt.exe
O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Unknown owner - C:\PROGRA~1\NVIDIA~1\Network\Apache Group\Apache2\bin\apache.exe" -k runservice (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programmi\iPod\bin\iPodService.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programmi\Nod32\nod32krn.exe
O23 - Service: ForceWare IP service (nSvcIp) - NVIDIA - C:\PROGRA~1\NVIDIA~1\Network\bin\nSvcIp.exe
O23 - Service: ForceWare user log service (nSvcLog) - NVIDIA - C:\PROGRA~1\NVIDIA~1\Network\bin\nSvcLog.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe


Trovo, ad ogni "attacco" del worm, un file chiamato INSTALL.EXE, in D:\, E:\, E:\Mp3


Che posso fare??

Grazie!

[Vash1986]

non c'è proprio verso, torna sempre, anche dopo i format
l'unica per me è stata mettere un firewall ^_^

[matteo1]

un altro utente nod32 colpito;per me non è un caso.
E questo non per scatenare flames
Ma su 10 che si sono beccati il tenga 8 avevano nod32;se non è una prova,poco ci manca.

[Stereogab]

effettivamente...

[Vash1986]

Quote:

Originariamente inviato da matteo1

un altro utente nod32 colpito;per me non è un caso.
E questo non per scatenare flames
Ma su 10 che si sono beccati il tenga 8 avevano nod32;se non è una prova,poco ci manca.

io passai dal nod32 al kaspersky proprio in occasione del tenga
purtroppo il pc è rallentato di almeno 3 volte

Mah concordo... sulle dubbie capacità del NOD....anche perchè pure a me ne ha lasciate di porcherie!
Comunque scusami, se hai formattato magari tenga lo prendi perchè è infetto qualche file (dovrebbe almeno dirti quale!) all'interno del backup!

Controlla con kav

PS per chi dice ancora una volta che kav pesa: se si dispone di una macchina decente (da un GHZ in su, si ha un 7200 rpm a livello di HD e mezzo giga di ram)...manco lo si nota

[naso]

Quote:

Originariamente inviato da Ferdy78

PS per chi dice ancora una volta che kav pesa: se si dispone di una macchina decente (da un GHZ in su, si ha un 7200 rpm a livello di HD e mezzo giga di ram)...manco lo si nota

ma scusate, x voi è più importante avere un antivirus leggero ma che vi fa formattare ogni 3 minuti, o un antivirus un pochino più pesante (se hai un sempron e il kav, ti sembra di avere un piv con il norton.... ) ma che evita x quanto possibile di beccarsi qualsiasi porcheria?

ps ma come andate su internet senza avere neanche il firewall di windows?

Quote:

Originariamente inviato da naso

ma scusate, x voi è più importante avere un antivirus leggero ma che vi fa formattare ogni 3 minuti, o un antivirus un pochino più pesante (se hai un sempron e il kav, ti sembra di avere un piv con il norton.... ) ma che evita x quanto possibile di beccarsi qualsiasi porcheria?

ps ma come andate su internet senza avere neanche il firewall di windows?

Scusami ma chi ha detto cosa ?

Io ho detto che se non hai un pc troppo vetusto KAV manco lo noti: pesa più avast (pure in confronto a Norton) che KAV ...provare per rendersene conto.

Io ho un 1.66 Ghz di procio (Athlon xp 2000) con 768 mb di ram: Kav non si sente per nulla e rispetto al Nod 32 senza offese per la eset non c'è alcun paragone: ciò che c'è se c'è...la becca ed elimina.

Io su internet ci vado giusto con il firewall di sp2 e mai avuto rogne di alcun genere

[naso]

Quote:

Originariamente inviato da Ferdy78

Scusami ma chi ha detto cosa ?

scusa, il discorso del firewall era x Vash1986...

Quote:

Originariamente inviato da naso

scusa, il discorso del firewall era x Vash1986...

[Smanettatore]

Win 32 Tenga è veramente un cosa noiosa, la soluzione che forse potrebbe aiutarvi un pò è provare due Antivirus con cui io lavoro e mi trovo benissimo, E - Trust e Virit Explorer, Win 32 Tenga purtroppo infettando un file genera infezioni estese per tutto il vostro sistema operativo, avete detto bene è una vera noia, io infatti su un pc per un cliente dovetti Formattare tutto, e attenti alla mossa di recuperare i dati, perchè infettando tutto, anche i dati rimangono infetti la maggior parte delle Volte.

Le soluzione a questo Virus per ora sono scarse, speriamo che in futuro si possa trovare una soluzione per ovviare ...

------------------------------------------------------------------------

Nell'uomo c'è qualcosa di buono, afferma con sicurezza il cannibale PAOLO ROSSI

[Vash1986]

Quote:

Originariamente inviato da naso

ps ma come andate su internet senza avere neanche il firewall di windows?

il pc in questione fa da server per un pc con linux (i 2 pc son collegati tramite crossover), per questo era senza firewall, altrimenti è un casino riuscire a sharare la connessione internet