TENGA.GEN virus - omg

[blacko]

Cya All!

ieri sera ho beccato il virus TENGA.GEN, leggevo su un altro topic di novembre che al tempo non era stato fatto nessuno tool di rimozione!!!

ad oggi è stato creato? link?

non ditemi che l'unico modo per eliminarlo è il format! vi prego non ditemi così! vi prego!

[wgator]

Ciao,

bè... dal mio punto di vista il problema non sta tanto nella rimozione del virus in se ma nella ricostruzione degli eseguibili che avrà certamente danneggiato...

In pratica bisognerebbe sapere quanti danni ha già fatto

[blacko]

troppi! un'ottantina!

[Stev-O]

beh gli eseguibili di solito si recuperano da backups o reinstallazioni: sarebbero più gravi i files personali

[julianross79]

Quote:

Originariamente inviato da Stev-O

beh gli eseguibili di solito si recuperano da backups o reinstallazioni: sarebbero più gravi i files personali

Anch'io sono rimasto infettato... è partito tutto dalla partizione dati "D"... il primo problema è stato segnalato dal nod32 che mi ha trovato un trojan "agent"... poi mi sono accorto che l'icona caratteristica (disco) della partizione "D" è diventata l'icona bianca dei file non riconosciuti da windows; successivamente il nod32 mi trovava tutti gli eseguibili come se fossero virus e purtroppo sono stati resi inutilizzabili anche quelli di un disco esterno attaccato via usb...
Altri problemi non ne ho.... il pc funziona (connessione internet compresa) e, cancellati tutti gli eseguibili, il nod32 in questi ultimi giorni ha trovato solo dei virus tenga.gen su D:volum system.... eccetera eccetera.
Formattare la partizione "D" non è un problema e per la "C" (quella di sistema, ammesso che sia infetta) ho già prevveduto a fare un back-up (ed eventualmente non ho nessun problema a farne un altro)... non so che fare per quanto riguarda il disco esterno... gli eseguibili sono stati rovinati anche su quello (e quindi presumo che il disco sia infetto anch'esso)...
Il mio timore è che, anche dopo formattazione e back-up dei dischi del pc fisso, attaccando il disco esterno il problema possa ripresentarsi...
Considerato che ho una rete wi-fi e ho la condivisione di connessione internet e di alcune cartelle con il fisso, devo preoccuparmi anche per il notebook, nonostante nessun problema rilevato da antivirus e affini?

Grazie.

[Stev-O]

fai una scansione di routine con ewido e bitdefenderfee

[julianross79]

Quote:

Originariamente inviato da Stev-O

fai una scansione di routine con ewido e bitdefenderfee

Grazie, proverò anche questi 2... fino ad ora tutti i gli anti-spyware, malware, eccetera non son serviti a nulla...
Ci ho capito poco di questo virus, comunque... anche perchè le notizie sono in parte contrastanti... qualcuno dice che c'entra il NOD32, qualcuno che dipende dalla rete, qualcuno che l'unica cosa che si può fare, qualcuno che dice che nemmeno formattare è sufficiente...

Quel che ho capito fino ad ora è quali sono i file che questo virus rende inutilizzabili (e finchè sono gli eseguibili, è il problema minore)... quel che non ho capito è come faccio a sapere se il virus si è propagato anche sul C e soprattutto sul disco esterno e se i file tipo documenti, filmati musica che si trovano nei dischi infettati una volta spostati su dischi "puliti" non si trascinano dietro l'infezione relativa ai dischi dove si trovavano prima...

Grazie.

[Stev-O]

disconnettili e fai una scansione offline
casomai posta i log di hijackthis: con calma verranno esaminati: mi sa che la esaminatrice "titolare" non ci sia al momento, ma vedrai che a breve avrai risposta

[julianross79]

Quote:

Originariamente inviato da Stev-O

disconnettili e fai una scansione offline
casomai posta i log di hijackthis: con calma verranno esaminati: mi sa che la esaminatrice "titolare" non ci sia al momento, ma vedrai che a breve avrai risposta

ok... lo farò... ma da quel che ne capisco io, i log di hijack sono puliti... certo che è un bel casino...
Per quanto questo virus sia sostanzialmente meno grave di altri con cui ho avuto a che fare in passato (se non altro perchè mi incasinavano la connessione o rallentavano tutto) è sicuramente quello più fastidioso e con cui sto avendo più difficoltà nel risolvere il problema...
E il fatto che molti mi dicano "Che te frega... metti tutti gli eseguibili in RAR e festa finita.... tanto funziona tutto..." mi fa girare le palle ancora di più...
Ogni volta che in risorse del computer vedo la partizione D con l'icona di programma non riconosciuto al posto di quella solita con il disegno del disco, mi verrebbe da lanciare il pc fuori dalla finestra...

[julianross79]

Ecco il mio log...

Secondo me non c'è nulla di strano...

Ciononostante l'icona che dovrebbe essere del disco "D" continua ad essere quella di programma non riconosciuto e sono pronto a giurare che, fra qualche giorno, gli eseguibili che ho messo come specchietto per le allodole saranno di nuovo inutilizzabili e incomincerà a scattare il nod32... :-(
In più adesso non mi fido di attaccare l'hard disk esterno ad altri pc (al notebook per esempio) perchè ho paura possa essere infetto visto che anche gli eseguibili su di esso erano stati colpiti...

Che palle...

Logfile of HijackThis v1.99.1
Scan saved at 17.35.54, on 28/02/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Symantec\Norton Ghost 2003\GhostStartService.exe
C:\Programmi\Eset\nod32krn.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programmi\Eset\nod32kui.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\Nikon\NkView6\NkvMon.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\Programmi\MSN Messenger\msnmsgr.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE
D:\Documenti\Programmi non istallati su C\Hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [nod32kui] C:\Programmi\Eset\nod32kui.exe /WAITSERVICE
O4 - HKLM\..\Run: [Norton] C:\Programmi\ASUS\WLAN Card Utilities\NorExec.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - Global Startup: Adobe Gamma Loader.lnk = ?
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: NkvMon.exe.lnk = C:\Programmi\Nikon\NkView6\NkvMon.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/Ms...Downloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{AE24CA9F-9AEF-4307-9A75-D6BF49722DE4}: NameServer = 85.37.17.14 85.38.28.78
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: GhostStartService - Symantec Corporation - C:\Programmi\Symantec\Norton Ghost 2003\GhostStartService.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Unknown owner - C:\Programmi\Eset\nod32krn.exe

[andorra24]

Il log e' pulito.

[julianross79]

Quote:

Originariamente inviato da andorra24

Il log e' pulito.

Già... peccato che non più tardi di ieri avevo lo stesso identico log è mi è partito il nod32 con un messaggio:


Informazioni virus:
File:
D:\System Volume Information\_restore...........[...]....\A0004587.exe
Virus:win32/Tenga.gen virus

[andorra24]

Quote:

Originariamente inviato da julianross79

Già... peccato che non più tardi di ieri avevo lo stesso identico log è mi è partito il nod32 con un messaggio:


Informazioni virus:
File:
D:\System Volume Information\_restore...........[...]....\A0004587.exe
Virus:win32/Tenga.gen virus

Disattiva il ripristino di sistema.
Fai anche una scansione con bitdefender free:
http://www.bitdefender.com/site/Down...adFile/340/EN/

[julianross79]

Quote:

Originariamente inviato da andorra24

Disattiva il ripristino di sistema.
Fai anche una scansione con bitdefender free:
http://www.bitdefender.com/site/Down...adFile/340/EN/

ho fatto la scansione (in modalità normale)... non ha trovato nulla...
devo farla in modalità provvisoria?

[andorra24]

Quote:

Originariamente inviato da julianross79

ho fatto la scansione (in modalità normale)... non ha trovato nulla...
devo farla in modalità provvisoria?

Se l'hai gia' fatta in modalita' normale allora non occorre ripeterla anche in modalita' provvisoria. Comunque disattiva il ripristino di sistema perche' dal tuo messaggio di prima si evince che il tenga si trova nella cartella del ripristino:

Informazioni virus:
File:
D:\System Volume Information\_restore...........[...]....\A0004587.exe
Virus:win32/Tenga.gen virus

[julianross79]

Quote:

Originariamente inviato da andorra24

Se l'hai gia' fatta in modalita' normale allora non occorre ripeterla anche in modalita' provvisoria. Comunque disattiva il ripristino di sistema perche' dal tuo messaggio di prima si evince che il tenga si trova nella cartella del ripristino:

Informazioni virus:
File:
D:\System Volume Information\_restore...........[...]....\A0004587.exe
Virus:win32/Tenga.gen virus

fatto... direi che sono a posto... fino alla prossima volta in cui salta fuori...

Tengo cmq degli eseguibili come "esca"... e vediamo che succede nei prossimi giorni... resta il fatto che l'icona della partizione "D" è rimasta quella relativa ad un'applicazione ignota invece della solita icona con il disco...

Grazie, comunque...

[cicciosferico]

io ho risolto con kaspersky....è stato l'unico in grado di ripulire gli eseguibili...

[Stev-O]

Quote:

Originariamente inviato da cicciosferico

io ho risolto con kaspersky....è stato l'unico in grado di ripulire gli eseguibili...

come sempre

[julianross79]

Mi son sempre trovato bene con NOD32... in 2 anni non mi ha fatto passare nulla (quando molti amici miei con altri antivirus han tirato su di tutto) e questa volta la colpa è stata mia perchè il tenga ha sfruttato la falla lasciata dal sygate non attivo per colpa delle rete wireless...

Ieri sera ho ripulito il ripulibile (degli eseguibili mi interessa poco o nulla... quello che mi serviva l'ho già recuperato e masterizzato), ho seguito un po' tutti i consigli trovati sul forum (grazie a tutti!), ho fatto tutte le scansioni possibili e immaginabili, sono ritornato ad un back-up di 3 settimane fa (prima che entrasse il tenga) sulla partizione di sistema e ripristinato il firewall in modo che la rete wireless funzioni comunque; in più ho trovato il sistema per far ritornare su "D" l'icona caratteristica del disco (bastava eliminare un file sys che si trovava sulla partzione "C" e che, guarda caso, era datato il giorno che mi era entrato il tenga)

Lasciati 4 o 5 eseguibili in ogni partzione e nel disco esterno come "esca"... vediamo che succede: mi tocco gli zebedei ma ho la netta sensazione che ora il pc sia a posto... (com'è sempre stato negli ultimi anni utilizzando nod32, sygate e scansioni periodiche con antispyware vari).

Vi saprò dire com'è andata... grazie a tutti!