Ciao a tutti è oramai un paio di settimane che sto dietro a questo bastardo di virus e non so più cosa fare.
Ho 2 hd divisi in 3 partizioni.
la C: col classico windows xp la D: che sarebbe la cartella documenti ed E: dove tengo immagini cd software e film e quant'altro.
Il virus in questione agisce infettando tutti i file .exe del pc dai programmi scaricati a quelli di Windows tipo calcolatrice o media player.
Ho formattato C: fatte le scansioni cercando di perdere meno file possibili, ma dopo apcuni giorni stessa storia, Nod si apre dicendo che i file pincopallino.exe è infetto e quindi lo cancella, solamente che il file pincopallino.exe è ad esempio l'eseguibile di nod o l'exe per installare winamp.
Sapete come posso sbarazzarmi del virus?
grazie a tutti

Alias inseriti a beneficio della ricerca interna del forum:
Tenga - Gael - Stanit - Licum - Gaelicum

Dovresti ripetere la scansione con il tuo antivirus in modalita' provvisoria e con il ripristino di sistema disabilitato.
Comunque ti consiglio anche una scansione online con bitdefender:
http://www.bitdefender.com/scan8/ie.html

fatte tutte e 2 le cose più di una volta.
la prima volta mi trova i file infetti e me li cancella, la rifaccio e trova tutto pulito,
dopo qualche giorno stessa storia

Posta un log di hijackthis

Stessa cosa anche io... ( da un mese ormai :mbe: ).
NOD32 trova gli exe infetti e li elimina... faccio la scansione ed è tutto pulito...
poi il giorno dopo di nuovo NOD32 mi avverte di file infetti.

:muro:

Adesso faccio la scansione consigliata...

idem :muro:

ma vi apre msconfig?

cmq eccolo qui...
http://www.virit.com/startup/scheda.asp?num=1652

Si a me si apre... lo controllo ogni giorno per vedere se ci fossero schifezze...

Qui
http://ve.nod32.ch/worms/tenga.php
ci sono le informazioni di NOD32 sul virus win32/tenga.A.
Controllate le voci di registro indicate e magari postate un log di hijackthis.

e questa dovrebbe essere la patch :sperem:
http://www.microsoft.com/downloads/details.aspx?FamilyId=2354406C-C5B6-44AC-9532-3DE40F69C074&displaylang=en

Esatto, quello che fa a me.
msconfig funziona anche con regcleaner ma niente di sospetto all'avvio e niente file sospetti nelle cartelle principali tipo windows o system32.
rovina gli exe e le dll.
il massimo dei casini l'ho avuto quando mi ha roviato calcolatrice, media player e altri programmi win.
visto che sfrutta delle vulnerabilità è possibile prevenire l'infezzione?

visto che sfrutta delle vulnerabilità è possibile prevenire l'infezzione?
E' fondamentale tenere sempre aggiornato il sistema operativo.

la patch non può essere perchè io ho sp2 e quella è dell'sp1.
sul sito nod ho controllato le voci ma io non le ho

hijackthis please...

Ecco il mio...
Logfile of HijackThis v1.99.1
Scan saved at 22.48.43, on 17/08/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Eset\nod32krn.exe
C:\WINDOWS\system32\oodag.exe
C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
C:\Programmi\Eset\nod32kui.exe
C:\Programmi\Access Folders\afolders.exe
C:\Programmi\Kaspersky Lab\Kaspersky Anti-Hacker\KAVPF.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Gio\Desktop\HijackThis_1.99.1.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [nod32kui] "C:\Programmi\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKCU\..\Run: [Access Folders] C:\Programmi\Access Folders\afolders.exe
O4 - Global Startup: Kaspersky Anti-Hacker.lnk = C:\Programmi\Kaspersky Lab\Kaspersky Anti-Hacker\KAVPF.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.com/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1123747478589
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programmi\Eset\nod32krn.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe

Ecco il mio...
Il log e' pulito. Solo 2 voci di file missing:
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)

Il log e' pulito. Solo 2 voci di file missing
Ottimo.
Che vuol dire 2 voci di file missing?
Che devo fare...?

Selezionale e premi il pulsante fix

Ottimo.
Che vuol dire 2 voci di file missing?
Che devo fare...?
Indicano files mancanti e quindi sono inutili da tenere. Le puoi fixare. ;)

Logfile of HijackThis v1.99.1
Scan saved at 23.08.02, on 17/08/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\CTSvcCDA.exe
C:\PROGRA~1\DIRECT~1\DUService.exe
C:\WINDOWS\system32\inetsrv\inetinfo.exe
C:\Programmi\Kerio\Personal Firewall 4\kpf4ss.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programmi\Eset\nod32krn.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\Programmi\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Programmi\Asus\Probe\AsusProb.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Programmi\DirectUpdate\DUControl.exe
C:\Programmi\Java\jre1.5.0_02\bin\jusched.exe
C:\Programmi\Eset\nod32kui.exe
C:\Programmi\Skype\Phone\Skype.exe
C:\Programmi\Radeon Omega Drivers\v2.6.53\ATI Tray Tools\atitray.exe
C:\Programmi\Wireless\IEEE802.11b WLAN PCI Card v3.0\WLPCICfg.exe
C:\Programmi\Kerio\Personal Firewall 4\kpf4gui.exe
E:\Software\Html to Pop 3\html2pop3.exe
C:\WINDOWS\system32\dllhost.exe
C:\Programmi\RevConnect\DCPlusPlus.exe
C:\WINDOWS\system32\inetsrv\DavCData.exe
C:\Programmi\Opera\Opera.exe
C:\VEXPLITE\viritexp.exe
C:\Documents and Settings\Doctor\Desktop\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar1.dll
O4 - HKLM\..\Run: [ASUS Probe] C:\Programmi\Asus\Probe\AsusProb.exe
O4 - HKLM\..\Run: [AudCtrl] RunDll32 AudCtrl.dll,RCMonitor
O4 - HKLM\..\Run: [DUControl] C:\Programmi\DirectUpdate\DUControl.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [nod32kui] "C:\Programmi\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [VIRIT LITE MONITOR] C:\VEXPLITE\MONLITE.EXE
O4 - HKCU\..\Run: [Skype] "C:\Programmi\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [AtiTrayTools] C:\Programmi\Radeon Omega Drivers\v2.6.53\ATI Tray Tools\atitray.exe
O4 - Startup: Html2pop3.lnk = E:\Software\Html to Pop 3\html2pop3.exe
O4 - Global Startup: IEEE802.11b WLAN PCI Card Utility.lnk = C:\Programmi\Wireless\IEEE802.11b WLAN PCI Card v3.0\WLPCICfg.exe
O8 - Extra context menu item: &Cerca con Google - res://C:\Programmi\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Traduci parola in italiano - res://C:\Programmi\Google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Link a ritroso - res://C:\Programmi\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Pagine simili - res://C:\Programmi\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Versione cache della pagina - res://C:\Programmi\Google\GoogleToolbar1.dll/cmcache.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.com/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1123938225812
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (ASquaredScanForm Element) - http://www.windowsecurity.com/trojanscan/axscan.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{A6DD3BAD-C71A-433B-B150-AE7AAAFB8083}: NameServer = 85.37.17.57 151.99.125.1
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTSvcCDA.exe
O23 - Service: DirectUpdate engine (DirectUpdate) - http://www.directupdate.net/ - C:\PROGRA~1\DIRECT~1\DUService.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Programmi\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Unknown owner - C:\Programmi\Eset\nod32krn.exe

Direi pulito anche il tuo log. Anche per te 2 voci di files missing:
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)

Indicano files mancanti e quindi sono inutili da tenere. Le puoi fixare. ;)
Fixare sarebbe a dire??? :doh:

Fixare sarebbe a dire??? :doh:
Spunta le caselline accanto a quelle 2 voci e premi ''fix checked'' cosi le elimini.

Ok grazie, scusa la nubbiaggine. :O

Altro cosa mi consigli di fare?

Ok grazie, scusa la nubbiaggine. :O

Altro cosa mi consigli di fare?
Hai fatto tutti gli aggiornamenti al sistema operativo?

WINXP PRO SP2 aggiornato.
NOD32 aggiornato.
Kaspersky anti-hacker.
PG2.
Spybot & Ad-Aware.

Li uso sempre... altro non so che fare... :muro:

Hai provato qualche scansione online?

http://www.bitdefender.com/scan8/ie.html
http://www.kaspersky.com/service?chapter=161739400

ho tutto aggiornato, provate 4 scansioni on line tra cui quelle che mi hai postato tu, ma niente da fare.

ho tutto aggiornato, provate 4 scansioni on line tra cui quelle che mi hai postato tu, ma niente da fare.
Quali hai provato?

http://security.symantec.com/sscv6/home.asp?productid=globalsites&langid=it&venid=sym&close_parent=true&bhcp=1

http://housecall.trendmicro.com/housecall/start_corp.asp

http://www.ravantivirus.com/scan/indexie.php

http://www.windowsecurity.com/trojanscan/

oltre che quella di bitdefender

Anche io + o meno il suo problema, posto il log:

Logfile of HijackThis v1.99.1
Scan saved at 16.01.48, on 18/08/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\Programmi\Executive Software\Diskeeper\DkService.exe
C:\WINDOWS\system32\RioMSC.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programmi\Logitech\iTouch\iTouch.exe
C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\vsnpstd.exe
C:\Programmi\Logitech\MouseWare\system\em_exec.exe
C:\Programmi\Miranda IM\miranda32.exe
C:\Programmi\FreePOPs\freepopsd.exe
C:\Programmi\eMule\emule.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\Programmi\Winamp\Winamp.exe
C:\Programmi\Internet Explorer\iexplore.exe
D:\incoming\Downloads\files5.majorgeeks.com\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programmi\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [snpstd] C:\WINDOWS\vsnpstd.exe
O8 - Extra context menu item: Download with GetRight - C:\Programmi\GetRight\GRdownload.htm
O8 - Extra context menu item: Open with GetRight Browser - C:\Programmi\GetRight\GRbrowse.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.com/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1124038216433
O17 - HKLM\System\CCS\Services\Tcpip\..\{85C07DF6-D9D5-4633-936F-05B209D8E1DA}: NameServer = 85.37.17.55 151.99.125.1
O23 - Service: Apache2 - Unknown owner - C:\Programmi\Apache Group\Apache2\bin\Apache.exe" -k runservice (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Programmi\Executive Software\Diskeeper\DkService.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programmi\File comuni\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: RIO Mass Storage C (RioMSC) - Digital Networks North America, Inc. - C:\WINDOWS\system32\RioMSC.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe

Non ho in esecuzione nulla di sospetto, almeno mi sembra...
però continuano a spuntare file contagiati.
Uso avast e sto facendo ora la scansione online con il bitdefender

Anche io + o meno il suo problema, posto il log:

Logfile of HijackThis v1.99.1
Scan saved at 16.01.48, on 18/08/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\Programmi\Executive Software\Diskeeper\DkService.exe
C:\WINDOWS\system32\RioMSC.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programmi\Logitech\iTouch\iTouch.exe
C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\vsnpstd.exe
C:\Programmi\Logitech\MouseWare\system\em_exec.exe
C:\Programmi\Miranda IM\miranda32.exe
C:\Programmi\FreePOPs\freepopsd.exe
C:\Programmi\eMule\emule.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\Programmi\Winamp\Winamp.exe
C:\Programmi\Internet Explorer\iexplore.exe
D:\incoming\Downloads\files5.majorgeeks.com\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programmi\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [snpstd] C:\WINDOWS\vsnpstd.exe
O8 - Extra context menu item: Download with GetRight - C:\Programmi\GetRight\GRdownload.htm
O8 - Extra context menu item: Open with GetRight Browser - C:\Programmi\GetRight\GRbrowse.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.com/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1124038216433
O17 - HKLM\System\CCS\Services\Tcpip\..\{85C07DF6-D9D5-4633-936F-05B209D8E1DA}: NameServer = 85.37.17.55 151.99.125.1
O23 - Service: Apache2 - Unknown owner - C:\Programmi\Apache Group\Apache2\bin\Apache.exe" -k runservice (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Programmi\Executive Software\Diskeeper\DkService.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programmi\File comuni\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: RIO Mass Storage C (RioMSC) - Digital Networks North America, Inc. - C:\WINDOWS\system32\RioMSC.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe

Non ho in esecuzione nulla di sospetto, almeno mi sembra...
però continuano a spuntare file contagiati.
Uso avast e sto facendo ora la scansione online con il bitdefender
Il tuo log non presenta infezioni.

Allora è proprio bast*rdo sto tenga... :cry:

Provate anche con questo:ftp://ftp.drweb.com/pub/drweb/cureit/drweb-cureit.exe

Provate anche con questo:ftp://ftp.drweb.com/pub/drweb/cureit/drweb-cureit.exe
Tutto pulito... :mbe:

Tutto pulito... :mbe:
Log di hijackthis pulito...scansioni antivirus tutto pulito... Certo non si riesce a capire dove lo tenete nascosto questo w32/tenga :)

E' uscito ad inizio luglio sto disgraziato... mi sa che i produttori di antivirus non sono ancora riusciti a trovare una soluzione. :mc:

da quello che ho potuto capire gli exe li distrugge, quando apro una cartella con un exe infettato, non mi compare la sua icona normale e l'antivirus mi insulta pesantemente... (e pure sonoramente! :))

Tipico esempio di qualche giorno fa...

http://img174.imageshack.us/img174/4221/nod322bo.th.png (http://img174.imageshack.us/my.php?image=nod322bo.png)

ma sto virio si propaga se c'è il firewall?
oggi stavo vedendo un video e avast mi salta fuori con 3 o 4 file infetti EXE tra quelli recenti che avevo aperto....

poi son andato a vedere i windows firewall ed effettivamente non filtrava sul modem usb (internet) :doh:

ciao

raga ho il vostro problema...ma la cosa che non si spiega è che tutti abbiamo il nod...per caso avete la versione 2.50.32?

perchè a me ha trovato il virus e cancellato gli exe subito dopo aver installato la versione aggiornata!


ho formattato tutto reinstallato, dopo una settimana è venuto di nuovo fuori!!!


non ne posso più!!!


la cosa bella è che non cancella i file del disco C: ma solo del secondario dove ho tutti i setup e gli installer dei programmi!!! in pratica se voglio formattare perdo il doppio del tempo così!!!

raga ho il vostro problema...ma la cosa che non si spiega è che tutti abbiamo il nod...per caso avete la versione 2.50.32?

perchè a me ha trovato il virus e cancellato gli exe subito dopo aver installato la versione aggiornata!


ho formattato tutto reinstallato, dopo una settimana è venuto di nuovo fuori!!!


non ne posso più!!!


la cosa bella è che non cancella i file del disco C: ma solo del secondario dove ho tutti i setup e gli installer dei programmi!!! in pratica se voglio formattare perdo il doppio del tempo così!!!

ma hai il firewall e il sistema aggiornato? io tengo già quello di xp e non ho problemi...
come av uso avast...

si si...però secondo me a questo punto è il nod32!

la cosa bella è che non cancella i file del disco C: ma solo del secondario dove ho tutti i setup e gli installer dei programmi!!! in pratica se voglio formattare perdo il doppio del tempo così!!!
Esattamente la stessa cosa accade a me.
Tutti i setup.exe li ho dovuti zippare... :eek:
NOD32 versione 2.50.16.

si si...però secondo me a questo punto è il nod32!


VAi tranqui che non e' il Nod... leggete un mio post tempo addietro... avevo da un cliente lo stesso virus e non sono riuscito a cavare un ragno dal buco...

ho dovuto formattare 2 macchine.

ho dovuto formattare 2 macchine.
Io ho già formattato due volte... :(

ma non è che avete un nod "taroccato"? :D

Io ho avuto lo stesso problema ma alla fine sono riuscito a risolvere.
rispondo al ragazzo hc ediceva che infettava solo D.
ti sbagli anche a me ha iniziato da quello poi però calcolatrice, media player e ripristino sono andatri a puttane.
ho formattato C: ho installato nod32 l'ho aggiornato poi sono entrato in modalità provvisoria riattaccando il disco D:
ho fatto una scansione approfondita mettendo file immagine e file compressi.
ho eliminato tutti ifile che risultavano infetti, perdendo purtroppo parecchi programmi e poi ho fatto ripartire tutto normalmente.
Credo che sia l'unica soluzione e meglio perdere qualche .exe (che tanto non funzionerebbe più ugualmente) piuttosto che trovarsi in giro sempre il virus e continuare a fare più casini!

ma non è che avete un nod "taroccato"? :D

La domanda sorge spontanea :D

ma non è che avete un nod "taroccato"? :D

io lo spero,perchè ho pagato nod profumatamente e se mi dovesse succedere
una cosa così mi incazzerei di brutto :p

Non c'è differenza tra uno tarocco e l'originale.
Un antivirus che ti permette di fare aggiornamenti e scansioni è un antivirus che funziona.
il prenderlo originale è una cosa giusta nei confronti della casa produttrice, ma non vuol dire che l'originale funziona e il tarocco no, basta pensare che la maggior parte dei programmi che si trovano sono stati craccati quindi.....

Non c'è differenza tra uno tarocco e l'originale.
Un antivirus che ti permette di fare aggiornamenti e scansioni è un antivirus che funziona.
il prenderlo originale è una cosa giusta nei confronti della casa produttrice, ma non vuol dire che l'originale funziona e il tarocco no, basta pensare che la maggior parte dei programmi che si trovano sono stati craccati quindi.....
Bisogna vedere se il tarocco è quello "puro" o gli sono stati aggiunti dei file in +;chi vuoi che se ne accorga?

Io li uso tutti e due e guarda caso io che ho l'originale ho preso il virus.
miei amici che magari stanno meno in internet non l'hanno mai preso.
Ripeto secondo me se l'antivirus fa gli aggiornamenti e le scansioni, per me funziona

la mia era solo un'ipotesi :D
Io preferisco big K :sofico:
e non c'è virus che Tenga :boxe: :asd:

e non c'è virus che Tenga :boxe: :asd:
:ncomment: :D

il mio non è tarocco!! ma penso che passerò al kaspersky se non dovessi risolvere nemmeno dopo questo secondo format!

il mio non è tarocco!! ma penso che passerò al kaspersky se non dovessi risolvere nemmeno dopo questo secondo format!

temo di doverti deludere
dopo esserci rimasto male ke il nod non riusciva a cancellare un maledetto virus, ank'io sono passato al kaspersky
ma non c'è stato nulla da fare... ho fatto il backup a fine luglio, e ho fatto 2 volte la scansione dei file backuppati con 3 antivirus e sono risultati puliti. pensavo di aver risolto e invece l'altro ieri mi son ritrovato di nuovo la cartella con tutti gli installer a putt4n3.
e non è possibile ke il virus sia tornato per via dei file backuppati visto i pesanti controlli ke c'ho fatto sopra.
anzi per ki ha letto qualke definizione online, dicono ke il tenga scarichi un trojan da un sito lycos, ke adesso è stato cancellato. ma allora com'è possibile che agisca ancora? e soprattutto come si diffonde visto ke stiamo tutti con l'sp2, e visto ke si diffonde col vekkio e famoso bug del buffer RPC.

è davvero una faccenda strana, non ci sono nemmeno le voci nel registro indicate.

inutile dire ke ank'io ho antivirus e s.o. aggiornati. ora provo a mettere un firewall, anke se credo ke non serva a niente visto ke vengono colpiti anke quelli con il kasp antihacker

beh cmq c'è un fatto positivo ke mi permetterà di resistere finkè il tenga non sarà sconfitto :D

a quanto pare comincia a danneggiare file sempre dalla stessa cartella, ovvero quella piena zeppa di installers. basta tenerne una copia di riserva e appena vedi ke cominciano a corrompersi gli eseguibili rimetti la cartella backuppata e i file di windows e i programmi rimangono intatti ^_^

CACCHIO!!!! oggi nod32 ha cominciato ad eliminarmi un casini di exe!! CHe devo fare!! COsa serve NOD32 AGGIORNATO SE POI SI FA FREGARE COSì!!!!!!!!!!!!!! :cry: :cry: :cry: cosa devo fare!!!!!??????????????? Ho sygate, nod32, spybot, tutto eppure mi faccio fregare così!!! Che prevenzione posso fare? non avrebbe senso formattare se poi mi ritrovo ancora daccapo!!!

CACCHIO!!!! oggi nod32 ha cominciato ad eliminarmi un casini di exe!! CHe devo fare!! COsa serve NOD32 AGGIORNATO SE POI SI FA FREGARE COSì!!!!!!!!!!!!!! :cry: :cry: :cry: cosa devo fare!!!!!??????????????? Ho sygate, nod32, spybot, tutto eppure mi faccio fregare così!!! Che prevenzione posso fare? non avrebbe senso formattare se poi mi ritrovo ancora daccapo!!!

non so... questo virus è davvero incredibile =/
cmq io ho eliminato tutti i file in quarantena e sembra non darmi + rogne

CACCHIO!!!! oggi nod32 ha cominciato ad eliminarmi un casini di exe!! CHe devo fare!! COsa serve NOD32 AGGIORNATO SE POI SI FA FREGARE COSì!!!!!!!!!!!!!! :cry: :cry: :cry: cosa devo fare!!!!!??????????????? Ho sygate, nod32, spybot, tutto eppure mi faccio fregare così!!! Che prevenzione posso fare? non avrebbe senso formattare se poi mi ritrovo ancora daccapo!!!
forse stare attento a quello che si scarica e si esegue

non scarico nulla che possa minimamente contenere virus. Questo non so come posso averslo preso!! Almeno ora scannando con bitdefender sembra riparare i file e non eliminarlo come nod32!!!!!!! :cry:

stesso identico problema che mi ha portato al collasso di ben 3 hdu e all'acquisto di un nuovo disco... Windows era inutilizzabile... appena accedevi d internet e premevi la E di ie o Mozilla si bloccava....
Sto rifacendo le scansioni su tutti i dischi, apparentemnte NOD32 (antivirus che ho installato) sembra fare il CLEAN e non il delete...
Non uso P2P, non scarico nulla da questa macchina (che non ha cartelle condivise in rete e accede solo a macchine con cartelle condivise di 3ds max o file di combustion... quindi niente exe o spazzatura varia...) nè tantomeno giro all'interno di siti porno o siti invia-cazzate.
Secondo me, è una puttanata di Windows XP e sempre secondo me, sto Tenga A, viene inviato dal sito Microsoft...
Ai posteri l'ardua sentenza e a noi infetti l'abile facoltà di incazzarci, bestemmiare e sperare di risolvere il problema...

ciao belli :D

Notizia presa da qui (http://www.virit.com/startup/scheda.asp?num=1652)
Il Tenga.a o win32/tenga.a sfrutta la vulnerabilità di RPC COM di Windows.

si si...però secondo me a questo punto è il nod32!
:cool: il vostro antivirus c'entra in quanto lo scopo del virus è far cancellare i file .exe dai programmi più aggressivi. Ho fatto una ricerca per un amico, Norton sostiene di poterlo eliminare. Lo sapete qual'è il bello? :oink: Microsoft :ciapet: ha denunciato una falla nel sistema operativo, trovata da una virus tutto sommato innoquo, e dal quel momento sono stati creati una serie di virus via via più aggressivi sino ad arrivare al tenga. Non vorrei sembrare sgarbato, ma seguite tutta la procedura? scollegare il cavo di rete, togliere il ripristino file di configurazione, selezionare l'avvio selettivo senza esecuzione automatica, etc. etc.?
Buona fortuna :)

per ora non ho più segnalazioni. Se me dovesse arrivare ancora penso proprio di formattare :cry:

Tenga Tenga Tenga...
minchia ma a tutti quelli idioti che hanno progettato Windows posso solo augurare di trascorrere i loro giorni più belli.... seduti sopra al cesso a cagare sangue... ma vaf*****o...


ps: per i mod, scusate lo sfogo... come tenga... un pò "aggressivo"...

quello che non capisco è come lo prendiamo...
se abbiamo gli antivirus in grado di eliminarlo, isolarlo e rilevarlo, come mai il virus entra indisturbato? Non mi dite che è il firewall perchè nella configurazione che il sig. Tenga mi ha cortesemente sputtanato il firewall c'era e c'era anche attivo quello di windows... quindi 2 firewall e 2 antivirus...
adesso ho solo nod32 e il firewall di winsuck... del virus ho "solamente" infetti oltre 250 exe negli altri hdu.... fortunatamente non si è ancora presentato su questo hdu, ma per sicurezza mi do una grattatina scaramantica.... ciauz

dimenticavo...

per chi ha nod32 come me...

www.nod32.com/msgs/tengaa.htm (http://www.nod32.com/msgs/tengaa.htm)

Bello, perlomeno non ho scoperto di essere l'unico sfigato. :D
Anche io NOD32, e anche io Tenga. :muro:
Tra l'altro, è possibile che prenda di mira solo UNA cartella dell'hard disk? Perchè agli exe che non sono nella mia cartella "programmi" non fa nulla. Mah.
Tra l'altro, ho formattato due volte ma ricompare dopo un po', non vorrei che sia qualcosa di VERAMENTE pericoloso. Mah, appena sapete come togliere qualcosa fatemi un fischio.
:help:

quindi 2 firewall e 2 antivirus...

a meno che il secondo firewall non sia hardware,una configurazione a 2 firewall è controindicata.

io sono reduce di un format avvenuto giusto ieri a causa del suddetto str*** di tenga. Appena scaricavo un exe me lo fotteva. Ora incrocio le dita che non riaccada. :doh:

Io ho formattato l'hard disk di sistema reinstallato tutto, antivirus e firewall compresi,aggiorno,scansione in modalita provvisoria.
tolti tutti gli .exe corrotti sul secondo hdd, riparto, 1 giorno, 2 giorni qualche settimana e alla fine eccolo qua di nuovo, solita storia, .exe cancellati nel secondo hdd e non si resce a capire da dove nasce il problema.postate le soluzioni (se ce ne sono)

Io ho formattato l'hard disk di sistema reinstallato tutto, antivirus e firewall compresi,aggiorno,scansione in modalita provvisoria.
tolti tutti gli .exe corrotti sul secondo hdd, riparto, 1 giorno, 2 giorni qualche settimana e alla fine eccolo qua di nuovo, solita storia, .exe cancellati nel secondo hdd e non si resce a capire da dove nasce il problema.postate le soluzioni (se ce ne sono)
stessa situazione pd
sto già alla seconda formattazione della giornata
se non attacco gli hard disk dove ho la libreria di installer il sistema mi funziona
appena li attacco bom parte tutto :muro: ma microminchia non ha ancora reso disponibile una patch? :muro:

come si fa a disabilitare l'opzione del ripristino dei file di sistema?

io ti consiglio di preparare l'hdd di sistema con antivirus firewall e quant'altro,aggiorni tutto,
disabiliti il ripristino configurazioni di sistema (è sulle proprietà delle risorse del computer)
riavvii in provvisoria attaccando tutti gli hdd e fai una bella scansione,
purtoppo i file infetti verranno cancellati ma meglio non averli piuttosto che averli infetti!

la scansione con avast mi è durata 13 ore
ho perso tutti gli exe, tutta la mia libreria di software (oltre 5000...) :cry:

ma avast è una merda, dopo 12 ore di scansione sono andato nei miei hdd e c'erano ancora dei file infetti .exe
10 minuti e mi ha infettato tutto...
che cazzo... :muro:

come si fa a disabilitare l'opzione del ripristino dei file di sistema?
Per disattivare il ripristino di sistema ti basta fare pulsante destro su risorse del computer e metti la spunta sulla voce ''disattiva ripristino configurazione di sistema''.

Per disattivare il ripristino di sistema ti basta fare pulsante destro su risorse del computer e metti la spunta sulla voce ''disattiva ripristino configurazione di sistema''.
già fatto
provato anche antivir e nun me piace.. altri antivirus free?

già fatto
provato anche antivir e nun me piace.. altri antivirus free?
Di free c'e' molto poco purtroppo, comunque puoi fare una scansione con bitdefender free che funziona solo da scanner:http://www.bitdefender.com/site/Download/downloadFile/340/EN/
oppure con Mcafee solo scanner: http://ftp.isu.edu.tw/pub/windows/edskes/m/mcafee_20050920.exe

Anch'io sono stato colpito da questo maledetto worm! Certo che è proprio bastardo! mi ha cancellato tutti gli exe anche a me (o meglio i file ci sono ancora ma occupano pochi kb e sono inutilizzabili).

Dopo vari tentativi penso di aver sistemato il problema e folevo far sapere a tutti come ho fatto in modo da aiutare chi ancora ha problemi.

Ho istallato l'antivirus Panda Titanium antivirus (lo si scarica dal sito ufficiale, io ce l'avevo in un cd). La versione completa è gratuita per 30gg. Poi ho scaricato gli aggiornamenti. Poi sulle "proprietà delle Risorse del computer\Ripristino configurazione del sistema" ho deselezionato la spunta. Poi in modalità provvisoria ho fatto una scannerizzazione dell'intero sistema. Se non si fanno tutti questi passaggi il virus si rigenera al successivo riavvio del pc.

Al momento non ho più avuto probleami. Sembra tutto tranquillo. E questo per entrambi i pc.. Sta volta me la sono vista brutta!! :doh:

Anch'io sono stato colpito da questo maledetto worm! Certo che è proprio bastardo! mi ha cancellato tutti gli exe anche a me (o meglio i file ci sono ancora ma occupano pochi kb e sono inutilizzabili).

Dopo vari tentativi penso di aver sistemato il problema e folevo far sapere a tutti come ho fatto in modo da aiutare chi ancora ha problemi.

Ho istallato l'antivirus Panda Titanium antivirus (lo si scarica dal sito ufficiale, io ce l'avevo in un cd). La versione completa è gratuita per 30gg. Poi ho scaricato gli aggiornamenti. Poi sulle "proprietà delle Risorse del computer\Ripristino configurazione del sistema" ho deselezionato la spunta. Poi in modalità provvisoria ho fatto una scannerizzazione dell'intero sistema. Se non si fanno tutti questi passaggi il virus si rigenera al successivo riavvio del pc.

Al momento non ho più avuto probleami. Sembra tutto tranquillo. E questo per entrambi i pc.. Sta volta me la sono vista brutta!! :doh:

io ho risolto andando da modalità provvisoria, ho fatto una ricerca di tutti gli exe (anche negli altri hdd/partizioni)
li ho cancellati tutti tanto erano inutilizzabili, formattato e adesso tutto ok
:muro: che virus di merda

A me piacerebbe sapere dove si fa ad infognare sto infame.
Qual'è il suo rifugio? :muro:

ciao a tutti, anche io sono stato colpito da Tenga.A

Uso Win98SE quindi il virus colpisce anche questo sistema.

oramai sono stati corrotti file di sistema e a quel che mi pare di capire il format e' l'unica soluzione. anche se oggi leggevo di un tool della microsoft che potrebbe riuscire a recuperare i file danneggiati dal disco di installazione del sistema operativo.

Io comunque vorrei formattare e reinstallare WinXp Pro SP1 (ho un pIII 700 e non mi va di installare SP2)
mi domandavo percio' se esiste una patch per bloccare questa vulnerabilità.
All'inizio di questo thread ho letto la seguente patch microsoft, e' quella giusta?

http://www.microsoft.com/downloads/details.aspx?familyid=AD724AE0-E72D-4F54-9AB3-75B8EB148356&displaylang=it

oppure non e' ancora stata trovata una soluzione?

mi interesserebbe anche sapere come entra questo virus perche' mi sembra di non aver trovato risposta:

- e' un file exe che viene lanciato dall'utente?
- oppure se sei vulnerabile (avast era installato) riescono a infettarti senza accorgertene (come Sasser o Baster per intenderci)?
- oppure, infine, si prende in siti che sfuttano questa vulnerabilità?

grazie per l'aiuto. ciao.

se non installi sp2 appena logghi su internet ti becchi al volo sasser e blaster

ma per sasser e blaster ho le patch di microsoft.

mi domandavo se esiste qualcosa anche contro Tenga per Win Xp Pro SP1

ma per sasser e blaster ho le patch di microsoft.

mi domandavo se esiste qualcosa anche contro Tenga per Win Xp Pro SP1

se hai letto il topic capirai ke ancora nessuno ha capito xkè tenga colpisce anke i pc ke hanno la patch installata e l'antivirus aggiornato... :(

Notizia presa da qui (http://www.virit.com/startup/scheda.asp?num=1652)
Il Tenga.a o win32/tenga.a sfrutta la vulnerabilità di RPC COM di Windows.

Scusate, RPC COM non è una delle porte (135) che chiude/disattiva WWDC? Nel caso installarlo e attivarlo potrebbe essere d'aiuto. Resto in attesa di autorevoli pareri. Ciao.

P.S. Per chi non lo sapesse, WWDC (Windows worm door cleaner) è una piccola utility free che chiude/disattiva alcune porte notoriamente utilizzate da schifezze varie per infestare i PC.

Merda merda merda merda

Anche io, e da parecchio tempo. Maledizione. Si presenta sempre nella 3 partizione dell'HD, sempre nella cartella dei file di installazione. Ho formattato volte su volte, niente.

Kaspersky super aggiornato ma niente. XP SP2 super aggiornato ma niente.
Sempre fottuto sono.

Ora ho usato il software sopra citato e vediamo cosa ne viene fuori. Che nervi, che palle.

Farò sapere eventuali risultati.

probabilmente ce l'hai in qualche cosa che rimetti anche dopo format.

E' possibilissimo. Non è neanche da escludere che quella me#da sopravviva alla formattazione; nel caso, si potrebbe tentare una formattazione di basso livello con appositi SW.

fai come me, cancella la quarantena

probabilmente ce l'hai in qualche cosa che rimetti anche dopo format.


E cosa? io scarico tutta roba fidata dai siti ufficiali e cmq "garantita"...


Eppoi, se cosi fosse il mio kaspersky super-aggiornato dovrebbe rilevarlo, invece nulla...

ora sto provando con quel software che chiude la DCOM e tutto il resto. Vediamo che effetti si ottengono.

Se invece non riesco mi sembra di aver letto che qualcuno ha risolto installando il panda. Poi proverò anche quello.

Nel frattempo chi sa qualcosa AIUTI

Io sto tipo alla centesima formattazione senza mai venirne a capo.
ho formattato tutti gli hdd quindi che dipenda da i file che avevo è impossibile.
Ora ho contattato anche il sito del nod32 inviando file di log e qualche file infetto.Vediamo un pò!!!

cioè voi fate un'installazione pulita del solo win e vi trovate già il tenga?Se ripristinate una partizione precedente allora il problema dipende da quella partizione.

no no questo no, io faccio l'installazione pulita su un hdd, installo antivirus e aggiornamenti di win, metto i programmi e ok.faccio la scansione al disco secondario usando un'altro pc, tutto è pulito lo attacco al pc, inizio ad utilizzare tutto e può darsi 1 settimana, 2 o semplicemente qualche giorno tutti gli exe del secondo spariscono. dopo di questi iniziano a partire quelli del primo e quindi win si sputtana.
Usavo l'ftp, pensavo dipendesse da qeullo così nella nuova installazione l'ho lasciato chiuso.
scansioni tutti i giorni e i file non risultano mai infetti, la notte il pc acceso e il mattino mi ritrovo il messaggio di nod che il file c:\pincopallino.exe è stato cancellato perchè rilevato infetto dal virus

La cosa bella è che questo virus per infettare utilizza dei file chiamati

GAELICUM.EXE
cback.exe
dl.exe


(mi sembra)

Ora, questi file sul mio pc non sono presenti! Ne su quello di molti. Inoltre il virus Worm sfrutta la notà vulnerabilità della DCOM già patchata da microsoft (e di cui oggi è vulnerabil solo XP sp1)... ma allora se io ho l'sp2 come è possibile??

Forse c'è qualcue altra vulnerabilità nella DCOm non ancora documentata. Io ho chiuso tutti i servizi microsoft a rischio (UPnP, DCOM RPC, NETBIOS) con il software citato + su (pur chiudendo netbios la mia lan non sembra avere alcun problema).

Sono dietro firewall hardware netgear e firewall di windows.

Spero di aver risolto......

Sembra infatti non esserew solo un virus, ma un worm che si propaga sfruttando anche le lan casalinghe. Chiudendo il DCOM che utilizza forse ho risolto.

Vi farò sapere al + presto!

Inoltre, altrove ho letto che si ocnsiglia di eseguire avg free sotto modalità provvisoria, ora provo anche quello.
Ciao

Io il nod l'ho passato mille volte sia in provvisoria che in normale ma i file non vengono visti come infetti.però ogni tanto, tac esce il messaggino e il file è rovinato.
il mio win è sp2 aggiornato e il firewall è il kerio.
cmq anche per me i file che dici tu non ce li ho nel pc.
ora provo col programma che dici tu

no no questo no, io faccio l'installazione pulita su un hdd, installo antivirus e aggiornamenti di win, metto i programmi e ok.faccio la scansione al disco secondario usando un'altro pc, tutto è pulito lo attacco al pc, inizio ad utilizzare tutto e può darsi 1 settimana, 2 o semplicemente qualche giorno tutti gli exe del secondo spariscono.
quindi molto probabilmente sul secondo hai un bel trojan che scarica il tenga pezzo per pezzo.
prova ad usare kaspersky con firme estese o un antivirus con euristica.

Ho fatto la scansione con l'ultimissimo avg free da modalità provvisoria, nulla rilevato.

Io il nod l'ho passato mille volte sia in provvisoria che in normale ma i file non vengono visti come infetti.però ogni tanto, tac esce il messaggino e il file è rovinato.

Stessissima cosa con me.

quindi molto probabilmente sul secondo hai un bel trojan che scarica il tenga pezzo per pezzo.



C'è un trojan che scarica automaticamente il Virus Worm?? Ma come può essere? Cmq per sicurezza farò un controllo approfondito ORA...

C'è un trojan che scarica automaticamente il Virus Worm?? Ma come può essere? Cmq per sicurezza farò un controllo approfondito ORA...
E' una ipotesi;il trojan è un programma in grado di essre comandato a distanza,per cui può anche essere programmato per scaricare da web il worm in questione.

D'accordo su questo. Ma i Trojan in teoria dovrebbero essere rilevati dai vari antivirus... Qui invece con Nod32,AVG Free, Kaspersky 5 non si ottiene nulla...
Inoltre utilizzo un firewall hardware insieme al router... e molti utenti hanno anche il firewall a livello software che non serve a nulla.
quindi come è possibile...


Da notare che il system restore degli HD è ovviamente disattivato.

Dio stramaledica la Microsoft, per i suoi S.O. pieni di bug...


Per adesso cmq è tutto tranquillo, come il lungo respiro prima del salto. Spero vada tutto bene.

Se va per 2-3 settimane senza problemi, posto la soluzione in maniera definitiva, altrimenti torno qui a bestemmiare :)

Forse trovata una soluzione o meglio una toppa per risolvere.

Controllate su questo sito le vostre porte aperte "https://grc.com/x/ne.dll?bh0bkyd2", ed eventualmente scaricate il programma Windows Worms Doors Cleaner (wwdc) per chiudere le porte dove in il tenga va ad agire.
a me sembra che stia funzionando.
Se volete i link dove ho preso la notizia scrivetemi in pvt

https://grc.com/x/ne.dll?bh0bkyd2
Il mio scan... Sembra tutto chiuso. A te da qualche porta aperta?
GRC Port Authority Report created on UTC: 2005-10-26 at 15:42:10

Results from scan of ports: 0-1055

0 Ports Open
0 Ports Closed
1056 Ports Stealth
---------------------
1056 Ports Tested

ALL PORTS tested were found to be: STEALTH.

TruStealth: FAILED - ALL tested ports were STEALTH,
- NO unsolicited packets were received,
- A PING REPLY (ICMP Echo) WAS RECEIVED.



EDIT: azz... sono tutte raggiungibili... :O

con firewall di xp ho tutto in stealth con kerio tutto chiuso tranne 3 o 4 porte.
Prova col programma a disabilitare le voci io per ora (mi tocco le p@ll3) non ho avuto più problemi

GRC Port Authority Report created on UTC: 2005-10-26 at 18:06:20

Results from scan of ports: 0-1055

0 Ports Open
0 Ports Closed
1056 Ports Stealth
---------------------
1056 Ports Tested

ALL PORTS tested were found to be: STEALTH.

TruStealth: PASSED - ALL tested ports were STEALTH,
- NO unsolicited packets were received,
- NO Ping reply (ICMP Echo) was received.


Dovrei essere ok anch'io. Per ora nessun problema, incrociamo le dita...

Se disabilito tutto con Windows Worms Doors Cleaner la WLAN non mi va più. :(

Prova a riattivare netBIOS; credo che sia indispensabile nel tuo caso.

Se disabilito tutto con Windows Worms Doors Cleaner la WLAN non mi va più. :(
135 e 137 vanno lasciate aperte da wwdc,per la lan.Tanto puoi sempre dare un comando tipo
net stop netbt
per chiudere la lan quando non serve.

A me la LAN funziona benissimo, sia in modalità wireless che via cavo... ANche con netbios disattivato e porte chiuse.

Basta solo mettere ip fisso sulle macchine e basta. Il tutto è ovviamente collegato ad un router

ragazzi a me il problema non si è + presentato, a voi?

ragazzi a me il problema non si è + presentato, a voi?
Mmm... io non ti posso rispondere... non ho più eseguibili sull'hd colpito...
Potrei lasciarne uno a fare da esca... :D

dai forza almeno si prova... ho idea cmq che sto virus sfruttasse o la vulnerabilità DCOM/RPC o UPnP... il problema è che io per sicurezza ho chiuso tutto e va tutto alla grande, tranne il windows update e gli agg automatici da windows...

Prticamente quando lancio il win update mi da solo una pagina bianca.

Ricordo che quando usai WWDC, mi avertì sul fatto che se chiudevo (mi pare) 1 di questi processi completamente (comprese le porte) gli aggiornamenti automatici e il win update non andavano più.

Solo che io ho fatto diverse prove e non riesco + a rirpistinare la vecchia situazione...

Come faccio? :help:

Riusa il programma.
Apri le porta e riavvii.

dai forza almeno si prova... ho idea cmq che sto virus sfruttasse o la vulnerabilità DCOM/RPC o UPnP... il problema è che io per sicurezza ho chiuso tutto e va tutto alla grande, tranne il windows update e gli agg automatici da windows...

Prticamente quando lancio il win update mi da solo una pagina bianca.

Ricordo che quando usai WWDC, mi avertì sul fatto che se chiudevo (mi pare) 1 di questi processi completamente (comprese le porte) gli aggiornamenti automatici e il win update non andavano più.

Solo che io ho fatto diverse prove e non riesco + a rirpistinare la vecchia situazione...

Come faccio? :help:


Ma scusate raga ma qual'è le porte DCOM/RPC o UPnP che bisogna o meglio che è consigliato lasciare chiuse.
io uso il kerio e ho visto che ho parecchie richieste sulla 135 e 137.
siccome qualche servizio non mi funziona non vorrei dipendesse da quello però ho paura di aprirle e fare una cassata

La cosa bella è che questo virus per infettare utilizza dei file chiamati

GAELICUM.EXE
cback.exe
dl.exe


(mi sembra)

Ora, questi file sul mio pc non sono presenti! Ne su quello di molti.

io ho lo stesso problema... non ho nessun file chiamato cosi' sui miei HD, ne' in esecuzione... in compenso a me compare ogni tanto in C: una cosa chiamata MSNCHECKER.EXE che viene riconosciuta dal Kapersky come un virus... capita ad altrri?

aggiungo una cosa che mi e' capitata prima...

avevo il kapersky attivo (ma non il firewall, per alcuni giorni non posso). improvvisamente mi segnala che un exe e' infettato dal tenga.a, e gli dico di ripulirlo. subito dopo mi segnala che un altro exe era infettato, e gli dico di ripulire anche quello. per farla corta, tenga.a stava infettatndo tutti gli exe, dalla A alla Z, delle varie directory dove ho installato i programmi. e la cosa strana e' che l'hijack non segnalava niente, e neppure a kapersky risultavano virus in azione nella memoria.
dopo ho fatto un reboot e nelle ultime ore nessun problema con il tenga.a... ora quello che mi chiedo e'... ma come cavolo faceva ad infettare quei files se non risultava attivo?

ps uso xp pro sp2

ritorna a colpire... pure sul mio pc con nod32 + outposto firewall pro entarmbi aggiornati giornalmente (il nod32 ogni ora impostato da me)... qualcuno deve aver ingaggiato per danneggiare ESET sto pensando io... è da 10 mesi che circola sto virus!!!!!!! :mad: :mad: :mad: :mad: :mad: :mad: : :muro: :muro: :muro: :muro: :muro: :muro: :muro: mad:

ritorna a colpire... pure sul mio pc con nod32 + outposto firewall pro entarmbi aggiornati giornalmente (il nod32 ogni ora impostato da me)... qualcuno deve aver ingaggiato per danneggiare ESET sto pensando io... è da 10 mesi che circola sto virus!!!!!!! :mad: :mad: :mad: :mad: :mad: :mad: : :muro: :muro: :muro: :muro: :muro: :muro: :muro: mad:

nod32 non c'entra nulla, il problema è del firewall.
prova il programma che ho postato Windows Worm Door Cleaner
io con quello (e mi sembra non solo io) ho risolto il problema

ottimo sitp ed ottimo programma :read:

purtroppo però ho il bisogno di avere 3 pc in lan collegati ad internet che si possano vedere tra di loro.

Il solo e unico pc che è stato colpito dal tenga (tra l'altro è un worm italiano e se becco chi lo ha fatto lo prendo a calci :muro: ) è stato quello con nod32 gli altri 2 pc non hanno firewall solo Norton System Works.

Ciao

Anche io ho beccato questo bastardo!
Nell'arco di 4 giorni mi è scattato 2 volte l'allarme di avast che ha eliminato alcuni archivi di winrar autoestraenti con estensione .exe.
Per ora il problema è circoscritto solo ad una cartella...spero che nn mi infetti anche il resto...
Ho fatto un paio di scansioni ma nn becca + niente!
Scusate ma infetta solo i file con estensione .exe?
Riesce ad infettare i .exe anche all'interno di un archivio .rar?
Per i setup dei programmi che ho archiviati, ho pensato di fare un archivio .rar con password, che dite può infettarli lo stesso?
Qualcuno sarebbe poi così gentile da indicarmi quali aggiornamenti critici bisogna installare su winxppro...

Attualmente non mi sembra che vi siano aggiornamenti particolari da installare.
cmq tenga colpisce .exe .zip e se non erro anche le dll.
io continuo a consigliare WINDOWS WORM DOOR CONTROL.

Attualmente non mi sembra che vi siano aggiornamenti particolari da installare.
cmq tenga colpisce .exe .zip e se non erro anche le dll.
io continuo a consigliare WINDOWS WORM DOOR CONTROL.

Colpisce anche i file con estensione .rar?

No i file compressi solo zip

No i file compressi solo zip
Grazie

Qualcuno sarebbe così gentile da controllarmi questo log:

Logfile of HijackThis v1.99.1
Scan saved at 15.44.52, on 11/02/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Sygate\SPF\smc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\File comuni\Autodesk Shared\Service\AdskScSrv.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programmi\Autodesk\3dsMax8\mentalray\satellite\raysat_3dsmax8server.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\3dsmax7\mentalray\satellite\raysat_3dsmax7server.exe
C:\WINDOWS\system32\svchost.exe
C:\PROGRA~1\Upsmon\Upsag_nt.exe
C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\explorer.exe
C:\Programmi\CyberLink\PowerDVD\PDVDServ.exe
C:\Programmi\Thomson\SpeedTouch USB\Dragdiag.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programmi\Java\jre1.5.0_06\bin\jusched.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Programmi\SEC\MT4.0\GammaTray.exe
C:\Programmi\Logitech\SetPoint\KEM.exe
C:\Programmi\Logitech\SetPoint\KHALMNPR.EXE
C:\Programmi\SEC\MT4.0\MagicTune.exe
C:\WINDOWS\system32\taskmgr.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programmi\Alwil Software\Avast4\setup\avast.setup
C:\Documents and Settings\Customer\Desktop\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
F2 - REG:system.ini: Shell=explorer.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programmi\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [RemoteControl] C:\Programmi\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Programmi\Thomson\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [Launch Ai Booster] "C:\Programmi\ASUS\Ai Booster\OverClk.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - Startup: Adobe Gamma.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Color Calibration.lnk = ?
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programmi\Logitech\SetPoint\KEM.exe
O4 - Global Startup: MagicTune4.0.lnk = ?
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/english/kavwebscan_unicode.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Programmi\File comuni\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: RaySat_3dsmax8 Server (mi-raysat_3dsmax8) - Unknown owner - C:\Programmi\Autodesk\3dsMax8\mentalray\satellite\raysat_3dsmax8server.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: RaySat_3dsmax7 Server (RaySat_3dsmax7Server) - Unknown owner - C:\3dsmax7\mentalray\satellite\raysat_3dsmax7server.exe
O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - C:\Programmi\SiSoftware\SiSoftware Sandra Lite 2005.SR3\RpcDataSrv.exe
O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - C:\Programmi\SiSoftware\SiSoftware Sandra Lite 2005.SR3\RpcSandraSrv.exe
O23 - Service: Sygate Personal Firewall Pro (SmcService) - Sygate Technologies, Inc. - C:\Programmi\Sygate\SPF\smc.exe
O23 - Service: Upsagent - UPS Monitor (Upsagent) - Unknown owner - C:\PROGRA~1\Upsmon\Upsag_nt.exe

Il log e' ok Felo.

Grazie andorra, ti ho risposto anche nell'altra discussione.
Che dite posso stare tranquillo?

Grazie andorra, ti ho risposto anche nell'altra discussione.
Che dite posso stare tranquillo?
Direi di si.

Un altra cosa:
da quanto ho capito questo virus sfrutta la vulnerabilità delle porte 135,137,139.
Ho chiuso tutte le porte che indica Windows Worms doors cleaner, tranne quelle del netbios 137,139 xchè cmq ne ho bisogno x tenere in rete il server (quello infettato) e un altro pc tramite cavo incrociato.
Sul server ho attivato il Sygate personal firewall, ed ho bloccato le porte 137,139. Per essere sicuro che nn fossero accessibili dal web ho fatto questotest (http://scan.sygate.com/prestealthscan.html) e tutte le porte risultano bloccate quindi invisibili.
Secondo voi quanto è attendibile questo test? Perchè se le porte 137,139 le apro, ottengo sempre lo stesso risultato, le porte risultano Blocked .
L'altro pc invece posso tenerlo in rete senza firewall visto che il server condivide la connessione ed ha attivo il firewall?
Vorrei un vostro parere, visto che di reti nn ne capisco poi molto, che ho bisogno di tenere 2 pc comunicanti con connessione condivisa, e che nn vorrei beccarmi di nuovo il Tenga.A.

Ringrazio Anticipatamente :)

basta attivare il firewall di windows per non riceverlo
con altri firewall non ho provato

basta attivare il firewall di windows per non riceverlo
con altri firewall non ho provato

OK! attiverò quello di windows...un ultima cosa...ma avere 2 firewall attivi poi crea confilitti?
Poi posso attivare i firewall solo sul server o anche sull'altro pc?

buaaa vi preg controllate anke il mio... sono un'altra vittima


Logfile of HijackThis v1.99.1
Scan saved at 16.32.49, on 12/02/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Eset\nod32krn.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Eset\nod32kui.exe
C:\Programmi\Conexant\AccessRunner ADSL\CnxDslTb.exe
C:\Programmi\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programmi\MessengerPlus! 3\MsgPlus.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\ATI Technologies\ATI.ACE\cli.exe
C:\Programmi\ATI Technologies\ATI.ACE\cli.exe
C:\Programmi\Kerio\Personal Firewall 4\kpf4ss.exe
C:\Programmi\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Programmi\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programmi\MSN Messenger\msnmsgr.exe
C:\Programmi\Teamspeak2_RC2\TeamSpeak.exe
C:\Programmi\Eset\nod32.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\DOCUME~1\Carlo\IMPOST~1\Temp\Rar$EX00.766\HijackThis.exe
C:\Programmi\Mozilla Thunderbird\thunderbird.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar2.dll
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\Programmi\FlashFXP\IEFlash.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programmi\ICQToolbar\toolbaru.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar2.dll
O4 - HKLM\..\Run: [Launch Ai Booster] "C:\Programmi\ASUS\Ai Booster\OverClk.exe"
O4 - HKLM\..\Run: [NVIDIA nTune] "C:\Programmi\NVIDIA Corporation\nTune\\nTune.exe" clear
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [nod32kui] "C:\Programmi\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [CnxDslTaskBar] C:\Programmi\Conexant\AccessRunner ADSL\CnxDslTb.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Programmi\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [iTunesHelper] C:\Programmi\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Detector] C:\WINDOWS\twain_32\FlatBed\Usb\Detector.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programmi\MessengerPlus! 3\MsgPlus.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Steam] X:\Steam\\Steam.exe -silent
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Programmi\MessengerPlus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [msnmsgr] "C:\Programmi\MSN Messenger\msnmsgr.exe" /background
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: &Google Search - res://c:\programmi\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Translate English Word - res://c:\programmi\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Backward Links - res://c:\programmi\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\programmi\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Scarica con FlashGet - C:\Programmi\FlashGet\jc_link.htm
O8 - Extra context menu item: Scarica tutto con FlashGet - C:\Programmi\FlashGet\jc_all.htm
O8 - Extra context menu item: Similar Pages - res://c:\programmi\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Translate Page into English - res://c:\programmi\google\GoogleToolbar2.dll/cmtrans.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programmi\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programmi\ICQLite\ICQLite.exe
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1135689118541
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{4855DE30-5ED5-4FF8-AE84-C4EAC9696A19}: NameServer = 62.94.0.1,62.94.0.2
O17 - HKLM\System\CCS\Services\Tcpip\..\{CFC6E2C3-3B14-4D03-B096-F9DC5BB1CED6}: NameServer = 62.94.0.1,62.94.0.2
O17 - HKLM\System\CCS\Services\Tcpip\..\{FB130636-28A3-45E2-8AA5-B6E75BB40089}: NameServer = 85.37.17.47 85.38.28.82
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Servizio iPod (iPodService) - Apple Computer, Inc. - C:\Programmi\iPod\bin\iPodService.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Programmi\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programmi\Eset\nod32krn.exe

non ho mai trovato niente di sospetto tra i processi, solo una serie di file infetti ^_^

cosa fare?

1- cancellare i file
2- cancellare la quarantena
3- attivare il firewall di windows o configurare a dovere il proprio
4- fare un'ultima scansione per essere sicuri

Ciao a tutti... chiedo scusa se riesumo un post vecchiotto.. ma sono incasinato con il maledetto tenga del cavolo...
mi date una mano a mandarlo fuori dai ******
ho 2 hd in 3 partizioni e pobabilmente tutte infette.
tutti gli exe anche se a malinquore sono sacrificabili gli zip no..
come posso fare? dettaglitamente cosa devo fare? Grazie a tutti ciao.

Ho fatto scansioni con no32 (aggiornato ovviamente) ha rimosso un po di roba ... ma alcuni exe su un altro hd sono rimasti li sono di dimensioni ridicole ed è ovvio che nn sono ne applicazioni che avevo 3,14 3,15 kilobite.

io non ho ovviamente il coraggio di provare.. a eseguirle ma il nod non dice nulla nn le trova come virus. cosa faccio?
cosa mi dite dei file zip? da buttare?

Riepilogo in breve sperando di poter essere di aiuto un pò a tutti

1- il firewall di windows sp 2 già basta x non essere infetti, in caso contrario utilizzare windiws word door control.
2- Il virus conlpisce i file con estensione .exe .zip e forse anche .dll
3- Attualmente gli antivirus non rilevano la fonte del virus ma i file già infetti quindi sono inutili le scansioni, qualunque file rilevato virus è già inutilizzabile quindi potete eliminarlo.

4- I file compressi .rar .ace o i file immagini .iso e altri tipi sono immuni.

come riconosco i file infetti? e i file portatori del virus?

cioè io fo visto dei file esempio winrar.exe (che una volta era l installazione del winrar) che adesso è di 5,24 kbyte... cioè ok immagino che nn funzioni.. ma è il virus? xke il nod nn me lo trova... cosa faccio mi fido?
e per i zip come li trovo

l'ho preso anche io l'altro gg strano xchè cmq ho il sp2 e il firewall di windows attivi! va beh misteri microsoft!

xò ringrazio microsoft... il pc mi era fortunamente crashato il giorno prima ed era stato creato un punto di ripristino! mi è bastato ricaricare quello ^^

potresti provare anche te!

altro dubbio:

io ho visto dei file esempio winrar.exe (che una volta era l installazione del winrar) che adesso è di 5,24 kbyte... cioè ok immagino che nn funzioni.. ma è il virus? xke il nod nn me lo trova... cosa faccio mi fido?
e per i zip come li trovo

l'ho preso anche io l'altro gg strano xchè cmq ho il sp2 e il firewall di windows attivi! va beh misteri microsoft!

xò ringrazio microsoft... il pc mi era fortunamente crashato il giorno prima ed era stato creato un punto di ripristino! mi è bastato ricaricare quello ^^

potresti provare anche te!

scusa ma hai preso il win32.tenga.A o una variante?
xkè io il tenga.A col firewall l'ho proprio tolto definitivamente di mezzo

altro dubbio:

io ho visto dei file esempio winrar.exe (che una volta era l installazione del winrar) che adesso è di 5,24 kbyte... cioè ok immagino che nn funzioni.. ma è il virus? xke il nod nn me lo trova... cosa faccio mi fido?
e per i zip come li trovo

per me era un file infetto, ke l'antivirus ha disinfettato (altrimenti sarebbe di pochi kb più grande di quello normale, mentre questo risulta troncato) e di conseguenza distrutto

col firewall l'ho proprio tolto definitivamente di mezzo

Confermo, anch'io l'ho beccato xchè ero senza firewall e l'ho tolto di mezzo utilizzandone uno serio. Per stare proprio sicuri conviene utilizzare Windows Worm door cleaner e chiudere le porte che ti indica.
In particolare io ho risolto chiudendo la porta 139 quella del netbios.

per me era un file infetto, ke l'antivirus ha disinfettato (altrimenti sarebbe di pochi kb più grande di quello normale, mentre questo risulta troncato) e di conseguenza distrutto

Si appunto.. ma ti assicuro che quel file li era cosi anche prima che il nod passasse a pulire il pulibile.. e poi anche se fosse se l antivirus disinfetta un file me lo dovrebbe ripristinare o no?
bho.

Si appunto.. ma ti assicuro che quel file li era cosi anche prima che il nod passasse a pulire il pulibile.. e poi anche se fosse se l antivirus disinfetta un file me lo dovrebbe ripristinare o no?
bho.

nel caso del tenga, sia nod32 che kaspersky mi hanno sempre distrutto gli eseguibili ^_^

nel caso del tenga, sia nod32 che kaspersky mi hanno sempre distrutto gli eseguibili ^_^
Mah, gli eseguibili te li avra' distrutti il tenga, non certo il nod32 o il kaspersky. :confused:

Mah, gli eseguibili te li avra' distrutti il tenga, non certo il nod32 o il kaspersky. :confused:

no il tenga aggiunge 3-4kb di codice suo, è l'antivirus ke poi affetta gli eseguibili riducendoli a pochi kb

Caxx!
Ho il tenga sul computer dell'ufficio!!!!

Merda!

Un rimedio?

Ho formattato ma ho il terrore di postarlo negli altri computer copiando i files!

C'è un metodo sicuro per toglierlo?

possibile che nessuno fa niente per trovare un rimedio!!!! boh!

Allora i file eseguibili li distrugge il tenga. E' il suo obiettivo primario di distruzione. Per eliminare il tenga la cosa migliore è aggiornare il proprio antivirus. Esterno del mouse su "Risorse del computer", "Proprietà", "Ripristino Configurazione Sistema", Togliere la spunta a "Ripristino Configurazione..". Riavviate in modalità provvisoria e fate una scansione in profondità. Poi quando tornate in Windows rimettere la spunta. Io a suo tempo con Il Panda Platinium (quello in prova per 30 giorni) l'ho tolto.

non mi sono sinceramente imbattuto nel tenga e non ho potuto provare, tuttavia:

avete provato con Avast Virus Cleaner (http://files.avast.com/files/eng/aswclnr.exe) e Dr.Web CureIT! (ftp://ftp.drweb.com/pub/drweb/cureit/drweb-cureit.exe) ?

Raga il problema non è quale o quanti antivirus usate, il problema sta nelle porte aperte. per ora l'unico metodo sicuramente funzionante è il WWDC.
Per esperienza personale, anche se incredibile, con il firewall di windows sp2 non ci sono state mai rogne, :eek: (non fate quelle facce, non è sicuro ma attulamente non ho visto un pc infetto da tenga che tenesse su firewall sp2)
qualsiasi antivirus elimina il file infetto in quanto tale, ma se anche non lo fate eliminare potete tranquillamente vedere che il file sarebbe inutilizzabile, e che ha le dimensioni di un semplice file di testo.

Spero di essere d'aiuto

P.s. Quoto per quello che diceva che l'ha beccato in ufficio.
teoricamente il file non si replica da exe ad exe. è il pc ad essere infetto, non il file, col tenga i file sono semplicemente distrutti!!!

non se se è una coincidenza o cosa ...ma tutti quello che usano il nod 32 hanno il tenga? :muro:

Raga il problema non è quale o quanti antivirus usate, il problema sta nelle porte aperte. per ora l'unico metodo sicuramente funzionante è il WWDC.
Per esperienza personale, anche se incredibile, con il firewall di windows sp2 non ci sono state mai rogne, :eek: (non fate quelle facce, non è sicuro ma attulamente non ho visto un pc infetto da tenga che tenesse su firewall sp2)
qualsiasi antivirus elimina il file infetto in quanto tale, ma se anche non lo fate eliminare potete tranquillamente vedere che il file sarebbe inutilizzabile, e che ha le dimensioni di un semplice file di testo.

Spero di essere d'aiuto

P.s. Quoto per quello che diceva che l'ha beccato in ufficio.
teoricamente il file non si replica da exe ad exe. è il pc ad essere infetto, non il file, col tenga i file sono semplicemente distrutti!!!

Ho formattato e tolto tutto purtroppo! Spero non infetti anche i doc, ecc... perchè sarei veramente nella merda.
La cosa strana è che cmq il tenga l'ho preso, come non so, ho reinstallato sulla partizione principale sostituendo il SO ed è ricomparso...

Adesso, dopo un fdisk e ripartizionamento, Avast! non mi ha ancora segnalato nulla...

scusate ma c'è un pò di confusione:

Tenga.A è un file infector vecchio stile, vedi Parite.B (gli unici due tutt'ora in the wild di questo tipo).

Il suo scopo NON è la distruzione dei files eseguibili, ma semplicemente l'infezione.

E' un file infector e come tale, ogni volta che trova un .exe, aggiunge il proprio codice alla fine del file.

Quindi NON è il pc ad essere infetto (è anche lui) ma in realtà ogni singolo file infetto dal tenga contiene una copia del virus pronta a colpire su altri pc.

Se i files sono "corrotti" è stato probabilmente per qualche errore nella fase di infezione (se la colpa è del Tenga), altrimenti è stato qualche errore nella fase di rimozione (qualche removal tool).

I files che infetta sono esclusivamente i file eseguibili (.EXE), per il resto (SCR compresi) non sono affetti dalla routine di infezione.

non se se è una coincidenza o cosa ...ma tutti quello che usano il nod 32 hanno il tenga? :muro:

io e un mio amico l'abbiamo beccato sia con kaspersky che nod32, ma solo sui pc con accesso diretto a internet (e non dietro LAN o router).

hanno ragione T-odio e eraser

T-odio dice giustamente il tenga entra quando hai determinate porte aperte, non se l'antivirus protegge bene. il firewall di windows è un'ottima soluzione per l'originale, poi mi dicono ke esiste una variante ke entra anke con il firewall, boh...

eraser ha ragione nel sostenere che il virus NON distrugge i file. semplicemente aggiunge del codice virulento a questi file (insomma li infetta) per la sua diffusione. è poi l'antivirus che nel tentativo di togliere questa infezione tronca di netto gli eseguibili rendendoli inutilizzabili (a volte li lascia pochi kb).

cmq è da 2 pagine di topic e da 6 mesi che la gente pone le stesse domande e io dò le stesse risposte.

xkè non facciamo uno sticky per il tenga? :)

Beh, oggi il tenga mi ha infettato il kernell32.dll di windows ME....

Altra infezione e altro format.

Dimentico: il virus è passato da un computer all'altro mediante lan...

non vorrei contraddire nessuno ma ho letto da qualche parte che infetta exe dll e zip. Altri tipi di file sono immuni.
Per la lan non so cosa dirti potrebbe essere, ma il tuo win ME va su internet ho è solo in lan con il pc infetto?

guardate, io sono sicuro che infetti solo i .exe (tant'è che ci sono vari cicli di controllo all'interno del codice per verificare che sia un .exe valido eseguibile)

però, per maggior sicurezza, domani rispolvero il virus e lo disassemblo...vediamo un pò....

Confermo che la soluzione sta nel bloccare la porta 139 sulla connessione internet (basta solo su quella, quindi il netbios lo potete tranquillamente tenere attivo in lan) da disconnessi, dopo aver pulito tutto (anche con Nod32 aggiornato), e aver riavviato il pc (l'svchost ha un comportamento anomalo, quindi dopo la disinfezione va riavviato il pc).

Risolto così su una lan di una decina di pc. :)

quindi diciamo che avendo ora un router posso stare tranquillo!?

quindi diciamo che avendo ora un router posso stare tranquillo!?

a meno che tu non ce l'abbia nella rete interna o che qualcuno ti passi qualche exe infetto non c'è problema ;)

ragazzi proprio oggi quando mi documentavo su questo thread , leggendo i vostri interventi, la scansione completa del PC fatta kon KAsperky mi ha segnalato la presenza di Tenga.a ed è cominciata la trafila dell'eliminazione di una quarantina di file .exe, mano male per lo più utility antivirus stand alone e simili (meno male!!!!!) Mi era gia capitata la stessa cosa col mio PC desktop 20 gg fa, in seguito a un aggiornamento di release di Kaspersky e credevo fossero dei "falsi positivi" a catena. Vi ringrazio molto quindi per tutte le segnalazioni, in particolare quella di usare WORM DOOR CLEANER.

Anch'io solamente nel desktop ho avuto questo worm rompib@lle
soluzione per levarselo definitivamente una volta infettati:
Formattare, è l'unica opzione in questo caso almeno per me
soluzione per levarselo per sempre:
Zone Alarm Security Suite oppure MCafee Enterprise che se te lo rileva, te lo ripara anche il file che ha colpito
non c'è niente da fare: la sicurezza si paga :oink:
avg/nod32 non hanno funzionato

Ieri mi è apparso una avviso di nod32 che aveva trovato 2 file infetti dal virus tenga.gen. Qualcuno sa cosa ha di diverso dal tenga.a? non ho trovato molte infromazioni a riguardo.
Il pc è periodicamente aggiornato, sia os che antivirus, sono dietro a router ma ho il forward delle porte verso questo pc quindi probabile che sia dovuto a questo. Ma la cosa strana è che ad essere stati infettati -almeno per ora- sono due file presenti nell'hd secondario, nell'unica cartella condivisa con i permessi di scrittura.

Eccomi qua,faccio parte anche io del club del Tenga A.
Non riesco a debellare questo bastardo : ho chiuso la porta in questione,fatto la scansione con bitdefender e kaspersky ma molti programmi adesso nn si aprono(non ho eliminato nessun file exe, solo disinfettato).
Avete idea di come risolvere?

Eccomi qua,faccio parte anche io del club del Tenga A.
Non riesco a debellare questo bastardo : ho chiuso la porta in questione,fatto la scansione con bitdefender e kaspersky ma molti programmi adesso nn si aprono(non ho eliminato nessun file exe, solo disinfettato).
Avete idea di come risolvere?

il fatto che non ti si aprano non vuol dire che il virus sia ancora in circolazione... semplicemente quegli eseguibili sono irrimediabilmente persi :muro:

adesso che ho linux il tenga mi può gentilmente baciare le natiche :cool:

Il pc è periodicamente aggiornato, sia os che antivirus, sono dietro a router ma ho il forward delle porte verso questo pc quindi probabile che sia dovuto a questo. Ma la cosa strana è che ad essere stati infettati -almeno per ora- sono due file presenti nell'hd secondario, nell'unica cartella condivisa con i permessi di scrittura.

Windows è una prostituta.. sta a gambe aperte sui marciapiedi e ci si infila chiunque. Quindi la cosa più saggia è fargli usare il preservativo :)
Intendo dire che connetterlo "direttamente" alla rete è un delitto... via i modem, e avanti coi router! :D

preso anche io questo virus (AVG me lo rileva come Gealicum.A)

non stavo facendo niente... o meglio mi apprestavo ad una sessione di World of Warcraft e avevo appena aperto TeamSpeak quando AVG mi ha avvisato che il flie wow.exe era stato corrotto dal virus (e da li tutti gli exe dentro la cartella di wow compresa l'ultima patch da 350mb che mi era costata 30 ore circa di download :muro: :muro: )

come posso fare?

non ho adsl (la mia zona non è coperta dal servizio) e quindi oltre ad installare il SP2 che ho trovato sui cd allegati a qualche rivista non posso permettermi di aggiornare windows (l'unica ipotesi è smontare tutto il pc e andare da un amico con adsl che vive a 20km da casa mia :muro: )

visto che a quanto pare avg non funziona che antivirus mi consigliate? (anche a pagamento... non sono 30/40€ che mi rovinano e sicuramente mi costano meno del rodimento di perdere un pomeriggio a formattare tutto) serve anche un firewall software?

:cry: :cry: :cry: :cry:

come posso fare?


leggere le ultime 2 pagine :D

basta attivare il firewall di windows per non riceverlo
con altri firewall non ho provato

io avevo il firewall di windows attivo e l'ho preso cmq :stordita:

cmq oggi mi sono comprato nod32 e almeno è riuscito a pulire i file infetti.

Ho cercato il sygate ma da quanto ho capito è passato sotto l'egida suymantec giusto?

se scarico zonealarm posso andare sul sicuro? oppure mi dite il nuovo nome del sygate ora che è un prodotto symantec :help:

io avevo il firewall di windows attivo e l'ho preso cmq :stordita:


guarda alcune varianti passano anche col firewall attivo... se leggi tutti i post mi sembra che qualcuno abbia detto quale porta chiudere

devo dire che questo è veramente il virus + rompiballe che abbia mai visto... secondo me non ci capiscono niente nemmeno le società che fanno gli antivirus, visto che nessun antivirus è in grado di accorgersi dell'intrusione se non quando ormai è troppo tardi e ci sono già file infetti

Quando ho provato a disinfettare gli exe infetti con NOD questi ultimi sono diventati inutilizzabili, comunque...

Io ho "risolto così", (il virus non mi ha colpito gli eseguibili di Windows :)

Start --> Cerca File o Cartelle --> Tutti File e Cartelle (in tutti i dischi rigidi, pendrive, ecc ecc) --> " *.exe "
Una volta trovati li ho selezionati e cancellati.

Ciao!

ragazzi, anche io come zip ho avuto un'infezione da parte sia si tenga.a, ma anche e soprattutto da tenga.gen!!!
qualcuno sa se c'è differenza tra i due?
ora come ora per cercare di debellarli sto usando Nod32,che però è aggiornato al 21-3-06 e non si aggiorna ulteriormente, F-Secure2006 e il tool Dr.Web Cureit.
avevo il firewall di windows disattivato e la DMZ attivata su questo pc, per cui era aperto completamente all'esterno... ora ho chiuso il router e attivato il firewall di win Xp sp2...

tenga.gen è una definizione generica per tutte le varianti del tenga

Si ma chiudere porte, firewall, router dopo aver preso l'infezione non ha molto senso, purtroppo :(
Specie con sto cavolo di virus, è davvero allucinante!
Ora che la "barriera" è stata configurata a puntino, vai di "formattone riparatore" ;)

Ciao!

x extreme82

(Stavo rispondendo di là ;) )

Benvenuto nel gruppo degli infetti da W32.Tenga ;)
L'unica cosa che puoi fare è installare un antivirus stra-aggiornato e cercare di eliminare il virus da tutti gli eseguibili, che al 99% risulteranno poi corrotti e quindi inutilizzabili.

Una cosa che pochi fanno è quella di disabilitare il ripristino automatico di WindowsXP.... Tenga si intrufola anche nei files backuppati dal sistema, files che l'antivirus non può scandire in quanto "protetti".

Backuppa quanto puoi (ovviamente NESSUN eseguibile!!) e poi formatta ;)

Ciao!

Adesso ho appena formattato installato il kerio, Symantec Corporate, e fatto tutti gli aggiornamenti a windows..... Staccato tutti gli altri HD ora vi volevo chiedere infetta i file che ci sono nella cartella temp di emule? Li poso ripristinare tranquillamente?

Sono passati 8 giorni da quando ho ricevuto l'avviso di quei 2 exe infetti che ho cancellato. Ho eliminato le condivisioni (la situazione l'ho spiegata nel post precendente) e abilitato il firewall di windows.
Non ho più ricevuto altri messaggi di file infetti, pensate che possa ritenermi al sicuro o devo aspettarmi ancora brutte sorprese?

CorvoITA ragazzi, anche io come zip ho avuto un'infezione da parte sia si tenga.a, ma anche e soprattutto da tenga.gen!!!
qualcuno sa se c'è differenza tra i due?
ora come ora per cercare di debellarli sto usando Nod32,che però è aggiornato al 21-3-06 e non si aggiorna ulteriormente, F-Secure2006 e il tool Dr.Web Cureit.
avevo il firewall di windows disattivato e la DMZ attivata su questo pc, per cui era aperto completamente all'esterno... ora ho chiuso il router e attivato il firewall di win Xp sp2...

Riguardo al nod32 ti si aggiorna se cambi il sever... vai in aggiornamento poi setup poi apri il menu a tendina dei sever e metti u.4.eset.com oppure il 3 e poi manda l'aggiornamento. Vedrai che funziona. Una volta aggiornato vai nel pannello di controllo poi sistema poi in ripristino configurazione e poi metti la spunta su disattiva ripristino configurazione. Riavvii il sistema in modalita provvisoria poi lanci il Nod32 e poi magari qualche buon anti spyware (ewido o spybot). Riavvii e sarai pulito come un bimbo appena nato. Dopo ricordati di toglier la spunta dal ripristino. Ciao :D

ragazzi devo formattare, a causa d questo cacchio di virus!...che AV mi consigliate?!?!...usavo AVast e nn avevo mai avuto problemi!...ma ora ho paura!...aiutATEMI!!!!!!!!!!!!1

ragazzi devo formattare, a causa d questo cacchio di virus!...che AV mi consigliate?!?!...usavo AVast e nn avevo mai avuto problemi!...ma ora ho paura!...aiutATEMI!!!!!!!!!!!!1

Uso avast e ho preso questo virus anche io tempo fà...
Ti consiglio di nn cambiare antivirus, non dipende da quello.
Utilizza windows worm door cleaner x chiudere le porte sospette, in particolare la 139 quella del netbios...Per il resto con avast metti su un buon firewall impostato a dovere e dovrebbe esserti sufficiente...

ciauz

Grazie Ragazzi per i suggerimenti dati..
ieri ho fatto una tripla scansione con Nod32, F-Secure2006 e l'utility Dr.Web Cureit, mi hanno disinfetato vari exe infetti, e da quel momento del virus piu nessuna traccia... speriamo in bene...
nel frattempo ho rialzato le barriere verso l'esterno...

Spero di averlo debellato!!

Anche io sono stato infettato da questo virus, ho fatto partire la scansione online di bitdefender e ha eliminato parecchia roba, vedo se il problema persiste, nel mentre vi posto il log di hijack this!

Logfile of HijackThis v1.99.1
Scan saved at 14.51.36, on 17/04/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\PROGRA~1\Aston\aston.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Aston\XP\internat.exe
C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programmi\Java\jre1.5.0_04\bin\jusched.exe
C:\Programmi\Adobe\Acrobat 7.0\Distillr\Acrotray.exe
C:\Programmi\D-Tools\daemon.exe
C:\Programmi\File comuni\Real\Update_OB\realsched.exe
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\QuickTime\qttask.exe
C:\Programmi\TuneUp Utilities 2006\MemOptimizer.exe
C:\Programmi\Microsoft AntiSpyware\gcasDtServ.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Tablet.exe
C:\Programmi\Raxco\PerfectDisk\PDSched.exe
C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
C:\Programmi\LeechGet 2005\LeechGet.exe
C:\Programmi\File comuni\Ahead\lib\NMBgMonitor.exe
C:\Programmi\LG PC Suite\LG PC Sync\LGSyncManager.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programmi\PeerGuardian2\pg2.exe
c:\Programmi\TortoiseSVN\bin\TSVNCache.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\Programmi\Winamp\winamp.exe
C:\Programmi\totalcmd\TOTALCMD.EXE
c:\HijackTHis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
F2 - REG:system.ini: Shell=C:\PROGRA~1\Aston\aston.exe ,svchost.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Programmi\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programmi\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [gcasServ] "C:\Programmi\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Outpost Firewall] C:\Programmi\Outpost Firewall\outpost.exe /waitservice
O4 - HKLM\..\Run: [OutpostFeedBack] C:\Programmi\Outpost Firewall\feedback.exe /dump:os_startup
O4 - HKLM\..\RunOnce: [InnoSetupRegFile.0000000001] "C:\WINDOWS\is-3AGRC.exe" /REG
O4 - HKCU\..\Run: [TuneUp MemOptimizer] "C:\Programmi\TuneUp Utilities 2006\MemOptimizer.exe" autostart
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [LeechGet] "C:\Programmi\LeechGet 2005\LeechGet.exe" -intray
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programmi\File comuni\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: Adobe Gamma.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: AutoCAD Startup Accelerator.lnk = C:\Programmi\File comuni\Autodesk Shared\acstart16.exe
O4 - Global Startup: LG SyncManager.lnk = C:\Programmi\LG PC Suite\LG PC Sync\LGSyncManager.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_04\bin\npjpi150_04.dll
O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://files.ea.com/downloads/rtpatch/v2/EARTPX.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {7F8C8173-AD80-4807-AA75-5672F22B4582} (ICSScanner Class) - http://download.zonelabs.com/bin/promotions/spywaredetector/ICSScanner37710.cab
O20 - AppInit_DLLs: C:\PROGRA~1\OUTPOS~1\wl_hook.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Programmi\File comuni\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum Ltd. - C:\Programmi\Outpost Firewall\outpost.exe
O23 - Service: PDEngine - Raxco Software, Inc. - C:\Programmi\Raxco\PerfectDisk\PDEngine.exe
O23 - Service: PDScheduler (PDSched) - Raxco Software, Inc. - C:\Programmi\Raxco\PerfectDisk\PDSched.exe
O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - C:\Programmi\SiSoftware\SiSoftware Sandra Lite 2005.SR3\RpcDataSrv.exe
O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - C:\Programmi\SiSoftware\SiSoftware Sandra Lite 2005.SR3\RpcSandraSrv.exe
O23 - Service: TabletService - Wacom Technology, Corp. - C:\WINDOWS\system32\Tablet.exe

Anche io sono stato infettato da questo virus, ho fatto partire la scansione online di bitdefender e ha eliminato parecchia roba, vedo se il

[/I]
---------------------------------------

Per tutelarti da ulteriori attacchi del WOrm tenga.a e sue varianti mi hanno consigliato di usare questo tool che si chiama Windows WORMS DOORS CLEANER , che ti blocca porte e servizi a rischio di cui trovi breve spiegazione e downolad a questo link:
http://www.sicurezzainrete.com/Windows_Worm_doors_clenaer.htm

spero di esserci riuscito finalmente...
Non vorrei parlare troppo presto, ma l'ultima volta che credevo di averlo rimosso, solo eliminando gli exe infetti (povero illuso...) non si era manifestato più per 2 giorni, per poi ripresentarsi. :cry: :muro: (preciso che avevo il firewall di wxp... :rolleyes: ).
Ho fatto qualche test di sicurezza online e ho scoperto che la porta 139 era a rischio, così, quando tenga si è ripresentato, ho ricancellato tutti gli exe infetti, scaricato e installato zonealarm e ri-testato su internet la sicurezza. Risultato: tutte le porte risultano chiuse :D
Questo è successo il 12/04, da allora nessuna traccia fino ad oggi, e spero che continui così...

_______________________________________________

MOLLATE IL FIREWALL DI WIN XP!!!

MOLLATE IL FIREWALL DI WIN XP!!!
io l'ho mollato sin da quando ho visto che esisteva il firewall su win xp :D
@Vittorio_Bo: ma se ho SP2 a cosa mi serve? in teoria queste vulnerabilita' dovrebbero essre gia' state corrette!

io l'ho mollato sin da quando ho visto che esisteva il firewall su win xp :D
@Vittorio_Bo: ma se ho SP2 a cosa mi serve? in teoria queste vulnerabilita' dovrebbero essre gia' state corrette!
-------------------------------------------------------

Fidati Windows Worms Doors Cleaner serve, eccome se serve! Chiedi a tutti quelli che pur avendo il SP2 si sono trovati all'improvviso dei file exe irrimediabilmente corrotti da Tenga !!!!!!!

Fatto sta che ho vissuto per piu' di 2 anni senza windows firewall attivato e non sono mai morto! :Prrr:
Tornando al discorso del virus che mi ha infettato, non vorrei cantar vittoria ma forse l'ho rimososs sisis!

Ragazzi vi scrivo perchè sono sconcertato..
Qualche giorno fa scopro nella cartella Documenti (win xp con sp2 e tutti gli aggiornamenti automatici installati sino a ieri quindi il pc è update in ogni senso) un file install.exe e uno autorun.inf
Premetto che uso Kaspersky, un buon firewall e Spyware terminator in real time oltre a scansioni settimanali con AdAware Lavasoft e Spybot.
Cancello sti file convinto che fossero casualmente li ma li ritrovo dopo due giorni. Cerco qui sul forum e scopro che sono un virus
Ho fatto tutte le scansioni con Kaspersky sia in modalità provv che non, ho provato tutte le scansioni online e downloadato tutti i tools che avete consigliato qui ma niente, non trovo assolutamente dove sia sto virus.
Col pc ci lavoro, ho 3 partizioni che non posso rimuovere ovviamente (sono tutti i miei dati) quindi anche se reinstallassi tutto non giungerei a nulla perchè nelle partizioni dati potrebbe esserci ancora annidato qualcosa.
Avete qualche consiglio/suggerimento o un tool davvero efficiente che possa scovare sto benedetto virus e ripulirlo prima che sia troppo tardi? Ad oggi non ho avuto alcun .exe cancellato sul pc nè dati corrotti, sono allo stadio iniziale probabilmente..
Grazie 1000
Ciao

CAAAAACCCHIOOOO!!!
Quello che dici non mi piace per niente...
Poco prima di aprire questa pagina, ho cancellato anch'io un'install.exe e un autorun.inf dai documenti condivisi!!!
Il fatto è che io da ormai penso 5 giorni non trovo più tenga, ho il firewall e l'antivirus aggiornati e non ho avuto problemi, però pure io ogni tanto mi ritrovo questi due file...
Ma sei sicuro che siano di Tenga?

Cacchio non ditemi che è Tenga, sennò mi dispero...ero convinto di avercela fatta :cry: :cry: :cry:

Comunque per evitare che mi corrompesse gli exe io ho fatto così:
-cancella gli exe infetti (con l'antivirus li individui, alcuni AV li guariscono pure ma è inutile tenerli, perché li rovinano e di fatto sono inservibili);
-installa un buon firewall se non ce l'hai (molla quello di xp, io sto usando zonealarm);
-incrocia le dita e spera che ti vada bene...

non è il tenga,ma un worm:
http://www.hwupgrade.it/forum/showthread.php?t=1182444

ho trovato qualcosa...
http://www.p2pforum.it/forum/archive/index.php/t-28676.html

guarda il post del 22/02 alle 02.32 ;)

Salve a tutti! Non sono un grande esperto di informatica quindi quello che ho letto finora è quasi arabo però sono anche io vittima di tenga gen e volevo dirvi qual'è la mia situazione perchè magari vi è di aiuto per capire qualcosa in più.
Anche io ho nod32 e mi ha rilevato una massiccia presenza di questo virus subito dopo che ho installato sul computer un programma di analisi che per funzionare necessita di una specie di server alternativo che viene installato anch'esso e funziona indipendentemente dalla connesione ad internet. Nod32 ha rilevato per primi file infetti proprio alcuni eseguibili che fanno partire questo server alternativo infatti li ha messi in quarantena e ora non riesco più a farlo partire.

Spero vi sia di aiuto.

Mi sono beccato il tenga per la seconda volta...

Aiutatemi gentilmente a fixare Hijack: (fatto in modalità provvisoria)

Eccolo

Logfile of HijackThis v1.99.1
Scan saved at 14.59.19, on 22/04/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
H:\WINDOWS\System32\smss.exe
H:\WINDOWS\system32\winlogon.exe
H:\WINDOWS\system32\services.exe
H:\WINDOWS\system32\lsass.exe
H:\WINDOWS\system32\svchost.exe
H:\WINDOWS\system32\svchost.exe
H:\WINDOWS\Explorer.EXE
D:\Mozilla Firefox\firefox.exe
H:\Programmi\Internet Explorer\IEXPLORE.EXE
H:\WINDOWS\system32\NOTEPAD.EXE
D:\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.it
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O1 - Hosts: 205.238.40.2 www.winmx.com
O1 - Hosts: 205.238.40.2 err.winmx.com
O1 - Hosts: 205.238.40.2 c3310.z1301.winmx.com
O1 - Hosts: 67.18.233.36 c3311.z1301.winmx.com
O1 - Hosts: 82.43.224.20 c3312.z1301.winmx.com
O1 - Hosts: 209.67.209.50 c3313.z1301.winmx.com
O1 - Hosts: 212.227.64.159 c3314.z1301.winmx.com
O1 - Hosts: 205.238.40.2 c3315.z1301.winmx.com
O1 - Hosts: 67.18.233.36 c3316.z1301.winmx.com
O1 - Hosts: 82.43.224.20 c3317.z1301.winmx.com
O1 - Hosts: 209.67.209.50 c3318.z1301.winmx.com
O1 - Hosts: 212.227.64.159 c3319.z1301.winmx.com
O1 - Hosts: 205.238.40.2 c3310.z1302.winmx.com
O1 - Hosts: 67.18.233.36 c3311.z1302.winmx.com
O1 - Hosts: 82.43.224.20 c3312.z1302.winmx.com
O1 - Hosts: 209.67.209.50 c3313.z1302.winmx.com
O1 - Hosts: 212.227.64.159 c3314.z1302.winmx.com
O1 - Hosts: 205.238.40.2 c3315.z1302.winmx.com
O1 - Hosts: 67.18.233.36 c3316.z1302.winmx.com
O1 - Hosts: 82.43.224.20 c3317.z1302.winmx.com
O1 - Hosts: 209.67.209.50 c3318.z1302.winmx.com
O1 - Hosts: 212.227.64.159 c3319.z1302.winmx.com
O1 - Hosts: 82.43.224.20 c3310.z1303.winmx.com
O1 - Hosts: 67.18.233.36 c3311.z1303.winmx.com
O1 - Hosts: 205.238.40.2 c3312.z1303.winmx.com
O1 - Hosts: 82.43.224.20 c3313.z1303.winmx.com
O1 - Hosts: 67.18.233.36 c3314.z1303.winmx.com
O1 - Hosts: 205.238.40.2 c3315.z1303.winmx.com
O1 - Hosts: 82.43.224.20 c3316.z1303.winmx.com
O1 - Hosts: 67.18.233.36 c3317.z1303.winmx.com
O1 - Hosts: 205.238.40.2 c3318.z1303.winmx.com
O1 - Hosts: 82.43.224.20 c3319.z1303.winmx.com
O1 - Hosts: 205.238.40.2 c3310.z1304.winmx.com
O1 - Hosts: 67.18.233.36 c3311.z1304.winmx.com
O1 - Hosts: 82.43.224.20 c3312.z1304.winmx.com
O1 - Hosts: 209.67.209.50 c3313.z1304.winmx.com
O1 - Hosts: 212.227.64.159 c3314.z1304.winmx.com
O1 - Hosts: 205.238.40.2 c3315.z1304.winmx.com
O1 - Hosts: 67.18.233.36 c3316.z1304.winmx.com
O1 - Hosts: 82.43.224.20 c3317.z1304.winmx.com
O1 - Hosts: 209.67.209.50 c3318.z1304.winmx.com
O1 - Hosts: 212.227.64.159 c3319.z1304.winmx.com
O1 - Hosts: 205.238.40.2 c3310.z1305.winmx.com
O1 - Hosts: 67.18.233.36 c3311.z1305.winmx.com
O1 - Hosts: 82.43.224.20 c3312.z1305.winmx.com
O1 - Hosts: 209.67.209.50 c3313.z1305.winmx.com
O1 - Hosts: 212.227.64.159 c3314.z1305.winmx.com
O1 - Hosts: 205.238.40.2 c3315.z1305.winmx.com
O1 - Hosts: 67.18.233.36 c3316.z1305.winmx.com
O1 - Hosts: 82.43.224.20 c3317.z1305.winmx.com
O1 - Hosts: 209.67.209.50 c3318.z1305.winmx.com
O1 - Hosts: 212.227.64.159 c3319.z1305.winmx.com
O1 - Hosts: 205.238.40.2 c3310.z1306.winmx.com
O1 - Hosts: 67.18.233.36 c3311.z1306.winmx.com
O1 - Hosts: 82.43.224.20 c3312.z1306.winmx.com
O1 - Hosts: 209.67.209.50 c3313.z1306.winmx.com
O1 - Hosts: 212.227.64.159 c3314.z1306.winmx.com
O1 - Hosts: 205.238.40.2 c3315.z1306.winmx.com
O1 - Hosts: 67.18.233.36 c3316.z1306.winmx.com
O1 - Hosts: 82.43.224.20 c3317.z1306.winmx.com
O1 - Hosts: 209.67.209.50 c3318.z1306.winmx.com
O1 - Hosts: 212.227.64.159 c3319.z1306.winmx.com
O1 - Hosts: 205.238.40.2 c3520.z1301.winmx.com
O1 - Hosts: 67.18.233.36 c3521.z1301.winmx.com
O1 - Hosts: 82.43.224.20 c3522.z1301.winmx.com
O1 - Hosts: 209.67.209.50 c3523.z1301.winmx.com
O1 - Hosts: 212.227.64.159 c3524.z1301.winmx.com
O1 - Hosts: 205.238.40.2 c3525.z1301.winmx.com
O1 - Hosts: 67.18.233.36 c3526.z1301.winmx.com
O1 - Hosts: 82.43.224.20 c3527.z1301.winmx.com
O1 - Hosts: 209.67.209.50 c3528.z1301.winmx.com
O1 - Hosts: 212.227.64.159 c3529.z1301.winmx.com
O1 - Hosts: 205.238.40.2 c3520.z1302.winmx.com
O1 - Hosts: 67.18.233.36 c3521.z1302.winmx.com
O1 - Hosts: 82.43.224.20 c3522.z1302.winmx.com
O1 - Hosts: 209.67.209.50 c3523.z1302.winmx.com
O1 - Hosts: 212.227.64.159 c3524.z1302.winmx.com
O1 - Hosts: 205.238.40.2 c3525.z1302.winmx.com
O1 - Hosts: 67.18.233.36 c3526.z1302.winmx.com
O1 - Hosts: 82.43.224.20 c3527.z1302.winmx.com
O1 - Hosts: 209.67.209.50 c3528.z1302.winmx.com
O1 - Hosts: 212.227.64.159 c3529.z1302.winmx.com
O1 - Hosts: 205.238.40.2 c3520.z1303.winmx.com
O1 - Hosts: 67.18.233.36 c3521.z1303.winmx.com
O1 - Hosts: 82.43.224.20 c3522.z1303.winmx.com
O1 - Hosts: 209.67.209.50 c3523.z1303.winmx.com
O1 - Hosts: 212.227.64.159 c3524.z1303.winmx.com
O1 - Hosts: 205.238.40.2 c3525.z1303.winmx.com
O1 - Hosts: 67.18.233.36 c3526.z1303.winmx.com
O1 - Hosts: 82.43.224.20 c3527.z1303.winmx.com
O1 - Hosts: 209.67.209.50 c3528.z1303.winmx.com
O1 - Hosts: 212.227.64.159 c3529.z1303.winmx.com
O1 - Hosts: 205.238.40.2 c3520.z1304.winmx.com
O1 - Hosts: 67.18.233.36 c3521.z1304.winmx.com
O1 - Hosts: 82.43.224.20 c3522.z1304.winmx.com
O1 - Hosts: 209.67.209.50 c3523.z1304.winmx.com
O1 - Hosts: 212.227.64.159 c3524.z1304.winmx.com
O1 - Hosts: 205.238.40.2 c3525.z1304.winmx.com
O1 - Hosts: 67.18.233.36 c3526.z1304.winmx.com
O1 - Hosts: 82.43.224.20 c3527.z1304.winmx.com
O1 - Hosts: 209.67.209.50 c3528.z1304.winmx.com
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - H:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - H:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - h:\programmi\google\googletoolbar1.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - D:\FLASHGET\fgiebar.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - h:\programmi\google\googletoolbar1.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - H:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] H:\Programmi\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [Hotkey] H:\Programmi\Hotkey\Hotkey.exe
O4 - HKLM\..\Run: [MpsOnn] H:\WINDOWS\System32\spool\DRIVERS\W32X86\3\MpsOnn.exe
O4 - HKLM\..\Run: [TkBellExe] "H:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programmi\MSN Messenger\MsgPlus.exe"
O4 - HKLM\..\Run: [nod32kui] "H:\Programmi\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKCU\..\Run: [Skype] "D:\Skype\Phone\Skype.exe" /nosplash /minimized
O8 - Extra context menu item: &Cerca con Google - res://h:\programmi\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Traduci parola in italiano - res://h:\programmi\google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Link a ritroso - res://h:\programmi\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Pagine simili - res://h:\programmi\google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Scarica con FlashGet - D:\Flashget\jc_link.htm
O8 - Extra context menu item: Scarica tutto con FlashGet - D:\Flashget\jc_all.htm
O8 - Extra context menu item: Versione cache della pagina - res://h:\programmi\google\GoogleToolbar1.dll/cmcache.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - H:\Programmi\Java\jre1.5.0_06\bin\npjpi150_06.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - H:\Programmi\Java\jre1.5.0_06\bin\npjpi150_06.dll
O9 - Extra button: Regolazione del Browser - {44627E97-789B-40d4-B5C2-58BD171129A1} - D:\Agnitum\Outpost Firewall\Plugins\BrowserBar\ie_bar.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - D:\ICQ\ICQ.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - D:\ICQ\ICQ.exe (file missing)
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\FLASHGET\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\FLASHGET\flashget.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.virgilio.it
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=48835
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1129655566773
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {6E5A37BF-FD42-463A-877C-4EB7002E68AE} (Housecall ActiveX 6.5) - http://housecall65.trendmicro.com/housecall/applet/html/native/x86/win32/activex/hcImpl.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{00783762-201A-4A3D-BDC7-786C86526D79}: NameServer = 151.99.125.2,151.99.125.3
O17 - HKLM\System\CS1\Services\Tcpip\..\{00783762-201A-4A3D-BDC7-786C86526D79}: NameServer = 151.99.125.2,151.99.125.3
O17 - HKLM\System\CS2\Services\Tcpip\..\{00783762-201A-4A3D-BDC7-786C86526D79}: NameServer = 151.99.125.2,151.99.125.3
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "H:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O18 - Protocol: talkto - {828030A1-22C1-4009-854F-8E305202313F} - "H:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - AppInit_DLLs: d:\agnitum\outpos~1\wl_hook.dll
O23 - Service: Apache2 - Unknown owner - D:\AppServ\Apache\bin\Apache.exe" -k runservice (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - H:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - H:\Programmi\iPod\bin\iPodService.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - H:\Programmi\File comuni\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: MySQL - Unknown owner - D:\AppServ\mysql\bin\mysqld-nt.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - H:\Programmi\Eset\nod32krn.exe
O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum Ltd. - D:\AGNITUM\OUTPOS~1\outpost.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: Remote Administrator Service (r_server) - Unknown owner - H:\WINDOWS\system32\r_server.exe" /service (file missing)
O23 - Service: VNC Server Version 4 (WinVNC4) - Unknown owner - D:\RealVNC\VNC4\WinVNC4.exe" -service (file missing)

Mi sono beccato il tenga per la seconda volta...

Aiutatemi gentilmente a fixare Hijack: (fatto in modalità provvisoria)

Logfile of HijackThis v1.99.1
Scan saved at 14.59.19, on 22/04/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
H:\WINDOWS\System32\smss.exe
H:\WINDOWS\system32\winlogon.exe
H:\WINDOWS\system32\services.exe
H:\WINDOWS\system32\lsass.exe
H:\WINDOWS\system32\svchost.exe
H:\WINDOWS\system32\svchost.exe
H:\WINDOWS\Explorer.EXE
D:\Mozilla Firefox\firefox.exe
H:\Programmi\Internet Explorer\IEXPLORE.EXE
H:\WINDOWS\system32\NOTEPAD.EXE
D:\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.it
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O1 - Hosts: 205.238.40.2 www.winmx.com
O1 - Hosts: 205.238.40.2 err.winmx.com
O1 - Hosts: 205.238.40.2 c3310.z1301.winmx.com
O1 - Hosts: 67.18.233.36 c3311.z1301.winmx.com
O1 - Hosts: 82.43.224.20 c3312.z1301.winmx.com
O1 - Hosts: 209.67.209.50 c3313.z1301.winmx.com
O1 - Hosts: 212.227.64.159 c3314.z1301.winmx.com
O1 - Hosts: 205.238.40.2 c3315.z1301.winmx.com
O1 - Hosts: 67.18.233.36 c3316.z1301.winmx.com
O1 - Hosts: 82.43.224.20 c3317.z1301.winmx.com
O1 - Hosts: 209.67.209.50 c3318.z1301.winmx.com
O1 - Hosts: 212.227.64.159 c3319.z1301.winmx.com
O1 - Hosts: 205.238.40.2 c3310.z1302.winmx.com
O1 - Hosts: 67.18.233.36 c3311.z1302.winmx.com
O1 - Hosts: 82.43.224.20 c3312.z1302.winmx.com
O1 - Hosts: 209.67.209.50 c3313.z1302.winmx.com
O1 - Hosts: 212.227.64.159 c3314.z1302.winmx.com
O1 - Hosts: 205.238.40.2 c3315.z1302.winmx.com
O1 - Hosts: 67.18.233.36 c3316.z1302.winmx.com
O1 - Hosts: 82.43.224.20 c3317.z1302.winmx.com
O1 - Hosts: 209.67.209.50 c3318.z1302.winmx.com
O1 - Hosts: 212.227.64.159 c3319.z1302.winmx.com
O1 - Hosts: 82.43.224.20 c3310.z1303.winmx.com
O1 - Hosts: 67.18.233.36 c3311.z1303.winmx.com
O1 - Hosts: 205.238.40.2 c3312.z1303.winmx.com
O1 - Hosts: 82.43.224.20 c3313.z1303.winmx.com
O1 - Hosts: 67.18.233.36 c3314.z1303.winmx.com
O1 - Hosts: 205.238.40.2 c3315.z1303.winmx.com
O1 - Hosts: 82.43.224.20 c3316.z1303.winmx.com
O1 - Hosts: 67.18.233.36 c3317.z1303.winmx.com
O1 - Hosts: 205.238.40.2 c3318.z1303.winmx.com
O1 - Hosts: 82.43.224.20 c3319.z1303.winmx.com
O1 - Hosts: 205.238.40.2 c3310.z1304.winmx.com
O1 - Hosts: 67.18.233.36 c3311.z1304.winmx.com
O1 - Hosts: 82.43.224.20 c3312.z1304.winmx.com
O1 - Hosts: 209.67.209.50 c3313.z1304.winmx.com
O1 - Hosts: 212.227.64.159 c3314.z1304.winmx.com
O1 - Hosts: 205.238.40.2 c3315.z1304.winmx.com
O1 - Hosts: 67.18.233.36 c3316.z1304.winmx.com
O1 - Hosts: 82.43.224.20 c3317.z1304.winmx.com
O1 - Hosts: 209.67.209.50 c3318.z1304.winmx.com
O1 - Hosts: 212.227.64.159 c3319.z1304.winmx.com
O1 - Hosts: 205.238.40.2 c3310.z1305.winmx.com
O1 - Hosts: 67.18.233.36 c3311.z1305.winmx.com
O1 - Hosts: 82.43.224.20 c3312.z1305.winmx.com
O1 - Hosts: 209.67.209.50 c3313.z1305.winmx.com
O1 - Hosts: 212.227.64.159 c3314.z1305.winmx.com
O1 - Hosts: 205.238.40.2 c3315.z1305.winmx.com
O1 - Hosts: 67.18.233.36 c3316.z1305.winmx.com
O1 - Hosts: 82.43.224.20 c3317.z1305.winmx.com
O1 - Hosts: 209.67.209.50 c3318.z1305.winmx.com
O1 - Hosts: 212.227.64.159 c3319.z1305.winmx.com
O1 - Hosts: 205.238.40.2 c3310.z1306.winmx.com
O1 - Hosts: 67.18.233.36 c3311.z1306.winmx.com
O1 - Hosts: 82.43.224.20 c3312.z1306.winmx.com
O1 - Hosts: 209.67.209.50 c3313.z1306.winmx.com
O1 - Hosts: 212.227.64.159 c3314.z1306.winmx.com
O1 - Hosts: 205.238.40.2 c3315.z1306.winmx.com
O1 - Hosts: 67.18.233.36 c3316.z1306.winmx.com
O1 - Hosts: 82.43.224.20 c3317.z1306.winmx.com
O1 - Hosts: 209.67.209.50 c3318.z1306.winmx.com
O1 - Hosts: 212.227.64.159 c3319.z1306.winmx.com
O1 - Hosts: 205.238.40.2 c3520.z1301.winmx.com
O1 - Hosts: 67.18.233.36 c3521.z1301.winmx.com
O1 - Hosts: 82.43.224.20 c3522.z1301.winmx.com
O1 - Hosts: 209.67.209.50 c3523.z1301.winmx.com
O1 - Hosts: 212.227.64.159 c3524.z1301.winmx.com
O1 - Hosts: 205.238.40.2 c3525.z1301.winmx.com
O1 - Hosts: 67.18.233.36 c3526.z1301.winmx.com
O1 - Hosts: 82.43.224.20 c3527.z1301.winmx.com
O1 - Hosts: 209.67.209.50 c3528.z1301.winmx.com
O1 - Hosts: 212.227.64.159 c3529.z1301.winmx.com
O1 - Hosts: 205.238.40.2 c3520.z1302.winmx.com
O1 - Hosts: 67.18.233.36 c3521.z1302.winmx.com
O1 - Hosts: 82.43.224.20 c3522.z1302.winmx.com
O1 - Hosts: 209.67.209.50 c3523.z1302.winmx.com
O1 - Hosts: 212.227.64.159 c3524.z1302.winmx.com
O1 - Hosts: 205.238.40.2 c3525.z1302.winmx.com
O1 - Hosts: 67.18.233.36 c3526.z1302.winmx.com
O1 - Hosts: 82.43.224.20 c3527.z1302.winmx.com
O1 - Hosts: 209.67.209.50 c3528.z1302.winmx.com
O1 - Hosts: 212.227.64.159 c3529.z1302.winmx.com
O1 - Hosts: 205.238.40.2 c3520.z1303.winmx.com
O1 - Hosts: 67.18.233.36 c3521.z1303.winmx.com
O1 - Hosts: 82.43.224.20 c3522.z1303.winmx.com
O1 - Hosts: 209.67.209.50 c3523.z1303.winmx.com
O1 - Hosts: 212.227.64.159 c3524.z1303.winmx.com
O1 - Hosts: 205.238.40.2 c3525.z1303.winmx.com
O1 - Hosts: 67.18.233.36 c3526.z1303.winmx.com
O1 - Hosts: 82.43.224.20 c3527.z1303.winmx.com
O1 - Hosts: 209.67.209.50 c3528.z1303.winmx.com
O1 - Hosts: 212.227.64.159 c3529.z1303.winmx.com
O1 - Hosts: 205.238.40.2 c3520.z1304.winmx.com
O1 - Hosts: 67.18.233.36 c3521.z1304.winmx.com
O1 - Hosts: 82.43.224.20 c3522.z1304.winmx.com
O1 - Hosts: 209.67.209.50 c3523.z1304.winmx.com
O1 - Hosts: 212.227.64.159 c3524.z1304.winmx.com
O1 - Hosts: 205.238.40.2 c3525.z1304.winmx.com
O1 - Hosts: 67.18.233.36 c3526.z1304.winmx.com
O1 - Hosts: 82.43.224.20 c3527.z1304.winmx.com
O1 - Hosts: 209.67.209.50 c3528.z1304.winmx.com
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - H:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - H:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - h:\programmi\google\googletoolbar1.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - D:\FLASHGET\fgiebar.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - h:\programmi\google\googletoolbar1.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - H:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] H:\Programmi\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [Hotkey] H:\Programmi\Hotkey\Hotkey.exe
O4 - HKLM\..\Run: [MpsOnn] H:\WINDOWS\System32\spool\DRIVERS\W32X86\3\MpsOnn.exe
O4 - HKLM\..\Run: [TkBellExe] "H:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programmi\MSN Messenger\MsgPlus.exe"
O4 - HKLM\..\Run: [nod32kui] "H:\Programmi\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKCU\..\Run: [Skype] "D:\Skype\Phone\Skype.exe" /nosplash /minimized
O8 - Extra context menu item: &Cerca con Google - res://h:\programmi\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Traduci parola in italiano - res://h:\programmi\google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Link a ritroso - res://h:\programmi\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Pagine simili - res://h:\programmi\google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Scarica con FlashGet - D:\Flashget\jc_link.htm
O8 - Extra context menu item: Scarica tutto con FlashGet - D:\Flashget\jc_all.htm
O8 - Extra context menu item: Versione cache della pagina - res://h:\programmi\google\GoogleToolbar1.dll/cmcache.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - H:\Programmi\Java\jre1.5.0_06\bin\npjpi150_06.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - H:\Programmi\Java\jre1.5.0_06\bin\npjpi150_06.dll
O9 - Extra button: Regolazione del Browser - {44627E97-789B-40d4-B5C2-58BD171129A1} - D:\Agnitum\Outpost Firewall\Plugins\BrowserBar\ie_bar.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - D:\ICQ\ICQ.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - D:\ICQ\ICQ.exe (file missing)
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\FLASHGET\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\FLASHGET\flashget.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.virgilio.it
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=48835
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1129655566773
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {6E5A37BF-FD42-463A-877C-4EB7002E68AE} (Housecall ActiveX 6.5) - http://housecall65.trendmicro.com/housecall/applet/html/native/x86/win32/activex/hcImpl.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{00783762-201A-4A3D-BDC7-786C86526D79}: NameServer = 151.99.125.2,151.99.125.3
O17 - HKLM\System\CS1\Services\Tcpip\..\{00783762-201A-4A3D-BDC7-786C86526D79}: NameServer = 151.99.125.2,151.99.125.3
O17 - HKLM\System\CS2\Services\Tcpip\..\{00783762-201A-4A3D-BDC7-786C86526D79}: NameServer = 151.99.125.2,151.99.125.3
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "H:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O18 - Protocol: talkto - {828030A1-22C1-4009-854F-8E305202313F} - "H:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - AppInit_DLLs: d:\agnitum\outpos~1\wl_hook.dll
O23 - Service: Apache2 - Unknown owner - D:\AppServ\Apache\bin\Apache.exe" -k runservice (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - H:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - H:\Programmi\iPod\bin\iPodService.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - H:\Programmi\File comuni\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: MySQL - Unknown owner - D:\AppServ\mysql\bin\mysqld-nt.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - H:\Programmi\Eset\nod32krn.exe
O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum Ltd. - D:\AGNITUM\OUTPOS~1\outpost.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: Remote Administrator Service (r_server) - Unknown owner - H:\WINDOWS\system32\r_server.exe" /service (file missing)
O23 - Service: VNC Server Version 4 (WinVNC4) - Unknown owner - D:\RealVNC\VNC4\WinVNC4.exe" -service (file missing)
Quelli in grassetto puoi toglierli, tanto mancano i file!

ma se si formattano tutti gli hd nn dovrebbe riformarsi o sbaglio?

ma se si formattano tutti gli hd nn dovrebbe riformarsi o sbaglio?
Sbagli perche' se applichi la patch per bloccare la falla non passa piu'!

scusate ma avete provato qualche antivirus facendolo partire da dos puro ....io ho risolto con f-prot e mc-afee e da allora non ho + problemi ...

avevo il tenga nella sua variante 3666 ...win.32.tenga.3666.....

sono una 15 di giorni che va tutto liscio come l'olio ...tocco sempre ferro


ciao

scusate ma avete provato qualche antivirus facendolo partire da dos puro ....io ho risolto con f-prot e mc-afee e da allora non ho + problemi ...

avevo il tenga nella sua variante 3666 ...win.32.tenga.3666.....

sono una 15 di giorni che va tutto liscio come l'olio ...tocco sempre ferro


ciao
ma che antivirus hai? ho notato una cosa sto tenga cercava di entrarmi sempre nel sistema quando stavo senza firewall installva pure dei file in autopartenza per un potenziale installazione di altro software malevolo mi veniva sempre prontamente avvisato dal kav 6. Che mi rumuoveva pure il file preinstallato e pronto per la scompattazione del software malevolo.Ora che ho messo il kis 2006 (+firewall) non mi viene piu notificato.Cmw se usi un Av decente non è un virus che susciti problemi per la rimozione.

ma che antivirus hai? ho notato una cosa sto tenga cercava di entrarmi sempre nel sistema quando stavo senza firewall installva pure dei file in autopartenza per un potenziale installazione di altro software malevolo mi veniva sempre prontamente avvisato dal kav 6. Che mi rumuoveva pure il file preinstallato e pronto per la scompattazione del software malevolo.Ora che ho messo il kis 2006 (+firewall) non mi viene piu notificato.Cmw se usi un Av decente non è un virus che susciti problemi per la rimozione.
ma se uso sygate firewall 5.5 + avast posso stare tranq?

---------------------------------------

Per tutelarti da ulteriori attacchi del WOrm tenga.a e sue varianti mi hanno consigliato di usare questo tool che si chiama Windows WORMS DOORS CLEANER , che ti blocca porte e servizi a rischio di cui trovi breve spiegazione e downolad a questo link:
http://www.sicurezzainrete.com/Windows_Worm_doors_clenaer.htm
ma x stare al sicuro dovrei installare questo?

ma se uso sygate firewall 5.5 + avast posso stare tranq?
io da quando ho installato zone alarm ho tutte le porte "stealthed", cioè invisibili.
Con sygate penso sia lo stesso, quindi penso che puoi fare a meno di scaricare il tool ;)
Comunque per accorgertene basta che vai su http://scan.sygatetech.com/stealthscan.html
e controlli che la porta 139 NetBIOS sia BLOCKED.

Per una scansione completa delle porte (1-1024) usa questo test:
http://scan.sygatetech.com/tcpscan.html
Se è tutto su BLOCKED nel primo test, e nel secondo non ti vengono notificati possibili rischi, dovresti stare a posto ;)

Purtroppo anche io ho ricevuto la visita di questo virus (che, all'inizio, leggevo Tanga :D )
In teoria, sembra che il sistema sia pulito, ma ho un piccolo problema. Il pc da cui scrivo è quello che fà da server per la LAN che ho quì in casa. Ebbene, gli altri pc non vanno più in rete.
Il messaggio che appare sugli altri pc mi informa che la Connettività è limitata o assente.
Ora ho come antivirus il NOD32 e Avast, e come firewall Sygate.
Ho fatto una scansione con Hijackthis e, ripeto, che il sistema sembra pulito.
Come mai, però, la LAN non funge più? :mad:

Se hai usato tools di chiusura di porte tipo Worm door cleaner, è ovvio che non funzioni più la lan...poiché le informazioni dei pacchetti in una lan vengono inviati tramite net bios, disattivata la sua porta, quale 139 (che poi non corrisponde a quella dello stanit/tenga che invece è 135). Alcune volte può accadere che la propria scheda di rete si attenga a questo compito tramite un altro protocollo, ma per esempio il mio router senza netbios non mi inseriva tra gli users collegati (US robotics 9910).

Cmq, vi sembra abbastanza sicuro il mio Note?? :D

http://img393.imageshack.us/img393/8580/computerblindato9ot.jpg (http://imageshack.us)

Come vedete la porta del netbios è aperta, ma non causa nessun pericolo, a parte se il virus o il worm passa attraverso la rete, il che non accade, nel mio caso, essendoci un firewall interno al router che blocca tutti gli accessi alla porta 139! :D Cosi no blocchi il netbios ma solo le connessioni "abusive" :sofico: Ciauz!

eh...perché tu ce l'hai il router...
infatti con ZA neanche a me funziona più la Lan, anche se pingando i pacchetti arrivano tutti :what:

eh già...non so peché ma il protocollo tcp/ip dovrebbe stare sopra al net bios come gerarchia...non so perché non usando il netbios non permette l'analisi dei pacchetti ma solo la loro rilevazione...strange...cmq la porta 139 nn da problemi, quella a rischio è la TCP 135! :D Ciauz
!

io da quando ho installato zone alarm ho tutte le porte "stealthed", cioè invisibili.
Con sygate penso sia lo stesso, quindi penso che puoi fare a meno di scaricare il tool ;)
Comunque per accorgertene basta che vai su http://scan.sygatetech.com/stealthscan.html
e controlli che la porta 139 NetBIOS sia BLOCKED.

Per una scansione completa delle porte (1-1024) usa questo test:
http://scan.sygatetech.com/tcpscan.html
Se è tutto su BLOCKED nel primo test, e nel secondo non ti vengono notificati possibili rischi, dovresti stare a posto ;)
Il test ha dato questo responso
You have blocked all of our probes! We still recommend running this test both with and without Sygate Personal Firewall enabled... so turn it off and try the test again.

significa che sono al sicuro?

Il test ha dato questo responso
You have blocked all of our probes! We still recommend running this test both with and without Sygate Personal Firewall enabled... so turn it off and try the test again.

significa che sono al sicuro?
Siginifica che tutte le prove che ha fatto sono state bloccate e ti dice di riprovare senza firewall

quindi vuol dire che il firewall funziona bene?
ma i virus possono entrare anche attraverso porte UDP p ICMP?

quindi vuol dire che il firewall funziona bene?

Cosi' pare ;)

si, a me ha dato lo stesso responso, e da allora nessun problema di sicurezza da un bel po'...:D
L'unica adesso è la LAN...

@mardurhack: io avevo letto che Tenga entra dalla 139 :what:
Non è che se apro la 139 per la Lan, mi ritrovo tenga dopo due ore? :D
E poi: come faccio ad aprire una porta con ZA??? :mbe:

ma le porte UDP e ICMP nn sono anche a rischio?
windows firewall nn blocca tutte le porte TCP?

Raga ho letto le prime 3 pagine ma mi fermo qui, non posso leggere tutto il topic.
Ho il Tenga sul gateway che combina un po' di casini... avete trovato la soluzione per questo dannato virus?
Notare che non uso NOD32, uso avast antivirus + firewall kerio personal e anche peer guardian.

Il worm mi infetta solo gli exe sulla partizione secondaria D.
E come sempre, niente processi/autorun/files strani...

una cosa strana è che ha infattato solo il pc che funge da dateway, direttamente collegato a questo pc. Questo non presenta infezioni da tenga. :wtf:
E quindi perché non infetta tutti i pc? solitamente i virus che sfruttano i bug di windows fanno come il sasser...

si, a me ha dato lo stesso responso, e da allora nessun problema di sicurezza da un bel po'...:D
L'unica adesso è la LAN...

@mardurhack: io avevo letto che Tenga entra dalla 139 :what:
Non è che se apro la 139 per la Lan, mi ritrovo tenga dopo due ore? :D
E poi: come faccio ad aprire una porta con ZA??? :mbe:

Guarda non so proprio che dirti...a quanto so io il Tenga o Stanit, qualsivoglia chiamarlo, colpisce attraverso un baco della porta 135, più precisamente nel servizio DCOM RPC (che in wwdc trovi come porta 139 TCP)...Cmq non c'era bisogno di installare il ZoneAlarm come firewall, basta quello di windows, a meno che tu non debba tenere alla larga qualche hacker dalla tua rete aziendale! :D cmq io ho la 139 aperta e non sto avendo problemi da 1 mese e mezzo ormai...Poi tutto è possibile! ;)

Raga per togliere il tenga io ho fatto cosi:

1)NON FORMATTATE! NON SERVE A NULLA!
2) Connettevi a internet, aggiornate l'antivirus! Disabilitate il ripristino automatico fino ad operazione finita
3)Avviate Windows in modalità provvisoria premendo ripetutamente F8 all'avvio del BIOS
4) "Scannate" :D il disco con l'antivirus (Io uso Avira Antivir PE, stupendo, gratuito e funzionale!), troverà tutti gli exe infetti. Eliminateli tutti! Tanto non sono più recuperabili, guardate anche la cartella in cui sono stati trovati e ricercateli a scan finito uno ad uno per vedere se ci sono rimaste copie che l'antivirus non ha beccato (succede, magari perché si ricreano dopo la scanzione!). è un lavoro duro lo so, ma vi da soddisfazioni! :lol:
5)Riavviate windows, scansionate ancora una volta il sistema (Configurate l'antivirus perché scansioni TUTTI i files e non solo quelli nella blacklist e TUTTI gli archivi! Vi ricordo che solo dalla versione 7.0 avira ripara gli archivi, prima poteva solo analizarli!)
6) Se non trovate problemi allora avviate il windows firewall e togliete TUTTE le eccezioni, comprese quelle necessarie al funzionamento della LAN, collegatevi a internet, scaricate Windows Worm Door Cleaner e chiudete le porte 135, 445, le altre potete lasciarle! (UPnP, Messenger e Netbios)
7)A questo punto scaricate il mitico Firefox e navigate SOLO con quello! Per ricevere le mails scaricate ThunderBird e configurateli entrambi! per stare proprio sicuri sicuri CANCELLATE TUTTA LA CACHE di internet explorer presente in C:\documents and settings\NOMEUTENTE\temporary internet files
8)Riattivate il ripristino automatico ed abilitate le necessarie eccezioni nel firewall di windows! :D

Con questa procedura io non ho più avuto problemi di alcun genere con virus o trojan o chicchessia...:D Spero sia lo stesso con voi! Ah, se avete un router abilitate il firewall hardware naturalmente e nel NAT disabilitate le porte 135 e 445...cosi siete a prova di bomba!! :D Alla prox!! :D

Guarda non so proprio che dirti...a quanto so io il Tenga o Stanit, qualsivoglia chiamarlo, colpisce attraverso un baco della porta 135, più precisamente nel servizio DCOM RPC (che in wwdc trovi come porta 139 TCP)...Cmq non c'era bisogno di installare il ZoneAlarm come firewall, basta quello di windows, a meno che tu non debba tenere alla larga qualche hacker dalla tua rete aziendale! :D cmq io ho la 139 aperta e non sto avendo problemi da 1 mese e mezzo ormai...Poi tutto è possibile! ;)

Raga per togliere il tenga io ho fatto cosi:

1)NON FORMATTATE! NON SERVE A NULLA!
2) Connettevi a internet, aggiornate l'antivirus! Disabilitate il ripristino automatico fino ad operazione finita
3)Avviate Windows in modalità provvisoria premendo ripetutamente F8 all'avvio del BIOS
4) "Scannate" :D il disco con l'antivirus (Io uso Avira Antivir PE, stupendo, gratuito e funzionale!), troverà tutti gli exe infetti. Eliminateli tutti! Tanto non sono più recuperabili, guardate anche la cartella in cui sono stati trovati e ricercateli a scan finito uno ad uno per vedere se ci sono rimaste copie che l'antivirus non ha beccato (succede, magari perché si ricreano dopo la scanzione!). è un lavoro duro lo so, ma vi da soddisfazioni! :lol:
5)Riavviate windows, scansionate ancora una volta il sistema (Configurate l'antivirus perché scansioni TUTTI i files e non solo quelli nella blacklist e TUTTI gli archivi! Vi ricordo che solo dalla versione 7.0 avira ripara gli archivi, prima poteva solo analizarli!)
6) Se non trovate problemi allora avviate il windows firewall e togliete TUTTE le eccezioni, comprese quelle necessarie al funzionamento della LAN, collegatevi a internet, scaricate Windows Worm Door Cleaner e chiudete le porte 135, 445, le altre potete lasciarle! (UPnP, Messenger e Netbios)
7)A questo punto scaricate il mitico Firefox e navigate SOLO con quello! Per ricevere le mails scaricate ThunderBird e configurateli entrambi! per stare proprio sicuri sicuri CANCELLATE TUTTA LA CACHE di internet explorer presente in C:\documents and settings\NOMEUTENTE\temporary internet files
8)Riattivate il ripristino automatico ed abilitate le necessarie eccezioni nel firewall di windows! :D

Con questa procedura io non ho più avuto problemi di alcun genere con virus o trojan o chicchessia...:D Spero sia lo stesso con voi! Ah, se avete un router abilitate il firewall hardware naturalmente e nel NAT disabilitate le porte 135 e 445...cosi siete a prova di bomba!! :D Alla prox!! :D


;) grazie x i consigli
se mi capiterà proverò sicuramente questo metodo, ma mi auguro che cio nn accada :sperem:

anche io son del gruppo ragazzi! :D
uno firewall di win xp sp2 + avg + firefox + ad-aware se
scansioni online con panda - tred micro - karpesky, hijackthis
niente sistema pulito!
ma gli exe li corrompeva ugualmente! :muro:
o meglio usando il "tools vcleaner" li beccava al volo ma nel tentativo di ripararli li corrompeva, (pero' un paio di setup è riuscito a ripararli)

credo di averlo beccato dalla porta 445!
perchè è l'unica che avevo aperta!

leggendo questo post ho scaricato Windows Worm Door Cleaner e chiuso la sudetta porta!
ora sembra non ripresentarsi +!

speriamo!

cmq molto simpatica la discussione, tra gente che formatta, chi lo chiama tAnga, chi scongiura, chi paragona win ad una prostituta...mi son divertito molto!

tra un po provo se funge la lan!

ok funziona tutto :D

questa è la scansione delle mie porte

GRC Port Authority Report created on UTC: 2006-06-15 at 00:35:15

Results from scan of ports: 0-1055

0 Ports Open
0 Ports Closed
1056 Ports Stealth
---------------------
1056 Ports Tested

ALL PORTS tested were found to be: STEALTH.

TruStealth: FAILED - ALL tested ports were STEALTH,
- NO unsolicited packets were received,
- A PING REPLY (ICMP Echo) WAS RECEIVED.


pero' non ho capito questo:

http://img223.imageshack.us/img223/600/wwdc3eu.jpg
anche se riavvio il netbios e UPNP rimangono in giallo :what:

Beh, se ospiti una LAN è normale che LE NetBios e il UPnP siano aperte, altrimenti la comunicazione tra i pc sarebbe impossibile...per il fatto che wwdc te le dia aperte e invece il controllo di syagate...beh penso che il firewall non calcoli anche le porte necessarie alla LAN...Poi, più di questo non so dirti! :D Sorry...

Beh, se ospiti una LAN è normale che LE NetBios e il UPnP siano aperte, altrimenti la comunicazione tra i pc sarebbe impossibile...per il fatto che wwdc te le dia aperte e invece il controllo di syagate...beh penso che il firewall non calcoli anche le porte necessarie alla LAN...Poi, più di questo non so dirti! :D Sorry...
è molto strano....ora la lan non funge +...ed io non ho cambiato nulla :confused:

windows Worms doors cleaner ora mi da!

la 135 che si chiuderà al prissimo riavvio???? (ma prima era chiusa e se riavvio rimane sempre in giallo!)

ora provo ad aprire netbios e Upnp per far funzionare la lan...intanto con tutto chiuso il virus non + + entrato.....speriamo che non entri aprendo netbios e upnp..se entra ancora prendo un router con firewall integrato e stop!

è molto strano....ora la lan non funge +...ed io non ho cambiato nulla :confused:

windows Worms doors cleaner ora mi da!

la 135 che si chiuderà al prissimo riavvio???? (ma prima era chiusa e se riavvio rimane sempre in giallo!)

ora provo ad aprire netbios e Upnp per far funzionare la lan...intanto con tutto chiuso il virus non + + entrato.....speriamo che non entri aprendo netbios e upnp..se entra ancora prendo un router con firewall integrato e stop!
niente rettifico.....tutto ok!
qualcuno dei miei mi aveva disabilitato il brige e non me ne ero accorto :doh:

Raga ho un problemino anche io con questo Virsus del c.... però nn mi da alcun danno ne nelle reti neppure negli .exe o dll. Ho solo nella cartella dei file completati di emule e sul desktop un setup.exe e un autorun, kaspersky mi rileva solo una volta al giorno il suddetto virus e me lo disinfetta.. se provo a scaricare i file in meno di mezz'ora mi tornano!! Ho rinunciato anche a cancellarli tanto tornano di continuo.. però mi danno un po fastidio :muro:

disattiva il ripristino di configurazione di windows poi prova a scansionare e i file che trova eliminali...
possibilmente se non usi un firewall installane uno :)

disattiva il ripristino di configurazione di windows poi prova a scansionare e i file che trova eliminali...
possibilmente se non usi un firewall installane uno :)
Disattivato e scansionato, nn ha trovato nulla, ho provato a cancellare il setup.exe e autorun.inf dopo mezz'ora o meno sono tornati allegramente :muro:

posta il log di hijackthis in questa discussione cosi vediamo
http://www.hwupgrade.it/forum/showthread.php?t=937676

Ho preso anch'io il maledetto Tenga con tutte le conseguenze del caso: files infetti, imprecazioni a valanga ecc.

Ma come è possibile che sto virus sia ancora in circolazione da più di un anno ???

Vi ricordo che questo thread è stato aperto un anno fa (giorno più giorno meno)

io l'ho ripreso per la terza volta :muro:

io l'ho ripreso per la terza volta :muro:
o marò...
il max della sfiga....

bè, dai...il lato positivo: almeno sai come trattarlo....






PS: ma come diavolo li beccate?
Ti rompe dirmi che cfg software hai e se esegui periodicamente gli update di win?

o marò...
il max della sfiga....

bè, dai...il lato positivo: almeno sai come trattarlo....






PS: ma come diavolo li beccate?
Ti rompe dirmi che cfg software hai e se esegui periodicamente gli update di win?
io dopo il sp2 nn ho mai fatto un update ma nn prendo niente da gennaio :D

stesso problema anche a me, ho letto il topic, cercato di risolvere in tutti i modi consigliati, installando WWDC ecc, ma nulla.

E sono gia 2 mesi, ho anche io il router rotto e mi ritrovo con quello adsl senza firewall, ecco il log di hijackthis:

Logfile of HijackThis v1.99.1
Scan saved at 15.21.27, on 21/10/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Creative\SBAudigy4\Surround Mixer\CTSysVol.exe
C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Programmi\Messenger\msmsgs.exe
C:\WINDOWS\system32\CTsvcCDA.EXE
C:\Programmi\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
C:\Programmi\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
C:\Programmi\CyberLink\Shared files\RichVideo.exe
C:\Programmi\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe
C:\Programmi\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\eMule\emule.exe
C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\Documents and Settings\ManiAc\Desktop\startuplist\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O4 - HKLM\..\Run: [CTSysVol] C:\Programmi\Creative\SBAudigy4\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [kis] "C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe"
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NVIDIA nTune] "C:\Programmi\NVIDIA Corporation\nTune\\nTune.exe" clear
O4 - HKCU\..\Run: [msnmsgr] "C:\Programmi\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O8 - Extra context menu item: Aggiungi a Kaspersky Anti-Banner - C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 6.0\\ie_banner_deny.htm
O9 - Extra button: Web Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 6.0\scieplugin.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software AutoUpdate) - http://www.creative.com/su/ocx/15026/CTSUEng.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windows...b?1159724887375
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/su/ocx/15026/CTPID.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{9721C909-15C7-411F-BC27-CB862A91E40E}: NameServer = 85.37.17.46 85.38.28.84
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Kaspersky Internet Security 6.0 (AVP) - Unknown owner - C:\Programmi\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe" -r (file missing)
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE
O23 - Service: ForceWare Intelligent Application Manager (IAM) - Unknown owner - C:\Programmi\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe
O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Unknown owner - C:\Programmi\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe" -k runservice (file missing)
O23 - Service: NBService - Nero AG - C:\Programmi\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: ForceWare user log service (nSvcLog) - NVIDIA - C:\Programmi\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programmi\CyberLink\Shared files\RichVideo.exe

aiutatemi per favore...

cavolo, penso anche io di averlo preso.... :muro: :muro: :muro:
sono due giorni che lo elimino e puntualmente la mattina quando controllo i download sul muletto eccole che avast mi dice del Tenga!!! :muro: :muro:

spero non mi abbia infettato anche il pc principale.. :rolleyes:

uso Avast e Zone Alarm e non mi è mai entrato nulla, ora invece sto coso bastardo non riesco nemmeno a toglierlo...

Si può fare un riassunto delle varie cose da effettuare per pulire il sistema, sempre se si riesce!! :(

ho una domanda!
siccome uso zone alarm come firewall, se blocco le porte incoming netbios della zona internet, risolvo?

perché forse, e dico forse ( :sperem: ) sul pc principale non ho preso il tenga, e il firewall blocca tutti gli accessi al pc sia dalla "trusted zone" che dalla "internet zone"!
Quindi presumo sia efficace contro il maledetto, e siccome da quello che ho capito il virus agisce sempre via internet (dopo la rimozione dei file infetti) dalla porte aperte 135 e 445, se io le chiudo solo nella "internet zone" dovrei essere a posto, giusto?

ciao grazie a voi e al magnifico forum dove ho imparato un sacco di cose utili in tutti questi anni ,e ancora adesso mi avete aiutato a liberarmi di un virus che mi a beccato ecco il suo nome :TR/Dldr.delf.ajh ,allego anche foto dei file che mi aveva infettato . ora sembra tutto ok dopo aver scaricato PREVXFIXGROM.
grazie ancora

Stasera mi leggerò per bene tutto il 3D e cercherò di capire come risolvere il problema.
Per ora mi limito ad iscrivermi ufficialmente nella lista degli infetti da sto c**** di Tanga :cincin: :winner:

eccomi qua... :cry: anche io nella lista del w32/stanit (che se non ho capito male è una variante del tenga...)

uppo la richiesta di un riassunto... grazie! :help:

entra nel pc in modalità provvisoria, fai una scansione ed elimina tutti i file infetti, utilizza il programmino microsoft WWDC (Windows Worms Doors Cleaner) e chiudi le porte 445, 135-139. Riavvia il sistema e non dovresti più avere problemi, almeno io ho fatto così e oramai sono mesi che non lo vedo! :D

il WWDC lo trovi sul sito microsoft o se no con google fai un cerca e trovi la pagina per downloadarlo! ;)
Buona disinfestazione :D

Ciao a tutti!!!! Anche io sono nel club tenga!! :help: bene ho letto molto a riguardo e fino alla fine sono arrivato a voi e a questo forum..per fortuna..ho imparato tante cose..prima di tutto su HijackThis che non conoscevo(il cui log vi riporto di seguito)

Logfile of HijackThis v1.99.1
Scan saved at 16.03.13, on 02/01/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\AOL\Active Virus Shield\avp.exe
C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
H:\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.philips.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [SigmatelSysTrayApp] sttray.exe
O4 - HKLM\..\Run: [aol] "C:\Programmi\AOL\Active Virus Shield\avp.exe"
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programmi\File comuni\Ahead\lib\NMBgMonitor.exe"
O8 - Extra context menu item: Aggiungi all'elenco di stampa Easy-WebPrint - res://C:\Programmi\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Anteprima Easy-WebPrint - res://C:\Programmi\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Stampa ad alta velocità Easy-WebPrint - res://C:\Programmi\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Stampa Easy-WebPrint - res://C:\Programmi\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Active Virus Shield (AVP) - Unknown owner - C:\Programmi\AOL\Active Virus Shield\avp.exe" -r (file missing)
O23 - Service: Sygate Personal Firewall Pro (SmcService) - Sygate Technologies, Inc. - C:\Programmi\Sygate\SPF\smc.exe
O23 - Service: SigmaTel Audio Service (STacSV) - SigmaTel, Inc. - C:\WINDOWS\system32\STacSV.exe

che dite è pulito? io ho usato la guida presente nel forum..e sembra di si..ma credo voi siate più esperti di me e potete darmi delle conferme
il computer viene da un formattone..e credo si veda.. :cry: dopo che il suddetto virus ha praticamente raso al suolo il mio computer(avevo antivir + sygate )..in pratica non partiva più..ho formattato la partizione con il sistema operativo(io ho 2 HD con 3 partizioni!!) e poi ho installato Active Virsus Shield..gli ho fatto fare uno scan e mi ha trovato 500 .exe infetti sugli altri due Hrd disk che ho rimosso..(ho sbloccato anche i System Volume Information che ora sono accessibili all'antivirus)..ho disabilitato il "ripristino configurazione su tutte le unità" e ho fatto ripartire active..ma per ora nessun file infetto..poi ho installato anche anti-spyware AVG e CCLENER che dite è sufficiente? devo aggiungere qualcos'altro?
Per quanto riguarda invece WWDC ho letto in questa discussione che per prevenire questo virus bisogna chiudere la porta 135..ma il computer infetto è sia connesso ad internet sia in rete con un altro portatile..ma da quello che ho letto chiudendo la suddetta porta si hanno problemi di connessione di rete..sbaglio? mi date un connsiglio per piacere..grazie infinte.. :ave:

Nessuno può aiutarmi per favore???? :help: :cry:

Nessuno può aiutarmi per favore???? :help: :cry:

Non sono un esperto ma il tuo log sembra pulito, ed anche la tua configurazione di sicurezza con AVS e AVG dovrebbe essere sufficiente se unita ad un windows sempre aggiornato.

Per quanto riguarda la porta (ripeto: non sono un esperto) chiudendola potresti avere problemi in rete, ma il tenga + che la porta sfruttava una vulnerabilità del sistema, che, se sei a posto con gli aggiornamenti di win, non dovrebbe + sussistere.

...quasi dimenticavo:

benvenuto nel forum... :)
ciao

salve a tutti sono entrato anch'io nel gruppo
dalle ore.... non mi ricordo più, credo le 0.30. adesso sono le 3.15 e non riesco a fermarlo

ho anitivir, kerioPF, spybot, winxp sp2
cosa devo uccidere????? :cry:

3 partizioni:
c: con il so
d: con i files multimediali
e: con gli eseguibili e le istallazioni, (che ormai non ci sono più, tutti infetti e cancellati x precauzione)

il problema si sta spostando sul disco D: prima mi ha colpito la cartella bitcomet e adesso la cartella di backup di mio fratello con tutti i suoi eseguibili

non so più che fare ed ho un sonno pazzesco :mc:

hijackthis:

Logfile of HijackThis v1.99.1
Scan saved at 3.22.13, on 12/01/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\Explorer.EXE
C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
C:\Programmi\Executive Software\Diskeeper\DkService.exe
C:\Programmi\Kerio\Personal Firewall 4\kpf4ss.exe
C:\Programmi\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Programmi\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Programmi\Trust\AMI MOUSE 250SP WIRELESS OPTICAL\lwbwheel.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\umonit.exe
C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\atiptaxx.exe
C:\Programmi\YourWare Solutions\FreeRAM XP Pro\FreeRAM XP Pro.exe
C:\Programmi\WiFiConnector\NintendoWFCReg.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\AntiVir PersonalEdition Classic\avscan.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programmi\AntiVir PersonalEdition Classic\avcenter.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\PROGRA~1\MOZILL~2\THUNDE~1.EXE
C:\DOCUME~1\Lilith\IMPOST~1\Temp\Directory temporanea 2 per hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.5.0_10\bin\ssv.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [LWBMOUSE] C:\Programmi\Trust\AMI MOUSE 250SP WIRELESS OPTICAL\lwbwheel.exe
O4 - HKLM\..\Run: [CnxTrApp] rundll32.exe "C:\Programmi\Pirelli\Access Gateway USB Network\CnxTrApp.dll",AppEntry -REG "Pirelli\Access Gateway USB"
O4 - HKLM\..\Run: [UMonit] C:\WINDOWS\system32\umonit.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SiS Windows KeyHook] C:\WINDOWS\system32\keyhook.exe
O4 - HKLM\..\Run: [ATIPTA] "C:\WINDOWS\atiptaxx.exe"
O4 - HKCU\..\Run: [FreeRAM XP] "C:\Programmi\YourWare Solutions\FreeRAM XP Pro\FreeRAM XP Pro.exe" -win
O4 - Global Startup: Esegui il programma di registrazione della chiave USB Wi-Fi Nintendo.lnk = C:\Programmi\WiFiConnector\NintendoWFCReg.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/default/kavwebscan_unicode.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{2F3F97D6-CE24-492A-AC5A-DEF461B5C3AD}: NameServer = 85.37.17.42 85.38.28.87
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programmi\BlueSoleil\BTNtService.exe
O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Programmi\Executive Software\Diskeeper\DkService.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Programmi\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE


scusate ma sono abbastanza...affranto

salve a tutti sono entrato anch'io nel gruppo
dalle ore....

Intanto benvenuto nel forum!

ad un'occhiata INESPERTA come la mia, il tuo log sembra pulito (aspetta eventualmente conferma di qualcuno + esperto).

Nell'attesa dovresti disabilitare il ripristino di sistema di windows e seguire i suggerimenti dell'utente mardurhack:

""Avviate Windows in modalità provvisoria premendo ripetutamente F8 all'avvio del BIOS
4) "Scannate" il disco con l'antivirus (Io uso Avira Antivir PE, stupendo, gratuito e funzionale!), troverà tutti gli exe infetti. Eliminateli tutti! Tanto non sono più recuperabili, guardate anche la cartella in cui sono stati trovati e ricercateli a scan finito uno ad uno per vedere se ci sono rimaste copie che l'antivirus non ha beccato (succede, magari perché si ricreano dopo la scanzione!). è un lavoro duro lo so, ma vi da soddisfazioni! :lol:
5)Riavviate windows, scansionate ancora una volta il sistema (Configurate l'antivirus perché scansioni TUTTI i files e non solo quelli nella blacklist e TUTTI gli archivi! Vi ricordo che solo dalla versione 7.0 avira ripara gli archivi, prima poteva solo analizarli!)""...

ciao

grazie
la prima cosa che disabilito ogni volta che formatto è il ripristino di configurazione, poi la metà dei servizi di winxp

adesso ho messo su kaspersky oltre ad antivir e hanno un po' pulito
ho svuotato le cartelle temp, internet temp e la cache di firefox
ma perchè gli scanner online vogliono solo explorer? non lo uso mai, quindi nemmeno lo aggiorno (oltre a bloccarne l'acceso a internet tramite firewall)

ho chiuso le porte di netbios con WWDC (la 445 rpc locator mi serve x il modem/router di alice)

grazie a knoppix live ho salvato le impostazioni di posta e i file che mi servivano, quindi sarei pronto al format

sto scannando il pc di mio fratello (visto che la sua cartella di backup sul mio era piena di trojan) ma nulla. lui usa AVG e sygate.

ma per curiosità come caspita l'ho preso? stavo viaggiando su wikipedia e su un sito di un videogame (STALKER shadow of chernobyl) e antivir mi ha cominciato a trovare exe corrotti

ho scaricato molta merda in sto periodo, ma si tratta di zip di driver (voodoo2 e bashee dal sito 3dfx, catalyst 7.1 da ati.amd.com)

Salve a a tutti, purtroppo ho la certezza matematica, almeno fino a questo momento, di essere stata colpita dal maledetto W32/Tanitalias Tenga, rilevato ieri sera da Antivir.
Dopo aver eseguito varie operazioni e fatto diverse scansioni, tra cui tramite il tool di rimozione di Avira, il tool di Avast, e e il tool di Drweb, come si consigliava nelle prime pagine di queso thread ancora stamattina, non sono tranquilla per niente dopo aver letto i vosti interventi, perché anche se al momento la situazione sembra tranquilla, sinceramente non sono sicura per niente di averlo eliminato anche se già ieri notte Antivir mi aveva individuato 8 file (credo più o meno sempre riconducibili allo stesso bastardo), 4 dei quali da lui eliminati, 1 eliminato da me dopo che era possibile solo metterlo in quarantena, e i restanti isolati. Da quel momento e fino alle ultime scansioni fatte con i citati tool fino a pochi minuti fa, nessuna infezione viene rilevata; a questo aggiungo che però Spybot mi ha trovato un sospettissimo "trojan guarder" che mi ha eliminato.

Inoltre ho scaricato, nel dubbio, qualche aggiornamento sistema che non ero sicura di avere, e sarei a questo punto propensa a esonerare il colabrodo del firewall di XP per affidarlo a Zone Alarm.

Ho qui un log fatto con Hijackthis. Qualcuno gentilmente per favore me lo potrebbe controllare? :)

Logfile of HijackThis v1.99.1
Scan saved at 9.01.13, on 10/05/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\system32\sistray.EXE
C:\WINDOWS\system32\keyhook.exe
C:\Programmi\Unlocker\UnlockerAssistant.exe
C:\Programmi\Java\jre1.5.0_11\bin\jusched.exe
C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Programmi\ScanSoft\OmniPageSE2.0\OpwareSE2.exe
C:\Programmi\SPYWAREfighter\spftray.exe
C:\Programmi\Flashpaste\flashpaste.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\Programmi\SPYWAREfighter\spfprc.exe
C:\Programmi\Opera\Opera.exe
C:\Program Files\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - URLSearchHook: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Programmi\Macrogaming\SweetIMBarForIE\toolbar.d ll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: SWEETIE - {1A0AADCD-3A72-4b5f-900F-E3BB5A838E2A} - C:\PROGRA~1\MACROG~1\SWEETI~1\toolbar.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.5.0_11\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Programmi\Macrogaming\SweetIMBarForIE\toolbar.d ll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [SiS Tray] C:\WINDOWS\system32\sistray.EXE
O4 - HKLM\..\Run: [SiS Windows KeyHook] C:\WINDOWS\system32\keyhook.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Programmi\Unlocker\UnlockerAssistant.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.5.0_11\bin\jusched.exe "
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [CmUsbSound] RunDll32 cmcnfgu.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [OpwareSE2] "C:\Programmi\ScanSoft\OmniPageSE2.0\OpwareSE2.exe "
O4 - HKLM\..\Run: [spywarefighterguard] C:\Programmi\SPYWAREfighter\spftray.exe
O4 - HKCU\..\Run: [IncrediMail] C:\Programmi\IncrediMail\bin\IncMail.exe /c
O4 - HKCU\..\Run: [Flashpaste] C:\Programmi\Flashpaste\flashpaste.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: DSLMON.lnk = C:\Programmi\SAGEM\SAGEM F@st 800-840\dslmon.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - http://us.dl1.yimg.com/download.yaho...st20040510.cab
O16 - DPF: {814EA0DA-E0D9-4AA4-833C-A1A6D38E79E9} (DASWebDownload Class) - http://das.microsoft.com/activate/ca...ail/DASAct.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{588FA282-8FD2-4801-9ECE-2F2A31FF4B91}: NameServer = 85.37.17.15 85.38.28.74
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: SPYWAREfighterRP - SpamFighter APS - C:\Programmi\SPYWAREfighter\spfprc.exe


Altre due cose.

1) ho scoperto che anche io ho in una cartella condivisa un certo file

autorun.inf e non riesco a capire che roba è e non so dire se c'era anche prima ! :mbe:

2) in C:/Windows sistem ho scoperto che c'è questo file sospetto:

cmsnxeye.exe

e con questo nome strano mi sembra impossibile sia un file di sistema, ma se poi lo cancello e invece va lasciato? :(

Grazie a chiunque abbia la gentilezza di volermi aiutare!

Ma quindi la soluzione per eliminare sto tenga benedetto è mettersi in modalità provvisoria e inizia a scannare molto approfonditamente?

spostato nell'area corretta...

Salve a a tutti, purtroppo ho la certezza matematica.....CUT!
autorun.inf questo cancellalo....cmsnxeye.exe questo giusto per sicurezza fallo scansionare QUI (http://www.virustotal.com/en/indexf.html)

fai una cosa prima disattiva il ripristino config di sistema se non sai come fare vedi QUI link (http://support.microsoft.com/kb/310405/it)
Pulita con CCleaner( QUI (http://www.filehippo.com/download/9838386a743262a2d7aaedfb3b432ae2/download/))disattivando dalle opzioni avanzate "cancella solo file più vecchi di 48 ore" oppure con ATF Cleaner http://www.atribune.org/ccount/click.php?id=1 (è stand alone) Avvia ATF Cleaner
(se usi Firefox o Opera, selezionali dal menu in alto)
metti la spunta su "Select All" per ogni browser
e clicca su "Empty Selected"


Primo consiglio disinstalla sto SPYWAREfighter che è la brutta copia di avg antispyware,tra l'altro dovrebbe contenere addirittura adware esso stesso
Secondo consiglio disinstallerei anche ste toolbar aggiuntive fossi in te in quanto distorcono le ricerche...poi fai tu....

R3 - URLSearchHook: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Programmi\Macrogaming\SweetIMBarForIE\toolbar.d ll
O2 - BHO: SWEETIE - {1A0AADCD-3A72-4b5f-900F-E3BB5A838E2A} - C:\PROGRA~1\MACROG~1\SWEETI~1\toolbar.dll
O3 - Toolbar: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} -
O4 - HKLM\..\Run: [SiS Tray] C:\WINDOWS\system32\sistray.EXE....questa se sai cos'è lasciala..
O4 - HKCU\..\Run: [Flashpaste] C:\Programmi\Flashpaste\flashpaste.exe
O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - http://us.dl1.yimg.com/download.yaho...st20040510.cab
O16 - DPF: {814EA0DA-E0D9-4AA4-833C-A1A6D38E79E9} (DASWebDownload Class) - http://das.microsoft.com/activate/ca...ail/DASAct.cab
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\
Tutto da fixare


scarica Superantispyware (http://www.superantispyware.com/downloadfile.html?productid=SUPERANTISPYWARE) aggiornalo e fagli fare una "Perform complete scan" da "scan your computer"

scarica a-squared Free 3.0 (http://www.emsisoft.it/it/software/download/) aggiornalo e fagli fare una scansione completa del sistema

scarica Panda Antirootkit (http://research.pandasoftware.com/blogs/images/AntiRootkit.zip)
decomprimi il file Zip, sul desktop
eseguilo stando connessa, dovrebbe aggiornarsi automaticamente, dopodichè partirà una scansione per verificare la presenza,di eventuali rootkit, sul P.C. ed eseguire eventuali pulizie.

Esegui Questo tool (http://www.symantec.com/content/en/us/global/removal_tool/threat_writeups/FixLinkopt.exe) e
quest'altro Tool (http://aknow.prevx.com/zeroL/FA25687.exe)
fai sapere se trovano qualcosa


scarica elistarA http://www.zonavirus.com/datos/descargas/78/elistara.asp in fondo alla pagina Descargar ElistarA
lancialo, ti farà tre domande all'inizio,rispondi si tranne alla terza,("Quiere eliminar las pàgina de inicio y de busqueda del internet explorer" a questa rispondi no) dopo di chè fagli fare una scansione (Explorar) ..quando termina rilascia un log infosat.txt in C:

Un'altra cosa:devi aggiornare assolutamente la java machine, che quella che hai è a rischio vulnerabilità oltre che obsoleta.......
Facci sapere :cool:

:help: W32/Stanit: è questo il nome del malware trovato in ben 222 (!!!) files .exe nel mio HD principale, dove risiedono XP HE + SP2 e programmi vari, dopo aver effettuato la scansione con Avira Premium Security Suite. Ho messo tutto in quarantena in attesa di un'anima pia che mi dia indicazioni. Grazie :help:

:help: W32/Stanit: è questo il nome del malware trovato in ben 222 (!!!) files .exe nel mio HD principale, dove risiedono XP HE + SP2 e programmi vari, dopo aver effettuato la scansione con Avira Premium Security Suite. Ho messo tutto in quarantena in attesa di un'anima pia che mi dia indicazioni. Grazie :help:
Scansione completa del sistema con Avira, in modalità provvisoria.
Poi, pubblica un log di Hthis.
E' probabile che tu sia infetto da una delle diverse varianti del Tenga o Licum.
Verfica se hai la possibilità di accedere al Regedit dal comando Esegui.
Utilizza il comando Cerca e controlla se trovi questi tre files:
● DL.EXE [da utenti.lycos.it]
● GAELICUM.EXE
● CBACK.EXE
Se fossero presenti, per ora non li toccare.
Altra domanda: Avira non te li ha fatti rimuovere o la decisione di mettere quel pacco di roba in quarantena è stata tua?.

Visto che qualcuno è favorevole al bumping ed al crossposting a quanto pare (cose che detesto) Riposto tutto:

Tempo fa mi avevate detto che, per toglierlo oramai era necessario formattare inquanto nessun mezzo la'veva respinto. Ora: ho formattato ed ho adoperato tutte le possibili precauzioni che mi avevate suggerito. Però è entrato lo stesso. Con firewall. Con antivirus. Con TUTTO.
A quanto pare il format è servito a poco ed installare outpost suite anche.
Come al solito NESSUN PROGRAMMA l'ha rilevato. Quando è entrato? Ieri ho scaricato e-mule, oggi lo ho AVVIATO per la prima volta. Ora, magari è,un'impressione miam ma il file originale che si scarica da emule-project.net secondo me è già infetto... Quando l'ho avviato 5 minuti fa l'HD ha iniziato a ravanare. L'ho ista terminato ma ha corrotto i file in _restore. come al solito ho disattivato il ripristino per evitare infezione mastodontica. Ora ho rifatto la scansione e non ce n'è più traccia. Però la situazione è pesante... Se il file eseguibile di e-mule che danno da scaricare è già infetto si potrebbe diffondere un'infezione colossale... questa è la conclusione a cui sono giunto. scaricate dal sito l'ultima versione, avviatela, fate una scansione con l'online scanner di kaspersky e fatemi sapere se ho visto giusto plz.

KASPERSKY ONLINE SCANNER REPORT
Thursday, December 06, 2007 8:08:26 PM
Operating System: Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
Kaspersky Online Scanner version: 5.0.98.0
Kaspersky Anti-Virus database last update: 6/12/2007
Kaspersky Anti-Virus database records: 474005
Scan Settings
Scan using the following antivirus database extended
Scan Archives true
Scan Mail Bases true
Scan Target My Computer
C:\
D:\
E:\
F:\
G:\
H:\
I:\
Scan Statistics
Total number of scanned objects 130779
Number of viruses found 3
Number of infected objects 29
Number of suspicious objects 0
Duration of the scan process 02:35:44

Infected Object Name Virus Name Last Action
C:\Documents and Settings\All Users\Dati applicazioni\Microsoft\Network\Downloader\qmgr0.dat Object is locked skipped
C:\Documents and Settings\All Users\Dati applicazioni\Microsoft\Network\Downloader\qmgr1.dat Object is locked skipped
C:\Documents and Settings\IceThorn\Cookies\index.dat Object is locked skipped
C:\Documents and Settings\IceThorn\Dati applicazioni\Mozilla\Firefox\Profiles\xdewmlxs.default\cert8.db Object is locked skipped
C:\Documents and Settings\IceThorn\Dati applicazioni\Mozilla\Firefox\Profiles\xdewmlxs.default\formhistory.dat Object is locked skipped
C:\Documents and Settings\IceThorn\Dati applicazioni\Mozilla\Firefox\Profiles\xdewmlxs.default\history.dat Object is locked skipped
C:\Documents and Settings\IceThorn\Dati applicazioni\Mozilla\Firefox\Profiles\xdewmlxs.default\key3.db Object is locked skipped
C:\Documents and Settings\IceThorn\Dati applicazioni\Mozilla\Firefox\Profiles\xdewmlxs.default\parent.lock Object is locked skipped
C:\Documents and Settings\IceThorn\Dati applicazioni\Mozilla\Firefox\Profiles\xdewmlxs.default\search.sqlite Object is locked skipped
C:\Documents and Settings\IceThorn\Dati applicazioni\Mozilla\Firefox\Profiles\xdewmlxs.default\urlclassifier2.sqlite Object is locked skipped
C:\Documents and Settings\IceThorn\Impostazioni locali\Cronologia\History.IE5\index.dat Object is locked skipped
C:\Documents and Settings\IceThorn\Impostazioni locali\Cronologia\History.IE5\MSHist012007120620071207\index.dat Object is locked skipped
C:\Documents and Settings\IceThorn\Impostazioni locali\Dati applicazioni\Microsoft\Windows\UsrClass.dat Object is locked skipped
C:\Documents and Settings\IceThorn\Impostazioni locali\Dati applicazioni\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped
C:\Documents and Settings\IceThorn\Impostazioni locali\Dati applicazioni\Microsoft\Windows Live Contacts\pasquake@hotmail.it\real\members.stg Object is locked skipped
C:\Documents and Settings\IceThorn\Impostazioni locali\Dati applicazioni\Microsoft\Windows Live Contacts\pasquake@hotmail.it\shadow\members.stg Object is locked skipped
C:\Documents and Settings\IceThorn\Impostazioni locali\Dati applicazioni\Mozilla\Firefox\Profiles\xdewmlxs.default\Cache\_CACHE_001_ Object is locked skipped
C:\Documents and Settings\IceThorn\Impostazioni locali\Dati applicazioni\Mozilla\Firefox\Profiles\xdewmlxs.default\Cache\_CACHE_002_ Object is locked skipped
C:\Documents and Settings\IceThorn\Impostazioni locali\Dati applicazioni\Mozilla\Firefox\Profiles\xdewmlxs.default\Cache\_CACHE_003_ Object is locked skipped
C:\Documents and Settings\IceThorn\Impostazioni locali\Dati applicazioni\Mozilla\Firefox\Profiles\xdewmlxs.default\Cache\_CACHE_MAP_ Object is locked skipped
C:\Documents and Settings\IceThorn\Impostazioni locali\Dati applicazioni\Mozilla\Firefox\Profiles\xdewmlxs.default\XUL.mfl Object is locked skipped
C:\Documents and Settings\IceThorn\Impostazioni locali\Temp\Perflib_Perfdata_764.dat Object is locked skipped
C:\Documents and Settings\IceThorn\Impostazioni locali\Temp\~DFE23E.tmp Object is locked skipped
C:\Documents and Settings\IceThorn\Impostazioni locali\Temp\~DFE24C.tmp Object is locked skipped
C:\Documents and Settings\IceThorn\Impostazioni locali\Temp\~DFF47C.tmp Object is locked skipped
C:\Documents and Settings\IceThorn\Impostazioni locali\Temp\~DFF4AB.tmp Object is locked skipped
C:\Documents and Settings\IceThorn\Impostazioni locali\Temporary Internet Files\Content.IE5\index.dat Object is locked skipped
C:\Documents and Settings\IceThorn\NTUSER.DAT Object is locked skipped
C:\Documents and Settings\IceThorn\ntuser.dat.LOG Object is locked skipped
C:\Documents and Settings\LocalService\Cookies\index.dat Object is locked skipped
C:\Documents and Settings\LocalService\Impostazioni locali\Cronologia\History.IE5\index.dat Object is locked skipped
C:\Documents and Settings\LocalService\Impostazioni locali\Dati applicazioni\Microsoft\Windows\UsrClass.dat Object is locked skipped
C:\Documents and Settings\LocalService\Impostazioni locali\Dati applicazioni\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped
C:\Documents and Settings\LocalService\Impostazioni locali\Temporary Internet Files\Content.IE5\index.dat Object is locked skipped
C:\Documents and Settings\LocalService\NTUSER.DAT Object is locked skipped
C:\Documents and Settings\LocalService\ntuser.dat.LOG Object is locked skipped
C:\Documents and Settings\NetworkService\Impostazioni locali\Dati applicazioni\Microsoft\Windows\UsrClass.dat Object is locked skipped
C:\Documents and Settings\NetworkService\Impostazioni locali\Dati applicazioni\Microsoft\Windows\UsrClass.dat.LOG Object is locked skipped
C:\Documents and Settings\NetworkService\NTUSER.DAT Object is locked skipped
C:\Documents and Settings\NetworkService\ntuser.dat.LOG Object is locked skipped
C:\System Volume Information\MountPointManagerRemoteDatabase Object is locked skipped
C:\WINDOWS\CSC\00000001 Object is locked skipped
C:\WINDOWS\Debug\PASSWD.LOG Object is locked skipped
C:\WINDOWS\SchedLgU.Txt Object is locked skipped
C:\WINDOWS\SoftwareDistribution\EventCache\{303D1977-6142-4B6B-81D1-0A709DE9255F}.bin Object is locked skipped
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Object is locked skipped
C:\WINDOWS\system32\CatRoot2\edb.log Object is locked skipped
C:\WINDOWS\system32\CatRoot2\tmp.edb Object is locked skipped
C:\WINDOWS\system32\config\AppEvent.Evt Object is locked skipped
C:\WINDOWS\system32\config\default Object is locked skipped
C:\WINDOWS\system32\config\default.LOG Object is locked skipped
C:\WINDOWS\system32\config\SAM Object is locked skipped
C:\WINDOWS\system32\config\SAM.LOG Object is locked skipped
C:\WINDOWS\system32\config\SecEvent.Evt Object is locked skipped
C:\WINDOWS\system32\config\SECURITY Object is locked skipped
C:\WINDOWS\system32\config\SECURITY.LOG Object is locked skipped
C:\WINDOWS\system32\config\software Object is locked skipped
C:\WINDOWS\system32\config\software.LOG Object is locked skipped
C:\WINDOWS\system32\config\SysEvent.Evt Object is locked skipped
C:\WINDOWS\system32\config\system Object is locked skipped
C:\WINDOWS\system32\config\system.LOG Object is locked skipped
C:\WINDOWS\system32\drivers\sptd.sys Object is locked skipped
C:\WINDOWS\system32\h323log.txt Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Object is locked skipped
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked skipped
C:\WINDOWS\WindowsUpdate.log Object is locked skipped
D:\AstroPop Deluxe\AstroPop Deluxe\AstroPop.exe Object is locked skipped
D:\AstroPop Deluxe\AstroPop.exe Object is locked skipped
D:\AstroPop Deluxe\WinAP.exe Object is locked skipped
D:\carma2\carma2.exe Object is locked skipped
D:\carma2\CARMA2_HW.EXE Object is locked skipped
D:\carma2\Carma2_SW.exe Object is locked skipped
D:\carma2\clokspl.exe Object is locked skipped
D:\Dawn of War - Dark Crusade\BugReport\BugReport.exe Object is locked skipped
D:\Dawn of War - Dark Crusade\DarkCrusade.exe Object is locked skipped
D:\Dawn of War - Dark Crusade\GraphicsConfig.exe Object is locked skipped
D:\Dawn of War - Dark Crusade\W40k.exe Object is locked skipped
D:\Dawn of War - Dark Crusade\W40kWA.exe Object is locked skipped
D:\Dethkarz\Dethkarz.exe Object is locked skipped
D:\Dethkarz\Uninstall.exe Object is locked skipped
D:\Dominion\dominion.exe Object is locked skipped
D:\Globulation 2\glob2.exe Object is locked skipped
D:\Globulation 2\glob2win32-uninst.exe Object is locked skipped
D:\Heavy Weapon Deluxe\Heavy Weapon Deluxe.exe Object is locked skipped
D:\Internet Download Manager\IDMan.exe Object is locked skipped
D:\Internet Download Manager\Uninstall.exe Object is locked skipped
D:\IsoBuster\Help\AHlp.exe Object is locked skipped
D:\Magic The Gathering - Battlegrounds\SYSTEM\MTGBattlegrounds.exe Object is locked skipped
D:\Quake III Arena\Check for Quake III Arena Updates.exe Object is locked skipped
D:\Quake III Arena\Extras\cs\sysinfo.exe Object is locked skipped
D:\Quake III Arena\Extras\glsetup.exe Object is locked skipped
D:\Quake III Arena\quake3.exe Object is locked skipped
D:\Quake III Arena\quake3mod.exe.lnk Object is locked skipped
D:\Quake III Arena\Radiant-1.4\bspc.exe Object is locked skipped
D:\Quake III Arena\Radiant-1.4\q3data.exe Object is locked skipped
D:\Sacred\Config.exe Object is locked skipped
D:\Sacred\GameServer.exe Object is locked skipped
D:\Sacred\sacred.exe Object is locked skipped
D:\Sacred\TraFX.exe Object is locked skipped
D:\SpellForce\SpellForce 2 - Shadow Wars\FirewallCfg.exe Object is locked skipped
D:\SpellForce\SpellForce 2 - Shadow Wars\protect.exe Object is locked skipped
D:\SpellForce\SpellForce 2 - Shadow Wars\SF2Editor.exe Object is locked skipped
D:\SpellForce\SpellForce 2 - Shadow Wars\SpellForce2.exe Object is locked skipped
D:\SpellForce\SpellForce 2 - Shadow Wars\UNWISE.EXE Object is locked skipped
D:\System Volume Information\MountPointManagerRemoteDatabase Object is locked skipped
D:\System Volume Information\_restore{4BC4513F-5660-4CC7-BFC1-564A6B2CB020}\RP1\A0001010.EXE Infected: Virus.Win32.Tenga.a skipped
D:\System Volume Information\_restore{4BC4513F-5660-4CC7-BFC1-564A6B2CB020}\RP1\A0001062.exe Infected: Virus.Win32.Tenga.a skipped
D:\Tumiki fighters\tf.exe Object is locked skipped
D:\Virtual Midi Keyboard\INSTALL.LOG Object is locked skipped
D:\Virtual Midi Keyboard\Manual\back.gif Object is locked skipped
D:\Virtual Midi Keyboard\Manual\bullet.gif Object is locked skipped
D:\Virtual Midi Keyboard\Manual\forward.gif Object is locked skipped
D:\Virtual Midi Keyboard\Manual\index.htm Object is locked skipped
D:\Virtual Midi Keyboard\Manual\keyboard_commands.htm Object is locked skipped
D:\Virtual Midi Keyboard\Manual\key_assign.gif Object is locked skipped
D:\Virtual Midi Keyboard\Manual\main_window.gif Object is locked skipped
D:\Virtual Midi Keyboard\Manual\main_window.htm Object is locked skipped
D:\Virtual Midi Keyboard\Manual\register.htm Object is locked skipped
D:\Virtual Midi Keyboard\Manual\settings.gif Object is locked skipped
D:\Virtual Midi Keyboard\Manual\settings_dialog.htm Object is locked skipped
D:\Virtual Midi Keyboard\Manual\splash_screen.gif Object is locked skipped
D:\Virtual Midi Keyboard\Manual\warranty.htm Object is locked skipped
D:\Virtual Midi Keyboard\Settings.ini Object is locked skipped
D:\Virtual Midi Keyboard\Uninstall.dat Object is locked skipped
D:\Void\baseq3\fixpak.pk3 Object is locked skipped
D:\Void\cncs232.dll Object is locked skipped
D:\Void\KeyCheckDLL.dll Object is locked skipped
D:\Void\server.cfg Object is locked skipped
D:\Void\servercache.dat Object is locked skipped
D:\Zuma Deluxe\PopUninstall.exe Object is locked skipped
D:\Zuma Deluxe\Zuma.exe Object is locked skipped
E:\preformat\Pstools.rar/Pstools/psexec.exe Infected: not-a-virus:RiskTool.Win32.PsExec.153 skipped
E:\preformat\Pstools.rar RAR: infected - 1 skipped
E:\System Volume Information\MountPointManagerRemoteDatabase Object is locked skipped
E:\System Volume Information\_restore{4BC4513F-5660-4CC7-BFC1-564A6B2CB020}\RP1\A0000765.exe Infected: not-a-virus:RiskTool.Win32.PsExec.153 skipped
E:\System Volume Information\_restore{4BC4513F-5660-4CC7-BFC1-564A6B2CB020}\RP1\A0000864.exe Infected: Virus.Win32.Tenga.a skipped
E:\System Volume Information\_restore{C055CDBA-8770-4AB4-BA84-4A710F4AEEE1}\RP133\A0032194.exe Infected: not-a-virus:RiskTool.Win32.PsExec.153 skipped
E:\utilita'\directx_9c_redist.exe Infected: Virus.Win32.Tenga.b skipped
F:\System Volume Information\MountPointManagerRemoteDatabase Object is locked skipped
F:\System Volume Information\_restore{4BC4513F-5660-4CC7-BFC1-564A6B2CB020}\RP1\A0000820.exe Infected: Virus.Win32.Tenga.a skipped
F:\System Volume Information\_restore{4BC4513F-5660-4CC7-BFC1-564A6B2CB020}\RP1\A0000946.exe Infected: Virus.Win32.Tenga.a skipped
F:\System Volume Information\_restore{4BC4513F-5660-4CC7-BFC1-564A6B2CB020}\RP1\A0000947.EXE Infected: Virus.Win32.Tenga.a skipped
F:\System Volume Information\_restore{4BC4513F-5660-4CC7-BFC1-564A6B2CB020}\RP1\A0000948.exe Infected: Virus.Win32.Tenga.a skipped
F:\System Volume Information\_restore{4BC4513F-5660-4CC7-BFC1-564A6B2CB020}\RP1\A0000949.exe Infected: Virus.Win32.Tenga.a skipped
F:\System Volume Information\_restore{4BC4513F-5660-4CC7-BFC1-564A6B2CB020}\RP1\A0000950.exe Infected: Virus.Win32.Tenga.a skipped
F:\System Volume Information\_restore{4BC4513F-5660-4CC7-BFC1-564A6B2CB020}\RP1\A0000951.exe Infected: Virus.Win32.Tenga.a skipped
F:\System Volume Information\_restore{4BC4513F-5660-4CC7-BFC1-564A6B2CB020}\RP1\A0000952.exe Infected: Virus.Win32.Tenga.a skipped
F:\System Volume Information\_restore{4BC4513F-5660-4CC7-BFC1-564A6B2CB020}\RP1\A0000953.exe Infected: Virus.Win32.Tenga.a skipped
F:\System Volume Information\_restore{4BC4513F-5660-4CC7-BFC1-564A6B2CB020}\RP1\A0000954.exe Infected: Virus.Win32.Tenga.a skipped
F:\System Volume Information\_restore{4BC4513F-5660-4CC7-BFC1-564A6B2CB020}\RP1\A0000955.exe Infected: Virus.Win32.Tenga.a skipped
F:\System Volume Information\_restore{4BC4513F-5660-4CC7-BFC1-564A6B2CB020}\RP1\A0000956.exe Infected: Virus.Win32.Tenga.a skipped
F:\System Volume Information\_restore{4BC4513F-5660-4CC7-BFC1-564A6B2CB020}\RP1\A0000957.exe Infected: Virus.Win32.Tenga.a skipped
F:\System Volume Information\_restore{4BC4513F-5660-4CC7-BFC1-564A6B2CB020}\RP1\A0000958.exe Infected: Virus.Win32.Tenga.a skipped
F:\System Volume Information\_restore{4BC4513F-5660-4CC7-BFC1-564A6B2CB020}\RP1\A0000959.exe Infected: Virus.Win32.Tenga.a skipped
F:\System Volume Information\_restore{4BC4513F-5660-4CC7-BFC1-564A6B2CB020}\RP1\A0000960.exe Infected: Virus.Win32.Tenga.a skipped
F:\System Volume Information\_restore{4BC4513F-5660-4CC7-BFC1-564A6B2CB020}\RP1\A0000961.exe Infected: Virus.Win32.Tenga.a skipped
F:\System Volume Information\_restore{4BC4513F-5660-4CC7-BFC1-564A6B2CB020}\RP1\A0000962.exe Infected: Virus.Win32.Tenga.a skipped
F:\System Volume Information\_restore{4BC4513F-5660-4CC7-BFC1-564A6B2CB020}\RP1\A0000963.exe Infected: Virus.Win32.Tenga.a skipped
F:\System Volume Information\_restore{4BC4513F-5660-4CC7-BFC1-564A6B2CB020}\RP1\A0000964.exe Infected: Virus.Win32.Tenga.a skipped
F:\System Volume Information\_restore{4BC4513F-5660-4CC7-BFC1-564A6B2CB020}\RP1\A0000968.exe Infected: Virus.Win32.Tenga.a skipped
G:\System Volume Information\MountPointManagerRemoteDatabase

Preciso che quei file si sono infettati in un tempo di 3 secondi. Il tempo di aprire taskman e terminare emule.exe
Fino a ieri, fatto scansioni, tutto a posto.

Log di Hijackthis:

Logfile of HijackThis v1.99.1
Scan saved at 5.54.12, on 07/12/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\Programmi\Analog Devices\Core\smax4pnp.exe
C:\Programmi\Analog Devices\SoundMAX\Smax4.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Programmi\Windows Live\Messenger\msnmsgr.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\Programmi\Mozilla Firefox\firefox.exe
C:\Programmi\Mozilla Thunderbird\thunderbird.exe
C:\DOCUME~1\IceThorn\IMPOST~1\Temp\Rar$EX00.875\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O4 - HKLM\..\Run: [OutpostMonitor] C:\PROGRA~1\Agnitum\OUTPOS~1\op_mon.exe /tray
O4 - HKLM\..\Run: [OutpostFeedBack] "C:\Programmi\Agnitum\Outpost Firewall Pro\feedback.exe" /dump:os_startup
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programmi\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Programmi\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKCU\..\Run: [msnmsgr] "C:\Programmi\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [DAEMON Tools] "C:\Programmi\DAEMON Tools\daemon.exe" -lang 1033
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/default/kavwebscan_unicode.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{0553B2F2-8BCE-480A-94C6-83A9C675C1E3}: NameServer = 85.37.17.40 85.38.28.85
O17 - HKLM\System\CS1\Services\Tcpip\..\{0553B2F2-8BCE-480A-94C6-83A9C675C1E3}: NameServer = 85.37.17.40 85.38.28.85
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL
O20 - AppInit_DLLs: c:\progra~1\agnitum\outpos~1\wl_hook.dll
O23 - Service: Agnitum Client Security Service (acssrv) - Agnitum Ltd. - C:\PROGRA~1\Agnitum\OUTPOS~1\acs.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe


L'unica cosa "sospetta" è msn inquanto, dato che hijack è crukko, dice giustamente che dovrebbe essere sotto la directory "Programme" :doh:
Io, con ste varianti del tenga non so più che pesci pigliare...

Panda anti-rootkit no nha trovato niente. Fatta adesso la scansione...
Spero solo che non torni a fare danni. IO E-Mule non lo apro PIU'. Al limite lo apro sotto Sandboxie...

Visto che qualcuno è favorevole al bumping ed al crossposting a quanto pare (cose che detesto) Riposto tutto .....
E' esattamente la ragione per la quale il tuo precedente post è stato chiuso.
Visto che sono cose che dici di detestare, evita di predicare bene e razzolare male (ovvero, evita il crossposting).
Tempo fa mi avevate detto che, per toglierlo oramai era necessario formattare inquanto nessun mezzo la'veva respinto. Ora: ho formattato ed ho adoperato tutte le possibili precauzioni che mi avevate suggerito. Però è entrato lo stesso. Con firewall. Con antivirus.
Con il firewall, sicuramente: con l'antivirus dubito, visto che dal log di HThis non risulta tu abbia installato alcun antivirus.
Quando è entrato? Ieri ho scaricato e-mule, oggi lo ho AVVIATO per la prima volta. Ora, magari è,un'impressione miam ma il file originale che si scarica da emule-project.net secondo me è già infetto...
Secondo te ..... :)
IO E-Mule non lo apro PIU'. Al limite lo apro sotto Sandboxie...
Ottima decisione (la prima).
Ed installa un antivirus ;)
E, già che ci sei (evita di rispondermi che non lo usi, perchè non ha alcuna importanza, considerato che ti serve per scaricare gli aggiornamenti da Windows Update) aggiorna Internet Explorer alla versione 7

E' esattamente la ragione per la quale il tuo precedente post è stato chiuso.
Visto che sono cose che dici di detestare, evita di predicare bene e razzolare male (ovvero, evita il crossposting).

M'avete scritto di ripostarlo qui che facevo??? Non dite cose se poi vi contraddite... se è quello che hai detto a me vale anche per te...

Con il firewall, sicuramente: con l'antivirus dubito, visto che dal log di HThis non risulta tu abbia installato alcun antivirus.

Mmh -.- strano che non me lo becca... c'ho su NOD... Famme fare 'n controllo dei file va...

Secondo te ..... :)

La differenza tra follia e genio sta' nel risultato ottenuto... scaricalo e fammi sapere...

Ottima decisione (la prima).

Anche la seconda non e' male...

Ed installa un antivirus ;)

Ma ho su nod... strano che non me lo becca avviato...

E, già che ci sei (evita di rispondermi che non lo usi, perchè non ha alcuna importanza, considerato che ti serve per scaricare gli aggiornamenti da Windows Update) aggiorna Internet Explorer alla versione 7

Non lo uso ma mi sono dimenticato di questo... è vero...

Mmh -.- strano che non me lo becca... c'ho su NOD... Famme fare 'n controllo dei file va...
Ma ho su nod... strano che non me lo becca avviato...
Già ..... strano :cool: ..... ma non troppo, direi.
La differenza tra follia e genio sta' nel risultato ottenuto... scaricalo e fammi sapere...
Per principio sono contrario al peer to peer quindi non mi passa minimamente per la mente, di scaricare robaccia come Emule, Limeware, ecc. -.
Però ti posso assicurare che quell'exe, non è infetto.
Poi, sulla questione differenza tra follia e genio, lascio a te trarre le debite conclusioni: sono del parere che quando uno infetta il proprio P.C. sapendo di farlo, non è folle e neppure genio; è, semplicemente, un pirla.