Win32/Tenga.A

[kalius]

D'accordo su questo. Ma i Trojan in teoria dovrebbero essere rilevati dai vari antivirus... Qui invece con Nod32,AVG Free, Kaspersky 5 non si ottiene nulla...
Inoltre utilizzo un firewall hardware insieme al router... e molti utenti hanno anche il firewall a livello software che non serve a nulla.
quindi come è possibile...


Da notare che il system restore degli HD è ovviamente disattivato.

Dio stramaledica la Microsoft, per i suoi S.O. pieni di bug...


Per adesso cmq è tutto tranquillo, come il lungo respiro prima del salto. Spero vada tutto bene.

Se va per 2-3 settimane senza problemi, posto la soluzione in maniera definitiva, altrimenti torno qui a bestemmiare

[T-odio]

Forse trovata una soluzione o meglio una toppa per risolvere.

Controllate su questo sito le vostre porte aperte "https://grc.com/x/ne.dll?bh0bkyd2", ed eventualmente scaricate il programma Windows Worms Doors Cleaner (wwdc) per chiudere le porte dove in il tenga va ad agire.
a me sembra che stia funzionando.
Se volete i link dove ho preso la notizia scrivetemi in pvt

[peppogio]

Quote:

Originariamente inviato da T-odio

https://grc.com/x/ne.dll?bh0bkyd2

Il mio scan... Sembra tutto chiuso. A te da qualche porta aperta?

Codice:

GRC Port Authority Report created on UTC: 2005-10-26 at 15:42:10

Results from scan of ports: 0-1055

    0 Ports Open
    0 Ports Closed
 1056 Ports Stealth
---------------------
 1056 Ports Tested

ALL PORTS tested were found to be: STEALTH.

TruStealth: FAILED - ALL tested ports were STEALTH,
                   - NO unsolicited packets were received,
                   - A PING REPLY (ICMP Echo) WAS RECEIVED.

EDIT: azz... sono tutte raggiungibili...

[T-odio]

con firewall di xp ho tutto in stealth con kerio tutto chiuso tranne 3 o 4 porte.
Prova col programma a disabilitare le voci io per ora (mi tocco le p@ll3) non ho avuto più problemi

[kalius]

GRC Port Authority Report created on UTC: 2005-10-26 at 18:06:20

Results from scan of ports: 0-1055

0 Ports Open
0 Ports Closed
1056 Ports Stealth
---------------------
1056 Ports Tested

ALL PORTS tested were found to be: STEALTH.

TruStealth: PASSED - ALL tested ports were STEALTH,
- NO unsolicited packets were received,
- NO Ping reply (ICMP Echo) was received.


Dovrei essere ok anch'io. Per ora nessun problema, incrociamo le dita...

[peppogio]

Se disabilito tutto con Windows Worms Doors Cleaner la WLAN non mi va più.

[fester40]

Prova a riattivare netBIOS; credo che sia indispensabile nel tuo caso.

[matteo1]

Quote:

Originariamente inviato da peppogio

Se disabilito tutto con Windows Worms Doors Cleaner la WLAN non mi va più.

135 e 137 vanno lasciate aperte da wwdc,per la lan.Tanto puoi sempre dare un comando tipo
net stop netbt
per chiudere la lan quando non serve.

[kalius]

A me la LAN funziona benissimo, sia in modalità wireless che via cavo... ANche con netbios disattivato e porte chiuse.

Basta solo mettere ip fisso sulle macchine e basta. Il tutto è ovviamente collegato ad un router

[kalius]

ragazzi a me il problema non si è + presentato, a voi?

[peppogio]

Quote:

Originariamente inviato da kalius

ragazzi a me il problema non si è + presentato, a voi?

Mmm... io non ti posso rispondere... non ho più eseguibili sull'hd colpito...
Potrei lasciarne uno a fare da esca...

[kalius]

dai forza almeno si prova... ho idea cmq che sto virus sfruttasse o la vulnerabilità DCOM/RPC o UPnP... il problema è che io per sicurezza ho chiuso tutto e va tutto alla grande, tranne il windows update e gli agg automatici da windows...

Prticamente quando lancio il win update mi da solo una pagina bianca.

Ricordo che quando usai WWDC, mi avertì sul fatto che se chiudevo (mi pare) 1 di questi processi completamente (comprese le porte) gli aggiornamenti automatici e il win update non andavano più.

Solo che io ho fatto diverse prove e non riesco + a rirpistinare la vecchia situazione...

Come faccio?

[peppogio]

Riusa il programma.
Apri le porta e riavvii.

[T-odio]

Quote:

Originariamente inviato da kalius

dai forza almeno si prova... ho idea cmq che sto virus sfruttasse o la vulnerabilità DCOM/RPC o UPnP... il problema è che io per sicurezza ho chiuso tutto e va tutto alla grande, tranne il windows update e gli agg automatici da windows...

Prticamente quando lancio il win update mi da solo una pagina bianca.

Ricordo che quando usai WWDC, mi avertì sul fatto che se chiudevo (mi pare) 1 di questi processi completamente (comprese le porte) gli aggiornamenti automatici e il win update non andavano più.

Solo che io ho fatto diverse prove e non riesco + a rirpistinare la vecchia situazione...

Come faccio?

Ma scusate raga ma qual'è le porte DCOM/RPC o UPnP che bisogna o meglio che è consigliato lasciare chiuse.
io uso il kerio e ho visto che ho parecchie richieste sulla 135 e 137.
siccome qualche servizio non mi funziona non vorrei dipendesse da quello però ho paura di aprirle e fare una cassata

[sauzer123]

Quote:

Originariamente inviato da kalius

La cosa bella è che questo virus per infettare utilizza dei file chiamati

GAELICUM.EXE
cback.exe
dl.exe


(mi sembra)

Ora, questi file sul mio pc non sono presenti! Ne su quello di molti.

io ho lo stesso problema... non ho nessun file chiamato cosi' sui miei HD, ne' in esecuzione... in compenso a me compare ogni tanto in C: una cosa chiamata MSNCHECKER.EXE che viene riconosciuta dal Kapersky come un virus... capita ad altrri?

[sauzer123]

aggiungo una cosa che mi e' capitata prima...

avevo il kapersky attivo (ma non il firewall, per alcuni giorni non posso). improvvisamente mi segnala che un exe e' infettato dal tenga.a, e gli dico di ripulirlo. subito dopo mi segnala che un altro exe era infettato, e gli dico di ripulire anche quello. per farla corta, tenga.a stava infettatndo tutti gli exe, dalla A alla Z, delle varie directory dove ho installato i programmi. e la cosa strana e' che l'hijack non segnalava niente, e neppure a kapersky risultavano virus in azione nella memoria.
dopo ho fatto un reboot e nelle ultime ore nessun problema con il tenga.a... ora quello che mi chiedo e'... ma come cavolo faceva ad infettare quei files se non risultava attivo?

ps uso xp pro sp2

[mabocrack]

ritorna a colpire... pure sul mio pc con nod32 + outposto firewall pro entarmbi aggiornati giornalmente (il nod32 ogni ora impostato da me)... qualcuno deve aver ingaggiato per danneggiare ESET sto pensando io... è da 10 mesi che circola sto virus!!!!!!! : mad:

[T-odio]

Quote:

Originariamente inviato da mabocrack

ritorna a colpire... pure sul mio pc con nod32 + outposto firewall pro entarmbi aggiornati giornalmente (il nod32 ogni ora impostato da me)... qualcuno deve aver ingaggiato per danneggiare ESET sto pensando io... è da 10 mesi che circola sto virus!!!!!!! : mad:

nod32 non c'entra nulla, il problema è del firewall.
prova il programma che ho postato Windows Worm Door Cleaner
io con quello (e mi sembra non solo io) ho risolto il problema

[mabocrack]

ottimo sitp ed ottimo programma

purtroppo però ho il bisogno di avere 3 pc in lan collegati ad internet che si possano vedere tra di loro.

Il solo e unico pc che è stato colpito dal tenga (tra l'altro è un worm italiano e se becco chi lo ha fatto lo prendo a calci ) è stato quello con nod32 gli altri 2 pc non hanno firewall solo Norton System Works.

Ciao

[Felo^]

Anche io ho beccato questo bastardo!
Nell'arco di 4 giorni mi è scattato 2 volte l'allarme di avast che ha eliminato alcuni archivi di winrar autoestraenti con estensione .exe.
Per ora il problema è circoscritto solo ad una cartella...spero che nn mi infetti anche il resto...
Ho fatto un paio di scansioni ma nn becca + niente!
Scusate ma infetta solo i file con estensione .exe?
Riesce ad infettare i .exe anche all'interno di un archivio .rar?
Per i setup dei programmi che ho archiviati, ho pensato di fare un archivio .rar con password, che dite può infettarli lo stesso?
Qualcuno sarebbe poi così gentile da indicarmi quali aggiornamenti critici bisogna installare su winxppro...