Var gömmer sig Tenga.gen?

[Nekomata]

Hej!

 

Jag börjar tröttna totalt på ett virus som jag inte lyckas bli av med. Jag använder NOD32 antivirus och det upptäckte för ett tag sedan att massor av .exe filer smittats med Tenga.gen

 

Jag raderade alla filer och körde även ett annat antivirusprogram som påstods kolla och rensa registret.

 

Problemet är att trots att NOD32 nu inte hittar något virus vid en vanlig scanning så finns det kvar någonstans. Alla inkommande .exe filer smittas nämligen av viruset (då hittar NOD det).

 

Hur får jag bort eländet? Vill helst inte formatera alla hårddiskar men det är kanske enda alternativet? Det lyckades nämligen sprida sig från en hårddisk till en annan, där ingen av dem innehöll systemfiler så det ända jag kan komma på är att formatera precis allt. Men jag hoppas verkligen på att det finns något annat jag kan prova?

 

Jag gjorde en HijackThis scan om det kan ge några ledtrådar:

[log]Logfile of HijackThis v1.99.1

Scan saved at 15:29:34, on 2006-05-11

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\acs.exe

C:\WINDOWS\system32\spoolsv.exe

d:\Program Files\Diskeeper Corporation\Diskeeper\DkService.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

D:\Program Files\Eset\nod32krn.exe

C:\WINDOWS\system32\oodag.exe

C:\WINDOWS\system32\tcpsvcs.exe

C:\Program Files\NVIDIA Corporation\NvMixer\NVMixerTray.exe

D:\Program\D-Tools\daemon.exe

C:\Program Files\Java\jre1.5.0_01\bin\jusched.exe

D:\Program Files\Creative\Prodikeys\Prodload.exe

C:\Program Files\ATI Technologies\ATI.ACE\cli.exe

D:\Program Files\iTunes\iTunesHelper.exe

D:\Program Files\Logitech\MouseWare\system\em_exec.exe

D:\Program Files\Eset\nod32kui.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Messenger\msmsgs.exe

D:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE

C:\Program Files\iPod\bin\iPodService.exe

C:\Program Files\NETGEAR\WG311T\wlancfg5.exe

d:\PROGRA~1\MICROS~1\OFFICE11\OUTLOOK.EXE

C:\Program Files\ATI Technologies\ATI.ACE\cli.exe

C:\Program Files\ATI Technologies\ATI.ACE\cli.exe

C:\WINDOWS\System32\svchost.exe

d:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE

D:\Program\Firefox\firefox.exe

D:\Program Files\Miranda IM\miranda32.exe

D:\Program Files\Microsoft ActiveSync\WCESMgr.exe

C:\WINDOWS\system32\NOTEPAD.EXE

D:\Program Files\Eset\nod32.exe

C:\WINDOWS\system32\notepad.exe

D:\Program Files\Hijackthis\HijackThis.exe

C:\WINDOWS\system32\NOTEPAD.EXE

 

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Program\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O4 - HKLM\..\Run: [iMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32

O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC

O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName

O4 - HKLM\..\Run: [NVMixerTray] "C:\Program Files\NVIDIA Corporation\NvMixer\NVMixerTray.exe"

O4 - HKLM\..\Run: [DAEMON Tools-1033] "D:\Program\D-Tools\daemon.exe" -lang 1033

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [Outpost Firewall] C:\Program\Outpost Firewall\outpost.exe /waitservice

O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Program Files\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL

O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_01\bin\jusched.exe

O4 - HKLM\..\Run: [ProdikeysAutorun] "D:\Program Files\Creative\Prodikeys\Prodload.exe"

O4 - HKLM\..\Run: [ATIPTA] "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe"

O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay

O4 - HKLM\..\Run: [DiskeeperSystray] "d:\Program Files\Diskeeper Corporation\Diskeeper\DkIcon.exe"

O4 - HKLM\..\Run: [iTunesHelper] "D:\Program Files\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [QuickTime Task] "D:\Program\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [nod32kui] "D:\Program Files\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [H/PC Connection Agent] "D:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE"

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: NETGEAR WG311T Wireless Assistant.lnk = C:\Program Files\NETGEAR\WG311T\wlancfg5.exe

O8 - Extra context menu item: Download Using &BitSpirit - D:\BitSpirit\bsurl.htm

O8 - Extra context menu item: E&xport to Microsoft Excel - res://d:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_01\bin\npjpi150_01.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_01\bin\npjpi150_01.dll

O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - D:\Program Files\Microsoft ActiveSync\inetrepl.dll

O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - D:\Program Files\Microsoft ActiveSync\inetrepl.dll

O9 - Extra 'Tools' menuitem: Create Mobile Favorite... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - D:\Program Files\Microsoft ActiveSync\inetrepl.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - d:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll

O23 - Service: Atheros Configuration Service (ACS) - Unknown owner - C:\WINDOWS\system32\acs.exe

O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: Diskeeper - Diskeeper Corporation - d:\Program Files\Diskeeper Corporation\Diskeeper\DkService.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - D:\Program Files\Eset\nod32krn.exe

O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe[/log]

[inlägget ändrat 2006-05-11 15:34:04 av Nekomata]

[Cecilia]

Det enda jag hittar på internet på ett begripligt språk är denna sida:

http://forums.whirlpool.net.au/forum-replies-archive.cfm/463319.html

och det ser inte positivt ut, de verkar försöka med en massa anti-program men det verkar sluta med att stoppa in hårddisken i en annan dator och kopiera över de filer som är viktiga (inga .exe-filer som kan sprida smittan) och formatera sedan.

 

Men du verkar ju inte ha en massa .exe-filer som är smittade längre så det är kanske ett bättre utgångsläge. Var det normala Windows-filer som var smittade eller var det filer som normalt inte finns i datorn som var infekterade förut?

 

Se om någon annan skanning av datorn hittar något:

http://housecall.trendmicro.com/

http://security.symantec.com/

http://www.bitdefender.com/scan8/ie.html

http://www.pandasoftware.com/products/activescan/

 

[undercover]

Tror det är samma virus som den här tråden, med intruktioner:

//eforum.idg.se/viewmsg.asp?entriesid=733203#734084

 

Borde väl finnas ett första steg där också. Högerklicka på hårddisken och stänga av fildelningen. Annar är det nog omöjligt att bli av med skiten.

 

Borde finnas en beskrivning här, men jag får inte fram den

http://www.nod32.com/threat-center/pedia/w.htm

 

Av någon anledning envisas de olika antivirusprogramen med att använda olika namn.

Enligt symantec heter dom så här:

 

Backdoor.Win32.Small.gl [Kaspersky Lab], Virus.Win32.Tenga.a [Kaspersky Lab], BackDoor-CTM [McAfee], W32/Gael.worm.a [McAfee], W32/Tenga-A [sophos], PE_TENGA.A [Trend Micro]

 

 

http://vil.nai.com/vil/content/v_134857.htm

http://www.trendmicro.com/download/dcs.asp

 

 

[inlägget ändrat 2006-05-11 16:14:39 av undercover]

[Nekomata]

Tack för svaren. Det verkar verkligen inte helt lätt att bli av med det här eländet. Det har förstås lyckats sprida sig till alla mina tre datorer via nätverket har jag förstått nu.

 

Inga antivirusprogram hittar det förrän den smittar en ny .exe fil och det verkar som om den bara lyckas smitta filer när de skapas (när jag laddat ner ett program). Jag har provat att använda mig av Trend Micros Sysclean Package, men det lyckades uppenbarligen inte heller med att ta bort allt.

 

De filer som var smittade första gången jag upptäckte det var helt vanliga windows-filer.

 

Jag har stängt av fildelningen (inte för att det spelar så stor roll nu... )men vet inte riktigt hur jag ska göra nu, skulle verkligen vilja slippa formatera allt. Och hur kan jag vara säker på att det inte sprider sig vidare via de filer som jag trots allt verkligen vill spara word-document och sådant som är svårt att ersätta?

 

 

 

[inlägget ändrat 2006-05-14 23:13:27 av Nekomata]

[Cecilia]

Vad jag kan förstå av beskrivningarna hos t ex Trend Micro gällande PE_TENGA.A så smittar det endast exe-filer och inga andra filer som Word-dokument och bilder. Eftersom dokument och bilder inte körs utan det är ett program som tittar i sådana filer så är det meningslöst att infektera sådana filer eftersom smittan då aldrig kommer att köras och spridas vidare.

 

Hur fungerar din dator om du har raderat en massa vanliga exe-filer?

 

Om du i samband med att du laddar ner en fil säger att den ska ha en annan filändelse (Spara mål som) t ex .txt. Klarar den sig från att bli smittad då? Jag antar att du när nedladdningen är klar kan högerklicka på filen och välja att den ska genomsökas efter virus.

 

Du kan också pröva med att när du har laddat ner en exe-fil som Nod32 klagar på så låt den vara kvar och sedan så går du till den här sidan:

http://www.virustotal.com/en/indexf.html

och där bläddrar du fram filen och så får vi se vad några andra antivirusprogram säger om filen.

 

Det har dykt upp lite mer på internet om Tenga.gen nu.

http://www.wilderssecurity.com/showthread.php?p=747999

Läs särskilt posten #19 (sista just nu men det kan ju ändra sig).

Jag hittade denna beskrivning av SuperAntiSpyware på danska:

http://www.spywarefri.dk/manualer/superantispyware-manual.htm

Jag känner inte till programmet för övrigt, men det verkar vara en ny uppstickare. Jag vet ju inte om det hjälper mot Tenga.gen men du kan ju alltid pröva.

 

[Nekomata]

Anledningen till att jag är lite orolig är att jag redan har formaterat den hårddisk där viruset först uppträdde, men att det ändå lyckades sprida sig vidare genom de filer som jag räddade från den.

Men tyvärr så tror jag att jag var dum nog att få med någon .exe-fil från den så det var säkert så det spred sig vidare (det var innan jag förstått att NOD32 inte kan hitta det här viruset, jag scannade alla filer och trodde det var lugnt när den inte hittade något).

 

Ok nu förstår jag hur du menar med "vanliga windowsfiler". Nej jag har faktiskt haft sådan tur att den inte smittat några filer på den partition där operativsystemet ligger. Det verkar numera bara kunna smitta nya nedladdade filer.

 

Varje gång jag laddar ner en fil så scannar jag den med NOD32, men då hittas aldrig några virus. Viruset hittas inte förrän några timmar eller ibland till och med någon dag senare så det verkar som om de smittas med något slags fördröjning? Skulle det kunna vara så att de inte smittas förrän de körs första gången? Jag provar att spara en exe-fil som txt just nu, får se om den också blir smittad.

 

Jag ska testa sidan du tipsade om så fort en ny smittad fil hittas.

 

Ironiskt nog så fungerar alla tre datorerna finfint trots det här, hade inte NOD32 upptäckt de nya infektionerna så hade jag inte haft någon aning och inte störts alls av det. Men jag vill ju självklart bli av med det ändå.

 

Tack för tipset om fler sidor! Jag har haft svårt att hitta information om det här viruset. Jag testar instruktionerna från det forumet och ser om det hjälper.

[inlägget ändrat 2006-05-15 10:27:36 av Nekomata]

[Cecilia]

Varje gång jag laddar ner en fil så scannar jag den med NOD32, men då hittas aldrig några virus. Viruset hittas inte förrän några timmar eller ibland till och med någon dag senare så det verkar som om de smittas med något slags fördröjning? Skulle det kunna vara så att de inte smittas förrän de körs första gången? Jag provar att spara en exe-fil som txt just nu, får se om den också blir smittad.

OK, fick intrycket av att filen smittades i samband med nedladdningen eller möjligen uppackningen (om det var en zippad/packad fil).

 

[Nekomata]

OK, fick intrycket av att filen smittades i samband med nedladdningen eller möjligen uppackningen (om det var en zippad/packad fil).

 

Ja, förstår det. Ber om ursäkt för att jag beskrivit det hela lite dåligt. Det märklige är ju just att det bara är de nedladdade exe-filerna som smittas. Om jag laddar ner ett installationsprogram som jag sedan använder för att installera något så är det bara installationsfilen som smittas, inte det nya installerade programmet. Jag blir inte klok på hur det här viruset fungerar egentligen...

 

[Cecilia]

Det där konstiga beteendet har fått mig att undra om det är falsklarm, det är därför som jag tänkte det kunde vara bra att få en kontroll av en sådan fil på virustotal.com.

 

[Bubbe]

Jag undrar om du fått någon bukt med detta?

 

Har själv också detta, har också skrivit inlägg om det. Men inga framsteg!

 

Har upptäckt att set är en "setup.exe" och en "autorun.inf" som sprider sig inom nätverkets alla delade mappar som man tillåter andra användare att ändra i filerna.

 

Då jag samarbetar mycket mellan laptopen och den stationära måste jag ha detta val ibockat, annars blir allting fel.

 

Nu har jag komprimerat så jag har bara en mapp som delas ut på nätverket, men lik förbannat lägger sig denna "setup.exe" där, och NOD32 gnäller om "Tenga.gen" i denna fil.

 

Så jag undrar om du fann någon lösning på detta?

 

 

[Anders N]

Vilka andra datorer finns i nätverket? Någon av dem är infekterad.

 

Det bästa är även att inte tillåta alla att komma åt utdelningen, utan att bara tillåta det för vissa användare.

 

[Bubbe]

Hej!

 

Det är:

 

1. Min stationära dator

2. Min laptop

 

Eftersom jag arbetar med textredigering, så måste jag ha en mapp som delas för båda datorerna då jag inte alltid sitter vid samma dator och arbetar. Så det är ett måste.

 

Båda datorerna är infekterade av dessa "setup.exe" och "autorun.inf".

Tar man bort dem, kommer de bara tillbaka strax igen.

 

Jag kör NOD32 och Outpost. Har precis gjort en omstart i felsäkert läge och scannat med NOD32, Windows SpeedStartup och Spyware Doctor.

Men inget gnäll om dessa filer, TROTS att de ligger där!

 

Måste jag verkligen formatera om alltihop samtidigt???

 

 

EDIT: Har skrivit det i tidigare inlägg, men upprepar: setup.exe och autorun.inf lägger sig endast i utdelade mappar.

[inlägget ändrat 2007-01-08 08:21:15 av Bubbe]

[Cecilia]

Du kan ju se om tipsen i inlägget daterat 09/09/2006 08:05PM PDT hjälper:

http://www.experts-exchange.com/Security/Q_21965784.html

Det är troligen viktigt att du bryter anslutningen mellan datorerna och så rensar dem var för sig så att de är rena när du kopplar ihop dem igen.

 

[Bubbe]

Tack, men jag måste vara blind!

Jag ser inget annat än hans fråga och "view solution", där man kommer till en betalsida...

 

 

 

[Cecilia]

Jag skrollar bara ner och så kommer det fram svar.

 

[Bubbe]

Ahahaha!

 

Sorry - jag måste ha fått för lite kaffe då jag skrev det!

Hittade det utan problem nu!

 

Typiskt. Ja - TACK!

 

 

[Cecilia]

Tack för poängen!

Jag hoppas att du får ordning på datorerna!