|
|
Rank: AiutAmico
Iscritto dal : 1/15/2012
Posts: 72
|
Qualche mese fa mi sono beccato questo virus Tenga, visto che avevo altri problemi ho portato la macchina da un conoscente che ha formattato il tutto e reinstallato il dual boot con Win7 e WinXP. Purtroppo ieri sera con Win7 attivo il virus è ricomparso e mi ha distrutto una buona parte degli exe presenti sul secondo HD che contiene solo dati. Visto che la formattazione non è bastata e che sarebbe una vera rogna dover ripartire per l'ennesima volta da 0 vorrei estirpare questo maledetto virus una volta per tutte, ho trovato una guida a questo link : http://forum.aiutamici.com/yaf_postsm470030_virus-tengab.aspx#470030 Il post è vecchio di ben 5 anni e ho constatato che diversi link e rimandi, otre ai programmi consigliati, non sono più validi. Qualcuno ha una soluzione da indicarmi, mi sembra impossibile che non esista ancora un sistema per un virus vecchio di 7 anni. I 2 sistemi operativi sono Win7 SP1 32 bit e WinXP SP3 32 bit, l'antivirus è Avast free edition.
|
|
|
|
|
|
Rank: AiutAmico
Iscritto dal : 8/7/2007
Posts: 11,016
|
Ciao. Commenta:Visto che la formattazione non è bastata e che sarebbe una vera rogna dover ripartire per l'ennesima volta da 0 La vera rogna, sarebbe tentare di risistemare il pc. Quell'infezione è una delle più cattive che ci sia. Elimina tutti gli eseguibili che trova, compresi quelli che si tenta di scaricare. Senza contare che se elimina eseguibili di sistema, poi bisogna ripristinarli. Fai prima a riformattare tutto (per tutto intendo le 2 partizioni in cui risiedono i 2 S.O) e per sicurezza tutte le periferiche che hai usato ultimamente. Ti garantisco che per la bonifica serve: tempo (parecchio) e pazienza (di più). E il risultato positivo, non è garantito. Vedi tu cosa fare.
|
|
Rank: AiutAmico
Iscritto dal : 1/15/2012
Posts: 72
|
Grazie. Però una formattazione (a basso livello) era già stata fatta sull'hard disk dove risiedono i due S.O., con ripartizioni diverse, a Giugno di quest'anno e dopo 6 mesi il virus è ricomparso. Se formatto e reinstallo dopo questa esperienza mi chiedo se basta. Per periferiche intendi gli HD esterni o USB ? Mi sembra strano perchè le uso tutte regolarmente su altri 2 PC in ufficio e non hanno mai provocato danni.
Per tentare la bonifica cosa dovrei fare ?
|
|
Rank: AiutAmico
Iscritto dal : 8/7/2007
Posts: 11,016
|
Ciao e Buone Feste. Commenta:e dopo 6 mesi il virus è ricomparso. Lo avrai riscaricato da qualche parte. Ti assicuro che non ci mette tutto quel tempo per attivarsi. Commenta:Per periferiche intendi gli HD esterni o USB ? Sì, infetta pure gli HD e chiavette. (gli basta trovare un eseguibile per diffondere l'infezione) Commenta:Per tentare la bonifica cosa dovrei fare ? Disattivare il Ripristino configurazione sistema. (avrà infettato tutti i punti di ripristino.) Fare queste 2 scansioni: Kaspersky Removal Tool: http://www.kaspersky.com/antivirus-removal-tool?form=1Oltre a trovare le spunte di default, metti la spunta anche su "Computer" o "Risorse del computer." Scarica sul desktop DoctorWeb: (in fondo pagina trovi il Download) http://www.drweb-antivirus.it/index.php?option=com_content&task=view&id=3&Itemid=0Clicca su Avvia. Farà una scansione preliminare. Quando sarà finita, seleziona Scansione completa e clicca sul triangolino verde. Se trova infezioni, usa il tasto " Cure", se non riesce a curarle mettile in quarantena. Non postare il log (sarà lunghissimo) posta solo gli eventuali file infetti che trova. Il log lo trovi in: C:\Documents and Settings\nomeutente\DoctorWeb\CureIt.log Armati di santa pazienza: le scansioni possono durare delle ore. N.B:Le scansioni devono essere a "computer dedicato". Significa scollegato dalla rete, e con antivirurs disattivato, più tutti i software in " tempo reale" disattivati (Es: il firewall )
|
|
Rank: AiutAmico
Iscritto dal : 1/15/2012
Posts: 72
|
La pazienza ce la metto ... per forza, tanto tra reinstallare e configurare ci metterei dei giorni invece che ore.
Quattro domande.
1 Dopo aver Disattivato il Ripristino configurazione sistema, devo avviare in modalità provvisoria per eseguire la scansione o va bene anche nella modalità normale ?
2 Computer dedicato : disattivo l'antivirus fermo il firewalle anche Spybot immagino ? Quali altri programmi possono essere in tempo reale ? Altre protezioni non ne ho.
3 Come devo fare con le periferiche ?
Posso scansionarle e salvare prima quello che mi serve e poi formattare ?
Se sulle periferiche ci sono solo .avi .mp3 .xls .jpeg o documenti in genere e non ci sono eseguibili posso farne a meno ?
4 Come posso fare ad averlo ripreso ? Specifico che non frequento siti a rischio, non scarico programmi da siti dubbi e come 6 mesi fa il virus è partito con PC acceso con 1 pagina di explorer sulla home page di Google e uTorrent attivo su un download. Torrent linkato da TNT, sito pulito da queste porcherie. Se per miracolo riuscissi a uscirne vorrei evitare di prendermi di nuovo 'sta lebbra ...
Grazie e auguri anche a te e tutti gli esperti di AiutaAmici.
|
|
Rank: AiutAmico
Iscritto dal : 8/7/2007
Posts: 11,016
|
Commenta:1 Dopo aver Disattivato il Ripristino configurazione sistema, devo avviare in modalità provvisoria per eseguire la scansione o va bene anche nella modalità normale ? Modalità normale. Commenta:2 Computer dedicato : disattivo l'antivirus fermo il firewalle anche Spybot immagino ? Quali altri programmi possono essere in tempo reale ? Altre protezioni non ne ho. Puoi anche disistallarli. Anzi, per te è meglio, la scansione può risultare più corta. Inoltre, senza connessione sei più sicuro di non prendere infezioni. Commenta:3 Come devo fare con le periferiche ? Posso scansionarle e salvare prima quello che mi serve e poi formattare ?
Prima pensa al pc. Poi alle periferiche. In ogni caso NON inserirle nel pc. Commenta:4 Come posso fare ad averlo ripreso ? Domanda da 1 milione di euro..... Io sò solo che formattando (e per giunta a "basso livello")il virus non può essere sopravissuto. A meno che, non abbia creato una piccola partizione per i "azzi suoi, e tu non lo sai. Ma non mi risulta che questo virus crei anche partizioni. Il virus, si propaga per la rete. Se trova vulnerabilità in un S.O.....sei fottuto. Commenta:Se per miracolo riuscissi a uscirne vorrei evitare di prendermi di nuovo 'sta lebbra ... Vediamo se riusciamo nel "miracolo."
|
|
Rank: AiutAmico
Iscritto dal : 1/15/2012
Posts: 72
|
Bene questa sera inizio, poi posterò gli aggiornamenti sul lavoro, per ora grazie mille, ciao.
|
|
Rank: AiutAmico
Iscritto dal : 8/7/2007
Posts: 11,016
|
Tengo a precisare, che l'ideale sarebbe che tu comunicassi con la rete con un pc pulito, e "il malato" lo lasciassi "in ospedale".
Per essere più chiaro, sarebbe meglio non usarlo per la rete.
Sempre se puoi fare questo.
|
|
Rank: AiutAmico
Iscritto dal : 1/15/2012
Posts: 72
|
Per fortuna posso farlo con un portatile vecchio e lento ma che funziona.
E' collegato sulla stessa LAN, ma gli ho fatto una scansione completa poi un'altra completa ma all'avvio con AVAST e non mi ha segnalato nulla.
Mi è venuta in mente una cosa, il PC infettato ha un dual boot anche con WIN XP che non ho più attivato dopo l'infezione, finito, spero con esito OK su Win 7, è consigliabile rifare il tutto sull'altro S.O. ?
|
|
Rank: AiutAmico
Iscritto dal : 1/5/2012
Posts: 4,102
|
spock57 ha scritto:...... Se per miracolo riuscissi a uscirne vorrei evitare di prendermi di nuovo 'sta lebbra ...
Ciao e permettetemi di dire la mia. Per evitare di riprendere l'infezione bisognerebbe capire se l'antivirus che hai è in grado di farlo (la cosa interessa anche a me perchè anche io uso Avast) Per risolvere una nuova eventualità del genere la soluzione può essere un copia di sistema (sicuramente pulita) da ripristinare senza formattare. In qualsiasi modo te la caverai prendila poi in considerazione. Alberto.
|
|
Rank: AiutAmico
Iscritto dal : 8/7/2007
Posts: 11,016
|
Commenta:finito, spero con esito OK su Win 7, è consigliabile rifare il tutto sull'altro S.O. ? Quanta fretta...... Affrontiamo un problema per volta. Comincia con le scansioni sul pc infetto, e vediamo cosa trova. @ciocca956Commenta:Per evitare di riprendere l'infezione bisognerebbe capire se l'antivirus che hai è in grado di farlo (la cosa interessa anche a me perchè anche io uso Avast) Sì lo rileva, ma quando è troppo tardi. (il primo che infetta è proprio l'antivirus) Il virus di solito si trasmette nelle cartelle condivise in uso sui p2p.
|
|
Rank: AiutAmico
Iscritto dal : 1/5/2012
Posts: 4,102
|
r16 ha scritto:
Sì lo rileva, ma quando è troppo tardi. (il primo che infetta è proprio l'antivirus)
Il virus di solito si trasmette nelle cartelle condivise in uso sui p2p. Grazie R16 e buono a sapersi. Alberto.
|
|
Rank: AiutAmico
Iscritto dal : 1/15/2012
Posts: 72
|
ciocca956 ha scritto:Per risolvere una nuova eventualità del genere la soluzione può essere un copia di sistema (sicuramente pulita) da ripristinare senza formattare.
In qualsiasi modo te la caverai prendila poi in considerazione.
Non ci crederai, ma l'avevo fatta poche ore prima con Macrium Reflect che stavo provando, ma visto il guaio non mi fido assolutamente sul fatto che sia pulita, per quanto ne so potrebbe essere infettata pure l'immagine del S.O. r16 : Secondo te, il fatto che io abbia tutti e 2 i dischi del PC condivisi sulla mia rete LAN (per collegarmi con il portatile) non è una gran bella idea per prevenire questo virus vero ?
|
|
Rank: AiutAmico
Iscritto dal : 8/7/2007
Posts: 11,016
|
Commenta:r16 : Secondo te, il fatto che io abbia tutti e 2 i dischi del PC condivisi sulla mia rete LAN (per collegarmi con il portatile) non è una gran bella idea per prevenire questo virus vero ? No, non è una brillante idea, visto che detto virus si propaga anche per la rete, infettando i pc.
|
|
Rank: AiutAmico
Iscritto dal : 1/15/2012
Posts: 72
|
Ho finito ora di eseguire le scansioni come da te indicato.
Kaspersky non ha rilevato nulla, ho solo notato dei files che erano "Protetti da pwd"
Alcune decine di files tutti nel disco (H) dove risiedono i dati sotto la directory System Volume Information, più 2 file sempre su H e altri 2 sul disco (D) dove risiede l'altro S.O. che sono 4 files zippati di installazione e che conosco.
Dr.Web con la scansione veloce ha rilevato un'infezione e l'ha curata.
Si tratta di hosts minaccia possibile in C\Windows\System 32\Drivers\etc
Con la scansione completa ho fatto verificare qualsiasi cosa (tranne il masterizzatore ...) e ha rilevato :
A0018360.exe Adware.Downware.562 in D\System Volume Information\restore....exe SPOSTATO
A0016888.dll IRC.Flood in H\System Volume Information\restore....dll ELIMINATO
Ho notato che in cima al file di log parla di "88 virus bases are loaded from C\Users\Utente\AppData\Local\Temp\375625EA-AB345A9C-A0CD63B6-735E0C7E
Al termine ho riavviato, le 3 minacce di cui sopra sono tutte nel GESTORE QUARANTENA.
Ora come procedo ?
|
|
Rank: AiutAmico
Iscritto dal : 8/7/2007
Posts: 11,016
|
Commenta:sotto la directory System Volume Information
Controlla se il Ripristino configurazione sistema è disattivato. (di tutti i dischi) Se è attivato, disattivalo, e lascialo disattivato. Commenta:Ho notato che in cima al file di log parla di "88 virus bases are loaded from C\Users\Utente\AppData\Local\Temp\375625EA-AB345A9C-A0CD63B6-735E0C7E Segui il percorso e svuota la cartella Temp. Svuota anche il cestino. Scarica Combofix (usa Internet Explorer) http://download.bleepingcomputer.com/sUBs/ComboFix.exeSalvalo sul desktop. ( è obbligatorio) Importante: Disabilita il tuo antivirus e chiudi TUTTI i programmi aperti,(Firewall compreso) e dopo aver scaricato COMBOFIX, chiudi la connessione. Doppio click su combofix.exe (se usi Vista o Seven: tasto destro su Combofix.exe e clicca su: " Esegui come Amministratore" ) Se ti verrà chiesto se vuoi Installare LA CONSOLE DI RIPRISTINO DI EMERGENZA, clicca NO. E' probabile che ti siano inviati messaggi dall'antivirus,(o dallo stesso Combofix) tu ignorali, e prosegui con la scansione.Durante l'operazione di scansione è importante non usare il PC (neanche il mouse) e attendere pazientemente la fine delle operazioni. Al termine, verrà creato un file log sul Desktop, chiamato C:\ComboFix.txt. Postalo qui. Per postare il log: Collegati ad internet e vai alla pagina WikiSend: http://www.wikisend.com/ Clicca sul bottone " Sfoglia" Seleziona il file appena salvato Clicca su Upload file Dopo qualche secondo, vieni spostato su una nuova pagina con il link in diversi formati: Download Link / Forum Link Seleziona Forum Link, copialo e incollalo in un nuovo messaggio per il forum.
|
|
Rank: AiutAmico
Iscritto dal : 1/15/2012
Posts: 72
|
|
|
Rank: AiutAmico
Iscritto dal : 8/7/2007
Posts: 11,016
|
Guarda che mi hai spedito l'eseguibile di Combofix, non il log.
Se hai difficoltà, copia il log e incollalo qui.
|
|
Rank: AiutAmico
Iscritto dal : 1/15/2012
Posts: 72
|
Si, ho fatto una min.... me ne sono accorto contemporaneamente a te, scusa, ma è che sono 3 notti ke non dormo, 1 x l'incazzatura, 1 x cercare soluzioni in rete e 1 x mio figlio che non voleva stare da solo Ora c'è il link giusto. ComboFix.txtP.S. Da quando ho iniziato la "cura" il mio PC è senza antivirus, con firewall windows disattivo, ripristino disattivato su tutti i dischi e col cavo lan staccato (non si sa mai, visto che ho una demente in casa...) P.P.S. Sono andato in C\Users\Utente\AppData\Local\Temp\ e ho cancellato quello che ho trovato tranne FXSAPIDebugLog.File perchè è aperto in Esplora Risorse e se fermo Esplora Risorse non vedo più niente. Ho notato che quanto cancellato è tornato al riavvio. Questo è quanto ho cancellato ed è tornato al riavvio. 2 cartelle "LCFEM" e "WPDNSE" poi i files DF12F468AC33B3F27.TMP DF20F082D88BC389DA.TMP DFAB7CC66ADE30A4DF.TMP AdobeAem.log ArmUI.ini e jusched.log Ho anche rilanciato il Combo Fix e questo è il secondo log : ComboFix2.txt
|
|
|
Guest |