Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Virus.Win32.Tenga.A sehr hartnäckig

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 21.06.2007, 13:46   #1
Wiskey
 
Virus.Win32.Tenga.A sehr hartnäckig - Standard

Virus.Win32.Tenga.A sehr hartnäckig



Liebe Freunde,

mich plagt nun schon zum 2. Mal ein Virus namens Virus.Win32.Tenga.A (G-Data Bezeichnung auch bekannt unter Gaelicum, Stanit…). Das Problem ist, dass sich das Ding nur temporär verbreitet. Also mit einem Mal meldet mein G-Data AV den Befall von 10-15 Dateien, alles *.exe. Und anscheinend befällt der Virus pro Platte, die *.exe die in der alphabetischen Ordnerstruktur als erste kommen.
Ok, die befallenen Dateien kann ich finden und bearbeiten/löschen, was auch immer. Mein Problem ist die „Quelle“ des Ausbruchs. Denn trotz einmaligem Neuaufbau des Rechners habe ich das Ding wieder. Also wieder die *.exe gekillt und dann nach der „Quelle“ gesucht. Aber nach dem Löschen der *.exen, hat kein AV oder Malwareprogramm, das ich benutzt habe noch was gemeldet. Auch ein Scan von G-Data unter Linux lief ins Leere. Natürlich auch die Scans im gesicherten Modus. Ich bin mir aber sicher, dass das Ding noch da ist, erstens weil das das erste mal auch angeblich wieder weg war und zweitens, weil alle infizierten Dateien in „Alten Archiven“ lagen und seit Monaten nicht aktiviert waren. Also muss es noch einen Datei, einen Prozess oder sonst was geben, der der Übeltäter ist.
Auch Sophos und Kapersky haben nicht mehr als die infizierten *.exe Dateien gefunden (Sind mittlerweile alle gelöscht und die Scans sind alle ohne Fund). Jetzt habe ich also das Problem, dass ich wieder alles plätten kann, nur um dann das Ding anschließend wieder zu haben :-(
Anbei mal mein Hijack file, die automatische Auswertung hat mir nicht sehr geholfen, bin da aber vielleicht auch zu wenig bewandert… Leider hat mir mein teurer Kundenstatus bei G-Data auch nicht viel geholfen, außer der Aussage, dass „es sich um einen hartnäckigen Virus handelt…und ich doch mal HijackThis benutzten soll.“ Ich wäre happy, wenn Ihr mir helfen könnt und wenn ihr mehr Details (logfiles etc.) braucht, sagt mir wie ich sie erzeuge und ich stelle sie ein.
Und ja, ich habe momentan einige AV-Progis drauf, aber irgendwie wird man ja auch misstrauisch…

Logfile of HijackThis v1.99.1
Scan saved at 15:33:38, on 19.06.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16473)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
c:\Programme\Sophos\Sophos Anti-Virus\SavService.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\WLTRYSVC.EXE
C:\WINDOWS\System32\bcmwltry.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\a-squared Anti-Malware\a2service.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\G DATA InternetSecurity\AVK\AVKService.exe
C:\Programme\G DATA InternetSecurity\AVK\AVKWCtl.exe
C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\Programme\Gemeinsame Dateien\Creative Labs Shared\Service\CreativeLicensing.exe
c:\Programme\Sophos\Sophos Anti-Virus\SAVAdminService.exe
c:\Programme\Sophos\AutoUpdate\ALsvc.exe
C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe
C:\Programme\G DATA InternetSecurity\Firewall\GDFwSvc.exe
C:\WINDOWS\stsystra.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Dell\QuickSet\quickset.exe
C:\WINDOWS\system32\WLTRAY.exe
C:\Programme\Creative\Mixer\CTSVolFE.exe
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe
C:\Programme\Dell\MediaDirect\PCMService.exe
C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe
C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\G DATA InternetSecurity\AVKTray\AVKTray.exe
C:\Programme\a-squared Anti-Malware\a2guard.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\NetWaiting\netwaiting.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
C:\Programme\Sophos\AutoUpdate\ALMon.exe
C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe
C:\Programme\Digital Line Detect\DLG.exe
C:\Programme\G DATA InternetSecurity\Firewall\GDFirewallTray.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe
C:\PROGRA~1\WIDCOMM\BLUETO~1\BTSTAC~1.EXE
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Web Companion\2007\ENCWCSVR.EXE
C:\WINDOWS\ISW\alice\signup\alicecnn.exe
C:\PROGRA~1\INTERN~1\IEXPLORE.EXE
D:\download\anti vir\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = w*w.google.de/ig/dell?hl=de&client=dell-row&channel=de&ibd=4061205
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**t://w*w.alice-dsl.de/index.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**t://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**t://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**t://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**t://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Page_URL = w*w.google.de/ig/dell?hl=de&client=dell-row&channel=de&ibd=4061205
O2 - BHO: G DATA WebFilter Class - {0124123D-61B4-456f-AF86-78C53A0790C5} - C:\Programme\G DATA InternetSecurity\Webfilter\AVKWebIE.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\PROGRA~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Hilfsobjekt für Encarta Web-Begleiter - {955BE0B8-BC85-4CAF-856E-8E0D8B610560} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Web Companion\2007\ENCWCBAR.DLL
O2 - BHO: Browser Address Error Redirector - {CA6319C0-31B7-401E-A518-A07C3DB8F777} - C:\Programme\BAE\BAE.dll
O3 - Toolbar: G DATA WebFilter - {0124123D-61B4-456f-AF86-78C53A0790C5} - C:\Programme\G DATA InternetSecurity\Webfilter\AVKWebIE.dll
O3 - Toolbar: Encarta Web-Begleiter - {147D6308-0614-4112-89B1-31402F9B82C4} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Web Companion\2007\ENCWCBAR.DLL
O4 - HKLM\..\Run: [SigmatelSysTrayApp] stsystra.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Dell QuickSet] C:\Programme\Dell\QuickSet\quickset.exe
O4 - HKLM\..\Run: [Broadcom Wireless Manager UI] C:\WINDOWS\system32\WLTRAY.exe
O4 - HKLM\..\Run: [CTSVolFE.exe] "C:\Programme\Creative\Mixer\CTSVolFE.exe" /r
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [PCMService] "C:\Programme\Dell\MediaDirect\PCMService.exe"
O4 - HKLM\..\Run: [MSKDetectorExe] C:\Programme\McAfee\SpamKiller\MSKDetct.exe /uninstall
O4 - HKLM\..\Run: [SmartSync - ScheduleSync] C:\PROGRA~1\MOBILE~1\SMARTS~1\SCHEDU~1.EXE
O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe
O4 - HKLM\..\Run: [AcronisTimounterMonitor] C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [OSSelectorReinstall] C:\Programme\Gemeinsame Dateien\Acronis\Acronis Disk Director\oss_reinstall.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [PSDrvCheck] C:\WINDOWS\system32\PSDrvCheck.exe
O4 - HKLM\..\Run: [AVKTray] "C:\Programme\G DATA InternetSecurity\AVKTray\AVKTray.exe"
O4 - HKLM\..\Run: [a-squared] "C:\Programme\a-squared Anti-Malware\a2guard.exe" /d=60
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [ModemOnHold] C:\Programme\NetWaiting\netwaiting.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - Global Startup: AutoUpdate Monitor.lnk = C:\Programme\Sophos\AutoUpdate\ALMon.exe
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: Digital Line Detect.lnk = ?
O4 - Global Startup: G DATA Firewall Tray.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Senden an &Bluetooth-Gerät... - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\PROGRA~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Encarta Suchleiste - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - h**t://w*w.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h**t://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{F9BBA4AE-BF51-40EB-9D39-53BF487212D0}: NameServer = 213.191.74.19 213.191.92.87
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: a-squared Anti-Malware Service (a2AntiMalware) - Emsi Software GmbH - C:\Programme\a-squared Anti-Malware\a2service.exe
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AVKProxy - G DATA Software AG - C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe
O23 - Service: AVK Service (AVKService) - G DATA Software AG - C:\Programme\G DATA InternetSecurity\AVK\AVKService.exe
O23 - Service: AVK Wächter (AVKWCtl) - Unknown owner - C:\Programme\G DATA InternetSecurity\AVK\AVKWCtl.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: Creative Labs Licensing Service - Creative Labs - C:\Programme\Gemeinsame Dateien\Creative Labs Shared\Service\CreativeLicensing.exe
O23 - Service: G DATA Personal Firewall (GDFwSvc) - Unknown owner - C:\Programme\G DATA InternetSecurity\Firewall\GDFwSvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: Sophos Anti-Virus Statusreporter (SAVAdminService) - Sophos Plc - c:\Programme\Sophos\Sophos Anti-Virus\SAVAdminService.exe
O23 - Service: Sophos Anti-Virus (SAVService) - Sophos Plc - c:\Programme\Sophos\Sophos Anti-Virus\SavService.exe
O23 - Service: Sophos AutoUpdate Service - Sophos Plc - c:\Programme\Sophos\AutoUpdate\ALsvc.exe
O23 - Service: Dell Wireless WLAN Tray Service (wltrysvc) - Unknown owner - C:\WINDOWS\System32\WLTRYSVC.EXE

Ich weiß auch das das Ding schon älter ist, aber die Lösungen die anderen geholfen haben oder auch nicht, waren bei mir bisher halt wenig erfolgreich :-(
Cheers
Wiskey

Alt 21.06.2007, 14:25   #2
Rene-gad
 
Virus.Win32.Tenga.A sehr hartnäckig - Standard

Virus.Win32.Tenga.A sehr hartnäckig



@Wiskey
Der Log sieht absolut musterhaft aus. Vllt. kannst du uns verraten, wo die verseuchten Dateien gemeldet wurden? Wenn im Ordner System Volume Information - musst du die SWH deaktivieren: Deaktivieren der Systemwiederherstellung und Start in den abgesicherten Modus
__________________


Alt 21.06.2007, 14:38   #3
Wiskey
 
Virus.Win32.Tenga.A sehr hartnäckig - Standard

Virus.Win32.Tenga.A sehr hartnäckig



Hallo Rene-gad,

thx, das mit der Wiederherstellung habe ich bereits schon gemacht und das Problem ist ja, dass im Moment keine verseuchten Dateien auftauchen.
Wenn dann waren sie in Ordnern wie z.B.
C:\alter laptop\archiv\abc.exe oder
d:\amiga\def.exe
im Prinzip immer dem Alphabeth nach, finde ich zumindest. Also nie C:\windows... oder D:\zufall...

Ich fürchte halt, dass das Ding irgendwo schlummert und sich demnächst in 2-4 Wochen wieder meldet. Besonders, da ich immer nur die "Töchter" also die *.exe Dateien finde...
Ich will quasi das Muttertier töten

Wo kann sich denn eine Malware noch verstecken? Oder womit kann man sie noch aufspüren?
__________________

Alt 21.06.2007, 14:57   #4
Rene-gad
 
Virus.Win32.Tenga.A sehr hartnäckig - Standard

Virus.Win32.Tenga.A sehr hartnäckig



Zitat:
Zitat von Wiskey Beitrag anzeigen
Oder womit kann man sie noch aufspüren?
Es ist das Schwierigste in der ganzen Geschichte Versuche mal dadurch: Forum in English - Âèðóñ Èíôî | Virus Info

Alt 21.06.2007, 15:15   #5
Wiskey
 
Virus.Win32.Tenga.A sehr hartnäckig - Standard

Virus.Win32.Tenga.A sehr hartnäckig



Nicht böse werden... Aber mit deinem Link komme ich in einen Bereich, wo ich auf die Schnelle keinerlei Orientierung habe, was mir da weiterhelfen soll / kann. Besonders den russischen Teil kann ich nicht gut erkennen... Aber auch im englischen sehe ich den Thread nicht, den du vielleicht meinst.
Danke für Deine Antwort!


Alt 21.06.2007, 15:19   #6
Rene-gad
 
Virus.Win32.Tenga.A sehr hartnäckig - Standard

Virus.Win32.Tenga.A sehr hartnäckig



Zitat:
Zitat von Wiskey Beitrag anzeigen
Aber auch im englischen sehe ich den Thread nicht, den du vielleicht meinst.
Da gibt's ja keinen Thread (sonst hätte ich den bestimmt verlinkt ) da die Hilfe in dem Forum nur individuell geleistet wird. Lese mal die Rules: The Rules! You should read this before you post!! - Âèðóñ Èíôî | Virus Info

Alt 18.07.2007, 12:32   #7
fagus
 
Virus.Win32.Tenga.A sehr hartnäckig - Standard

Virus.Win32.Tenga.A sehr hartnäckig



Hilft zwar nicht weiter, aber ich melde mich trotzdem zu Wort. Der Tenga.a ist der widerlichste und hartnäckigste Vertreter ALLER Gattungen die ich je erlebt habe. Er taucht bei mir immer wieder auf, egal was ich unternommen habe. Wenn ich seinen Verursacher in die Finger bekäme........
Ich gehe mit ziemlicher Sicherheit davon aus, dass das Problem nicht darin besteht, dass er noch irgendwo auf dem System selbst herummschwirrt, sondern immer wieder neu über´s Internet reinmarschiert. Selbst wenn ein Antivirusprogramm aktiv ist kann man nur zusehen wie eine Datei nach der anderen infiziert (und desinfiziert wird) wird. Fährt man dann den Rechner kurz runter und startet neu, war´s das in der Regel. Über allen Wipfeln ist Ruhe....
Aber wehe es läuft kein Anivirus, so schnell kann man gar nicht gucken wie alle exe files auf dem Rechner versaut sind.
Ihn endgültig zu eliminieren heisst also herauszufinden, wie er reinkommt. Ist mir allerdings in den letzten zwei Jahren nicht gelungen und ich habe auch nichts hilfreiches als Lösungsansatz gefunden.
Ausser immer wieder mal ein sauberes Image aufzusetzen oder einer Neuinstallation......Wie´s aussieht bis zum Ende aller Tage oder einer ultimativen Lösung für diesen Widerling.

Gruss -fagus

Alt 18.07.2007, 19:47   #8
KarlKarl
/// Helfer-Team
 
Virus.Win32.Tenga.A sehr hartnäckig - Standard

Virus.Win32.Tenga.A sehr hartnäckig



Hi,

übers Internet/Netzwerk kann er deinen Rechner infizieren, wenn dir Windowsupdates fehlen, und zwar sehr viele, denn die Schwachstelle, die er ausnutzt, ist schon seit Jahren gepatcht.

Du siehst das ja anscheinend recht locker nach dem Motto, dass die Dateien wieder desinfiziert werden. Dass das richtig geschieht, ist aber nicht gewährleistet, es kommt vor, dass Daten der Originaldatei überschrieben werden und dein Virenscanner nicht wissen kann, was dahin gehört.

Gruß, Karl

Alt 20.07.2007, 14:57   #9
fagus
 
Virus.Win32.Tenga.A sehr hartnäckig - Standard

Virus.Win32.Tenga.A sehr hartnäckig



Ich sehe das beileibe nicht locker und das leidige XP ist immer auf dem letzten Stand. Das hat alles nichts geändert, Tenga.a lässt nach einiger Zeit immer wieder grüssen.
Im übrigen ist desinfizieren klar keine Lösung, schon weil viele Files nach der Desinfektion defekt sind, andere eben nicht mehr Bitgenau dem Original entsprechen, was natürlich auch manchmal Probleme verursacht. Aber in den Anfangszeiten von Tenga.a war nicht mal das möglich.
Für detailierte Hinweise zu Lösungen bez. Tenga.a bin ich dankbar, aber fehlende Windows Updates etc. sind nicht das Problem.
Wo er reinkommt ist klar....die Frage ist, WIE und zwar im Detail.
Es wäre schon hilfreich wenn der Virus geblockt werden könnte BEVOR er die erste Datei infiziert. Noch nicht mal das ist bis zum heutigen Tag möglich.
Zumindest mit dem aktuellen Kaspersky. Die Virenscanner eiern nur hinterher wenn die Katastrophe losgeht. Damit mutiert das ganze zum schlechten Witz und bietet keinerlei Sicherheit.
Es ist aber schon erstaunlich, wie lange ein System selbst mit versauten Files läuft. Tenga.a ist im Endeffekt einfach nur lästig, nicht in direktem Sinne gefährlich. Wie ein Schwarm Stechmücken der immer wieder auftaucht und einen umschwirrt und piesackt..

Gruss - fagus

Geändert von fagus (20.07.2007 um 15:07 Uhr)

Alt 20.07.2007, 15:13   #10
KarlKarl
/// Helfer-Team
 
Virus.Win32.Tenga.A sehr hartnäckig - Standard

Virus.Win32.Tenga.A sehr hartnäckig



Nach bisherigem Stand der Erkenntnis hat Tenga (alias Stanit) folgende Infektionswege:

Infektion übers Netzwerk bei veralteter Software.

Infektion anderer Programmdateien wenn er aktiv auf dem System ist. Wenn alle Software auf deinem System aktuell ist, kommt eigentlich nur noch die in Frage. Dabei beachten, dass er außer EXE- auch SCR-Dateien infiziert. Das sind umbenannte EXE-Dateien die als Bildschirmschoner dienen. Es müssen wirklich alle solche Dateien getilgt werden, auch auf anderen Partitionen, externen Platten und Sticks, auf gebrannten CDs und DVDs, usw.

Außerdem darf nicht übersehen werden, dass dieser multifunktionale Schädling ebenfalls eine Backdoor ist. Da ist formatieren und neu installieren sowieso die einzige Lösung, die sicher ist. Ich habe mal einen von seinen Funktionen her sehr ähnlichen EXE-Infektor untersucht, der hat Systembibliotheken gepatcht um zu verhindern, dass die veränderten Dateien auffallen können. Es liegt zumindestens die Vermutung nahe, dass das für den hier auch gelten könnte.

Ganz ausschließen kann man natürlich nicht, dass er modifiziert wurde. Da wäre es interessant, wenn es dir möglich ist eine infizierte Datei vor der Reparatur in Quarantäne zu stecken, dann könnte man die da rausholen und mal untersuchen. Im Zweifelsfall eher eine kleinere Datei. Welchen Virenscanner benutzt Du denn? Besteht irgendwie die Möglichkeit, eine infizierte Datei in ein ZIP einzusperren?

Alt 20.07.2007, 21:13   #11
fagus
 
Virus.Win32.Tenga.A sehr hartnäckig - Standard

Virus.Win32.Tenga.A sehr hartnäckig



Was Screensaver angeht, ist mir klar. Die angesprochene Modifikation allerdings ist mir auch schon durch den Kopf gegangen.
Wenn ich so zurückblicke, ist mir aufgefallen dass beim letzten spontanen Ausbruch von Tenga. a (ich sass zufälligerweise gerade vor der Kiste und habe es sofort mitbekommen) beim desinfizieren sehr viele Files komplett verstümmelt wurden.
Ich nutze den letzten Kaspersky in der aktuellen Version, davor Nod 32. Im Prinzip hatt aber keine Antivirus Software und auch kein Firewall den Ausbruch je verhindern können.
Ich bin mir darüber klar, dass ein sauberes System ein Wunschtraum ist. Aber eins ist klar, in den 20 Jahren in denen mich PC´s nerven, ist dieser Tenga.a der wirklich brutalste Störenfried der mir über den Weg lief. Und das, obwohl er doch offensichtlich als gar nicht so heftig eingestuft zu werden scheint. Er erinnert witzigerweise auch an den ersten Virus der mich ansprang. Den guten alten Freitag den 13. Virus, so sich jemand noch daran erinnert.
Auch der war bloss nervig, aber wenigstens endgültig zu elminieren......

Gruss - fagus

Alt 30.01.2010, 20:27   #12
Dracon123
 
Virus.Win32.Tenga.A sehr hartnäckig - Standard

Virus.Win32.Tenga.A sehr hartnäckig



Dieser Virus ist mir bei diesem Link aufgefallen:
*** ENTFERNT **** (!!! Website gesperrt!
G DATA TotalCare 2010 hat den Zugriff auf diese Webseite verweigert.
Die Seite enthält infizierten Code: Virus.Win32.Tenga.a. Nicht testen oder wollt ihr den nochmal haben?!^^)
Ich habe ihn einmal gehabt
Im Prinzip ist es ein Katz und MausSpiel der Virus ist nicht besonders aggresiv nach meiner erfahrung sondern eher ärgerlich weil er nicht so schnell verschwindet
Nun ja Schleichwerbung GData erkennt die Websiten wo dieser virus drauf ist und na,ja
Gut schluss mit Schleichwerbung
Tricks zur Behebung (hat bei mir geholfen :):
PC ausmachen (langt in seltenen Fällen)
Wiederherstellung eines alten Systempunktes (Hilft häufig)
Und Nicht den Virus neu runter laden!!!^^
Na,ja hoffentlich hilft es bisschen^^
MfG Dracon123 ^^

Alt 30.01.2010, 22:07   #13
KarlKarl
/// Helfer-Team
 
Virus.Win32.Tenga.A sehr hartnäckig - Standard

Virus.Win32.Tenga.A sehr hartnäckig



Auf gar keinen Fall den Link oben anklicken, der Idiot hat hier wirklich einen Link auf eine infizierte Datei reingesetzt. Es droht formatieren und neuinstallieren.

Gemeldet

Alt 30.01.2010, 22:53   #14
Da GuRu
Administrator
/// technical service
 

Virus.Win32.Tenga.A sehr hartnäckig - Standard

Virus.Win32.Tenga.A sehr hartnäckig



Danke Karl!

Link wurde entfernt.

Antwort

Themen zu Virus.Win32.Tenga.A sehr hartnäckig
add-on, adobe, bho, browser, disk director, error, erste mal, excel, explorer, g data, g-data, handel, helper, hijack, hijackthis, infizierte, internet, internet explorer, kunde, malwareprogramm, object, problem, prozess, scan, security, sehr geholfen, senden, shockwave, software, system, temporär, virus, web companion, wieder weg, windows, windows xp, wlan



Ähnliche Themen: Virus.Win32.Tenga.A sehr hartnäckig


  1. GVU Trojaner sehr hartnäckig- habe frst.txt erstellt und weiß nun nicht weiter
    Log-Analyse und Auswertung - 11.11.2014 (44)
  2. Lpcloudsvr203.com - sehr hartnäckig, werde ihn einfach nicht los
    Plagegeister aller Art und deren Bekämpfung - 04.05.2014 (20)
  3. GVU sehr hartnäckig
    Plagegeister aller Art und deren Bekämpfung - 07.06.2013 (25)
  4. Deltasearch in Firefox sehr hartnäckig
    Log-Analyse und Auswertung - 23.04.2013 (26)
  5. polizei trojaner sehr hartnäckig! bitte um hilfe!
    Log-Analyse und Auswertung - 17.09.2012 (1)
  6. Der Computer ist für die Verletzung....bla bla Ukash Virus - Hartnäckig
    Log-Analyse und Auswertung - 02.09.2012 (10)
  7. Gema Virus hartnäckig!
    Log-Analyse und Auswertung - 18.06.2012 (74)
  8. gema virus hartnäckig
    Log-Analyse und Auswertung - 30.03.2012 (1)
  9. HEUR:Trojan.Win32.Generic ....hat sich hartnäckig eingenistet
    Plagegeister aller Art und deren Bekämpfung - 29.09.2010 (5)
  10. Sehr mysteriöses upload Problem (hartnäckig!)
    Netzwerk und Hardware - 03.09.2010 (1)
  11. BIOS/Firmware Virus/RK sehr hartnäckig und intelligent
    Plagegeister aller Art und deren Bekämpfung - 20.03.2010 (11)
  12. Fujacks.L & Tenga.gen
    Mülltonne - 12.02.2008 (1)
  13. Autostart sehr hartnäckig.
    Alles rund um Windows - 12.09.2005 (9)
  14. Hilfe zu Stanit / Tenga.A
    Plagegeister aller Art und deren Bekämpfung - 14.08.2005 (3)
  15. about:blank - sehr hartnäckig / HJT log
    Log-Analyse und Auswertung - 07.01.2005 (1)
  16. searchx-Virus bleibt hartnäckig / xfind-Variante?
    Plagegeister aller Art und deren Bekämpfung - 26.05.2004 (17)
  17. Ein Trojaner ?? Ein Virus ?? Hartnäckig !!!
    Archiv - 15.01.2003 (6)

Zum Thema Virus.Win32.Tenga.A sehr hartnäckig - Liebe Freunde, mich plagt nun schon zum 2. Mal ein Virus namens Virus.Win32.Tenga.A (G-Data Bezeichnung auch bekannt unter Gaelicum, Stanit…). Das Problem ist, dass sich das Ding nur temporär verbreitet. - Virus.Win32.Tenga.A sehr hartnäckig...
Archiv
Du betrachtest: Virus.Win32.Tenga.A sehr hartnäckig auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.