Liebe Freunde,

mich plagt nun schon zum 2. Mal ein Virus namens Virus.Win32.Tenga.A (G-Data Bezeichnung auch bekannt unter Gaelicum, Stanit…). Das Problem ist, dass sich das Ding nur temporär verbreitet. Also mit einem Mal meldet mein G-Data AV den Befall von 10-15 Dateien, alles *.exe. Und anscheinend befällt der Virus pro Platte, die *.exe die in der alphabetischen Ordnerstruktur als erste kommen.
Ok, die befallenen Dateien kann ich finden und bearbeiten/löschen, was auch immer. Mein Problem ist die „Quelle“ des Ausbruchs. Denn trotz einmaligem Neuaufbau des Rechners habe ich das Ding wieder. Also wieder die *.exe gekillt und dann nach der „Quelle“ gesucht. Aber nach dem Löschen der *.exen, hat kein AV oder Malwareprogramm, das ich benutzt habe noch was gemeldet. Auch ein Scan von G-Data unter Linux lief ins Leere. Natürlich auch die Scans im gesicherten Modus. Ich bin mir aber sicher, dass das Ding noch da ist, erstens weil das das erste mal auch angeblich wieder weg war und zweitens, weil alle infizierten Dateien in „Alten Archiven“ lagen und seit Monaten nicht aktiviert waren. Also muss es noch einen Datei, einen Prozess oder sonst was geben, der der Übeltäter ist.
Auch Sophos und Kapersky haben nicht mehr als die infizierten *.exe Dateien gefunden (Sind mittlerweile alle gelöscht und die Scans sind alle ohne Fund). Jetzt habe ich also das Problem, dass ich wieder alles plätten kann, nur um dann das Ding anschließend wieder zu haben :-(
Anbei mal mein Hijack file, die automatische Auswertung hat mir nicht sehr geholfen, bin da aber vielleicht auch zu wenig bewandert… Leider hat mir mein teurer Kundenstatus bei G-Data auch nicht viel geholfen, außer der Aussage, dass „es sich um einen hartnäckigen Virus handelt…und ich doch mal HijackThis benutzten soll.“ Ich wäre happy, wenn Ihr mir helfen könnt und wenn ihr mehr Details (logfiles etc.) braucht, sagt mir wie ich sie erzeuge und ich stelle sie ein.
Und ja, ich habe momentan einige AV-Progis drauf, aber irgendwie wird man ja auch misstrauisch…

Logfile of HijackThis v1.99.1
Scan saved at 15:33:38, on 19.06.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16473)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
c:\Programme\Sophos\Sophos Anti-Virus\SavService.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\WLTRYSVC.EXE
C:\WINDOWS\System32\bcmwltry.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\a-squared Anti-Malware\a2service.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\G DATA InternetSecurity\AVK\AVKService.exe
C:\Programme\G DATA InternetSecurity\AVK\AVKWCtl.exe
C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\Programme\Gemeinsame Dateien\Creative Labs Shared\Service\CreativeLicensing.exe
c:\Programme\Sophos\Sophos Anti-Virus\SAVAdminService.exe
c:\Programme\Sophos\AutoUpdate\ALsvc.exe
C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe
C:\Programme\G DATA InternetSecurity\Firewall\GDFwSvc.exe
C:\WINDOWS\stsystra.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Dell\QuickSet\quickset.exe
C:\WINDOWS\system32\WLTRAY.exe
C:\Programme\Creative\Mixer\CTSVolFE.exe
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe
C:\Programme\Dell\MediaDirect\PCMService.exe
C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe
C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\G DATA InternetSecurity\AVKTray\AVKTray.exe
C:\Programme\a-squared Anti-Malware\a2guard.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\NetWaiting\netwaiting.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
C:\Programme\Sophos\AutoUpdate\ALMon.exe
C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe
C:\Programme\Digital Line Detect\DLG.exe
C:\Programme\G DATA InternetSecurity\Firewall\GDFirewallTray.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe
C:\PROGRA~1\WIDCOMM\BLUETO~1\BTSTAC~1.EXE
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Web Companion\2007\ENCWCSVR.EXE
C:\WINDOWS\ISW\alice\signup\alicecnn.exe
C:\PROGRA~1\INTERN~1\IEXPLORE.EXE
D:\download\anti vir\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = w*w.google.de/ig/dell?hl=de&client=dell-row&channel=de&ibd=4061205
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**t://w*w.alice-dsl.de/index.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**t://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**t://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**t://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**t://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Page_URL = w*w.google.de/ig/dell?hl=de&client=dell-row&channel=de&ibd=4061205
O2 - BHO: G DATA WebFilter Class - {0124123D-61B4-456f-AF86-78C53A0790C5} - C:\Programme\G DATA InternetSecurity\Webfilter\AVKWebIE.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\PROGRA~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Hilfsobjekt für Encarta Web-Begleiter - {955BE0B8-BC85-4CAF-856E-8E0D8B610560} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Web Companion\2007\ENCWCBAR.DLL
O2 - BHO: Browser Address Error Redirector - {CA6319C0-31B7-401E-A518-A07C3DB8F777} - C:\Programme\BAE\BAE.dll
O3 - Toolbar: G DATA WebFilter - {0124123D-61B4-456f-AF86-78C53A0790C5} - C:\Programme\G DATA InternetSecurity\Webfilter\AVKWebIE.dll
O3 - Toolbar: Encarta Web-Begleiter - {147D6308-0614-4112-89B1-31402F9B82C4} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Web Companion\2007\ENCWCBAR.DLL
O4 - HKLM\..\Run: [SigmatelSysTrayApp] stsystra.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Dell QuickSet] C:\Programme\Dell\QuickSet\quickset.exe
O4 - HKLM\..\Run: [Broadcom Wireless Manager UI] C:\WINDOWS\system32\WLTRAY.exe
O4 - HKLM\..\Run: [CTSVolFE.exe] "C:\Programme\Creative\Mixer\CTSVolFE.exe" /r
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [PCMService] "C:\Programme\Dell\MediaDirect\PCMService.exe"
O4 - HKLM\..\Run: [MSKDetectorExe] C:\Programme\McAfee\SpamKiller\MSKDetct.exe /uninstall
O4 - HKLM\..\Run: [SmartSync - ScheduleSync] C:\PROGRA~1\MOBILE~1\SMARTS~1\SCHEDU~1.EXE
O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe
O4 - HKLM\..\Run: [AcronisTimounterMonitor] C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [OSSelectorReinstall] C:\Programme\Gemeinsame Dateien\Acronis\Acronis Disk Director\oss_reinstall.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [PSDrvCheck] C:\WINDOWS\system32\PSDrvCheck.exe
O4 - HKLM\..\Run: [AVKTray] "C:\Programme\G DATA InternetSecurity\AVKTray\AVKTray.exe"
O4 - HKLM\..\Run: [a-squared] "C:\Programme\a-squared Anti-Malware\a2guard.exe" /d=60
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [ModemOnHold] C:\Programme\NetWaiting\netwaiting.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - Global Startup: AutoUpdate Monitor.lnk = C:\Programme\Sophos\AutoUpdate\ALMon.exe
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: Digital Line Detect.lnk = ?
O4 - Global Startup: G DATA Firewall Tray.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Senden an &Bluetooth-Gerät... - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\PROGRA~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Encarta Suchleiste - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - h**t://w*w.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h**t://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{F9BBA4AE-BF51-40EB-9D39-53BF487212D0}: NameServer = 213.191.74.19 213.191.92.87
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: a-squared Anti-Malware Service (a2AntiMalware) - Emsi Software GmbH - C:\Programme\a-squared Anti-Malware\a2service.exe
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AVKProxy - G DATA Software AG - C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe
O23 - Service: AVK Service (AVKService) - G DATA Software AG - C:\Programme\G DATA InternetSecurity\AVK\AVKService.exe
O23 - Service: AVK Wächter (AVKWCtl) - Unknown owner - C:\Programme\G DATA InternetSecurity\AVK\AVKWCtl.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: Creative Labs Licensing Service - Creative Labs - C:\Programme\Gemeinsame Dateien\Creative Labs Shared\Service\CreativeLicensing.exe
O23 - Service: G DATA Personal Firewall (GDFwSvc) - Unknown owner - C:\Programme\G DATA InternetSecurity\Firewall\GDFwSvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: Sophos Anti-Virus Statusreporter (SAVAdminService) - Sophos Plc - c:\Programme\Sophos\Sophos Anti-Virus\SAVAdminService.exe
O23 - Service: Sophos Anti-Virus (SAVService) - Sophos Plc - c:\Programme\Sophos\Sophos Anti-Virus\SavService.exe
O23 - Service: Sophos AutoUpdate Service - Sophos Plc - c:\Programme\Sophos\AutoUpdate\ALsvc.exe
O23 - Service: Dell Wireless WLAN Tray Service (wltrysvc) - Unknown owner - C:\WINDOWS\System32\WLTRYSVC.EXE

Ich weiß auch das das Ding schon älter ist, aber die Lösungen die anderen geholfen haben oder auch nicht, waren bei mir bisher halt wenig erfolgreich :-(
Cheers
Wiskey

@Wiskey
Der Log sieht absolut musterhaft aus. Vllt. kannst du uns verraten, wo die verseuchten Dateien gemeldet wurden? Wenn im Ordner System Volume Information - musst du die SWH deaktivieren: Deaktivieren der Systemwiederherstellung und Start in den abgesicherten Modus

Hallo Rene-gad,

thx, das mit der Wiederherstellung habe ich bereits schon gemacht und das Problem ist ja, dass im Moment keine verseuchten Dateien auftauchen.
Wenn dann waren sie in Ordnern wie z.B.
C:\alter laptop\archiv\abc.exe oder
d:\amiga\def.exe
im Prinzip immer dem Alphabeth nach, finde ich zumindest. Also nie C:\windows... oder D:\zufall...

Ich fürchte halt, dass das Ding irgendwo schlummert und sich demnächst in 2-4 Wochen wieder meldet. Besonders, da ich immer nur die "Töchter" also die *.exe Dateien finde...
Ich will quasi das Muttertier töten

Wo kann sich denn eine Malware noch verstecken? Oder womit kann man sie noch aufspüren?

Zitat:

Zitat von Wiskey

Oder womit kann man sie noch aufspüren?

Es ist das Schwierigste in der ganzen Geschichte Versuche mal dadurch: Forum in English - Âèðóñ Èíôî | Virus Info

Nicht böse werden... Aber mit deinem Link komme ich in einen Bereich, wo ich auf die Schnelle keinerlei Orientierung habe, was mir da weiterhelfen soll / kann. Besonders den russischen Teil kann ich nicht gut erkennen... Aber auch im englischen sehe ich den Thread nicht, den du vielleicht meinst.
Danke für Deine Antwort!

Zitat:

Zitat von Wiskey

Aber auch im englischen sehe ich den Thread nicht, den du vielleicht meinst.

Da gibt's ja keinen Thread (sonst hätte ich den bestimmt verlinkt ) da die Hilfe in dem Forum nur individuell geleistet wird. Lese mal die Rules: The Rules! You should read this before you post!! - Âèðóñ Èíôî | Virus Info

Hilft zwar nicht weiter, aber ich melde mich trotzdem zu Wort. Der Tenga.a ist der widerlichste und hartnäckigste Vertreter ALLER Gattungen die ich je erlebt habe. Er taucht bei mir immer wieder auf, egal was ich unternommen habe. Wenn ich seinen Verursacher in die Finger bekäme........
Ich gehe mit ziemlicher Sicherheit davon aus, dass das Problem nicht darin besteht, dass er noch irgendwo auf dem System selbst herummschwirrt, sondern immer wieder neu über´s Internet reinmarschiert. Selbst wenn ein Antivirusprogramm aktiv ist kann man nur zusehen wie eine Datei nach der anderen infiziert (und desinfiziert wird) wird. Fährt man dann den Rechner kurz runter und startet neu, war´s das in der Regel. Über allen Wipfeln ist Ruhe....
Aber wehe es läuft kein Anivirus, so schnell kann man gar nicht gucken wie alle exe files auf dem Rechner versaut sind.
Ihn endgültig zu eliminieren heisst also herauszufinden, wie er reinkommt. Ist mir allerdings in den letzten zwei Jahren nicht gelungen und ich habe auch nichts hilfreiches als Lösungsansatz gefunden.
Ausser immer wieder mal ein sauberes Image aufzusetzen oder einer Neuinstallation......Wie´s aussieht bis zum Ende aller Tage oder einer ultimativen Lösung für diesen Widerling.

Gruss -fagus

Hi,

übers Internet/Netzwerk kann er deinen Rechner infizieren, wenn dir Windowsupdates fehlen, und zwar sehr viele, denn die Schwachstelle, die er ausnutzt, ist schon seit Jahren gepatcht.

Du siehst das ja anscheinend recht locker nach dem Motto, dass die Dateien wieder desinfiziert werden. Dass das richtig geschieht, ist aber nicht gewährleistet, es kommt vor, dass Daten der Originaldatei überschrieben werden und dein Virenscanner nicht wissen kann, was dahin gehört.

Gruß, Karl

Ich sehe das beileibe nicht locker und das leidige XP ist immer auf dem letzten Stand. Das hat alles nichts geändert, Tenga.a lässt nach einiger Zeit immer wieder grüssen.
Im übrigen ist desinfizieren klar keine Lösung, schon weil viele Files nach der Desinfektion defekt sind, andere eben nicht mehr Bitgenau dem Original entsprechen, was natürlich auch manchmal Probleme verursacht. Aber in den Anfangszeiten von Tenga.a war nicht mal das möglich.
Für detailierte Hinweise zu Lösungen bez. Tenga.a bin ich dankbar, aber fehlende Windows Updates etc. sind nicht das Problem.
Wo er reinkommt ist klar....die Frage ist, WIE und zwar im Detail.
Es wäre schon hilfreich wenn der Virus geblockt werden könnte BEVOR er die erste Datei infiziert. Noch nicht mal das ist bis zum heutigen Tag möglich.
Zumindest mit dem aktuellen Kaspersky. Die Virenscanner eiern nur hinterher wenn die Katastrophe losgeht. Damit mutiert das ganze zum schlechten Witz und bietet keinerlei Sicherheit.
Es ist aber schon erstaunlich, wie lange ein System selbst mit versauten Files läuft. Tenga.a ist im Endeffekt einfach nur lästig, nicht in direktem Sinne gefährlich. Wie ein Schwarm Stechmücken der immer wieder auftaucht und einen umschwirrt und piesackt..

Gruss - fagus

Nach bisherigem Stand der Erkenntnis hat Tenga (alias Stanit) folgende Infektionswege:

Infektion übers Netzwerk bei veralteter Software.

Infektion anderer Programmdateien wenn er aktiv auf dem System ist. Wenn alle Software auf deinem System aktuell ist, kommt eigentlich nur noch die in Frage. Dabei beachten, dass er außer EXE- auch SCR-Dateien infiziert. Das sind umbenannte EXE-Dateien die als Bildschirmschoner dienen. Es müssen wirklich alle solche Dateien getilgt werden, auch auf anderen Partitionen, externen Platten und Sticks, auf gebrannten CDs und DVDs, usw.

Außerdem darf nicht übersehen werden, dass dieser multifunktionale Schädling ebenfalls eine Backdoor ist. Da ist formatieren und neu installieren sowieso die einzige Lösung, die sicher ist. Ich habe mal einen von seinen Funktionen her sehr ähnlichen EXE-Infektor untersucht, der hat Systembibliotheken gepatcht um zu verhindern, dass die veränderten Dateien auffallen können. Es liegt zumindestens die Vermutung nahe, dass das für den hier auch gelten könnte.

Ganz ausschließen kann man natürlich nicht, dass er modifiziert wurde. Da wäre es interessant, wenn es dir möglich ist eine infizierte Datei vor der Reparatur in Quarantäne zu stecken, dann könnte man die da rausholen und mal untersuchen. Im Zweifelsfall eher eine kleinere Datei. Welchen Virenscanner benutzt Du denn? Besteht irgendwie die Möglichkeit, eine infizierte Datei in ein ZIP einzusperren?

Was Screensaver angeht, ist mir klar. Die angesprochene Modifikation allerdings ist mir auch schon durch den Kopf gegangen.
Wenn ich so zurückblicke, ist mir aufgefallen dass beim letzten spontanen Ausbruch von Tenga. a (ich sass zufälligerweise gerade vor der Kiste und habe es sofort mitbekommen) beim desinfizieren sehr viele Files komplett verstümmelt wurden.
Ich nutze den letzten Kaspersky in der aktuellen Version, davor Nod 32. Im Prinzip hatt aber keine Antivirus Software und auch kein Firewall den Ausbruch je verhindern können.
Ich bin mir darüber klar, dass ein sauberes System ein Wunschtraum ist. Aber eins ist klar, in den 20 Jahren in denen mich PC´s nerven, ist dieser Tenga.a der wirklich brutalste Störenfried der mir über den Weg lief. Und das, obwohl er doch offensichtlich als gar nicht so heftig eingestuft zu werden scheint. Er erinnert witzigerweise auch an den ersten Virus der mich ansprang. Den guten alten Freitag den 13. Virus, so sich jemand noch daran erinnert.
Auch der war bloss nervig, aber wenigstens endgültig zu elminieren......

Gruss - fagus

Dieser Virus ist mir bei diesem Link aufgefallen:
*** ENTFERNT **** (!!! Website gesperrt!
G DATA TotalCare 2010 hat den Zugriff auf diese Webseite verweigert.
Die Seite enthält infizierten Code: Virus.Win32.Tenga.a. Nicht testen oder wollt ihr den nochmal haben?!^^)
Ich habe ihn einmal gehabt
Im Prinzip ist es ein Katz und MausSpiel der Virus ist nicht besonders aggresiv nach meiner erfahrung sondern eher ärgerlich weil er nicht so schnell verschwindet
Nun ja Schleichwerbung GData erkennt die Websiten wo dieser virus drauf ist und na,ja
Gut schluss mit Schleichwerbung
Tricks zur Behebung (hat bei mir geholfen :):
PC ausmachen (langt in seltenen Fällen)
Wiederherstellung eines alten Systempunktes (Hilft häufig)
Und Nicht den Virus neu runter laden!!!^^
Na,ja hoffentlich hilft es bisschen^^
MfG Dracon123 ^^

Auf gar keinen Fall den Link oben anklicken, der Idiot hat hier wirklich einen Link auf eine infizierte Datei reingesetzt. Es droht formatieren und neuinstallieren.

Gemeldet

Danke Karl!

Link wurde entfernt.