hiçbirşey bitmiş değil daha birşey yapmadın
Sorun tam olarak ne?
Güvenli modda tarama yaptın mı?
Antispyware 'n var mı?
Ama herşey bitmiş değil makaleyi oku burdan
DİKKAT!!! Temmuzun ilk virüsü; W32/Lovgate.ad@MM
Aslında bir solucan (worm) olan W32/Lovgate.ad@MM e-mail yolu ile bilgisayarınıza bulaşıyor. Sonra, bir arka kapı açarak hacker'ın bilgisayarınıza ulaşıp istediğini yapmasını sağlıyor. Çalışan dosyalara (.EXE) bulaşıyor. Anti-virüs ve firewall'ı etkisiz hale getirmeye çalışıyor. Kendisini e-posta'nızdaki adreslere göndermeye çalışıyor. Böyle yayılıyor.
Konusu; "hi, hello, Hello, Mail transaction Failed, mail delivery system" gibi olan e-posta'lara dikkat!!!. Bunlarla bulaşıyor. Okumadan silin. Mesaj içeriğinde "Mail failed. For further assistance, please contact!" olması tehlikeli !!! Aslında bu yazıyı okuduğunuzda iş işten geçmiş olabilir. Mesaj ekinde unicode karakterlerle oluşturulmuş ikili (binary) ".bin" dosyalar (attachment) geliyor. Rastgele bir şekilde .EXE, .PIF, .SCR, .ZIP dosya tiplerinde mesaj ekleri (attachment) yeralıyor.
Aşağıdaki dosyalar solucanın ilk aşamada bulaştığı ve kullandığı dosyalardır;
%WinDir%\System32\IEXPLORE.EXE
%WinDir%\System32\KERNEL66.DLL
%WinDir%\System32\RAVMOND.exe
%WinDir%\System32\HXDEF.EXE
%WinDir%\System32\UPDATE_OB.EXE
%WinDir%\System32\TKBELLEXE.EXE
%WinDir%\SYSTRA.EXE
%WinDir%\SVCHOST.EXE.EXE
C:\COMMAND.EXE
%WinDir%\System32\MSJDBC11.DLL
%WinDir%\System32\MSSIGN30.DLL
%WinDir%\System32\ODBC16.DLL
%WinDir%\System32\LMMIB20.DLL
Solucan kendini arşivleyerek (ZIP'leyerek gibi) COM, EXE, PIF veya SCR gibi dosya tiplerinde ve password, email, book, letter, bak, work, important gibi dosya adı ile saklıyor. örneğin; important.scr gibi...
Sistemin açılışında çalışması için;
HKEY_CURRENT_USER\Software\Microsoft\Windows NTCurrentVersion\Windows "run" = RAVMOND.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion Run "Hardware Profile" = %SysDir%\HXDEF.EXE
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion Run "WinHelp" = %SysDir%\IEXPLORE.EXE
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion Run "Program In Windows" = %SysDir%\IEXPLORE.EXE
gibi registry'e ilaveler yapıyor.
Solucan ilave servisleri için;
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion runServices "SystemTra" = %WinDir%\SYSTRA.EXE
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion runServices "COMM++System" = %WinDir%\SVCHOST.EXE
gibi registry'e kayıtlar ilave ediyor.
Arka kapı açmak için;
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion Run "VFW Encoder/Decoder Settings" = RUNDLL32.EXE MSSIGN30.DLL ondll_reg
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion Run "Protected Storage" = RUNDLL32.EXE MSSIGN30.DLL ondll_reg
gibi registry'e kayıtlar ilave ediyor.
Solucanın ilave ettiği iki servis;
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\_reg
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Management Protocol v.0 (experimental)
başlıkları altında yeralıyor ve bu servisler ile ilgili detay bilgi;
Service 1
Display name: _reg
ImagePath: Rundll32.exe msjdbc11.dll ondll_server
Startup: automatic
Service 2
Display name: Windows Management Protocol v.0 (experimental)
Description: Windows Advanced Server. Performs scheduled scans for LANguard.
ImagePath: Rundll32.exe msjdbc11.dll ondll_server
Startup: automatic
şeklinde oluyor.
Solucan kendini .EXE uzantılı dosyalara kopyalıyor ve asıl dosyanın ismini .ZMX olarak değiştiriyor.
Aşağıdaki kelimeleri içeren servisleri ya da bellekte çalışan programları durduruyor;
rising
SkyNet
Symantec
McAfee
Gate
Rfw.exe
RavMon.exe
kill
Duba
Şimdilik manuel (elle) ve otomatik silme yöntemi bulunamadı, ancak bazı antivirüs firmaları kendi yazılımlarının bu solucanı durdurabildiğini söylüyor.
Hızla yayılmaktadır, birkaç gün olmasına rağmen bu tip elektronik postaların sayısı artmıştır, Aldığınız elektronik postalara aman dikkat, şüphelendiklerinizi açmadan silin.
valla bana bulasti sizede bulasmasin basim belada bu meretle vede AVAST!ANTİVİRUS programını kullandim Allaha sukur kurtuldum ama yinede bazi problemler cikariyo haberiniz olsun
1/3/2007 - Bittorent.exe virüsü temizleme
Son zamanlarda bir çok kullanıcının baş belası bittorent.exe virüsünün temizleme yöntemini aşağıda bulabilirsiniz:
Öcelikle güvenilir ve güncel bir antivirüs programını en güncel haliyle sisteme kurun. Bizim önerimiz Avast Antivirüs programı. programı kurduktan sonra dos modunda sistemi taratın. Sistemdeki virüslü dosyaları bulacak ve silecektir. ancak işlem burada bitmiyor maalesef, bazı durumlarda aşağıdaki yönergeleri sizin yapmanız gerekmekte.
. Zararlı kodları Registery (Kayıt Defteri)'den Silmek
Önemli Not: Registery(Kayıt Defteri)de yapacağınız değişilikler direkt sistemi etkileyebilir ve geri döndüremeyebilir. Lütfen öncelikle defterin yedeğini alın. Eğer emin değilseniz bilen bir yetkin kişiden yardım talep ediniz.!
Start > Run (Başlat > Çalıştır).
regedit yazın
OK (tamam) Tıklayın.
Aşağıdaki Alt Satırı Bulun:
HKEY_LOCAL_MACHINESOFTWARE
panelin sağ tarafındaki aşağıdaki değeri bulun ve silin:
"Rich98"
Bakmanız gereken diğer alt kayıtlar:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunO nce
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion
PoliciesExplorerRun
yine panelin sağ tarafındaki aşağıdaki kayıtı silin:
"{9D0351F9-8E49-4ed1-BBCE-0795F5B9F240}" = "%System%richnotify.exe"
Registry Editor (Kayıt Defteri Düzenleyici) 'den Çıkın.
Antivirüs Olarak Avg Antivirüsü tavsiye ederim
İlk olarak ofisteki bilgisayarlardaki dikkatimi çekti; ofis içinde dolaşan bütün flash disklerde ve bu flash disklerinin kullanıldığı bilgisayarların Windows açılışlarında bittorent.exe yüklüydü. İşin garip yanı açılışta bittorent.exe vardı ancak hiçbir bilgisayarda Bit Torrent’in kendisi kurulu değildi ve her flash diskin içinde mutlaka bir “autorun.inf” dosyasına tanımlanmış bir bittorent.exe mevcuttu. Aynı dertten muzdaripseniz temizlemenin basit ve kolay bir yolu mevcut: virüs bilgisayardaki dosyalara kendini eklemediğinden flash diskteki gerekli dosyaları bir yere kopyaladıktan sonra önce taratın sonra formatlayın çünkü dosyayı silseniz bile kendini tekrardan yaratıyor. Bunun dışında Başlat*Çalıştır dedikten sonra “msconfig” (tırnaklar yok) komutunu verin, son sekmedeki bölümde “bittorent.exe”nin yanındaki tik işaretini kaldırın. Kaspersky Anti-Virus veya Zone Alarm Internet Security bu malware/virüs tehlikesine karşı kesin koruma sağlıyor ancak bu yaramaz programcığın (malware baba şefkati yaklaşımı) arkadaşlarınızın bilgisayarlarına bulaşmaması için kendi bilgisayarlarınızda kullandığınız flash diskleri tek tek formatlayın. İyi çalışmalar
alıntı http://www.ceturk.com/forum/forum_posts.asp?TID=9033&PN=1
