DAT438a.tmp.exe

Sayın Forum Sakinleri;
Alışık olduğunuz üzere ben de bir konuda fikrinizi sormak ve yol göstermenizi rica etmek istiyorum.
 
İşletim sistemim Vista, kullandığım antivirüs programı Avast'ın ücretsiz sürümü diye ön bilgi verip konuya geçeyim. Dün internette çeşitli sayfalar açıkken Avast'tan "Trojen engellendi" diye bir bildirim aldım. Sonra ne olur ne olmaz diye "başlangıçta tara" seçeneğini seçerek bilgisayarı Windows açılmadan uzun uzun tarattım. Adware.gen diye bir virüs buldu birkaç kere, sil dedim, kimi zaman sildi, kimi zaman hata verdi.
 
Tarama bitip bilgisayar açılınca ise devamlı şöyle bir bildirim almaya başladım:
 
Malicious URL blocked.
Object: 62.122.73.203/545/getcfg.php
Infection: URL: Mal
Blocked
 
İnternet açık değilken bile saldırı oluyor ve engelleniyor anlamına geliyor sanırım bu.
Sonunda hata vermesi sayesinde buna DAT438a.tmp.exe diye bir dosyanın(!) sebep olduğunu anladım. msconfig yazarak başlangıçta çalışan programlara baktım. Gerçekten de bu vardı, bilinmeyen yayıncı yazıyordu yanında da. Oradaki işareti kaldırdım, saldırıyla ilgili bildirimler de durdu.
 
Ancak başlangıçta çalışan programı elle değiştirdiğim için uyarı alıyorum sürekli.
 
Şimdi bilgisayarın sağlığı için ne yapmam gerekir? Bunu silmem ve kurtulmam mümkün mü acaba?
 

 
 
 

Dosyayı VirüsTotal de taratın. Sonucunu görelim önce.

Dosya hakkında hiç bir bilgi yok.

0 VT Community user(s) with a total of 0 reputation credit(s) say(s) this sample is goodware. 1 VT Community user(s) with a total of 6 reputation credit(s) say(s) this sample is malware.

File name:

DAT438A.tmp.exe

Submission date:

2011-04-15 14:12:02 (UTC)

Current status:

queued queued analysing finished
 

Result:

20/ 42 (47.6%)

VT Community

malware
 Safety score: 0.0% 

Compact

Print results  

AntivirusVersionLast UpdateResultAhnLab-V32011.04.15.002011.04.15Win-Trojan/Agent.72704.GBAntiVir7.11.6.1382011.04.15TR/Obfuscate.OH.10Antiy-AVL2.0.3.72011.04.15-Avast4.8.1351.02011.04.15Win32:Dropper-genAvast55.0.677.02011.04.15Win32:Downloader-GNFAVG10.0.0.11902011.04.15Generic22.GHPBitDefender7.22011.04.15Trojan.Generic.KDV.186411CAT-QuickHeal11.002011.04.15-ClamAV0.97.0.02011.04.15-Commtouch5.2.11.52011.04.15-Comodo83512011.04.15UnclassifiedMalwareDrWeb5.0.2.033002011.04.15BackDoor.BlackEnergy.1Emsisoft5.1.0.52011.04.15Worm.Win32.Reclog!IKeSafe7.0.17.02011.04.13-eTrust-Vet36.1.82732011.04.15-F-Prot4.6.2.1172011.04.14-F-Secure9.0.16440.02011.04.15Trojan.Generic.KDV.186411Fortinet4.2.257.02011.04.15-GData222011.04.15Trojan.Generic.KDV.186411IkarusT3.1.1.103.02011.04.15Worm.Win32.ReclogJiangmin13.0.9002011.04.15-K7AntiVirus9.96.43952011.04.15-Kaspersky7.0.0.1252011.04.15-McAfee5.400.0.11582011.04.15Artemis!BEBCEE4554EFMcAfee-GW-Edition2010.1D2011.04.15Artemis!BEBCEE4554EFMicrosoft1.67022011.04.15VirTool:Win32/Obfuscator.OHNOD3260442011.04.15a variant of Win32/Kryptik.MNMNorman6.07.072011.04.15-Panda10.0.3.52011.04.15Trj/CI.APCTools7.0.3.52011.04.15-Prevx3.02011.04.15Medium Risk Malware DropperRising23.53.04.052011.04.15-Sophos4.64.02011.04.15-SUPERAntiSpyware4.40.0.10062011.04.14-Symantec20101.3.2.892011.04.15-TheHacker6.7.0.1.1752011.04.15-TrendMicro9.200.0.10122011.04.15-TrendMicro-HouseCall9.200.0.10122011.04.15-VBA323.12.16.02011.04.15Backdoor.Agent.bgpyVIPRE90192011.04.15-ViRobot2011.4.15.44122011.04.15Trojan.Win32.S.Agent.72704.KVirusBuster13.6.306.02011.04.15-

Additional information

Show all

MD5   : bebcee4554efa5981042dce33b6f588eSHA1  : c16888f3853e669933e0f97c36aa0c08f3ad6cc6SHA256: 362114f2d144d00155f7cb2ae3da678a150d7a69f3ce40cb7cce2f7bbfee5e20ssdeep: 1536:bSVt8oW/UdupDNQU7T/mslFHPw+wVLqIgzJtE46MiyV2C8nfn:DJUduDQlslF1oLqIKVV8
nfnFile size : 72704 bytesFirst seen: 2011-04-12 15:58:35Last seen : 2011-04-15 14:12:02TrID:
Generic Win/DOS Executable (49.9%)
DOS Executable Generic (49.8%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.1%)sigcheck:
publisher....: n/a
copyright....: n/a
product......: n/a
description..: n/a
original name: n/a
internal name: n/a
file version.: n/a
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned
PEInfo: PE structure information

[[ basic data ]]
entrypointaddress: 0x2ABC
timedatestamp....: 0x4DA45ABF (Tue Apr 12 13:59:27 2011)
machinetype......: 0x14c (I386)

[[ 4 section(s) ]]
name, viradd, virsiz, rawdsiz, ntropy, md5
.text, 0x1000, 0x8D86, 0x8E00, 6.67, 03ad7d517a49d6e7e3cb31ae01e920fa
.rdata, 0xA000, 0x147E, 0x1600, 4.68, 401f4e9a58d332237ce3a3b71afd8eec
.data, 0xC000, 0x7954, 0x6400, 7.59, 40d50605d72ccd1e6293b165a06c6b42
.rsrc, 0x14000, 0x1000, 0x1000, 5.42, 597c577629f17ecb4fe995326fa9ade4

[[ 4 import(s) ]]
KERNEL32.dll: ResumeThread, GlobalFree, GetSystemInfo, lstrcpynW, GlobalSize, FindClose, VirtualAlloc, GetProcAddress, LoadLibraryA, LCMapStringW, LCMapStringA, SetStdHandle, SetFilePointer, ReadFile, SetEndOfFile, GetLocaleInfoA, GetSystemTimeAsFileTime, GetCurrentProcessId, GetCurrentThreadId, GetTickCount, GetModuleHandleA, GetStartupInfoA, GetCommandLineA, GetVersionExA, HeapFree, ExitProcess, TerminateProcess, GetCurrentProcess, HeapAlloc, VirtualProtect, VirtualQuery, GetLastError, WideCharToMultiByte, WriteFile, GetStdHandle, GetModuleFileNameA, UnhandledExceptionFilter, FreeEnvironmentStringsA, GetEnvironmentStrings, FreeEnvironmentStringsW, GetEnvironmentStringsW, SetHandleCount, GetFileType, HeapDestroy, HeapCreate, VirtualFree, HeapReAlloc, IsBadWritePtr, GetStringTypeA, GetStringTypeW, RtlUnwind, InterlockedExchange, CloseHandle, CreateFileA, GetACP, GetOEMCP, GetCPInfo, MultiByteToWideChar, HeapSize, QueryPerformanceCounter, FlushFileBuffers
USER32.dll: GetMenuItemCount, GetMessageA
comdlg32.dll: GetFileTitleA, PageSetupDlgA, FindTextW, ReplaceTextW
ole32.dll: StgOpenStorageOnILockBytes, StgOpenAsyncDocfileOnIFillLockBytes
Prevx Info:
http://info.prevx.com/aboutprogramtext.asp?PX5=09D3229F001C8E7A1CA601FFDEC1B4006E71E394ExifTool:
file metadata
CharacterSet: Unicode
CodeSize: 36352
EntryPoint: 0x2abc
FileDescription: Entertainment Pack Cardplaying Helper DLL
FileFlagsMask: 0x003f
FileOS: Win32
FileSize: 71 kB
FileSubtype: 0
FileType: Win32 EXE
FileVersion: 5.1.2600.0 (xpclient.010817-1148)
FileVersionNumber: 5.1.2600.0
ImageVersion: 0.0
InitializedDataSize: 40960
InternalName: cards
LanguageCode: English (U.S.)
LegalCopyright: Microsoft Corporation. All rights reserved.
LinkerVersion: 7.1
MIMEType: application/octet-stream
MachineType: Intel 386 or later, and compatibles
OSVersion: 4.0
ObjectFileType: Executable application
PEType: PE32
ProductName: Microsoft Windows Operating System
ProductVersion: 5.1.2600.0
ProductVersionNumber: 5.1.2600.0
Subsystem: Windows GUI
SubsystemVersion: 4.0
TimeStamp: 2011:04:12 15:59:27+02:00
UninitializedDataSize: 0

Sayın Tolstoy; söylediğiniz gibi Virus Total'de dosyayı tarattım, sonuç yukarıdaki gibi. Malware virüsüymüş. Şimdi dosyayı da bulmuşken silersem sorun çözülmüş olur mu acaba?

Alıntı: asterion  

Sayın Tolstoy; söylediğiniz gibi Virus Total'de dosyayı tarattım, sonuç yukarıdaki gibi. Malware virüsüymüş. Şimdi dosyayı da bulmuşken silersem sorun çözülmüş olur mu acaba?

virüslü içeriği sil daha sonra virüsün kalıntılarına ve tekrar aktif hale gelmesine karşın avastı kaldırıp başka bir antivirüsle taratatın(avira,kaspersky,MSE vb..) büyük bir ihtimal sorununuz çözülür.

Alıntı: MELENKOLİK  

virüslü içeriği sil daha sonra virüsün kalıntılarına ve tekrar aktif hale gelmesine karşın avastı kaldırıp başka bir antivirüsle taratatın(avira,kaspersky,MSE vb..) büyük bir ihtimal sorununuz çözülür.

 
Merhaba, bilgisayar iş yerime ait olduğu için ancak yeni virüs programı yükleyip tarama yapabildim. Önce bahsettiğim DAT438a.tmp.exe'yi sildim, silerken Avast yine Truva atı engellendi diye uyarı verdi ve sildiğim dosya ya da uygulama çöp kutusunda da görünmüyor ama başka bir gariplik yok bilgisayarda.
 
Neyse, sildikten sonra Avast'ı kaldırıp MSE yükleyip hızlı tarama yaptırdım, bir şey çıkmadı. Fakat bahsettiğim Dat438a, "msconfig" yazarak ulaştığım yerde başlangıçta çalışan uygulamalar arasında görünüyor hala. Onay işaretini kaldırarak devre dışı bırakmıştım, o şekilde kalmış. Onu oradan kaldırmak gerekir tabii, çünkü hep uyarı alıyorum, ayarları geçici olarak değiştirmiş oluyormuşum çünkü böyle olunca.
 
Sağlıklı bir çözüm önerebilir misiniz bana?