bilgisayar acıldıgı zaman kısa bir sure resimdeki gibi gozuken bu uyarının ardından yaptıgım küçük bi arastırma ile bunun bir solucan oldugu ve hala cözümün arastırıldıgı yazıyor.formatsız ustesinden nasıl geliriz?superantispyware bulamıyor.bu konu hakkında bilgi sahibi olan varmı?

Klasik olabilir ama sistem geri yükleme tavsiye ederim XP yüklü ise.

sistemi geri yukledim duzeldi gozukuyor sagolasın birader herkese verdigimiz aklı kendimize söleyemedik demekki terzi kendi söküğünü dikemezmiş

arkadaslar yinede bu konuda daha ayrıntılı bilgi sahibi olanların bilgilerini paylaşmalarını isterim.

quote:

Orjinalden alıntı: blackangell

arkadaslar yinede bu konuda daha ayrıntılı bilgi sahibi olanların bilgilerini paylaşmalarını isterim.

tam adını al klsöerün
çalışdıra gir

regedit yaz
ve orda pcnin tüm dosylarında tarat o ismi regeditten silmen laızm
yada güzel bir antivirüsle sil...

regedit yaz
ve orda pcnin tüm dosylarında tarat o ismi regeditten silmen laızm
yada güzel bir antivirüsle sil...

[/quote]

regedit yazım ve arattırdım ntkrnl veya ntkr şeklinde arattırdım hiçbi sekilde bulamadı! aynı isimle registere yazmadıgını tahmin ediyorum yanılıyormuyum yada sistem geri yukleme yaptım bi kaç gun önceye attım makineyi bu yuzden görme şansım yok zannedersim?

23 Aralık 2006 tarihli haber
Salı günü Websense, görünüşe göre bir solucanın Skpye’ı hedef aldığını bildirdi. Solucan ilk olarak Asya-pasifikteki bilgisayarları etkiledi, ve özellikle Kore’de halen araştırma konusu çünkü tüm güvenlik uzmanları kökeni ve tabiatı hakkında hemfikir değil.

Websense raporu, solucanın Skype’ın chat özelliği ile yayıldığını söylüyor. Belirli bir biçimde, kullanıcılar kendilerinin “sp.exe” isimli bir dosyayı indirmelerini isteyen bir mesaj alıyorlar. Yürütülebilir dosya, şifreleri çalabilen bir Truva atı. Bir kullanıcı Truva atını çalıştırdığında kendisini yaymak için başka bir kod takımını başlatıyor.
Websense blogunda konunu halen araştırma altında olduğu ancak solucanın birkaç özelliğinin bildirildiği belirtiliyor:

“*dosya paketlenmiş durumda ve hata ayıklama karşıt yordamı var (NTKrnl Secure Suite packer)
*dosya, ilave bir kod için uzak sunucuya bağlanıyor
*orijinal siteye kara delik açılıyor ve artık kodu vermiyor
*kurbanların sayısı halen belirlenememiş durumda
*orijinal bulaşmanı APAC bölgesinde olduğu görülüyor (özellikle Kore)”

websense’e göre yürütülebilir dosya NTKrnl Secure Suite Packer ile şifrelenmiş gibi görünüyor, farklı algılama motorlarına dosyayı tek bir şekilde gösteren çok biçimli bir şifreleme programı. Websense, kodu barındıran orijinal site onu sunmaya devam etmiyor diye belirtti. Bu solucan üzerindeki çalışma halen ilerleme aşamasında ve güvenlik dünyası bunun nasıl belirleneceği konusunda bölünmüş durumda.

Örneğin, F-Secure araştırma şefi Mikko Hypponen’e göre, solucan Skype’ı hedef almıyor. Bu cümle F-Secure tarafından solucanın örneği üzerine yapılan bir çalışmanın temelinde yayınlandı.

Hypponen, “Açık olan şey, şu anda Skype’da yüklü bir solucan patlaması yok. Durumu takip ediyoruz.” dedi.

Diğer taraftan, SANS internet Storm Center, “Skype ile yayılan yeni bir solucan”dan haberdar olduklarını ve daha fazla bilgi aradıklarını belirti.

Solucan hakkında daha fazla detay, testler ve çalışmalar yerine getirilir getirilmez yayınlanacak.

HijackThis isimli programı kullan sorunun bitecektir.ok

Arkadaslar net kafem var bu solucan benim pc lerimede bulastı . Avast olmasına ragmen butun agda kendini gösteriyor.
belliki caresi format ; fakat bu sorunla bir daha karşılasmamk için ne tavsiye önerirsiniz. teşekkurler.

Selam arkadaşlar bu solucanın (tabi gerçekten solucansa) aynı adlı bir sitesi var. Profesyonel bi siteye benziyor. Bu konuda bilgisi olan varsa bizi aydınlatsın lütfen nasıl kurtuluruz bundan ?

Arkadaşlar NTkrnl olayını çözmüş bulunuyorum...

Her ne kadar araştırma yaptığınızda yararlı bir programmış gibi şöyle sonuç verse de;

quote:

NTkrnl Protector

Your Windows software application is vulnerable to attack from cracker, software protection with greater cryptography technique than necessary, and license system is mandatory.

However, Microsoft's portable executable does not presents the security to your project when it comes to release to users, and that inflexibility coupled with the fact that the mission applications require license privilege to run leaves many enterprises.

NTkrnl Secure Engine is a technology that is exclusively created to protect against modern cracking tools and provides Windows application with the high standard protection system with total license control

NTkrnl Protector uses new and unique security metamorphic technology and provides software developers and publishers with an unprecedented level of protection to significantly increase their revenues.

Anti-cracking
NTkrnl Protector has innovative powerful routine against the reverse engineering in the business. It has new code protection features to stop the latest cracking software and cracker issues.

Ayrıntılı bilgi için : http://www.softpedia.com/get/Programming/Packers-Crypters-Protectors/NTkrnl-Protector.shtml (Bir de çok faydalı birşeymiş gibi fiyatına 158$ yazmışlar :)))


Ben yukarıda anlatıldığı tarzda bir faydasını göremedim, çünkü internet bağlantısını felç etti...
Cafede hiçbir sayfa açılmıyor, herşey çok yavaş çalışıyor...

bence NTkrnl kesinlikle bir SOLUCAN... Bilgisayarın birine bulaştıktan sonra ağ üzerinden bütün bilgisayarlara yayılıyor...

Google'da arama yaptığınızda da ilk sonuç olarak kendi sitesi geliyor ve sanki profesyonel bir siteymiş gibi göze çarpıyor...

Bu solucan bilgisayarınızda system32 dosyası altında "gizli" bir klasör ve dosya adıyla çalışıyor...
C:\Windows\System32\dllcache\snchost.exe ----> işte solucan program bu....
(Boşuna silmeyi denemeyin silinmiyor, silsenizde geri geliyor... zaten ne "dllcache" klasörünü ne de "snchost.exe" yi arayarak yada aratarak bulduramıyorsunuz)
İsim olarak dikkat çekmesin diye Windows'un kendi dosyası olan svchost.exe'ye ne kadar da benziyor değilmi!!

Bu "snchost.exe"nin nasıl birşey olduğunu ve ayrıntılarını görebilmeniz için bilgisayarınızda bir process viewer olması lazım...
Bu tarz bir program bilgisayarınızda mutlaka bulunsun.. çoğu zaman istenmeyen uygulamaları ve dll'leri görmenize, sonlandırmanıza yardımcı olacaktır...
CurrProcess programı dünyada bu konuda en iyi ve en hızlı programlardan biri...
http://www.nirsoft.net/utils/cprocess.zip adresinden indirebilirsiniz...

NTkrnl hakkında biraz bilgi vereyim...
Öncelikle bilgisayarı açtığınızda yada explorer'ı açtığınızda kendi resmini göstererek çalıştığını belli eder...
CurrProcess benzeri bir programla çalışan uygulamalara baktığınızda...
herzamanki çalışan olağan exe'lerin arasında windows'un svchost.exe'sine benzeyen bir uygulama dikkatinizi çekecektir... Adı: snchost.exe...
Bunu sonlandırsanız bile kendini yeniden çalıştırıyor...
Silmek neredeyse imkansız çünkü windows bileşenleriyle kendini canlı tutmayı başarıyor...
Sanırım bilgisayardaki bazı dll'ler ve scriptler yoluyla kendini yeniden yüklüyor...

Eğer kişisel bilgisayarınızda bu sorunu yaşıyorsanız formatlamaktan başka bir çareniz yok...
(yada önceden ghost'unu almış iseniz onu yükleyin)...

Eğer internet cafe sahibi iseniz; işte o zaman kaba tabiriyle: hapı yuttunuz...
çünkü ağ yoluyla bütün bilgisayarlara bulaşıyor...

Kendi durumumu örnek vereyim...
Arkadaşın cafesinde 20 adet masa + 1 adet ana masa var...
Ana masa hariç diğer 20 bilgisayarda aktif durumda deep freeze var...
Solucan nasıl olduysa ana masaya bulaşmış...
Oradan da diğer açık masalara... (açık olmayanlara da açılınca bulaşıyor)
DeepFreeze, her yeniden başlatışta önceki yedekten yüklediği için bilgisayarı kurtarıyor...
Ancak bilgisayar açıldığında diğer açık bilgisayarlardan tekrar o solucanı kapıyor...

En sonunda şöyle bir çözüm bulduk...
Cafeyi boşalttık...
Birbirine bulaşmaması için tüm client bilgisayarları kapattık...
(Nasıl olsa açılırken deepfreeze hepsini eskisinden yükleyecek ve kurtaracak)

Hepsi kapalı durumdayken ana masanın ise kendi ghostunu aldık...
(sizinkinin ghostu yoksa formatlayıp yeniden yükleyin)...

Ana masayı ghost'ladıktan sonra ne olur ne olmaz diye kapattık...

Sonra 20 adet masayı açtık... Gayet temiz... (--> deepfreeze kurtardı)
Ana masayı da açtık... Gayet temiz... (--->ghostlandı)

Sözün özü;

1)Kişisel bilgisayar sahibiyseniz ghost alın yada formatlayın...

2)Cafe sahibiyseniz 2 seçeneğiniz var;

2.a) Client bilgisayarlarda önceden yüklenmiş deepfreeze (yada goback) gibi aktif bir program varsa sorun yok...
Clientleri kapatın ve anamakineyi yeniden yükleyin (formatlayın yada alınmış ghostu varsa ordan yükleyin)

2.b)Client bilgisayarlarda deepfreeze yoksa; işte o zaman mesele büyük...
solucan bütün bilgisayarlarda varlığını sürdürür...
tüm bilgisayarları formatlamanız yada ghostlarını almanız gerekecektir...
ghost alırken mutlaka ama mutlaka diğer tüm bilgisayarların kapalı olmasına dikkat edin...
Yoksa bilgisayar açıldığında ağ yoluyla tekrar bulaşır...
Formatlarsanız da aynı durum söz konusu...
Bir bilgisayarı formatlayıp açarken "diğerleri mutlaka kapalı olsun"...
Birini temiz kurduktan sonra kapatın ve bekleyin...
Sonra ikinciyi kurun ve kapatın...sonra üçüncüyü, sonra dördüncüyü...
Ve tümünün formatını bitirene kadar hiçbir bilgisayarı açmayın...
Yoksa açık durumda olan bilgisayar, yepyeni kurupta açtığınız bilgisayara da bulaştırır...

Herkese mutlu günler...