Yeni Kayıt
Konudaki Resimler
< Bu mesaj bu kişi tarafından değiştirildi DT -- 9 Temmuz 2008; 9:11:57 > |
Hızlı 
Bildirim
Flec006.exe, hldrrr.exe, winitems.exe...Ne biçim bir virüs bu?(Beagle)
Sıcak Fırsatlarda Tıklananlar
Editörün Seçtiği Fırsatlar
Daha Fazla 
Bu Konudaki Kullanıcılar:
Daha Az 
1 Misafir - 1 Masaüstü
Giriş
Mesaj
-
-
Şu tarz bir yazı buldum.Sistem geri yüklemeyi aktif hale getiriyor galiba.Deneyen var mı?
"the automatic updates service was successfully sent a stop control."
"the avg7 update service service terminated unexpectedly. it has done this 1 time(s)."
"the avg e-mail scanner service terminated unexpectedly. it has done this 1 time(s)."
"the application layer gateway service service entered the stopped state."
"the windows firewall/internet connection sharing (ics) service entered the stopped state."
"the windows firewall/internet connection sharing (ics) service was successfully sent a stop control."
"the automatic updates service entered the stopped state."
"the security center service was successfully sent a stop control."
"the megadrv3 service was successfully sent a start control."
"the security center service entered the stopped state."
"the http ssl service was successfully sent a start control."
"the http ssl service entered the running state."
"microsoft (r) windows (r) 5.01. 2600 service pack 2 uniprocessor free."
"the event log service was started."
"the computer has rebooted from a bugcheck. the bugcheck was: 0x000000f4 (0x00000003, 0x82105020, 0x82105194, 0x805fa160). a dump was saved in: c:\windows\minidump\mini031008-01.dmp."
eveeeet, kendisi operasyonuna bu sekilde basliyor efendim... gorunende bunlari yapmakla ve varyantlari arasinda fark olmakla birlikte baska "neler yapiyor?" derseniz, antivirus yazilimini durdurmakla kalmiyor, uygulama dosyalarinin kimilerinin icerigini bozuyor, kimilerini kendisi ile degistiriyor; "ndis usermode i/o protocol"'u disable ederek "wireless zero configuration" servisini calismaz hale getiriyor; %windir%\system32\wintems.exe programini aleni calistirirken, rootkit marifetiyle %windir%\system32\drivers\hldrrr.exe programini ve calismasini, yarattigi megadrv3 servisinin kullandigi %windir%\system32\drivers\srosa.sys dosyasini, olusturdugu %windir%\system32\down klasorunu ve bu klasorun icerisinde yarattigi klonlarini windows api'den gizliyor; bunlar vasitasiyla megadrv3 servisini silinir silinmez yeniden yaratiyor; antivirus, antirootkit programlarinin uygulama dosyalarini, diske kopyalanir kopyalanmaz yeniden degistiriyor; windows'un system restore ile eski bir tarihe geri alinmasini engelliyor; "hklm\system\currentcontrolset\control\safeboot" registry key'ini silerek windows'un safe mode'da acilamamasini sagliyor.
peki kendisinden nasil kurtuluyoruz?
benim durumumda, makineyi bir windows xp kurulum cd'sinden aciyoruz ve recovery console'u calistiriyoruz. recovery console'dan wintems.exe, hldrrr.exe, srosa.sys ve down klasoru icerisinde yer alan diger .exe dosyalarini siliyoruz ve isin kolayina kacarak artik calisir hale gelen system restore ile windows'u guvenli bir tarihteki haline restore ediyoruz. dosyalari zarar gormus olan, antivirus yazilimimizi yeniden kuruyoruz ve "ne olur, ne olmaz" diyerek bir antirootkit yazilimi ile sistemimizi tekrar taratiyoruz. bu noktada tercihimizi, bu tecrube sirasinda beagle'in sopalamadigi yegane arac olan rootkitrevealer'dan yana kullanabiliriz.
gecmis olsun...
Çok yardımcı gördüm forumu:)
< Bu mesaj bu kişi tarafından değiştirildi DT -- 9 Temmuz 2008; 9:21:49 >
-
-
ÇÖZÜMÜ BULDUM :-)
Merhaba Arkadaşlar,
bu virüs bugün başıma bela oldu ne yapıysam çare olmadı. Sonunda "DT" nin anlattıklarına birazdan kendimkileri ekleyerek virüsü def ettim şükür :)
Yapacaklarınızın Tek Tek Anlatıyorum.
1- Windows Sistem Geri Yüklemeyi Çalıştırın.
2- Bilgisayarınızı eski bir tarihe geri yükleyin. (Yükleme Yapmayacak ama siz genede yapın)
3- Bilgisayar Geriyüklemede kapanacak. Kapandıktan sonra CD-Rom'a Windows XP CD sini takın
4- Bilgisayarınıza Windows kurulmasına başlatın.
5- Windows Kurulması aşamasında R-Onar seçeneği ile MS-Dos'a dönün (MS-Dosun Gözünü Sevim)
6- Aşağıdaki Dosyaları Silin
- :C\WINDOWS\system32\wintems.exe
- :C\WINDOWS\system32\drivers\hldrrr.exe
- :C\WINDOWS\system32\drivers\srosa.sys
- :C\WINDOWS\system32\down
Down klasörü olmayabilir belki.
7- Bunları sildikten sonra exit yazın ve bilgisayar yeniden başlasın.
8- Bilgisayar başlarken Geri yükleme sihirbazı karşınıza çıkar.
9- Geri yüklemenin olmadığını söyler size, ama üzülmeyin az önceki geri yüklemde yaptınızın aynısını tekrar yapın.
10- Geri yükleme tekrar yapılır ve Virüs güle güle :)
Yapamayanlar
msn : thiefchief - hotmail - com
-
Güvenilir bir antispy programı(Superantispyware,Spyware Doctor) bul.Güvenli modda tarat ve çıkanları sil.Ondan sonra msconfig yazıp,başlangıçta çalışması garip görünenleri kaldı.Mevcut virüs programınla(Nod32 yada Kaspersky tavsiye ederim.) normal modda tekrar tarat ve yine çıkanları sil.Baştan başlat ve temizlendi.Benim de başımdan aynı virüsler geçti ve bu uygulamayı yaptım. 
-
aynı sorun bende de var
belki aynı dosyalar
güvenli kipi engelliyor
regedit ve registry engelliyor
yeni aldığım bir bilgisayara flash diskimi takmıştım anında bulaşmış ve aynı duruma gelmiş
bir şekilde engellesemde hemen aktif oluyor
onarma ilede çözemedim bakalım nolacak
Sayfa:
1
Ip işlemleri
Bu mesaj IP'si ile atılan mesajları ara Bu kullanıcının son IP'si ile atılan mesajları ara Bu mesaj IP'si ile kullanıcı ara Bu kullanıcının son IP'si ile kullanıcı ara
KAPAT X
Bu mesaj IP'si ile atılan mesajları ara Bu kullanıcının son IP'si ile atılan mesajları ara Bu mesaj IP'si ile kullanıcı ara Bu kullanıcının son IP'si ile kullanıcı ara
KAPAT X
