Yeni Kayıt
Konudaki Resimler
|
Hızlı 
Bildirim
NTKRNL adlı solucan
Sıcak Fırsatlarda Tıklananlar
Editörün Seçtiği Fırsatlar
Daha Fazla 
Bu Konudaki Kullanıcılar:
Daha Az 
2 Misafir - 2 Masaüstü
Giriş
Mesaj
-
-
Klasik olabilir ama sistem geri yükleme tavsiye ederim XP yüklü ise. -
sistemi geri yukledim duzeldi gozukuyor sagolasın birader 
herkese verdigimiz aklı kendimize söleyemedik demekki
terzi kendi söküğünü dikemezmiş
-
arkadaslar yinede bu konuda daha ayrıntılı bilgi sahibi olanların bilgilerini paylaşmalarını isterim. -
quote:
Orjinalden alıntı: blackangell
arkadaslar yinede bu konuda daha ayrıntılı bilgi sahibi olanların bilgilerini paylaşmalarını isterim.
tam adını al klsöerün
çalışdıra gir
regedit yaz
ve orda pcnin tüm dosylarında tarat o ismi regeditten silmen laızm
yada güzel bir antivirüsle sil... -
regedit yaz
ve orda pcnin tüm dosylarında tarat o ismi regeditten silmen laızm
yada güzel bir antivirüsle sil...
regedit yazım ve arattırdım ntkrnl veya ntkr şeklinde arattırdım hiçbi sekilde bulamadı! aynı isimle registere yazmadıgını tahmin ediyorum yanılıyormuyum yada sistem geri yukleme yaptım bi kaç gun önceye attım makineyi bu yuzden görme şansım yok zannedersim? -
23 Aralık 2006 tarihli haber
Salı günü Websense, görünüşe göre bir solucanın Skpye’ı hedef aldığını bildirdi. Solucan ilk olarak Asya-pasifikteki bilgisayarları etkiledi, ve özellikle Kore’de halen araştırma konusu çünkü tüm güvenlik uzmanları kökeni ve tabiatı hakkında hemfikir değil.
Websense raporu, solucanın Skype’ın chat özelliği ile yayıldığını söylüyor. Belirli bir biçimde, kullanıcılar kendilerinin “sp.exe” isimli bir dosyayı indirmelerini isteyen bir mesaj alıyorlar. Yürütülebilir dosya, şifreleri çalabilen bir Truva atı. Bir kullanıcı Truva atını çalıştırdığında kendisini yaymak için başka bir kod takımını başlatıyor.
Websense blogunda konunu halen araştırma altında olduğu ancak solucanın birkaç özelliğinin bildirildiği belirtiliyor:
“*dosya paketlenmiş durumda ve hata ayıklama karşıt yordamı var (NTKrnl Secure Suite packer)
*dosya, ilave bir kod için uzak sunucuya bağlanıyor
*orijinal siteye kara delik açılıyor ve artık kodu vermiyor
*kurbanların sayısı halen belirlenememiş durumda
*orijinal bulaşmanı APAC bölgesinde olduğu görülüyor (özellikle Kore)”
websense’e göre yürütülebilir dosya NTKrnl Secure Suite Packer ile şifrelenmiş gibi görünüyor, farklı algılama motorlarına dosyayı tek bir şekilde gösteren çok biçimli bir şifreleme programı. Websense, kodu barındıran orijinal site onu sunmaya devam etmiyor diye belirtti. Bu solucan üzerindeki çalışma halen ilerleme aşamasında ve güvenlik dünyası bunun nasıl belirleneceği konusunda bölünmüş durumda.
Örneğin, F-Secure araştırma şefi Mikko Hypponen’e göre, solucan Skype’ı hedef almıyor. Bu cümle F-Secure tarafından solucanın örneği üzerine yapılan bir çalışmanın temelinde yayınlandı.
Hypponen, “Açık olan şey, şu anda Skype’da yüklü bir solucan patlaması yok. Durumu takip ediyoruz.” dedi.
Diğer taraftan, SANS internet Storm Center, “Skype ile yayılan yeni bir solucan”dan haberdar olduklarını ve daha fazla bilgi aradıklarını belirti.
Solucan hakkında daha fazla detay, testler ve çalışmalar yerine getirilir getirilmez yayınlanacak.
< Bu mesaj bu kişi tarafından değiştirildi trgevent -- 16 Ocak 2007; 2:55:24 >
-
HijackThis isimli programı kullan sorunun bitecektir.ok -
Arkadaslar net kafem var bu solucan benim pc lerimede bulastı . Avast olmasına ragmen butun agda kendini gösteriyor.
belliki caresi format ; fakat bu sorunla bir daha karşılasmamk için ne tavsiye önerirsiniz. teşekkurler. -
Selam arkadaşlar bu solucanın (tabi gerçekten solucansa) aynı adlı bir sitesi var. Profesyonel bi siteye benziyor. Bu konuda bilgisi olan varsa bizi aydınlatsın lütfen nasıl kurtuluruz bundan ? -
Arkadaşlar NTkrnl olayını çözmüş bulunuyorum...
Her ne kadar araştırma yaptığınızda yararlı bir programmış gibi şöyle sonuç verse de;
quote:
NTkrnl Protector
Your Windows software application is vulnerable to attack from cracker, software protection with greater cryptography technique than necessary, and license system is mandatory.
However, Microsoft's portable executable does not presents the security to your project when it comes to release to users, and that inflexibility coupled with the fact that the mission applications require license privilege to run leaves many enterprises.
NTkrnl Secure Engine is a technology that is exclusively created to protect against modern cracking tools and provides Windows application with the high standard protection system with total license control
NTkrnl Protector uses new and unique security metamorphic technology and provides software developers and publishers with an unprecedented level of protection to significantly increase their revenues.
Anti-cracking
NTkrnl Protector has innovative powerful routine against the reverse engineering in the business. It has new code protection features to stop the latest cracking software and cracker issues.
Ayrıntılı bilgi için :http://www.softpedia.com/get/Programming/Packers-Crypters-Protectors/NTkrnl-Protector.shtml (Bir de çok faydalı birşeymiş gibi fiyatına 158$ yazmışlar :)))
Ben yukarıda anlatıldığı tarzda bir faydasını göremedim, çünkü internet bağlantısını felç etti...
Cafede hiçbir sayfa açılmıyor, herşey çok yavaş çalışıyor...
bence NTkrnl kesinlikle bir SOLUCAN... Bilgisayarın birine bulaştıktan sonra ağ üzerinden bütün bilgisayarlara yayılıyor...
Google'da arama yaptığınızda da ilk sonuç olarak kendi sitesi geliyor ve sanki profesyonel bir siteymiş gibi göze çarpıyor...
Bu solucan bilgisayarınızda system32 dosyası altında "gizli" bir klasör ve dosya adıyla çalışıyor...
C:\Windows\System32\dllcache\snchost.exe ----> işte solucan program bu....
(Boşuna silmeyi denemeyin silinmiyor, silsenizde geri geliyor... zaten ne "dllcache" klasörünü ne de "snchost.exe" yi arayarak yada aratarak bulduramıyorsunuz)
İsim olarak dikkat çekmesin diye Windows'un kendi dosyası olan svchost.exe'ye ne kadar da benziyor değilmi!!
Bu "snchost.exe"nin nasıl birşey olduğunu ve ayrıntılarını görebilmeniz için bilgisayarınızda bir process viewer olması lazım...
Bu tarz bir program bilgisayarınızda mutlaka bulunsun.. çoğu zaman istenmeyen uygulamaları ve dll'leri görmenize, sonlandırmanıza yardımcı olacaktır...
CurrProcess programı dünyada bu konuda en iyi ve en hızlı programlardan biri...
http://www.nirsoft.net/utils/cprocess.zip adresinden indirebilirsiniz...
NTkrnl hakkında biraz bilgi vereyim...
Öncelikle bilgisayarı açtığınızda yada explorer'ı açtığınızda kendi resmini göstererek çalıştığını belli eder...
CurrProcess benzeri bir programla çalışan uygulamalara baktığınızda...
herzamanki çalışan olağan exe'lerin arasında windows'un svchost.exe'sine benzeyen bir uygulama dikkatinizi çekecektir... Adı: snchost.exe...
Bunu sonlandırsanız bile kendini yeniden çalıştırıyor...
Silmek neredeyse imkansız çünkü windows bileşenleriyle kendini canlı tutmayı başarıyor...
Sanırım bilgisayardaki bazı dll'ler ve scriptler yoluyla kendini yeniden yüklüyor...
Eğer kişisel bilgisayarınızda bu sorunu yaşıyorsanız formatlamaktan başka bir çareniz yok...
(yada önceden ghost'unu almış iseniz onu yükleyin)...
Eğer internet cafe sahibi iseniz; işte o zaman kaba tabiriyle: hapı yuttunuz...
çünkü ağ yoluyla bütün bilgisayarlara bulaşıyor...
Kendi durumumu örnek vereyim...
Arkadaşın cafesinde 20 adet masa + 1 adet ana masa var...
Ana masa hariç diğer 20 bilgisayarda aktif durumda deep freeze var...
Solucan nasıl olduysa ana masaya bulaşmış...
Oradan da diğer açık masalara... (açık olmayanlara da açılınca bulaşıyor)
DeepFreeze, her yeniden başlatışta önceki yedekten yüklediği için bilgisayarı kurtarıyor...
Ancak bilgisayar açıldığında diğer açık bilgisayarlardan tekrar o solucanı kapıyor...
En sonunda şöyle bir çözüm bulduk...
Cafeyi boşalttık...
Birbirine bulaşmaması için tüm client bilgisayarları kapattık...
(Nasıl olsa açılırken deepfreeze hepsini eskisinden yükleyecek ve kurtaracak)
Hepsi kapalı durumdayken ana masanın ise kendi ghostunu aldık...
(sizinkinin ghostu yoksa formatlayıp yeniden yükleyin)...
Ana masayı ghost'ladıktan sonra ne olur ne olmaz diye kapattık...
Sonra 20 adet masayı açtık... Gayet temiz... (--> deepfreeze kurtardı)
Ana masayı da açtık... Gayet temiz... (--->ghostlandı)
Sözün özü;
1)Kişisel bilgisayar sahibiyseniz ghost alın yada formatlayın...
2)Cafe sahibiyseniz 2 seçeneğiniz var;
2.a) Client bilgisayarlarda önceden yüklenmiş deepfreeze (yada goback) gibi aktif bir program varsa sorun yok...
Clientleri kapatın ve anamakineyi yeniden yükleyin (formatlayın yada alınmış ghostu varsa ordan yükleyin)
2.b)Client bilgisayarlarda deepfreeze yoksa; işte o zaman mesele büyük...
solucan bütün bilgisayarlarda varlığını sürdürür...
tüm bilgisayarları formatlamanız yada ghostlarını almanız gerekecektir...
ghost alırken mutlaka ama mutlaka diğer tüm bilgisayarların kapalı olmasına dikkat edin...
Yoksa bilgisayar açıldığında ağ yoluyla tekrar bulaşır...
Formatlarsanız da aynı durum söz konusu...
Bir bilgisayarı formatlayıp açarken "diğerleri mutlaka kapalı olsun"...
Birini temiz kurduktan sonra kapatın ve bekleyin...
Sonra ikinciyi kurun ve kapatın...sonra üçüncüyü, sonra dördüncüyü...
Ve tümünün formatını bitirene kadar hiçbir bilgisayarı açmayın...
Yoksa açık durumda olan bilgisayar, yepyeni kurupta açtığınız bilgisayara da bulaştırır...
Herkese mutlu günler...
< Bu mesaj bu kişi tarafından değiştirildi bulutsuzgece -- 14 Ocak 2007; 19:38:51 >
-
Hala bu viruse karşı karşı güncelleme çıkmadı mı ilginç. -
Bu solucanmıdır virüsmüdür nedir benim cafede 4-5 pcde var.Ses sorunların problem açıyor.Ewido buluyor siliyorum ama sonra canlanıyomu bilemicem...
Virüsün ismi
Backdoor.IRCBot.wd -
-
Arkadasım Aynı Sorun Sımdı ßenım Agım'dada var .. Bazı Makıneler'de Goback Bazıların'da Ise DeepFreez var Neyse ßen ßu Solucanın hangı ßılgısayar'larda oldugunu snchost.exe ßu Dosyaya ßakarak mı Anlayacagım ? :SS -
NTkrnl bir solucan degil sadece bir şifreleme methodudur. Tam adı NTKrnl Secure Suite Packer sadece bi algoritma bir sifreleme methodu bu method ile farklı dosya adları ile sisteme bulasma olasılıgı var... cafenin birinde aynı sorunun tam 2 gundur benimde basimda var, karsıma ilk cikan dosya nod64.exe diger bir isimle cikan dosya lmkhost.exe, hepsinin yine bulundugu yer System32 içinde dllcache klasoru... tam anlamıyla agda bir facia local agi internet agini bi sure cikmaza hatta kitlenmeye varana kadar zora sokabiliyor... ve halen herhangi bir removal tool yayinlanmamis durumda o yuzden deepfreeze vb programlar ile korunmayan pcler icin kesin format gerekiyor... ayrica bu sıstemde calisan ilginc isimli dosyalara regedit te arattıgınız rastlamanız mumkundur, trojan bunu cok akıllı bir sekilde tum aga kopyalabiliyor ve msconfig sistem baslangicina bakıldıgında hizmet blogunda Microsoft Agent üretici blogunda ise Bilinmeyen ibaresi ile baslangica yazilabiliyor... Daha sık olarak Kore çıkışlı Knight Online oyunu için kullanılan Kosp,Xpatch,Xhack vb kurulum dosyalarından geliyor, - tahminince asıl amac bu olsa gerek bu oyun icin sifreleri calabilmek - ayrıca bir cok sohbet sitesinde de tmp klasorunu kullanarak sisteme bulasabiliyor... tam bir basagrisi konuyu gorunce icime dokeyim dedim :)
< Bu mesaj bu kişi tarafından değiştirildi loremipsum -- 21 Ocak 2007; 1:10:45 >
-
aynı ekran bende de cıkıoyrdu. yani bilgisayar açılırken ntkrnl ekranı cıkıp kayboluyordu.
ben Hijackthis ile kurtuldum side deneyin faydası olur bence....
Hijackthis ile ilgili yapılacaklar aşagıda acıklanmış.serji tarafından
http://forum.donanimhaber.com/m_9478084/tm.htm -
hijackthis ile kurtulun demişsiniz ama burda bir sorun var hijackthisi bilmeyen kişilerin elinde felaktetle sonuçlanacak sorunlar oluşabilir. Mutlaka bilen birilerinden destek alın. Ayrıca doctus.net'ide takip eden biri olarak sanırım sizin sorununuzu ordaki arkadaşlardan biri çözmüştü. Veya isim benzerliğide olabilir.
Sayfa:
1
Ip işlemleri
Bu mesaj IP'si ile atılan mesajları ara Bu kullanıcının son IP'si ile atılan mesajları ara Bu mesaj IP'si ile kullanıcı ara Bu kullanıcının son IP'si ile kullanıcı ara
KAPAT X
Bu mesaj IP'si ile atılan mesajları ara Bu kullanıcının son IP'si ile atılan mesajları ara Bu mesaj IP'si ile kullanıcı ara Bu kullanıcının son IP'si ile kullanıcı ara
KAPAT X
