Yeni Kayıt
Konudaki Resimler
önceki
< Bu mesaj bu kişi tarafından değiştirildi yenerbalcı -- 12 Mayıs 2009; 2:14:56 > |
Hızlı 
Bildirim
Virus.Win32.Sality.aa virüsü (6. sayfa)
Sıcak Fırsatlarda Tıklananlar
Editörün Seçtiği Fırsatlar
Daha Fazla 
Bu Konudaki Kullanıcılar:
Daha Az 
2 Misafir - 2 Masaüstü
Giriş
Mesaj
-
-
Norton nasıl çözüyor anlamadım. ??
Ona bakarsan Nod32 de çözüyor gibi gösteriyor.
Kasperde aynı?
Mbr virüslerini okumanı öneririm.
Bu virüsleri yazanın diyorum içimden sürekli.
Lanet olası virüs her şeye musallat.
Özelllikle bu sene bu virüslerin sayısında patlama yaşanıyor. Eminm ki bunları Antivirüs Programı yazan firmalar ile harddisk üreten firmaların işbirliği ile olan şeyler.
Exe'lerin canına okuyor. Kiminin resim dosyalarına kiminin ise bilgisayarının açılışna yerleşiyor.
Ortak nokta win32.sality türevli olmaları
Kayıt defteri ile birçok dll uzantılı dossyayı değiştiryor. -
Win32.sality.aa dosyasının değiştirdiği şeyleri şağıda veriyorum
Admin arkadaş kusra bakmasın Flood gibi oldu ama :(
Açıklama
Win32/Sality.AA is a polymorphic virus that infects Win32 PE executable files. Win32/Sality.AA bu Win32 PE yürütülebilir dosyaları bozar bir Polimorfik virus.
Back to top Başa dön
Method of Infection Method of Infection
When executed, Win32/Sality.AA drops a malicious component file to: When executed, Win32/Sality.AA zararlı bir bileşen dosyasını düşüyor:
%System%\drivers\< random filename >.sys % System% \ drivers \ <rasgele dosya>. SYS
This component is a device driver that acts as a 'rootkit' at kernel level; it allows the virus to hide itself in the compromised system by changing data structures in the kernel and hiding its malicious activity. Bu bileşen bir aygıt sürücüsü, çekirdek düzeyinde bir 'Rootkit' gibi eylemler; bu taviz sisteminde çekirdek veri yapıları değişen ve zararlı faaliyetleri gizleme kendini gizlemek için, virüs izin vermektedir. This 'rootkit' method only functions on Windows NT-based operating systems, such as NT/2000/XP/2003. Windows NT Bu 'Rootkit' yöntemi sadece işlevleri-NT/2000/XP/2003 gibi işletim sistemleri, temel.
Sality.AA also adds the following registry entry as a part of the device driver installation routine: Sality.AA da aygıt sürücüsü yükleme rutin bir parçası olarak, aşağıdaki kayıt defteri girdisini ekler:
HKLM\SYSTEM\CurrentControlSet\Services\abp470n5 HKLM \ SYSTEM \ CurrentControlSet \ Services \ abp470n5
It adds the following text to the " system.ini " file located in the %Windows% directory: Bu "System.ini" the% Windows% dizinde yer dosyasına aşağıdaki metin ekler:
[MCIDRV_VER] [MCIDRV_VER]
DEVICEMB=< random number > DEVICEMB = <rasgele sayı>
It also adds the following registry key with numerous random subkeys and entries needed for its malicious routine: Ayrıca çok sayıda rasgele alt anahtarlar ve kayıtları da kötü amaçlı rutin için gerekli olan aşağıdaki kayıt defteri anahtarını ekler:
HKCU\Software\< computer name >< 3 random numbers > HKCU \ Software \ <bilgisayar adı> <3 rasgele numaralar>
For example: Örneğin:
HKCU\Software\JohnSmith498 HKCU \ Software \ JohnSmith498
Note: %System% and %Windows% are variable locations. Not:% System% ve% Windows% değişkeni yerleri vardır. The malware determines the location of these folders by querying the operating system. Bu kötü amaçlı yazılım, işletim sistemi sorgulama bu klasörlerin konumunu belirler. The default installation location for the System directory for Windows 2000 and NT is C:\Winnt\System32; for 95, 98 and ME is C:\Windows\System; and for XP is C:\Windows\System32.The default installation location for the Windows directory for Windows 2000 and NT is C:\Winnt; for 95,98 and ME is C:\Windows; and for XP and Vista is C:\Windows. Windows 2000 için Sistem dizin ve NT C: \ Winnt \ System32 için varsayılan yükleme konumu, 95, 98 ve ME C: \ Windows \ System; ve XP için C: \ Windows \ System32.The Varsayılan yükleme konumu Windows 2000 için Windows dizini ve NT C: \ Winnt için; için 95,98 ve ME C: \ Windows ve XP ve Vista C: \ Windows.
Back to top Başa dön
Method of Distribution Yöntem Distribution
Via File Infection Dosya ile Enfeksiyon
Win32/Sality.AA is a polymorphic virus that attempts to spread by file infection. Win32/Sality.AA bir Polimorfik virüs bu girişimi dosya enfeksiyon yayılır için. It looks for Win32 PE executable files with .EXE or .SCR file extensions, and infects any such files found on the system by appending the virus body to the host file. Ile Win32 PE yürütülebilir dosyaları arar. EXE veya. SCR dosya uzantıları ve bu tür dosyalar sistemde ana dosyaya virüs vücut eklenmesiyle tarafından bozar.
Via Networks/Removable Drives Via Ağları / Taşınabilir Sürücüler
The virus also attempts to propagate by copying itself with a random filename to network drives, including all removable disk drives. Virüs tüm taşınabilir disk sürücüleri de dahil olmak üzere ağ sürücüleri için rasgele bir dosya ile kendini kopyalayarak yayılması için çalışır. Sality.AA also creates an " autorun.inf " file in these drives so that the virus executes when it is accessed. Sality.AA de böylece virüs zaman erişilir çalıştırır bir "autorun.inf" bu sürücü dosyasını oluşturur.
Back to top Başa dön
Payload Payload
Downloads Additional Malware Dosyalar Ek Kötü Amaçlı Yazılım
Sality.AA contacts the following domains in order to download additional malware onto the system: Sistem üzerine indirmek ek kötü amaçlı yazılım için Sality.AA kişiler sırayla aşağıdaki etki alanları:
89.119.67.154 89.119.67.154
bjerm.mass.hc.ru bjerm.mass.hc.ru
klkjwre77638dfqwieuoi888.info klkjwre77638dfqwieuoi888.info
kukutrustnet777.info kukutrustnet777.info
kukutrustnet777888.info kukutrustnet777888.info
kukutrustnet888.info kukutrustnet888.info
kukutrustnet987.info kukutrustnet987.info
lpbmx.ru lpbmx.ru
mattfoll.eu.interia.pl mattfoll.eu.interia.pl
st1.dist.su.lt st1.dist.su.lt
www.klkjwre9fqwieluoi.infowww.klkjwre9fqwieluoi.info
Deletes Files Siler Dosyalar
Sality.AA may delete files on the system that have either of the following file extensions: Sality.AA ya aşağıdaki dosya uzantılarına sahip sistem dosyaları silebilir:
.VDB . VDB
.AVC . AVC
Deletes Registry Entries Siler kayıt defteri girdileri
Win32/Sality.AA deletes registry entries found in any of the following registry subkeys: Win32/Sality.AA kayıt defteri girdilerini siler, aşağıdaki kayıt defteri alt anahtarlarının bulundu:
HKCU\System\CurrentControlSet\Control\SafeBoot HKCU \ System \ CurrentControlSet \ Control \ safeboot
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot HKLM \ SYSTEM \ CurrentControlSet \ Control \ safeboot
HKLM\Software\Microsoft\Windows NT\CurrentVersion\ProfileList HKLM \ Software \ Microsoft \ Windows NT \ CurrentVersion \ ProfileList
HKLM\Software\Microsoft\Windows\CurrentVersion\Ext\Stats HKLM \ Software \ Microsoft \ Windows \ CurrentVersion \ Ext \ Stats
HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Ext \ Stats
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects HKLM \ Software \ Microsoft \ Windows \ CurrentVersion \ Explorer \ Browser Helper Objects
Modifies System Settings / Lowers Security Settings Değiştirir Sistem Ayarları / düşürür Güvenlik Ayarları
Sality.AA bypasses the system firewall by executing the command: Sality.AA komutunu çalıştırarak, sistemin güvenlik duvarı atlar:
netsh firewall set opmode disable netsh güvenlik duvarı opmode devre dışı bırakmak ayarlamak
and modifying the following registry entries: ve değiştirilmesi, aşağıdaki kayıt defteri girdileri:
HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\"< infected filename >" = "< infected filename >:*:Enabled:ipsec" HKLM \ SYSTEM \ CurrentControlSet \ Services \ SharedAccess \ Parameters \ FirewallPolicy \ StandardProfile \ AuthorizedApplications \ List \ "<virüslü dosya>" = "<virüslü dosya>: *: Enabled:" IPSec
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA = 0 HKLM \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ System \ EnableLUA = 0
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Setting\GlobalUserOffline = 0 HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Internet \ GlobalUserOffline = 0 Ayar
It may also disable settings related to system security. Bu da devre dışı bırakmak ayarları sistem güvenliği ile ilgili. It does this by adding the following registry entries: Bu, aşağıdaki kayıt defteri girdileri ekledi: Bu bir
HKLM\SOFTWARE\Microsoft\Security Center\AntiVirusOverride = dword:00000001 HKLM \ SOFTWARE \ Microsoft \ Güvenlik Merkezi \ AntiVirusOverride = dword: 00000001
HKLM\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify = dword:00000001 HKLM \ SOFTWARE \ Microsoft \ Güvenlik Merkezi \ AntiVirusDisableNotify = dword: 00000001
HKLM\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify = dword:00000001 HKLM \ SOFTWARE \ Microsoft \ Güvenlik Merkezi \ FirewallDisableNotify = dword: 00000001
HKLM\SOFTWARE\Microsoft\Security Center\FirewallOverride = dword:00000001 HKLM \ SOFTWARE \ Microsoft \ Güvenlik Merkezi \ FirewallOverride = dword: 00000001
HKLM\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify = dword:00000001 HKLM \ SOFTWARE \ Microsoft \ Güvenlik Merkezi \ UpdatesDisableNotify = dword: 00000001
HKLM\SOFTWARE\Microsoft\Security Center\UacDisableNotify = dword:00000001 HKLM \ SOFTWARE \ Microsoft \ Güvenlik Merkezi \ UacDisableNotify = dword: 00000001
HKLM\SOFTWARE\Microsoft\Security Center\Svc\AntiVirusOverride = dword:00000001 HKLM \ SOFTWARE \ Microsoft \ Güvenlik Merkezi \ svc \ AntiVirusOverride = dword: 00000001
HKLM\SOFTWARE\Microsoft\Security Center\Svc\AntiVirusDisableNotify = dword:00000001 HKLM \ SOFTWARE \ Microsoft \ Güvenlik Merkezi \ svc \ AntiVirusDisableNotify = dword: 00000001
HKLM\SOFTWARE\Microsoft\Security Center\Svc\FirewallDisableNotify = dword:00000001 HKLM \ SOFTWARE \ Microsoft \ Güvenlik Merkezi \ svc \ FirewallDisableNotify = dword: 00000001
HKLM\SOFTWARE\Microsoft\Security Center\Svc\FirewallOverride = dword:00000001 HKLM \ SOFTWARE \ Microsoft \ Güvenlik Merkezi \ svc \ FirewallOverride = dword: 00000001
HKLM\SOFTWARE\Microsoft\Security Center\Svc\UpdatesDisableNotify = dword:00000001 HKLM \ SOFTWARE \ Microsoft \ Güvenlik Merkezi \ svc \ UpdatesDisableNotify = dword: 00000001
HKLM\SOFTWARE\Microsoft\Security Center\Svc\UacDisableNotify = dword:00000001 HKLM \ SOFTWARE \ Microsoft \ Güvenlik Merkezi \ svc \ UacDisableNotify = dword: 00000001
The virus sets the following registry entry so that hidden folders and files are not displayed in Windows Explorer view: Virüs böylece gizli klasör ve dosyaları Windows Gezgini'nde görüntülemek gösterilmezler aşağıdaki kayıt defteri girdisini ayarlar:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Hidden = 2 HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Explorer \ Advanced \ Gizli = 2
It also disables Registry Editor and Task Manager by adding these registry entries: Ayrıca devre dışı bırakır Kayıt Defteri Editörü ve Görev Yöneticisi Bu kayıt defteri girdileri ekledi: by
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\system\DisableTaskMgr = dword:00000001 HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ system \ DisableTaskMgr = dword: 00000001
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\system\DisableRegistryTools = dword:00000001 HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ system \ DisableRegistryTools = dword: 00000001
Terminates Services Fesholur Hizmetler
Sality.AA terminates services running on the system that have the following names: Sality.AA hizmetleri sistemi, aşağıdaki isimleri var çalışan sona erer:
acssrv acssrv
Agnitum Client Security Service Agnitum Müşteri Güvenlik Servisi
Amon monitor Amon monitör
aswFsBlk aswFsBlk
aswMon2 aswMon2
aswRdr aswRdr
aswSP aswSP
aswTdi aswTdi
aswUpdSv aswUpdSv
AV Engine AV Motoru
avast! avast! Antivirus Antivirus
avast! avast! Asynchronous Virus Monitor Asenkron Virüs Monitör
avast! avast! iAVS4 Control Service iAVS4 Kontrol Servisi
avast! avast! Mail Scanner Posta Tarayıcı
avast! avast! Self Protection Kendini Koruma
avast! avast! Web Scanner Web Tarayıcı
AVG E-mail Scanner AVG E-posta Tarayıcı
Avira AntiVir Premium Guard Avira AntiVir Premium Guard
Avira AntiVir Premium MailGuard Avira AntiVir Premium MailGuard
Avira AntiVir Premium WebGuard Avira AntiVir Premium WebGuard
BackWeb Plug-in - 4476822 Backweb Plug-in - 4476822
BGLiveSvc BGLiveSvc
BlackICE BlackICE
CAISafe CAISafe
ccEvtMgr ccEvtMgr
ccProxy ccProxy
ccSetMgr ccSetMgr
Eset HTTP Server Eset HTTP Sunucusu
Eset Personal Firewall Eset Personal Firewall
Eset Service Eset Servisi
F-Prot Antivirus Update Monitor F-Prot Antivirus Güncelle Monitör
F-Secure Gatekeeper Handler Starter F-Secure Gatekeeper Handler Starter
fsbwsys fsbwsys
FSDFWD FSDFWD
Google Online Services Google Online Hizmetler
InoRPC InoRPC
InoRT InoRT
InoTask InoTask
ISSVC ISSVC
LavasoftFirewall LavasoftFirewall
LIVESRV LIVESRV
McAfeeFramework McAfeeFramework
McShield McShield
McTaskManager McTaskManager
navapsvc navapsvc
NOD32krn NOD32krn
NPFMntor NPFMntor
NSCService NSCService
Outpost Firewall main module Outpost Firewall ana modülü
OutpostFirewall OutpostFirewall
PAVFIRES PAVFIRES
PAVFNSVR PAVFNSVR
PavProt PavProt
PavPrSrv PavPrSrv
PAVSRV PAVSRV
PcCtlCom PcCtlCom
PersonalFirewal PersonalFirewal
PREVSRV PREVSRV
ProtoPort Firewall service ProtoPort Firewall hizmeti
PSIMSVC PSIMSVC
RapApp RapApp
SavRoam SavRoam
SmcService SmcService
SNDSrvc SNDSrvc
SPBBCSvc SPBBCSvc
SpIDer FS Monitor for Windows NT Örümcek FS Monitör Windows NT için
SpIDer Guard File System Monitor Örümcek Güvenlik Dosya Sistem Monitörü
SPIDERNT SPIDERNT
Symantec AntiVirus Symantec AntiVirus
Symantec AntiVirus Definition Watcher Symantec AntiVirus Definition bakıcı
Symantec Core LC Symantec Core LC
Symantec Password Validation Symantec Şifre Doğrulama
tcpsr tcpsr
Tmntsrv Tmntsrv
TmPfw TmPfw
tmproxy tmproxy
UmxAgent UmxAgent
UmxCfg UmxCfg
UmxLU UmxLU
UmxPol UmxPol
vsmon vsmon
VSSERV VSSERV
WebrootDesktopFirewallDataService WebrootDesktopFirewallDataService
WebrootFirewall WebrootFirewall
XCOMM XCOMM
Terminates Processes / Deletes Files Fesholur İşlemler / siler Dosyalar
Win32/Sality.AA terminates any process and/or deletes files with filenames that contain any of the following strings. Win32/Sality.AA ve herhangi bir işlem sona erer / veya dosya ile, aşağıdaki dizeleri içeriliği dosyaları siler.
_AVPM. _AVPM.
A2GUARD. A2GUARD.
AAVSHIELD. AAVSHIELD.
AVAST Avast
ADVCHK. ADVCHK.
AHNSD. AHNSD.
AIRDEFENSE AIRDEFENSE
ALERTSVC ALERTSVC
ALOGSERV ALOGSERV
ALSVC. ALSVC.
AMON. Amon.
ANTI-TROJAN. ANTI-Trojan.
ANTIVIR ANTIVIR
APVXDWIN. APVXDWIN.
ARMOR2NET. ARMOR2NET.
ASHAVAST. ASHAVAST.
ASHDISP. ASHDISP.
ASHENHCD. ASHENHCD.
ASHMAISV. ASHMAISV.
ASHPOPWZ. ASHPOPWZ.
ASHSERV. ASHSERV.
ASHSIMPL. ASHSIMPL.
ASHSKPCK. ASHSKPCK.
ASHWEBSV. ASHWEBSV.
ASWUPDSV. ASWUPDSV.
ATCON. ATCON.
ATUPDATER. ATUPDATER.
ATWATCH. ATWATCH.
AVCIMAN. AVCIMAN.
AVCONSOL. AVCONSOL.
AVENGINE. AVENGINE.
AVESVC. AVESVC.
AVGAMSVR. AVGAMSVR.
AVGCC. AVGCC.
AVGCC32. AVGCC32.
AVGCTRL. AVGCTRL.
AVGEMC. AVGEMC.
AVGFWSRV. AVGFWSRV.
AVGNT. AVGNT.
AVGNTDD AVGNTDD
AVGNTMGR AVGNTMGR
AVGSERV. AVGSERV.
AVGUARD. AVGUARD.
AVGUPSVC. AVGUPSVC.
AVINITNT. AVINITNT.
AVKSERV. AVKSERV.
AVKSERVICE. AVKSERVICE.
AVKWCTL. AVKWCTL.
AVP32. AVP32.
AVPCC. AVPCC.
AVPM. AVPM.
AVAST Avast
AVSERVER. AVSERVER.
AVSCHED32. AVSCHED32.
AVSYNMGR. AVSYNMGR.
AVWUPD32. AVWUPD32.
AVWUPSRV. AVWUPSRV.
AVXMONITOR9X. AVXMONITOR9X.
AVXMONITORNT. AVXMONITORNT.
AVXQUAR. AVXQUAR.
BDMCON. BDMCON.
BDNEWS. BDNEWS.
BDSUBMIT. BDSUBMIT.
BDSWITCH. BDSWITCH.
BLACKD. BLACKD.
BLACKICE. BlackICE.
CAFIX. CAFIX.
CCAPP. CCAPP.
CCEVTMGR. CCEVTMGR.
CCPROXY. CCPROXY.
CCSETMGR. CCSETMGR.
CFIAUDIT. CFIAUDIT.
CLAMTRAY. CLAMTRAY.
CLAMWIN. CLAMWIN.
CLAW95. CLAW95.
CUREIT CUREIT
DEFWATCH. DEFWATCH.
DRVIRUS. DRVIRUS.
DRWADINS. DRWADINS.
DRWEB32W. DRWEB32W.
DRWEBSCD. DRWEBSCD.
DRWEBUPW. DRWEBUPW.
DWEBLLIO DWEBLLIO
DWEBIO DWEBIO
ESCANH95. ESCANH95.
ESCANHNT. ESCANHNT.
EWIDOCTRL. EWIDOCTRL.
EZANTIVIRUSREGISTRATIONCHECK. EZANTIVIRUSREGISTRATIONCHECK.
F-AGNT95. E-AGNT95.
FAMEH32. FAMEH32.
FILEMON FileMon
FIRESVC. FIRESVC.
FIRETRAY. FIRETRAY.
FIREWALL. GÜVENLİK DUVARI.
FPAVUPDM. FPAVUPDM.
F-PROT95. E-PROT95.
FRESHCLAM. FRESHCLAM.
EKRN. EKRN.
FSAV32. FSAV32.
FSAVGUI. FSAVGUI.
FSBWSYS. FSBWSYS.
F-SCHED. F-Plan.
FSDFWD. FSDFWD.
FSGK32. FSGK32.
FSGK32ST. FSGK32ST.
FSGUIEXE. FSGUIEXE.
FSMA32. FSMA32.
FSMB32. FSMB32.
FSPEX. FSPEX.
FSSM32. FSSM32.
F-STOPW. E-STOPW.
GCASDTSERV. GCASDTSERV.
GCASSERV. GCASSERV.
GIANTANTISPYWAREMAIN. GIANTANTISPYWAREMAIN.
GIANTANTISPYWAREUPDATER. GIANTANTISPYWAREUPDATER.
GUARDGUI. GUARDGUI.
GUARDNT. GUARDNT.
HREGMON. HREGMON.
HRRES. HRRES.
HSOCKPE. HSOCKPE.
HUPDATE. HUPDATE.
IAMAPP. IAMAPP.
IAMSERV. IAMSERV.
ICLOAD95. ICLOAD95.
ICLOADNT. ICLOADNT.
ICMON. ICMON.
ICSSUPPNT. ICSSUPPNT.
ICSUPP95. ICSUPP95.
ICSUPPNT. ICSUPPNT.
IFACE. Iface.
INETUPD. INETUPD.
INOCIT. INOCIT.
INORPC. INORPC.
INORT. INORT.
INOTASK. INOTASK.
INOUPTNG. INOUPTNG.
IOMON98. IOMON98.
ISAFE. ISAFE.
ISATRAY. ISATRAY.
ISRV95. ISRV95.
ISSVC. ISSVC.
KAVMM. KAVMM.
KAVPF. KAVPF.
KAVPFW. KAVPFW.
KAVSTART. KAVSTART.
KAVSVC. KAVSVC.
KAVSVCUI. KAVSVCUI.
KMAILMON. KMAILMON.
KPFWSVC. KPFWSVC.
MCAGENT. MCAGENT.
MCMNHDLR. MCMNHDLR.
MCREGWIZ. MCREGWIZ.
MCUPDATE. MCUPDATE.
MCVSSHLD. MCVSSHLD.
MINILOG. MINILOG.
MYAGTSVC. MYAGTSVC.
MYAGTTRY. MYAGTTRY.
NAVAPSVC. NAVAPSVC.
NAVAPW32. NAVAPW32.
NAVLU32. NAVLU32.
NAVW32. NAVW32.
NOD32 NOD32
NEOWATCHLOG. NEOWATCHLOG.
NEOWATCHTRAY. NEOWATCHTRAY.
NISSERV NISSERV
NISUM. NISUM.
NMAIN. NMAIN.
NOD32 NOD32
NORMIST. NORMIST.
NOTSTART. NOTSTART.
NPAVTRAY. NPAVTRAY.
NPFMNTOR. NPFMNTOR.
NPFMSG. NPFMSG.
NPROTECT. NPROTECT.
NSCHED32. NSCHED32.
NSMDTR. NSMDTR.
NSSSERV. NSSSERV.
NSSTRAY. NSSTRAY.
NTRTSCAN. NTRTSCAN.
NTOS. NTOS.
NTXCONFIG. NTXCONFIG.
NUPGRADE. NUPGRADE.
NVCOD. NVCOD.
NVCTE. NVCTE.
NVCUT. NVCUT.
NWSERVICE. NWSERVICE.
OFCPFWSVC. OFCPFWSVC.
OUTPOST Outpost
OP_MON. OP_MON.
PAVFIRES. PAVFIRES.
PAVFNSVR. PAVFNSVR.
PAVKRE. PAVKRE.
PAVPROT. PAVPROT.
PAVPROXY. PAVPROXY.
PAVPRSRV. PAVPRSRV.
PAVSRV51. PAVSRV51.
PAVSS. PAVSS.
PCCGUIDE. PCCGUIDE.
PCCIOMON. PCCIOMON.
PCCNTMON. PCCNTMON.
PCCPFW. PCCPFW.
PCCTLCOM. PCCTLCOM.
PCTAV. PCTAV.
PERSFW. PERSFW.
PERTSK. PERTSK.
PERVAC. PERVAC.
PNMSRV. PNMSRV.
POP3TRAP. POP3TRAP.
POPROXY. POPROXY.
PREVSRV. PREVSRV.
PSIMSVC. PSIMSVC.
QHM32. QHM32.
QHONLINE. QHONLINE.
QHONSVC. QHONSVC.
QHPF. QHPF.
QHWSCSVC. QHWSCSVC.
RAVMON. RAVMON.
RAVTIMER. RAVTIMER.
AVGNT AVGNT
AVCENTER. AVCENTER.
RFWMAIN. RFWMAIN.
RTVSCAN. RTVSCAN.
RTVSCN95. RTVSCN95.
RULAUNCH. RULAUNCH.
SAVADMINSERVICE. SAVADMINSERVICE.
SAVMAIN. SAVMAIN.
SAVPROGRESS. SAVPROGRESS.
SAVSCAN. SAVSCAN.
SCANNINGPROCESS. SCANNINGPROCESS.
CUREIT CUREIT
SDHELP. SDHELP.
SHSTAT. SHSTAT.
SITECLI. SITECLI.
SPBBCSVC. SPBBCSVC.
SPHINX. Sphinx.
SPIDERCPL. SPIDERCPL.
SPIDERML. SPIDERML.
SPIDERNT. SPIDERNT.
SPIDERUI. SPIDERUI.
SPYBOTSD. SPYBOTSD.
SPYXX. SPYXX.
SS3EDIT. SS3EDIT.
STOPSIGNAV. STOPSIGNAV.
SWAGENT. SWAGENT.
SWDOCTOR. SWDOCTOR.
SWNETSUP. SWNETSUP.
SYMLCSVC. SYMLCSVC.
SYMPROXYSVC. SYMPROXYSVC.
SYMSPORT. SYMSPORT.
SYMWSC. SYMWSC.
SYNMGR. SYNMGR.
TAUMON. TAUMON.
TBMON. TBMON.
AVAST Avast
TFAK. TFAK.
THAV. THAV.
THSM. THSM.
TMAS. TMAS.
TMLISTEN. TMLISTEN.
TMNTSRV. TMNTSRV.
TMPFW. TMPFW.
TMPROXY. TMPROXY.
TNBUTIL. TNBUTIL.
TRJSCAN. TRJSCAN.
UP2DATE. UP2DATE.
VBA32ECM. VBA32ECM.
VBA32IFS. VBA32IFS.
VBA32LDR. VBA32LDR.
VBA32PP3. VBA32PP3.
VBSNTW. VBSNTW.
VCHK. VCHK.
VCRMON. VCRMON.
VETTRAY. VETTRAY.
VIRUSKEEPER. VIRUSKEEPER.
VPTRAY. VPTRAY.
VRFWSVC. VRFWSVC.
VRMONNT. VRMONNT.
VRMONSVC. VRMONSVC.
VRRW32. VRRW32.
VSECOMR. VSECOMR.
VSHWIN32. VSHWIN32.
VSMON. VSMON.
VSSERV. VSSERV.
VSSTAT. VSSTAT.
WATCHDOG. Watchdog.
WEBPROXY. WebProxy.
WEBSCANX. WEBSCANX.
WEBTRAP. WEBTRAP.
WGFE95. WGFE95.
WINAW32. WINAW32.
WINROUTE. WinRoute.
WINSS. WINSS.
WINSSNOTIFY. WINSSNOTIFY.
WRCTRL. WRCTRL.
XCOMMSVR. XCOMMSVR.
ZAUINST ZAUINST
ZLCLIENT ZLCLIENT
ZONEALARM ZoneAlarm
Prevents Access to Websites Engeller Erişim Web siteleri için
The dropped .SYS file also acts as an "IP Traffic Filter Device Driver" that has the capability to block access to any domains or websites that contain the following strings in their names: Bu azaldı. SYS de bu isimleri, aşağıdaki dizeleri içeren herhangi bir etki alanında veya web sitelerine erişimi engellemek için özelliği olan bir "IP Trafik Filtre Aygıt Sürücüsü" gibi davranır dosyası:
upload_virus upload_virus
sality-remov sality-remov
virusinfo. virusinfo.
cureit. cureit.
drweb. drweb.
onlinescan. onlinescan.
spywareinfo. spywareinfo.
ewido. ewido.
virusscan. VirusScan.
windowsecurity. windowsecurity.
spywareguide. spywareguide.
bitdefender. BitDefender.
pandasoftware. pandasoftware.
agnmitum. agnmitum.
virustotal. virustotal.
sophos. Sophos.
trendmicro. TrendMicro.
etrust.com etrust.com
symantec. Symantec.
mcafee. McAfee.
f-secure. F-Secure.
eset.com eset.com
kaspersky Kaspersky
Back to top Başa dön
Additional Information Ek Bilgi
The device driver is not dropped and installed onto the system unless there is an active internet connection. Aygıt sürücüsü düşüş değildir ve sistem üzerine kurulu olmadığı sürece etkin bir internet bağlantısıdır.
The virus may prevent execution of applications that perform an integrity self-check as a result of them being infected. Bu virüsü bulaşmış olan bir bütünlük kendini bunların bir sonucu olarak kontrol gerçekleştirmek uygulamaların yürütülmesine engel olabilir.
Analysis by Ricardo Robielos III Analiz Ricardo Robielos III
-
sa arkadaşlar. bu virüs pek kolay kurtulabilecek virüslerden değil. her sitede bu kou ile ilgili bi kurtluş yöntemi yazıyor ama virüsün reaksiyonlarına veya bilgisayarda bulunma süresine göre bu çözümlerin çogu bir işe yaramıyor. herkes formattan kaçıyo ama en kesin çözüm bilgisayardaki exe lerin hepsiin bırakıp resim-müzik- oyun save leri gibi dosyaları kurtarıp format atmak. bir antivirüs proğramı bilgisayara antivirüs yüklenmeden önce giren virüsleri kolay kolay silmez. bu yüzden bi format attıktan sonra LAN driverini yükleyin ve ardından hemen bir antivirüs yükleyn. bn avg kullanıyorm ve bu virüsden iz yok ortalkta. bir antivirüs yükleyip güncelledikten sonra diger driver we proğramları yükleyin.
format atarken sabit diskleri örnegin d yi kaldırın ve yeniden oluşturun. bazen format atarken bile hata veriyor.
çinde exe bulunan flash belleklerden bilgisayarınızı uzak tutun.
c veya d sürücüsünde bilmediginiz bi sürügizli dosya -özellikle system volimeinformation- dosyası warsa bir virüs belirtisidr.
yardımcı olabildiysem ne mutlu bana.....
< Bu mesaj bu kişi tarafından değiştirildi lethaldream -- 16 Mayıs 2009; 12:57:59 >
-
Bir öneri de benden.
Bir uzman olarak bilgisayarıma virüs bulaşmaması için aldığım önlemler sayesinde istediğim siteye girer rahatça dolaşırım.
2 yıldır da bilgisayarıma format atmadım. Ayrıca bilgisayarımda 50'den fazla program ve oyun yüklüdür.
Bilgisayarımda 2 tane hard disk var.
1.hard diskte XP Pro kuruludur. Aynı XP'yi 2. hard diske de klonladım. Tüm arşivimin yedeği 2.disktede mevcuttur. 2. hard diski sadece veri alışverişi yapacağım zaman takarım.
Burada en büyük desteği Acronis'ten alıyorum. Acronis ile de XP yüklü 1.diskin imajını, hem 1.diskin d bölümünde hem de 2.diskin d bölümünde saklarım. Bilgisayarımda yaptığım değişikliklerden sonra imajı da hemen güncellerim. Ayrıca hem imajları hemde çok önemli verilerimi DVD'lere de yedeklerim.
Bugüne kadar bilgisayarıma sayısız virüs bulaşmasına rağmen hiçbir sorun olmadan en fazla 20 dakika içinde
son güncel işletim sistemim noktasına virgülüne kadar aynen geri gelir.
Antivirüs programı olarak neredeyse bütün programları kullandım diyebilirim. Bazen Avira Antivir Premium 2009 yada Trend Micro kullanırım. Halen Eset Smart Security 3.0 kullanıyorum.
Yanında Ad-Aware Pro (trojan) ile Adwanced System Care Pro (çöpçü) kullanırım. Bu arada sistem geri yükleme diskin her iki bölümünde de kapalıdır.
Yazdıklarımı herkese tavsiye ederim.
< Bu mesaj bu kişi tarafından değiştirildi ettu -- 17 Mayıs 2009; 1:58:56 >
-
Bu Virüsün Bana NAQ olan sürümü Bulaşmıştı Arkadaşların Dediği Gibi Exe Uzantılarına Kendini Ekleyen Bir Türev Bu... Öyleki Güvenli Kip Bile Açılmıyordu Hemen Formatada Yönelmeyin Çare Olmuyor Format Atmadan Önce C Ve D Sürücülerindeki Sistem Geri Yükleme Olayını Kapatın Sonra D Sürücüsündeki Yedeklemek İstediğiniz Dosyaları (exe,uzantıları hariç onların hepsini silin) yedekledikten sonra format atın
formattan sonra kesinlikle ama kesinlikle harddiskinizden herhangi bir driver yada program yüklemeyin/varsa bile çalıştırmayın ana driverları cdden yükleyin sonra Norton2009 Yada Kaspersky'ı Websitesinden Çekin Kurun Eğer Yine Virüs Uyarısı Alırsanız Bilinizki Onu Silme Şansınız Var Çünkü Virüs henüz pasif haldedir siz sürücüden herhangi bir exe uzantısı (formattan önce yüklenmiş exeler tabi varsa) çalıştırmadığınız için virüs regedite kendini kopyalamamıştır
böylece virüsten kurtulabilirsiniz removal tool olayları hikaye...
Bir Arkadaşımın Bilgisayarından bu virüsten kurtulabilmek için denemediğim yol kalmamıştı en son bunu denedim kurtardım unutmayın formatlıksa mutlaka ama mutlaka sistem geri yükleme olayını kapatın çünkü virüs kendini o kısmada kopyalayabiliyor...
-
Lucifer peki şöyle bir soru sorsam?
Şimdi ben axu dediklerini yaptım format atıım falan gitti
Harddiskime giren bu virüsü(Çıkartılabilir) İçinde exe uzantılı dosyalar var ancak bunları kasper ve nod32 gncellenmiş halleriyle tarattım virüs falan çıkmadı.
Sizce virüs olma olasılığı nedir?
Tekrar taksam bulaşır mı?
Tecrübesi olan arkadaşların yazılarını bekliyorum
4 kere tarattım bu exeler garip çıktı virüs falan yok diyor
Ancak kurulumlu şeylerde dediğiniz gibi virüs oluyor
Bana şöyle gibi geldi ama yine de deneyenler daha iyi bilir.
Sadece kurulum içeren şeyleri bozuyor gibi. Exe olmasıda pek önemli değil zannımca?
Diğer exeerin hespsinde çıktı. Sadece bu görsel eğitim setlerinde yoktu.
Bir de bu ayrıca aldığım harddiklerde bootlarına yerlleşir mi bu virüs nasıl olur?
Biraz cahilce oldu sorum ama. -
arkadaslar tamamen format atsam heryerıne pcnın gıder mı bu ıllet acıl yardım lutfen? -
combofix ve advanced system care adlı programları kullanarak duselltım buuyk olcude -
Hocam combofixle düzelmez bu virüs boşa kürek çekme :)
C ve d yi yedekle
sonra üstte axu dediklerini yap.
Benim ufak tefek bu konu hakkında sorular kaldı kafamda ancak öğrenecem.
-
Bu Virüs Genellikle Senın Sık Ve Çok Çalıştırdığın Exelere Bulaşmış Olabilir Sadece Virüsün Senin Bilgisayarına Bulaştığı Tarihten İtibaren Çalıştırdığın Uygulamalarda Bu Virüs Kendini Kopyalar ayrıca flashdisk takarsan disk veya cd yazdırırsan onada bulaşıyor system geri yükleme olayına zaten bulaşıyor Ama Çok Nadiren de Olsa Diğer Program Exelerinede Kendini Bulaştırabilir sürücü bootlarınada kendini bulaştırabilir bu gibi durumlarda yapmanız gereken tek şey hangi sürücüye bulaşmışsa o sürücü içindeki tüm dosyaları (exe olmayanları) yedeklemek ve sürücüyü dos ortamında tekrar biçimlendirmek Bu Virüsün Sürümünden Kaynaklanıyor Zannediyorsam Ben Nao sürümüyle uğraştığım için virüs ilk başta en çok oynanılan oyunun exesini bozdu sonra yedekleme amacıyla geçici olarak koyduğum setup programların exesine yerleşmişti(farketmedım baştan) ilk formattan sonra Kaspersky İle bir virüs taraması yaptım hiçbirşey bulmadı heralde kurtardım derken harddiskten setup programlarından birini kurayım derken birde baktım işte c bilmemne driversta falan sality virüsü anladımki o zaman virüs sıkıştırabilen uygulamalara yani setuplu,rarlı ve buna benzer uygulamalarada kendini gizleyebiliyor ve böylece antivirüs programlarıda virüsü saptayamıyor en sonundada bir format sonrası Norton2009 u kurdum tekrar tarama yaptım birşey çıkmadı aradan 2-3 gün geçti bir açılışta birde baktımki Norton2009 yine aynı virüsü buldu ama bu sefer virüs system volume information(system geri yükleme alanına) bulaşmıştı allahtan bulaşma tarihi format atıldıktan sonra olduğu için virüs regedite bulaşmamıştı ve Norton Virüsü (Pasif Tehdit türü) olarak gördü ve hemen silmeyi başardı ardından ne olur ne olmaz diye sürücüyü biçimlendirdim (D sürücüsü) şimdi herşey normal yani ben böyle kurtuldum... özelliğindende bahsetmeden geçmeyeyım bu virüs antivirus programlarına kendini deaktivite etme özelliğine sahip yani antivirüs programları bu virüsü göremeyebilir (bulaştıktan sonra tabi bulaşmadan önce norton ve kaspersky virüsü engelleyebiliyor) sebebi ise çok basit virüs öyle akıllı bir programcıkki klasör seçeneklerinden gizli dosyaları göster onayını uyguladığınızda bile tamama tıkladığınızda tekrar açıp bakın seçeneklere "gizli dosyaları göster" seçeneğinin işaretli olmadığını göreceksiniz bu küçük ayrıntı ile bilgisayarınızda zaten böyle bir gariplik varsa sality ve türevleri bilgisayarınızdan silinememiştir
bilgisayarını güvenli kipte aç birde çıkartılan exe dediklerin uygulamaları bir daha açmayı dene bakalım eğer herhangi bir anormallik göremiyorsan uygulamayı kapat tekrar tarattır ama yalnız bunu yaparken elinde sağlam bir antivirüs olsun (Norton2009 Tavsiye)
eğer virüs çıkarsa bilki uygulamaların hepsi virüslüdür ve ilk kez çalıştırdığın için pasiftir silinebilir değilse virüs tamamen temizlenmiştir zaten geçmiş olsun...
-
Rar lı iso lu bu tarz şeylerede bulaşıyorsa ayvayı yedik :) -
http://www.avg.com.tr/virus-removal.ndi-67769
Bu linkteki şeyler işe yarar mı sizce? -
quote:
Orjinalden alıntı: jamesbont
Hocam combofixle düzelmez bu virüs boşa kürek çekme :)
C ve d yi yedekle
sonra üstte axu dediklerini yap.
Benim ufak tefek bu konu hakkında sorular kaldı kafamda ancak öğrenecem.
combofıx gayette ıse yaradı kardes onceden ctrl+alt +delete acılmıodu bı combı cektım acılıo vırusun pek cok ozellını yok ettı ayrıca avırada vırusu buluyor fakat sılemıor vırus hala pcde sanırım ama etkısı yok -
combofix yaramaz kardeşim..Ve format atmayla da gitmez hayal kuruyorsunuz..jamesbond başlata tıkla ara ya tıkla tüm dosya ve klasörlere tıkla orda .exe yaz bu aramayı yaparken dosyaların görünüm şekli ayrıntılar seçeneğinde olsun bulduğun exe doysalarının veya rar dosyalarının şekli beyaz ise anlaki yedekledeğin dosyalar virüslü demektir..ha bakın size bişe daha diyecem buda yeni bi olay şimdi siz virüslü bi dosyayı sildiniz diyelim ki adı axu067.exe daha sonra taaa yukarda dediklerimi yaptınız..Ve diyelim ki axu067.exe dosyası önceden yani bilgisayarınıza virüs girmeden önce bi cd olduğunu varsayalım ve yeniden atacaksınız bilgisayarınıza..Nasıl oluyosa oluyo bunu bende çözemedim virüs bulaşmış dosyayı sildiniz ve yeniden cdnizdeki virüs girmeden önceki aynı isimli dosyayı bilgisayarınıza attıınızda direk hemen ona virüs geliyor..İsimden otomatik tanımlamamıdır nedir bende anlamadım o dosyaya hemen virüs geliyor..ama ölü virüs yani sadece o programı bozuyor aynı isimdeki programı o yüzden ismide değiştirin..
-
Jamesbond bu virüs iso lardan ve özellikle ripli oyunlardan geçer..Özellikle ripli oyunlar cmd komutu ile oyunları kurduğundan anasını ağlatıyor makinenin..direk mbr ye saldırıyor haberiniz olsun..Bu virüsü yiyenlerin kaçında ripli oyun var yazarsanız sevinirim..
< Bu mesaj bu kişi tarafından değiştirildi axu067 -- 2 Haziran 2009; 3:41:08 > -
abi meğer çoğu kişide varmış bu virüs bende tek bende var sanıyordum ben kaç kere format attım bunun yüzünden ve sxe açılmıyor onun yüzünden hala yorumlarınızı okudum ama hiç bir şey anlamadım bir kaç program indirdim deneyip söyleyeceğim sonucu -
Arkadaşlar bana bir müşterinin makinasından bulaştı. ve bir haftayı geçiyor. 1 terabyte üzerinde program arşivim ve driver arşivim var. bugun fırsat buldum ve temizlemeye koyuldum ancak yazdığınız şeylere bakınca inanın içim karardı. bütün exelere bulaşıyor ve temizlemek imkansız demek benim bittiğim demektir. 
bu kadar driver arşivini ve program arşivini ben 4 yılda yapabildim. kesinlikle exe leri silemem. exe leri silmeden bir temizleme yöntemi bulabilen arkadaşlar lütfen buraya yazın.
Haberlerinizi bekliyorum.
-
Arkadaşlar Kaspersky silerken yanında exeleri de mi siliyor ?
Ben bu virüse hiç rastlamadım Allah rastlatmasın da merak ettim yarın bir gün karşımıza çıkarsa Allah muhafaza konu hakkında bilgilenelim olmazsa tüm arşivlerimizi dvdlere kopyalayalım , harici hdd ye bulaşır virüs ama yazılmış dvdlere de bulaşamaz değil mi,
Full format attıktan sonra geri gelmiyor sanırım ? -
arda_t mecbur silecen kardeşim 
kusura bakma ama gitmiyor bu benim öyle nelerim gitti bi bilsen ahhhhhhhh ahhhhh:D13 gece sabahladıydım ben bu virüsle o zaman uzmanı oldum bunun
NetX
Full format attıktan sonra geri gelmiyor sanırım ?
Geliyor kardeşim geliyorr..boot antivirüsü ilk başta kullanmaz ve Açılış Mbr yi silmezsen geliyor
Ip işlemleri
Bu mesaj IP'si ile atılan mesajları ara Bu kullanıcının son IP'si ile atılan mesajları ara Bu mesaj IP'si ile kullanıcı ara Bu kullanıcının son IP'si ile kullanıcı ara
KAPAT X
Bu mesaj IP'si ile atılan mesajları ara Bu kullanıcının son IP'si ile atılan mesajları ara Bu mesaj IP'si ile kullanıcı ara Bu kullanıcının son IP'si ile kullanıcı ara
KAPAT X
