cenkut blog

Virüs Temizleme Programı – Vipre Antivirüs

admin — Fri, 15 Jan 2010 19:21:23 +0000

Vipre Antivirüs Programı (Virüs Temizleme Programı)

Bilgisayarınız yavaşlatmaz.

Yeni Teknoloji : Ant virüs ve zararlıları

Yepyeni anti-rootkit geliştirilmiş

Keserek veya Durdurarak Engelleyebilme

Tam Koruma E-Posta larınızı tarayın

Düşük donanımlı bilgisayarlarda etkin koruma

30 GÜNLÜK DENEME SÜRÜMÜNÜ MUTLAKA DENEYİN…

http://www.sunbeltsoftware.com/Home-Home-Office/VIPRE/Download/

Acaba bu dosya virüslü mü ?

admin — Fri, 15 Jan 2010 19:02:48 +0000

Virüs programı ile tarama yaptığınız fakat virüs bulamadı veya şüpheli dosya olarak uyarı verdi.Burada virüs programının veri tabanında kayıtlı olmayan bir virüs olduğunu düşünebilir ve şüphelenebilirsiniz.

Bu tür durumlarda yapılması gereken en ideal yöntem riske girmeyerek dosya internet üzerinden virüs total göndererek 30 ‘a yakın anti virüs programı test yapabilmektir.

http://www.virustotal.com

msicfgx.exe 2010 yılının ilk virüsü…

admin — Fri, 01 Jan 2010 07:49:17 +0000

msicfgx.exe şeklinde yayınlan ve tarayıcılara 01.01.2010 Saat 00:00:20 yakalanan bu virüs 2010 yılının ilk virüs olma ünvanını kazandı.

Msicfgx.exe temizlemek için;

Görev yöneticisinde ki zararlı işlemleri “işlemi sonlandır” tıklayarak durdurun.
msicfgx.exe
blat.exe

Kayıt Defterindeki zararlı kayıtları temizleyin;

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

msicfgx = “%AppData%\msicfgx.exe”

Daprosy Virüsü Nasıl Temizlenir?

admin — Sun, 20 Dec 2009 07:25:00 +0000

Daprosy virüsü genellikle ana dizinlerin çoğunda Help.exe, Java.exe, videos.exe, picture.exe, music.exe gibi dosyalar üretir. Autorun özelliği sayesinde USB disklerden kolayca bulaşabilir.İşletim sistemi üzerinde yaptığı değişikliklerle güvenliği bloke eder.Kayıt defterine kendini ekleyerek her açılışta kendini tekrarlar.

DAPROSY TEMİZLEMEK ?

Görev Yöneticisindeki işlemleri bölümünden aşağıdaki zararlı dosyaları “işlemi durdur” seçerek kapatın.
do not open – secrets!.exe
secrets!.exe
my music.exe
2.exe
1.exe
lsass.exe
winzip.exe
kbdsys.exe
system.exe

Kayıt Defterinde ki zararlı kayıtları temizleyin.Bu işlemden sonra bütün dizinlerdeki şüpheli gördüğünüz exe dosyalarını siliniz. Bilgisayarınızı yeniden başlattığınız zaman tekrar oluşmadıklarını göreceksiniz.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\TPAutoConnSvc
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\TPAutoConnSvc\Security
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TPAutoConnSvc
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TPAutoConnSvc\Security

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
DirLocker = “%CommonAppData%\www.zilchï¿½infinisoft.biz.de\winzip.exe”
LSAShell = “%Windir%\lsass.exe”

so that winzip.exe runs every time Windows starts
so that lsass.exe runs every time Windows starts

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
NoFolderOptions = 0×00000001

to remove the Folder Options item from all Windows Explorer menus and from Control Panel

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
WinSys = “%Windir%\system.exe”

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\TPAutoConnSvc\Security]

Security = 01 00 14 80 90 00 00 00 9C 00 00 00 14 00 00 00 30 00 00 00 02 00 1C 00 01 00 00 00 02 80 14 00 FF 01 0F 00 01 01 00 00 00 00 00 01 00 00 00 00 02 00 60 00 04 00 00 00 00 00 14 00 FD 01 02 00 01 01 00 00 00 00 00 05 12 00 00 00 00 00 18 00 FF 01 0F 0

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\TPAutoConnSvc]

Type = 0×00000110
Start = 0×00000003
ErrorControl = 0×00000001
ImagePath = “”%ProgramFiles%\VMware\VMware Tools\TPAutoConnSvc.exe”"
DisplayName = “TP AutoConnect Service”
ObjectName = “LocalSystem”
Description = “ThinPrint .print component for automatic creation of printer objects”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TPAutoConnSvc\Security]

Security = 01 00 14 80 90 00 00 00 9C 00 00 00 14 00 00 00 30 00 00 00 02 00 1C 00 01 00 00 00 02 80 14 00 FF 01 0F 00 01 01 00 00 00 00 00 01 00 00 00 00 02 00 60 00 04 00 00 00 00 00 14 00 FD 01 02 00 01 01 00 00 00 00 00 05 12 00 00 00 00 00 18 00 FF 01 0F 0

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TPAutoConnSvc]

Type = 0×00000110
Start = 0×00000003
ErrorControl = 0×00000001
ImagePath = “”%ProgramFiles%\VMware\VMware Tools\TPAutoConnSvc.exe”"
DisplayName = “TP AutoConnect Service”
ObjectName = “LocalSystem”
Description = “ThinPrint .print component for automatic creation of printer objects”

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]

DisableSR =

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

Shell =

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders]

AppData =
Cache =

daonol ve Kates virüsü (siyah ekranda donma)

admin — Mon, 19 Oct 2009 11:49:18 +0000

Sisteminiz açılmıyor hoşgeldiniz ekranı gelmeden siyah ekran sadece mouse imleci duruyor.

Güvenli bildiğiniz birçok şirket ve kuruluşların sitelerine hack ederek script koyan hackerlar, site ziyaretçilerine virüs bulaştırıyor.İlginç tarafı ise Eset ve Kasperksy gibi lisanslı ve güncel antivirüsler bile tespit edemiyorlar.Tespit edilmesini engellenmiş.Genellikle activeX kontrol eden antivirüs programları site hatalarından kaynaklanan bu sorunu tespit edemiyorlar.Yani girdiğiniz sitede site hatası varsa sağ alt tarafta Sarı uyarı ikonu geliyor.Bu ikon tıkladığınız zaman sitedeki hataların satır noları görebilirsiniz.
Eğer internette bir siteye girdiğiniz hatalar verdiyse ve bilgisayarınızı düzgün şekilde kapatamıyorsanız.

İLK Bulaştığınız anladığınızda Yapmanız Gereken ;
Hemen aşağıda belirttiğimiz gibi Gizli Klasörleri açın ve Document Settings klasörünün altında kullanıcı adı hesabınızda altında Local Settings içinde ismi farklı olabilir fakat uzantıları OLD, BAK, BAT olan isimleri karışık dosyaları siliniz. Sonra reset atarak bilgisayarınızı yeniden başlatınız Açıldığı zaman siyah ekranda takılmayacaktır.

Peki Bilgisayarınıza Siyah Ekran Beyaz Mouse Takıldıysa Ne Yapılması Lazım ?

Temizleme yöntemi – Live CD ile açınız örneğin ERD 2008 Live CD açınız.

Açtıktan sonra C:/ içinde gördüğünüz Pagefile.sys siliniz.ortalama 300mb ile 1700 mb arasındadır.Bu aşamadan sonra Document and setting klasörünün içinde kullanıcı adınızın bulunduğu klasöre girin ve local settings içinde html veya htmq dosyalarını silin bilgisayarı yeniden başlatın.Local settings içinde farklı adlarda bir çok dosya vardır siz sadece ismi garip olan ve sonu html ile biten yada htmq ile biten dosyaları siliniz.Bilgisayarı yeniden başlatın en iyi yapılandırmayı seçip bilgisayarı açın…Şuana kadar 4-5 pc denenmiş ve başarıya ulaşmıştır.

Kolay gelsin.. (ÖZÜR : Bazı imla ve cümle hataları olabilir acele ve hızlı şekilde paylaşmak istedim…)

ERD Commander 2008 http://www.cenkut.net adresinden ulaşabilirsiniz.

Hüseyin Cenkut ÖZKAN

NewFolder.exe Virüsü Temizleme

admin — Fri, 18 Sep 2009 05:44:33 +0000

New Folder.exe virüsü için Aşağıdakileri Kayıt Defterinden Siliniz:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
“@”=[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
“Yahoo Messengger”=

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
“Shell”=”Explorer.exe “

New Folder.exe Virüsü için Aşağıdaki dosyayı bulup silin:
svichossst.exe

KoobFace Virüsü Temizlemek

admin — Sat, 15 Aug 2009 20:09:05 +0000

Koobface virüsü adından anlaşılabileceği gibi Facebook benzer ismiyle sahtekarlığa yol açan bir virüstür.Sadece facebook amaçlı olmayıp bilgisayarınıza yüklediğinde trojan özelliğiyle kontrol sahibine vermektedir.Bu virüs shareware veya freeware yazılımlar veya P2P yazılımlarıyla veya sahte sayfalardan bulaşmaktadır.

Aşağıda Koobface virüsünün oluşturduğu dosyaları silin :

[%WINDOWS%]\t55ft3105f44.dat
[%WINDOWS%]\t55ft3165f44.dat
[%WINDOWS%]\freddy43.exe
[%WINDOWS%]\t55ft3192f44.dat
[%WINDOWS%]\mstre19.exe
[%WINDOWS%]\t55ft3601f44.dat
[%WINDOWS%]\010112010146118114.dat
[%WINDOWS%]\0101120101465452.dat
[%WINDOWS%]\0101120101465749.dat
[%WINDOWS%]\0101120101464849.dat
[%WINDOWS%]\0101120101465552.dat
[%WINDOWS%]\ld08.exe
[%WINDOWS%]\pp06.exe
[%WINDOWS%]\pp07.exe
[%WINDOWS%]\0101120101464849.fx
[%PROFILE_TEMP%]\vcru_1247795886.exe
[%PROFILE_TEMP%]\srazo_1250168927.exe
[%PROFILE_TEMP%]\srazo_1250187393.exe
[%WINDOWS%]\0101120101464949.fx
[%PROFILE_TEMP%]\srazo_1250198444.exe
[%PROFILE_TEMP%]\srazo_1250190616.exe
[%PROFILE_TEMP%]\srazo_1250197084.exe
[%PROFILE_TEMP%]\srazo_1250090197.exe
[%PROFILE_TEMP%]\srazo_1250102323.exe
[%WINDOWS%]\st_1242070417.exe
[%WINDOWS%]\st_1242076717.exe
[%WINDOWS%]\st_1242088847.exe
[%WINDOWS%]\nl.exe
[%WINDOWS%]\dk39fi4fe.dat
[%WINDOWS%]\zaponce52597.dat
[%WINDOWS%]\zaponce52689.dat
[%WINDOWS%]\ld09.exe
[%WINDOWS%]\0101120101465752.dat
[%WINDOWS%]\0101120101464850.fx
[%WINDOWS%]\0101120101465553.fx
[%PROFILE_TEMP%]\srazo_1250135222.exe
[%WINDOWS%]\freddy56.exe
[%WINDOWS%]\freddy55.exe
[%WINDOWS%]\0101120101465353.dat
[%WINDOWS%]\freddy53.exe
[%WINDOWS%]\0101120101465453.dat
[%WINDOWS%]\0101120101465153.dat
[%WINDOWS%]\t55ft2772f44.dat
[%WINDOWS%]\t55ft2829f44.dat
[%WINDOWS%]\t55ft2692f44.dat
[%WINDOWS%]\t55ft3223f44.dat
[%WINDOWS%]\t55ft2784f44.dat
[%WINDOWS%]\t55ft2792f44.dat
[%WINDOWS%]\t55ft2803f44.dat
[%WINDOWS%]\t55ft3242f44.dat
[%WINDOWS%]\t55ft3546f44.dat
[%WINDOWS%]\freddy39.exe
[%WINDOWS%]\freddy40.exe
[%WINDOWS%]\t55ft3189f44.dat
[%WINDOWS%]\freddy46.exe
[%WINDOWS%]\zaponce53198.dat
[%WINDOWS%]\zaponce53290.dat
[%WINDOWS%]\zaponce53222.dat
[%WINDOWS%]\sonce123198.dat
[%WINDOWS%]\ro122366.dat
[%WINDOWS%]\ro122390.dat
[%SYSTEM%]\mon32.dll
[%WINDOWS%]\ro122715.dat
[%WINDOWS%]\ro122739.dat
[%WINDOWS%]\sonce123173.dat
[%WINDOWS%]\freddy48.exe
[%WINDOWS%]\freddy49.exe
[%WINDOWS%]\ld02.exe
[%WINDOWS%]\pp04.exe
[%WINDOWS%]\freddy50.exe
[%WINDOWS%]\010112010146120114.dat
[%WINDOWS%]\freddy57.exe
[%WINDOWS%]\ld06.exe
[%WINDOWS%]\pp05.exe
[%WINDOWS%]\st_1241664655.exe
[%WINDOWS%]\st_1242148703.exe
[%WINDOWS%]\t55ft2667f44.dat
[%WINDOWS%]\t55ft3097f44.dat
[%WINDOWS%]\Pp.exe
[%WINDOWS%]\zaponce53173.dat
[%WINDOWS%]\sonce122714.dat
[%WINDOWS%]\sonce122739.dat
[%WINDOWS%]\010112010146118114.lso
[%WINDOWS%]\0101120101465452.lso
[%WINDOWS%]\sonce122715.dat

Koobface virüsünün kayıt defterinde oluşturduğu kayıtları silmek :

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, sysfbtray=[%WINDOWS%]\freddy58.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, pp=[%WINDOWS%]\pp11.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, sysmstray=[%WINDOWS%]\mstre21.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, pp=[%WINDOWS%]\pp10.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, sysfbtray=[%WINDOWS%]\freddy57.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, sysmstray=[%WINDOWS%]\mstre19.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, sysmstray=[%WINDOWS%]\mstre20.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, pp=[%WINDOWS%]\pp06.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, sysfbtray=[%WINDOWS%]\freddy55.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, sysberay2=[%WINDOWS%]\romeo15.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, sysfbtray=[%WINDOWS%]\freddy54.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, sysfbtray=[%WINDOWS%]\freddy53.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, sysfbtray=[%WINDOWS%]\freddy42.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, sysmstray=[%WINDOWS%]\mstre18.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, sysfbtray=[%WINDOWS%]\freddy50.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, sysfbtray=[%WINDOWS%]\freddy46.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, sysfbtray=[%WINDOWS%]\freddy49.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, sysmstray=[%WINDOWS%]\mstre15.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, sysfbtray=[%WINDOWS%]\freddy48.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, systgray2=[%WINDOWS%]\tag07.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, sysberay2=[%WINDOWS%]\romeo14.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, sysfbtray=[%WINDOWS%]\freddy47.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, sysfbtray=[%WINDOWS%]\freddy45.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, sysberay2=[%WINDOWS%]\romeo12.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, systgray2=C:\windows\tag12.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, pp=[%WINDOWS%]\pp04.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, systgray2=[%WINDOWS%]\tag12.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, sysfbtray=[%WINDOWS%]\freddy44.exe

Vundo Virüsü Temizlemek

admin — Sat, 15 Aug 2009 19:12:09 +0000

Vundo virüsü bulaştığı bilgisayardaki kişisel bilgilerinizi uzaktaki sunuculara göndererek bilgi hırsızlığına yol açmaktadır.Diğer adı virtumondo olan virüs sisteme entegre olduktan sonra aktivite göstermektedir.

Bilgisayarınıza oluşturduğu dosyalar:
[%SYSTEM%]\a.exe
[%SYSTEM%]\fx.dll
[%SYSTEM%]\mljghff.dll
[%SYSTEM%]\runouce.exe
[%SYSTEM%]\awtoolb.dll
[%SYSTEM%]\addsu.exe
[%SYSTEM%]\msxml71.dll
[%SYSTEM%]\mmfinfo.dll
[%SYSTEM%]\vawemese.dll
[%APPDATA%]\twext.exe
[%PROFILE_TEMP%]\msxml71.dll
[%SYSTEM%]\ptj.exe
[%SYSTEM%]\visujowo.dll
[%SYSTEM%]\pawovuda.dll
[%SYSTEM%]\bugurube.dll
[%SYSTEM%]\hatasefa.dll
[%SYSTEM%]\jalopeya.dll
[%SYSTEM%]\hisakite.dll
[%SYSTEM%]\maboveli.dll
[%SYSTEM%]\genetoda.dll
[%SYSTEM%]\clkcnt.txt
[%SYSTEM%]\niwaluyu.dll
[%SYSTEM%]\lusanuwo.dll
[%SYSTEM%]\tadofuvo.dll
[%SYSTEM%]\lowofato.dll
[%SYSTEM%]\depopuho.dll
[%WINDOWS%]\TEMP\msxml71.dll
[%PROFILE_TEMP%]\a.exe
[%SYSTEM%]\subalavi.dll
[%SYSTEM%]\nmdfgds0.dll.vir
[%PROFILE_TEMP%]\_A00F2D8C2.exe
[%WINDOWS%]\BM27fe8036.txt
[%SYSTEM%]\fabovoma.dll
[%SYSTEM%]\huwutezi.dll
[%SYSTEM%]\lazageva.dll
[%SYSTEM%]\tagimodo.dll
[%SYSTEM%]\yizasilu.dll
[%SYSTEM%]\zakevate.dll
[%SYSTEM%]\odmnyxtm.dll
[%SYSTEM%]\vkeslkpi.dll
[%SYSTEM%]\urqpnlk.dll
[%SYSTEM%]\hggeded.dll
[%PROFILE_TEMP%]\_A00F10688F.exe
[%PROFILE_TEMP%]\_A00F1B4AFF.exe
[%PROFILE_TEMP%]\_A00F278DDEA.exe
[%PROFILE_TEMP%]\_A00F33E8EFC.exe
[%PROFILE_TEMP%]\_A00F464C08.exe
[%PROFILE_TEMP%]\_A00F7EBD7E.exe
[%PROFILE_TEMP%]\_A00F86BC3.exe
[%SYSTEM%]\__c00256C4.dat
[%SYSTEM%]\__c0037526.dat
[%SYSTEM%]\__c005B608.dat
[%SYSTEM%]\__c0067BE9.dat
[%SYSTEM%]\__c0080A31.dat
[%SYSTEM%]\__c00931E4.dat
[%SYSTEM%]\__c00BCAD6.dat
[%SYSTEM%]\__c00C7CF2.dat
[%SYSTEM%]\awtqr.dll
[%SYSTEM%]\ddayv.dll
[%SYSTEM%]\drivers\blank.gif
[%SYSTEM%]\drivers\box_2.gif
[%SYSTEM%]\drivers\button_buynow.gif
[%SYSTEM%]\drivers\button_freescan.gif
[%SYSTEM%]\drivers\cell_bg.gif
[%SYSTEM%]\drivers\cell_footer.gif
[%SYSTEM%]\drivers\cell_header_block.gif
[%SYSTEM%]\drivers\cell_header_remove.gif
[%SYSTEM%]\drivers\cell_header_scan.gif
[%SYSTEM%]\drivers\detect.htm
[%SYSTEM%]\drivers\download_btn.jpg
[%SYSTEM%]\drivers\download_now_btn.gif
[%SYSTEM%]\drivers\footer_back.jpg
[%SYSTEM%]\drivers\header_1.gif
[%SYSTEM%]\drivers\header_2.gif
[%SYSTEM%]\drivers\header_3.gif
[%SYSTEM%]\drivers\header_4.gif
[%SYSTEM%]\drivers\header_red_bg.gif
[%SYSTEM%]\drivers\header_red_free_scan.gif
[%SYSTEM%]\drivers\header_red_free_scan_bg.gif
[%SYSTEM%]\drivers\header_red_protect_your_pc.gif
[%SYSTEM%]\drivers\infected.gif
[%SYSTEM%]\drivers\main_back.gif
[%SYSTEM%]\drivers\product_2_header.gif
[%SYSTEM%]\drivers\product_2_name_small.gif
[%SYSTEM%]\drivers\product_features.gif
[%SYSTEM%]\drivers\pt.htm
[%SYSTEM%]\drivers\rating.gif
[%SYSTEM%]\drivers\screenshot.jpg
[%SYSTEM%]\drivers\sep_hor.gif
[%SYSTEM%]\drivers\sep_vert.gif
[%SYSTEM%]\drivers\shadow.jpg
[%SYSTEM%]\drivers\shadow_bg.gif
[%SYSTEM%]\drivers\spacer.gif
[%SYSTEM%]\drivers\star.gif
[%SYSTEM%]\drivers\star_gray.gif
[%SYSTEM%]\drivers\star_gray_small.gif
[%SYSTEM%]\drivers\star_small.gif
[%SYSTEM%]\drivers\style.css
[%SYSTEM%]\drivers\s_detect.htm
[%SYSTEM%]\drivers\v.gif

Kayıt Defterine Eklediği Kayıtlar:
HKEY_CLASSES_ROOT\CLSID\{013A653B-49A6-4f76-8B68-E4875EA6BA54}
HKEY_CLASSES_ROOT\CLSID\{67C55A8D-E808-4caa-9EA7-F77102DE0BB6}
HKEY_CLASSES_ROOT\CLSID\{C3352FCD-CFE5-4F35-831A-19C68DDB7CF4}
HKEY_LOCAL_MACHINE\SOFTWARE\Araf15
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{C3352FCD-CFE5-4F35-831A-19C68DDB7CF4}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{500BCA15-57A7-4eaf-8143-8C619470B13D}
HKEY_CLASSES_ROOT\CLSID\{500BCA15-57A7-4eaf-8143-8C619470B13D}
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{500BCA15-57A7-4eaf-8143-8C619470B13D}
HKEY_CLASSES_ROOT\CLSID\{470165f1-9f65-569f-f895-f14f58f41074}
HKEY_CURRENT_USER\SOFTWARE\Microsoft\contim
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{3b45ba7e-067c-4622-b527-73e4291f53f7}
HKEY_CLASSES_ROOT\CLSID\{3b45ba7e-067c-4622-b527-73e4291f53f7}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{3b45ba7e-067c-4622-b527-73e4291f53f7}
HKEY_CLASSES_ROOT\CLSID\{ec43e3fd-5c60-46a6-97d7-e0b85dbdd6c4}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{92335157-984b-4692-8405-530335ca9f27}
HKEY_CLASSES_ROOT\CLSID\{92335157-984b-4692-8405-530335ca9f27}
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{c3352fcd-cfe5-4f35-831a-19c68ddb7cf4}
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{4a698102-5904-afd0-20df-cd1a65829ca4}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Track System
HKEY_CURRENT_USER\SOFTWARE\Microsoft\instkey
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\rdfa
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\contim
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\dslcnnct
HKEY_CURRENT_USER\SOFTWARE\Microsoft\dslcnnct
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Juan
HKEY_CURRENT_USER\SOFTWARE\Microsoft\MS Juan
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\aoprndtws
HKEY_CURRENT_USER\SOFTWARE\Microsoft\rdfa
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DataDisp32
HKEY_CURRENT_USER\SOFTWARE\Microsoft\aldd
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{0B014B81-4E12-46F9-806F-55867AF8FD3C}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\__c001339D
HKEY_CLASSES_ROOT\CLSID\{871a54c1-1eb3-48bd-a879-5dba4ef16be6}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{871a54c1-1eb3-48bd-a879-5dba4ef16be6}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\csbdll
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\__c003BA37
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\__c00656CC
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\__c00931E4
HKEY_CLASSES_ROOT\CLSID\{CD3447D4-CA39-4377-8084-30E86331D74C}
HKEY_CLASSES_ROOT\CLSID\{CF46BFB3-2ACC-441b-B82B-36B9562C7FF1}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{CF46BFB3-2ACC-441b-B82B-36B9562C7FF1}
HKEY_CLASSES_ROOT\CLSID\{A98D0065-7326-41B5-B8D9-C5B692CDB82F}
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{43FCD2CF-5569-4208-97D2-52748E0EF6A0}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{F7B0F7B2-1B10-4240-B00B-354F3C04E3F5}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{109BE732-8F8C-49D4-A3F4-FEDCAC7F0A25}
HKEY_CLASSES_ROOT\CLSID\{109BE732-8F8C-49D4-A3F4-FEDCAC7F0A25}
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{109BE732-8F8C-49D4-A3F4-FEDCAC7F0A25}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{b62b5ce6-a4bf-428d-8a21-47ee1bd90eac}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\IProxyProvider
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{cd3447d4-ca39-4377-8084-30e86331d74c}
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{cf46bfb3-2acc-441b-b82b-36b9562c7ff1}
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{0cf5d165-517e-48b6-b3c7-3054a24f8bf6}
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{4b646afb-9341-4330-8fd1-c32485aee619}
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{1557b435-8242-4686-9aa3-9265bf7525a4}
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{5adf3862-9e2e-4ad3-86f7-4510e6550cd0}
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{dd3ec823-d3a1-48b3-a18a-a1958795a18a}
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{06df596b-3170-4f07-be10-86e31456bc56}
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{92A444D2-F945-4dd9-89A1-896A6C2D8D22}
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{12F02779-6D88-4958-8AD3-83C12D86ADC7}
HKEY_CLASSES_ROOT\CLSID\{12F02779-6D88-4958-8AD3-83C12D86ADC7}
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{b62b5ce6-a4bf-428d-8a21-47ee1bd90eac}
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{f7b0f7b2-1b10-4240-b00b-354f3c04e3f5}
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{B313D637-F405-4052-AC37-E2119AB3C8F8}
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{3ccdf8ce-c339-4dd6-ad4f-ca7230c7e2f2}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{C976FB61-5756-491F-98A7-784AEB65C1BE}
HKEY_CLASSES_ROOT\CLSID\{C976FB61-5756-491F-98A7-784AEB65C1BE}
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{C976FB61-5756-491F-98A7-784AEB65C1BE}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\__c006C8C9
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\__c00CE446
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{9e93a147-e3f9-47ab-baf0-915ccaaa7034}
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{9b4868e3-767e-4a1c-a792-3cc451ba8cac}
HKEY_CLASSES_ROOT\CLSID\{9b4868e3-767e-4a1c-a792-3cc451ba8cac}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9b4868e3-767e-4a1c-a792-3cc451ba8cac}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{00086CB2-F8B6-416C-B58F-028C74074F76}
HKEY_CLASSES_ROOT\CLSID\{00086CB2-F8B6-416C-B58F-028C74074F76}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{0004ED1C-BAB4-4C64-B68B-2DA827F2154c}
HKEY_CLASSES_ROOT\CLSID\{0004ED1C-BAB4-4C64-B68B-2DA827F2154c}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{00043659-F8B6-416C-B58F-028C74074F76}
HKEY_CLASSES_ROOT\CLSID\{00043659-F8B6-416C-B58F-028C74074F76}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{0002768E-BAB4-4C64-B68B-2DA827F2154c}
HKEY_CLASSES_ROOT\CLSID\{0002768E-BAB4-4C64-B68B-2DA827F2154c}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\__c007D700
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\__c007BAC2
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\__c001A288
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{000098D1-810C-470F-BDBE-44EB5309C2A3}
HKEY_CLASSES_ROOT\CLSID\{000098D1-810C-470F-BDBE-44EB5309C2A3}
HKEY_CLASSES_ROOT\CLSID\{C6039E6C-BDE9-4de5-BB40-768CAA584FDC}
HKEY_CLASSES_ROOT\CLSID\{E03C740E-BB24-4d3c-B92A-6F84DE1DD99C}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{C6039E6C-BDE9-4de5-BB40-768CAA584FDC}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{ebf1652d-fc54-4654-8738-55a21a0b520b}
HKEY_CLASSES_ROOT\CLSID\{ebf1652d-fc54-4654-8738-55a21a0b520b}
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{ebf1652d-fc54-4654-8738-55a21a0b520b}
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{a95b2816-1d7e-4561-a202-68c0de02353a}
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{55737035-1b75-48dd-a4d8-66155d8ac7a3}
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{35f7813a-af74-4474-b1dc-7ee6fb6c43c6}
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{c6039e6c-bde9-4de5-bb40-768caa584fdc}
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{944864a5-3916-46e2-96a9-a2e84f3f1208}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\__c001239
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, Runonce=[%SYSTEM%]\runouce.exe
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, gesetibava=Rundll32.exe “[%SYSTEM%]\zetorawi.dll”,s
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, userinit=[%APPDATA%]\twext.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks, {c3352fcd-cfe5-4f35-831a-19c68ddb7cf4}=
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks, {32023698-6984-8541-9654-698745012523}=skqncbib.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks, {18093456-9012-4568-9076-908765467181}=tisqatyu.dll
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run, A00F5364A.exe=[%PROFILE_TEMP%]\_A00F5364A.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks, {470165f1-9f65-569f-f895-f14f58f41074}=lofsdjbo.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks, {4fd45a54-9875-698f-e56e-65102358fdf4}=apsgdjba.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks, {4a698102-5904-afd0-20df-cd1a65829ca4}=zycbdime.dll
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run, A00F2D8C2.exe=[%PROFILE_TEMP%]\_A00F2D8C2.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, CPMbf323156=Rundll32.exe “[%SYSTEM%]\pawovuda.dll”,a
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, gesetibava=Rundll32.exe “[%SYSTEM%]\depopuho.dll”,s
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run, A00F464C08.exe=[%PROFILE_TEMP%]\_A00F464C08.exe
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run, A00F7EBD7E.exe=[%PROFILE_TEMP%]\_A00F7EBD7E.exe
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run, A00F1B4AFF.exe=[%PROFILE_TEMP%]\_A00F1B4AFF.exe
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run, A00F86BC3.exe=[%PROFILE_TEMP%]\_A00F86BC3.exe
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run, A00F33E8EFC.exe=[%PROFILE_TEMP%]\_A00F33E8EFC.exe
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run, A00F278DDEA.exe=[%PROFILE_TEMP%]\_A00F278DDEA.exe
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run, A00F10688F.exe=[%PROFILE_TEMP%]\_A00F10688F.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, Launch Toolbox Application=[%SYSTEM%]\CRDTB_LAUNCH.EXE
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, Launch Datacard Toolbox=[%SYSTEM%]\CRDPRAT.EXE
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, Launch Toolbox Application=[%SYSTEM%]\CRDTB_LAUNCH.EXE
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, WCXELMS=WCXELMS.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar, {12F02779-6D88-4958-8AD3-83C12D86ADC7}=00
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, sebavupuno=Rundll32.exe “[%SYSTEM%]\jidesoti.dll”,s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks, {a98d0065-7326-41b5-b8d9-c5b692cdb82f}=
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks, {109be732-8f8c-49d4-a3f4-fedcac7f0a25}=
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, Exohujesazukuya=rundll32.exe “[%WINDOWS%]\Qfeyirisohah.dll”,e
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, BM7fefe868=Rundll32.exe “[%SYSTEM%]\ljhjdqgd.dll”,s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, surayifuhu=Rundll32.exe “[%SYSTEM%]\lijeyoga.dll”,s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, CPM7ea4d3ff=Rundll32.exe “[%SYSTEM%]\pozarigo.dll”,a
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, 7d97e063=rundll32.exe “[%SYSTEM%]\kamileva.dll”,b
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks, {9b4868e3-767e-4a1c-a792-3cc451ba8cac}=
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, MSServer=rundll32.exe [%SYSTEM%]\ssqNFVMG.dll,#1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, CPM83132f38=Rundll32.exe “[%SYSTEM%]\batiweja.dll”,a
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, 80201ca4=rundll32.exe “[%SYSTEM%]\kohigewi.dll”,b
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, kasimepiri=Rundll32.exe “[%SYSTEM%]\vamibedi.dll”,s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, CPM530f1a7d=Rundll32.exe “[%SYSTEM%]\tidubulu.dll”,a
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, 503c29e1=rundll32.exe “[%SYSTEM%]\lodeyano.dll”,b
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, dihozamihe=Rundll32.exe “[%SYSTEM%]\busekuja.dll”,s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run_Disabled, 6c2833c7=rundll32.exe “[%SYSTEM%]\yynjjxku.dll”,b
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run_Disabled, BM6f1b005b=Rundll32.exe “[%SYSTEM%]\psvavoae.dll”,s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, yibekiroga=Rundll32.exe “[%SYSTEM%]\fuwobozu.dll”,s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, Rmiyiqijoyiqo=rundll32.exe “[%WINDOWS%]\akuxoxotumud.dll”,e
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, Ypigonorapule=rundll32.exe “[%WINDOWS%]\ehijuduligejo.dll”,e
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, RemoteControl=[%SYSTEM%]\rmctrl.exe
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, MSServer=rundll32.exe [%PROFILE_TEMP%]\ssqNGWqr.dll,#1
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, cmds=rundll32.exe [%PROFILE_TEMP%]\pmnmJDUN.dll,c
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks, {ebf1652d-fc54-4654-8738-55a21a0b520b}=
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, 18a4cec6=rundll32.exe “[%SYSTEM%]\popefuha.dll”,b
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, larugojiwa=Rundll32.exe “[%SYSTEM%]\lugozeji.dll”,s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, mosahagoju=Rundll32.exe “[%SYSTEM%]\yatesidu.dll”,s
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, mosahagoju=Rundll32.exe “[%SYSTEM%]\yatesidu.dll”,s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, CPM73ad0f30=Rundll32.exe “[%SYSTEM%]\fanenoto.dll”,a
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run, A00F8120D0E.exe=[%PROFILE_TEMP%]\_A00F8120D0E.exe
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run, A00F10C22F1.exe=[%PROFILE_TEMP%]\_A00F10C22F1.exe
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run, A00F13C401D1.exe=[%PROFILE_TEMP%]\_A00F13C401D1.exe
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run, A00F10250FE7.exe=[%PROFILE_TEMP%]\_A00F10250FE7.exe
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run, A00FAF10576.exe=[%PROFILE_TEMP%]\_A00FAF10576.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, nurahanidi=Rundll32.exe “[%SYSTEM%]\pafelewa.dll”,s
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows, AppInit_DLLs=[%SYSTEM%]\zanamalo.dll [%SYSTEM%]\sufojeni.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, CPM577affa7=Rundll32.exe “[%SYSTEM%]\sufojeni.dll”,a
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, bisinirimi=Rundll32.exe “[%SYSTEM%]\yosutihe.dll”,s
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, bisinirimi=Rundll32.exe “[%SYSTEM%]\yosutihe.dll”,s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, ac545607=rundll32.exe “[%SYSTEM%]\pohuzowo.dll”,b
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, sayudabomi=Rundll32.exe “[%SYSTEM%]\vavanoho.dll”,s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, CPM6b38fc50=Rundll32.exe “[%SYSTEM%]\fapilizu.dll”,a
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, 680bcfcc=rundll32.exe “[%SYSTEM%]\wegehove.dll”,b
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, vutukeyuku=Rundll32.exe “[%SYSTEM%]\batiweja.dll”,s
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows, AppInit_DLLs=[%SYSTEM%]\hofegope.dll [%SYSTEM%]\heyotina.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, CPMab293d9a=Rundll32.exe “[%SYSTEM%]\heyotina.dll”,a
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, vupatiloja=Rundll32.exe “[%SYSTEM%]\yivimefe.dll”,s
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run, A00F372BF2B6.exe=[%PROFILE_TEMP%]\_A00F372BF2B6.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, CPM11b5e9e7=Rundll32.exe “[%SYSTEM%]\yilefaju.dll”,a
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, fotasawomu=Rundll32.exe “[%SYSTEM%]\vajatika.dll”,s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, 40d1e3a0=rundll32.exe “[%SYSTEM%]\yqqyjarw.dll”,b
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, cmds=rundll32.exe [%PROFILE_TEMP%]\vtUlLCvu.dll,c
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, gesetibava=Rundll32.exe “[%SYSTEM%]\luyusowa.dll”,s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, CPMbf323156=Rundll32.exe “[%SYSTEM%]\subalavi.dll”,a
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks, {f7b0f7b2-1b10-4240-b00b-354f3c04e3f5}=
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks, {37e10337-6a37-45bb-bb1a-146c7d2a6e73}=
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, Xqozatagacutica=rundll32.exe “[%WINDOWS%]\ivizonahukozi.dll”,e
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, Kpakifihuf=rundll32.exe “[%WINDOWS%]\Qgutohekafomoh.dat”,e
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks, {aced1c9f-2718-4512-9f69-f4e28c1f484f}=
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, MSServer=rundll32.exe [%PROFILE_TEMP%]\cbXOIASi.dll,#1
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows, AppInit_DLLs=[%SYSTEM%]\yumovovi.dll [%SYSTEM%]\najamapa.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, CPM63b076fb=Rundll32.exe “[%SYSTEM%]\najamapa.dll”,a
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, jifelubele=Rundll32.exe “[%SYSTEM%]\vibevije.dll”,s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, Hwuzoyiziyema=rundll32.exe “[%WINDOWS%]\Xmolumezim.dll”,e
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, Qcozika=rundll32.exe “[%WINDOWS%]\adipizulufuj.dll”,e
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows, AppInit_DLLs=cru629.dat,[%SYSTEM%]\waremilo.dll [%SYSTEM%]\halaneho.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, CPM33987eb8=Rundll32.exe “[%SYSTEM%]\halaneho.dll”,a
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, nevafizuyo=Rundll32.exe “[%SYSTEM%]\susopaya.dll”,s
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows, AppInit_DLLs=[%SYSTEM%]\sitoyufe.dll [%SYSTEM%]\jimekaju.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, CPM5bf816e2=Rundll32.exe “[%SYSTEM%]\jimekaju.dll”,a
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, gukanifuwe=Rundll32.exe “[%SYSTEM%]\defupabo.dll”,s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, CPM73ad0f30=Rundll32.exe “[%SYSTEM%]\bafovudu.dll”,a
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, CPM3a493c19=Rundll32.exe “[%COMMON_APPDATA%]\dojeseja\dojeseja.dll”,a
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, dahanorika=Rundll32.exe “[%COMMON_APPDATA%]\vuvujake\vuvujake.dll”,s

Antivirus System Pro Sahte Antivirüsü Temizlemek

admin — Wed, 12 Aug 2009 12:18:25 +0000

Antivirus System Pro Sahtecisinin Temzilenmesi için Görev Yöneticisinden Açtıktan Sonra;

sysguard.exe isimli Çalışan Dosyayı “İŞLEMİ SONLANDIR” ile durdurunuz.

Antivirus System Pro Sahtecisinin Temzilenmesi için Kayıt Defterinden Aşağıdaki Kayıtları Silin;

HKEY_CURRENT_USER\Software\AvScan
HKEY_CLASSES_ROOT\CLSID\{BAD4551D-9B24-42cb-9BCD-818CA2DA7B63}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{BAD4551D-9B24-42cb-9BCD-818CA2DA7B63}
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run “system tool”

Antivirus System Pro Sahtecisinin Temzilenmesi için DLL Kaydının Silinmesi için;

Regsvr32 /u iehelper.dll komutu ile silebilirsiniz.

Bilgisayarınızı Yeniden Başlatın, Bu işlemleri tekrar yapın.Mutlaka Sonuça ulaşacaksınız …

Hüseyin Cenkut ÖZKAN

PC MightyMax Sahte Antivirüsü Temizlemek

admin — Wed, 05 Aug 2009 16:11:45 +0000

PC MightyMax sahte bir antivirüs programı kandırmaca yöntemlerle bilgisayarınızda virüs olduğuna sizi ikna edip kendisi satmak istiyor.Birçok uyarı ile sizi bezdirip onu satın almanızdan başka çareniz olmadığını düşündürüyor.Sahte uyarı mesajları, sistem hata mesajları kitlenmeler yavaşlamalar hepsi aslında PC MightyMax kendisi yapıyor.

Bilgisayarınız açıldığı gibi otomatik olarak başlayan PC MightyMax bunu değiştirmenizede engel oluyor.Bu sahte antivirüsü kapatamıyorsunuz.Genel olarak Kritik Uyarı, Alarm!!! mesajlarıyla sizi bilgisayarı kullanmanıza engel oluyor.Ve program ekle kaldırdan yada kendi üzerinde bilgisayarınızdan kaldıramıyorsunuz.

Yapılması gerekenler :

1-ADIM Görev Yöneticisi Açın (CRTL+DEL+ALT)
ve açılan görev yöneticisinden işlemler sayfasındaki PCMightyMaxSetup.EXE, pcmm.exe, pcmm2007.exe, ExeAfter.exe isimli çalışanları “işlemi sonlandır” ile kapatın.
2-ADIM Kayıt Defteri (Çalıştır’a regedit yazın)
ve açılan Kayıt defterindeki aşağıdaki kayıtları silin:
HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache@^C:\Program Files\PC MightyMax\ExeAfter.exe
HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache@^C:\Program Files\PC MightyMax\pcmm.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\Folders@^C:\Documents and Settings\Administrator\Application Data\Microsoft\Installer\{94D5AF0F-E6EE-4A75-BE31-9C9C9A87AD45}\
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\Folders@^C:\Documents and Settings\Administrator\Start Menu\Programs\PC MightyMax\
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\Folders@^C:\Program Files\PC MightyMax\
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run@^PCMMRealtime
HKEY_CURRENT_USER\Software\Microsoft\Installer\Features\F0FA5D49EE6E57A4EB13C9C9A978DA54
HKEY_CURRENT_USER\Software\Microsoft\Installer\Products\F0FA5D49EE6E57A4EB13C9C9A978DA54
HKEY_CURRENT_USER\Software\Microsoft\Installer\UpgradeCodes\713B41478A517224DA270783641C4644
HKEY_CURRENT_USER\Software\PC MightyMax
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UpgradeCodes\713B41478A517224DA270783641C4644
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{94D5AF0F-E6EE-4A75-BE31-9C9C9A87AD45}
HKEY_LOCAL_MACHINE\SOFTWARE\PC MightyMax
3-ADIM
Son olarak bilgisayarınızdaki Arama ile aşağıdaki dosyaları arayın bulduklarınızı silin !!!
PCMightyMaxSetup.EXE pcmm.exe pcmm2007.exe %program_files%\\PC MightyMax\\beep.exe %program_files%\\PC MightyMax\\ExeAfter.exe

System Security 4.52 Sahte Antivirüsü Temizlemek

admin — Wed, 05 Aug 2009 11:26:09 +0000

System Security 4.52 Bilgisayarınızda sürekli uyarılar veriyor.Kitliyor sahte taramalar yaparak virüs bulduğunu ve temizleyeceğini söylüyor ve sizden onu satın almasını istiyor. Tabii sakın inanmayın bu zararlı program Rusya-Ukrayna ortak yapımı bir kandırmaca yöntemidir.

System Security 4.52 Sahte Antivirüs Programında Nasıl Kurtulacaz :
ilk etapta Malware Bytes indirmeyin önce

1.ADIM Görev Yöneticisinden Çalışan Programı Sonlandırın ! (CRTL+ALT+DEL Basınca Açılır)
05643921.exe ve install.exe dosyalarını SONLANDIRIN !

2.ADIM Çalıştır’a regedit yazın Windows Kayıt Defteri Açılacak orada aşağıdaki dosyaları bulup silin:

HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\uninstall\systemsecurity2009
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\uninstall\systemsecurity2009 displayicon
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\uninstall\systemsecurity2009 displayname
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\uninstall\systemsecurity2009 shortcutpath
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\uninstall\systemsecurity2009 uninstallstring

3.ADIM System Security Ait Dosyaları Silin:

05643921.exe

install.exe

system security 2009.lnk

system security 2009 support.lnk

Bu aşamadan sonra bilgisayarınıza Malware Byte Yükleyip tarama yapabilirsiniz. Eğer önceden inidirip denerseniz System Security engel olacak ve yükleme başlamayacaktır.

GrayBird Rootkit kullanan 103 Farklı Virüsü Temizlemek

admin — Sun, 02 Aug 2009 07:18:12 +0000

Backdoor virüslerinin vazgeçilmez unsuru olan rootkitler virüslerin önemli bölümlerinden biridir.Symantec tespit ettiği GrayBird Rootkit şuana kadar Çin meşeiyli 99 , İngiltere meşeiyli 2 , Brezilya 1 ve Almanya’da 1 farklı virüste tespit edilmiştir.

GrayBird Rootkit’ini Kullanan Virüslerin Listesi

BackDoor-AWQ [McAfee]	45
BackDoor-AWQ.b [McAfee]	32
Generic.dx [McAfee]	28
Backdoor.Win32.Hupigon.caky [Kaspersky Lab]	25
Backdoor:Win32/Hupigon [Microsoft]	22
BKDR_HUPIGON.FVR [Trend Micro]	20
Backdoor.Hupigon.GEN [PC Tools]	18
New Malware.gr [McAfee]	17
Backdoor.Win32.Hupigon.bjxn [Kaspersky Lab]	16
BKDR_HUPIGON.VEM [Trend Micro]	16
Backdoor:Win32/Hupigon.gen!B [Microsoft]	15
BKDR_HUPIGON.IX [Trend Micro]	15
BackDoor-ARR [McAfee]	14
Backdoor.Win32.Hupigon [Ikarus]	12
Backdoor.Win32.Hupigon.nqr [Kaspersky Lab]	12
BKDR_HUPIGON.GEN [Trend Micro]	11
Backdoor.Graybird.GEN [PC Tools]	9
BackDoor-AWQ.svr.gen.a [McAfee]	8
Mal/DSpy-B [Sophos]	7
Backdoor.Hupigon [Ikarus]	6
Backdoor.Win32.Hupigon.aahl [Kaspersky Lab]	6
Mal/GrayBird-B, Mal/Behav-043 [Sophos]	6
Trojan-Downloader.Win32.Delf.aup [Ikarus]	6
BackDoor-AWQ.svr.gen.e [McAfee]	5
Mal/Emogen-S [Sophos]	5
Backdoor.Hupigon!sd5 [PC Tools]	4
Backdoor.Win32.GrayBird.EJ [Ikarus]	4
Backdoor.Win32.Hupigon.auh [Kaspersky Lab]	4
Backdoor.Win32.Hupigon.axbr [Kaspersky Lab]	4
Backdoor.Win32.Hupigon.hrp [Kaspersky Lab]	4
BehavesLikeWin32.ExplorerHijack [Ikarus]	4
Generic.Graybird [Ikarus]	4
TROJ_PROXY.GD [Trend Micro]	4
VirTool:Win32/DelfInject.gen!L [Microsoft]	4
Backdoor.Hupigon.GTB [PC Tools]	3
Backdoor.Win32.Hupigon.adi [Kaspersky Lab]	3
Backdoor.Win32.Hupigon.bmjp [Kaspersky Lab]	3
Backdoor.Win32.Hupigon.mlt [Kaspersky Lab]	3
Backdoor.Win32.Hupigon.mmt [Kaspersky Lab]	3
Backdoor:Win32/Hupigon.gen [Microsoft]	3
BackDoor-ARR.svr [McAfee]	3
BKDR_HUPIGON.EWE [Trend Micro]	3
BKDR_HUPIGON.PEP [Trend Micro]	3
Mal/Behav-058, Mal/DSpy-B, Mal/Behav-157 [Sophos]	3
Mal/Emogen-E [Sophos]	3
Mal/EncPk-AP, Mal/Behav-058, Mal/Hupig-E, Mal/DSpy-B, Mal/Behav-157, Mal/Behav-043 [Sophos]	3
New Malware.dq [McAfee]	3
Trojan.Win32.StartPage [Ikarus]	3
Backdoor.Graybird!sd6 [PC Tools]	2
Backdoor.Hupigon.HHW [PC Tools]	2
Backdoor.Hupigon.SAJ [PC Tools]	2
Backdoor.Win32.GrayBird.jj [Kaspersky Lab]	2
Backdoor.Win32.Hupigon.abmi [Kaspersky Lab]	2
Backdoor.Win32.Hupigon.adma [Kaspersky Lab]	2
Backdoor.Win32.Hupigon.aqf [Kaspersky Lab]	2
Backdoor.Win32.Hupigon.ave [Kaspersky Lab]	2
Backdoor.Win32.Hupigon.bns [Kaspersky Lab]	2
Backdoor.Win32.Hupigon.cal [Kaspersky Lab]	2
Backdoor.Win32.Hupigon.cmvm [Kaspersky Lab]	2
Backdoor.Win32.Hupigon.eko [Kaspersky Lab]	2
Backdoor.Win32.Hupigon.elw [Kaspersky Lab]	2
Backdoor.Win32.Hupigon.qbq [Kaspersky Lab]	2
BackDoor-AWQ.svr.gen.b [McAfee]	2
BKDR_GRAYBIR.GC [Trend Micro]	2
BKDR_HUPIGON.EVG [Trend Micro]	2
BKDR_HUPIGON.JSF [Trend Micro]	2
Cryp_Pai-3 [Trend Micro]	2
Generic BackDoor [McAfee]	2
Mal/Basine-C [Sophos]	2
Mal/Behav-043, Mal/Emogen-E [Sophos]	2
Mal/Behav-043, Mal/Emogen-S, Mal/Basine-C [Sophos]	2
Mal/DSpy-B, Mal/Behav-157, Mal/Emogen-S [Sophos]	2
Mal/EncPk-AP, Mal/Behav-058, Mal/DSpy-B, Mal/Behav-157 [Sophos]	2
Mal/EncPk-BN [Sophos]	2
Mal/Generic-A [Sophos]	2
Mal/Hupig-D, Mal/DSpy-B [Sophos]	2
Mal/Hupig-E, Mal/Behav-058, Mal/DSpy-B, Mal/Behav-157, Mal/Behav-043 [Sophos]	2
Mal/Packer, Mal/DSpy-B [Sophos]	2
Mal/Packer, Mal/GrayBird-B, Mal/Behav-043 [Sophos]	2
New Malware.bj [McAfee]	2
New Malware.u [McAfee]	2
TROJ_BANDOK.BI [Trend Micro]	2
TROJ_DELF.EJU [Trend Micro]	2
TrojanDropper:Win32/Dowque.A [Microsoft]	2
TrojanDropper:Win32/Hupigon.gen!A [Microsoft]	2
VirTool.Win32.DelfInject [Ikarus]	2
VirTool:Win32/DelfInject [Microsoft]	2
Virus.Win32.Hupigon.AMD [Ikarus]	2
Virus.Win32.Hupigon.OH [Ikarus]	2
Win-Trojan/Hupigon.Gen [AhnLab]	2
Win-Trojan/Xema.variant [AhnLab]	2
Worm:Win32/Autorun.PP [Microsoft]	2
Backdoor.Agent.AIMB [PC Tools]	1
Backdoor.Delf.XLP [PC Tools]	1
Backdoor.GrayBird.BC!AU [PC Tools]	1
Backdoor.Hupigon.AOUM [PC Tools]	1
Backdoor.Hupigon.ARVG [PC Tools]	1
Backdoor.Hupigon.AWCU [PC Tools]	1
Backdoor.Hupigon.BLIN [PC Tools]	1
Backdoor.Hupigon.DMH [PC Tools]	1

GrayBird Rootkit’nin bilgisayarınıza yukarıdaki bir virüs ile bulaşması durumunda oluşturacağı dosyalar;

%CommonFavorites%\beos.exe

%ProgramFiles%\entvip2008\kavservs.exe

%ProgramFiles%\internet explorer\svchosi.exe

%ProgramFiles%\microsoft\msdep.exe

%ProgramFiles%\sachost.exe

%ProgramFiles%\windows media player\timplatform.exe

%System%\_drivers.exe

%System%\_rejoice44.exe

%System%\_scvhost.exe

%System%\_servernet.exe

%System%\_system.exe

%System%\accountsmanager.exe

%System%\ati.exe

%System%\drivers.exe

%System%\explor.exe

%System%\g_server2.03.exe

%System%\heigezi2009.exe

%System%\install.dll

%System%\intelr.exe

%System%\lxwx.dll

%System%\ly_server2008.exe

%System%\nerocheck.dll

%System%\nerocheck.exe

%System%\rejoice2007.exe

%System%\servidor.exe

%System%\svch0st.exe

%System%\sysecser.exe

%System%\windows.exe

%Temp%\hubba.exe

%Temp%\ixp000.tmp\1.exe

%Temp%\ixp000.tmp\11.exe

%Temp%\ixp000.tmp\4.exe

%Temp%\kendy.exe

%Temp%\mm.exe

%Temp%\server_setup.exe

%Temp%\tempdir.exe

%Windir%\1.exe

%Windir%\360tary.exe

%Windir%\521.exe

%Windir%\baidu.com

%Windir%\coines.exe

%Windir%\foxrun.exe

%Windir%\g_server.exe

%Windir%\g_server2006.dll

%Windir%\g_server2006.exe

%Windir%\ghfhgjhnssjdw.exe

%Windir%\guocyok88.exe

%Windir%\hacker.com.cn.exe

%Windir%\hgzp.dll

%Windir%\l_server2.03.exe

%Windir%\lingdu.com.cn.exe

%Windir%\nessus.exe

%Windir%\prints.exe

%Windir%\rec.exe

%Windir%\runmgr.exe

%Windir%\scl.dll

%Windir%\servel.exe

%Windir%\server.exe

%Windir%\suchost.exe

%Windir%\svch0st.exe

%Windir%\svchost.exe

%Windir%\svchost2.03.exe

%Windir%\sysoop.com.cn.exe

%Windir%\system.exe

%Windir%\system\systen.exe

%Windir%\tvsb.exe

%Windir%\win32.exe

%Windir%\windows.com.cn.exe

%Windir%\windows.exe

%Windir%\wuauclt.exe

%Windir%\www.cmder.com.exe

%Windir%\www.darkst.com

c:\dyc.exe

c:\scvhost.exe

c:\server101.exe

c:\system.exe

c:\windowsboot.exe

Hamweq ve MH690 Virüsünü Temizlemek

admin — Fri, 31 Jul 2009 07:54:40 +0000

Hamweq veya MH690 Virüsü Kendini kayıt defterine eklettirerek her açılışta aktif olmaktadır.Silinmesine engel olmak için Sistem Geri Yükleme dosyalarının altına bulaşan virüs bu sayede kendini sistem geri yükleme açıken temizletmiyor.

Hamweq veya MH690 Virüsünün Dosyaları;c:\RESTORE\k-1-3542-4232123213-7676767-8888886\Desktop.ini

c:\RESTORE\k-1-3542-4232123213-7676767-8888886\RanDll.exe

Hamweq veya MH690 Virüsünün Kayıt Defterine Eklediği Kayıtlar;

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{67KLN5J0-4OPM-00WE-AAX5-77EF1D187563}

The newly created Registry Value is:
- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{67KLN5J0-4OPM-00WE-AAX5-77EF1D187563}]
  - StubPath = “c:\RESTORE\k-1-3542-4232123213-7676767-8888886\RanDll.exe”

HAMWEQ ve MH690 Virüsünü Temizlemek için
ilk önce internet ve yerel ağ bağlantınızı kesiniz
Bilgisayarınızın Sistem Geri Yükleme Özelleğini devre dışı bırakınız
Micorosoft Zararlı Temizleme Araçını indirip tarama yapınız.

Banbra Virüsünü Temizlemek

admin — Fri, 31 Jul 2009 07:03:33 +0000

Banbra virüsü bilgisayarınıza bulaştığı zaman aşağıdaki gibi bir ekran ile kendini yüklemektedir.

Banbra Virüsü Bilgisayarınızda herhangi bir klasörün içinde herhangi bir isim ile 98,816 bytes boyutunda size ve sisteminize ait olmayan dosyalar oluşturur.Şüphelendiyseniz dosyanın HASH kodu bakınız.98,816 Byte olan bu dosyanın hash kodu : 0xA32ADD436FE7248E31BD53F13D1CF693

“Bunun için ise FileHashes programını bilgisayarınıza yükleyebilirsiniz.”

Banbra Virüsünün Kayıt Defterine eklediği Kayıtlar;

HKEY_LOCAL_MACHINE\SOFTWARE\RkU38
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SYBEX38
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SYBEX38\0000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sybex38

The newly created Registry Values are:
- [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SYBEX38\0000]
  - Service = “sybex38″
  - Legacy = 0×00000001
  - ConfigFlags = 0×00000000
  - Class = “LegacyDriver”
  - ClassGUID = “{8ECC055D-047F-11D1-A537-0000F8753ED1}”
  - DeviceDesc = “Rootkit Unhooker Driver”
- [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SYBEX38]
  - NextInstance = 0×00000001
- [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sybex38]
  - DisplayName = “Rootkit Unhooker Driver”
  - ErrorControl = 0×00000001
  - Start = 0×00000003
  - Type = 0×00000001

Menşei Rusya olan bu virüs yeni yeni yayılmaya başladı.Şuan için IKARUS ve KASPERSKY tarafında tespit edilmektedir.

Helpud Virüsünü Temizlemek

admin — Thu, 30 Jul 2009 15:57:09 +0000

Helpud virüsü Çinli korsanlar tarafında yayılmaya başladı.Genel amacı sistemde bir açık oluşturmak ve bu açık sayesinde sisteme zararlı dosyaları göndermektir.

HELPUD Virüsünün Bilgisayara Oluşturduğu Dosyalar;
%Windir%\o1.jpg
%Windir%\o1.vbs
%System%\ro.dll

HELPUD Virüsünün Kayıt Defterine eklediği Kayıtlar;

HKEY_CURRENT_USER\Software\Microsoft\Windows Script Host
HKEY_CURRENT_USER\Software\Microsoft\Windows Script Host\Settings
HKEY_CURRENT_USER\Software\WinRAR SFX

- [HKEY_CURRENT_USER\Software\WinRAR SFX]
  - C%%WINDOWS = “C:\WINDOWS”

HELPUD Virüsünün Görev Yöneticisinde Çalıştırdığı Dosyalar;
fzga.exe

Bu virüsü temizlemek için IKARUS antivirüs programını kullanabilirsiniz.

Hüseyin Cenkut ÖZKAN

Aimo Virüsü Temizlemek

admin — Thu, 30 Jul 2009 11:46:03 +0000

Rusya menşeiyli bu virüs bulaştığı bilgisayarda sistem açığı oluşturarak bilgisayarınıza dışardan bağlanılımasını sağlamaktadır.

Aimo Virüsünün Dosyaları;

c:\users\usern\videos\karanchi_latest_scandal_hidden_cam_fXcXXng_xxx_02.mpg

c:\users\usern\videos\new.bat

c:\users\usern\videos\svchost.exe

%Windir%\pchealth\ERRORREP\UserDumps\services.exe.20090730-141446-00.hdmp

%Windir%\pchealth\ERRORREP\UserDumps\services.exe.20090730-141446-00.mdmp

Aimo Virüsünün Kayıt Defterine Eklediği Kayıtlar ;

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\PCHealth\ErrorReporting\UserFaults
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SYSCACHE
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SYSCACHE\0000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SYSCACHE\0000\Control
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SysCache
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SysCache\Security
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SysCache\Enum
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SYSCACHE
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SYSCACHE\0000
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SYSCACHE\0000\Control
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SysCache
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SysCache\Security
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SysCache\Enum
HKEY_CURRENT_USER\Software\Microsoft\ActiveMovie\devenum\{4EFE2452-168A-11D1-BC76-00C04FB9453B}
HKEY_CURRENT_USER\Software\Microsoft\ActiveMovie\devenum\{4EFE2452-168A-11D1-BC76-00C04FB9453B}\Default MidiOut Device
HKEY_CURRENT_USER\Software\Microsoft\ActiveMovie\devenum\{E0F158E1-CB04-11D0-BD4E-00A0C911CE86}
HKEY_CURRENT_USER\Software\Microsoft\ActiveMovie\devenum\{E0F158E1-CB04-11D0-BD4E-00A0C911CE86}\Default DirectSound Device
HKEY_CURRENT_USER\Software\Microsoft\Multimedia\ActiveMovie
HKEY_CURRENT_USER\Software\Microsoft\Multimedia\ActiveMovie\Filter Cache
HKEY_CURRENT_USER\Software\Microsoft\Windows Script Host
HKEY_CURRENT_USER\Software\Microsoft\Windows Script Host\Settings
HKEY_CURRENT_USER\Software\WinRAR SFX

- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\PCHealth\ErrorReporting\UserFaults]
  - %Windir%\PCHealth\ErrorRep\UserDumps\services.exe.20090730-141446-00.mdmp = A6 00 00 00 60 00 00 00 60 00 00 00 A2 00 00 00 5F 06 70 71 00 00 00 00 05 00 01 00 28 0A 84 08 00 00 00 00 00 00 00 00 00 00 00 00 D9 07 07 00 04 00 1E 00 0E 00 0E 00 2E 00 1F 00 37 00 31 00 05 00 00 C0 30 00 36 00 00 00 00 00 00 00 00 00 B3 7E 10 4
- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
  - UserFaultCheck = “%System%\dumprep 0 -u”
- [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SYSCACHE\0000\Control]
  - *NewlyCreated* = 0×00000000
- [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SYSCACHE\0000]
  - Service = “SysCache”
  - Legacy = 0×00000001
  - ConfigFlags = 0×00000000
  - Class = “LegacyDriver”
  - ClassGUID = “{8ECC055D-047F-11D1-A537-0000F8753ED1}”
  - DeviceDesc = “System Service”
- [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SYSCACHE]
  - NextInstance = 0×00000001
- [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SysCache\Enum]
  - 0 = “Root\LEGACY_SYSCACHE\0000″
  - Count = 0×00000001
  - NextInstance = 0×00000001
- [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SysCache\Security]
  - Security = 01 00 14 80 90 00 00 00 9C 00 00 00 14 00 00 00 30 00 00 00 02 00 1C 00 01 00 00 00 02 80 14 00 FF 01 0F 00 01 01 00 00 00 00 00 01 00 00 00 00 02 00 60 00 04 00 00 00 00 00 14 00 FD 01 02 00 01 01 00 00 00 00 00 05 12 00 00 00 00 00 18 00 FF 01 0F 0
- [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SysCache]
  - Type = 0×00000010
  - Start = 0×00000002
  - ErrorControl = 0×00000001
  - ImagePath = “C:\Users\usern\videos\svchost.exe”
  - DisplayName = “System Service”
  - ObjectName = “LocalSystem”
- [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SYSCACHE\0000\Control]
  - *NewlyCreated* = 0×00000000
- [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SYSCACHE\0000]
  - Service = “SysCache”
  - Legacy = 0×00000001
  - ConfigFlags = 0×00000000
  - Class = “LegacyDriver”
  - ClassGUID = “{8ECC055D-047F-11D1-A537-0000F8753ED1}”
  - DeviceDesc = “System Service”
- [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SYSCACHE]
  - NextInstance = 0×00000001
- [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SysCache\Enum]
  - 0 = “Root\LEGACY_SYSCACHE\0000″
  - Count = 0×00000001
  - NextInstance = 0×00000001
- [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SysCache\Security]
  - Security = 01 00 14 80 90 00 00 00 9C 00 00 00 14 00 00 00 30 00 00 00 02 00 1C 00 01 00 00 00 02 80 14 00 FF 01 0F 00 01 01 00 00 00 00 00 01 00 00 00 00 02 00 60 00 04 00 00 00 00 00 14 00 FD 01 02 00 01 01 00 00 00 00 00 05 12 00 00 00 00 00 18 00 FF 01 0F 0
- [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SysCache]
  - Type = 0×00000010
  - Start = 0×00000002
  - ErrorControl = 0×00000001
  - ImagePath = “C:\Users\usern\videos\svchost.exe”
  - DisplayName = “System Service”
  - ObjectName = “LocalSystem”
- [HKEY_CURRENT_USER\Software\Microsoft\ActiveMovie\devenum\{4EFE2452-168A-11D1-BC76-00C04FB9453B}\Default MidiOut Device]
  - FriendlyName = “Default MidiOut Device”
  - CLSID = “{07B65360-C445-11CE-AFDE-00AA006C14F4}”
  - FilterData = 02 00 00 00 00 00 80 00 01 00 00 00 00 00 00 00 30 70 69 33 02 00 00 00 00 00 00 00 01 00 00 00 00 00 00 00 00 00 00 00 30 74 79 33 00 00 00 00 38 00 00 00 48 00 00 00 6D 69 64 73 00 00 10 00 80 00 00 AA 00 38 9B 71 00 00 00 00 00 00 00 00 00 00 00 0
  - MidiOutId = 0xFFFFFFFF
- [HKEY_CURRENT_USER\Software\Microsoft\ActiveMovie\devenum\{E0F158E1-CB04-11D0-BD4E-00A0C911CE86}\Default DirectSound Device]
  - FriendlyName = “Default DirectSound Device”
  - CLSID = “{79376820-07D0-11CF-A24D-0020AFD79767}”
  - FilterData = 02 00 00 00 00 00 80 00 01 00 00 00 00 00 00 00 30 70 69 33 02 00 00 00 00 00 00 00 08 00 00 00 00 00 00 00 00 00 00 00 30 74 79 33 00 00 00 00 A8 00 00 00 B8 00 00 00 31 74 79 33 00 00 00 00 A8 00 00 00 C8 00 00 00 32 74 79 33 00 00 00 00 A8 00 00 0
  - DSGuid = “{00000000-0000-0000-0000-000000000000}”
- [HKEY_CURRENT_USER\Software\Microsoft\Multimedia\ActiveMovie\Filter Cache]
  - 0 = E0 5A 00 00 65 68 63 66 00 00 00 00 00 00 00 00 02 01 00 00 00 00 00 00 01 00 20 00 49 00 00 00 40 00 64 00 65 00 76 00 69 00 63 00 65 00 3A 00 64 00 6D 00 6F 00 3A 00 7B 00 32 00 45 00 45 00 42 00 34 00 41 00 44 00 46 00 2D 00 34 00 35 00 37 00 38 0
- [HKEY_CURRENT_USER\Software\WinRAR SFX]
  - C%%users%usern%videos = “C:\users\usern\videos”

Aimo virüsünün oluşturduğu dosyaları ve kayıtları silin.Kesin emin olmak için güvenli modda internet bağlantısını keserek Kaspersky 2010 ile tarama yapınız.

KASPERSKY internet security veya antivirüs 30GÜNLÜK Trial İndirmek için http://www.cenkut.net indirebilirsiniz.

Hüseyin Cenkut ÖZKAN

Biforse Flux KillAV Virüsü Temizlemek

admin — Wed, 29 Jul 2009 07:46:30 +0000

Biforse, Flux, KillAV, Xema, CEP isimleriyle antivirüsler tarafından tespit edilen bu virüsün özelliği hem trojan hem sistem açığı hemde sahte antivirüs programı gibi davranıp sizden onu satın almanızı isteyebilir.

Asıl amacı birbirinden tehlikeli sistem açıklarını açmak ve farklı trojanlar yükleyerek yerini sağlamlaştırmak bunların haricindede kendini temizlemek için satın almanız gerektiğini söyler sakın böyle birşey yapmayın.

Biforse Flux KillAV Xema CEP Virüslerinin bilgisayarınıza açtığı dosyalar;

%Temp%\nsd14.tmp
%Temp%\nsq17.tmp\ns18.tmp
%Temp%\nsq17.tmp\nsExec.dll
%System%\load.exe
%System%\sm.exe
%System%\spool32.exe
%System%\svcledr.exe
%System%\Windows lnstaller.exe

Biforse KillAV Xema CEP Flux Virüslerinin sistemde sürekli çalıştırdıkları programlar;

un.exe

nsF.tmp

binst.exe

ns4.tmp

flip.exe

nitest.exe

load.exe

Biforse KillAV Xema CEP Flux Virüslerinin oluşturdukları Kayıtlar (bkz: Kayıt Defteri Registry)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{13D4758C-2B0C-5A4E-8A2A-1B844A5C851D}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{9B71D88C-C598-4935-C5D1-43AA4DB90836}
HKEY_LOCAL_MACHINE\SOFTWARE\Wget
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\MediaResources\msvideo
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WINDOWS_LNSTALLER
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WINDOWS_LNSTALLER\0000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Windows lnstaller
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Windows lnstaller\Security
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\MediaResources\msvideo
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_WINDOWS_LNSTALLER
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_WINDOWS_LNSTALLER\0000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Windows lnstaller
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Windows lnstaller\Security
HKEY_CURRENT_USER\Software\Microsoft\Active Setup\Installed Components\{13D4758C-2B0C-5A4E-8A2A-1B844A5C851D}
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RUNONCE
HKEY_CURRENT_USER\Software\Wget

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{13D4758C-2B0C-5A4E-8A2A-1B844A5C851D}]
- StubPath = “%System%\svchost.exe 2″
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{9B71D88C-C598-4935-C5D1-43AA4DB90836}]
- stubpath = “%System%\spool32.exe s”
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
- spool32\blah1 = “%System%\spool32.exe”
- NortonAVTray = “%System%\svchost.exe”
[HKEY_LOCAL_MACHINE\SOFTWARE\Wget]
- nck = E7 1D 40 54 22 5E 59 60 B4 3C 2A 5E 33 34 72 00 A3 78 26 35 57 32 2D 60 B4 3C 2A 5E 33 34 72 00
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WINDOWS_LNSTALLER\0000]
- Service = “Windows lnstaller”
- Legacy = 0×00000001
- ConfigFlags = 0×00000000
- Class = “LegacyDriver”
- ClassGUID = “{8ECC055D-047F-11D1-A537-0000F8753ED1}”
- DeviceDesc = “Windows lnstaller”
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WINDOWS_LNSTALLER]
- NextInstance = 0×00000001
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Windows lnstaller\Security]
- Security = 01 00 14 80 90 00 00 00 9C 00 00 00 14 00 00 00 30 00 00 00 02 00 1C 00 01 00 00 00 02 80 14 00 FF 01 0F 00 01 01 00 00 00 00 00 01 00 00 00 00 02 00 60 00 04 00 00 00 00 00 14 00 FD 01 02 00 01 01 00 00 00 00 00 05 12 00 00 00 00 00 18 00 FF 01 0F 0
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Windows lnstaller]
- Type = 0×00000010
- Start = 0×00000002
- ErrorControl = 0×00000000
- ImagePath = “%System%\Windows lnstaller.exe”
- DisplayName = “Windows lnstaller”
- ObjectName = “LocalSystem”
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_WINDOWS_LNSTALLER\0000]
- Service = “Windows lnstaller”
- Legacy = 0×00000001
- ConfigFlags = 0×00000000
- Class = “LegacyDriver”
- ClassGUID = “{8ECC055D-047F-11D1-A537-0000F8753ED1}”
- DeviceDesc = “Windows lnstaller”
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_WINDOWS_LNSTALLER]
- NextInstance = 0×00000001
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Windows lnstaller\Security]
- Security = 01 00 14 80 90 00 00 00 9C 00 00 00 14 00 00 00 30 00 00 00 02 00 1C 00 01 00 00 00 02 80 14 00 FF 01 0F 00 01 01 00 00 00 00 00 01 00 00 00 00 02 00 60 00 04 00 00 00 00 00 14 00 FD 01 02 00 01 01 00 00 00 00 00 05 12 00 00 00 00 00 18 00 FF 01 0F 0
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Windows lnstaller]
- Type = 0×00000010
- Start = 0×00000002
- ErrorControl = 0×00000000
- ImagePath = “%System%\Windows lnstaller.exe”
- DisplayName = “Windows lnstaller”
- ObjectName = “LocalSystem”
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
- spool32\blah1 = “%System%\spool32.exe”
- NortonAVTray = “%System%\svchost.exe”
[HKEY_CURRENT_USER\Software\Wget]
- klg = 01

Biforse Xema Flux KillAV CEP Virüsü Aşağıdaki Adrese Bağlantı Kurar;

URL: cdx.zapto.org

Port No:4400

Söz konusu virüslerin en büyük tehlikesi kişisel bilgilerinizin başka kişilere gönderilmesidir.

Bu Virüslerden kurtulmak için Dosyalarını ve Kayıt Defterine ekledikleri kayıtları silin temizlendiğin emin olmak için KASPERSKY, SOPHOS veya MCAFE ile taratın.

Hüseyin Cenkut ÖZKAN

Scribble ve Virtob Virüs Temizlemek

admin — Wed, 22 Jul 2009 15:42:05 +0000

Scribble veya Virtob Virüsü Temizlemek
=================================
internet üzerinden downloader ederek bilgisayarınıza bulaşır.Bu virüs 65520 nolu portu kullanarak sys.zief.pl serverından kendini günceller.Şuan için Sophos ve Ikarus Antivirüs programları tarafında tespit edilip temizlenmektedir.

Scribble veya Virtob Virüsünün Bilgisayarınıza Kopyaladığı Dosyalar:

[pathname with a string SHARE]\msinfo32.exe

[pathname with a string SHARE]\sapisvr.exe

%ProgramFiles%\Internet Explorer\Connection Wizard\icwconn1.exe

%ProgramFiles%\Internet Explorer\Connection Wizard\icwconn2.exe

%ProgramFiles%\Internet Explorer\Connection Wizard\icwrmind.exe

%ProgramFiles%\Internet Explorer\Connection Wizard\icwtutor.exe

%ProgramFiles%\Internet Explorer\Connection Wizard\inetwiz.exe

%ProgramFiles%\Internet Explorer\Connection Wizard\isignup.exe

%ProgramFiles%\Internet Explorer\iedw.exe

%ProgramFiles%\Internet Explorer\IEXPLORE.EXE

%ProgramFiles%\MSN\MSNIA\msniasvc.exe

%ProgramFiles%\MSN\MSNIA\prestp.exe

%ProgramFiles%\MSN\MsnInstaller\msninst.exe

%ProgramFiles%\NetMeeting\cb32.exe

%ProgramFiles%\NetMeeting\conf.exe

%ProgramFiles%\NetMeeting\wb32.exe

%ProgramFiles%\Outlook Express\msimn.exe

%ProgramFiles%\Outlook Express\oemig50.exe

%ProgramFiles%\Outlook Express\setup50.exe

%ProgramFiles%\Outlook Express\wab.exe

%ProgramFiles%\Outlook Express\wabmig.exe

%ProgramFiles%\Web Publish\WPWIZ.EXE

%ProgramFiles%\Windows Media Player\migrate.exe

%ProgramFiles%\Windows Media Player\mplayer2.exe

%ProgramFiles%\Windows Media Player\setup_wm.exe

%ProgramFiles%\Windows Media Player\wmplayer.exe

%ProgramFiles%\Windows NT\Accessories\wordpad.exe

%ProgramFiles%\Windows NT\dialer.exe

%ProgramFiles%\Windows NT\hypertrm.exe

%ProgramFiles%\Windows NT\Pinball\PINBALL.EXE

%Windir%\hh.exe

%Windir%\inf\unregmp2.exe

%Windir%\Installer\{350C97B0-3D7C-4EE8-BAA9-00BCB3D54227}\places.exe

%Windir%\Microsoft.NET\Framework\NETFXSBS10.exe

%Windir%\Microsoft.NET\Framework\v2.0.50727\aspnet_compiler.exe

%Windir%\Microsoft.NET\Framework\v2.0.50727\aspnet_regbrowsers.exe

%Windir%\Microsoft.NET\Framework\v2.0.50727\aspnet_regsql.exe

%Windir%\Microsoft.NET\Framework\v2.0.50727\CasPol.exe

%Windir%\Microsoft.NET\Framework\v2.0.50727\dfsvc.exe

%Windir%\Microsoft.NET\Framework\v2.0.50727\IEExec.exe

%Windir%\Microsoft.NET\Framework\v2.0.50727\InstallUtil.exe

%Windir%\Microsoft.NET\Framework\v2.0.50727\jsc.exe

%Windir%\Microsoft.NET\Framework\v2.0.50727\MSBuild.exe

%Windir%\Microsoft.NET\Framework\v2.0.50727\RegAsm.exe

%Windir%\Microsoft.NET\Framework\v2.0.50727\RegSvcs.exe

%Windir%\msagent\agentsvr.exe

%Windir%\mui\muisetup.exe

%Windir%\NOTEPAD.EXE

%Windir%\pchealth\helpctr\binaries\HelpCtr.exe

%Windir%\pchealth\helpctr\binaries\HelpHost.exe

%Windir%\pchealth\helpctr\binaries\HelpSvc.exe

%Windir%\pchealth\helpctr\binaries\HscUpd.exe

%Windir%\pchealth\helpctr\binaries\msconfig.exe

%Windir%\pchealth\helpctr\binaries\notiflag.exe

%Windir%\pchealth\UploadLB\Binaries\UploadM.exe

%Windir%\regedit.exe

%System%\accwiz.exe

%System%\actmovie.exe

%System%\ahui.exe

%System%\arp.exe

%System%\asr_fmt.exe

%System%\asr_ldm.exe

%System%\asr_pfu.exe

%System%\at.exe

%System%\atmadm.exe

%System%\attrib.exe

%System%\auditusr.exe

%System%\blastcln.exe

%System%\bootcfg.exe

%System%\bootok.exe

%System%\bootvrfy.exe

%System%\cacls.exe

%System%\calc.exe

%System%\charmap.exe

%System%\chkdsk.exe

%System%\chkntfs.exe

%System%\cidaemon.exe

%System%\cipher.exe

%System%\cisvc.exe

%System%\ckcnv.exe

%System%\cleanmgr.exe

%System%\clean_all.exe

%System%\cliconfg.exe

%System%\clipbrd.exe

%System%\clipsrv.exe

%System%\cmd.exe

%System%\cmdl32.exe

%System%\cmmon32.exe

%System%\cmstp.exe

%System%\Com\comrepl.exe

%System%\Com\comrereg.exe

%System%\comp.exe

%System%\compact.exe

%System%\conime.exe

%System%\control.exe

%System%\convert.exe

%System%\cscript.exe

%System%\ctfmon.exe

%System%\dcomcnfg.exe

%System%\ddeshare.exe

Hotmail Hesabınıza Ulaşamıyorsanız …

admin — Wed, 22 Jul 2009 15:16:09 +0000

MSN Messenger üzerinden veya hotmail.com üzerinden e-postalarınıza ulaşamıyorsanız.Yapmanız gerekenler Temporary İnternet Files Klasörünü içini komple temizleyin.İnternet geçmişinizi silin.Bu bir javascript ve cookies hatasıdır.Genelde size gelen spam virüslü epostaları açtığınız zaman bilgisayarınızdaki cookielere müdahale eder.Bu durumda hotmail e-posta sayfasına ulaşmanızı engeller.

Çözüm
Anti Malware Bytes kurun.ve SpyBots yazılmını kurup taratın.Yine de kurtulamazsanız temporary internet files klasörünü içini boşaltın.

Hüseyin Cenkut Özkan

Worm UltraSurf Virüs Temizlemek

admin — Wed, 15 Jul 2009 11:25:20 +0000

15.07.2009 tarihinde yayılmaya başlayan UltraSurf virüsü şuana kadar Mcafee tarafında tespit edildi.Çin üzerinde yayılan bu virüs bilgisayara bulaştıktan sonra internet üzernden serverlarında kendini güncelliyor ve sürekli olarak yayılımını sürdürüyor.

Kullandığı Sunucular (Host’lar)

209.51.169.94

162.99.248.247

159.53.64.54

128.101.65.204

64.34.180.105

167.21.84.13

128.123.18.17

204.65.38.32

128.231.86.79

207.97.249.212

202.106.80.66

85.17.138.4

88.198.124.202

204.16.104.198

205.130.212.1

207.188.24.140

61.144.235.3

207.35.11.17

156.80.1.107

12.153.224.80

203.202.41.117

207.105.75.196

203.127.2.21

170.135.216.62

209.221.141.69

204.200.195.130

91.192.128.34

202.239.151.96

170.135.216.32

63.245.209.72

156.77.100.128

74.125.19.112

159.226.244.14

81.177.31.150

66.210.186.147

130.191.143.18

208.43.120.235

58.251.63.182

72.172.235.12

210.71.212.9

128.120.32.97

59.106.108.86

203.115.239.38

198.239.146.19

193.109.119.30

202.162.28.23

143.236.32.241

198.93.34.158

137.187.66.224

192.104.54.50

213.123.26.22

138.235.42.3

164.154.226.26

192.88.209.56

209.85.171.115

149.101.24.73

64.236.108.247

218.211.96.126

91.189.90.244

65.54.132.253

165.206.254.144

158.229.251.10

210.59.160.110

168.215.152.65

61.219.223.187

216.134.197.184

192.86.252.227

216.13.113.51

221.231.141.46

160.129.50.189

12.164.227.33

210.242.23.5

64.34.52.146

167.102.245.62

210.59.144.3

160.109.122.224

212.140.245.12

80.83.114.72

72.14.207.99

165.189.61.247

167.102.245.61

193.41.233.200

65.161.114.27

149.168.111.6

74.125.19.48

151.151.129.162

216.33.244.13

203.27.235.60

192.228.29.9

66.0.115.164

63.245.209.31

63.245.209.10

Bilgisayarınızdaki bağlantıları kontrol ettiğinizde ise

128.123.18.17 NOLU IP’ye 443 Port Bağlandığınız görülüyor.

UltraSurf Virüsünün Kayıt Defterine Eklediği veya Oluşturduğu Kayıtlar :

Oluşturduğu Kayıtlar:
- [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
  - Bhinmepeagdaiijc = 0×00000617
- [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3]
  - CurrentLevel = 00 00 00 00
  - 1C00 = 00 00 00 00

Varolan kayıtlara ilaveler:
- [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3]
  - CurrentLevel = 0×00000000
  - 1C00 = 0×00010000

UltraSurf Virüsünün Oluşturduğu Dosyalar:

Bqzkczcjjawjlemu ve Rouqifiipbxcwmgm adında 2 dosya oluşturur.Bu dosyalar Temp klasörünün içindedir.Bkz: %temp% Çalıştıra yazın

Temizlemek için Kayıt Defterini ve Temp klasöründe virüs yayılımlarını silin ve Mcafee ile tarama yapın…

Hüseyin Cenkut ÖZKAN

6 Aylık Virüs Raporu

admin — Wed, 15 Jul 2009 11:14:03 +0000

ilk altı aylık virüs raporu (2009)

Bu yılın ilk altı ayında yeni çıkan veya farklı varyasyonlarla yayılımını devam ettiren virüsler dahil olmak üzere dağılım aşağıdaki gibidir.

1. Çin Halk Cumhuriyeti %32.07

2. Rusya Federasyonu %22.29

3.Brezilya %6.93

4.Amerika Birleşik Devletleri %6.42

5.İngiltere Birleşik Krallık %6.17

6.Ukrayna %4.2

7.Almanya %3.57

8.İspanya %3.55

9.İsviçre %2.38

10.Fransa %2.24

Türkiye %0.40

Ülkemizde benzer oranlardaki diğer ülkeler ise :

Suudi Arabistan %0.58

İran %0.29

Polonya %0.33

Avusturalya %0.41

BlackHat Ay Sonunda Başlıyor…

admin — Wed, 15 Jul 2009 10:51:55 +0000

BLACK HAT
The World’s Premier Technical Securtiy Confrerence
Dünya üzerindeki Bilişim dünyasının merakla beklediği bu güvenlik konferansı Temmuz ayı sonunda gerçekleşecek.

Herkezin merak beklediği bu konferansta son teknoloji ürünlerin güvenlik açıkları, güvenlik konularında ki gelişmeler yanı sıra yeni tehlikelerle ilgili olarak bilgi verilecek.

Birkaç gündür gündemde dolaşan elektrik hatları üzerinden bilgi hırsızlığı konusunda detaylı bir açıklama yapılacağı beklenen konferansa birbirinden önemli birçok uzman katılacak.Geçmiş yıllara rağmen daha farklı bir atmosferde geçeceği ön görülen konferansı konunun uzmanları büyük bir heyecan ile beklemekteler.

Hüseyin Cenkut ÖZKAN

Sohanad Virüsü Temizleme

admin — Fri, 10 Jul 2009 20:57:49 +0000

Downloader-BQR (Mcafee)

VirTool:Win32/Vtub.FQ (Microsoft)

Trojan-Downloader.Win32.VB.cgj(Ikarus)

isimleriyle bilinen Sohanad virüsü ve türevleri neler yapar ?

Yukarıdaki gibi hata mesajları verebilir.Yeni bir virüstür.Sohanad Virüsü yeni ortaya çıkmış yayılım özellikleri daha fazla arttırılmış bir virüstür.

Sohanad Virüsü Yahoo Messenger ve Windows saldırmaktadır.Yahoo Messengerınızdaki kişilere mesaj atarak yayılımını sağlar.Attığı mesajda bir site link verir tıkladığınız zaman Sohanad indirmiş olursunuz.Virüs yayıldığı zaman internet explorer açılış sayfasını değiştirir.Hedefinde Taşınabilir USB Diskler ve Sabit Diskler vardır.Autorun özelliğiyle bu cihazlarada kendini kopyalayarak yayılımını devam ettirir.

Sohanad Virüsünün Etkilediği ve Ürettiği Dosyalar ;

%AppData%\addons.dat

%System%\Bifrost\logg.dat

%System%\Bifrost\sestem.exe

Sohanad Virüsünün Kayıt Defterine Eklediği Kayıtlar;

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{9815E429-4D30-6672-AEDD-B04CC35E92C1}

HKEY_LOCAL_MACHINE\SOFTWARE\Bifrost

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\MediaResources\msvideo

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\MediaResources\msvideo

HKEY_CURRENT_USER\Software\Bifrost

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{9815E429-4D30-6672-AEDD-B04CC35E92C1}]

stubpath = “%System%\Bifrost\sestem.exe s”

[HKEY_LOCAL_MACHINE\SOFTWARE\Bifrost]

nck = DA 1B F2 30 A9 36 8C 59 15 B0 CD 74 FA 93 5B 67

[HKEY_CURRENT_USER\Software\Bifrost]

klg = 01

plg1 = EA 44 DC 02 A3 27 D7 5F 11 AD B9 07 DA F2 35 03 2A 35 8E 58 1B 0E 11 94 D4 F9 28 1F 11 4D 98 BC D2 64 44 8E CD F9 B9 BA 23 BD 45 ED 15 A6 77 AF B8 7C 04 4D 90 91 58 5F 81 61 19 72 00 4E 53 7A E1 AB E6 8B 30 CA 34 56 F9 AD AD F8 4D 41 0F F6 9F 90 A2 1

Bilgisayarınızın internet bağlantısını kesin, Sistem Geri Yükleme Özelliğini devre dışı bırakın, Yerel Ağ ve İnternet Bağlatınızı Kesin ve Güvenli Modda Çalışıtırıp Yukarıdaki Dosyaları ve Kayıt Temizleyin…

Hüseyin Cenkut ÖZKAN

GameThief, Taterf, Gamania, Lineage, OnlineGames, NsAnti Virüsü Temizlemek

admin — Fri, 10 Jul 2009 20:17:31 +0000

Gamania (Mcafee), GameThief(Kaspersky), OnlineGames(Ikarus), NsAnti(Symantec), Taterf(Microsoft)

isimleriyle anılan bu virüse ürettiği dosyalar yüzünden Kavoo Virüsü olarak adlandırabiliriz.

Aşağıdaki Dosyaları Üretir ; “Tüm Dosyaları Siliniz”

autorun.inf - clhz9sae.dll - kavo.exe - kavo0.dll - kavo01.dll

Kayır Defteri eklenen kayıtlar; “Tüm Kayıtları Siliniz”

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]

kava = “%System%\kavo.exe”

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]

CheckedValue = 0×00000000

Bilgisayarınızı Yeniden Başlatın. Tekrar Kontrol edin. Eğer virüsten kurtulamadıysanız.İnternet Bağlantısını kapatarak Sistem geri Yüklemeyi devre dışı bırakıp Güvenli Modda bu işlemleri yapınız.

Hüseyin Cenkut Özkan

Sinowal Virüsü Temizleme

admin — Fri, 10 Jul 2009 08:59:45 +0000

Sinowal Virüsü Nedir ?

Sinowal virüsü bilgi çalmayı hedefleyen bir virüs çeşididir.Bulaştığı bilgisayara diğer zararlı yazılımları atar.Kendini DLL dosyalarına adapte ederek Görev Yöneticisi çalışan yazılımları hedef almaktadır.

Antivirüs yazılımları Sinowal Virüsünün Tehlike Derecesini 7 Yükselttiler.

Sinowal Virüsü Yayılım Teknikleri

1. Diğer yazılımlara adaptasyon

2. Otomatik Çalıştır özelliklilere entegre olur

3. Yerel ağ ve İnternet Bağlantınızı Kullanır.

4. Gizlice ve Zorla Kurulumunu Yapar.

5. Tehlikeli Güvenlik Açıkları Oluşturur.

6. Şifrelerinizi Kaydeder.

7. Program Ekle Kaldır Devre Dışı Bırakır.

Sinowal Virüsünden Nasıl Kurtuluruz ?

1-ADIM – Bilgisayarınızın Sistem Geri Yükleme Özelliğini Devre Dışı Bırakın

2-ADIM – Bilgisayarınızı Yerel Ağ ve İnternet Bağlantılarını Kesin

3-ADIM – Bilgisayarınızı Güvenli Modda Çalıştırın.

4-ADIM – Güncel Bir Anti Virüs Programı ile tarama yapın.

Hüseyin Cenkut ÖZKAN

Zlob Virüsü Temizlemek

admin — Thu, 09 Jul 2009 10:15:39 +0000

Zlob virüsü bulaştığı zaman bilgisayarınıdan sahibine bir bağlantı açar böyle kötü niyetli kişi sizin bilgisayarınıza sızar. Saldırı yapan şahıs Zlob virüsü ile bilgisayarınıza istediği zararlı yazılımları indirip yükleyebilir.Saldırgan ilk önce antivirüs ve anti-spyware yazılımlarını kapatır böylece yükleyeceği zararlı yazılımlarda sorunla karşılaşmaz.Zlob virüsü ile kişisel verileriniz ve birçok veriniz başka kişilerin eline geçebilir.

Peki Zlob Trojanın bilgisayarınıza bulaştığını nasıl anlarsınız ?

Görev Yöntecisinideki çalıştırığı zararlıları Durdurun ;

nvctrl.exe
msmsgs.exe
%System%\regperf.exe
%System%\ld100.tmp

**%System% Bilgisayarınızda kurulu olan Windows Sistem klasörüne ulaşmanızı sağlar. Başlat>Çalıştır> %System% yazarsanız karşınıza bilgisayarınızdak kurulu olan sistem klasörünün penceresini açacaktır.

Registery – Kayıt Defterindeki Zlob Virüsü Kayıtlarını Silin :
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunRegSvr32 =%System%msmsgs.exe
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsNTCurrentVersionWinlogonShell=explorer.exe

Zlob Virüsüne ait dosyaları silin;
hp[X].tmp
msvol.tlb
ncompat.tlb
RSA
Protect
vnp7s.net
zxserv0.com
dumpserv.com

Bu aşamadan sonra bilgisayarınıza Malware Bytes kurarak temizleyebilirsiniz.

Hüseyin Cenkut ÖZKAN

Autoit Virüsü “Funny UST Scandal avi” Temizlemek

admin — Thu, 09 Jul 2009 09:42:49 +0000

Autoit Virüsü ” Funny UST Scandal avi” yada “xmss.exe” Virüsünü Temizlemek

Flash disklere ile yayılımını sağlayan bu virüs gerçekten epey uğraştıran bir virüstür.

1. ADIM – Bilgisayarınızdaki Sistem Geri Yükleme Özelliğini Devre Dışı Bırakın.

2.ADIM – Bilgisayarınızın Yerel Ağ ve İnternet Bağlantısını Kesin

3.ADIM – Bilgisayarınızı Güvenlik Modda Açın

4. ADIM – Başlat > Çalıştır > regedit yazarak Sistem Kayıt Defterini Açın

5.ADIM – Registry yani Kayıt Defterinde aşağıdaki Kayıt bulun

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell

6.ADIM – Bulduğunuz kayıttaki satırı aşağıdaki gibi düzeltin.

explorer.exe, xmss.exe yazan yerdeki xmss.exe silin sadece explorer.exe kalsın

7.ADIM – Aşağıdaki dosyaları bulup silin.Eğer dosyaları göremiyorsanız Klasör Seçeneklerinden Gizli Klasörleri ve Korunan Sistem Klasörlerini Gösteri seçin.

C\autorun.inf
C\xmss.exe
C\Funny UST Scandal.avi.exe
X:\autorun.inf
X:\xmss.exe
X:\Funny UST Scandal.avi.exe
%Windir%\autorun.inf
%Windir%\xmss.exe
%Windir%\Funny UST Scandal.avi.exe

%Windir% Windows Klasörünü anlamına gelmektedir.Eğer nerede olduğunu bilmiyorsanız Başlat>Çalıştır>%Windir% yazarsanız söz konusu dosyayı bulursunuz.

X: olarak belirttiğimiz ise FlashDisk veya USB Disklerinizi adıdır.Onlarıda temizledikten sonra

8.ADIM – Windows tüm Temp, Temporary Files klasörlerini boşaltın.

9.ADIM – Bilgisayarınız Yeniden Başlatın

10.ADIM – Güncel bir Anti Virüs yazılımı kurup tarama yapınız. KasperSky 30 Günlük Demo antivirüs programı bu virüsü bu şartlar altında bulmakta ve temizlemektedir.Eğer şartları yerine getiremezseniz sadece virüs tespit eder ve temizleyemez.

Hüseyin Cenkut ÖZKAN

Anti Virüsleri Bozan Virüsler

admin — Wed, 08 Jul 2009 09:04:22 +0000

Hemen herkezin bilgisayarında mutlaka bir antivirüs yazılımı yüklüdür. Birçok kişi ayarlarına girip antivirüs yazılımının ne yaptığını veya verdiği hataların ne anlama geldiğini araştırmaz bilmez.

Kullandığınız antivirüs yazılımı ne olursa olsun mutlaka haftalık olarak günceleştirmeleri ve virüs taramalarını kontrol ediniz.

ATF Cleaner ile Windows’unuzu Temizleyin !

admin — Tue, 07 Jul 2009 16:30:03 +0000

ATF Cleaner ücretsiz basit bir programdır.Genel amacı kullanıcının kullanmadığı sistem klasörlerinde gecici arşivlenen ve işe yaramayan veriler silerek bilgisayarınızda hem boş alanı arttırır hemde gereksiz yavaşlamayı düzeltir.Kurulum gerektirmez tıklayın çalışacaktır.Dikkat edilmesi gereken bir konu İnternet Geçmişinizide temizler onu istemiyorsanız History seçmeyiniz.

ATF İndirmek için tıklayın.

Windows XP – Windows Vista – Windows 7 Test edilmiştir.Herhangi bir sorun çıkartmaz %100 Çalışır…

2009 Haziran Ayı Virüs Raporu

admin — Mon, 06 Jul 2009 08:06:14 +0000

2009 Haziran Worm- Virus Raporu

Sıralama	Virüs-Worm Adı	Bulaştığı Bilgisayar Sayısı
1	Net-Worm.Win32.Kido.ih	58200
2	Virus.Win32.Sality.aa	28758
3	Trojan-Dropper.Win32.Flystud.ko	13064
4	Trojan-Downloader.Win32.VB.eql	12395
5	Worm.Win32.AutoRun.dui	8934
6	Trojan.Win32.Autoit.ci	8662
7	Virus.Win32.Virut.ce	6197
8	Worm.Win32.Mabezat.b	5967
9	Net-Worm.Win32.Kido.jq	5934
10	Virus.Win32.Sality.z	5750
11	Trojan-Downloader.JS.LuckySploit.q	4624
12	Virus.Win32.Alman.b	4394
13	Packed.Win32.Black.a	4317
14	Net-Worm.Win32.Kido.ix	4284
15	Worm.Win32.AutoIt.i	4189
16	Trojan-Downloader.WMA.GetCodec.u	4064
17	Packed.Win32.Klone.bj	3882
18	Email-Worm.Win32.Brontok.q	3794
19	Worm.Win32.AutoRun.rxx	3677
20	not-a-virus:AdWare.Win32.Shopper.v	3430

Listede görüldüğü üzere Kido virüs yayılımına devam ediyor ve sürekli olarak artıyor.Artık çok bilinen fakat halen etkin olarak yayılımını devam ettiren Sality virüsde listede yer almaktadır.Windows açığını kullanarak İnternet Exlorer üzerinden yayılan Downloader virüsleri 3-4 sıralarda yer almaktalar.Listede 5-6 ise Autorun virüsleri mevcut malum usb diskler üzerinden hızlı bir şekilde yayılmaktalar.Son zamanların eskimeyen virüsü Alman.NAB ise halen 12 sırada ve birçok bilgisayarı etkilemiş durumda..

Kaynak: Kasperksy – VirusList

McAfee Avert Stinger 2009

admin — Sun, 05 Jul 2009 10:34:37 +0000

McAfee Avert Stinger yazılımı ücretsiz bir temizleme aracıdır. Bu araç diğerlerinden farklı özelliği yüzlerce virüse karşı tek bir temizleyici araç olmasıdır. 2002 yılından 2009 yılına kadar çıkmış birçok sistemi etkileyen virüsleri tarama yaparak tespit eder ve temizler.Bilgisayarınızı güvenlik modda açıp, internet ve yerel ağ bağlatılarını kesiniz ve Sistem Geri Yüklemeyi devre dışı bırakınız. Bu işlemlerden sonra yapacağınız taramalarda daha iyi sonuçlar elde edebilirsiniz.

Mcfee Stinger indirmek için tıklayın… Windows XP – Windows Vista – Windows 7 – TEST Edildi %100 Tespit Ediyor ve Temziliyor…

Mcfee Avert Stinger’ın Temizlediği Virüsler ; (Mcfee Avert Stinger Cleaner and Removal Viruses List)

W32/Autorun variants

W32/Mywife.

W32/Bagle.cc – .dd

W32/Bropia.worm.bx/by

W32/Korgo.worm.aj

W32/Lovgate.ar@MM

W32/Mydoom.bw@MM

W32/Sober.r@MM

W32/Zafi.e@MM

W32/RCBot.worm family

W32/IRCBot.worm MS05-039

W32/Zobot.worm family

W32/Bagle.bo – bt@MM

W32/Bropia.worm.q – aj

W32/Sober.m – .p@MM

W32/Bagle.dldr

W32/Bagle.bi – bn@MM

W32/Bropia.worm.q – .u

W32/Mydoom.bf – bi@MM

W32/Mydoom.be@MM

W32/Sober.l@MM

W32/Mydoom.bc – bd@MM

W32/Bropia.worm.a – .p

W32/Bagle.bh – bm@MM

W32/Dumaru.bd – bg@MM

W32/Mydoom.ao – bb@MM

W32/Nimda.u@MM

W32/Zafi.d@MM

Exploit-Lsass

W32/Bagle.bf – .bg@MM

W32/Korgo.ag – .ai

W32/Mydoom.an@MM

BackDoor-CHR

BackDoor-CEB

W32/Sober.j@MM

W32/Bugbear.j@MM

W32/Korgo.worm.aa.dam

W32/Korgo.worm.ac.dam

W32/Korgo.worm.ae

W32/Lovgate.aq@MM

W32/Mydoom.ad – .ah@MM

W32/Pate.d

W32/Sasser.worm.g

W32/Bagle.ba – .bd@MM

W32/Netsky.ah – .ai@MM

W32/Zafi.c@MM

W32/Netsky.ag@MM

W32/Bagle.ar – .az@MM

W32/Dumaru.aw – .bb@MM

W32/Korgo.w – .ad

W32/Lovgate.ap@MM

W32/Mydoom.t – .ac@MM

W32/Nachi.worm.m

W32/Mydoom.s@MM

Backdoor-CHR

W32/Bagle.aj – .aq@MM

W32/Lovgate.al – .am@MM

W32/Mydoom.p – .r@MM

BackDoor-CFB

W32/Zindos.worm

W32/Mydoom.o@mm

W32/Bagle.ai@mm

W32/Mydoom.n@mm

W32/Lovgate.ae – .ak@mm

W32/Bagle.ag – .ah@mm

W32/Bagle.ad – .af@mm

W32/Korgo.worm.p – .v

W32/Lovgate.ac@MM – .ad@MM

W32/Mydoom.l@MM – .m@MM

W32/Korgo.worm.a – .o

W32/Zafi.a@MM – .b@MM

W32/Bagle.ac@MM

W32/Dumaru.aj – .ap

W32/Lovgate.ab@MM

W32/Mydoom.k@MM

W32/Sasser.worm.f

W32/Sober.g@MM

W32/Bagle.ab@MM

W32/Netsky.ac – ad@MM

W32/Sasser.worm.e

W32/Sasser.worm.d

W32/Sasser.worm.b

W32/Sasser.worm

W32/Bagle.aa@MM

W32/Netsky.aa – .ab@MM

W32/Bagle.x – .z@MM

W32/Bugbear.c – .d@MM

W32/Doomjuice.c

W32/Dumaru.ae – .ah@MM

W32/Elkern.cav.f

W32/Lovgate.z@MM

W32/Mimail.v@MM

W32/Mydoom.i – .j@MM

W32/Netsky.u – .z@MM

W32/Yaha.aa@MM

W32/Netsky.s – .t@MM

W32/Lovgate.n – .y@MM

W32/Sober.f@MM

W32/Netsky.q@MM

W32/Bagle.u@MM

W32/Netsky.o – .p@MM

W32/Bagle.r – .t@MM

W32/Mydoom.h@MM

W32/Bagle.o – .p@MM

W32/Netsky.k – .n@MM

W32/Bagle.k – .n@MM

W32/Netsky.j

W32/Sober.d@mm

W32/Bagle.f – .j@MM

W32/Mydoom.g@MM

W32/Bagle.e@MM

W32/Bagle.c@MM

W32/Netsky.c@MM

W32/Mydoom.f@mm

W32/Netsky.a@MM

W32/Netsky.b@MM

W32/Bagle.b@MM

W32/Doomjuice.worm

W32/Lovsan.worm

W32/Blaster.worm

W32/Dfcsvc.worm

W32/Anig.worm

W32/Mymail.s@MM

W32/Dfcsvc.worm

W32/MyDoom.b@MM

W32/Mydoom@MM

W32/MyDoom@MM

W32/Dumaru.y@MM

W32/Bagle@MM

W32/Sober.c@MM

W32/Mimail.j – .o

W32/Sober.b@MM

W32/Mimail.d

W32/Sober@MM

W32/mimail.c@MM

W32/Sober@MM

W32/Dumaru.o – .r

W32/Pate

W32/Dumaru.e – .m

W32/Swen@MM

W32/Yaha.x@MM

W32/Yaha.y@MM

W32/Dumaru.b – .d

PWS-Narod

W32/Dumaru@MM

W32/Sobig.f@MM

W32/Nachi.worm

W32/Lovsan.worm.d

W32/Lovsan.worm.a

Exploit-DcomRpc

W32/Lovsan.worm.a & .b

W32/Lovsan.worm

W32/Mimail@MM

IRC/Flood.ap,

IRC/Flood.bi

IRC/Flood.cd

W32/Sdbot.worm.gen,

W32/MoFei.worm

W32/Deborm.worm.gen

W32/Mumu.worm.b

PWS-Sincom

W32/Sobig@MM variants

Bat/Mumu.worm,

IPCScan trojan,

NTServiceLoader trojan,

PCGhost application,

W32/Bugbear.b@MM

W32/Fizzer@MM

W32/Lovgate.a@M

W32/Lovgate.d@M,

BackDoor-AQJ,

W32/Sircam@MM,

W32/Funlove@MM,

W32/Nimda.a@MM

W32 SQLSlammer.worm

W32/Lirva.c@MM

W32/Lirva.a@MM

W32/Yaha.l@MM

W32/Bugbear.dam

AdClicker-EV
AFXRootkit
Apropos
BackDoor-ALI
BackDoor-AQJ
BackDoor-AQJ.b
BackDoor-AWQ
BackDoor-AXO
BackDoor-BAC
BackDoor-CEB
BackDoor-CEB!bat
BackDoor-CEB!hosts
BackDoor-CEB.b
BackDoor-CEB.c
BackDoor-CEB.d
BackDoor-CEB.dll
BackDoor-CEB.dr
BackDoor-CEB.e
BackDoor-CEB.f
BackDoor-CEB.sys
BackDoor-CFB
BackDoor-CSX
BackDoor-CSY
BackDoor-CUX
BackDoor-CWD
BackDoor-DIX
BackDoor-DJF
BackDoor-DJZ
BackDoor-JZ
BackDoor-JZ.dam
BackDoor-JZ.dr
BackDoor-JZ.gen
BackDoor-JZ.gen.b
Bat/Autorun.worm.h
Bat/Autorun.worm.zr
Bat/Autorun.worm.zr!vbs
Bat/Autorun.worm.zw
Bat/Mumu.worm
Cleanup
CoreFlood
Coreflood!psexec
Coreflood.dldr
CoreFlood.dll
CoreFlood.dr
Cutwail
Danmec
DNSChanger.f
Downloader-AUE
Downloader-BAI
Downloader-DN.a
Downloader-DN.b
Downloader-UA
Downloader-ZQ
Exploit-DcomRpc
Exploit-DcomRpc.b
Exploit-DcomRpc.dll
Exploit-Lsass
Exploit-Lsass.dll
Exploit-MS04-011
Exploit-MS04-011.gen
Exploit-MSExcel.k
Exploit-MSExcel.l
Exploit-MSExcel.m
Exploit-MSExcel.n
Exploit-MSExcel.o
Exploit-MSExcel.p
Exploit-MSExcel.q
Exploit-MSExcel.r
Exploit-PDF.b
Exploit-PDF.b.gen
Exploit-PDF.c
Exploit-PDF.d
Exploit-PDF.e
Exploit-PDF.f
Exploit-PDF.g
Exploit-PDF.h
Exploit-PDF.i
Exploit-PDF.i.gen
Exploit-PDF.j
Exploit-PDF.k
Exploit-XMLhttp.d
Exploit-XMLhttp.d.gen
Exploit-XMLhttp.d.gen.b
Exploit-XMLhttpd.d
FakeAlert
FakeAlert-AA
FakeAlert-AB
FakeAlert-AB!htm
FakeAlert-AB.dldr
FakeAlert-AB.dr
FakeAlert-AC
FakeAlert-AD
FakeAlert-AE
FakeAlert-AF
FakeAlert-AG
FakeAlert-AG.gen.b
FakeAlert-AG.gen.c
FakeAlert-AH
FakeAlert-AI
FakeAlert-AJ
FakeAlert-AK
FakeAlert-AL
FakeAlert-AM
FakeAlert-AN
FakeAlert-AntiSpywarePro
FakeAlert-AntiSpywarePro.dll
FakeAlert-AntiVirusPlus
FakeAlert-AntiVirusPro
FakeAlert-AntiVirusXP
FakeAlert-AO
FakeAlert-AP
FakeAlert-AQ
FakeAlert-AR
FakeAlert-AS
FakeAlert-AT
FakeAlert-AU
FakeAlert-av2009
FakeAlert-av360
FakeAlert-AW
FakeAlert-AZ
FakeAlert-AZ!htm
FakeAlert-B
FakeAlert-B.dldr
FakeAlert-B.dr
FakeAlert-BA
FakeAlert-BB
FakeAlert-BC
FakeAlert-BD
FakeAlert-BE
FakeAlert-BE.gen
FakeAlert-BF
FakeAlert-BG.dldr
FakeAlert-BH.dldr
FakeAlert-BI
FakeAlert-BJ
FakeAlert-BK
FakeAlert-BL
FakeAlert-BM
FakeAlert-BN
FakeAlert-BO
FakeAlert-BO.dldr
FakeAlert-BP
FakeAlert-BQ
FakeAlert-BR
FakeAlert-BS
FakeAlert-BS.dll
FakeAlert-BT
FakeAlert-BU
FakeAlert-BV
FakeAlert-BV.dldr
FakeAlert-BW
FakeAlert-BX
FakeAlert-BY
FakeAlert-BZ
FakeAlert-C
FakeAlert-C.dr
FakeAlert-C.gen
FakeAlert-CA
FakeAlert-CB
FakeAlert-CC
FakeAlert-CD
FakeAlert-D
FakeAlert-E
FakeAlert-F
FakeAlert-G
FakeAlert-H
FakeAlert-I
FakeAlert-J
FakeAlert-K
FakeAlert-L
FakeAlert-LastDefender
FakeAlert-M
FakeAlert-MalDef
FakeAlert-MalDef.dldr
FakeAlert-MalDef.dll
FakeAlert-MCodec
FakeAlert-MCodec!htm
FakeAlert-N
FakeAlert-N.dldr
FakeAlert-O
FakeAlert-P
FakeAlert-Q
FakeAlert-R
FakeAlert-RealAV
FakeAlert-S
FakeAlert-S.dll
FakeAlert-SpyKiller
FakeAlert-SpywareGuard
FakeAlert-SpywareProtect
FakeAlert-SystemSecurity
FakeAlert-T
FakeAlert-U
FakeAlert-V
FakeAlert-W
FakeAlert-WinwebSecurity
FakeAlert-X
FakeAlert-XPAntivirus
FakeAlert-XPPoliceAntivirus
FakeAlert-XPSecCenter
FakeAlert-Y
FakeAlert-Y.dr
FakeAlert-Z
Fribet
Generic FakeAlert
Generic FakeAlert!lnk
Generic FakeAlert.d
Generic FakeAlert.e
Generic FakeAlert.f
Generic FakeAlert.g
Generic FakeAlert.h
Generic FakeAlert.i
Generic FakeAlert.j
Generic FakeAlert.k
Generic PWS.y!mem
Generic RootKit.a
Generic Rootkit.d
Generic RootKit.e
Generic RootKit.f
Generic!atr
Generic.dx
HackerDefender
HE4Hook
Hidden-Process.a
HideVault!sys
HideWindow
HideWindow.dll
HTool-T2W
IPCScan
IRC/Flood.ap
IRC/Flood.ap.bat
IRC/Flood.ap.dr
IRC/Flood.bi
IRC/Flood.bi.dr
IRC/Flood.cd
JS/Autorun.worm.ci
JS/Downloader-AUE
JS/FakeAlert
JS/FakeAlert-AB.dldr
MadCodeHook
NTRootkit-E
NTRootKit-H
NTRootKit-J
NTRootkit-S
NTRootkit-U
NTRootkit-Z
NTServiceLoader
Patched-Import
ProcKill
Proxy-Agent.af
Proxy-Agent.af.dr
Puper
PWS-Banker.dldr
PWS-FireMing
PWS-FireMing.dll
PWS-FireMing.dr
PWS-Gamania.gen.a
PWS-Gogo
PWS-Goldun
PWS-LDPinch
PWS-Narod
PWS-Narod.dll
PWS-Narod.gen
PWS-Progent
PWS-Sincom
PWS-Sincom.dll
PWS-Sincom.dr
Qoolaid.a
rootkit
RootKit-NTIllusion
Rustock
Spam-Mailbot.c
Spy-Agent.bv
Spy-Agent.bw
Spy-Agent.de
Spy-Agent.dn
Srizbi
StartPage-KM
StealthMBR
Vanquish
Vanti
VBS/Autorun.bj
VBS/Autorun.worm.au
VBS/Autorun.worm.ay
VBS/Autorun.worm.bi
VBS/Autorun.worm.bj
VBS/Autorun.worm.bs
VBS/Autorun.worm.by
VBS/Autorun.worm.ca
VBS/Autorun.worm.cy
VBS/Autorun.worm.dm
VBS/Autorun.worm.dn
VBS/Autorun.worm.dn!atr
VBS/Autorun.worm.dn!txt
VBS/Autorun.worm.dv
VBS/Autorun.worm.dz
VBS/Autorun.worm.en
VBS/Autorun.worm.ew
VBS/Autorun.worm.k
VBS/Autorun.worm.k!bat
VBS/Autorun.worm.k!reg
VBS/Autorun.worm.zd
VBS/Autorun.worm.ze
VBS/Autorun.worm.zl
VBS/Autorun.worm.zn
VBS/Autorun.worm.zo
VBS/Autorun.worm.zo!lnk
VBS/Autorun.worm.zs
VBS/FakeAlert-AB
VBS/FakeAV
VBS/IE-Title
Vundo
Vundo!grb
Vundo.dldr
Vundo.dr
Vundo.gen.aa
Vundo.gen.ab
Vundo.gen.ac
Vundo.gen.ad
Vundo.gen.ae
Vundo.gen.af
Vundo.gen.ag
Vundo.gen.ah
Vundo.gen.ai
Vundo.gen.aj
Vundo.gen.ak
Vundo.gen.al
Vundo.gen.am
Vundo.gen.an
Vundo.gen.h
Vundo.gen.i
Vundo.gen.j
Vundo.gen.k
Vundo.gen.l
Vundo.gen.m
Vundo.gen.n
Vundo.gen.o
Vundo.gen.p
Vundo.gen.r
Vundo.gen.s
Vundo.gen.s.dr
Vundo.gen.t
Vundo.gen.u
Vundo.gen.v
Vundo.gen.w
Vundo.gen.x
Vundo.gen.y
Vundo.gen.z
W32/Almanahe
W32/Almanahe.a
W32/Anig.worm
W32/Anig.worm.dll
W32/Autorun
W32/Autorun.worm
W32/Autorun.worm!inf
W32/Autorun.worm!ini
W32/Autorun.worm.a
W32/Autorun.worm.aa
W32/Autorun.worm.ab
w32/autorun.worm.ac
W32/Autorun.worm.ad
W32/Autorun.worm.ae
W32/Autorun.worm.af
W32/Autorun.worm.ag
W32/Autorun.worm.ai
W32/Autorun.worm.aj
W32/Autorun.worm.ak
W32/Autorun.worm.al
W32/Autorun.worm.am
W32/Autorun.worm.an
W32/Autorun.worm.ao
W32/Autorun.worm.ap
W32/Autorun.worm.aq
W32/Autorun.worm.ar
W32/Autorun.worm.as
W32/Autorun.worm.at
W32/Autorun.worm.av
W32/Autorun.worm.aw
W32/Autorun.worm.ax
W32/Autorun.worm.az
W32/Autorun.worm.b
W32/Autorun.worm.b.cfg
W32/Autorun.worm.ba
W32/Autorun.worm.bb
W32/Autorun.worm.bc
W32/Autorun.worm.bd
W32/Autorun.worm.be
W32/Autorun.worm.bf
W32/Autorun.worm.bg
W32/Autorun.worm.bh
W32/Autorun.worm.bk
W32/Autorun.worm.bl
W32/Autorun.worm.bm
W32/Autorun.worm.bn
W32/Autorun.worm.bo
W32/Autorun.worm.bp
W32/Autorun.worm.bp!reg
W32/Autorun.worm.bq
W32/Autorun.worm.br
W32/Autorun.worm.bt
W32/Autorun.worm.bw
W32/Autorun.worm.bx
W32/Autorun.worm.bx!inf
W32/Autorun.worm.bx.gen
W32/Autorun.worm.by
W32/Autorun.worm.bz
W32/Autorun.worm.c
W32/Autorun.worm.cb
W32/Autorun.worm.cb.dr
W32/Autorun.worm.cc
W32/Autorun.worm.cd
W32/Autorun.worm.ce
W32/Autorun.worm.cf
W32/Autorun.worm.cg
W32/Autorun.worm.ch
W32/Autorun.worm.cj
W32/Autorun.worm.ck
W32/Autorun.worm.cm
W32/Autorun.worm.cn
W32/Autorun.worm.co
W32/Autorun.worm.cp
W32/Autorun.worm.cp!bat
W32/Autorun.worm.cq
W32/Autorun.worm.cr
W32/Autorun.worm.cs
W32/Autorun.worm.ct
W32/Autorun.worm.cu
W32/Autorun.worm.cv
W32/Autorun.worm.cw
W32/Autorun.worm.cx
W32/Autorun.worm.cz
W32/Autorun.worm.d
W32/Autorun.worm.da
W32/Autorun.worm.db
W32/Autorun.worm.dc
W32/Autorun.worm.dd
W32/Autorun.worm.dd!inf
W32/Autorun.worm.de
W32/Autorun.worm.df
W32/Autorun.worm.dg
W32/Autorun.worm.dh
W32/Autorun.worm.di
W32/Autorun.worm.dj
W32/Autorun.worm.dk
W32/Autorun.worm.dl
W32/Autorun.worm.dn
W32/Autorun.worm.do
W32/Autorun.worm.dp
W32/Autorun.worm.dq
W32/Autorun.worm.ds
W32/Autorun.worm.dt
W32/Autorun.worm.du
W32/Autorun.worm.dw
W32/Autorun.worm.dx
W32/Autorun.worm.dy
W32/Autorun.worm.e
W32/Autorun.worm.ea
W32/Autorun.worm.eb
W32/Autorun.worm.ec
W32/Autorun.worm.ed
W32/Autorun.worm.ef
W32/Autorun.worm.eg
W32/Autorun.worm.ei
W32/Autorun.worm.ej
W32/Autorun.worm.ek
W32/Autorun.worm.el
W32/Autorun.worm.em
W32/Autorun.worm.eo
W32/Autorun.worm.ep
W32/Autorun.worm.eq
W32/Autorun.worm.er
W32/Autorun.worm.es
W32/Autorun.worm.et
W32/Autorun.worm.eu
W32/Autorun.worm.ev
W32/Autorun.worm.ex
W32/Autorun.worm.ey
W32/Autorun.worm.f
W32/Autorun.worm.g
W32/Autorun.worm.gen!job
W32/Autorun.worm.gen.cl
W32/Autorun.worm.gen.za
W32/Autorun.worm.gen.zb
W32/Autorun.worm.h
W32/Autorun.worm.h!lnk
W32/Autorun.worm.i
W32/Autorun.worm.j
W32/Autorun.worm.k
W32/Autorun.worm.l
W32/Autorun.worm.m
W32/Autorun.worm.n
W32/Autorun.worm.o
W32/Autorun.worm.p
W32/Autorun.worm.q
W32/Autorun.worm.r
W32/Autorun.worm.remmants
W32/Autorun.worm.s
W32/Autorun.worm.t
W32/Autorun.worm.u
W32/Autorun.worm.v
W32/Autorun.worm.v!bat
W32/Autorun.worm.w
W32/Autorun.worm.x
W32/Autorun.worm.y
W32/Autorun.worm.z
W32/Autorun.worm.zc
W32/Autorun.worm.zf
W32/Autorun.worm.zg
W32/Autorun.worm.zh
W32/Autorun.worm.zi
W32/Autorun.worm.zj
W32/Autorun.worm.zk
W32/Autorun.worm.zm
W32/Autorun.worm.zp
W32/Autorun.worm.zq
W32/Autorun.worm.zs
W32/Autorun.worm.zt
W32/Autorun.worm.zu
W32/Autorun.worm.zu.dr
W32/Autorun.worm.zv
W32/Autorun.worm.zw
W32/Autorun.worm.zw!inf
W32/Autorun.worm.zx
W32/Bagle
W32/Bagle!eml.gen
W32/Bagle!pwdzip
W32/Bagle.ad!src
W32/Bagle.dldr
W32/Bagle.dll.dr
W32/Bagle.eml
W32/Bagle.fb!pwdzip
W32/Bagle.fc!pwdzip
W32/Bagle.fd!pwdzip
W32/Bagle.fe!pwdzip
W32/Bagle.fm.dldr
W32/Bagle.gen
W32/Bagle@MM!cpl
W32/Blaster.worm
W32/Blaster.worm.k
W32/Bropia.worm
W32/Bugbear
W32/Bugbear.a.dam
W32/Bugbear.b!data
W32/Bugbear.b.dam
W32/Bugbear.gen@MM
W32/Bugbear.h@MM
W32/Bugbear@MM
W32/Conficker
W32/Conficker.c
W32/Conficker.sys
W32/Conficker.worm
W32/Conficker.worm!inf
W32/Conficker.worm!job
W32/Conficker.worm.dr
W32/Conficker.worm.gen.a
W32/Conficker.worm.gen.b
W32/Conficker.worm.gen.c
W32/Conficker.worm.gen.d
W32/Cutwail.a
W32/Deborm.worm.ah
W32/Deborm.worm.gen
W32/Doomjuice.worm
W32/Dumaru
W32/Dumaru.ad@MM
W32/Dumaru.al.dll
W32/Dumaru.dll
W32/Dumaru.eml
W32/Dumaru.gen
W32/Dumaru.gen@MM
W32/Dumaru.w.gen
W32/Elkern.cav
W32/Elkern.cav.c
W32/Elkern.cav.c.dam
W32/Feebs
W32/Fizzer
W32/Fizzer.dll
W32/Fujacks!htm
W32/FunLove
W32/FunLove.apd
W32/Gaobot.worm
W32/Harwig.worm
W32/IRCbot
W32/IRCbot.worm
W32/IRCbot.worm.dll
W32/Klez
W32/Klez.dam
W32/Klez.eml
W32/Klez.gen.b@MM
W32/Klez.rar
W32/Koobface.worm
W32/Koobface.worm.gen
W32/Korgo.worm
W32/Lirva
W32/Lirva.c.htm
W32/Lirva.eml
W32/Lirva.gen@MM
W32/Lirva.htm
W32/Lirva.txt
W32/Lovgate
W32/Lurker
W32/Maslan
W32/Mimail
W32/Mimail.c@MM
W32/Mimail.i!data
W32/Mimail.q@MM
W32/MoFei.worm
W32/MoFei.worm.dr
W32/Mumu.b.worm
W32/Mydoom
W32/Mydoom!bat
W32/Mydoom!ftp
W32/Mydoom.b!hosts
W32/Mydoom.dam
W32/Mydoom.t.dll
W32/Mytob
W32/Mytob.gen@MM
W32/Mytob.worm
W32/MyWife
W32/MyWife.dll
W32/MyWife@MM
W32/Nachi!tftpd
W32/Nachi.worm
W32/Netsky
W32/Netsky.af@MM
W32/Nimda
W32/Nimda.dam
W32/Nimda.eml
W32/Nimda.gen@MM
W32/Nimda.htm
W32/Nuwar
W32/Nuwar.dam
W32/Nuwar.sys
W32/Nuwar@MM
W32/Nuwar@MM!rar
W32/Pate
W32/Pate!dam
W32/Pate.dam
W32/Pate.dr
W32/Polip
W32/Polip!mem
W32/Polybot
W32/Polybot.bat
W32/Sasser.worm
W32/Sasser.worm!ftp
W32/Sdbot
W32/Sdbot!irc
W32/Sdbot.bat
W32/Sdbot.cli
W32/Sdbot.dll
W32/Sdbot.dr
W32/Sdbot.worm
W32/Sdbot.worm!ftp
W32/Sdbot.worm.bat.b
W32/Sdbot.worm.dr
W32/Sdbot.worm.gen
W32/Sdbot.worm.gen.a
W32/Sdbot.worm.gen.b
W32/Sdbot.worm.gen.c
W32/Sdbot.worm.gen.d
W32/Sdbot.worm.gen.e
W32/Sdbot.worm.gen.q
W32/Sober
W32/Sober!data
W32/Sober.dam
W32/Sober.eml
W32/Sober.f.dam
W32/Sober.g.dam
W32/Sober.q!spam
W32/Sober.r.dr
W32/Sober.r@MM
W32/Sobig
W32/Sobig.dam
W32/Sobig.eml
W32/Sobig.f.dam
W32/Sobig.gen@MM
W32/Spybot.worm
W32/SQLSlammer.worm
W32/Swen
W32/Swen@MM
W32/Virut
W32/Virut!mem
W32/Winemmem
W32/Yaha.eml
W32/Yaha.gen@MM
W32/Yaha.y@MM
W32/Yaha@MM
W32/Zafi
W32/Zafi.b.dam
W32/Zindos.worm
W32/Zotob.worm
W32/Zotob.worm!hosts

Malware Nedir ?

admin — Fri, 03 Jul 2009 11:43:12 +0000

Malware, bilgisayar virüslerini de içeren geniş bir zararlı yazılım tanımı. Kasıtlı veya kasıtsız bir şekilde bilgisayar kullanıcılarına zarar verebilecek her türlü yazılım malware’dir. Bilgisayara zarar verme amaçlı olanları kadar, firmaların tüketici tercihi araştırması amacıyla, kişisel bilgi çalmasını sağlayanına kadar çeşit çeşit malware mevcuttur. Kaspersky, Symantec ve McAfee gibi anti-virüs markaları da kullanıcıları korumak için bu tür yazılımları belirleyerek kara listeye alıyorlar.

Gumblar Virüsü Web Sayfalarınız Üzerinden Yayılıyor !!! Troj/JSRedir-R

admin — Wed, 01 Jul 2009 16:32:41 +0000

UYARIYORUZ !!!
Gumblar Virüsünü kullanarak binlerce bilgisayarı etkilen saldırganlar web siteleri üzerinden yükledikler açıklarla ziyaretçilere zararlı java kodları yüklüyorlar.Böyle bilgisayarınıza bulaşan virüs otomatik olarak web sitenizden ziyaretçilerinize bulaşıyor.Böylece FTP şifreleriniz çalan saldırganlar sayfalarınıza SQL açıklarını yüklüyor giren ziyaretçilere yayılan virüs giderek büyüyor.

Google konuyla ilgili uyarı koymasıyla biraz daha yavaşlayan yayılma arama sonuçlarında çıkan sitelerde giderek artıyor.

Önleminizi Alın “Gumblar Troj/JSRedir-R”

Bilgisayarınızda yada internet sayfanız böyle bir uyarı görürseniz

‘This site may harm your computer’

hemen bilgisayarı kapatın başka bir bilgisayardan FTP şifrelerini değiştirin . Gecici olarak sayfalarınızı kapatın.

İnternet sayfalarınızı kontrol edin !!

Klasör Yetkilerini kontrol edin.

PHP Kodlarının içine gizlenmiş olabilir.

Sayfanızdaki .htaccess kontrol edin.

Tüm HTML ASP PHP JS sayfalarını tek tek kontrol edin.

Javascript sayfalarını gözden geçirin.

iç Frame’ler kontrol edin

Resim klasörleride kontrol ediniz.

PcClients veya Formador Virüsünü Temizlemek

admin — Tue, 30 Jun 2009 20:40:57 +0000

PcClients veya Formador Virüsü Aşağıdaki Kategorilerdedir;

*Sisteme Sızmak için kullanılan bir açığa yol açar.

*Zararlı Trojan bilgisayarınızda ve ağınızda bir güvenlik zaafiyeti oluşturur.

*Bu zararlı sürekli olarak çalışarak uzaktan kontrol erişim imkanı sağlar

PcClients veya Formador Virüsünün Eklediği Dosyalar

*C:\windows\pchealth\ERRORREP\UserDumps\svchost.exe.20090630-215453-00.hdmp

*C:\windows\pchealth\ERRORREP\UserDumps\svchost.exe.20090630-215453-00.mdmp

*C:\windows\System\053ac6.imk

*C:\windows\System\1199.exe

*C:\windows\System\1188.mpg

*C:\windows\System\lcenzo.fdf

PcClients veya Formador Virüsünün kayıt defterine Eklediği kayıtlar;

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\PCHealth\ErrorReporting\UserFaults

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_HGGHYI

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_HGGHYI\0000

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_HGGHYI\0000\Control

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\hgghyi

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\hgghyi\Parameters

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\hgghyi\Security

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\hgghyi\Enum

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\hgghyi

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\hgghyi\Parameters

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_HGGHYI

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_HGGHYI\0000

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_HGGHYI\0000\Control

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\hgghyi

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\hgghyi\Parameters

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\hgghyi\Security

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\hgghyi\Enum

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\hgghyi

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\hgghyi\Parameters

HKEY_CURRENT_USER\Software\WinRAR SFX

PcClients veya Formador isimli virüsün Görev Yöneticisinde Çalıştırdıkları ;

c:\windows\System\SVCHOST.EXE -k hgghyi (Çalışmasını Durdurun)

Yukarıdaki tüm dosyaları sildikten sonra Symantec Norton ile temzileyebilirsiniz.

Norton Symantec internet Security Trial 15 Günlük Deneme Sürümünü indirmek için tıklayınız.

Wow Virüsü Temizlemek

admin — Tue, 30 Jun 2009 20:02:36 +0000

Keylogger özelliği olan bu virüs, kişisel bilgilerinizin ve şifrelerinizin başkalarının eline geçmesine neden olmaktadır.

Wow Virüsünün eklediği dosyalar ;

%Temp%\290390307mxx.dll

%Temp%\ka.ini

%Temp%\d.bat

290390307mxx.dll

Kayıt Defterine Eklenen Kayıtlar;

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]

AppInit_DLLs = “,%Temp%\290390307mxx.dll”

Tüm bu kayıtları ve dosyaları sildikten sonra yapmanız gereken Kaspersky AV ile temizleyebilirsiniz.

Kaspersky İnternet Securtiy Trial 30 Günlük Demo indirmek için tıklayın.

Sahte Antivirus 2009 Virüsünü Temizlemek

admin — Mon, 29 Jun 2009 08:14:37 +0000

Antivirus 2009 veya Antivirus 09 isimleriyle bilinmektedir.Amacı ise sanki gerçek bir antivirüs yazılımı gibi davranıp sahte taramalarla ve olmayan virüslerle bilgisayarınızda virüs varmış gibi gösterip sizden kendisini satın almanızı istemektedir.Birçok hata mesajı ve görsel öğelerle kullanıcıları kandırarak sanki virüs varmış gibi gösterir ve size kendisini satın almanızı önerir.

Bulduğu Virüslü Dosyalar Aşağıdaki gibidir ;

C:\Windows\System32\cmdial32.dll	Spy-25079	C:\Windows\System32\\System32\cmd.exe	Win32.Agent.btlj
C:\Windows\\System32\clbcatex.dll	Trojan.Small-51-3	C:\Windows\System32\cleanmgr.exe	Bagle.AP
C:\Windows\System32\chkdsk.exe	Win32.Hupigon.ggsw	C:\Windows\System32\cfgbkend.dll	Win32.KGen.iqq
C:\Windows\System32\CeEPDefDat.dll	VBS.SST-A.3	C:\Windows\System32\ccPasswd.dll	Win32.Rbot.abfn
C:\Windows\System32\camocx.dll	Win32.Midgare.uym	Normal.dot	Win32.Flicker
Doc1.doc	Win32.Flicker	Calculations.xls	Win32.Flicker
Work.xls	Win32.Flicker	C:\Windows\System32\bitsprx2.dll	Win32.Buzus.aoni

Antivirus 2009 Kullandığı Dosyalar;
c:\Program Files\Antivirus 2009
c:\Program Files\Antivirus 2009\AV2009.exe
c:\Program Files\Antivirus 2009\AV2009_Update.exe
c:\Program Files\Antivirus 2009\scanopt.sys
c:\Program Files\Antivirus 2009\Support.url
c:\Program Files\Antivirus 2009\sysdata.sys
c:\Program Files\Antivirus 2009\SysShield.exe
c:\Program Files\Antivirus 2009\Uninstall.exe
c:\WINDOWS\system32\SysShield.exe
c:\Documents and Settings\All Users\Start Menu\Antivirus 2009
c:\Documents and Settings\All Users\Start Menu\Antivirus 2009\Antivirus 2009.lnk
c:\Documents and Settings\All Users\Start Menu\Antivirus 2009\Support.lnk
c:\Documents and Settings\All Users\Start Menu\Antivirus 2009\Uninstall Antivirus 2009.lnk
%UserProfile%\Desktop\Antivirus 2009.lnk

Antivirüs 2009 Kayıt Defterine Eklediği Dosyalar;

HKEY_CURRENT_USER\SOFTWARE\AVP09
HKEY_CURRENT_USER\SOFTWARE\AV2009
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Antivirus 2009
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform “AVP09″
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run “Antivirus 2009″
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run “Windows applications server”

Yukarıdaki Dosyaları ve Kayıtları Silin. Antivirüs 2009 tamamen kurtulmak için Spybots veya Malware Byte tavsiye ederiz.

Hüseyin Cenkut Özkan

Contraviro Sahte AntiSpyware Temizlemek

admin — Sat, 27 Jun 2009 12:43:10 +0000

Contraviro Sahte Anti-Spyware yazılımıdır.Tamamiyle sahtekarlık üzerine yapılmış olan bu sözde anti-spyware sahte taramalar yaparak bulduğu sonuçları temizlemek için sizden kendisini satın almanızı talep eder.Yapısal olarak Unvirex grubuna benzerdir.

Contraviro kurulduktan sonra bilgisayarınız açıldığı gibi çalışmaya başlar.Sürekli uyarılar vererek gerçek bir anti-spyware yazılımını andırır.

Contraviro Virüsünün Bilgisayarınıza Kurduğu Dosyalar ;

c:\Program Files\Contraviro
c:\Program Files\Contraviro\Contraviro.exe
c:\Program Files\Contraviro\daily.cvd
c:\Program Files\Contraviro\Drvfltip.sys
c:\Program Files\Contraviro\hjengine.dll
c:\Program Files\Contraviro\IEAddon.dll
c:\Program Files\Contraviro\main.cvd
c:\Program Files\Contraviro\MFC71.dll
c:\Program Files\Contraviro\MFC71ENU.DLL
c:\Program Files\Contraviro\msvcp71.dll
c:\Program Files\Contraviro\msvcr71.dll
c:\Program Files\Contraviro\pthreadVC2.dll
c:\Program Files\Contraviro\shellext.dll
c:\Program Files\Contraviro\siglsp.dll
c:\Program Files\Contraviro\uninstall.exe
c:\Documents and Settings\All Users\Start Menu\Programs\Contraviro
c:\Documents and Settings\All Users\Desktop\Contraviro.lnk
c:\Documents and Settings\All Users\Start Menu\Programs\Contraviro.lnk

c:\Documents and Settings\All Users\Start Menu\Programs\Contraviro\Contraviro.lnk
c:\Documents and Settings\All Users\Start Menu\Programs\Contraviro\How to Register Contraviro.lnk
c:\Documents and Settings\All Users\Start Menu\Programs\Contraviro\Register Contraviro.lnk
%UserProfile%\Application Data\Microsoft\Internet Explorer\Quick Launch\Contraviro.lnk

Contraviro Virüsünün Kayıt Defterine Eklediği Kayıtlar ;

HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\antivirus_contextscan
HKEY_CLASSES_ROOT\AppID\{C0E56AC2-9F72-436E-B6E7-AEC28AF9E4EB}
HKEY_CLASSES_ROOT\AppID\IEAddon.DLL
HKEY_CLASSES_ROOT\CLSID\{08EEC6AD-7486-487F-89B7-5A3716DDAE14}
HKEY_CLASSES_ROOT\CLSID\{CCB5551D-8594-4999-85F9-1E3EABCB95AC}
HKEY_CLASSES_ROOT\Drive\shellex\ContextMenuHandlers\antivirus_contextscan
HKEY_CLASSES_ROOT\Drives\shellex\ContextMenuHandlers\antivirus_contextscan
HKEY_CLASSES_ROOT\Folder\shellex\ContextMenuHandlers\antivirus_contextscan
HKEY_CLASSES_ROOT\Interface\{5B184B9D-B7BD-4FEA-8D1F-5E27182206A5}
HKEY_CLASSES_ROOT\TypeLib\{3ED0E410-5C8E-47B6-A75D-D10B886E903C}
HKEY_LOCAL_MACHINE\SOFTWARE\Contraviro
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{CCB5551D-8594-4999-85F9-1E3EABCB95AC}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Contraviro
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon “Shell”
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform “Contraviro”
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run “Contraviro”

Contraviro Virüsünü Temizlemek için Kayıt Defterinden ki kayıtları ve Contraviro’nun eklediği yukarıdaki tüm dosyaları siliniz.

Bu aşamadan Sonra SpyBots veya Malware Bytes ile tarama yaparak kurtulabilirsiniz.

Malware Destructor 2009 Virüsü Temizleme

admin — Fri, 26 Jun 2009 19:49:11 +0000

Malware Destructor 2009 Sahte Anti-Spyware programıdır, Malware Catcher 2009 ve Virus Shield 2009 yapısı sahte kandırmaca anti-spyware yazılımına benzerdir.Bu Program trojanlari kullananarak zorla reklam izleterek kendine promosyon yapmaktadır.

Genel olarak Internet Explorer açılış sayfanıza plexfind.com yönlendirir.Yüklendikten sonra aşağıdaki dosyaları oluşturur;

%UserProfile%\Recent\ANTIGEN.exe
%UserProfile%\Recent\ANTIGEN.sys
%UserProfile%\Recent\cb.drv
%UserProfile%\Recent\energy.exe
%UserProfile%\Recent\energy.tmp
%UserProfile%\Recent\FS.sys
%UserProfile%\Recent\FS.tmp
%UserProfile%\Recent\FW.dll
%UserProfile%\Recent\hymt.exe
%UserProfile%\Recent\kernel32.drv
%UserProfile%\Recent\PE.dll
%UserProfile%\Recent\PE.tmp
%UserProfile%\Recent\tempdoc.exe
%UserProfile%\Recent\tjd.tmp

Yukarıdaki dosyaları oluşturduktan sonra Malware Destructor 2009 Sahtecisi bunları size bir virüs gibi göstererek silmek için satın almanızı talep eder.Bilgisayarınızda birçok sahte uyarılar oluşturarak kendini çözüm olarak gösterir.Ve sürekli aşağıdaki uyarıları verir;

•A program is trying to connect to the Internet
•A Trojan was found.
•A keylogger was found.
•A computer was remotely connected to.
•Your computer is infected with SpamBot and is sending out spam.
When you click on any of these alerts you will then be prompted to purchase Malware Destructor 2009. These alerts are all fake and are only being shown to convince you that you are infected.

Malware Destructor 2009 Dosyaları

%UserProfile%\Application Data\Malware Destructor 2009
%UserProfile%\Application Data\Malware Destructor 2009\cookies.sqlite
%UserProfile%\Application Data\Malware Destructor 2009\Instructions.ini
%UserProfile%\Application Data\Microsoft\Internet Explorer\Quick Launch\Malware Destructor 2009.lnk
%UserProfile%\Desktop\Malware Destructor 2009.lnk
%UserProfile%\Local Settings\Temp\del.bat
%UserProfile%\Recent\ANTIGEN.exe
%UserProfile%\Recent\ANTIGEN.sys
%UserProfile%\Recent\cb.drv
%UserProfile%\Recent\energy.exe
%UserProfile%\Recent\energy.tmp
%UserProfile%\Recent\FS.sys
%UserProfile%\Recent\FS.tmp
%UserProfile%\Recent\FW.dll
%UserProfile%\Recent\hymt.exe
%UserProfile%\Recent\kernel32.drv
%UserProfile%\Recent\PE.dll
%UserProfile%\Recent\PE.tmp
%UserProfile%\Recent\tempdoc.exe
%UserProfile%\Recent\tjd.tmp
%UserProfile%\Start Menu\Malware Destructor 2009.lnk
%UserProfile%\Start Menu\Programs\Malware Destructor 2009.lnk
c:\Documents and Settings\All Users\Application Data\345d567
c:\Documents and Settings\All Users\Application Data\345d567\384.mof
c:\Documents and Settings\All Users\Application Data\345d567\MD345d.exe
c:\Documents and Settings\All Users\Application Data\345d567\mozcrt19.dll
c:\Documents and Settings\All Users\Application Data\345d567\sqlite3.dll
c:\Documents and Settings\All Users\Application Data\345d567\MDestrSys
c:\Documents and Settings\All Users\Application Data\345d567\MDestrSys\vd952342.bd
c:\Documents and Settings\All Users\Application Data\MDestrSys
c:\Documents and Settings\All Users\Application Data\MDestrSys\mdestr.cfg
c:\WINDOWS\Temp\IMT7.xml
c:\WINDOWS\Temp\IMT8.xml
c:\WINDOWS\Temp\IMT9.xml

Malware Destructor 2009 Kayıt Defterindeki Kayıtları ;

HKEY_CLASSES_ROOT\CLSID\{3F2BBC05-40DF-11D2-9455-00104BC936FF}
HKEY_CLASSES_ROOT\MD345d.DocHostUIHandler
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
Numerous entries underHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\

Malware Destructor 2009 Virüsünü Temizlemek için Spybots veya Malware Bytes indirip taratarak temizleyebilirsiniz.

Spybots indirmek için http://www.spybots.com

Malware Bytes indirmek için http://www.malwarebytes.com

Hüseyin Cenkut ÖZKAN

Internet Worm Sober Virüsü Temizlemek

admin — Fri, 26 Jun 2009 18:59:33 +0000

Sober Virüsü E-posta eklentisi yoluyla yayılmaktadır.Visual Basic yazılan ve UPX ile paketlenen bu virüs 56 KB boyutlarındadır.

Sober Virüsünün Yayılımı ;

Sober virüsü bulaşması için size gelen e-posta virüslü mesajı açmanız yeterlidir.

Zip li olan ekteki paket aşağıdaki gibi bir sahte hata mesajı verir.

WinZip Self-Extractor
WinZip_Data_Module is missing ~Error:

Sober virüsü iki kopyasını Windows klasörünün içine kopyalar, genellikle
aşağıdaki isimleri rastgele bir kombinasyonla oluşturur.

32
crypt
data
diag
dir
disc
expolrer
host
log
run
service
smss32
spool
sys
win

Sistem bulaştıktan sonra Kayıt Defterine Aşağıdaki Kayıtları Ekler ;

[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
 "[random key name]" = "%System%\[file name]"

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
 "[random key name]" = "%System%\[file name]"

Sober Virüsünü Temizlemek için AVG 8.5 Anti Virüs Programını Tavsiye ederiz.

AVG 8.5 İndirmek için http://free.avg.com adresini ziyaret ediniz.

Hüseyin Cenkut Özkan

Email Worm Win32 Merond Virüsü Temizleme

admin — Fri, 26 Jun 2009 18:25:15 +0000

Merond’a virüsü epostalara kendini ek olarak kopyalayarak, yerel ağ içindeki paylaşım klasörlerin bulaşarak veya usb flash disklere bulaşarak yayılmaktadırlar.Merond’a virüsünün oluşturduğu exe dosyası 150-400 kb arasındadır.

Merond’a Virüsü Yayılımı ;

Merond’a virüsü kendini Windows’un içindeki Sistem klasörünün içine kopyalar.

%System%\javaupd.exe
%System%\javaqs.exe

Yukarıdaki aşamadan sonra bilgisayarınız yeniden başlattıktan sonra aşağıdakileri Kayıt Defterine kaydeder.

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
“Kaspersky Email Security” = “%System%\javaupd.exe”
[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
“Java update” = “%System%\javaqs.exe”
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
“Java update” = “%System%\javaqs.exe”
[HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\{1A2K5H58-65CP-B7PP-F600-
3023OJX71M20}]
“StubPath” = “%System%\javaqs.exe”

Merond’a virüsünün kullandığı exe dosyasını Windows Güvenlik Duvarına Güvenilir olarak kaydeder.

Merond’a Virüsünün E-Posta ile yayılması ;

Meronda virüsü bilgisayarından sizde kayıtlı kişilere aşağıdaki dosya
yapılarında otomatik olarak virüslü dosya gönderebilir.

txt
htm
shtl
php
asp
dbx
dbh
wab

E-posta ile yayılımında ençok aşağıdaki isimleri kullanmaktadır.

admin
icrosoft
support
ntivi
unix
bsd
linux
listserv
certific
Security
accoun
root
info
samples
postmaster
webmaster
noone
nobody
nothing
anyone
someone
your
you
me
bugs
rating
site
contact
soft
no
somebody
privacy
service
help
not
submit
feste
ca
gold-certs
the.bat
page
berkeley
math
mit.e
gnu
fsf.
ibm.com
debian
kernel
fido
usenet
iana
ietf
rfc-ed
sendmail
arin.
sun.com
isi.e
isc.o
secur
acketst
pgp
apache
gimp
tanford.e
utgers.ed
mozilla
firefox
suse
redhat
sourceforge
slashdot
avp
syman
panda
avira
f-secure
sopho
www.ca.com
prevx
drweb
bitdefender
clamav
eset.com
ikarus
mcafee
kaspersky
virusbuster
icrosof
msn.
borlan
inpris
lavasoft
jgsoft
ghisler.com
wireshark
acdnet.com
acdsystems.com
acd-group
bpsoft.com
buyrar.com
bluewin.ch
quebecor.com
alcatel-lucent.com
example
mydomai
nodomai
ruslis
.gov
gov.
.mil
messagelabs
honeynet
honeypot
idefense
qualys
spm
spam
www
abuse
.co

Örnek Gönderdiği mesajdan ekran görüntüsü ;

Merond’a Virüsünün P2P üzerinden Yayılım ;

Genellik dosya paylaşım ağlarında aşağıdaki isimler sahte dosyaların ile kendini yaymaya devam eder.

K-Lite codec pack 4.0 gold.exe
Youtube Music Downloader 1.0.exe
Windows 2008 Enterprise Server VMWare Virtual Machine.exe
Password Cracker.exe
Adobe Acrobat Reader keygen.exe
Adobe Photoshop CS4 crack.exe
VmWare keygen.exe
WinRAR v3.x keygen RaZoR.exe
TCN ISO cable modem hacking tools.exe
TCN ISO SigmaX2 firmware.bin.exe
Red Alert 3 keygen and trainer.exe
Ad-aware 2008.exe
BitDefender AntiVirus 2009 Keygen.exe
Norton Anti-Virus 2009 Enterprise Crack.exe
Ultimate ring tones package1 (Beethoven,Bach, Baris Manco,Lambada,Chopin, Greensleves).exe
Ultimate ring tones package2 (Lil Wayne – Way Of Life,Khia – My Neck My Back Like My Pussy And My
Crack,Mario – Let Me Love You,R. Kelly – The Worlds Greatest).exe
Ultimate ring tones package3 (Crazy In Love, U Got It Bad, 50 Cent – P.I.M.P, Jennifer Lopez Feat. Ll Cool J -
All I Have, 50 Cent – 21 Question).exe
Acker DVD Ripper 2009.exe
LimeWire Pro v4.18.3.exe
Download Accelerator Plus v8.7.5.exe
Opera 10 cracked.exe
Internet Download Manager V5.exe
Myspace theme collection.exe
Nero 8 Ultra Edition 8.0.3.0 Full Retail.exe
Motorola, nokia, ericsson mobil phone tools.exe
Smart Draw 2008 keygen.exe
Microsoft Visual Studio 2008 KeyGen.exe
Absolute Video Converter 6.2.exe
Daemon Tools Pro 4.11.exe
Download Boost 2.0.exe
Silkroad Online guides and wallpapers.exe
Alcohol 120 v1.9.7.exe
CleanMyPC Registry Cleaner v6.02.exe
Super Utilities Pro 2009 11.0.exe
Power ISO v4.2 + keygen axxo.exe
G-Force Platinum v3.7.5.exe
Divx Pro 6.8.0.19 + keymaker.exe
Perfect keylogger family edition with crack.exe
Ultimate xxx password generator 2009.exe
Google Earth Pro 4.2. with Maps and crack.exe
xbox360 flashing tools and guide including bricked drive fix.exe
Sophos antivirus updater bypass.exe
Half life 3 preview 10 minutes gameplay video.exe
Winamp.Pro.v6.53.PowerPack.Portable [XmaS edition].exe
FOOTBALL MANAGER 2009.exe
Wow WoLTk keygen generator-sfx.exe
Joannas Horde Leveling Guide TBC Woltk.exe
Tuneup Ultilities 2008.exe
Kaspersky Internet Security 2009 keygen.exe
Windows XP PRO Corp SP3 valid-key generator.exe

Merond’a virüsü USB Flash Disklerde Yayılımı ;

Merond’a virüsü usb flash disklere, bellek kartlara, kısaca hafıza özelliği olan tüm disklere bulaşabilmektedir.

:\redmond.exe

Genellikle redmond.exe ismi ile kendini kopyalar.

Disk’in ana klasöründeki autorun.inf bozarak müdahale eder ve usb disk takıldığı zaman redmond.exe çalıştırarak kendini sisteme bulaştırır.

:\autorun.inf

Merond’a Virüsünü Temizle ;

Eğer bilgisayarınızda Merond’a virüsünün olduğundan süpheleniyorsanız veya antivirüs programınız buluyor hata veriyor silemiyorsa ;

Görev Yöneticisinden Virüsün Çalışan Dosyasını Kapatın.(Görev Yöneticisi : CTRL+ALT+DEL)
Merond virüsünün bulaştığı e-posta, p2p veya dosyayı silin.
Aşağıdaki Kayıt Defteri Kayıtlarını Silin: (Çalıştır’a regedit yazın)
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
“Kaspersky Email Security” = “%System%\javaupd.exe”
[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
“Java update” = “%System%\javaqs.exe”
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
“Java update” = “%System%\javaqs.exe”
[HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\{1A2K5H58-65CP-B7PP-F600-
3023OJX71M20}]
“StubPath” = “%System%\javaqs.exe”
Windows Sistem Altındaki Merond’a ait virüslü dosyaları silin :
```
%System%\javaupd.exe
%System%\javaqs.exe
```
Bilgisayarınıda kullandığınız USB Flash Diskleriniz, Bellek Kartlarınızdaki aşağıdaki isimli virüslü dosyaları silin:
```
:\autorun.inf
:\redmond.exe
```
Bu işlemleri yaptıktan sonra güncel bir antivirüs programı ile tarama yapın.Virüs temizleyebilirsiniz.

Hüseyin Cenkut ÖZKAN

ARP Temizlemek ?

admin — Mon, 22 Jun 2009 10:04:01 +0000

Birçok worm, virüs ve spy ile bilgisayarlara zarar verilmekte, fakat son zamanlarda artık virüsler sadece bilgisayarları değil bilgisayarların çalışma ve iletişim ağlarına zarar vermeyi hedeflediler.Bunun en büyük örneğin ARP zehirleyen veya kandıran virüsler bunların başında da .bat ismini verdiğimiz virüsler gelmektedir.

ARP nedir ? Address Resolution Protocol ( Adres Çözümleme Protokolü)

Bilgisayarların ağ üzerinde haberleşebilmeleri için birbirlerinin macid adreslerini bilmeleri gerekir.Adres çözme işlemi modemin ip adresinden macid adresinin bulunup eşleştirilmesine denir. Yani sizin bilgisayarınız ağda diğer bilgisayar veya modemi bulmak için ip ve macid adreslerini Yerel Ağda Yayınlar bu işleme ARP “Local Broadcast” denir.

Arp Zehirlenmesi Nedir ?

Virüsler burada devreye girip sizin modem macid ve ip adresini kendi sunucusunun üzerinden veya virüslü bilgisayar üzerinden çıkartır. Böylece virüs sizin bilgilerini bir süzgeçten geçirerek şifre ve değerli kişisel bilgilerinizi eler bunları kötü niyetli kişilere ulaştırır.

Arp Temizle İşlemi Nasıl Yapılır ?

Aslında kesin çözüm değildir.Çünkü sürekli ARP zehirleyebilmek mümkündür.CommandLine satırın aşağıdaki komutlar ile ARP sıfırlayabilir yada ARP siz tanımlayabilirsiniz.

arp -a (enter) | Ağınızdaki İP adreslerinin MACID adreslerini tablo halinde görürsünüz |

arp -s [MODEM MACID ADRESİ] (enter) | Böylece MODEMinizin Macidsini tanıtınız bilgisayarı açıp kapatana kadar bu kayıt durur.|

arp -d (enter) |Tüm kayıtlı ARP listesini temizler ve yeniden ARPları talep eder.Yani Yerel Ağınızda Yayın yapar. Local Broadcast |

komutlar ile ARP kontrol edebilirsiniz. Fakat kesin çözüm bilgisayar ve bilgisayarlarınızdaki virüsleri temizleyerek çözülür.ARP kontrol eden yazılımlar vardır fakat ağınızdaki bir arp zehirleyen virüs varsa program sadece uyarı veririp durur.

ARP Virüslerini temizlemek için Ağ Bağlantınızı kesip, bilgisayarlarını güvenli modda güncel antivirüs programınıza veya o virüsün Removal Tool ile taratıp silebilirsiniz. Bazı virüsler Sistem Geri Yükleme Noktalarına bulaşmaktadırlar.O yüzden Bilgisayarım’a sağ tuş ile tıklayıp açılan pencerede Sistem Geri Yükleme Özelliğini devre dışı bırakıp taratırsanız daha etkili olmaktadır.

Steganography nedir ?

admin — Mon, 22 Jun 2009 08:35:50 +0000

Steganography bilgisayar dünyasında genelde resimlerin içine yazı gizleme konularında iş görmektedir. Genelde yasa dışı örgütler bu şekilde iletişim kurarlar.Dünya üzerinde birçok gizli servis bu konuda araştırmalar yapmatalar. Seçtiğiniz herhangi bir resmin içine bir şifre ile bir yazı ekliyorsunuz ve eklediğiniz yazı resimde hiç bir şekilde görünmüyor.Ancak bunu açan yazılımlara şifresini girerek bu yazıya ulaşabiliryorsunuz.

Worm Netsky Virüsü Temizleme

admin — Sat, 20 Jun 2009 06:13:01 +0000

Netsky bilgisayarınızda kayıtlı e-posta adreslerine kendini gönderir.Pif veya Zip Uzantılı olarak ekli dosya gönderen virüs ağ içinde de yayılmasını sürdürür.

Kurtulmak için;

1- Sistem Geri Yüklemeyi Kapatınız. ( Bilgisayarım – sağ tuş özellikler

2-Ağ ve İnternet Bağlantınızı Kapatınız.

3-Bilgisayarını Güvenli Modda Açık Aşağıdaki FixNetsky çalıştırıp tarama yapınız

Worm NetSky Virüsü Temizleyici Araçı İndirmek için tıklayınız.

Worm Bagle Virüsü Temizleme

admin — Sat, 20 Jun 2009 05:56:54 +0000

Bulaştığı bilgisayardaki Outlook varsa kendini otomatik olarak tüm eposta adreslerini gönderir.Çoğalma işlemini bu şekilde başlatır.Zip,Rar veya pif dosyası şeklinde eposta ekli dosya olarak gelir. Açmaya çalıştığınız zaman virüslü dosya olarak görür.

Bilgisayarınızı Güvenlik Modda açın ve Ağ, İnternet Bağlantılarını kapatın.Komple tüm disklerinizi taratın ve Bagle virüsünden kurtulun.
Worm Bagle Virüsü Temizleme için Removal Tool tıklayıp indirin.

USB, MP3 ve Memory Kartlardaki Virüsleri Temizlemek

admin — Wed, 17 Jun 2009 07:46:06 +0000

Flash diskimin içine attığım dosyalarımı göremiyorum boş gösteriyor fakat başka bilgisayara takıyorum dosyalar görünüyor ?

Flash diskinize tıkladığınız zaman Birlikte AÇ çıkıyor USB diskimi kullanamıyorum ?

Memory kartım ceptelefonumda çalışmıyor ?

MP3 deki müzikleri dinleyemiyorum ? Hata veriyor ?

Flash diskinize yada Bellek Kartınıza içine giremiyorsunuz Birlikte Aç Çıkıyorsa ?

Bilgisayarım içinde Flash disk iniz tıkladığınız zaman bilinmeyen dosya türlerini çalıştırma uygulaması “birlikte aç” çalışır. Bu durumda geçici olarak dosyalarınıza ulaşmak için Adres çubuğuna flash diskinizin alfabetik verilen adresini yazınız.Birkaç örnek C: , D: , E: , F: , G: ,H: bunlardan birisi sizin flash diskinizin yada bellek kartınızın alfabetik adresidir. Bu adresi (C:) adres çubuğuna yazıp git tıkladığınızda flash disk içine girebilirsiniz.

Kurtulmanın Yolu : “USB Disk Security V5″ Portable çalıştırın. “USB Tools” sekmesindeki “Acquire Immunity” tıklayın bilgisayarınızdaki takılı Flash disklerdeki Autorun sorunu otomatik olarak gidersin.Sonra Flash disk biçimlendirip kullanabilirsiniz.

USB Disk Security V5 Portable indirmek için tıklayınız.

USB Disk Security hakkında Detay;
Bu program sürekli çalışarak sağ alt tarafa bir ikon ekler.Çalışma mantığı taktığınız USB diskleri otomatik olarak kontrol eder eğer Autorun virüsü varsa tespit edip silmenize olanak sağlar.Fakat usb aygıtlar sürekli taradığı için bazı notebooklardaki ve masaüstü bilgisayarlardaki USB Wireless’ler çakışmak ve internet bağlantısını sağlayamamaktadır. Eğer bilgisayarınızda böyle bir USB Wifi yok ise rahatlıkla kullanabilirsiniz.USB aygıt bulduğu virüsleri Delete All diyerek temizler.Virüs tespit ettiği zaman bilgisayarınıza kurulu olan antivirüs te aynı virüs tespit fakat antivirüs ignore yada yoksay işaretleyiniz USB disk securtiy ile virüsü temizleyiniz.USB Disk Security sürekli çalışması için Başlat Programlar Başlangıç içine kopyalayın. Bilgisayarınız her açıldığında otomatik olarak çalışacaktır.Böylece taktığnız flashlardaki autorun virüsler bilgisayarınıza bulaşmaz.Fakat standart bir yapısı olduğu için worm tabanlı virüsleri engellemez ve tanımaz.

Flash diskinizde attığınız dosyaları kayboluyorsa ve bu dosyaların yedeği yoksa silmemeniz gerekiyorsa ;

Herhangi bir klasör açın ve Araçlar menüsünden Klasör Seçeneklerine girin
Açılan Klasör Seçeneklerinden Görünüm Sekmesine geçin

“Gizli Dosyaları Gösterme” ve “Korunan İşletim Sistemi Dosyalarınız Gizle” yazan satırlardaki işaretleri kaldırın

Uygulama Tamam Diyerek pencereyi kapatın.Flashdiskinizdeki verilere ulaşabileceksiniz.Fakat hemen yedek alıp bilgisayarınıza flashdiskinizi biçimlendirin.

MP3 Çalarınızdaki yada Dijital Fotoğraf Kameranızdaki Memory kartları bilgisayarınıza taktığınız zaman autorun virüsleri bulaşabilir.Bu virüsler Mp3 Çalarınıza, Cep Telefonunuza veya Dijital Fotoğraf Makinenizin bellek kartlarına (memory card) bilgisayar virüsleri bulaşabilir.

Peki bellek kartlara bulaşan virüsler MP3 Çalar, Cep Telefonu, Dijital Fotoğraf Makinesi gibi ürünlerde bellek kartı görmemeye yada varolan verileri okumamaya başlar.

Bu sorunu çözmenin tek yolu bellek kartınız yada Flash Diskiniz biçimlendirmektir. Antivirüs flash diskleri temizlese bile bozulan dosya yapısını biçimlendirmeden başka bir alternatif kurtaramaz.
Hüseyin Cenkut Özkan

Microsoft Windows Malicious Software Removal Tool

admin — Wed, 17 Jun 2009 05:43:56 +0000

Ücretli satın aldığınız antivirüsler bulduğu virüsleri silme konusunda kendilerini geliştirirken çok fazlada virüs bulmak istemiyorlar.

Ücretli antivirüs firmalarına savaş açmadım tabiiki fakat ücretsiz bedava anti virüs firmaları yeni virüsleri daha doğrusu virüs veri tabanlarınıçok güncel tutuyorlar.Tabii ki virüs tespit etmek yetmiyor iyi bir yazılım mühendisliğiyle virüsten kurtulmanız gerekiyor ki bu da epey zor. Çünkü ücretsiz antivirüs programlarının yegane problemide virüs tespit ettikten sonra başlıyor.

Peki kullanıcılar ne yapmalı ki hem yeni virüslerden korunmalı hemde tespit edilen virüslerden kurtulabilmeli ?

1- Kesinlik ücretli fakat çok pahalı olan iyidir anlamında değil size uygun bir antivirüs satın almanız.Ençok karşılaşılan soruda budur aslında. internet security güçlü eposta koruması.Eğer kişisel kullanıma yönelik bir bilgisayarınız varsa internet security almanıza gereksiz. Yada çok detaylı anti özellikleri bol ve pahalı bir yazılım fazla olur. Standart bir antivirüs satın alın.
2-Windows XP yada Windows Vista kullanıyorsunuz. Peki bilgisayarınızdaki işletim sistemi lisanslı olmalıdır. Çünkü güncelleştirmeleri yapabilmeniz için lisans gerekiyor. Şimdi bazılarınız crack’i var diyecek ama o crackleri kesinlikle tercih etmeyin. Çünkü o crackler hem windows sorun çıkartıyor hemde içeriğinde bilinmeyen virüsler barındırıyor.Yani bu durumda kesinlik lisanslı windows kullanıp her hafta güncellemelerini yapmalısınız.

3-Antivirüs var fakat yeterli değil şimdi size Microsoft çok başarlı bulduğum Malicious Software Removal Tool izah edeyim. Şimdi diyeceksiniz ya zaten bir sürü bu tip malware yazılımlar var. Fakat bu ürünün özelliği windows sistem yapısını çok fazla adapte olması ki microsoft tarafında yapıldığı için çünkü diğer malware tarzı yazılımlarda geniş bir veri tabanı gereksinim mevcut ve tespit sonrası silebilme oranları hemen hemen aynı fakat microsoft bu ürünü daha etkili çünkü windows kapalı kaynak kod bir yazılım.Bu yüzden bazı yazılımsal konuları antivirüs ve malware firmaları bilgisi dışındadır.

Gelelim Malicious Software Removal Tool

Şüpheli Yazılımlar Temizleme Aracı olarak Türkçeye çevrilen bu program bir worm virus trojan tarayan ağırlıklı olarak yeni virüsleri tespit eden bir yazılım çok basit bir kullanımı mevcut direk tarama yapıyor sürekli çalışmıyor.Satın aldığınız anti virüs yazılımına alternatif bir program…

Microsoft® Windows® Kötü Amaçlı Yazılımları Temizleme Aracı TÜRKÇE versiyonunu indirmek için tıklayın.

Haxdoor & Schoeberl Virus Temizleme

admin — Tue, 16 Jun 2009 20:58:11 +0000

Backdoor Haxdoor & Trojan Schoeberl Virüsü Temizleme

1. Eğer ağ bağlantınız veya internet bağlantınız varsa bağlantılarınızı kapatın.Dosya paylaşımlarınızı ister kapatın ister şifre korumalı hale getirin yada sadece Okuma özelliğinde bırakın.Çünkü bu tarz virüsler temizleyebilmek için paylaşılan klasörleri ve ağdaki bağlantılarını kapatınız.

2. Bilgisayar Fix Schoeberl Haxdoor indirin.

3.Bu virüsü temizlemek için Fix Schoeberl Haxdoor.exe tıklayıp çalıştırın.

4.Kesin temizlik için Güvenlik Modda bilgisayarınızı açınız.

5.Tüm sabit diskinizi taratın ve virüs temizlendiğinden emin olun.

6.Genelde bu virüsler sistem geri yüklemesini kapatıyor ve engelliyor. Eğer virüs silindiyse sistem geri yükleme tekrar aktif hale gelir.

7.Windows’unuzu Güncelleyin ve Güncel bir antivirüs programı yükleyin.

Peki Fix Schoeberl Haxdoor.exe Neler Yapıyor ?

Tüm Dosyaları tarar.
Bulaştığı dosyaları arındırır.
Virüsleri Siler.
Görev yöneticisinde çalışan zararlıları exeler devre dışı yapar.
Kayıt defterine eklenen virüs kaynaklı kayıtları siler.

Trojan ve Internet Worm Xrupter kurtulmak için Fix Schoeberl Haxdoor.exe tavsiye ederiz.

Hüseyin Cenkut Özkan

Trojan Xrupter Virüsü Temizleme

admin — Tue, 16 Jun 2009 20:32:09 +0000

1. Eğer ağ bağlantınız veya internet bağlantınız varsa bağlantılarınızı kapatın.Dosya paylaşımlarınızı ister kapatın ister şifre korumalı hale getirin yada sadece Okuma özelliğinde bırakın.Çünkü bu Xrupter virüsü temizleyebilmek için paylaşılan klasörleri ve ağdaki bağlantılarını kapatınız.

2.Bilgisayarınıza Xrupter Removal Tool indirin (fixXrupter.exe)

3.Xrupter virüsünü temizlemek için FixXrupter.exe tıklayıp çalıştırın.

4.Kesin temizlik için Güvenlik Modda bilgisayarınızı açınız.

5.Tüm sabit diskinizi taratın ve virüs temizlendiğinden emin olun.

6.Xrupter virüsü sistem geri yüklemesini kapatıyor ve engelliyor. Eğer virüs silindiyse sistem geri yükleme tekrar aktif hale gelir.

7.Windows’unuzu Güncelleyin ve Güncel bir antivirüs programı yükleyin.

Peki FixXrupter.exe Neler Yapıyor ?

Tüm Dosyaları tarar.
Virüsleri Siler.
Bulaşığı dosyaları temizler.
Görev yöneticisinde çalışan zararlıları kapatır.
Kayıt defterine eklenen virüslü kayıtları siler.

Trojan ve Internet Worm Xrupter kurtulmak için fixXrupter.exe tavsiye ederiz.

Xrupter Virüsünün Fix Removal Tools indirmek için tıklayınız.

Hüseyin Cenkut Özkan

Windows 7 – Güvenlik Yapısı

admin — Mon, 15 Jun 2009 07:17:03 +0000

Yaklaşık 3 Aydır kullandığım ve aynı zamanda test ettiğim Windows7 gerçekten çok başarılı.Diyebiliriz ki Microsoft, Windows Vista yavaşlama ve donma sorunlarına Windows 7 ile gerçekten çözüm bulmuş durumda.

Windows 7 – Windows Firewall

Güvenlik açısından bakarsak Windows 7 kesinlikle değiştirilmiş, yani Güvenlik Duvarı basit indirgenmemiş. Sanki ayrı bir güvenlik duvarı gibi çalışmakta ve yeni birçok özelliği mevcut.Bunlar işlevsel olanı Windows Firewall Advanced Security bu bölüm sayesinde Güvenlik Duvarınıza yeni kurallar oluşturup bunları takip edebiliyorsunuz.Örneğin oluşturduğunuz bir kural kontrol edebiliyor bu kuralın içeriye giren verilere etkisini dışarıya çıkan veri paketlerine etkilerini görebiliyorsunuz.Değişen ana özelliklerden biriside Güvenlik Duvarını kapatma seçenekleri ister İnternet Bağlantınızdaki güvenlik duvarını kapatıyorsunuz istersenizde yerel ağ bağlantınızdaki güvenlik duvarını devre dışı bırakabiliyorsunuz.Bu özellikle ile yerel ağdan kullandığınız yazılımlarda engellemeye dönük bir hata ile karşılamayacağınız düşünüyorum.Güvenlik Duvarı hatırlayacağınız gibi windows server 2003 teki yapıya benzer bir sistem kullanılmış.

Windows 7 – Action Center

Birçok kişinin kullanırken dönük bakmayacağı gereksiz gibi görünen Windows 7 Action Center (Yönetim Hareket Merkezi) aslında birçok yazılımın çalışma durumunu denetlemektedir.Bir bakıma bakıcı olan bu yazılım sadece microsoft yazılımlarını değil Anti Virüsleri, Internet Güvenlik Ayarlarını, Ağ Güvenlik Duvarını, Spywarelerden korumayı, Windows Yedeklemeyi, Windows Güncellemeleri ve Kullanıcı Ayarlarını takip eden bir yazılımdır.İşin diğer garip yönü ise bunlarda oluşabilecek sorunları microsoft bildirmektedir.Yani aslında Bilgisayarınızın güvenlik üst kurulu gibi hizmet vermektedir.

Windows 7 – Parental Control & User Control

Ebebeyn kontrolu ve Kullanıcı Hesapları yönetim sistemi olarak birleşmesi ile beraber kullanımı daha basitleşmiş sadece bir internet filtresi değil, aynı zaman kullanım sürelerini hesaplayan bir planlama ajanda yazılımı gibi hareket etmektedir.
Hüseyin Cenkut Özkan

W32 Virut Virüs Temizleme

admin — Sun, 14 Jun 2009 20:50:06 +0000

W32 Virut Virüs Temizlemek için aşağıdaki removal tool indirip tarama yapabilirsiniz.

W32 Virut Virüs Temizleme Removal Tool indirin.

W32 Vampiro Virüsü Temizlemek

admin — Sun, 14 Jun 2009 20:48:10 +0000

W32 Vampiro Virüsünü temizlemek için aşağıdaki removal tool bilgisayarınızı güvenlik modda açarak taramaya başlatınız.

W32 Vampiro Virüsünü Temizlemek için indirin. (Removal Tool)

W32 Valla 2048 Virüsü Temizlemek

admin — Sun, 14 Jun 2009 20:43:29 +0000

W32 Valla 2048 Virüsünü temizlemek için bilgisayarınızı DOS modunda açarak indirdiğiniz removal tool aşağıdaki komutlara göre kullanabilirsiniz.

Dos Komutu

rmvalla.exe C:\ (enter)

W32 Valla 2048 Virüsünü Temizleme (Removal Tool) için indirin

W32 Sality Virüsü Temizleme

admin — Sun, 14 Jun 2009 20:39:57 +0000

W32 Sality Virüsü temizlemek için aşağıdaki linkten indirip tarama yaparak Sality virüsünü temizleyebilirsiniz.

W32 Sality Virüsü Temizleme (Removal Tool) indirmek için tıklayın

W32 Prepender Virüsü Temizleme

admin — Sun, 14 Jun 2009 20:37:19 +0000

W32 Prepender Virüsü OCX DLL kütüphaneleri hedef almaktadır.Bunu temizlemek için yönetici hesabıyla açılış yapıp güvenlik modda tarama yaptırtmalısınız.Aşağıdaki removal tool kullanabilirisiniz.

W32 Prepender Virüsü Temizleme (Removal Tool)

W32 Parite Virüsü Temizleme

admin — Sun, 14 Jun 2009 20:34:19 +0000

W32 Parite Virüsü Temizleme için Removal Tool indirin.Çalıştırdıktan sonra tüm diskleriniz tarattırın.

W32 Parite Virüsü Temizleme (Removal Tool)

W32 Magistr Virüsü Temizleme

admin — Sun, 14 Jun 2009 20:31:44 +0000

W32 Magistr Virüsü Temizleme için aşağıdaki removal tool kullanabilirsiniz.

W32 Magistr Virüsü Temizleme (Removal Tool)

W32 Kriz Virüsü Temizleme

admin — Sun, 14 Jun 2009 20:05:03 +0000

W32 Kriz Virüsü Temizlemek için DOS Moduna geçin ve aşağıdaki komutları kullanın.

rmkriz.exe C:\

W32 Kriz Virüsü Temizleme (Removal Tool)

W32 Gaelicum Virüsü Temizleme

admin — Sun, 14 Jun 2009 19:59:12 +0000

W32 Gaelicum Virüsü Temizleme için aşağıdaki removal tool indirip bilgisayarınızı DOS modunda açın.

DOS Komutları

rmgael.exe C:\ (enter)

bu komutun sonunda ki C yerinde diğer hardisk parçalarını yazarak taratabilirsiniz.

W32 Gaelicum Virüsü Temizleme (Removal Tool)

W32 Elkern Virüsü Temizleme

admin — Sun, 14 Jun 2009 19:54:39 +0000

W32 Elkern Virüsü Temizleme için aşağıdaki removal tool indirip bilgisayarınızı DOS modunda açın.

DOS Komutları

rmelkern.exe C:\ (enter)

bu komutun sonunda ki C yerinde diğer hardisk parçalarını yazarak taratabilirsiniz.

W32 Elkern Virüsü Temizleme (Removal Tool)

W32 Dupator Virüsü Temizleme

admin — Sun, 14 Jun 2009 19:46:48 +0000

W32 Dupator Virüsü Temizleme için aşağıdaki removal tool indirip bilgisayarınızı DOS modunda açın.

DOS Komutları

rmdptor.exe C:\ (enter)

bu komutun sonunda ki C yerinde diğer hardisk parçalarını yazarak taratabilirsiniz.

W32 Dupator Virüs Temizleme (Removal Tool)

Win32 Delf Virüs Temizleme

admin — Sun, 14 Jun 2009 19:30:30 +0000

Win32 Delf Virüsü DLL/OCX kütüphanelerini hedef olarak almaktadır.Bilgisayarını yönetici hesabıyla açıp aşağıdaki removal tool kullanarak temizleyebilirsiniz.

Win32 Delf Virüsü Temizleme (Removal Tool)

W95 Space 1445 Virüs Temizleme

admin — Sun, 14 Jun 2009 19:18:19 +0000

W95 Space 1445 Virüs Temizlemek için DOS modunda bilgisayarınızı çalışıtırın

MSDOS için Örnek Komutlar ;

rmspaces.exe C:\ (enter)

diğer hardisk parçalarını taratmak için C,D,E yazarak yapabilirsiniz.

W95 Space 1445 Virüs Temizleme (Removal Tool)

VBS I Love You Virüsü Temizleme

admin — Sun, 14 Jun 2009 19:10:35 +0000

VBS I Love You Virüsü Temizleme için Removal Tool indirebilirsiniz.

Removal Tool indirmek için tıklayın

BackDoor Generic3 SVX Virüsü Temizleme

admin — Sun, 14 Jun 2009 19:00:57 +0000

BackDoor Generic3 SVX Virüsü Temizleme için bilgisayarınız yönetici kullanıcı hesabıyla güvenli modda çalışıtırın ve usb disk memory kartlarını tek tek taratın.Bu taramalar birden fazla yaparak daha kesin bilgi sahibi olabilirsiniz.

BackDoor Generic3 SVX Virüsü Temizleme (Removal Tool)

Internet Worm Verona Virüsü Temizleme

admin — Sun, 14 Jun 2009 18:57:56 +0000

Internet Worm Verona Virüsü Temizleme için ilk önce bilgisayarınızın internet bağlantısını kesin ve kullandığınız usb flash diskleride takarak komple bir tarama yapın.Bu taramalardan sonuç alamazsanız yine internet bağlantınızı kapalı iken güvenli modda tarama yapınız.Bu tip virüsler Memory kartlarına bile bulaşabilmektedirler.Tabii MP3 çalar veya Dijital Fotoğraf Makinenize zarar vermez ama tekrar bilgisayarınıza bağladınızıda bulaşır veya diğer bilgisayarlara yayılır.

Internet Worm Verona Virüsü Temizleme (Removal Tool)

Internet Worm Swen Virüsü Temizleme

admin — Sun, 14 Jun 2009 18:53:50 +0000

Internet worm swen virüsü temizleme için önce bilgisayarınız güvenli modda açınız ve internet bağlantınızı kesiniz. Bu işlemlerden sonra Removal Tool açarak taratınız.

Internet Worm Swen Virüsü Temizleme (Removal Tool)

Internet Worm Sircam Virüsü Temizleme

admin — Sun, 14 Jun 2009 18:48:31 +0000

Internet Worm Sircam Virüsü Temizleme için removal tool bilgisayarınıza indirdikten sonra tarama yapamdan önce mutlaka internet bağlantınızı kesiniz ondan sonra tarama yapınız.

Internet Worm Sircam Virüsü Temizleme (Removal Tool)

Internet Worm Pretty Park Virüsü Temizleme

admin — Sun, 14 Jun 2009 18:44:11 +0000

Internet Worm Pretty Park Virüsü Temizleme için öncelik internet bağlantınızı kapatıp aşağıdaki removal tool indirip tarabilirsiniz.

Internet Worm Pretty Park Virüsü Temizleme (Removal Tool)

Internet Worm Nimda Virüsü Temizleme

admin — Sun, 14 Jun 2009 18:40:59 +0000

Internet worm Nimda Virüsü Temizleme için önce internet bağlantınızı kapatınız.Removal Tool indirip tarama yapınız.

Internet Worm Nimda Virüsü Temizleme (Removal Tool)

Internet Worm Navidad Virüsü Temizleme

admin — Sun, 14 Jun 2009 18:36:15 +0000

Internet Worm Navidad Virüsü Temizleme için önce internet bağlantınızını kesin ve bilgisayarınızı güvenli modda çalıştırın.

Internet Worm Navidad Virüsü Temizleme Removal Tool

Internet Worm Mydoom Virüsü Temizleme

admin — Sun, 14 Jun 2009 18:33:50 +0000

Internet Worm Mydoom Virüsü temizleme için önce internet bağlantınızı kesiniz onda sonra aşağıdaki Mydoom Virus Removal indirip tarama yapabilirsiniz.

Internet Worm Mydoom Virus Temizleme (Removal Tool)

Internet Worm Luder Virüsü Temizleme

admin — Sun, 14 Jun 2009 18:30:29 +0000

Internet Worm Luder Virüsü temizlemek için mutlaka internet bağlantınız kesmeniz gerekmektedir.

Internet Worm Luder Virüsü Temizlemek için indirin…

Internet Worm Love Gate Virüsü Temizleme

admin — Sun, 14 Jun 2009 18:27:55 +0000

Internet Worm Love Gate Virüsü temizlemek için önce internet bağlantınızı kapatınız.Çünkü bu virüs internet wormdur ve bu tip virüsler internet üzerinden tekrar kendini download ettirebileceği için İnternet Worm Love Gate Virüs Temizleme aracıyla tarama yaparken internet bağlantınızın kapalı olması önemlidir.Mutlaka dikkat ediniz.Aşağıdaki linkten Internet Worm Love Gate Virüsü Removal Tool indirebilirsiniz.

Internet Worm Love Gate Virüsü Temizleme

Internet Worm Happy99 Virüs Temizleme

admin — Sun, 14 Jun 2009 18:24:47 +0000

Internet Worm Happy99 Virüsünü temizlemeden önce internet bağlantınızı kesin aşağıdaki removal tool çalıştırın.

Internet Worm Happy99 Virüs Temizleme (Removal Tool)

Hüseyin Cenkut ÖZKAN

Internet Worm Ganda Virüsü Temizleme

admin — Sun, 14 Jun 2009 18:21:57 +0000

Internet Worm Ganda Virüsü temizlemek için Removal Tool indirip yükleyin fakat taratmadan önce internet bağlantınızı varsa yerel ağ bağlantınız kesin taramayı güvenli modda yapın tarama sonucunda Worm Ganda Virüsü temizleyebilirsiniz.

İndirmek için :

Internet Worm Ganda Virüsü Temizleme

Hüseyin Cenkut ÖZKAN

Internet Worm Bugbear Virüsü Temizleme

admin — Sun, 14 Jun 2009 18:17:25 +0000

Internet Worm Bugbear Virüsü indirin internet bağlantınızı kesin ve tarama yaptırın, bilgisayarınızı yeniden başlatın, internet bağlantınızı ve yerel ağ bağlantınızı kapatıp Internet Worm Bugbear Virüs Removal Tool çalıştırın.

İndirmek için Internet Worm Bugbear Virus Removal Tool

Hüseyin Cenkut Özkan

Downloader Stubby Virüsü Temizleme

admin — Sun, 14 Jun 2009 18:08:48 +0000

Downloader Stubby Virüsü temizlemek için önemli bir Downloader Stubby Removal Tool tavsiye ederiz. İndirip yükleyin bilgisayarınıza tamamen taratın eğer tarama gerçekleşmez ise Windows Güvenli Modda açıp tekrar tekrar deneyiniz.

Downloader Stubby Removal Tool

Conficker Virüsü Temizleme

admin — Sun, 14 Jun 2009 18:05:25 +0000

Bilgisayarınıza Downadup yada Conficker virüsü olduğundan şüpheleniyorsunuz ?

hemen AVG Conficker Remover indirip tarama yapın.Virüsü temizleyin.Bilgisayarınız birkaç defa açıp kapatıp tarama işlemini uygulayın eğer tarama yapamazsanız güvenlik kipte çalıştırıp tarama yapmayı deneyiniz. Conficker removal tool ile conficker virüsünden kurtulabilirisiniz.Ama kesin çözüm Windows Update yapmaktır.Mutlaka Windows güncell tutunuz..

Conficker Removal Tool

Hüseyin Cenkut ÖZKAN

Türkiye Birinci Sırada !!! (BOT)

admin — Sun, 14 Jun 2009 15:04:07 +0000

Bilgisayarınız kontrol altında olabilir ? bilmediğiniz tanımadığınız kişiler sizin bilgisayarınızı kullanarak binlerce bilgisayarı aynı anda bir siteye saldırtabilir hatta istediği siteye hit kazandırabilir.Size ise msn gelen bir mesaj tıklayarak gittiğiniz siteden bilgisayarınıza imzası farklı bir virüs bulaşabilir …

BOTNET
Evet bütün bunlar BOT denilen zombie olarak tabir edilen binlerce bilgisayarı aynı anda kontrol eden hackerların kurduğu bir sanal ağdır. Peki bu konuda Türkiye’nin birinci sırada olduğunu biliyormuydunuz ? Web üzerinden yada IRC üzerinden kontrol edilen bu botlar genellikle C dilinde yazılıyor ve internette yüzlerce örneği var.Bunların imzalarını değişitirip cryto ile antivirüsü alt edebiliyorlar…

Anti virüs programları yakalayamıyor ! Sadece bilgisayarınızı yada internet bağlantını kullanmıyorlar sizin sayenizde arkadaşlarınıza da bulaşarak büyüyorlar…

Dikkat edilmesi gereken önemli konular :

*MSN gelen bu senin resminmi www,,xxx,com adreslere tıklamayın
*Eposta adresinize gelen içi boş ekli dosyaları açmayın içinde mypictures yada pictures yada resimler yazabilir.
*Şüphelendiğiniz dosyalara tıklamayın virscan.org sitesinde taratın eğer bir şey bulmazsa güvenilirdir.

Hüseyin Cenkut ÖZKAN

Yeni Kandırma Yöntemi : Hosts

admin — Sun, 14 Jun 2009 14:52:39 +0000

Bilgisayarınıza sessizce kurulan ve internet sayfalarını kendine yönlendirerek şifre çalmayı başaran bu yöntem çok tehlikelidir.

Windows\System32\Driver\Etc içinde Hosts dosyasında boş ise # ile başlayan satırlar kapalı anlamına geliyor eğer # ile başlamayan ve 127.0.0.1 www.google.com veya www.paypal.com gibi adres yazıyorsa sizi şifrelerini ve aramalarını kontol ediyorlar demektir.

Hosts dosyasını kontrol edin. Bilhassa yeni bir program kurduğunuz zaman…

Genellikle rapidshare paypal tarzı şifreleri çalmak için çok kullanılan bir yöntemdir.Bir program kurduğunuz yada şüphelendiğiniz zaman Windows\System32\Driver\Etc içinde hosts açıp kontrol ediniz.

Hüseyin Cenkut ÖZKAN

Firefox Güncellemesinde Yanlış Yönlendirilen Kullanıcılar !!!

admin — Sat, 13 Jun 2009 13:42:33 +0000

Firefox kullanıcılarını etkilen bu olay epey ciddiye alınması gerekiyor.Çünkü Firefox güncelleştirmeye çıkarttığınız
zaman bilgisayarınızı başka bir siteye yönlendiriliyor.

Güvenli şekilde Firefox güncellebilirsiniz mesajını alıyorsunuz fakat size yönlendirdiği sayfa URL si farklı o yüzden Firefox web üzerinde güncelleme yapmayınız.

Kısa bir süre içinde bu sorun düzelir, tavsiyemiz en güncel versiyonu kendi orjinal sitesinden indirerek yüklemeniz.

Hüseyin Cenkut ÖZKAN

Trojan Dropper Agent albv Virüsü Temizleme

admin — Sat, 13 Jun 2009 13:27:33 +0000

Tojan Dropper Agent albv virüsü kendisini

%WinDir%\system\svhost.exe

klasörüne svhost.exe olarak kopyalar. (%WinDir% çalıştıra yazarsanız Windows klasörünüz açacaktır.)

Sistem açıldığı zamanda kendini Kayıt Defterinde

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
“WSVCHO” = “%WinDir%\system\svhost.exe”

yukarıdaki satıra ekler.

Windows Güvenlik Duvarını kandırmak için aşağıdaki isimlerde kendini çalışır halde gösterir.

avesvc.exe
ashdisp.exe
avgrsx.exe
bdss.exe
spider.exe
avp.exe
nod32krn.exe
cclaw.exe
dvpapi.exe
ewidoctrl.exe
mcshield.exe
pavfires.exe
almon.exe
ccapp.exe
pccntmon.exe
fssm32.exe
issvc.exe
vsmon.exe
cpf.exe
ca.exe
tnbutil.exe
avp.exe
mpfservice.exe
npfmsg.exe
outpost.exe
tpsrv.exe
pavfires.exe
kpf4ss.exe
persfw.exe
vsserv.exe
smc.exe

Yukarıdaki listede kendini kopyaladığı exe'ler aslında aşağıdaki antivirüslerin çalışan exeleridir.

Böylece antivirüsleri windows güvenlik duvarı sayesinde kapatmış olur.

AntiVir
Avast Antivirus
AVG Antivirus
BitDefender
Dr.Web
Kaspersky Antivirus
Nod32
Norman
Authentium Antivirus
Ewido Security Suite
McAfee VirusScan
Panda Antivirus/Firewall
Sophos
Symantec/Norton
PC-cillin Antivirus
F-Secure
Norton Personal Firewall
ZoneAlarm
Comodo Firewall
eTrust EZ Firewall
F-Secure Internet Security
Kaspersky Antihacker
McAfee Personal Firewall
Norman Personal Firewall
Outpost Personal Firewall
Panda Internet Seciruty Suite
Panda Anti-Virus/Firewall
Kerio Personal Firewall
Tiny Personal Firewall
BitDefender / Bull Guard Antivirus
Sygate Personal Firewall

Genellikle internet explorer ve mozilla firefox şifrelerini hedef almaktadır.Bunlarında haricinde

Trillian
Miranda
Yahoo Messenger
MySpace IM
Gaim

şifrelerini çalarak sahibine iletir.

Trojan Dropper Agent albv virüsünün diğer özellikleride

Belirli sürelerde resim çekerek sizi yaptıklarınız arşivler ve keylogger özelliğiyle
yazışmalarını kaydeder.
Autorun özelliği ile USB disklere kendini kopyalar genellikle wlan.exe ismini kullanır.

Trojan Dropper Agent albv virüsünü temizlemek için

Görev yöneticisini açın ve çalışan virüslü programı sonlandırın.
Trojanın orjinal attığı dosyaları temizleyin ve kopyalarında kurtulun.
Kayıt Defterine attığı kaydı silin.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
“WSVCHO” = “%WinDir%\system\svhost.exe”
Windows klasörün içinde ki system klasöründe svchost.exe silin
%WinDir%\system\svhost.exe
Temp Klasörünü boşaltın. (%Temp% çalıştıra yazarsanız direk açılır)
USB Disklerinizde aşağıdaki isimli dosyaları silin.
wlan.exe,
Güncel bir antivirüs indirip kurun ve windows güncelleyin.Hüseyin Cenkut ÖZKAN

İnternetteki Tehlikeler

admin — Sat, 13 Jun 2009 11:46:05 +0000

Online Bankacılık ve Tehlikeler

Internet ortamında kesinlikle bankacılık sistemi e-posta ile bilgi güncelleme, geri ödeme, hediye, çekiliş, kontor kazandınız gibi mesajlarla size ulaşmaz.Son zamanlarıda etrafımızdan bolca duyuyoruz.Hatta güncel konular üzerine çalışıp insanları kandırmaya çalışıyorlar.Bunlardan en son duyduğum “kredi kartı aidatı ödemenizi geri ödeyecez” deyip kartsız işlem yapan bankamatikler aracılığıyla kurbanın parasını çalabilmektedir.
İnternet Bankacılığında Nelere Dikkat Etmelisiniz ?

1- Kendi bilgisayarınız dışında farklı bir bilgisayardan giriş yapmayın ve bankacılık işlemleri yaptığınız bilgisayarınıza MSN, Mirc, Chat programları, P2P dosya paylaşım programları gibi yazılımlar kullanılmaması iyi olur.

2-Online bankcılığı kullandığınız bankanın adresine girerken dikkat edin.Örneğin http://www.Xbank.com.tr dir fakat siz girdiğiniz adres onlineislem.xbank.com yada banka.xbanka.com gibi farklı adreslere yönlendirilebilirsiniz. O yüzden internet sayfalarının adreslerine dikkat edin.

3-Önemli güvenlik önlemlerinden biside e-imza dır.Henüz yaygınlaşmamış olan bu uygulama ile ceptelefonunuza özel bir şifre gelir.Şuan için bunu mesaj olarak kullanmaktadır bankalar bence önemli bir güvenlik önlemidir.Hem girişte mesaj gelir hemde havale eft yapıldığı zaman mesaj ile şifre gönderilip siteye girilmesi beklenir.En önemli güvenlik önlemi budur.O yüzden bankacılık sistemi açtırırken böyle bir güvenlik önlemi talep ediniz.

4-Güncel antivirüs programı edinin kesinlikle ücretsiz antivirüs programlarına güvenmeyin. Lisanslı güvenilir bir antivirüs satın alın ve işletim sisteminizi sürekli güncel tutun.Hatta haftalık olarak Kritik Güncelleştirmeleri mutlaka yapın.Eğer güvenlik istiyorsanız mutlaka kullandığınız yazılımlar lisanslı olmalıdır.

5-Güvenlik zaafiyetini aza indirgemek için online virüs tarama siteleri var hemen hemen bütün antivirüs üreticilerinin web sayfalarında bilgisayarınızı tarattırabilirsiniz.Bunu belirli periyotlarda tarattıp antivirüs programınızı test etmiş olabilirsiniz.

6-E-Posta adreslerinize kesinlikle ekstre haricinde mesaj gelmez ve adres güncelleme şifre gibi mesajlar gönderilmez.Genellikle cep telefonunuza gelir.

7-Chat,MSN gibi konuşma ve iletişim araçlarını kullanırken birileriyle tanışırken veya tanıdığınız kişilerle görüşürken kesinlikle kişisel bilglerinizi paylaşmayınız.Doğum tarihi, doğum yeri, anne ve baba adları gibi bilgileri paylaşmayınız.

8-Belirli periyotlarda şifrelerinizi değişitirin.Bankacılık haricinden eposta web sayfa blog gibi internet uygulamalarının şifrelerini 30 gün süreyle değiştirin ve harf rakamlardan oluşan büyük ve kücük harflerle komplike bir şifre üretiniz.

“Her ne kadar son teknoloji bilgi güvenliği sağlayabilseniz bile insan unsuru her zaman en büyük zaaftır.Yanlışlıkla kişisel bilgileriniz 3. şahıslarla kaptırabilirsiniz.”

Hüseyin Cenkut ÖZKAN

Dosyalara Online Virüs Taraması

admin — Sat, 13 Jun 2009 11:43:59 +0000

Online Virüs Taraması

İnternetten indirdiğiniz yazılımları antivirüs programınız temiz olarak gösterebilir. Fakat imzası değiştirilmiş exe çalışan programlarda virüs bulaşma olasılığı epey yüksektir.Bu tip programları online virüs tarama sitelerinden taratabilirsiniz.Bunlardan en başarılı olanı www.virscan.org sitesidir.Bu site gönderdiğiniz dosyayı 38 farklı antivirüs yazılımı veri tabanında arattırır.

http://virscan.org/

Yeni Virüsler

admin — Sat, 13 Jun 2009 11:42:54 +0000

Yeni Virüsleri Anlamak ?

Yeni Virüsleri Anlamak Çok Önemli

Standart antivirüs yazılımları yeni virüsleri yakalayamamakta ve buda kullanıcılar tarafından “bu antivirüs yazılımı işe yaramıyor.Basit bir spyware bile bir sürü virüs temizliyor” gibi yorumlar geliyor. Antivirüsler kendi veritabanlarında dosya imzalarını kontrol eder veya bir exe şüpheli olarak sistemde yayılmaya başlıyorsa bu tip dosyaları da şüpheli olarak görür ve merkeze bildirir incelemeye alınır eğer başka bilgisayarlarda aynı imzada bir virüs yayılım sağlıyorsa veritabanına kaydolur. İmzası değiştirilmiş veya yeniden yazılmış virüsleri bulamazlar. Bu sorun uzun yıllardan bu yana vardı.Şuan gelinen noktada bu soruna Windows işletim sisteminin açıkları dahada yayılmasını arttırmaktadır.Son dönem internet explorer üzerinde çıkan bir açık yüzünden yüzlerce versiyon virüs bu açığı kullanarak masum kullanıcıların bilgisayarlarına virüsü bulaştırmıştır. Bunu gören antivirüs firmaları artık yeni boyutlara geçtiler bunlardan en önemlisi sistem altında çalışan windows update kontrol etmek oldu.Eğer windows update kapalı yada güncel değilse antivirüs yazılımı tam koruma sağlayamadığını söyleyerek sürekli uyarıyor. Aslında uzun zaman önce yapılması gereken bir konuydu.Yani sonuçta tam bir güvenlik sağlayamıyorsanız eğer antivirüs isterse son güncel olsun ve en güvenilir yazılım olsun açıklar yüzünden onu bile atlatıyorlar hatta kitleyip kapatıyor.

Yeni Virüslerden Korunmak için dikkat edilmesi gereken önemli hususlar

1- Windows Güncelleyeceksiniz.Tabii bunun için lisanslı Windows kullanmanız gerekiyor.
2- Anti Virüs programınız virüs veritabanın güncelliği haricinde birde versiyon güncelliği önemli bunu sıklıkla kontrol edin.Lisanslı Anti Virüs kullanınız.
3- Online Virüs Tarama sitelerinde bilgisayarınızı taratın.
4- İnternetten indirdiğiniz şüpheli dosyaları önce internet üzerinden taratın ondan sonra tıklayın.Bu süpheli dosyalar resim, video, müzik olabilir siz yinede bir taramadan geçirin.Şunu hiç unutmayın crack yapara kurduğunuz bir yazılımın crack’ini kimse size karşılıksız vermez.İnternetteki Crack, Patch ve Keygenlerin %90 nında imzası değiştirilmiş virüsler cıkmaktadır.
5- *Sistem Konfigrasyonunda ki Başlangıç Sekmesini kontrol edin.Sizin tarafınızdan kurulmayan bir yazılım veya registery veya exe görürseniz yanındaki işareti kaldırın ve dosyanın ismini *Kayıt Defterinde arayarak bulduğu sonuçları silin.

*Sistem Konfigrasyonuna ulaşmak için Çalıştır’a msconfig yazıp tamamı tıklayınız.
* Kayıt defterine ulaşmak için Çalıştır’a regedit yazıp tamamı tıklayınız.
H. Cenkut ÖZKAN

Backdoor Agent Abgg Virüsü Temizleme

admin — Sat, 13 Jun 2009 11:41:52 +0000

Backdoor.Win32.Agent.abgg – Virüsü

Girdiğiniz bir web sayfası üzerinden çalışan php dosyası sistem altında çalışan svchost.exe sızarak bilgisayarınıza bir EXE yükler.

Bu svchost.exe sızmalarını bu dosyanın içinde log eder. %WinDir%\wiaserviv.log

Çalıştıktan sonra Windows Sistem klasörünün altına “digeste.dll” ekler.

Registery üzerinde ise [HKLM\System\CurrentControlSet\Control\SecurityProviders] “SecurityProviders” = “digeste.dll”

TEMİZLEMEK İÇİN

1.Virüsü ilk yüklediği dosyayı silin … %System%\digeste.dll

2. Virüsün oluşturduğu log dosyasını silin: %WinDir%\wiaserviv.log

3. Registery altındaki anahtarı temizleyin : [HKLM\System\CurrentControlSet\Control\SecurityProviders]
“SecurityProviders” = “digeste.dll”

Bu işlemlerden sonra mutlaka güncel bir antivirüs programı kullanın.

H.Cenkut ÖZKAN

Net Worm Kido Virüsü Temizleme

admin — Sat, 13 Jun 2009 11:40:48 +0000

Net-Worm.Win32.Kido.ih – Virüsü
Yeni tehlike ağ üzerinde ki tüm disklere bulaşan Net-Worm.Win32.Kido virüsü epey tehlikeli.Özelliği ise TCP Portlarını tarayan bu virüs bulaştığı bilgisayarın bağlı olduğu ağdaki diğer bilgisayarlarda bulaşmaktadır.Kullandığı güvenlik açığı sayesinde buffer overrun saldırısı yaparak exe bilgisayara yüklemektedir.Bu güvenlik açığını kapatmak için MS08-67 güncellemesi yüklenmelidir.Aynı zaman bulaştığı bilgisayarlardaki USB Disklere kendini kopyalamaktadır.

Oluşturduğu Klasörler

%System%\dir.dll
%Program Files%\Internet Explorer\.dll
%Program Files%\Movie Maker\.dll
%All Users Application Data%\.dll
%Temp%\.dll
%System%\tmp
%Temp%\.tmp

Registery Eklediği Anahtarlar

[HKLM\SYSTEM\CurrentControlSet\Services\netsvcs]

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost]
“netsvcs” = “ %System%\.dll”

TEMİZLEMEK İÇİN

Registery eklediği anahtarı silin (bkz : Registery Açmak için Calıştır’a regedit yazın)

[HKLM\SYSTEM\CurrentControlSet\Services\netsvcs] Sistem Registery’sinin içinde bulunan “%System%\.dll” anahtarı silin.
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost] “netsvcs”Bilgisayarı Yeniden Başlatın.
Ağınızdaki tüm bilgisayarlarda aynı anda yapın.
Aşağıdaki dosyalardaki virüsleri silin:
%System%\<örnek>dir.dll %Program Files%\Internet Explorer\<örnek>.dll %Program Files%\Movie Maker\<örnek>.dll %All Users Application Data%\<örnek>.dll %Temp%\<örnek>.dll %System%\<örnek>tmp %Temp%\<örnek>.tmp<örnek> her bilgisayar göre farklılık gösterir.

USB Disklerde ki virüsleri silin veya biçimlendirin :
:\autorun.inf :\RECYCLER\S-<%d%>-<%d%>-%d%>-%d%>-%d%>-%d%>-%d%>\<örnek>.vmx, Ve Son olarak Microsoft MS08-67 Güncellemesini mutlaka yükleyin:
http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx

H. Cenkut ÖZKAN

VBS Autorun Virüsü Temizleme

admin — Sat, 13 Jun 2009 11:39:31 +0000

VBS/Autorun.worm.zo
2009 yılının yeni virüslerinde olan Autorun.Worm.Zo virüsü bilgisayarınıza web siteleri üzerinden bulaşır.Genel olarak exploit ve scriptleri kullanarak zararlı sitelerden bulaşır.
Autorun.Worm.Zo virüsünün kendini kopyaladığı dosyalar ;
%UserProfile%\Local Settings\Temp\[Herhangi bir isim].tmp (%UserProfile% = C:\Documents and Settings\[KULLANICIADINIZ] klasörünü ifade eder)
%UserProfile%\Local Settings\Temp\auto.exe (%UserProfile% = C:\Documents and Settings\[KULLANICIADINIZ] klasörünü ifade eder)
%UserProfile%\Local Settings\Temp\Yuyun.Q (%UserProfile% = C:\Documents and Settings\[KULLANICIADINIZ] klasörünü ifade eder)

Kopyaladığı dosyalardan bazıları
%UserProfile%\My Documents\database.mdb (%UserProfile% = C:\Documents and Settings\[KULLANICIADINIZ] klasörünü ifade eder)
%Windir%\:Microsoft Office Update for Windows XP.sys (%WinDir% = C:\Windows klasörünü ifade eder)
%UserProfile%\Local Settings\Temp\v.doc (%UserProfile% = C:\Documents and Settings\[KULLANICIADINIZ] klasörünü ifade eder)

KAYIT DEFTERİ’ne aşağıdaki kayıtları ekler;

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run “Explorer” = “Wscript.exe //e:VBScript
“%UserProfile%\My Documents\database.mdb”"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run “WinUpdate” = “Wscript.exe //e:VBScript
“%Windir%\:Microsoft Office Update for Windows XP.sys”" HKEY_CURRENT_USER\Software

Aynı zaman da birçok klasöre ve diske thumb.db isimli dosyayı kopyalar.Aşağıda listesi bulunan kısayolları dosyaların içine ekler.
Microsoft.lnk
New Harry Potter and….lnk
New Folder.lnk
SuratQ.lnk
Rahasia.lnk
Game.lnk
Zvnita.lnk
Download.lnk
DataQ.lnk
[altdizin ismi].lnk

Dökümanları dosyalarının bulunduğu klasöre ve klasörlere aşağıdakileri kopyalar;

Baca AQ.rtf
My name is Yuyun.rtf

Kurtulmak için Regedit’teki kayıtlarını silin ve gpedit.msc üzerinden Autorun Kapatınız, msconfig üzerinden bilgisayar başlangıçında bilmediğiniz yazılımları kaldırınız …

Generic Fake Alert Virüsü Temizleme

admin — Sat, 13 Jun 2009 11:38:10 +0000

Aslında bu virüs çok yaygın olarak bilinen ve çok benzeri olan ANTİVİRÜS 2008-2009 veya SPYSHERİFF isimleriyle bilgisayarınıza sessizce kurulan ve kendini bir Demo AntiVirüs-Spy yazılım olarak gösteren ve sürekli size virüs uyarısı yapıp silmek için yazılımı satın almanızı isteyen bu virüs aslında çok iyi kurgulanmış bir Sosyal Mühendislik örneğidir.Bu virüs size önerdiği yazılımı satınalma durumunuzda ise kredi kartı bilgilerini çalma amaçı içindedir.O kadar uğraşılmışki sahte MAVİ ekran verebilir bilgisayarınız yeniden başlatılıyor bekleyin ekranları gelebilir ama genel olarak hepsi sahtedir.

Örnek Ekran Görüntüsü

KAYIT DEFTERİNE’ girdiği kayıtlar (Registery- Regedit) (bkz: Çalıştır’a Regedit yazın)

HKEY_LOCAL_MACHINE\SOFTWARE\Antivirus\VerStr: “1.0.2.8″ HKEY_LOCAL_MACHINE\SOFTWARE\Antivirus\VerInt: 0×00000001 HKEY_LOCAL_MACHINE\SOFTWARE\Antivirus\Cnt: “PE” HKEY_LOCAL_MACHINE\SOFTWARE\Antivirus\Lng: “ch” HKEY_LOCAL_MACHINE\SOFTWARE\Antivirus\UnInsAct: 0×00000023 HKEY_LOCAL_MACHINE\SOFTWARE\Antivirus\MAbbr: “ANT” HKEY_LOCAL_MACHINE\SOFTWARE\Antivirus\Type: “exe” HKEY_LOCAL_MACHINE\SOFTWARE\Antivirus\FoundCount: 0×0000002B HKEY_LOCAL_MACHINE\SOFTWARE\Antivirus\FoundInfo HKEY_LOCAL_MACHINE\SOFTWARE\Antivirus\PID: “1AB6B0E7B6E0B7B1E2B1BDE8BCBABFE8BAF6A0F0F0F0F7A7F3A8FDA9AAAAAAA6″ HKEY_LOCAL_MACHINE\SOFTWARE\Antivirus\FirstRun: 0×00000000 HKEY_LOCAL_MACHINE\SOFTWARE\Antivirus\Root: “C:\Program Files\Antivirus 2008″ HKEY_LOCAL_MACHINE\SOFTWARE\Antivirus\ExeFileName: “Antvrs.exe” HKEY_LOCAL_MACHINE\SOFTWARE\Antivirus\TIns HKEY_LOCAL_MACHINE\SOFTWARE\Antivirus\: “AutoStart-done” HKEY_LOCAL_MACHINE\SOFTWARE\Antivirus\aid: “keyin” HKEY_LOCAL_MACHINE\SOFTWARE\Antivirus\affid: “keyin” HKEY_LOCAL_MACHINE\SOFTWARE\Antivirus\lid: “keyin” HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\Antivirus: “C:\Program Files\Antivirus 2008\Antvrs.exe” HKEY_CURRENT_USER\Software\Antivirus\VerStr: “1.0.2.8″ HKEY_CURRENT_USER\Software\Antivirus\VerInt: 0×00000001 HKEY_CURRENT_USER\Software\Antivirus\Cnt: “PE” HKEY_CURRENT_USER\Software\Antivirus\Lng: “ch” HKEY_CURRENT_USER\Software\Antivirus\UnInsAct: 0×00000023 HKEY_CURRENT_USER\Software\Antivirus\MAbbr: “ANT” HKEY_CURRENT_USER\Software\Antivirus\Type: “exe” HKEY_CURRENT_USER\Software\Antivirus\FoundCount: 0×0000002B HKEY_CURRENT_USER\Software\Antivirus\FoundInfo HKEY_CURRENT_USER\Software\Antivirus\PID: “1AB6B0E7B6E0B7B1E2B1BDE8BCBABFE8BAF6A0F0F0F0F7A7F3A8FDA9AAAAAAA6″ HKEY_CURRENT_USER\Software\Antivirus\FirstRun: 0×00000000 HKEY_CURRENT_USER\Software\Antivirus\Root: “C:\Program Files\Antivirus 2008″ HKEY_CURRENT_USER\Software\Antivirus\ExeFileName: “Antvrs.exe” HKEY_CURRENT_USER\Software\Antivirus\TIns HKEY_CURRENT_USER\Software\Antivirus\: “AutoStart-done” HKEY_CURRENT_USER\Software\Antivirus\aid: “keyin” HKEY_CURRENT_USER\Software\Antivirus\affid: “keyin” HKEY_CURRENT_USER\Software\Antivirus\lid: “keyin”

Bilgisayarınıza eklediği Dosyalar (%DOCSETTINGS% : Documents And Setting , %PROGRAMFILES%: Program Files klasörünü ifade etmektedir.)
%DOCSETTINGS%\Start Menu\Antivirus\Antivirus 2008.lnk
%DOCSETTINGS%\Start Menu\Antivirus\Uninstall Antivirus.lnk
%PROGRAMFILES%\Antivirus 2008\Antvrs.exe

Birçok antivirüs yazılımı tarafında tespit edilmesine rağmen bulaştığı sisteme Güvenlik Mod’da antivirüs kurulumu ile çözüm bulunabilir.Tüm tarama ve temizleme işlemlerinizi Güvenlik Mod’da yapabilirsiniz

BackDoor-DNM Virüsü Temizleme

admin — Sat, 13 Jun 2009 11:34:51 +0000

BackDoor-DNM Virüsü

Genel olarak IRC Chat, P2P Limewire ve BearShare gibi Yazılımlar, Posta Grupları ve E-Postalar aracılığıyla bulaşır.BackDoor-DNM Trojanı ama bilgisayarını kontrol altına almaktır.
Sistem32 Klasörünün altına “CbEvtSvc.exe” olarak yerleşir.

KAYIT DEFTERİ’ne yaptığı kayıtlar (Registery-Regedit) (bkz: Çalıştır’a regedit yazın )

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\CbEvtSvc HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\CbEvtSvc\Enum HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\CbEvtSvc\Security HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CBEVTSVC “NextInstance” HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CBEVTSVC\0000 “Class”
Data: LegacyDriver HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CBEVTSVC\0000 “ClassGUID”
Data: {8ECC055D-047F-11D1-A537-0000F8753ED1} HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CBEVTSVC\0000 “ConfigFlags” HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CBEVTSVC\0000 “DeviceDesc”
Data: CbEvtSvc HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CBEVTSVC\0000 “Legacy” HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CBEVTSVC\0000 “Service” Data: CbEvtSvc HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CBEVTSVC\0000\Control “*NewlyCreated*” HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CBEVTSVC\0000\Control “ActiveService”
Data: CbEvtSvc HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CbEvtSvc “DisplayName”
Data: CbEvtSvc HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CbEvtSvc “ErrorControl” HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CbEvtSvc “ImagePath”
Data: %SystemRoot%\System32\CbEvtSvc.exe -k netsvcs HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CbEvtSvc “ObjectName” HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CbEvtSvc “Opt” HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CbEvtSvc “Start” HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CbEvtSvc “Type” HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CbEvtSvc\Enum “0″
Data: Root\LEGACY_CBEVTSVC\0000 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CbEvtSvc\Enum “Count” HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CbEvtSvc\Enum “NextInstance” HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet

BackDoor-DNM Bulaştıktan yaklaşık 10-30 dakika arasında aşağıdaki sitelerden Dailer ve Malware tarzı zararlıları bilgisayarınıza bulaştırır.
htxp://digitaltreath.info/a.exe
htxp://207.10.234.217/ldrctl/user/2.exe
htxp://digitaltreath.info/d.exe

BackDoor-DNM Diğer isimleri :

Trojan-Downloader.Win32.Agent.ljx – Trojan-Downloader.Win32.Agent.ljx – Win32/Agent.ETH – WORM_NUCRP.GEN

Hüseyin Cenkut ÖZKAN

PWS-Gamania.gen.a Virüsü Temizleme

admin — Sat, 13 Jun 2009 11:27:09 +0000

PWS-Gamania.gen.a Virüsü
Genel olarak EXE ve DLL’ler üzerinde yayılan bu virüs en büyük özelliği 2007 Ağustosunda NASA bulaşmış olmasıdır.NASA sistemine bulaşan bu virüs ile ilgili iddalar bununla da sınırlı değil, Gamania ‘nın NASA tüm uzay seyahat sisteminde ki tüm cihazları etkilediği söylenenler arasında.Fakat Virüs herhangi bir veri aktarımı yapmadığı için düşük bir güvenlik seviyesinde tutuluyor.

AMACI NEDİR ?
Şifre çalmayı amaçlayan bu virüs aynı zamanda Autorun.inf ile USB Disk’lerde kendini kopyalamaktadır.Böylece usb disk taktığınız anda Windows Otomatik açma özelliğiyle virüs direk bilgisayarınıza bulaşmaktadır.Autorun Özelliğini kapatma yöntemini görmek için sitemizdeki diğer konulara bakabilirsiniz.(AUTORUN KAPAT!)
tavo0.dll dosyası ile bilgisayarınızda oynadığınız online oyunların Kullanıcı adı ve Şifrelerini Gamania bulaştıran SALDIRGAN’a gönderdiği gelen bilgiler arasındadır.
Gamania Virüsünün kendini kopyaladığı bazı yerler ;

%windir%\system32\tavo.exe
%windir%\system32\tavo0.dll
%temp%\lawb.dll

Gamania Virüsünün farklı varyasyonlarında ise aşağıdaki klasörlerde bulunabilirler
Windows Klasörü : %windir% , Sistem Diski : %systemdrive% isimlendirilmiştir.Direk Çalıştır’a yazdığınızda bu dosyaları görebilirsiniz.
%windir%\system32\tavo.exe
%windir%\system32\tavo1.dll
%windir%\system32\kavo0.exe
%windir%\system32\kavo0.dll
%systemdrive%\l1.com
%systemdrive%\autorun.inf
%windir%\xmg.exe
%windir%\tt.exe
%windir%\rb.exe
%windir%\system32\mmvo.exe
%windir%\system32\mmvo0.dll
%windir%\system32\ckvo.exe
%windir%\system32\ckvo0.dll
Aynı zamanda Registery altına da kendini kopyalayan virüs aşağıdaki Regedit kayıtlarında bulunmaktadır.
HKEY_Current_User\Software\Microsoft\Windows\CurrentVersion\Run “kava”
Data: %windir%\system32\kavo.exe HKEY_Current_User\Software\Microsoft\Windows\CurrentVersion\Run “tava”
Data: %windir%\system32\tavo.exe

Görev yöneticisinde işlem yaptırdığı EXE’ler birkaçı ;

Kav.exe
Rav.exe
Avp.exe
Kavsvc.exe

GAMANİA Virüse AntiVirüs Programlarının Verdiği İsimler ;

PANDA AntiVirüs : Trj/Lineage.BZE
KasperSky AntiVirüs : Trojan.Win32.Vaklik.bkh
Microsoft Security : Trojan:Win32/Meredrop
Symantec Security : W32.Gammima.AG
Sophos AntiVirüs : W32/Autorun-CL

Hüseyin Cenkut ÖZKAN

Microsoft.Bat Virüsü Temizleme (ARP Zehirleyen Virüs)

admin — Sat, 13 Jun 2009 11:19:04 +0000

Microsoft.BAT virüsü ARP zehirleme tekniği üzerine yapılmış yani bilgisayarın modem üzerinden geçerek internette cıkmasını değil virüs üzerinden internette çıkartarak kişisel bilgilerin çalınmasına yol açmaktadır.Bilinen ve Anti Virüslerin Çözüm bulamadığı ilk ARP-Virüsü…

Microsoft.BAT Kimlere Bulaşır ?
*Tüm kişisel bilgisayarlar
*İnternet Kafelere (Deep Freez olsa bile)
*Okulların Bilgisayar Labrotuarlarına
*Orta ölçekli birden fazla bilgisayara sahip şirketlere (Donanımsal Firewall olmayanlara)
*Windows XP SP1-SP2-SP3 kullanıcıları (Aynı Ağ içinde Windows Vista olan Bilgisayaralara müdehale etmez)

Microsoft.BAT Amacı Nedir?
*İnternette kişisel bilgileri çalmak
*Banka, E-Posta gibi şifreleri çalmak bunula beraber kullanıcıya zarar vermek

Microsoft.BAT Nasıl Yayılır ?
*Windows altında kendini çalışan bir servis olarak gösterir
*Autorun ile tüm sabit disk bölümlerine ve flashdisklere bulaşır
*ARP zehirleyerek İnternet Explorer Java Açığından tüm ağ bilgisayarlarına yayılır.

Microsoft.BAT Belirtileri
*İnternet Explorer penceresinde Bitti yerine sayfada hata var mesajı vermesi
*PC’lerde statik ip olsa bile IP çakışması vermesi
*Antivirüs varsa 225.25.65.25 gibi IP adreslerinden veya web sitelerinde trojan saldırısı uyarısı
*30 ila 60 dakika arasında tekrar eder ve böylece bilgisayarların internete ulaşmaları yavaşlar…(Çünkü virüs bilgileri sahibine göndermekle meşguldur)

Microsoft.BAT Kurtulmanın GEÇİCİ yöntemleri
*Anti-Virüs yüklemek (Güncelde olsa)
*Anti-ARP yüklemek
*ADSL WAN IP Dinamik yapmak (Statik IP kullanıyor iseniz değiştirmek)
*Modemi Sıfırlamak*Tüm bilgisayarlardaki ARP dos komutu ile statik yapmak ( arp –s ipno macid )
*Birçok reg,bat ve inf dosyasıyla virüsü durdurmak…

YUKARIDAKİ YÖNTEMLERDE SİZİ YA BİR SAAT YADA 1 GÜN KORUYABİLİR.

Microsoft.BAT Nasıl Kurtuluruz ?
En güzel çözüm hiçbir yedek almadan direk **FDİSK yaparak tüm bilgileri silmek ve internette bağlanmadan Flashdisk takmadan güvenilir CDler ile sistem kurmak gerekiyor… Tabii bir hafta sonra bulaşmaz diye garanti vermiyoruz.Ama en yakın zamanda AntiVirüsler bu derde bir çözüm bulacaklardır.

**FSDİK ATTIĞI HALDE VİRÜSTEN KURTULAMAYANLARA SÖYLEYELİM VİRÜS AUTORUNDA YAYILIYOR.FDİSK YADA LOWLEVEL FORMATLASANIZDA KULLANDIĞINI USBDİSKLERDE YADA KURDUĞUNUZ PROGRAMLARIN VARSA CRACKLARINDA VİRÜS VARSA BU SORUNLAR TEKRARLIYOR..

İNTERNET KAFE İŞLETEN ARKADAŞLARA ÖNEMLİ UYARI

1-BİLGİSAYARLARINIZI AĞ BAĞLANTISINI KESİN
2-KOMPLE TEMİZ OTOMOTİK OLMAYAN BİR XP CD DEN KURULUM YAPIN.TEMİZ OLDUĞUNDAN EMİN OLUNCA HARDİSK KOPYALAMA İLE DİĞER BİLGİSAYARLARINIZA SİSTEMLERİ KLONLAYABİLİRSİNİZ.
3-ESET SYSRESCUE BOOTABLE SCANNER CD TAKIN
TARAMAYI BAŞLATIN TEK TEK TARATIN.
4- YİNE AĞ BAĞLANTISI KAPALI KALSIN.
5-TURK TELEKOMA BAŞVURUP SABİT İPNİZİ DEĞİŞTİRİN.
6-İNTERNETE BAĞLANIN.
BU VİRÜSTEN BU YÖNTEMLERLE 15 PC BİR İNTERNET KAFE KURTULDU.KESİN ÇÖZÜMDÜR. YİNEDE KURTULAMADIYSANIZ BENİM İRTİBATA GEÇİNİZ.

E-POSTA: cenkut@gmail.com

MSN: cenkut@cnk.gen.tr

Hüseyin Cenkut ÖZKAN

Alman.NAB Virüsü Temizleme

admin — Sat, 13 Jun 2009 11:15:26 +0000

Birçok Antivirüs bu virüsleri buluyor fakat silemiyor. Bu virüslerden bazıları JambanMu, Alman yada Almanahe …
İşte belirtiler:
1-C:sürücüsü içinde HELP ME!!.html isimli bir dosya var. Dosyayı açtığınızda başlıkta W32.JambanMy.V2 yazıyor, mesaj başlığı ise MESSEGE FROM HELL!! ve içeriğinde ise şunlar yazıyor: It insults and complain about KFC, McDONALD, 7 11, oil, water, electricity, azam, zawawi, kamal, dzulkifli, israel, bush and yahudi. At the bottom, it has a line that says “Reported by 666.JambanMu.V2″ JambanMu, Alman yada Almanahe Virus nasil temizlenir
2. Registry Editörü kapalı. Muhtemelen şu mesajla karşılaşacaksınız: Registry Editing has been disabled by your administrator
3. Komut satırı (cmd) kapalı. Muhtemelen şu mesajla karşılaşacaksınız: Command prompt has been disabled by your administrator
4. Görev yöneticisinde şu programları görebilirsiniz: Flash.10.exe ve Macromedia.10.exe (Windows Task Manager)
5. Bir klasörün içindeyken Araçlar menüsünden klasör seçeneklerini değiştiremezsiniz. Restore Folder Options
6. Başlat menüsünden ara komutunu seçemezsiniz.
7. Bilinen bir çok antivirüs sitesini ziyaret edemezsiniz. Bu virüsler sisteminize usb belleğinizden bulaşmış olabilir. Öncelikle usb belleğinizi temizlemeye çalışın. USB bellek autorun olarak çalıştırmayın. sağ tuşla tıklayın ve aç seçin. içinde autorun dosyası varsa açın. İçinde Flash.10.Setup.Exe diye bir satır varsa virüs kesin buradan bulaşıyor. dosyayı silin.

Şimdi bu virüsleri yok edebileceğiniz programlara ait linkeri veriyorum. İlk ikisi registry den bu virüslere ait dosyaları çıkarıyor.

Download ComboFix Download SDFix

Registry temizlendikten sonra alttaki ikisi ise virüsleri sisteminizden temizliyor.
AVG Alman Nab Remover Download KillFlash1.0

Hüseyin Cenkut ÖZKAN

Malwarebytes’ Anti-Malware

admin — Sat, 13 Jun 2009 11:13:53 +0000

Malwarebytes’ Anti-Malware

Malwarebytes’ Anti-Malware yazılımı beta sürümündeki başarısından sonra geliştirilerek kullanıcılara sunuldu. Ufak boyutuna rağmen veritabanındaki zararlı yazılımları silmesi gözden kaçmıyor. Yeni sürümüyle beraber Vista işletim sistemindede kullanılabilirlik kazandırıldı.Malwarebytes’ Anti-Malware ile veritabanınıza bulaşmış virus,worms,trojans,rootkits,dialers vs.gibi zararlı yazılımları silebilirsiniz. Beta yazılımında eksiklik olarak görülen Karantina özelliği şimdi daha kullanılabilir durumda ;ama diğer yazılımlara göre çok gelişmişlik gösterebilecek boyutta değil.
Aslında bu yazılım bilgisayarınızda standart olarak kullandığınız antivirüs programının yanı sıra worm ve trojan tarzı sürekli yeni varyasyonları cıkan zararlılara karşı bir çözümdür.Bu yazılım NOD32, Kaspersky gibi antivirüs yazılımlarının bulamadığı birçok zararlı varyasyonları temizler.Dialers ve Ad’ler için ise ücretsiz olan SpyBots yazılımını önerebilirim.

Örneğin bilgisayarınızda antivirüs yazılımı olduğu halde bilgisayarınız gereğinden fazla ağır çalışıyorsa veya internete gezmediğiniz halde Ağ bağlantılarınızda gelen giden paketler arttığında bilinki bilgisayarınızda kullandığınız antivirüs yazılımınızda yakalayamadığı virüsler var… Malwarebytes’ Anti-Malware : CNET üzerinden indirmek için tıklayınız.

SpyBots Search & Destroy : CNET üzerinden indirmek için tıklayınız.

H. Cenkut ÖZKAN

MSN Üzerinden Gelen Virüsü Temizleme

admin — Sat, 13 Jun 2009 11:11:55 +0000

MSN kullanıcılarını hedefleyen virüs hızla yayılıyor. Bulaştığı sistemde, tüm MSN kontaklarına kendisini yaymaya yönelik
mesajlar gönderiyor.

Messenger listesindeki kişilerden gelen transfer aslında
dosya değil, bir İnternet linki. Çoğunlukla gelen link ve dosyalar “pif”
ve “scr” uzantılı oluyor.Yeni virüs tanım dosyalarında bu virüs,
Serflog.A, Kelvir.B, Fatso.A vb. isimlerle tespit ediliyor.

Virüsün bilgisayara bulaşmaması için bu
linke tıklanmaması, eğer tıklanmışsa dosyanın çalıştırılmaması
gerekiyor.
Temizleme Yöntemi
Antivirüs yazılımları
güncellenmeden virüs bulaşan PC’lerde artık otomatik güncelleme özelliği
çalışmayacağından, virüsün elle silinmesi gerekiyor. Eğer İnternet’ten bir
temizleme programı indirilip kullanılacaksa, MSN Messenger programının
çalışmadığına emin olunmalı.

Elle temizlemede izlenecek
yöntemler ise şunlar:

1. Bilgisayarınızı restart edip güvenli kipte açın (Açılış anında
tuşuna basarak güvenli kipi seçebilirsiniz.)
2. Başlat menüsünden “çalıştır” (run) sekmesini tıklayıp açılan pencereye
“regedit” yazarak enter’a basın.
3. Regedit programı içinde aşağıdaki alt anahtarları inceleyin ve bunlar
içinde virüsle ilgili eklenmiş yeni kayıtları silin:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
HKEY_CURRENT_USER\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
Yukarıdaki kayıtlar içinde “serpe”, “avnort”, “ltwob” gibi tanımlar var ise
sisteminiz virüsten etkilenmiş ve her açılışta kendisini tekrar çalıştırıyor
demektir. Bu tanımları silin.

4. “Bilgisayarım”ı açtıktan sonra
“araçlar”dan dizin seçenekleri menüsünü açın ve görüntü bölümündeki “gizli
dosyaları göster” seçeneğini seçin ve bilinen dosya tipleri için dosya
uzantısını gösterme seçeneğindeki işareti kaldırın. Böylelikle virüs’ün sistem
içinde gizli dosya olarak kopyalanmış türevlerini görebileceksiniz.

5. Aşağıdaki dizinlerde isimleri verilen dosyaları
bilgisayarınızdan silin.
C:\windows\system32\formatsys.exe
C:\windows\system32\serbw.exe
C:\windows\msmbw.exe
C:\Crazy frog
gets killed by train!.pif
C:\Annoying crazy frog getting killed.pif
C:\See my lesbian friends.pif
C:\LOL that ur pic!.pif
C:\My new
photo!.pif
C:\Me on holiday!.pif
C:\The Cat And The Fan piccy.pif
C:\How a Blonde Eats a Banana…pif
C:\Mona Lisa Wants Her Smile
Back.pif
C:\Topless in Mini Skirt! lol.pif
C:\Fat Elvis! lol.pif
C:\Jennifer Lopez.scr
C:\lspt.exe
C:\Documents and
Settings\\Local Settings\Application Data\Microsoft\CD
Burning\autorun.exe
C:\British National Party.jpg
C:\Crazy-Frog.Html
C:\Message to n00b LARISSA.txt

6.
C:\Windows\System32\Drivers\etc altındaki hosts dosyasını edit edin ve
64.233.167.104 veya benzeri IP adresleri için yeni tanımlanmış adres bilgilerini
silin.
Örnek içerik:
64.233.167.104 www.symantec.com
64.233.167.104
www.sophos.com
64.233.167.104 www.mcafee.com
64.233.167.104
www.viruslist.com
64.233.167.104 www.f-secure.com
64.233.167.104
www.avp.com
64.233.167.104 www.kaspersky.com

Bu vb. antivirüs
üreticilerinin adreslerini içeren satırların tümünü silin. Böylelikle antivirüs
yazılımınız yeni güncellemeleri indirebilir hale gelecektir.
Yukarıdaki
işlemlerden sonra bilgisayarınızı yeniden başlatıp antivirüs yazılımını
İnternet’e bağlanarak güncelleyin ve gözden kaçmış kalıntılar olabileceğini
düşünerek bilgisayarınızı virüs taramasından geçirin.

Etkilenen
SistemlerWindows 95, 98, ME, NT, 2000, XP
*Yukarıdaki Yazı alıntıdır.
*ÖNEMLİ NOT: MSN adresinize değil bilgisayarınıza bulaşır.MSN adresinize gönderilen bir mail yoluyla Hotmail hesabınız kitlenebilir.Ama bu virüs bilgisayar üzerindeki kayıtlı veya bulaştığı anda açık olan MSN adresleri üzerinden mesaj göndermektedir.MSN üzerinden mesaj göndererek web sayfası reklamı yapan veya yönlendirdiği web sayfasından virüs bulaştıran REKLAM BOT’lar veya mesaj içeriğinde dosya göndererek kullanıcıdan kullanıcıya yayılan virüs-trojanler mevcut.Şuan bunlardan kurtulmanın en kolay yolu güncel bir antivirüs kurmak.Ama Sisteme komple yayıldıysa yukarıdaki regedit ayarları ile kurtulmakta mümkün.
Unutmayın MSN’de tanıdığınız yada tanımadığınız kişilerden gelen web sayfası adresleri veya dosya gönderme talepleri için gönderen ile görüşmeden bir işlem yapmayınız.

H. Cenkut ÖZKAN