cenkut blog
virus worm spy anti-virus labs
-
Jun13
Backdoor Agent Abgg Virüsü Temizleme
Kategori: Virüsler; Etiketler: backdoor agent abgg virüsü, backdoor agent virüsü temizleme, backdoor virüsü temizleme, svhost virüsü temizleme, virüsYorum YokBackdoor.Win32.Agent.abgg – Virüsü
Girdiğiniz bir web sayfası üzerinden çalışan php dosyası sistem altında çalışan svchost.exe sızarak bilgisayarınıza bir EXE yükler.
Bu svchost.exe sızmalarını bu dosyanın içinde log eder. %WinDir%\wiaserviv.log
Çalıştıktan sonra Windows Sistem klasörünün altına “digeste.dll” ekler.
Registery üzerinde ise [HKLM\System\CurrentControlSet\Control\SecurityProviders] “SecurityProviders” = “digeste.dll”
TEMİZLEMEK İÇİN
1.Virüsü ilk yüklediği dosyayı silin … %System%\digeste.dll
2. Virüsün oluşturduğu log dosyasını silin: %WinDir%\wiaserviv.log
3. Registery altındaki anahtarı temizleyin : [HKLM\System\CurrentControlSet\Control\SecurityProviders]
“SecurityProviders” = “digeste.dll”Bu işlemlerden sonra mutlaka güncel bir antivirüs programı kullanın.
H.Cenkut ÖZKAN
-
Jun13
BackDoor-DNM Virüsü Temizleme
Kategori: Virüsler; Etiketler: backdoor virüsü, backdoor virüsü temizleme, cbevtsvc.exe virüsü, virüsü temizlemeYorum YokBackDoor-DNM Virüsü
Genel olarak IRC Chat, P2P Limewire ve BearShare gibi Yazılımlar, Posta Grupları ve E-Postalar aracılığıyla bulaşır.BackDoor-DNM Trojanı ama bilgisayarını kontrol altına almaktır.
Sistem32 Klasörünün altına “CbEvtSvc.exe” olarak yerleşir.KAYIT DEFTERİ’ne yaptığı kayıtlar (Registery-Regedit) (bkz: Çalıştır’a regedit yazın )
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\CbEvtSvc HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\CbEvtSvc\Enum HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\CbEvtSvc\Security HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CBEVTSVC “NextInstance” HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CBEVTSVC\0000 “Class”
Data: LegacyDriver HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CBEVTSVC\0000 “ClassGUID”
Data: {8ECC055D-047F-11D1-A537-0000F8753ED1} HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CBEVTSVC\0000 “ConfigFlags” HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CBEVTSVC\0000 “DeviceDesc”
Data: CbEvtSvc HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CBEVTSVC\0000 “Legacy” HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CBEVTSVC\0000 “Service” Data: CbEvtSvc HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CBEVTSVC\0000\Control “*NewlyCreated*” HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CBEVTSVC\0000\Control “ActiveService”
Data: CbEvtSvc HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CbEvtSvc “DisplayName”
Data: CbEvtSvc HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CbEvtSvc “ErrorControl” HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CbEvtSvc “ImagePath”
Data: %SystemRoot%\System32\CbEvtSvc.exe -k netsvcs HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CbEvtSvc “ObjectName” HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CbEvtSvc “Opt” HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CbEvtSvc “Start” HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CbEvtSvc “Type” HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CbEvtSvc\Enum “0″
Data: Root\LEGACY_CBEVTSVC\0000 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CbEvtSvc\Enum “Count” HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CbEvtSvc\Enum “NextInstance” HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSetBackDoor-DNM Bulaştıktan yaklaşık 10-30 dakika arasında aşağıdaki sitelerden Dailer ve Malware tarzı zararlıları bilgisayarınıza bulaştırır.
htxp://digitaltreath.info/a.exe
htxp://207.10.234.217/ldrctl/user/2.exe
htxp://digitaltreath.info/d.exeBackDoor-DNM Diğer isimleri :
Trojan-Downloader.Win32.Agent.ljx – Trojan-Downloader.Win32.Agent.ljx – Win32/Agent.ETH – WORM_NUCRP.GEN
Hüseyin Cenkut ÖZKAN