cenkut blog

Backdoor virüslerinin vazgeçilmez unsuru olan rootkitler virüslerin önemli bölümlerinden biridir.Symantec tespit ettiği GrayBird Rootkit şuana kadar Çin meşeiyli 99 , İngiltere meşeiyli 2 , Brezilya 1 ve Almanya’da 1 farklı virüste tespit edilmiştir.
Devamını oku »

Rusya menşeiyli bu virüs bulaştığı bilgisayarda sistem açığı oluşturarak bilgisayarınıza dışardan bağlanılımasını sağlamaktadır.

Devamını oku »

Sober Virüsü E-posta eklentisi yoluyla yayılmaktadır.Visual Basic yazılan ve UPX ile paketlenen bu virüs 56 KB boyutlarındadır.

Devamını oku »

Netsky bilgisayarınızda kayıtlı e-posta adreslerine kendini gönderir.Pif veya Zip Uzantılı olarak ekli dosya gönderen virüs ağ içinde de yayılmasını sürdürür.

Devamını oku »

Bulaştığı bilgisayardaki Outlook varsa kendini otomatik olarak tüm eposta adreslerini gönderir.Çoğalma işlemini bu şekilde başlatır.Zip,Rar veya pif dosyası şeklinde eposta ekli dosya olarak gelir. Açmaya çalıştığınız zaman virüslü dosya olarak görür.

Devamını oku »

1. Eğer ağ bağlantınız veya internet bağlantınız varsa bağlantılarınızı kapatın.Dosya paylaşımlarınızı ister kapatın ister şifre korumalı hale getirin yada sadece Okuma özelliğinde bırakın.Çünkü bu Xrupter virüsü temizleyebilmek için paylaşılan klasörleri ve ağdaki bağlantılarını kapatınız.

2.Bilgisayarınıza Xrupter Removal Tool indirin (fixXrupter.exe)

3.Xrupter virüsünü temizlemek için FixXrupter.exe tıklayıp çalıştırın.

4.Kesin temizlik için Güvenlik Modda bilgisayarınızı açınız.

5.Tüm sabit diskinizi taratın ve virüs temizlendiğinden emin olun.

6.Xrupter virüsü sistem geri yüklemesini kapatıyor ve engelliyor. Eğer virüs silindiyse sistem geri yükleme tekrar aktif hale gelir.

7.Windows’unuzu Güncelleyin ve Güncel bir antivirüs programı yükleyin.

Peki FixXrupter.exe Neler Yapıyor ?

• Tüm Dosyaları tarar.
• Virüsleri Siler.
• Bulaşığı dosyaları temizler.
• Görev yöneticisinde çalışan zararlıları kapatır.
• Kayıt defterine eklenen virüslü kayıtları siler.

W32 Virut Virüs Temizlemek için aşağıdaki removal tool indirip tarama yapabilirsiniz.

W32 Virut Virüs Temizleme Removal Tool indirin.

W32 Elkern Virüsü Temizleme için aşağıdaki removal tool indirip bilgisayarınızı DOS modunda açın.

DOS Komutları

rmelkern.exe C:\ (enter)

bu komutun sonunda ki C yerinde diğer hardisk parçalarını yazarak taratabilirsiniz.

W32 Elkern Virüsü Temizleme (Removal Tool)

Bilgisayarınıza Downadup yada Conficker virüsü olduğundan şüpheleniyorsunuz ?

hemen AVG Conficker Remover indirip tarama yapın.Virüsü temizleyin.Bilgisayarınız birkaç defa açıp kapatıp tarama işlemini uygulayın eğer tarama yapamazsanız güvenlik kipte çalıştırıp tarama yapmayı deneyiniz. Conficker removal tool ile conficker virüsünden kurtulabilirisiniz.Ama kesin çözüm Windows Update yapmaktır.Mutlaka Windows güncell tutunuz..

Conficker Removal Tool

Hüseyin Cenkut ÖZKAN

Online Virüs Taraması

Net-Worm.Win32.Kido.ih – Virüsü
Yeni tehlike ağ üzerinde ki tüm disklere bulaşan Net-Worm.Win32.Kido virüsü epey tehlikeli.Özelliği ise TCP Portlarını tarayan bu virüs bulaştığı bilgisayarın bağlı olduğu ağdaki diğer bilgisayarlarda bulaşmaktadır.Kullandığı güvenlik açığı sayesinde buffer overrun saldırısı yaparak exe bilgisayara yüklemektedir.Bu güvenlik açığını kapatmak için MS08-67 güncellemesi yüklenmelidir.Aynı zaman bulaştığı bilgisayarlardaki USB Disklere kendini kopyalamaktadır.

Oluşturduğu Klasörler

%System%\<rnd>dir.dll
%Program Files%\Internet Explorer\<rnd>.dll
%Program Files%\Movie Maker\<rnd>.dll
%All Users Application Data%\<rnd>.dll
%Temp%\<rnd>.dll
%System%\<rnd>tmp
%Temp%\<rnd>.tmp

 Registery Eklediği Anahtarlar

[HKLM\SYSTEM\CurrentControlSet\Services\netsvcs]

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost]
“netsvcs” = “<original value> %System%\<rnd>.dll”

TEMİZLEMEK İÇİN

Registery eklediği anahtarı silin (bkz : Registery Açmak için Calıştır’a regedit yazın)

[HKLM\SYSTEM\CurrentControlSet\Services\netsvcs] Sistem Registery’sinin içinde bulunan  “%System%\<rnd>.dll” anahtarı silin.
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost] “netsvcs”Bilgisayarı Yeniden Başlatın.
Ağınızdaki tüm bilgisayarlarda aynı anda yapın.
Aşağıdaki dosyalardaki virüsleri silin:
%System%\<örnek>dir.dll %Program Files%\Internet Explorer\<örnek>.dll  %Program Files%\Movie Maker\<örnek>.dll  %All Users Application Data%\<örnek>.dll  %Temp%\<örnek>.dll  %System%\<örnek>tmp  %Temp%\<örnek>.tmp<örnek> her bilgisayar göre farklılık gösterir.

USB Disklerde ki virüsleri silin veya biçimlendirin :
<USB DİSK>:\autorun.inf <USB DİSK>:\RECYCLER\S-<%d%>-<%d%>-%d%>-%d%>-%d%>-%d%>-%d%>\<örnek>.vmx, Ve Son olarak Microsoft MS08-67 Güncellemesini mutlaka yükleyin:
 http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx

H. Cenkut ÖZKAN

Microsoft.BAT virüsü ARP zehirleme tekniği üzerine yapılmış yani bilgisayarın modem üzerinden geçerek internette cıkmasını değil virüs üzerinden internette çıkartarak kişisel bilgilerin çalınmasına yol açmaktadır.Bilinen ve Anti Virüslerin Çözüm bulamadığı ilk ARP-Virüsü…

Microsoft.BAT Kimlere Bulaşır ?
*Tüm kişisel bilgisayarlar
*İnternet Kafelere (Deep Freez olsa bile)
*Okulların Bilgisayar Labrotuarlarına
*Orta ölçekli birden fazla bilgisayara sahip şirketlere (Donanımsal Firewall olmayanlara)
*Windows XP SP1-SP2-SP3 kullanıcıları (Aynı Ağ içinde Windows Vista olan Bilgisayaralara müdehale etmez)

Microsoft.BAT Amacı Nedir?
*İnternette kişisel bilgileri çalmak
*Banka, E-Posta gibi şifreleri çalmak bunula beraber kullanıcıya zarar vermek

Microsoft.BAT Nasıl Yayılır ?
*Windows altında kendini çalışan bir servis olarak gösterir
*Autorun ile tüm sabit disk bölümlerine ve flashdisklere bulaşır
*ARP zehirleyerek İnternet Explorer Java Açığından tüm ağ bilgisayarlarına yayılır.

Microsoft.BAT Belirtileri
*İnternet Explorer penceresinde Bitti yerine sayfada hata var mesajı vermesi
*PC’lerde statik ip olsa bile IP çakışması vermesi
*Antivirüs varsa 225.25.65.25 gibi IP adreslerinden veya web sitelerinde trojan saldırısı uyarısı
*30 ila 60 dakika arasında tekrar eder ve böylece bilgisayarların internete ulaşmaları yavaşlar…(Çünkü virüs bilgileri sahibine göndermekle meşguldur)

Microsoft.BAT Kurtulmanın GEÇİCİ yöntemleri
*Anti-Virüs yüklemek (Güncelde olsa)
*Anti-ARP yüklemek
*ADSL WAN IP Dinamik yapmak (Statik IP kullanıyor iseniz değiştirmek)
*Modemi Sıfırlamak*Tüm bilgisayarlardaki ARP dos komutu ile statik yapmak ( arp –s ipno macid )
*Birçok reg,bat ve inf dosyasıyla virüsü durdurmak…

YUKARIDAKİ YÖNTEMLERDE SİZİ YA BİR SAAT YADA 1 GÜN KORUYABİLİR.

Microsoft.BAT Nasıl Kurtuluruz ?
En güzel çözüm hiçbir yedek almadan direk **FDİSK yaparak tüm bilgileri silmek ve internette bağlanmadan Flashdisk takmadan güvenilir CDler ile sistem kurmak gerekiyor… Tabii bir hafta sonra bulaşmaz diye garanti vermiyoruz.Ama en yakın zamanda AntiVirüsler bu derde bir çözüm bulacaklardır.

**FSDİK ATTIĞI HALDE VİRÜSTEN KURTULAMAYANLARA SÖYLEYELİM VİRÜS AUTORUNDA YAYILIYOR.FDİSK YADA LOWLEVEL FORMATLASANIZDA KULLANDIĞINI USBDİSKLERDE YADA KURDUĞUNUZ PROGRAMLARIN VARSA CRACKLARINDA VİRÜS VARSA BU SORUNLAR TEKRARLIYOR..

İNTERNET KAFE İŞLETEN ARKADAŞLARA ÖNEMLİ UYARI

1-BİLGİSAYARLARINIZI AĞ BAĞLANTISINI KESİN
2-KOMPLE TEMİZ OTOMOTİK OLMAYAN BİR XP CD DEN KURULUM YAPIN.TEMİZ OLDUĞUNDAN EMİN OLUNCA HARDİSK  KOPYALAMA İLE DİĞER BİLGİSAYARLARINIZA SİSTEMLERİ KLONLAYABİLİRSİNİZ.
3-ESET SYSRESCUE BOOTABLE SCANNER CD TAKIN
TARAMAYI BAŞLATIN TEK TEK TARATIN.
4- YİNE AĞ BAĞLANTISI KAPALI KALSIN.
5-TURK TELEKOMA BAŞVURUP SABİT İPNİZİ DEĞİŞTİRİN.
6-İNTERNETE BAĞLANIN.
BU VİRÜSTEN BU YÖNTEMLERLE 15 PC BİR İNTERNET KAFE KURTULDU.KESİN ÇÖZÜMDÜR. YİNEDE KURTULAMADIYSANIZ BENİM İRTİBATA GEÇİNİZ.

E-POSTA: cenkut@gmail.com

MSN: cenkut@cnk.gen.tr

Hüseyin Cenkut ÖZKAN

Birçok Antivirüs bu virüsleri buluyor fakat silemiyor. Bu virüslerden bazıları JambanMu, Alman yada Almanahe …
İşte belirtiler:
1-C:sürücüsü içinde HELP ME!!.html isimli bir dosya var. Dosyayı açtığınızda başlıkta W32.JambanMy.V2 yazıyor, mesaj başlığı ise MESSEGE FROM HELL!! ve içeriğinde ise şunlar yazıyor: It insults and complain about KFC, McDONALD, 7 11, oil, water, electricity, azam, zawawi, kamal, dzulkifli, israel, bush and yahudi. At the bottom, it has a line that says “Reported by 666.JambanMu.V2″ JambanMu, Alman yada Almanahe Virus nasil temizlenir
2. Registry Editörü kapalı. Muhtemelen şu mesajla karşılaşacaksınız: Registry Editing has been disabled by your administrator
3. Komut satırı (cmd) kapalı. Muhtemelen şu mesajla karşılaşacaksınız: Command prompt has been disabled by your administrator
4. Görev yöneticisinde şu programları görebilirsiniz: Flash.10.exe ve Macromedia.10.exe (Windows Task Manager)
5. Bir klasörün içindeyken Araçlar menüsünden klasör seçeneklerini değiştiremezsiniz. Restore Folder Options
6. Başlat menüsünden ara komutunu seçemezsiniz.
7. Bilinen bir çok antivirüs sitesini ziyaret edemezsiniz. Bu virüsler sisteminize usb belleğinizden bulaşmış olabilir. Öncelikle usb belleğinizi temizlemeye çalışın. USB bellek autorun olarak çalıştırmayın. sağ tuşla tıklayın ve aç seçin. içinde autorun dosyası varsa açın. İçinde Flash.10.Setup.Exe diye bir satır varsa virüs kesin buradan bulaşıyor. dosyayı silin.

Şimdi bu virüsleri yok edebileceğiniz programlara ait linkeri veriyorum. İlk ikisi registry den bu virüslere ait dosyaları çıkarıyor.

Download ComboFix Download SDFix

Registry temizlendikten sonra alttaki ikisi ise virüsleri sisteminizden temizliyor.
AVG Alman Nab Remover Download KillFlash1.0

Hüseyin Cenkut ÖZKAN

Malwarebytes’ Anti-Malware