cenkut.com » Virüsler

GrayBird Rootkit kullanan 103 Farklı Virüsü Temizlemek

admin — Sun, 02 Aug 2009 07:18:12 +0000

Backdoor virüslerinin vazgeçilmez unsuru olan rootkitler virüslerin önemli bölümlerinden biridir.Symantec tespit ettiği GrayBird Rootkit şuana kadar Çin meşeiyli 99 , İngiltere meşeiyli 2 , Brezilya 1 ve Almanya’da 1 farklı virüste tespit edilmiştir.

GrayBird Rootkit’ini Kullanan Virüslerin Listesi

BackDoor-AWQ [McAfee]	45
BackDoor-AWQ.b [McAfee]	32
Generic.dx [McAfee]	28
Backdoor.Win32.Hupigon.caky [Kaspersky Lab]	25
Backdoor:Win32/Hupigon [Microsoft]	22
BKDR_HUPIGON.FVR [Trend Micro]	20
Backdoor.Hupigon.GEN [PC Tools]	18
New Malware.gr [McAfee]	17
Backdoor.Win32.Hupigon.bjxn [Kaspersky Lab]	16
BKDR_HUPIGON.VEM [Trend Micro]	16
Backdoor:Win32/Hupigon.gen!B [Microsoft]	15
BKDR_HUPIGON.IX [Trend Micro]	15
BackDoor-ARR [McAfee]	14
Backdoor.Win32.Hupigon [Ikarus]	12
Backdoor.Win32.Hupigon.nqr [Kaspersky Lab]	12
BKDR_HUPIGON.GEN [Trend Micro]	11
Backdoor.Graybird.GEN [PC Tools]	9
BackDoor-AWQ.svr.gen.a [McAfee]	8
Mal/DSpy-B [Sophos]	7
Backdoor.Hupigon [Ikarus]	6
Backdoor.Win32.Hupigon.aahl [Kaspersky Lab]	6
Mal/GrayBird-B, Mal/Behav-043 [Sophos]	6
Trojan-Downloader.Win32.Delf.aup [Ikarus]	6
BackDoor-AWQ.svr.gen.e [McAfee]	5
Mal/Emogen-S [Sophos]	5
Backdoor.Hupigon!sd5 [PC Tools]	4
Backdoor.Win32.GrayBird.EJ [Ikarus]	4
Backdoor.Win32.Hupigon.auh [Kaspersky Lab]	4
Backdoor.Win32.Hupigon.axbr [Kaspersky Lab]	4
Backdoor.Win32.Hupigon.hrp [Kaspersky Lab]	4
BehavesLikeWin32.ExplorerHijack [Ikarus]	4
Generic.Graybird [Ikarus]	4
TROJ_PROXY.GD [Trend Micro]	4
VirTool:Win32/DelfInject.gen!L [Microsoft]	4
Backdoor.Hupigon.GTB [PC Tools]	3
Backdoor.Win32.Hupigon.adi [Kaspersky Lab]	3
Backdoor.Win32.Hupigon.bmjp [Kaspersky Lab]	3
Backdoor.Win32.Hupigon.mlt [Kaspersky Lab]	3
Backdoor.Win32.Hupigon.mmt [Kaspersky Lab]	3
Backdoor:Win32/Hupigon.gen [Microsoft]	3
BackDoor-ARR.svr [McAfee]	3
BKDR_HUPIGON.EWE [Trend Micro]	3
BKDR_HUPIGON.PEP [Trend Micro]	3
Mal/Behav-058, Mal/DSpy-B, Mal/Behav-157 [Sophos]	3
Mal/Emogen-E [Sophos]	3
Mal/EncPk-AP, Mal/Behav-058, Mal/Hupig-E, Mal/DSpy-B, Mal/Behav-157, Mal/Behav-043 [Sophos]	3
New Malware.dq [McAfee]	3
Trojan.Win32.StartPage [Ikarus]	3
Backdoor.Graybird!sd6 [PC Tools]	2
Backdoor.Hupigon.HHW [PC Tools]	2
Backdoor.Hupigon.SAJ [PC Tools]	2
Backdoor.Win32.GrayBird.jj [Kaspersky Lab]	2
Backdoor.Win32.Hupigon.abmi [Kaspersky Lab]	2
Backdoor.Win32.Hupigon.adma [Kaspersky Lab]	2
Backdoor.Win32.Hupigon.aqf [Kaspersky Lab]	2
Backdoor.Win32.Hupigon.ave [Kaspersky Lab]	2
Backdoor.Win32.Hupigon.bns [Kaspersky Lab]	2
Backdoor.Win32.Hupigon.cal [Kaspersky Lab]	2
Backdoor.Win32.Hupigon.cmvm [Kaspersky Lab]	2
Backdoor.Win32.Hupigon.eko [Kaspersky Lab]	2
Backdoor.Win32.Hupigon.elw [Kaspersky Lab]	2
Backdoor.Win32.Hupigon.qbq [Kaspersky Lab]	2
BackDoor-AWQ.svr.gen.b [McAfee]	2
BKDR_GRAYBIR.GC [Trend Micro]	2
BKDR_HUPIGON.EVG [Trend Micro]	2
BKDR_HUPIGON.JSF [Trend Micro]	2
Cryp_Pai-3 [Trend Micro]	2
Generic BackDoor [McAfee]	2
Mal/Basine-C [Sophos]	2
Mal/Behav-043, Mal/Emogen-E [Sophos]	2
Mal/Behav-043, Mal/Emogen-S, Mal/Basine-C [Sophos]	2
Mal/DSpy-B, Mal/Behav-157, Mal/Emogen-S [Sophos]	2
Mal/EncPk-AP, Mal/Behav-058, Mal/DSpy-B, Mal/Behav-157 [Sophos]	2
Mal/EncPk-BN [Sophos]	2
Mal/Generic-A [Sophos]	2
Mal/Hupig-D, Mal/DSpy-B [Sophos]	2
Mal/Hupig-E, Mal/Behav-058, Mal/DSpy-B, Mal/Behav-157, Mal/Behav-043 [Sophos]	2
Mal/Packer, Mal/DSpy-B [Sophos]	2
Mal/Packer, Mal/GrayBird-B, Mal/Behav-043 [Sophos]	2
New Malware.bj [McAfee]	2
New Malware.u [McAfee]	2
TROJ_BANDOK.BI [Trend Micro]	2
TROJ_DELF.EJU [Trend Micro]	2
TrojanDropper:Win32/Dowque.A [Microsoft]	2
TrojanDropper:Win32/Hupigon.gen!A [Microsoft]	2
VirTool.Win32.DelfInject [Ikarus]	2
VirTool:Win32/DelfInject [Microsoft]	2
Virus.Win32.Hupigon.AMD [Ikarus]	2
Virus.Win32.Hupigon.OH [Ikarus]	2
Win-Trojan/Hupigon.Gen [AhnLab]	2
Win-Trojan/Xema.variant [AhnLab]	2
Worm:Win32/Autorun.PP [Microsoft]	2
Backdoor.Agent.AIMB [PC Tools]	1
Backdoor.Delf.XLP [PC Tools]	1
Backdoor.GrayBird.BC!AU [PC Tools]	1
Backdoor.Hupigon.AOUM [PC Tools]	1
Backdoor.Hupigon.ARVG [PC Tools]	1
Backdoor.Hupigon.AWCU [PC Tools]	1
Backdoor.Hupigon.BLIN [PC Tools]	1
Backdoor.Hupigon.DMH [PC Tools]	1

GrayBird Rootkit’nin bilgisayarınıza yukarıdaki bir virüs ile bulaşması durumunda oluşturacağı dosyalar;

%CommonFavorites%\beos.exe

%ProgramFiles%\entvip2008\kavservs.exe

%ProgramFiles%\internet explorer\svchosi.exe

%ProgramFiles%\microsoft\msdep.exe

%ProgramFiles%\sachost.exe

%ProgramFiles%\windows media player\timplatform.exe

%System%\_drivers.exe

%System%\_rejoice44.exe

%System%\_scvhost.exe

%System%\_servernet.exe

%System%\_system.exe

%System%\accountsmanager.exe

%System%\ati.exe

%System%\drivers.exe

%System%\explor.exe

%System%\g_server2.03.exe

%System%\heigezi2009.exe

%System%\install.dll

%System%\intelr.exe

%System%\lxwx.dll

%System%\ly_server2008.exe

%System%\nerocheck.dll

%System%\nerocheck.exe

%System%\rejoice2007.exe

%System%\servidor.exe

%System%\svch0st.exe

%System%\sysecser.exe

%System%\windows.exe

%Temp%\hubba.exe

%Temp%\ixp000.tmp\1.exe

%Temp%\ixp000.tmp\11.exe

%Temp%\ixp000.tmp\4.exe

%Temp%\kendy.exe

%Temp%\mm.exe

%Temp%\server_setup.exe

%Temp%\tempdir.exe

%Windir%\1.exe

%Windir%\360tary.exe

%Windir%\521.exe

%Windir%\baidu.com

%Windir%\coines.exe

%Windir%\foxrun.exe

%Windir%\g_server.exe

%Windir%\g_server2006.dll

%Windir%\g_server2006.exe

%Windir%\ghfhgjhnssjdw.exe

%Windir%\guocyok88.exe

%Windir%\hacker.com.cn.exe

%Windir%\hgzp.dll

%Windir%\l_server2.03.exe

%Windir%\lingdu.com.cn.exe

%Windir%\nessus.exe

%Windir%\prints.exe

%Windir%\rec.exe

%Windir%\runmgr.exe

%Windir%\scl.dll

%Windir%\servel.exe

%Windir%\server.exe

%Windir%\suchost.exe

%Windir%\svch0st.exe

%Windir%\svchost.exe

%Windir%\svchost2.03.exe

%Windir%\sysoop.com.cn.exe

%Windir%\system.exe

%Windir%\system\systen.exe

%Windir%\tvsb.exe

%Windir%\win32.exe

%Windir%\windows.com.cn.exe

%Windir%\windows.exe

%Windir%\wuauclt.exe

%Windir%\www.cmder.com.exe

%Windir%\www.darkst.com

c:\dyc.exe

c:\scvhost.exe

c:\server101.exe

c:\system.exe

c:\windowsboot.exe

Aimo Virüsü Temizlemek

admin — Thu, 30 Jul 2009 11:46:03 +0000

Rusya menşeiyli bu virüs bulaştığı bilgisayarda sistem açığı oluşturarak bilgisayarınıza dışardan bağlanılımasını sağlamaktadır.

Aimo Virüsünün Dosyaları;

c:\users\usern\videos\karanchi_latest_scandal_hidden_cam_fXcXXng_xxx_02.mpg

c:\users\usern\videos\new.bat

c:\users\usern\videos\svchost.exe

%Windir%\pchealth\ERRORREP\UserDumps\services.exe.20090730-141446-00.hdmp

%Windir%\pchealth\ERRORREP\UserDumps\services.exe.20090730-141446-00.mdmp

Aimo Virüsünün Kayıt Defterine Eklediği Kayıtlar ;

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\PCHealth\ErrorReporting\UserFaults
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SYSCACHE
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SYSCACHE\0000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SYSCACHE\0000\Control
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SysCache
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SysCache\Security
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SysCache\Enum
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SYSCACHE
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SYSCACHE\0000
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SYSCACHE\0000\Control
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SysCache
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SysCache\Security
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SysCache\Enum
HKEY_CURRENT_USER\Software\Microsoft\ActiveMovie\devenum\{4EFE2452-168A-11D1-BC76-00C04FB9453B}
HKEY_CURRENT_USER\Software\Microsoft\ActiveMovie\devenum\{4EFE2452-168A-11D1-BC76-00C04FB9453B}\Default MidiOut Device
HKEY_CURRENT_USER\Software\Microsoft\ActiveMovie\devenum\{E0F158E1-CB04-11D0-BD4E-00A0C911CE86}
HKEY_CURRENT_USER\Software\Microsoft\ActiveMovie\devenum\{E0F158E1-CB04-11D0-BD4E-00A0C911CE86}\Default DirectSound Device
HKEY_CURRENT_USER\Software\Microsoft\Multimedia\ActiveMovie
HKEY_CURRENT_USER\Software\Microsoft\Multimedia\ActiveMovie\Filter Cache
HKEY_CURRENT_USER\Software\Microsoft\Windows Script Host
HKEY_CURRENT_USER\Software\Microsoft\Windows Script Host\Settings
HKEY_CURRENT_USER\Software\WinRAR SFX

�
- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\PCHealth\ErrorReporting\UserFaults]
  - %Windir%\PCHealth\ErrorRep\UserDumps\services.exe.20090730-141446-00.mdmp = A6 00 00 00 60 00 00 00 60 00 00 00 A2 00 00 00 5F 06 70 71 00 00 00 00 05 00 01 00 28 0A 84 08 00 00 00 00 00 00 00 00 00 00 00 00 D9 07 07 00 04 00 1E 00 0E 00 0E 00 2E 00 1F 00 37 00 31 00 05 00 00 C0 30 00 36 00 00 00 00 00 00 00 00 00 B3 7E 10 4
- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
  - UserFaultCheck = “%System%\dumprep 0 -u”
- [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SYSCACHE\0000\Control]
  - *NewlyCreated* = 0×00000000
- [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SYSCACHE\0000]
  - Service = “SysCache”
  - Legacy = 0×00000001
  - ConfigFlags = 0×00000000
  - Class = “LegacyDriver”
  - ClassGUID = “{8ECC055D-047F-11D1-A537-0000F8753ED1}”
  - DeviceDesc = “System Service”
- [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SYSCACHE]
  - NextInstance = 0×00000001
- [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SysCache\Enum]
  - 0 = “Root\LEGACY_SYSCACHE\0000″
  - Count = 0×00000001
  - NextInstance = 0×00000001
- [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SysCache\Security]
  - Security = 01 00 14 80 90 00 00 00 9C 00 00 00 14 00 00 00 30 00 00 00 02 00 1C 00 01 00 00 00 02 80 14 00 FF 01 0F 00 01 01 00 00 00 00 00 01 00 00 00 00 02 00 60 00 04 00 00 00 00 00 14 00 FD 01 02 00 01 01 00 00 00 00 00 05 12 00 00 00 00 00 18 00 FF 01 0F 0
- [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SysCache]
  - Type = 0×00000010
  - Start = 0×00000002
  - ErrorControl = 0×00000001
  - ImagePath = “C:\Users\usern\videos\svchost.exe”
  - DisplayName = “System Service”
  - ObjectName = “LocalSystem”
- [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SYSCACHE\0000\Control]
  - *NewlyCreated* = 0×00000000
- [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SYSCACHE\0000]
  - Service = “SysCache”
  - Legacy = 0×00000001
  - ConfigFlags = 0×00000000
  - Class = “LegacyDriver”
  - ClassGUID = “{8ECC055D-047F-11D1-A537-0000F8753ED1}”
  - DeviceDesc = “System Service”
- [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SYSCACHE]
  - NextInstance = 0×00000001
- [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SysCache\Enum]
  - 0 = “Root\LEGACY_SYSCACHE\0000″
  - Count = 0×00000001
  - NextInstance = 0×00000001
- [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SysCache\Security]
  - Security = 01 00 14 80 90 00 00 00 9C 00 00 00 14 00 00 00 30 00 00 00 02 00 1C 00 01 00 00 00 02 80 14 00 FF 01 0F 00 01 01 00 00 00 00 00 01 00 00 00 00 02 00 60 00 04 00 00 00 00 00 14 00 FD 01 02 00 01 01 00 00 00 00 00 05 12 00 00 00 00 00 18 00 FF 01 0F 0
- [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SysCache]
  - Type = 0×00000010
  - Start = 0×00000002
  - ErrorControl = 0×00000001
  - ImagePath = “C:\Users\usern\videos\svchost.exe”
  - DisplayName = “System Service”
  - ObjectName = “LocalSystem”
- [HKEY_CURRENT_USER\Software\Microsoft\ActiveMovie\devenum\{4EFE2452-168A-11D1-BC76-00C04FB9453B}\Default MidiOut Device]
  - FriendlyName = “Default MidiOut Device”
  - CLSID = “{07B65360-C445-11CE-AFDE-00AA006C14F4}”
  - FilterData = 02 00 00 00 00 00 80 00 01 00 00 00 00 00 00 00 30 70 69 33 02 00 00 00 00 00 00 00 01 00 00 00 00 00 00 00 00 00 00 00 30 74 79 33 00 00 00 00 38 00 00 00 48 00 00 00 6D 69 64 73 00 00 10 00 80 00 00 AA 00 38 9B 71 00 00 00 00 00 00 00 00 00 00 00 0
  - MidiOutId = 0xFFFFFFFF
- [HKEY_CURRENT_USER\Software\Microsoft\ActiveMovie\devenum\{E0F158E1-CB04-11D0-BD4E-00A0C911CE86}\Default DirectSound Device]
  - FriendlyName = “Default DirectSound Device”
  - CLSID = “{79376820-07D0-11CF-A24D-0020AFD79767}”
  - FilterData = 02 00 00 00 00 00 80 00 01 00 00 00 00 00 00 00 30 70 69 33 02 00 00 00 00 00 00 00 08 00 00 00 00 00 00 00 00 00 00 00 30 74 79 33 00 00 00 00 A8 00 00 00 B8 00 00 00 31 74 79 33 00 00 00 00 A8 00 00 00 C8 00 00 00 32 74 79 33 00 00 00 00 A8 00 00 0
  - DSGuid = “{00000000-0000-0000-0000-000000000000}”
- [HKEY_CURRENT_USER\Software\Microsoft\Multimedia\ActiveMovie\Filter Cache]
  - 0 = E0 5A 00 00 65 68 63 66 00 00 00 00 00 00 00 00 02 01 00 00 00 00 00 00 01 00 20 00 49 00 00 00 40 00 64 00 65 00 76 00 69 00 63 00 65 00 3A 00 64 00 6D 00 6F 00 3A 00 7B 00 32 00 45 00 45 00 42 00 34 00 41 00 44 00 46 00 2D 00 34 00 35 00 37 00 38 0
- [HKEY_CURRENT_USER\Software\WinRAR SFX]
  - C%%users%usern%videos = “C:\users\usern\videos”

Aimo virüsünün oluşturduğu dosyaları ve kayıtları silin.Kesin emin olmak için güvenli modda internet bağlantısını keserek Kaspersky 2010 ile tarama yapınız.

KASPERSKY internet security veya antivirüs 30GÜNLÜK Trial İndirmek için http://www.cenkut.net indirebilirsiniz.

Hüseyin Cenkut ÖZKAN

Internet Worm Sober Virüsü Temizlemek

admin — Fri, 26 Jun 2009 18:59:33 +0000

Sober Virüsü E-posta eklentisi yoluyla yayılmaktadır.Visual Basic yazılan ve UPX ile paketlenen bu virüs 56 KB boyutlarındadır.

Sober Virüsünün Yayılımı ;

Sober virüsü bulaşması için size gelen e-posta virüslü mesajı açmanız yeterlidir.

Zip li olan ekteki paket aşağıdaki gibi bir sahte hata mesajı verir.

WinZip Self-Extractor
WinZip_Data_Module is missing ~Error:

Sober virüsü iki kopyasını Windows klasörünün içine kopyalar, genellikle
aşağıdaki isimleri rastgele bir kombinasyonla oluşturur.

32
crypt
data
diag
dir
disc
expolrer
host
log
run
service
smss32
spool
sys
win

Sistem bulaştıktan sonra Kayıt Defterine Aşağıdaki Kayıtları Ekler ;

[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
 "[random key name]" = "%System%\[file name]"

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
 "[random key name]" = "%System%\[file name]"

Sober Virüsünü Temizlemek için AVG 8.5 Anti Virüs Programını Tavsiye ederiz.

AVG 8.5 İndirmek için http://free.avg.com adresini ziyaret ediniz.

Hüseyin Cenkut Özkan

Worm Netsky Virüsü Temizleme

admin — Sat, 20 Jun 2009 06:13:01 +0000

Netsky bilgisayarınızda kayıtlı e-posta adreslerine kendini gönderir.Pif veya Zip Uzantılı olarak ekli dosya gönderen virüs ağ içinde de yayılmasını sürdürür.

Kurtulmak için;

1- Sistem Geri Yüklemeyi Kapatınız. ( Bilgisayarım – sağ tuş özellikler

2-Ağ ve İnternet Bağlantınızı Kapatınız.

3-Bilgisayarını Güvenli Modda Açık Aşağıdaki FixNetsky çalıştırıp tarama yapınız

Worm NetSky Virüsü Temizleyici Araçı İndirmek için tıklayınız.

Worm Bagle Virüsü Temizleme

admin — Sat, 20 Jun 2009 05:56:54 +0000

Bulaştığı bilgisayardaki Outlook varsa kendini otomatik olarak tüm eposta adreslerini gönderir.Çoğalma işlemini bu şekilde başlatır.Zip,Rar veya pif dosyası şeklinde eposta ekli dosya olarak gelir. Açmaya çalıştığınız zaman virüslü dosya olarak görür.

Bilgisayarınızı Güvenlik Modda açın ve Ağ, İnternet Bağlantılarını kapatın.Komple tüm disklerinizi taratın ve Bagle virüsünden kurtulun.
Worm Bagle Virüsü Temizleme için Removal Tool tıklayıp indirin.

Trojan Xrupter Virüsü Temizleme

admin — Tue, 16 Jun 2009 20:32:09 +0000

1. Eğer ağ bağlantınız veya internet bağlantınız varsa bağlantılarınızı kapatın.Dosya paylaşımlarınızı ister kapatın ister şifre korumalı hale getirin yada sadece Okuma özelliğinde bırakın.Çünkü bu Xrupter virüsü temizleyebilmek için paylaşılan klasörleri ve ağdaki bağlantılarını kapatınız.

2.Bilgisayarınıza Xrupter Removal Tool indirin (fixXrupter.exe)

3.Xrupter virüsünü temizlemek için FixXrupter.exe tıklayıp çalıştırın.

4.Kesin temizlik için Güvenlik Modda bilgisayarınızı açınız.

5.Tüm sabit diskinizi taratın ve virüs temizlendiğinden emin olun.

6.Xrupter virüsü sistem geri yüklemesini kapatıyor ve engelliyor. Eğer virüs silindiyse sistem geri yükleme tekrar aktif hale gelir.

7.Windows’unuzu Güncelleyin ve Güncel bir antivirüs programı yükleyin.

Peki FixXrupter.exe Neler Yapıyor ?

Tüm Dosyaları tarar.
Virüsleri Siler.
Bulaşığı dosyaları temizler.
Görev yöneticisinde çalışan zararlıları kapatır.
Kayıt defterine eklenen virüslü kayıtları siler.

Trojan ve Internet Worm Xrupter kurtulmak için fixXrupter.exe tavsiye ederiz.

Xrupter Virüsünün Fix Removal Tools indirmek için tıklayınız.

Hüseyin Cenkut Özkan

W32 Virut Virüs Temizleme

admin — Sun, 14 Jun 2009 20:50:06 +0000

W32 Virut Virüs Temizlemek için aşağıdaki removal tool indirip tarama yapabilirsiniz.

W32 Virut Virüs Temizleme Removal Tool indirin.

W32 Elkern Virüsü Temizleme

admin — Sun, 14 Jun 2009 19:54:39 +0000

W32 Elkern Virüsü Temizleme için aşağıdaki removal tool indirip bilgisayarınızı DOS modunda açın.

DOS Komutları

rmelkern.exe C:\ (enter)

bu komutun sonunda ki C yerinde diğer hardisk parçalarını yazarak taratabilirsiniz.

W32 Elkern Virüsü Temizleme (Removal Tool)

Conficker Virüsü Temizleme

admin — Sun, 14 Jun 2009 18:05:25 +0000

Bilgisayarınıza Downadup yada Conficker virüsü olduğundan şüpheleniyorsunuz ?

hemen AVG Conficker Remover indirip tarama yapın.Virüsü temizleyin.Bilgisayarınız birkaç defa açıp kapatıp tarama işlemini uygulayın eğer tarama yapamazsanız güvenlik kipte çalıştırıp tarama yapmayı deneyiniz. Conficker removal tool ile conficker virüsünden kurtulabilirisiniz.Ama kesin çözüm Windows Update yapmaktır.Mutlaka Windows güncell tutunuz..

Conficker Removal Tool

Hüseyin Cenkut ÖZKAN

Dosyalara Online Virüs Taraması

admin — Sat, 13 Jun 2009 11:43:59 +0000

Online Virüs Taraması

İnternetten indirdiğiniz yazılımları antivirüs programınız temiz olarak gösterebilir. Fakat imzası değiştirilmiş exe çalışan programlarda virüs bulaşma olasılığı epey yüksektir.Bu tip programları online virüs tarama sitelerinden taratabilirsiniz.Bunlardan en başarılı olanı www.virscan.org sitesidir.Bu site gönderdiğiniz dosyayı 38 farklı antivirüs yazılımı veri tabanında arattırır.

http://virscan.org/

Net Worm Kido Virüsü Temizleme

admin — Sat, 13 Jun 2009 11:40:48 +0000

Net-Worm.Win32.Kido.ih – Virüsü
Yeni tehlike ağ üzerinde ki tüm disklere bulaşan Net-Worm.Win32.Kido virüsü epey tehlikeli.Özelliği ise TCP Portlarını tarayan bu virüs bulaştığı bilgisayarın bağlı olduğu ağdaki diğer bilgisayarlarda bulaşmaktadır.Kullandığı güvenlik açığı sayesinde buffer overrun saldırısı yaparak exe bilgisayara yüklemektedir.Bu güvenlik açığını kapatmak için MS08-67 güncellemesi yüklenmelidir.Aynı zaman bulaştığı bilgisayarlardaki USB Disklere kendini kopyalamaktadır.

Oluşturduğu Klasörler

%System%\dir.dll
%Program Files%\Internet Explorer\.dll
%Program Files%\Movie Maker\.dll
%All Users Application Data%\.dll
%Temp%\.dll
%System%\tmp
%Temp%\.tmp

Registery Eklediği Anahtarlar

[HKLM\SYSTEM\CurrentControlSet\Services\netsvcs]

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost]
“netsvcs” = “ %System%\.dll”

TEMİZLEMEK İÇİN

Registery eklediği anahtarı silin (bkz : Registery Açmak için Calıştır’a regedit yazın)

[HKLM\SYSTEM\CurrentControlSet\Services\netsvcs] Sistem Registery’sinin içinde bulunan “%System%\.dll” anahtarı silin.
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost] “netsvcs”Bilgisayarı Yeniden Başlatın.
Ağınızdaki tüm bilgisayarlarda aynı anda yapın.
Aşağıdaki dosyalardaki virüsleri silin:
%System%\<örnek>dir.dll %Program Files%\Internet Explorer\<örnek>.dll %Program Files%\Movie Maker\<örnek>.dll %All Users Application Data%\<örnek>.dll %Temp%\<örnek>.dll %System%\<örnek>tmp %Temp%\<örnek>.tmp<örnek> her bilgisayar göre farklılık gösterir.

USB Disklerde ki virüsleri silin veya biçimlendirin :
:\autorun.inf :\RECYCLER\S-<%d%>-<%d%>-%d%>-%d%>-%d%>-%d%>-%d%>\<örnek>.vmx, Ve Son olarak Microsoft MS08-67 Güncellemesini mutlaka yükleyin:
http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx

H. Cenkut ÖZKAN

Microsoft.Bat Virüsü Temizleme (ARP Zehirleyen Virüs)

admin — Sat, 13 Jun 2009 11:19:04 +0000

Microsoft.BAT virüsü ARP zehirleme tekniği üzerine yapılmış yani bilgisayarın modem üzerinden geçerek internette cıkmasını değil virüs üzerinden internette çıkartarak kişisel bilgilerin çalınmasına yol açmaktadır.Bilinen ve Anti Virüslerin Çözüm bulamadığı ilk ARP-Virüsü…

Microsoft.BAT Kimlere Bulaşır ?
*Tüm kişisel bilgisayarlar
*İnternet Kafelere (Deep Freez olsa bile)
*Okulların Bilgisayar Labrotuarlarına
*Orta ölçekli birden fazla bilgisayara sahip şirketlere (Donanımsal Firewall olmayanlara)
*Windows XP SP1-SP2-SP3 kullanıcıları (Aynı Ağ içinde Windows Vista olan Bilgisayaralara müdehale etmez)

Microsoft.BAT Amacı Nedir?
*İnternette kişisel bilgileri çalmak
*Banka, E-Posta gibi şifreleri çalmak bunula beraber kullanıcıya zarar vermek

Microsoft.BAT Nasıl Yayılır ?
*Windows altında kendini çalışan bir servis olarak gösterir
*Autorun ile tüm sabit disk bölümlerine ve flashdisklere bulaşır
*ARP zehirleyerek İnternet Explorer Java Açığından tüm ağ bilgisayarlarına yayılır.

Microsoft.BAT Belirtileri
*İnternet Explorer penceresinde Bitti yerine sayfada hata var mesajı vermesi
*PC’lerde statik ip olsa bile IP çakışması vermesi
*Antivirüs varsa 225.25.65.25 gibi IP adreslerinden veya web sitelerinde trojan saldırısı uyarısı
*30 ila 60 dakika arasında tekrar eder ve böylece bilgisayarların internete ulaşmaları yavaşlar…(Çünkü virüs bilgileri sahibine göndermekle meşguldur)

Microsoft.BAT Kurtulmanın GEÇİCİ yöntemleri
*Anti-Virüs yüklemek (Güncelde olsa)
*Anti-ARP yüklemek
*ADSL WAN IP Dinamik yapmak (Statik IP kullanıyor iseniz değiştirmek)
*Modemi Sıfırlamak*Tüm bilgisayarlardaki ARP dos komutu ile statik yapmak ( arp –s ipno macid )
*Birçok reg,bat ve inf dosyasıyla virüsü durdurmak…

YUKARIDAKİ YÖNTEMLERDE SİZİ YA BİR SAAT YADA 1 GÜN KORUYABİLİR.

Microsoft.BAT Nasıl Kurtuluruz ?
En güzel çözüm hiçbir yedek almadan direk **FDİSK yaparak tüm bilgileri silmek ve internette bağlanmadan Flashdisk takmadan güvenilir CDler ile sistem kurmak gerekiyor… Tabii bir hafta sonra bulaşmaz diye garanti vermiyoruz.Ama en yakın zamanda AntiVirüsler bu derde bir çözüm bulacaklardır.

**FSDİK ATTIĞI HALDE VİRÜSTEN KURTULAMAYANLARA SÖYLEYELİM VİRÜS AUTORUNDA YAYILIYOR.FDİSK YADA LOWLEVEL FORMATLASANIZDA KULLANDIĞINI USBDİSKLERDE YADA KURDUĞUNUZ PROGRAMLARIN VARSA CRACKLARINDA VİRÜS VARSA BU SORUNLAR TEKRARLIYOR..

Alman.NAB Virüsü Temizleme

admin — Sat, 13 Jun 2009 11:15:26 +0000

Birçok Antivirüs bu virüsleri buluyor fakat silemiyor. Bu virüslerden bazıları JambanMu, Alman yada Almanahe …
İşte belirtiler:
1-C:sürücüsü içinde HELP ME!!.html isimli bir dosya var. Dosyayı açtığınızda başlıkta W32.JambanMy.V2 yazıyor, mesaj başlığı ise MESSEGE FROM HELL!! ve içeriğinde ise şunlar yazıyor: It insults and complain about KFC, McDONALD, 7 11, oil, water, electricity, azam, zawawi, kamal, dzulkifli, israel, bush and yahudi. At the bottom, it has a line that says “Reported by 666.JambanMu.V2″ JambanMu, Alman yada Almanahe Virus nasil temizlenir
2. Registry Editörü kapalı. Muhtemelen şu mesajla karşılaşacaksınız: Registry Editing has been disabled by your administrator
3. Komut satırı (cmd) kapalı. Muhtemelen şu mesajla karşılaşacaksınız: Command prompt has been disabled by your administrator
4. Görev yöneticisinde şu programları görebilirsiniz: Flash.10.exe ve Macromedia.10.exe (Windows Task Manager)
5. Bir klasörün içindeyken Araçlar menüsünden klasör seçeneklerini değiştiremezsiniz. Restore Folder Options
6. Başlat menüsünden ara komutunu seçemezsiniz.
7. Bilinen bir çok antivirüs sitesini ziyaret edemezsiniz. Bu virüsler sisteminize usb belleğinizden bulaşmış olabilir. Öncelikle usb belleğinizi temizlemeye çalışın. USB bellek autorun olarak çalıştırmayın. sağ tuşla tıklayın ve aç seçin. içinde autorun dosyası varsa açın. İçinde Flash.10.Setup.Exe diye bir satır varsa virüs kesin buradan bulaşıyor. dosyayı silin.

Şimdi bu virüsleri yok edebileceğiniz programlara ait linkeri veriyorum. İlk ikisi registry den bu virüslere ait dosyaları çıkarıyor.

Download ComboFix Download SDFix

Registry temizlendikten sonra alttaki ikisi ise virüsleri sisteminizden temizliyor.
AVG Alman Nab Remover Download KillFlash1.0

Hüseyin Cenkut ÖZKAN

Malwarebytes’ Anti-Malware

admin — Sat, 13 Jun 2009 11:13:53 +0000

Malwarebytes’ Anti-Malware

Malwarebytes’ Anti-Malware yazılımı beta sürümündeki başarısından sonra geliştirilerek kullanıcılara sunuldu. Ufak boyutuna rağmen veritabanındaki zararlı yazılımları silmesi gözden kaçmıyor. Yeni sürümüyle beraber Vista işletim sistemindede kullanılabilirlik kazandırıldı.Malwarebytes’ Anti-Malware ile veritabanınıza bulaşmış virus,worms,trojans,rootkits,dialers vs.gibi zararlı yazılımları silebilirsiniz. Beta yazılımında eksiklik olarak görülen Karantina özelliği şimdi daha kullanılabilir durumda ;ama diğer yazılımlara göre çok gelişmişlik gösterebilecek boyutta değil.
Aslında bu yazılım bilgisayarınızda standart olarak kullandığınız antivirüs programının yanı sıra worm ve trojan tarzı sürekli yeni varyasyonları cıkan zararlılara karşı bir çözümdür.Bu yazılım NOD32, Kaspersky gibi antivirüs yazılımlarının bulamadığı birçok zararlı varyasyonları temizler.Dialers ve Ad’ler için ise ücretsiz olan SpyBots yazılımını önerebilirim.

Örneğin bilgisayarınızda antivirüs yazılımı olduğu halde bilgisayarınız gereğinden fazla ağır çalışıyorsa veya internete gezmediğiniz halde Ağ bağlantılarınızda gelen giden paketler arttığında bilinki bilgisayarınızda kullandığınız antivirüs yazılımınızda yakalayamadığı virüsler var… Malwarebytes’ Anti-Malware : CNET üzerinden indirmek için tıklayınız.

SpyBots Search & Destroy : CNET üzerinden indirmek için tıklayınız.

H. Cenkut ÖZKAN