reset sorunu
- Konbuyu başlatan RaFi55
- Başlangıç tarihi
hocam nod 32 ile tarattım siliyorum ama yine reset atıyo.servis pack 2 li cd ile kurdum.deli etcek beni bu virüs.bide kaspersky ile taratsam yararı olur mu acaba.bişey daha sorcam virüs C:\Documents and Settings\rafi\Local Settings\Application Data klasöründe burdan girip silsem yararı olur mu acaba?..teşekkürler
- Mesajlar
- 1,128
http://www.microsoft.com/downloads/deta ... e40f69c074
-----------------------
http://securityresponse.symantec.com/av ... xBlast.exe
shutdown -a çalıştırdan yaparsanız resetlemeyi keser sonra taratma işlemlerini yaparsınız.
-----------------------
http://securityresponse.symantec.com/av ... xBlast.exe
shutdown -a çalıştırdan yaparsanız resetlemeyi keser sonra taratma işlemlerini yaparsınız.
Blaster olması imkansız ötesi...
Eğer xp sp2 ise işletim sistemi blaster olma ihtimali aklımızın ucundan dahi geçemez. Blaster çok eski bir açık ve sp2'de zaten kapatılmış.
Application data klasöründe diyorsunuz hocam, ayrıca bilgisayarı resetlemesi bana brontok virüsünü hatırlattı.
Bu virüs komut istemini(cmd) çalıştırdığınızda, registery editore(regedit) girdiğinizde, internetten dosya indirirken yarıda bir yerde, documents and settings klasörü altında kullanıcı profilinin altında application data klasörüne girmeye çalıştığınızda derhal bilgisayarı kapatır. virüs dosyalarını bu application and data klasöründe saklar. Dosya isimleri windows'un servis isimleridir.(lsass, svchost vb.) Windows'un bu dosyları windows klasörü altında system32 klasöründedir. FAkat virüsün aynı isimdeki dosyaları kullanıcı profilindeki application data klasöründedir. Ayrıca virüs başka yerlere de kendini kopyalar.
Eğer resetleme yukarıda saydığım nedenlerle oluyor ve denetim masasında klasör seçeneklerini göremiyorsanız brontok virüsü yemişsiniz.
Bu virüsü hiç anti virüs ile temizlemedim, birkaç defa hep kendim diğer başka programlarla temizledim.
Öncelikle detaylı bir process manager ile virüsün application data klasöründen ve varsa windows klasörlerinden çalıştırdığı uygulamaları kapatın.
Sonra hijackthis programı ile veya başlangıç programlarını editleyebileceğiniz başka bir program ile virüsün başlangıca kendini eklediği dosyları silin.
Ayrıca başlat > programlar > başlangıç yoluna da bir kısayol koyuyordu diye hatırlıyorum.
Virüsün eklediği dosya isimlerini process managerden ve hijackthis programından öğrenmiş olduk. Bu dosyaları da siliyoruz. Tabi bundan önce gizli dosyaları görüntülemek lazım. Bunun için gönderdiğim reg dosyasını kullanabilirsiniz. Ama yeniden başlatmanız gerekebilir. Yeniden başlatmadan önce virüsün başlangıca eklediği tüm ayarları sildiğinizden emin olun. Dosyalar kalkmasa da olur ama başlangıç ayarları kesin silinmeli.
Ayrıca bu virüs yanlış hatırlamıyorsam mesela belgelerim klasörü içinde bir tane belgelerim isminde, simgesi klasör olan bir uygulama oluşturuyor, yani kendisi. Veya müzik diye bir klasör varsa onun içinde yine müzik isminde, simgesi klasör gibi olan bir kopyasını oluşturuyor. Bunları temizlemenin en iyi yolu aslında bir anti virüs(f-prot bu virüsü tanıyor, diğerleri de kesin tanıyordur çünkü bu da 1-2 yıllık bir virüs) Ama registery ve başlangıç ayarlarını dediğim programlarla eski haline getirebilirsiniz.
Ayrıca şurada da farklı bilgiler verilmiş aynı virüs ile ilgili http://tr.wikipedia.org/wiki/Brontok
Eğer xp sp2 ise işletim sistemi blaster olma ihtimali aklımızın ucundan dahi geçemez. Blaster çok eski bir açık ve sp2'de zaten kapatılmış.
Application data klasöründe diyorsunuz hocam, ayrıca bilgisayarı resetlemesi bana brontok virüsünü hatırlattı.
Bu virüs komut istemini(cmd) çalıştırdığınızda, registery editore(regedit) girdiğinizde, internetten dosya indirirken yarıda bir yerde, documents and settings klasörü altında kullanıcı profilinin altında application data klasörüne girmeye çalıştığınızda derhal bilgisayarı kapatır. virüs dosyalarını bu application and data klasöründe saklar. Dosya isimleri windows'un servis isimleridir.(lsass, svchost vb.) Windows'un bu dosyları windows klasörü altında system32 klasöründedir. FAkat virüsün aynı isimdeki dosyaları kullanıcı profilindeki application data klasöründedir. Ayrıca virüs başka yerlere de kendini kopyalar.
Eğer resetleme yukarıda saydığım nedenlerle oluyor ve denetim masasında klasör seçeneklerini göremiyorsanız brontok virüsü yemişsiniz.
Bu virüsü hiç anti virüs ile temizlemedim, birkaç defa hep kendim diğer başka programlarla temizledim.
Öncelikle detaylı bir process manager ile virüsün application data klasöründen ve varsa windows klasörlerinden çalıştırdığı uygulamaları kapatın.
Sonra hijackthis programı ile veya başlangıç programlarını editleyebileceğiniz başka bir program ile virüsün başlangıca kendini eklediği dosyları silin.
Ayrıca başlat > programlar > başlangıç yoluna da bir kısayol koyuyordu diye hatırlıyorum.
Virüsün eklediği dosya isimlerini process managerden ve hijackthis programından öğrenmiş olduk. Bu dosyaları da siliyoruz. Tabi bundan önce gizli dosyaları görüntülemek lazım. Bunun için gönderdiğim reg dosyasını kullanabilirsiniz. Ama yeniden başlatmanız gerekebilir. Yeniden başlatmadan önce virüsün başlangıca eklediği tüm ayarları sildiğinizden emin olun. Dosyalar kalkmasa da olur ama başlangıç ayarları kesin silinmeli.
Ayrıca bu virüs yanlış hatırlamıyorsam mesela belgelerim klasörü içinde bir tane belgelerim isminde, simgesi klasör olan bir uygulama oluşturuyor, yani kendisi. Veya müzik diye bir klasör varsa onun içinde yine müzik isminde, simgesi klasör gibi olan bir kopyasını oluşturuyor. Bunları temizlemenin en iyi yolu aslında bir anti virüs(f-prot bu virüsü tanıyor, diğerleri de kesin tanıyordur çünkü bu da 1-2 yıllık bir virüs) Ama registery ve başlangıç ayarlarını dediğim programlarla eski haline getirebilirsiniz.
Ayrıca şurada da farklı bilgiler verilmiş aynı virüs ile ilgili http://tr.wikipedia.org/wiki/Brontok
Aslına bakarsanız yeni format attığınız sitem, çok uğraşmayın baştan formatlayın derim. Bu virüs flash belleklerden kolayca bulaşıyor. Belki d sürücünüzde de vardır. Dediğim gibi bir klasörün içine aynı isimle ve klasör simgesi ile kendi kopyasını kaydediyor. Böyle dosylardan şüphelenin. Formattan sonra driverlerıda kurun ve ilk kuracağınız program(bigisayara taranmamış bir flash bellek ve cd takmadan) ilk kuracağınız program bir antivirüs olsun. 1-2 yıllık bir virüs olduğu için sanırım tüm antivirüsler tanıyacaktır. Sonucu bildirirseniz sevinirim. Teşhisimin doğru olup olmadığını anlamak istiyorum.
Kolay gelsin.
Kolay gelsin.
Teşekkürler mefete hocam daha bu virüsü anti-virüsler tanımadan evvel temizlemek için çok uğraşmıştım. Hatta temizledikten sonra o kendini klasör görünümüne bürünüp kaydettiği dosyaları tekrar çalıştıp gafelet sonucu tekrar bulaştırmış ve baştan başlamıştım tüm işe. :lol:
sitelerde hocam dediğiniz şeyler aynen oldu.virüsün adı brontok kesinlikle.belgelerimde bi klasör oluşturmuş.kayıt defterine giremiyorum.gizli klasörlere giremiyorum delircem.yolladığınız programla eski haline getiremedim.bi yardımcı olur musunuz nasıl yapmam gerekiyo.kusura bakmayın geç kaldım biraz ama.
RaFi55' Alıntı:
Şimdi tam hatırlamıyorum virüsün değişiklik yaptığı her yeri. Ama hatırladığım kadarı ile değineceğim.
Tabi ilk önce bir öneri madem yeni format attığınız bir sistem bence çok uğraşmayın, yeniden format atın ve driverları yükledikten sonra ilk işiniz c,d tüm sürücülerinizi hiç bir program kurmadan ilk olarak bir anti virüs kurup temizlemenizdir. Çünkü format attıktan sonra yabancı herhangi bir program çalıştırmazsanız bu virüs aktif olmaz ve diğer sürücülerden de temzilenmesi kolay olur.
Ama format atmam diyorsanız hatıladığım kadarı ile yardımcı olayım.
1-İlk önce gönderdiğim process explorer ile Documents and settings\application data klasörü içinden çalıştırılmış tüm uygulamaları sonlandırın.
2-Daha sonra hijackthis programını çalıştırın, ilk ekranı "I accept" düğmesini tıklayıp geçin ve "do a system scan" düğmesi ile bir tarama yaptırın. Çıkan listede, içinde, pif geçen, brontok, tokcirmanus, rakyat kelaparan(yazımları farklı olabilir, hatırladığım kadarı ile) geçen tüm kutuları tikleyin. Sonra içinde "policy" ve "restiriction" geçen tüm kutuları tikleyin. Ve FİX düğmesini tıklayın.
3-Sonra gönderdiğim klasör seçenekleri reg dosyasını çalıştırın.
4-Bilgisayarın yeniden başlatın.
5-Büyük ihtimalle virüs yeniden aktif olmayacak başlangıçta. Aktif olup olmadığını yine process manager'a girip documents and settings\application data klasöründen çalıştırılmış uygulama olup olmadığına bakarak anlayabilirsiniz.
6-Virüs pasif hale gelmemişse hijackthis'te eksik bıraktığımız bazı şeyler vardır ve fixlediğimiz diğerlerini de yeniden eklemiştir. hijackthis'e girip daha önce kaldırdıklarımızla birlikte şüpheli diğer girdileri de fixlememiz lazım. Ama benim hatırladıklarım bu kadar. 1-2 yıl önce uğraşmıştım kusura bakmayın.
7-Virüs pasif hale geldi ise, bu virüsün tüm dosylarının silindiği manasına gelmiyor, muhtemelen kendisini daha önce de bahsettiğim gibi klasör simgesi ile farklı isimlerle çok yere kopyalamıştır. Bunları teker teker silmek çok zor, o yüzden gerisini bir antivirüse bırakmak en iyisi, ben f-protun dos versiyonu ile tüm diskleri taratıp virüsü silmiştim ama sanırım tüm virüs programları bu virüsü tanıyordur artık. Her hangi bir virüs programı kurup, güncelleyip genel bir tarama yaptırın. Virüsün kopyaları da silinsin.
8-pasif hale gelmedi ise de proces managerden documents and settings\application data klasörü içinden çalışan tüm programları kapatıp yeniden bir tarama yaptırın. Virüs yine silinecektir diye umuyorum.
9-Bu kadar uğraşmaya değmez diyorsanız bir format en iyisi.
Kolay gelsin. Hatırladığım kadarı ile yardımcı olmaya çalıştım.