worm sorunu. (w32.sality ?)

[Fly]

yeni bilgisayar alalı daha 1 gün mü ne oldu, avira antivir kurulum sırasında kendiliğinden kapanıyor, muhtemelen windows defender izin vermiyor hede hödö diye geçiştirildi, neyse tamam dedik.

bugün driver vs kurarken antivirüsü de çözeyim dedim,
dediğim gibi antivir i bir daha indirip çalıştırınca birkaç saniyeliğine gözüküp kayboluyordu, başka bir şey indireyim dosya bozuktur veya bunda sorun çıkıyordur dedim.
spybot kurdum, ama açmıyor.
avast kurmaya çalışınca mavi ekran.

şanssızlık olabilir mi acaba derken, google'a kaspersk yazdım yanlışlıkla, sonra mouse'a davranmaya üşendiğim için elle y'sini tamamladım.

açmıyordu.
ya dnsten zamanaşımı/böyle bir adres yok uyarısı geliyor, ya da sonsuza kadar bağlanıyor veya aranıyor olarak kalıyor.

birkaç kez denedim geçici bir şeydir diye, "kaspersky" diyince hiçbir şekilde göstertmiyor, sitesine girmek imkansız, vs vs.

diğer antivirüs, güvenlik vb konularda yazılım üreten firmalarınki de aynı vaziyette hemen hemen ; ya sitesine girilmiyor, ya siteden dosya indirilmiyor, hadi indi diyelim kurdurtmuyor.

hatta symantec'in online tarama şeysinde ilk deneyişte izin veriyor, %99'da kesiyor olayı.
sonra bilgisayaro baştan başlatana kadar dosyayı indiremiyorsunuz, ama free scan tool şeklindeki mini sitesinde gezinebiliyorsunuz, ana siteye giriş yok yine.

spyware terminator diye bir program vardı kurulu duran, ona baktım clamav diye bir antivirüs şeysi de varmış, iyi hadi tarasın dedim 350 tane w32.sality-27 ve 26 tipi tehdit buldu, birkaç tane de agent-6bişeybişey diye.

muhtemelen bilgisayar toplandıktan sonra kurulum vs yapılırken antivirüs falan kurmadan direk service pack'leri indirmeye çalışmışlar, onlarla birlikte gelmiş.

daha vahim olanı ise ikinci bir "yedek" sabit disk takılı, sözde sorun olursa yedeklensin çok önemli bu parça diye ısrar edildi, e tabi klonlanan windows enfekte; asıl diski temizleyince bir de buna bakmam gerekecek.

silsem de resmen dalga geçer gibi geri geliyorlar (blocked : bilmemne diyor spyw.term., taratınca blokladıkları virüsler gözüküyor aynen, silince hiçbir şey normale dönmüyor)

spesifik tarayıcılar hiçbir şekilde çalışmıyor, safe mode'a girmek, command prompt vs açmak imkansız. baştan başlatıyor makinayı.

denemediğim bir tek diskleri çıkarıp bir kutuya koyup, laptopumdan taratmak kaldı ama hem bana bulaşma ihtimali var, hem de zaten silsem de fayda etmeyişini göz önüne alırsak lüzumsuz bir işlem gibi.

ne yapayım ? format atmak istemiyorum daha dün alınan şeye, sende şu şu var eminim, şunu kur şöyle yap kesin düzelr diyebilecek kimse var mı ?

[quuq]

virüs kaynayan bir makinaya virüs programı kurmak pek fayda saglamaz çünkü virüs *.exe vs. uzantılara el atarak virüs programının normal programlarıda virüs olarak görmesini sağlar. diskleri baska makinaya takıp taratman en mantıklısı.
taktıgın disklerin içine girmediğin sürece virüsün diğer disklere bulasmasına imkan yok.

[Mr_Hand]

her "virüs" exe'ye bulaşacakdiye bi kaide yok. öyle yazmışsa programı yazan itooluit exe'lerle ilişki kurar :P yoksa alakası olmaz. güzel bi scan programı indirip safe modda açıp scanle kurtulman büyük ihtimal. ben bu iş için malwarebytes kullanıyorum. başka bişeyler de vardır tabi :) ha, hakkaten exeleri engelleyen bişey varsa işin biraz daha zor, ama yine de bu yöntem denenebilir.

[Sypro]

Abi uzun uzadıya olan biteni yazarsam bilmiyorum kaç sayfa tutar. Fiilen 5 saat uğraştım ve tamamen temizledim o dalgayı bir kaç gün önce. Kız arkadaşımın makinesine arkadaşının usb stick'inden bulaştı, 3ds max ve autocad ile yapılan tüm çizimlerin tesliminden önceki gece. Sabaha her şeyin yetişmesi için denenecek her şeyi denedim sanırım.
Bu infodan sonra kendi izlediğim yoldan kısaca bahsedeyim:

Öncelikle, eğer ki veri kaybı falan dert değilse format at. Temizlemeye uğraşacağın sürede yeni sistem kurar hatta üzerine programları falan bile kurarsın.

İlk olarak sistemimize Antivir, Spybot ve A-Square kurmaya çalışıyoruz. Hazırda bir antivir varsa harika. Üzerine yeni bir kurulum başlatıp, repair 'i seçiyoruz. Zira bu aptal virüs o anda açık olan programları ve sık kullanılan programları virüslü gösterip aralara serperek sildirmeye çalışıyor. O arada Antivir için de avcenter.exe ve avgnt.exe için sorunlu diyip sildirebiliyor. Yaptığımız repair'den sonra sistemi yeniden BAŞLATMIYORUZ, başlatırsak boşa uğraşmış oluruz:) Bu avcenter ve avgnt 'nin kopyasını alıyoruz. Şimdi sistemi yeniden başlatabiliriz. Yeni başlayan sistemde update yapma imkanımız olacak. Önce center'dan tüm ayarları high'a alıp dosya silinsin mi uyarısını da otomatik sil e aldıktan sonra temizce bir sistem taraması başlatıyoruz.

Bu aşama devam ederken daha önce elleşmediysek eğer spybot'ta sorun yok demektir. Aynen o vatandaşı çalıştırıp ivedi şeklide onunla da bir sistem tarıyoruz, bir sürü zımbırtı çıkacak, onlar ilk etapta bir kalsın, temizle demeye can atsak da bir sakin olup öyle tutalım. Derin bir nefes alıp "seçili hataları düzelt" e basar basmaz ctrl alt del yaparak -tek şansımız olduğunu unutmadan- görev yöneticisine erişiyoruz. Eğer bunu yaparsak işimiz kolayşalıyor. En azından boşa çalışan exe'leri sonlandırıp sistemi biraz hafifletebiliriz. Görev yöneticisini kapatmıyoruz, zira kapatırsak bir daha açamayız.

Antivir taramayı bitirdiğinde ortalama 150-200 kadar dosyayı silmiş olacak. Gidenlere üzülmememek gerek. Kalan sağlar bizim neticede. Şimdi msconfig'den -ya da spybot'tan- başlangıç programlarına bir göz gezdiriyoruz, çünkü muhtemelen bulaştığı dosyalar ATI CCC, HP blah blah, falan oluyor, onları bi durduruyoruz. Derin bir nefes alıp sistemi yeniden başlatıyoruz.

Eğer ki SSVICHOSST.exe bulunamadı diye bir hata verirse sistem her şey yolunda gitmiş demektir. Aksi takdirde format yolları gözükür diyorum. Heyse, bu ss..exe hatası Winlogon'da explorer ile birlikte kendini açtırıp sürekli şekilde kendini yenilemesinden kaynaklı bir şey, fakat biz antivir ile onun kökünü kazıdık. E n'olcak? Bu hata sürekli gelcek mi? Hayır tabii ki de (Bu kısım az sonra anlatılacaktır!!!), win + r yapıyor ve
reg add "HKLMSoftwareMicrosoftWindows NTCurrentVersionWinlogon" /v Shell /f /d "explorer.exe"
yazıyoruz. Tabi bu arada spybot ve a-square uyarı çıkarabilir. Onlara da sakince izin veriyoruz. Fakat arkamızdan bu kayıt değiştirilmeye çalışılırsa onu sonsuza kadar engellemek gerek.

Yeri gelmişken, a-square ile yapacağımız tek şey regedit'e erişimi engellemek, tüm değişikliklere uyarı çıkarmak gibi ilginç bir huyu var, bir sürü siteye bile sokmayabiliyor. Neyse. İşimiz bitince kaldırırız onu:)

Sonuç olarak sistem tüm exe'lerden ve virüsün tüm zararlı etkilerinden arınmış olsa da erişemediğimiz 3 şey olacaktır: Görev Yöneticisi, Regedit ve Klasör Seçenekleri. Yukarıda az sonra anlatılacak olan kısma geldik. Söylendiği gibi bu ssvichosst.exe ile sorunumuz kalmadıysa eğer win + r yapıp gpedit.msc yazıyoruz. Grup İlkesi diye bir şey çıkacak. Orada Yönetim Şablonları cart curt'un altında Crtl alt del seçenekleri var, kayıt defteri ile ilgili bişeyler var (sistem'in altında), onlara bakar bulursunuz zaten. Onları Yapılandırılmadı ya da Etkin'den Devre Dışı seçeneğine geçirip tamam diyoruz.

Sonuç olarak biraz zahmetli olsa da ortalama 2-3 saat gibi bir sürede tamamen bitiyor. Bu en kesin yol oldu denediğim. şu an hiç bir kalıntı yok makinede.

[Sypro]

Mr_Hand said:

güzel bi scan programı indirip safe modda açıp scanle kurtulman büyük ihtimal.

Virüs normal boot dışında güvenli mod, vga kipi, çalışan son ayarlar, ağ desteği ile bilmemne, veya geriye kalan her ne varsa hiç biri ile açmana imkan vermiyor. Mavi ekran çıkartıyor. ;)

[Mr_Hand]

inat deil mi, live boot et bi linux release ile ordan temizle sdffdsdsf

[dasaaa]

önce system restore'u kapatın. yoksa naaparsanız yapın bişi olmaz. siz de silinemeyen virüs olm geyiğinin bir parçası olursunuz.

sonra şunları atabiliyorsanız atın.. exe'yi bi çalıştırın.
http://www.avg.com/virus-removal.ndi-67769

bi de major geeks'e gidin oradan vunfind, vfind exe'yi indirin nasıl çalıştırılacağını da okuyun. yok onu yapamazsanız venak, venak avenak ile bi bakın arada. startup'a falan da bakın neler var diye. falan filan işte..

sality ne bu mesela .ab mi .ae mi nedir, hangisidir?

[Fly]

antivir kurulmuyor (çok hızlı davranırsam extracting e geliyor, kapanıyor sonra) , avast kurulum dosyası zaten direk mavi ekran veriyor, spybot kuruluyor ama açılmıyor vs vs.

tam dediğin gibi hp , ati vb dosyalara bulaştı.

mümkün değil sanırım bilgisayarın kendisi üzerinden düzeltebilmek :

format atmayı da istemiyorum, çünkü babam eski bilgisayardaki win xp yi kurdurttu, aktivasyonda falan sorun oldu mu olmadı mı hiç bilmiyorum, kuruluş esnasında "update i açmayın" gibisinden konuşmuşlar, çekiniyorum.

daha marjinal yöntemler gerekiyor :p , bilen ?

[dasaaa]

yukarıdaki exe leri indirebiliyor musun?
start up'ı görüntülemeyi denedin mi? neler çalışıyor, bir şeyleri kapatabiliyor musun start up'tan?
system restore kapalı mı şu an?

[Fly]

ı ıh maalesef olmuyor
sys restore u kapamıştım evet

[dasaaa]

indirmiyor mu kurulmuyor mu?

[Fly]

adrese giremiyor zaten, yok böyle bir yer diye
şimdi yazdığım laptoptan çekip kurmaya çalıştım, bu sefer de antivirdeki gibi açılıp kapanıyor hemen.

[dasaaa]

usb den boot desteği varsa anakartın harbi oradan boot et pc'yi. yoksa start up'da windows başlamadan scan edecek bişi lazım. sana.

rising software, trojan hunter falan destekliyor yamulmuyorsm boot scan'i ve iyi de yapıyorlar. ama kurmuş olman lazım bi şekilde.

registry'e ulaşabiliyor musun?

fprot dos'u kur bi usb'ye onu dene bi olmadı. boot cd ile deneyebilirsin
ama en doğrusu knoppix falan kur cd'ye onunla dene

[Diazepam]

Hiren's Boot Cd ile aç antivirüs taraması yaptır. Dertlerine tam çözüm olmayacaktır ama belki windows ortamında bir miktar rahatlatabilir seni.

Ayrıca updatei çalıştırmayın dedilerse korsan xp kurulmuştur çok çok büyük ihtimal.

Aslında en iyisi yukarda denilen. Format

[Sypro]

Mr_Hand said:

inat deil mi, live boot et bi linux release ile ordan temizle sdffdsdsf

Teşekkür ederim, Ubuntu Türkiye sorumlusuyum. Neler yapabileceğimi iyi kötü biliyorum. Bilgisayar Mühendisliğinde okuyorum. 150-200 kadar dosyadan bahsediyorum, her birinin nerede olacağı hakkında engin bilgim olsa zaten ilk yapacağım şey o olur.

Bilmeyen ve fikir üretenler için bahsetmek gerekirse, virüsün çalışma mantığı sistem çalıştığında WinLogon (regeditten) Shell'den explorer.exe ile system32 nin içindeki ssvichosst.exe yi çalıştırması. System Volume Information ve Recycler bomoş dahi olsa bu illa ki olan bir şey. Yani sistem geri yüklemeyi kapatmak falan da fayda değil. İlk yaptığı şeyler görev yöneticisini regediti ve klasör seçeneklerini engellemek olduğu için ve öncelikli olarak sık kullanılan programlara ve açık olan (sistem açılışında olan) programlara bulaşıyor olması o anda durdurabilmeyi olanaksız hale getiren şeylerden. Dediğim gibi normal başlangıç dışında tüm diğer kipleri iptal ediyor olduğu için "güvenli modda tara bişeycik kalmaz" da işe yaramıyor.
Ya format atacak ve önce tüm güvenlik önlemlerini alıp sonra program kuracaksın ya da cidden uğraşacaksın. Kaldı ki böyle anlatarak olacak iş olmadığını bizzat gördüm, uğraşır kafa yorarım diyorsan yap.

Not: .reg uzantılı dosya yaratıp regedit'i değiştirmeye kalkmak da bir işe yaramıyor, saniyesinde kendi istediği hale getiriyor.
Not: durumun ciddiyeti açısından bir örnek daha gerekli ise system32 ye girip sayfanın altlarına gitmeye kalktığında ortalama 3 saniyede bir klasöre refresh yaptığı için en üste geri gönderiyor.

Son olarak şu var ki öyle hariçten gazel okumakla olmuyor bu iş.

[Mr_Hand]

yürrü bea.