Pc'den silinemeyen ...
 
Bildirimler
Hepsini Temizle

Pc'den silinemeyen virüs hk.  

  RSS
okanvidin
(@okanvidin)
Üye

İyi Günler,

Forumda ilgili başlıklar altında incelememe rağmen gerekli çözüm yoluna ulaşamadığım için yeni konu açmış bulunmaktayım.
Sorunumuz : bir .bat veya script dosyası bilgisayarda çalışarak tüm uygulamaların ismini "uygunsuz içerikli kelimeler" ile değiştirmektedir.
Group policy veya system dosyalarının kontrolünde rastlanamadığı gibi yayılarak networkteki pc'leri gelmektedir.
Konu ile ilgili gerekli tool ve programları kullanmamıza rağmen karşılaşılan durum virüsten öte sinir bozucu bir durum almaktadır.
Standart forumlara uyup "formatla geç" kısmını kabul etmesekte denememize rağmen sanki boot'tan geliyor gibi tekrar karşılaşılmaktadır.

Böyle bir durumu yaşayan arkadaşlardan yardım talep etmekteyim

Şimdiden teşekkürler, saygılar

Alıntı
Gönderildi : 21/03/2014 12:42
Güney OKTAYLI
(@guneyoktayli)
Üye

[quote user="okanvidin"]

İyi Günler,

Forumda ilgili başlıklar altında incelememe rağmen gerekli çözüm yoluna ulaşamadığım için yeni konu açmış bulunmaktayım.
Sorunumuz : bir .bat veya script dosyası bilgisayarda çalışarak tüm uygulamaların ismini "uygunsuz içerikli kelimeler" ile değiştirmektedir.
Group policy veya system dosyalarının kontrolünde rastlanamadığı gibi yayılarak networkteki pc'leri gelmektedir.
Konu ile ilgili gerekli tool ve programları kullanmamıza rağmen karşılaşılan durum virüsten öte sinir bozucu bir durum almaktadır.
Standart forumlara uyup "formatla geç" kısmını kabul etmesekte denememize rağmen sanki boot'tan geliyor gibi tekrar karşılaşılmaktadır.

Böyle bir durumu yaşayan arkadaşlardan yardım talep etmekteyim

Şimdiden teşekkürler, saygılar

[/quote]

 

Aslında ilk olarak yapmanız gereken bu .bat dosyasını adına istinaden bunu temizleyen anti spy uygulamasını bularak temizleme işlemi yapmanız ve daha sonra Networkte diğer pc lerede dağılmasını önlemek için ya serverlarınızı kapatın yada switchlerini kapatın, daha sonra virüs olan bilgisayarlarınızı  tek tek güvenli modda .bat dosya adını biliyorsanız görev yöneticisinden,başlangıçtan,kullanıcı klasörlerinde,registryde aratarak manuel temizleme yoluna gidin daha sonra kullandığını anti spy tarzı programlarla tekrar taratınız. Emin olduktan sonra Network'e çıkabilirsiniz.

CevapAlıntı
Gönderildi : 21/03/2014 13:03
kemalettin taylan
(@kemalettintaylan)
Üye

Merhaba 

Avira Rescue System cd ile tarama yapmayı denediniz mi? Avira Rescue System cdsi diski sektör sektör tarama yapıyor  

CevapAlıntı
Gönderildi : 21/03/2014 13:29
okanvidin
(@okanvidin)
Üye

Merhaba,

Arkadaşlar cevaplarınız için teşekkür ederim.
avira rescue yi deneyeceğim,
Sorun ismi olmaması "boot.bat" startup.script " olabiliyor, bunun tespitini bir pc'de yaptık fakat diğerlerinde bu şekilde bulunamıyor,
Symantec endpoint ve eset kullanıyorum ayrıca Kaspersky Removal tool ve Malwarebytes antispy yazılım lisansımızda bulunmakta fakat bu durum virüsten ziyade registry içerisinde yapmış olduğu değişiklikler ile masa üstündeki uygulamaların ismini değiştirip c:\ altına dosya atmaktadır. yoksa kullanmış olduğumuz bu lisanslı yazılımlar ile yakalanabilirdi,

Tavsiyelerinizi dikkate alıp gerekli kontrolllere başlayacağım, bu sektörde bugün benim başıma gelebiliyorsa yarın sizede gelebilir konuyu çözebilir isek gerekli çözümleri paylaşacağım.

sıfır Hdd kesin çözümdür fakat maliyet ve işin kolayına kaçmayı kendime yediremiyorum 🙂

Teşekkürler

 

CevapAlıntı
Gönderildi : 21/03/2014 13:49
Güney OKTAYLI
(@guneyoktayli)
Üye

[quote user="okanvidin"]

Merhaba,

Arkadaşlar cevaplarınız için teşekkür ederim.
avira rescue yi deneyeceğim,
Sorun ismi olmaması "boot.bat" startup.script " olabiliyor, bunun tespitini bir pc'de yaptık fakat diğerlerinde bu şekilde bulunamıyor,
Symantec endpoint ve eset kullanıyorum ayrıca Kaspersky Removal tool ve Malwarebytes antispy yazılım lisansımızda bulunmakta fakat bu durum virüsten ziyade registry içerisinde yapmış olduğu değişiklikler ile masa üstündeki uygulamaların ismini değiştirip c:\ altına dosya atmaktadır. yoksa kullanmış olduğumuz bu lisanslı yazılımlar ile yakalanabilirdi,

Tavsiyelerinizi dikkate alıp gerekli kontrolllere başlayacağım, bu sektörde bugün benim başıma gelebiliyorsa yarın sizede gelebilir konuyu çözebilir isek gerekli çözümleri paylaşacağım.

sıfır Hdd kesin çözümdür fakat maliyet ve işin kolayına kaçmayı kendime yediremiyorum 🙂

Teşekkürler

 

[/quote]

Mevcut yazılımlarınızla virüslü diski, networkte olmayan ve temiz olan bir makinede taratabilirsiniz. 
Not:Virüslü diski hiçbirşekilde autorun vs ilk açılışla klasör temasına girmeden.

CevapAlıntı
Gönderildi : 21/03/2014 16:32
DoganYildiz
(@DoganYildiz)
Üye

Network üzerinden dağılıyorsa yukarıda da belirtildiği gibi networkü kapatarak temizlik işlemini sistemler güvenli modda iken yapmak gerekiyor. Ayrıca geri yükleme noktalarını tekrardan oluşturmakta faydalı olacaktır. Genelde bu tür şeylerde malwarebyte iyi iş çıkartıyor. Ağ destekli güvenli modda güncellemesini yaparak çalıştırdığınızda temizlik yapamıyor mu?

 

Kolay gelsin.

CevapAlıntı
Gönderildi : 21/03/2014 16:33
okanvidin
(@okanvidin)
Üye

network'ü kapatarak yapıyoruz sorun yok, network'ü açınca belli bir süre sonra tekrardan geliyor,
bulduğum o dosyayı malware ile tarattığımda malware onu virüs olarak tanımlamıyor çünkü bu (script diyorum) örn: ammyy, outook, ie vb.
programların ismini değiştiriyor "abc.com" "www xyz" gibi isimler yapıyor(bu arada abc,xyz yazan yerlerde uygunsuz isimler yazıyor onları buraya yazamıyorum) dosyanın içeriğine baktığımız zaman aşağıdaki ekteki yazılara ulaşıyorum (resimler linktedir)

Normal
0

21

false
false
false

TR
X-NONE
X-NONE

MicrosoftInternetExplorer4

/* Style Definitions */
table.MsoNormalTable
{mso-style-name:"Normal Tablo";
mso-tstyle-rowband-size:0;
mso-tstyle-colband-size:0;
mso-style-noshow:yes;
mso-style-priority:99;
mso-style-qformat:yes;
mso-style-parent:"";
mso-padding-alt:0cm 5.4pt 0cm 5.4pt;
mso-para-margin:0cm;
mso-para-margin-bottom:.0001pt;
mso-pagination:widow-orphan;
font-size:11.0pt;
font-family:"Calibri","sans-serif";
mso-ascii-font-family:Calibri;
mso-ascii-theme-font:minor-latin;
mso-fareast-font-family:"Times New Roman";
mso-fareast-theme-font:minor-fareast;
mso-hansi-font-family:Calibri;
mso-hansi-theme-font:minor-latin;
mso-bidi-font-family:"Times New Roman";
mso-bidi-theme-font:minor-bidi;}


CevapAlıntı
Gönderildi : 21/03/2014 19:31
okanvidin
(@okanvidin)
Üye

CevapAlıntı
Gönderildi : 21/03/2014 19:53
omeraksu
(@omeraksu)
Üye

merhaba arkadaşım ben izmir mesleki eğitim merkezi bilgi işlemcisiyim ve senin sorununu bende geçen eylül ayında yaşadım bende buna benzer bir virüs vardı ama bende sahte polis sitesine yönlendiriyor pc niz polis tarafından ele geçirilmiştir açılması için teb şube hesap no gibisinden sayfa açıyordu ve bilgisayarı resetleyip güvenli moddan girsemde güvenli mod da dahi karşıma çıkıyordu ben sorunu şöyle çözdüm

 1- önce hard diski söktüm başka pc ye taktım

2 -hard diskin takılı olduğu pc de avg internet security malwarebytes ve sypbot search destroy vardı

3- tüm hepsi ile yüklü tüm hard disk bölümlerini derin tarama yaptırdım ve bulunan tüm zararlı içerikleri sildim

4-hard diski tekrar kendi pc sine taktığımda windows çökmüş olarak karşıma çıkmıştı cd den onarma yaptım

5-windows çok ağır çalıştığını fark ettim virüs etkilerini silmek için mbr komutunu kullandım anlatımı xp için yapacağım o zaman xp kullanıyordum çünkü

MBR Virüsleri Nelerdir? Nasıl Temizlenirler?

MBR (Master Boot Record ) virüsleride boot sektör virüsleri gibi özel yöntemlerle kendilerini bilgisayarın başlangıç sektörü olan MBR sektörüne kopyalarlar ve bilgisayar açılırken ilk olarak bu sektör flash tarafından okuncağı için MBR virüsü pc de aktif hale geçecektir.
MBR virüsünü temizlemek aslında çok basit bir şekilde gerçekleşir.
1.) Windows kurulum cd sini bilgisayarınıza takın.
2.) Bilgisayarınızı cdromdan başlata ayarlayın ve cd desteği ile başlatın.
3.) Okuma işlemleri bittikten sonra R (Onar) Tuşuna basarak onarma bölümüne geçin.
4.) Bu aşamdan sonra varsayılan klavye düzeninin seçilmesi için biraz bekleyin ve Hangi windows oturumu ile çalışmak istiyorsunuz sorusuna 1 yazarak Enter tuşuna basın. Sizden yönetici şifresi isterse boş bırakarak Enter tuşuna basın, eğer kabul etmezse, windows kurulurken girdiğiniz şifreyi yazarak işleme devam edin.

5.) Tüm bu aşamalardan sonra karşınıza gelen komut satırına fixmbr komutunu yazarak Enter'a basın ve karşınıza gelen kısımlardada devam ederek MBR sektörünüzü yeniden oluşturun. FIXMBR komutu msdos'da cd desteği ile başlatıldığı zaman çalışabilen bir komuttur. Normalde xp açıkken bu komutu çalıştıramazsınız. 

 

bu işlemlerden sonra windows açmazsa tüm bu işlemler öncesi yedeğinizi alın o zamanda tek çare format atmak gerekecek

işiniz çok zor gerçekten kolay gelsin 

CevapAlıntı
Gönderildi : 23/03/2014 01:38
okanvidin
(@okanvidin)
Üye

merhaba hocam,

Çok teşekkür ederim yararlı oldu bizim için, virüs'ün kaynağı sistem geri yükleme çıktı.
şube turunda olduğum için cevap vermekte geç kaldım kusura bakmayın,

bu konuyu inceleme ve çözme adına çok vaktim oldu ve çok şükür çözdük fakat tüm pc'leri klonlayarak veya hiren boot cd'nin tool'u paragon ile tüm partion ları silip tek partion kurarak..

Temiz klonda ve artık atılacak her formatta dikkat edilmesi gereken hususlar (kendi yaptıklarım) :

öncelikle mevcut sistemde sistem geri yükleme ve sistem görüntüsü bırakmamak gerekiyor(virüs buradan türüyor)
win 7 sistemleri tek partion olarak kurup, windows ekranına düştüğünde birim küçülterek d:\ partion yaratıyorum,
sistem geri yükleme kapatıp, disklere gelip sağ tuş --> özellikler --> kota kısmında kota hakkını açıyorum (ekstradan haberimiz olmadan diske yazılmasın diye)
Antivirüs programı taramayı en üst seviyeye çekiyoruz ayrıca malwarebytes ürününü kullanıyoruz,

Önemli olan min partion ile sistemi kurmak eğer 2.diskten yedekleri kurtarmak istiyorsanız sistem çalışırken disk'i takıp yedek alınız, boot ettiğiniz anda virüs sağlam disk'e atlayarak 1-2 güne yayılıyor.

Bu unsurları dikkate alarak toplamda 8şube yaklaşık 70 pc'de uyguladık ve başarılı olduk.

Cevaplarınız ve yardımlarınız için teşekkürler 

CevapAlıntı
Gönderildi : 31/03/2014 15:38
Paylaş: