Rootkit virüs&...
 
Bildirimler
Hepsini Temizle

Rootkit virüsü hk.  

  RSS
okanvidin
(@okanvidin)
Üye

İyi günler,

Client'larımızda meydana gelen arızadan öncelikle bahsetmek istiyorum. Xp'nin bitme süresine yakın bir dönemde bilgisayara bulaşan ".bat veya script" öncelikle masaüstündeki ikonların isimlerini değiştirmekte (uygunsuz içerik olarak) ardından müdahale yapılmazsa backup diskilerini (d:, e:) biçimlendirmektedir. İnternet üzerinden edindiğim bilgiye göre svchost sayesinde network'e yayılabiliyor. Anti virüs ve anti malware'e yakalanmıyor çünkü kendini sistemin bir parçası olarak çalıştırmakta ayrıca service olduğunu düşünüyorum sürekli isim değiştirip dosya yaratıyor. İşin sıkıntılı durumu ne olduğunu biliyoruz fakat çözüm olarak net birşey yok.
Denenen tool'lar : Avira rescue (linux tabanlı), kaspersky removal tool, malware bytes, sophos vb......

AVG anti rootkit ile yaptığımız taramalarda ise  "ntcreatethreadex hook" isimli bir şey ile karşılaşıyoruz ve aradığımız zaman bunun için service olarak sistemde dosyası gibi sürekli çalışan bir virüs olduğu ortaya çıkıyor.

Şimdilik yaptığımız çözüm sıfır temiz disk ile virüs'lü diski clon ile ezerek yeniden kurmak yada clon yapmak...

Kesin olarak belli bir çözüm üretemedik (tool indirip tarattırmak ve temizleyip yolumuza devam etmek gibi)

 Konu hakkında tecrübenize güveniyorum şimdiden teşekkürler

Alıntı
Gönderildi : 24/04/2014 22:14
Ayhan Özdemir
(@ayhanozdemir)
Üye

Merhaba,

Sistemi komple kapatıp clientları güvenli modda tek tek açarak combofix (Ücretsiz) ile tarattırın.Bütün makinaların taraması bitince sistemi komple açıp deneyin.

Kolay gelsin 

CevapAlıntı
Gönderildi : 25/04/2014 17:24
Mustafa KURU
(@MustafaKURU)
Üye

Merhaba,

Ayhan Bey tavsiyesi faydalı olacaktır Combofix düşük ihtimal dahilinde sistemleri patlatsada bir çok sert ve güçlü virusleri silebilmektedir.

CevapAlıntı
Gönderildi : 25/04/2014 20:15
okanvidin
(@okanvidin)
Üye

merhaba,

Combofix denenmiştir fakat sonuc aynı. 

Biz bilgisayarları klonlamaya devam ediyoruz ama işin ilginç yanı kimsenin başına gelmemiş olması ilk kobay biz olduk sanırım 🙂

CevapAlıntı
Gönderildi : 05/05/2014 12:23
YILMAZ GÖKCE
(@yilmazgokce)
Üye

Norman malware cleaner denedinizmi ?

Geçenlerde bende de böyle bir sıkıntı olmuştu faydalı oldu... 

CevapAlıntı
Gönderildi : 05/05/2014 12:49
Mustafa KURU
(@MustafaKURU)
Üye

Merhaba Okan Bey,

Birde Malwarebytes Anti-Malware Full sürümü ile denermisiniz.

Çözüme ulaşmanız dileğiyle.

CevapAlıntı
Gönderildi : 05/05/2014 12:50
okanvidin
(@okanvidin)
Üye

anti malware bytes lisanslı ürünü makinalarımızda kuruludur. Norman malware de bulamıyor çok garip bir durum, sanki bir servis var ve sürekli bir notepad içerisinden komutları çalıştırıp; masaüstü isimlerini değiştirip backup disklerini biçimlendiriyor. Konu ile ilgili arkadaşlarımızdan nod32, kaspersky, webroot gibi yazılımları temin ederek denedik, avira rescue sistem, combofix, avg rootkit derdimize çare olmadı. Şuan klon yaparak gideriyoruz fakat işin derinine inmek istiyoruz.(nedir, nasıl çalışır, nasıl engellenir) şuan tek çare olarak vb script'lerin çalışmasını engelliyoruz(tabi scriptse) 

yoksa klasik bir virüs olsa izlenecek yollar belli, toollar bellidir ama bunun ne olduğuda belli değil 🙂 sinirden gülmeye başladık artık.

CevapAlıntı
Gönderildi : 05/05/2014 19:10
Kenan IŞIK
(@KenanISIK)
Üye

Merhaba ,  log alıp gönderir seniz yardımcı olabilirim. 

 

http://www.eset.com/tr/download/utilities/detail/family/3/

 

 

CevapAlıntı
Gönderildi : 28/05/2014 14:35
Paylaş: