Konu: Format da atsan geri gelen virüs

Bu virüsten kurtulmak çok zor!


İnternette dolaşan yeni trojan hızla yayılıyor. Üstelik bu trojanla kurtulmak hiç de kolay değil.Son birkaç gündür internet üzerinde dolaşan zararlı kullanıcıların bir numaralı belası olmaya başladı.

Kaspersky tarafından "Trojan-Downloader.JS.Small.js" olarak tanımlanan zararlı, ağ üzerindeki bir PC'ye bulaşarak bu PC'yi sistemde Gateway olarak gösteriyor. Diğer bilgisayarlar ise Gateway olarak gördükleri bu PC üzerinden internete bağlanmaya çalışıyor. Tabi bu durumda virüs de internete bağlanmak isteyen PC'ye direkt olarak bulaşmış oluyor.

Zararlıdan etkilenen PC'ye format atılsa bile, ağa bağlanıldığı an virüs tekrar sisteme bulaşıyor. Virüsten kurtulmanın yolu ise, ağ üzerinde bulunan ve zararlıdan etkilenen tüm PC'leri tespit etmek ve zararlıyı silmek, daha doğrusu bu sistemleri formatlamak.

ALINTIdır...

virüs format ile silinmiyor,sabit diske fabrika çıkış format'ı atmak gerekiyor yani low level format.
Sabit diskin bölünmeyen alanına saklanıyor 8 mb'lık olan.

Benzer Konular:

• Handy Recovery v4.0 **Sildiğiniz Dosyaları Geri Getirir-Format Bile Olsa
• En hızlı Yayılan Virüs
• Handy Recovery v4.0 **Sildiğiniz Dosyaları Geri Getirir-Format Bile Olsa
• İlk virüs şakayla başlamış
• FORMAT/FDISKten sonra dosyalarınız mı silindi?geri getirin!

Allah allah nerden cıktı simdi bu ya :S

Nette dolaşırkene...Bulaşanlar anlatıyordu.

teşekürler.. aman benden uzak olsun..daha geçen bi virüsle uğraştım ...nod32 var bende 1 milyon küsürlük deneme sürümüyle....

bişe olmaz

Yeni PC alınca onada geçiyormuymuş

ya kasper yada ESET yapar gene bişii hatta bu virüsü onlar çıkarmıştır ztn eminim

beyler bnden sölemesi bn antivir kullanıyorum çok memnunum est smart kullanıodum visrus yok diyodu antiviri bi yukledim 6 tane buldu. genede siz bilirisiniz

virüs programlarının bazıları dosylardaki bazi şeyleride virüs olarak algılayabilir...

inşallah kimseys bulaşmaz

Merhaba ne yazikki sistemime bulaştı 1 aydır uğraşıyorum çare bulamadım denemediğim yöntem kalmadı rootkit,antivirus ama 8mb lık bölüm aklıma gelmişti ama iyi bir haber bir deneyeceğim 10. format mıydı hatırlamıyorum 2 yeni disk aldım kurtarmak için bağladiğim disklere de etki ediyor.2 tb disk gitti nerdeyse 5 hdd 3 pc 1 laptop adsl ethernet modeme bağlı,acaba netten machid kopyalayıp mı diye de geldi aklıma ama artık bıktım yeni pc almayı da düşündüm ama ona da netten bulaşır diye cesaret edemedim.Malwarebytes' Anti-Malware,SUPERAntiSpyware ve kaspersky ile virüsü temizledim gibi ama rootkitler yüzünden her kurulumda aynı süreç devam ediyor.Yardım edebilecek biri varmı?
belirtiler:
Kullanıcı haklarını alamıyorsunuz,Creator owner özel izinler yaratıyor,daha çok detay var da...
NET START komutu ile görünüyor
Şu Windows hizmetleri başlatıldı:
Ağ Bağlantıları
Ağ Konumu Tanıma (NLA)
Bilgisayar Tarayıcısı
COM+ Olay Sistemi
Dağıtılmış Bağlantı İzleme İstemcisi
DHCP İstemcisi
DNS İstemcisi
Görev Zamanlayıcı
Hata Bildirim Hizmeti
HID Input Service
Hızlı Kullanıcı Değiştirme Uyumluluğu
Internet Bağlantısı Güvenlik Duvarı (ICF) / Internet Bağlantı Paylaşımı (ICS)
IPSEC Hizmetleri
Kablosuz Sıfır Yapılandırma
Kabuk Donanım Algılaması
Karşıya Yükleme Yöneticisi
Korumalı Depolama
Mantıksal Disk Yöneticisi
Messenger
Olay Günlüğü
Otomatik Güncelleştirme
Security Accounts Manager
Sistem Geri Yükleme Hizmeti
Sistem Olay Bildirimi
SSDP Bulma Hizmeti
Sunucu
Tak ve Kullan
Taşınabilir Ortam Seri No
TCP/IP NetBIOS Yardımcısı
Telefon
Temalar
Terminal Hizmetleri
Uygulama Katmanı Ağ Geçidi Hizmeti
Uzaktan Erişim Bağlantı Yöneticisi
Uzaktan Erişim Otomatik Bağlantı Yöneticisi
Uzaktan Kayıt Defteri
Uzaktan Yordam Çağrısı (RPC)
WebClient
Windows Saati
Windows Ses
Windows Yönetim Yardımcıları
Yardım ve Destek
Yazdırma Biriktiricisi
İkincil Oturum
İş İstasyonu
Şifreleme Hizmetleri

NET STOP SERVICES
1060 sistem hatası oldu.
Belirtilen hizmet, yüklü bir hizmet olarak yok.

Açtığı portlar
netstat -an komutu ile görünüyor
TCP 0.0.0.0:7 0.0.0.0:0 LISTENING
TCP 0.0.0.0:9 0.0.0.0:0 LISTENING
TCP 0.0.0.0:13 0.0.0.0:0 LISTENING
TCP 0.0.0.0:17 0.0.0.0:0 LISTENING
TCP 0.0.0.0:19 0.0.0.0:0 LISTENING
TCP 0.0.0.0:135 0.0.0.0:0 LISTENING
TCP 0.0.0.0:445 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1025 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1027 0.0.0.0:0 LISTENING
TCP 0.0.0.0:5000 0.0.0.0:0 LISTENING
TCP 127.0.0.1:3001 0.0.0.0:0 LISTENING
TCP 127.0.0.1:3002 0.0.0.0:0 LISTENING
TCP 127.0.0.1:3003 0.0.0.0:0 LISTENING
TCP 127.0.0.1:12025 0.0.0.0:0 LISTENING
TCP 127.0.0.1:12080 0.0.0.0:0 LISTENING
TCP 127.0.0.1:12110 0.0.0.0:0 LISTENING
TCP 127.0.0.1:12119 0.0.0.0:0 LISTENING
TCP 127.0.0.1:12143 0.0.0.0:0 LISTENING
TCP 127.0.0.1:30606 0.0.0.0:0 LISTENING
UDP 0.0.0.0:7 *:*
UDP 0.0.0.0:9 *:*
UDP 0.0.0.0:13 *:*
UDP 0.0.0.0:17 *:*
UDP 0.0.0.0:19 *:*
UDP 0.0.0.0:135 *:*
UDP 0.0.0.0:445 *:*
UDP 0.0.0.0:500 *:*
UDP 0.0.0.0:1026 *:*
UDP 127.0.0.1:123 *:*
UDP 127.0.0.1:1900 *:*
UDP 127.0.0.1:2234 *:*

Avast 4.8 rootkitleri buldu ama hiçbir işlem yapmadı.
08.12.2008 06:34:43 Administrator 804 Sign of "Rootkit: hidden file" has been found in "C:\WINDOWS\system32\wbem\xml.xsl\wmi2xml.dll" file.
08.12.2008 06:34:44 Administrator 804 Sign of "Rootkit: hidden file" has been found in "C:\WINDOWS\system32\setupapi.dll\comsetup.dll " file.
08.12.2008 06:34:45 Administrator 804 Sign of "Rootkit: hidden file" has been found in "C:\WINDOWS\system32\setupapi.dll\fp40ext.dll" file.
08.12.2008 06:34:47 Administrator 804 Sign of "Rootkit: hidden file" has been found in "C:\WINDOWS\system32\setupapi.dll\fxsocm.dll" file.
08.12.2008 06:34:48 Administrator 804 Sign of "Rootkit: hidden file" has been found in "C:\WINDOWS\system32\setupapi.dll\iis.dll" file.
08.12.2008 06:34:49 Administrator 804 Sign of "Rootkit: hidden file" has been found in "C:\WINDOWS\system32\setupapi.dll\imsinsnt.dll " file.
08.12.2008 06:34:50 Administrator 804 Sign of "Rootkit: hidden file" has been found in "C:\WINDOWS\system32\setupapi.dll\msmqocm.dll" file.
08.12.2008 06:34:51 Administrator 804 Sign of "Rootkit: hidden file" has been found in "C:\WINDOWS\system32\setupapi.dll\netoc.dll" file.
08.12.2008 06:34:52 Administrator 804 Sign of "Rootkit: hidden file" has been found in "C:\WINDOWS\system32\setupapi.dll\msdtcstp.dll " file.
08.12.2008 06:34:53 Administrator 804 Sign of "Rootkit: hidden file" has been found in "C:\WINDOWS\system32\setupapi.dll\ntoc.dll" file.
08.12.2008 06:34:55 Administrator 804 Sign of "Rootkit: hidden file" has been found in "C:\WINDOWS\system32\setupapi.dll\ocgen.dll" file.
08.12.2008 06:34:56 Administrator 804 Sign of "Rootkit: hidden file" has been found in "C:\WINDOWS\system32\setupapi.dll\setupqry.dll " file.
08.12.2008 06:34:57 Administrator 804 Sign of "Rootkit: hidden file" has been found in "C:\WINDOWS\system32\setupapi.dll\tsoc.dll" file.
08.12.2008 06:34:58 Administrator 804 Sign of "Rootkit: hidden file" has been found in "C:\WINDOWS\system32\setupapi.dll\zoneoc.dll" file.
08.12.2008 06:34:59 Administrator 804 Sign of "Rootkit: hidden file" has been found in "C:\WINDOWS\system32\setupapi.dll\fsconins.dll " file.
08.12.2008 06:35:00 Administrator 804 Sign of "Rootkit: hidden file" has been found in "C:\WINDOWS\system32\setupapi.dll\ocmsn.dll" file.
08.12.2008 06:35:01 Administrator 804 Sign of "Rootkit: hidden file" has been found in "C:\WINDOWS\system32\setupapi.dll\msgrocm.dll" file.
08.12.2008 06:35:22 Administrator 804 Sign of "Rootkit: hidden file" has been found in "C:\WINDOWS\system32\npptools.dll\ndisnpp.dll" file.
08.12.2008 06:35:23 Administrator 804 Sign of "Rootkit: hidden file" has been found in "C:\WINDOWS\system32\npptools.dll\nppagent.exe " file.
08.12.2008 06:35:48 Administrator 804 Sign of "Rootkit: hidden file" has been found in "C:\WINDOWS\system32\setup.exe\comsetup.dll" file.
08.12.2008 06:35:49 Administrator 804 Sign of "Rootkit: hidden file" has been found in "C:\WINDOWS\system32\setup.exe\fp40ext.dll" file.
08.12.2008 06:35:51 Administrator 804 Sign of "Rootkit: hidden file" has been found in "C:\WINDOWS\system32\setup.exe\fxsocm.dll" file.
08.12.2008 06:35:52 Administrator 804 Sign of "Rootkit: hidden file" has been found in "C:\WINDOWS\system32\setup.exe\iis.dll" file.
08.12.2008 06:35:53 Administrator 804 Sign of "Rootkit: hidden file" has been found in "C:\WINDOWS\system32\setup.exe\imsinsnt.dll" file.
08.12.2008 06:35:54 Administrator 804 Sign of "Rootkit: hidden file" has been found in "C:\WINDOWS\system32\setup.exe\msmqocm.dll" file.
08.12.2008 06:35:55 Administrator 804 Sign of "Rootkit: hidden file" has been found in "C:\WINDOWS\system32\setup.exe\netoc.dll" file.
08.12.2008 06:35:56 Administrator 804 Sign of "Rootkit: hidden file" has been found in "C:\WINDOWS\system32\setup.exe\msdtcstp.dll" file.
08.12.2008 06:35:57 Administrator 804 Sign of "Rootkit: hidden file" has been found in "C:\WINDOWS\system32\setup.exe\ntoc.dll" file.
08.12.2008 06:35:59 Administrator 804 Sign of "Rootkit: hidden file" has been found in "C:\WINDOWS\system32\setup.exe\ocgen.dll" file.
08.12.2008 06:36:00 Administrator 804 Sign of "Rootkit: hidden file" has been found in "C:\WINDOWS\system32\setup.exe\setupqry.dll" file.
08.12.2008 06:36:01 Administrator 804 Sign of "Rootkit: hidden file" has been found in "C:\WINDOWS\system32\setup.exe\tsoc.dll" file.
08.12.2008 06:36:02 Administrator 804 Sign of "Rootkit: hidden file" has been found in "C:\WINDOWS\system32\setup.exe\zoneoc.dll" file.
08.12.2008 06:36:03 Administrator 804 Sign of "Rootkit: hidden file" has been found in "C:\WINDOWS\system32\setup.exe\fsconins.dll" file.
08.12.2008 06:36:04 Administrator 804 Sign of "Rootkit: hidden file" has been found in "C:\WINDOWS\system32\setup.exe\ocmsn.dll" file.
08.12.2008 06:36:05 Administrator 804 Sign of "Rootkit: hidden file" has been found in "C:\WINDOWS\system32\setup.exe\msgrocm.dll" file.
08.12.2008 06:36:06 Administrator 804 Sign of "Rootkit: hidden file" has been found in "C:\WINDOWS\system32\setup.bmp\comsetup.dll" file.
08.12.2008 06:36:07 Administrator 804 Sign of "Rootkit: hidden file" has been found in "C:\WINDOWS\system32\setup.bmp\fp40ext.dll" file.
08.12.2008 06:36:09 Administrator 804 Sign of "Rootkit: hidden file" has been found in "C:\WINDOWS\system32\setup.bmp\fxsocm.dll" file.
08.12.2008 06:36:10 Administrator 804 Sign of "Rootkit: hidden file" has been found in "C:\WINDOWS\system32\setup.bmp\iis.dll" file.
08.12.2008 06:36:11 Administrator 804 Sign of "Rootkit: hidden file" has been found in "C:\WINDOWS\system32\setup.bmp\imsinsnt.dll" file.
08.12.2008 06:36:12 Administrator 804 Sign of "Rootkit: hidden file" has been found in "C:\WINDOWS\system32\setup.bmp\msmqocm.dll" file.
08.12.2008 06:36:13 Administrator 804 Sign of "Rootkit: hidden file" has been found in "C:\WINDOWS\system32\setup.bmp\netoc.dll" file.
08.12.2008 06:36:14 Administrator 804 Sign of "Rootkit: hidden file" has been found in "C:\WINDOWS\system32\setup.bmp\msdtcstp.dll" file.
08.12.2008 06:36:15 Administrator 804 Sign of "Rootkit: hidden file" has been found in "C:\WINDOWS\system32\setup.bmp\ntoc.dll" file.
08.12.2008 06:36:17 Administrator 804 Sign of "Rootkit: hidden file" has been found in "C:\WINDOWS\system32\setup.bmp\ocgen.dll" file.
08.12.2008 06:36:18 Administrator 804 Sign of "Rootkit: hidden file" has been found in "C:\WINDOWS\system32\setup.bmp\setupqry.dll" file.
08.12.2008 06:36:19 Administrator 804 Sign of "Rootkit: hidden file" has been found in "C:\WINDOWS\system32\setup.bmp\tsoc.dll" file.
08.12.2008 06:36:20 Administrator 804 Sign of "Rootkit: hidden file" has been found in "C:\WINDOWS\system32\setup.bmp\zoneoc.dll" file.
08.12.2008 06:36:21 Administrator 804 Sign of "Rootkit: hidden file" has been found in "C:\WINDOWS\system32\setup.bmp\fsconins.dll" file.
08.12.2008 06:36:22 Administrator 804 Sign of "Rootkit: hidden file" has been found in "C:\WINDOWS\system32\setup.bmp\ocmsn.dll" file.
08.12.2008 06:36:23 Administrator 804 Sign of "Rootkit: hidden file" has been found in "C:\WINDOWS\system32\setup.bmp\msgrocm.dll" file.
08.12.2008 06:36:24 Administrator 804 Sign of "Rootkit: hidden file" has been found in "C:\WINDOWS\system32\setupdll.dll\comsetup.dll " file.
08.12.2008 06:36:25 Administrator 804 Sign of "Rootkit: hidden file" has been found in "C:\WINDOWS\system32\setupdll.dll\fp40ext.dll" file.
08.12.2008 06:36:26 Administrator 804 Sign of "Rootkit: hidden file" has been found in "C:\WINDOWS\system32\setupdll.dll\fxsocm.dll" file.
08.12.2008 06:36:28 Administrator 804 Sign of "Rootkit: hidden file" has been found in "C:\WINDOWS\system32\setupdll.dll\iis.dll" file.
08.12.2008 06:36:29 Administrator 804 Sign of "Rootkit: hidden file" has been found in "C:\WINDOWS\system32\setupdll.dll\imsinsnt.dll " file.
08.12.2008 06:36:30 Administrator 804 Sign of "Rootkit: hidden file" has been found in "C:\WINDOWS\system32\setupdll.dll\msmqocm.dll" file.
08.12.2008 06:36:31 Administrator 804 Sign of "Rootkit: hidden file" has been found in "C:\WINDOWS\system32\setupdll.dll\netoc.dll" file.
08.12.2008 06:36:32 Administrator 804 Sign of "Rootkit: hidden file" has been found in "C:\WINDOWS\system32\setupdll.dll\msdtcstp.dll " file.
08.12.2008 06:36:33 Administrator 804 Sign of "Rootkit: hidden file" has been found in "C:\WINDOWS\system32\setupdll.dll\ntoc.dll" file.
08.12.2008 06:36:34 Administrator 804 Sign of "Rootkit: hidden file" has been found in "C:\WINDOWS\system32\setupdll.dll\ocgen.dll" file.
08.12.2008 06:36:36 Administrator 804 Sign of "Rootkit: hidden file" has been found in "C:\WINDOWS\system32\setupdll.dll\setupqry.dll " file.
08.12.2008 06:36:37 Administrator 804 Sign of "Rootkit: hidden file" has been found in "C:\WINDOWS\system32\setupdll.dll\tsoc.dll" file.
08.12.2008 06:36:38 Administrator 804 Sign of "Rootkit: hidden file" has been found in "C:\WINDOWS\system32\setupdll.dll\zoneoc.dll" file.
08.12.2008 06:36:39 Administrator 804 Sign of "Rootkit: hidden file" has been found in "C:\WINDOWS\system32\setupdll.dll\fsconins.dll " file.
08.12.2008 06:36:40 Administrator 804 Sign of "Rootkit: hidden file" has been found in "C:\WINDOWS\system32\setupdll.dll\ocmsn.dll" file.
08.12.2008 06:36:41 Administrator 804 Sign of "Rootkit: hidden file" has been found in "C:\WINDOWS\system32\setupdll.dll\msgrocm.dll" file.
08.12.2008 06:37:31 Administrator 804 Sign of "Rootkit: hidden file" has been found in "C:\WINDOWS\system.ini\WINSPOOL.DRV" file.
08.12.2008 06:37:32 Administrator 804 Sign of "Rootkit: hidden file" has been found in "C:\WINDOWS\twain_32.dll\wiatwain.ds" file.
08.12.2008 06:37:36 Administrator 804 Sign of "" has been found in "C:\WINDOWS\system32\wbem\xml.xsl\wmi2xml.dll||Ant iRootkit [FILE]|||100000|0|2|COO1||COO2||C:\WINDOWS\system32\setu papi.dll\comsetup.dll||AntiRootkit [FILE]|||100000|0|2|COO1||COO2||C:\WINDOWS\system32\setu papi.dll\fp40ext.dll||AntiRootkit [FILE]|||100000|0|2|COO1||COO2||C:\WINDOWS\system32\setu papi.dll\fxsocm.dll||AntiRootkit [FILE]|||100000|0|2|COO1||COO2||C:\WINDOWS\system32\setu papi.dll\iis.dll||AntiRootkit [FILE]|||100000|0|2|COO1||COO2||C:\WINDOWS\system32\setu papi.dll\imsinsnt.dll||AntiRootkit [FILE]|||100000|0|2|COO1||COO2||C:\WINDOWS\system32\setu papi.dll\msmqocm.dll||AntiRootkit [FILE]|||100000|0|2|COO1||COO2||C:\WINDOWS\system32\setu papi.dll\netoc.dll||AntiRootkit [FILE]|||100000|0|2|COO1||COO2||C:\WINDOWS\system32\setu papi.dll\msdtcstp.dll||AntiRootkit [FILE]|||100000|0|2|COO1||COO2||C:\WINDOWS\system32\setu papi.dll\ntoc.dll||AntiRootkit [FILE]|||100000|0|2|COO1||COO2||C:\WINDOWS\system32\setu papi.dll\ocgen.dll||AntiRootkit [FILE]|||100000|0|2|COO1||COO2||C:\WINDOWS\system32\setu papi.dll\setupqry.dll||AntiRootkit [FILE]|||100000|0|2|COO1||COO2||C:\WINDOWS\system32\setu papi.dll\tsoc.dll||AntiRootkit [FILE]|||100000|0|2|COO1||COO2||C:\WINDOWS\system32\setu papi.dll\zoneoc.dll||AntiRootkit [FILE]|||100000|0|2|COO1||COO2||C:\WINDOWS\system32\setu papi.dll\fsconins.dll||AntiRootkit [FILE]|||100000|0|2|COO1||COO2||C:\WINDOWS\system32\setu papi.dll\ocmsn.dll||AntiRootkit [FILE]|||100000|0|2|COO1||COO2||C:\WINDOWS\system32\setu papi.dll\msgrocm.dll||AntiRootkit [FILE]|||100000|0|2|COO1||COO2||C:\WINDOWS\system32\nppt ools.dll\ndisnpp.dll||AntiRootkit [FILE]|||100000|0|2|COO1||COO2||C:\WINDOWS\system32\nppt ools.dll\nppagent.exe||AntiRootkit [FILE]|||100000|0|2|COO1||COO2||C:\WINDOWS\system32\setu p.exe\comsetup.dll||AntiRootkit [FILE]|||100000|0|2|COO1||COO2||C:\WINDOWS\system32\setu p.exe\fp40ext.dll||AntiRootkit [FILE]|||100000|0|2|COO1||COO2||C:\WINDOWS\system32\setu p.exe\fxsocm.dll||AntiRootkit [FILE]|||100000|0|2|COO1||COO2||C:\WINDOWS\system32\setu p.exe\iis.dll||AntiRootkit [FILE]|||100000|0|2|COO1||COO2||C:\WINDOWS\system32\setu p.exe\imsinsnt.dll||AntiRootkit [FILE]|||100000|0|2|COO1||COO2||C:\WINDOWS\system32\setu p.exe\msmqocm.dll||AntiRootkit [FILE]|||100000|0|2|COO1||COO2||C:\WINDOWS\system32\setu p.exe\netoc.dll||AntiRootkit [FILE]|||100000|0|2|COO1||COO2||C:\WINDOWS\system32\setu p.exe\msdtcstp.dll||AntiRootkit [FILE]|||100000|0|2|COO1||COO2||C:\WINDOWS\system32\setu p.exe\ntoc.dll||AntiRootkit [FILE]|||100000|0|2|COO1||COO2||C:\WINDOWS\system32\setu p.exe\ocgen.dll||AntiRootkit [FILE]|||100000|0|2|COO1||COO2||C:\WINDOWS\system32\setu p.exe\setupqry.dll||AntiRootkit [FILE]|||100000|0|2|COO1||COO2||C:\WINDOWS\system32\setu p.exe\tsoc.dll||AntiRootkit [FILE]|||100000|0|2|COO1||COO2||C:\WINDOWS\system32\setu p.exe\zoneoc.dll||AntiRootkit [FILE]|||100000|0|2|COO1||COO2||C:\WINDOWS\system32\setu p.exe\fsconins.dll||AntiRootkit [FILE]|||100000|0|2|COO1||COO2||C:\WINDOWS\system32\setu p.exe\ocmsn.dll||AntiRootkit [FILE]|||100000|0|2|COO1||COO2||C:\WINDOWS\system32\setu p.exe\msgrocm.dll||AntiRootkit [FILE]|||100000|0|2|COO1||COO2||C:\WINDOWS\system32\setu p.bmp\comsetup.dll||AntiRootkit [FILE]|||100000|0|2|COO1||COO2||C:\WINDOWS\system32\setu p.bmp\fp40ext.dll||AntiRootkit [FILE]|||100000|0|2|COO1||COO2||C:\WINDOWS\system32\setu p.bmp\fxsocm.dll||AntiRootkit [FILE]|||100000|0|2|COO1||COO2||C:\WINDOWS\system32\setu p.bmp\iis.dll||AntiRootkit [FILE]|||100000|0|2|COO1||COO2||C:\WINDOWS\system32\setu p.bmp\imsinsnt.dll||AntiRootkit [FILE]|||100000|0|2|COO1||COO2||C:\WINDOWS\system32\setu p.bmp\msmqocm.dll||AntiRootkit [FILE]|||100000|0|2|COO1||COO2||C:\WINDOWS\system32\setu p.bmp\netoc.dll||AntiRootkit [FILE]|||100000|0|2|COO1||COO2||C:\WINDOWS\system32\setu p.bmp\msdtcstp.dll||AntiRootkit [FILE]|||100000|0|2|COO1||COO2||C:\WINDOWS\system32\setu p.bmp\ntoc.dll||AntiRootkit [FILE]|||100000|0|2|COO1||COO2||C:\WINDOWS\system32\setu p.bmp\ocgen.dll||AntiRootkit [FILE]|||100000|0|2|COO1||COO2||C:\WINDOWS\system32\setu p.bmp\setupqry.dll||AntiRootkit [FILE]|||100000|0|2|COO1||COO2||C:\WINDOWS\system32\setu p.bmp\tsoc.dll||AntiRootkit [FILE]|||100000|0|2|COO1||COO2||C:\WINDOWS\system32\setu p.bmp\zoneoc.dll||AntiRootkit [FILE]|||100000|0|2|COO1||COO2||C:\WINDOWS\system32\setu p.bmp\fsconins.dll||AntiRootkit [FILE]|||100000|0|2|COO1||COO2||C:\WINDOWS\system32\setu p.bmp\ocmsn.dll||AntiRootkit [FILE]|||100000|0|2|COO1||COO2||C:\WINDOWS\system32\setu p.bmp\msgrocm.dll||AntiRootkit [FILE]|||100000|0|2|COO1||COO2||C:\WINDOWS\system32\setu pdll.dll\comsetup.dll||AntiRootkit [FILE]|||100000|0|2|COO1||COO2||C:\WINDOWS\system32\setu pdll.dll\fp40ext.dll||AntiRootkit [FILE]|||100000|0|2|COO1||COO2||C:\WINDOWS\system32\setu pdll.dll\fxsocm.dll||AntiRootkit [FILE]|||100000|0|2|COO1||COO2||C:\WINDOWS\system32\setu pdll.dll\iis.dll||AntiRootkit [FILE]|||100000|0|2|COO1||COO2||C:\WINDOWS\system32\setu pdll.dll\imsinsnt.dll||AntiRootkit [FILE]|||100000|0|2|COO1||COO2||C:\WINDOWS\system32\setu pdll.dll\msmqocm.dll||AntiRootkit [FILE]|||100000|0|2|COO1||COO2||C:\WINDOWS\system32\setu pdll.dll\netoc.dll||AntiRootkit [FILE]|||100000|0|2|COO1||COO2||C:\WINDOWS\system32\setu pdll.dll\msdtcstp.dll||AntiRootkit [FILE]|||100000|0|2|COO1||COO2||C:\WINDOWS\system32\setu pdll.dll\ntoc.dll||AntiRootkit [FILE]|||100000|0|2|COO1||COO2||C:\WINDOWS\system32\setu pdll.dll\ocgen.dll||AntiRootkit [FILE]|||100000|0|2|COO1||COO2||C:\WINDOWS\system32\setu pdll.dll\setupqry.dll||AntiRootkit [FILE]|||100000|0|2|COO1||COO2||C:\WINDOWS\system32\setu pdll.dll\tsoc.dll||AntiRootkit [FILE]|||100000|0|2|COO1||COO2||C:\WINDOWS\system32\setu pdll.dll\zoneoc.dll||AntiRootkit [FILE]|||100000|0|2|COO1||COO2||C:\WINDOWS\system32\setu pdll.dll\fsconins.dll||AntiRootkit [FILE]|||100000|0|2|COO1||COO2||C:\WINDOWS\system32\setu pdll.dll\ocmsn.dll||AntiRootkit [FILE]|||100000|0|2|COO1||COO2||C:\WINDOWS\system32\setu pdll.dll\msgrocm.dll||AntiRootkit [FILE]|||100000|0|2|COO1||COO2||C:\WINDOWS\system.ini\WI NSPOOL.DRV||AntiRootkit [FILE]|||100000|0|2|COO1||COO2||C:\WINDOWS\twain_32.dll\ wiatwain.ds||AntiRootkit [FILE]|||100000|0|2|COO1||COO2||" file.

Trojan-Downloader.JS.Small.js
Çaresizce yeni bir Pc alıp oradan yola koyulmak gerek diye düşünerek Cevahir Teknosa'nin yolunu tuttum bilgili biriyle gorusmek istedigimi soyledim konuyu anllatim format atin gider dediler tabii,konuyu anlattikca seminer yapar hissine kapildim hicbirseyden haberleri yok.Bir iki laptopa baktim ayni komutla vee surpriz oradaki tum cihazlarda bu virus var.Sakin bu komutu gormeden hicbir urun almayin,netstat -a veya an ağ kapalı olduğu halde sözünü ettğim bile portlar açık Vista virüsü yemiyor ama 2.etap olan ağ trafiğini ve tüm yetki alanını internete açıyor ve İş İstasyonu olarak görünüyorlar.Paketli ürünlerin ne zaman geldiklerini sorduğumda 1 hafta dedi.Ben 1 ay önce bu olayla ilk kez karşılaşanlardan olduğuma göre tamamen şansa kalmış.Açıp kontrol edin mutlaka.Ertesi gün ürünü açmadan iade mantıksızlığı da cabası bunu belirtiyor abuk sabuk ülkenin abuk tüccar kuralları.Neyse konuya döneyim.Açmadan sakın almayın sürprizle karşılaşmamak için.
Bu komple bir virüs rootkit ve bot neredeyse hepsi var içinde.http://www.eset.com/threat-center/threats/bot.php

viruslu dosya:
Kod Eset ESET Smart Security ile bulduğu :
JS/Trojandownloader.Agent.NIN içinde 3 dosya var ayrıca bunlar:

win32\Kryptik.BJ
win32\Trojandownloader.Agent.OKY
win32\Trojandownloader.Small.OCS

otomatik olarak siliyor ama ben dosya güvenli olduğunu söyleyen eşimin kuzenine güverek yaptığım hatayla güvenlik kalkanını deaktif ederek virüsü etkin hale getirdikten sonraki işlemleri tahmin edebilirsiniz kısaca anlatmıştım.
Prevx CSI 3.0 ile bulduğum ilk veriler.

D:\windows\system32\ klasöründe
zubpae.dll*
wvUMgFwU.dll
ajnsrafv.dll
iqlfmgnf.dll*
opnkhEVm.dll
nnfinn.dll
oslmrxkj.dll
pcdnfxhd.dl

Ama demo olduğu için temizlemedi sipariş verdiğini söyledi malum kuzen ama o da yalan ayrıca kaspersky şunu buldu:

Heur.Trojan.Generic D:\Documents and Settings\All Users\Application Data\PrevxCSI\qc.csi/PE-Crypt.XorPE
kendi dosyası da trojanlı yani komedi.

kaspersky bulduğu:
qc.csi
iqlfmgnf.dll* ki bu rootkit
zubpae.dll*

Superantispyware bulduğu:
MsJuan
HKLM\Software\Microsoft\contim
Contim#SysShell
MsJuan#RID
MsJuan Track System
MsJuan Track System#Uid
rdfa
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Juan

şüpheliler:
myqxuect.dll
wvuSjgDW.dll
Rundll32.exe "C:\Users\Emily\AppData\Local\Temp\myqxuect.dl l",s
rundll32.exe C:\Users\Emily\AppData\Local\Temp\wvuSjgDW.dll,c
stdhost.exe
systm32de.exe
atmpvcn.dll
tuvTLEUo.dll
oxvvqw.dll
povkai.dll
mlJDVnoL.dll
toutrxsk.dll
bkgwdtyg.dll
newdotnet6_38.dll
ebtnh.dll
1033r.exe
kdwgn.exe*
mtyunqkg.dll
xokvrpwg.dll - obqophdp.dll - opnnlIXN.dll - TAIOUvut.ini2 - wvUlihhe.dll - xxyvvVpN.dll

Yardımmmmm

Simdi yeni bir pc alsam da aynı yolla bulasır gibi geliyor sifre değismeden nete girdigimde ag portları acık olmasa dahi elinde kullanıcı sifreleri olduktan sonra sisteme erisme imkani var mı,utopik soru ama yasadıgım sorun da oyle.TTnet gorevlilerine durumu acıkladım yeni virus siz degistirebilirsiniz netten bizim yetkimiz yok e ben nete baglanınca zaten korumasız durumdayım portları engelleyin diyorum yok neyse.Baska bir alternatif gerek.Kısır dongu kimseye gostermesin boyle bir belayı ,bu arada iyi bayramlar herkese.