Kryptik veya Kryptik.ABX Nedir ve Nasıl Silinir
Kryptik.ABX bu sıralar yayılmaya başlayan ve tehlike seviyesi çok yüksek bir truva atıdır.Tehlike seviyesinin yüksek olmasının en büyük sebebi henüz mevcut AV uygulamalarının bu truva atının davranışları ile ilgili bir bilgiye sahip olmamaları.Ancak bu durumda dahi AV uygulaması sizi korumaya devam edecektir, korkmanız için bir sebep yok.
SPONSOR REKLAMLARI
Tam olarak emin olmamakla birlikte bu virüs uyarısının kaynağının şu iki dosya olduğunu düşünüyorum :
C:\Documents and Settings\Kullanıcı Adı\Application Data\seres.exe
C:\Documents and Settings\Kullanıcı Adı\Application Data\svcst.exe
Ayrıca kontrol etmeniz gereken diğer dosya ise :
C:\Windows\System32\Regedit_32.exe
Eğer NOD32 gibi bir AV uygulamasına sahipseniz ve size kryptik truva atı ile ilgili karantina uyarısı veriyorsa o zaman şu adımları takip ederek bu uyarıyı vermesini engelleyebilirsiniz.
- Başlat -> Çalıştır ->Msconfig ve Entere basın.
- Eğer varsa yukarıda yazmış olduğum dosya isimlerinin yanında ki çentiği kaldırın.
- CTRL + ALT + DELETE yaparak görev yöneticisini açın.Yine yukarda ki dosya isimlerinin görev yöneticisinde aktif olup olmadığını kontrol edin ve varsa görevi sonlandırın.
- Bulundukları klasörlerin içerisine girerek bu dosyaları silin.Dosyaların gizli olma ihtimaline karşı gizli dosyaları sistem dosyalarını da gösterme seçeneği ile birlikte aktif edin.Ayrıca aşağıda ki registry kayıtlarını da kontrol edin.
Eğer sisteminzide AV uygulaması yoksa mutlaka geçici sürüm dahi olsa indirin kurun ve tarama işlemi yapın.Pek çok kullanıcı sisteminde kullandığı AV güncel olmadığı için bu tür virüslerden haberdar değil.Fakat bu virüs sisteminizde AV uygulaması yokken bulunuyorsa siz AV uygulaması kursanız dahi kendini yeniden yüklemeye devam edecektir.Bu durumda yapmanız gereken işlemler sırasıyla şöyle :
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Associations anahtarını kaldırın.
- HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Download içerisinde mevcut olan : RunInvalidSignatures = 0×00000001 deÄŸerini  0×00000000 olarak deÄŸiÅŸtirin ve Yeni -> Dize DeÄŸeri diyerek ” CheckExeSignatures “ adında bir anahtar oluÅŸturup deÄŸerini ” Yes ” yapın.Truva atının yaptığı bu deÄŸiÅŸiklik imzasız exe dosyalarının sorgusuz indirilip çalıştırılabilmesi amaçlıdır.
- HKEY_CURRENT_USER\Software\Microsoft\Security Center içerisinde ki şu ayarlar bulun ve anahtar değelerini kaldırın.
- AntiVirusDisableNotify = 0×00000001
- FirewallDisableNotify = 0×00000001
- UpdatesDisableNotify = 0×00000001
Bu anahtar değerleri güvenlik duvarı kapatıldığında ve AV uygulaması iptal edildiğinde verilecek uyarıları engeller.
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Associations içerisine eklenmiş bulunun şu anahtar değerlerini kaldırın :
- LowRiskFileTypes = “zip;.rar;.cab;.txt;.exe;.reg;.msi;.htm;.html;.gif;.bmp;.jpg;.avi;.mov;.mp3;.wav”
- SaveZoneInformation = 0×00000001
Bu anahtar değerleri ise birazdan bahsedeceğim indirmeleri sorgusuz çalıştırmak amaçlı eklenmektedir.
- Bu truva atının son hamlesi ise HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run içerisine yukarıda bahsettiğim dosyaları kaydetmek.Bu sebepten ötürü bulundukları klasörlerden silin.
- mserv = “%AppData%\seres.exe”
- svchost = “%AppData%\svcst.exe”
Gördüğünüz gibi azda olsa aşina olduğumuz kayıt defterinin bildik yollarını kullanmıyor.Fakat öyle ilginç noktalardan enjeksiyon yapılıyor ki zaten bu truva atının seviyesini arttıran en önemli sebeplerden bir tanesi de bu.Bu kadar kayıt defteri girdisi yapılmasının en önemli nedeni ise truva atı bilgisayardan silinsede yapmış olduğu entrikalar sayesinde bazı sitelerden otomatik olarak indirilebilmesi ve sorgusuz sualsiz çalıştırılabilmesi.Bu sitelerin bir kaç tanesi ise şöyle :
http:// ulioperdanogad.com/
http:// paferbasedos.com/
Buradan siz  fark etmede inen dosya yine size fark ettirmeden çalıştırılıyor.Aslında AV uygulamasına sahip olupta kryptik ile ilgili uyarı alanların uyarıyı almalarının da sebebi bu.Tek fark virüs AV uygulaması karantinaya aldığı için aktif olamıyor.
Bu virüsün bulaÅŸma ÅŸekli “ Antivirüs Pro 2010 ” ya da ” Antispyware 2010 ” sahte AV uygulamalarının kurulmasıdır.
Kolay gelsin.
Bilgisayarıma format attım, Bios’u da güncelledim tekrar geldi beni buldu. Kurtulamıyorum bu Truvadan!!
Merhaba Hilal,
NOD 32 hata değilde uyarı veriyor.Bu uyarı sizin zarar görmediğinizi ifade eder.Silme işlemi sırasında atladığınız bir bölüm var gibi geliyor bana.Adımları tekrar denemenizi tavsiye ediyorum.
Merhaba arkdaşlar.Bendede nod 32 devamlı svcst.exe hatası vermeye başladı.Anlatıldığı gibi bu uyarılardaki klasörleri bulup içinden silmeye çalıştım ama silinmiyor.Birden karantinadaki dosyalar artmış anlamadım nasıl oldu.Format atmak istemiyorum başka ne gibi yollar deneyebilirim.Yardım ederseniz sevinirim
YarıMekanik ilgin için tekrar teÅŸekkürler. Ancak benim düşüncelerime saygı duyma, aksine yerin dibine sok. Çünkü bilgisayarım çökme aÅŸamasına geldi. “seres.exe” beni mafetti. Kesinlikle herkesin bilgisayarını gözden geçirmesi ve “seres.exe, svcst.exe” yi buldukları takdirde hemen bertaraf etmeleri gerekiyor. Yukarıda anlattığın yöntem içinde ayrıca teÅŸekkür ederim çok iÅŸime yaradı. Tahminimce herhangi bir virüs programı olmadan yukarıda anlattığın yöntemleri yapmak biraz zor. Çünkü ben bu iÅŸlemleri yaparken nod32 sürekli baÄŸlanılmak istenen siteleri engellemeye çalışıyordu ve makineyi de birhayli zorladı. Ä°nÅŸallah bu dertten tam anlamıyla kurtulmuÅŸumdur, başında bu bela olanlara sabır diliyorum.
Merhaba Yakalı,
NOD32 bünyesinde şu exe dosyalarını barındırır :
callmsi.exe, ecls.exe, ecmd.exe, eeclnt.exe, egui.exe, EHttpSrv.exe, ekrn.exe, SysInspector.exe, SysRescue.exe
Seres.exe ve svcst.exe kesinlikle bu truva atının uzantılarıdır.
Tabi düşüncelerinize de saygı duymak lazım, yazdıklarmı dikkate almayabilirsiniz.
Ä°lgin için teÅŸekkürler. Ancak özellikle “seres.exe” nin virüsle ilgili olduÄŸunu düşünmüyorum. Çünkü, CCleaner adlı temizleme programı bile rahatlıkla bulup problemini düzeltebiliyor. “seres.exe” nin NOD32 ile ilgili olduÄŸunu düşünüyorum.