Messenger Üzerinden Yayılan Virüs : foto? http://img117.imagshack.net
Uzun zamandır ortalarda görünmeyen ve Msn Messenger üzerinden yayılan virüslerin son varyasyonlarından bir tanesi de kendisini imageshack sitesinin yerine koyarak kullanıcıları aldatan bu truva atı.Gördüğünüz üzere herşey gerçek bir imageshack resim linkini andırıyor.Başlıkta foto? diyerek başladımı kullanıcılarda ayrı bir merak uyandırdığı kesin.
Bu mesaj size yollandığında linki tıklamamanız gerekiyor.Fakat bu yazıyı okumanız demek muhtemelen linki görmek için tıklayan kişiler arasında olmanız demek.Tıklamayanların merakını giderelim; Bu linki tıklasaydınız bir pencere açılacaktı ve resim görecektiniz.O esnada sayfa içerisinde ki iframe sayesinde de bilgisayarınızda şu dosyalar oluşturulacaktı :
C:\WINDOWS\iun6002.exe
C:\WINDOWS\dbxesellerate.exe
C:\WINDOWS\qjkkfffh
Bu link herkese aynı adres üzerinden gelmiyor ancak genelde geldiÄŸi adres “ imagshack.net “.Basit bir örnek vermek gerekirse :
http:// img117. imagshack. net /img117 /1725 / PICT0020090901.JPG
Yukarıda ki dosya isimleri benim tespit edebildiklerimden ibaret.3 nolu dosya ismi gizli ve dosya türü eki görünmediği için tahminen yazıyorum.Muhtemelen bulaştığı ortama göre farklılık gösterecektir.Gelelim nasıl temizleyeceğiniz konusuna.Eğer devamlı güncellediğiniz bir antivirüs programınız varsa o zaman sıkıntı yapmanıza gerek yok.Biraz miskince de olsa olaya müdahale edecektir.Ama antivirüs programınız süs olarak duruyorsa kolları sıvamanın vakti geldi.Bu yapacağımız işlemlerin bilgisayarınızı yeniden başlatmamışsanız başarılı olacağını biliyorum.
1- Şu dosya ve kayıt anahtarlarını silin :
C:\WINDOWS\iun6002.exe
C:\WINDOWS\dbxesellerate.exe
C:\WINDOWS\qjkkfffh
C:\Documents and Settings\Kullanıcı_Adınız\Application Data\msvcrit.dll
C:\WINDOWS\system32\dpnet32.dll
C:\WINDOWS\system32\drivers\6748ab8a.sys
C:\Documents and Settings\Kullanıcı_Adı\Application Data\wiaserva.log
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{4175c5f3-d47f-143b-dd4d-e67a0eb4e773}
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\6748ab8a
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\6748ab8a
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\6748ab8a
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\BITS\ImagePath HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\wuauserv\ImagePath
Birinci sırada ki dosya daha sonra oluşturulduğu için ilk başta görmeyebilirsiniz.Acele etmenize gerek yok çünkü kısa bir süre sonra o da belirecektir.
2- Aşağıda bahsi geçen klasörlerin içini boşaltın :
C:\Documents and Settings\LocalService\Local Settings\temp\
C:\Windows\temp\
C:\Documents and Settings\LocalService\Local Settings\temp\
C:\temp\
Peki ya bilgisayarı yeniden başlatmışsanız ?
Bu durumda ise bilgisayarı güvenli modda açarak sorununuzu çözme şansına sahipsiniz.Ancak yukarıda yapılması gereken 2 maddeye yeni bir madde daha eklenecek :
SPONSOR REKLAMLARI
3- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run kayıt anahtarını ” qjkkfffh “ gibi deÄŸerler için kontrol edin, varsa silin.
Eğer bu işlemleri yapamıyorsanız ve gizli dosyaları / klasörleri göremiyorsanız COMBOFIX uygulaması size yardımcı olabilir. Şu yazının sonunda linki mevcut.
Virüssüz günler.
Outside from Turkey ? Please use the Google Translator.