Brontok virüsü

[BlackShopAre]

Arkadaşlar umarım konuyu doğru yere açıyorumdur benim 2005 ten kalma masa üstü bir bilgisayarım var ne yaptıysam internet bağlayamadım ama bu illetin nerden bulaştığını bilmiyorum yani bu vürüs her seyi ele geçiriyor ne yaptıysam yok yaptıkları bazıları yere disk c ye giremiyorum bazı programlar yanıt vermedeği zaman hata raporu geldiğinde bilgisayar reset atıyor

benim asıl sorum şu bilgisayarı internete bağlamadan bu illetten nasıl kurtulurum eğer ki antivirüs programı lazımsa onu başka bilgisayardan indirip usb ile masaüstüne atıp kurabililr miyim cevaplarınızı bekliyorum lütfen bu yazım zehir olmasın bana lütfen yardım edin:cursing::cursing:

 

[SDN Okuru]

format atacan buyuk ihtimal sistem dosyalarınıda bozmuştur. Bir adet Xp live cd bul sonra onunla pc yi başlat ve C ve diğer disklerin hepsini biçimlendir. ( C ye sağ tıkla biçimlendir de ve yavaş biçimlendir) sonrasında Format Cd ile temiz bir format at. PC tertemiz olur

 

[RedDevil]

Geçmiş olsun. Zamanının en tehlikeli virüsü. Buradaki anlatım alıntı:

Göster: Temizleme

Virüsün sistemde bıraktığı etkiler
1- Sistemde aşağıdaki dosyaları oluşturuyor ve hiçbir antivirüs programı bulamıyor bu virüsü (boyutu 41-42 veya 44 kb olan )
Özellikle Belgelerim klasöründe girdiğiniz klasörlere, girdiğiniz klasör adında bir .exe dosyası ekliyor.Ve bu .exe dosyasının simgesi klasör şeklinde oluyor.
2- Denetim Masası'nda Klasör Seçenekleri Menüsü'nü gizliyor.
Kayıt Defteri'ne eklediği aşağıdaki girdi yüzünden:
HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionPolicies
ExplorerNoFolderOptions -> Bad: (1) Good: (0)
Bu nedenle Gizli dosyalar görülemeyip, zararlinin sistemde biraktigi dosyalar silinemiyor.
3-Kayıt Defteri'ne(regedit) erişimi engelliyor.
Kayıt Defteri'ne eklediği aşağıdaki girdi yüzünden:
[HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionPoliciesSystem]
"DisableRegistryTools"=dword:1
4- İnternet'ten .exe uzantılı dosya indirmeye kalkarsaniz bilgisayarınızı yeniden başlatıyor.
5- Bilgisayarınızdaki aşağıdaki uzantılara sahip dosyaları arayarak bulduğu e-mail adreslerine spam mailler gönderiyor.
•asp
•cfm
•csv
•doc
•eml
•html
•php
•txt
•wab
6- Cocuments and SettingsKullanıcı AdıLocal SettingsApplication Data klasöründe aşağıdaki dosya ve klasörleri oluşturuyor
Cocuments and SettingsKullanıcı AdıLocal SettingsApplication DataLoc.Mail.Bron.Tok
Cocuments and SettingsKullanıcı AdıLocal SettingsApplication DataBron.tok-10-9
Cocuments and SettingsKullanıcı AdıLocal SettingsApplication DataOk-SendMail-Bron-tok
Cocuments and SettingsKullanıcı AdıLocal SettingsApplication DataListHost10.txt
Cocuments and SettingsKullanıcı AdıLocal SettingsApplication DataKosong.Bron.Tok.txt
Cocuments and SettingsKullanıcı AdıLocal SettingsApplication DataGDIPFONTCACHEV1.dat
Cocuments and SettingsKullanıcı AdıLocal SettingsApplication DataUpdate.10.Bron.Tok.bin
Cocuments and SettingsKullanıcı AdıLocal SettingsApplication DataBron.tok.A10.em.bin
7-Arada bir aşağıdaki sayfa açılıyor.
Bu dosya açılıyor.
( Cocuments and SettingsKullanıcı AdıBelgelerimResimlerimabout.Brontok.A.html )
8-Kayıt Defterine aşağıdaki girdileri ekliyor.

[HKLMSoftwareMicrosoftWindowsCurrentVersionRun]
"Bron-Spizaetus" = "%Windir%ShellNewronstab.exe"

[HKCUSoftwareMicrosoftWindowsCurrentVersionRun]
"Tok-Cirrhatus" = "Cocuments and SettingsKullanıcı AdıLocal SettingsApplication Datasmss.exe" [HKLMSoftwareMicrosoftWindows NTCurrentVersionWinlogon] "Shell"="Explorer.exe C:WINDOWSeksplorasi.pif"
Temizlemek için
eksplorasi.pif
smss.exe
services.exe
lsass.exe
csrss.exe
inetinfo.exe
winlogon.exe
Empty.pif
WowTumpeh.com
Kullanıcı Adı's Setting.scr
bronstab.exe

Cocuments and SettingsKullanıcı AdıBelgelerimBelgelerim.exe
Cocuments and SettingsKullanıcı AdıBelgelerimMüziğimMüziğim.exe
Cocuments and SettingsKullanıcı AdıBelgelerimResimlerimResimlerim.exe
Cocuments and SettingsKullanıcı AdıLocal SettingsApplication Datacsrss.exe
Cocuments and SettingsKullanıcı AdıLocal SettingsApplication Datainetinfo.exe
Cocuments and SettingsKullanıcı AdıLocal SettingsApplication Datalsass.exe
Cocuments and SettingsKullanıcı AdıLocal SettingsApplication Dataservices.exe
Cocuments and SettingsKullanıcı AdıLocal SettingsApplication Datasmss.exe
Cocuments and SettingsKullanıcı AdıLocal SettingsApplication Datawinlogon.exe
Cocuments and SettingsKullanıcı AdıLocal Settings empRar$EX00.718ronstab.exe
Cocuments and SettingsKullanıcı AdıStart MenuProgramlarBaşlangıçEmpty.pif
Cocuments and SettingsKullanıcı AdıTemplatesWowTumpeh.com
C:WINDOWSeksplorasi.exe
C:WINDOWSShellNewronstab.exe
C:WINDOWSsystem32Kullanıcı Adı's Setting.scr
Bu dosyaları bilgisayarınızdan silin.
NOT:services.exe gibi dosyaların bir orjinali vardır birde sahtesi vardır sahtesini silmeniz gerekiyor.
Hijackthis adlı programı indirin.Çalıştırın.Gelen uyarılara evet diyin.Do a system scan only seçeneğini seçip 10 saniye bekleyin.Gelen ekranda aşağıdaki girdiler ile ilgili kutucukları işaretleyip fix checked deyin.
O1 - Hosts: bölümündeki tüm girdileri işaretleyin.
O7 - HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem, DisableRegedit=1
F2 - REG:system.ini: Shell=Explorer.exe

Bu işlemin ardından Kayıt Defteri'ne erişememe sorunu düzelecek.
Başlat > Çalıştır > regedit yazıp enter'layarak Kayıt Defteri Yöneticisi'ne girin.
Aşağıdaki girdiyi bulun.
HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionPoliciesExplorerNoFolderOptions
Burada değer şu anda 1 olarak gözüküyor.Resimdeki gibi bunu 0 yapip tamam deyin.Bilgisayarınızı yeniden başlatın.Denetim Masası > Klasör Seçenekleri menüsü geri geldi.Klasör Seçenekleri > Görünüm > Gizli Dosyaları Göster seçeneğini işaretleyerek tamam deyin.
Cocuments and SettingsKullanıcı AdıLocal SettingsApplication Data klasörü içinde yer alan aşağıdaki dosya ve klasörleri el ile silin.
Silinecek Klasörler:
Cocuments and SettingsKullanıcı AdıLocal SettingsApplication DataLoc.Mail.Bron.Tok
Cocuments and SettingsKullanıcı AdıLocal SettingsApplication DataBron.tok-10-9
Cocuments and SettingsKullanıcı AdıLocal SettingsApplication DataOk-SendMail-Bron-tok

Silinecek Dosyalar
Cocuments and SettingsKullanıcı AdıLocal SettingsApplication DataListHost10.txt
Cocuments and SettingsKullanıcı AdıLocal SettingsApplication DataKosong.Bron.Tok.txt
Cocuments and SettingsKullanıcı AdıLocal SettingsApplication DataGDIPFONTCACHEV1.dat
Cocuments and SettingsKullanıcı AdıLocal SettingsApplication DataUpdate.10.Bron.Tok.bin
Cocuments and SettingsKullanıcı AdıLocal SettingsApplication DataBron.tok.A10.em.binAşağıdaki html dosyasını silin.
Cocuments and SettingsKullanıcı AdıBelgelerimResimlerimabout.Brontok.A.html


------
Brontok Virüs Manuel Temizleme Kılavuzu
Herhangi bir PC üzerinde varsa, ağ üzerinden bilgisayarınıza çıkarın ve dosya paylaşımlar devre dışı bırakın.
Sistem Geri Yükleme (Windows XP / Windows Me için) devre dışı bırakın.

Windows XP için:
Tıklayın başlatın.
Sağ tıklatın Bilgisayarım ve ardından Özellikler'i .
Click Sistem Geri Yükleme sekmesini tıklatın.
Select Sistem Geri Yükleme kapatın veya tüm sürücülerde Sistem Geri Yükleme kapat onay kutusunu işaretleyin.
Güvenli modda makinenizi başlatın. Reboot ve tekrar tekrar F8 tuşuna basın. Eğer güvenli modda önyükleme yapamıyorsanız, hala virüs kurtulmak gerekir, ancak güvenli modda tavsiye edilir.
Herhangi bir son güncellemeleri için anti-virüs yazılımı güncelleyin.
Siz kullanmak zorunda olacak regedit kayıt / virüslü yeni oluşturulan değerlerinin çok kaldırmak için işlevi.
Tıklayın Başlat> Çalıştır . Sonra tipi regedit , tıklama Tamam .
Bu dosyayı indirmek için Internet Explorer'ı kullanmanız gerekir.
Http://www.symantec.com/security_response/writeup.jsp?docid=2004-050614-0532-99 gidin ve indirmek UnHookExec.inf sayfanın altındaki dosya. (Başka bir bilgisayarda bu dosyayı indirmek ve sürücünüze kaydedin ve virüs bulaşmış PC üzerinde taşımak zorunda kalırsınız)
Bir kez bulaşmış PC Desktop üzerine bu dosyayı koyduk, sağ tıklatın ve dosyayı tıklayın yükleyin . Gerçekten her şey fark etmez, ancak bu regedit işlevini sağlayacaktır.
Kayıt defteri düzenleyicisini açmak için başarısız olursa, tehdit açılış önlemek için kayıt değiştirilmiş olabilir. Bu sorunu çözmek için bir araç kullanabilirsiniz:
Sonra Tüm Programlar Donatılar Sistem Araçları Zamanlanmış Görevler içinde bu satırları (17:08 çalıştırmak için planlanmış) boyunca A1 falan adlı bir zamanlanmış görev olup olmadığını görmek için kontrol edin regedit işlevini kullanabilirsiniz. Klasik görünümde Kontrol Paneli ve simge / klasör Zamanlanmış Görevler arayın: bu konuma deneyin ulaşamıyorsa. görevi silin .
Aracı da bulunabilir: http://www.kaer-media.org/penawar-brontok/Download.htm
Sonra, önde gidiyor ve kayıt defterinde herhangi bir şey silmeden önce. Bu Alman Brontok Temizleme aracı kullanmak gerekecektir
: Yazan linke tıklayın PenawarB.exe ve dosyayı kaydedin .
Dosyasına çift tıklayın, tıklayın Çalıştır
: Sağ alt köşesinde yazan butona tıklayın Percubaan Percuma!
Diyor soldaki düğmeye sonraki ekranda tıklayın: Tidak mengapa, Saya hendak küba dahulu ...
Tarama sekarang: Bir sonraki ekranda yazan butona tıklayın!
Araç çalıştırıldıktan sonra bu virüslü tüm dosyaları yerini gösterecektir
: Yazan butona tıklayın Buang! Onarım virüslü dosyaları silmek için
Not: Bu araç ücretsiz o yüzden onları 10 hariç tüm dosyaları siler Onarım tıklattığınızda. Kalan 10 için virüslü dosyaları 'yerler değil almak ve bunları el ile silmeniz gerekir. Ayrıca, elle hepsini silmek zorunda olacak başlamak bulaşmış az 10 dosya varsa.
Dosya virüslü PC Masaüstü kaydedildi kez
Bu kez tüm diğer dosyalar ve kayıt defteri değerlerini silme hakkında aşağıdaki yönergeleri izleyin yapılır. Bu adım çok önemli ve virüsün nihai kaldırılması için önemlidir!

Solucan otomatik olarak Windows her başlatıldığında çalıştırmak için çeşitli yöntemler kullanabilirsiniz. Solucan istihdam olduğunu otomatik başlatma yöntemleri arasında şunlar olabilir:
Kullanıcının başlangıç ​​klasörü, yani% homepath% Start Menu Programlar Başlangıç ​​ kendisini bir kopyasını yerleştirmek Empty.pif. Dosyasını silin.
% Homepath% çalıştırmak için bir zamanlanmış görev ekleme Şablonlar A.kotnorB.com 17:08 her gün. Ayrıca Tüm Programlar Donatılar Sistem Araçları Zamanlanmış Görevler içinde bu satırlar boyunca A1 falan adlı bir zamanlanmış görev olup olmadığını kontrol edin. Klasik görünümde Kontrol Paneli ve simge / klasör Zamanlanmış Görevler arayın: bu konuma deneyin ulaşamıyorsa. görevi silin .
Bir kayıt defteri değeri eklemek: "Tok-Cirrhatus"

Ile veri: <path Win32/Brontok worm> için
alt anahtarında:. HKEY_CURRENT_USER Software Microsoft Windows CurrentVersion Run anahtarını silin.
Kayıt defteri değeri eklemek: "Bron-Spizaetus"

veri ile: < Win32/Brontok solucan yolu >
alt anahtar: HKEY_LOCAL_MACHINE Software Microsoft Windows CurrentVersion Run anahtarını silin.
Shell: kayıt defteri değerini ekleyerek
veri ile: "explorer.exe" < yolu solucan Win32/Brontok için >

kayıt defteri alt anahtarında: HKEY_LOCAL_MACHINE Software Microsoft Windows NT CurrentVersion WinLogon. anahtarını silin.
AlternateShell: kayıt defteri değerini değiştirir
veri ile: < Win32/Brontok dosya adı >
kayıt defteri alt anahtarında: HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet Control SafeBoot Not: Bu anahtar için varsayılan ayar "AlternateShell" = "cmd.exe" dir

Win32/Brontok aşağıdaki değişiklikleri yaparak güvenlik ayarlarını düşürmek için deneyebilir:
Aşağıdaki kayıt defteri düzenleme yaparak Kayıt Defteri Düzenleyicisi erişimini engeller:

Değerini ekler: DisableRegistryTools
veri ile: 1
alt anahtarında:. HKEY_CURRENT_USER Software Microsoft Windows CurrentVersion Policies System 0 Veri değiştirin.
Dosya ve 'gizli' niteliği seti ile klasörlerin görünmesini engeller:

Değerini ekler: Gizli
0: veri ile
alt anahtarında: HKEY_CURRENT_USER Software Microsoft Windows CurrentVersion Explorer Advanced. 1 Veri değiştirin.
Windows sistem dosyalarının görüntülenmesini engeller:

Değerini ekler: ShowSuperHidden
0: veri ile
alt anahtarında: HKEY_CURRENT_USER Software Microsoft Windows CurrentVersion Explorer Advanced. 1 Veri değiştirin.
Çalıştırılabilir dosya uzantılarının görüntülenmesini önler:

Değerini ekler: HideFileExt
1: veri ile
alt anahtarında: HKEY_CURRENT_USER Software Microsoft Windows CurrentVersion Explorer Advanced. 0 Veri değiştirin.
Klasör Seçenekleri menüsüne erişimi engeller:

Değerini ekler: NoFolderOptions
1: veri ile
alt anahtarında: HKEY_CURRENT_USER Software Microsoft Windows CurrentVersion Policies Explorer. 0 Veri değiştirin.
Belirli internet sitelerine erişimi engellemek için Windows HOSTS dosyasını değiştirir, çoğunluğu antivirüs veya güvenlik ile ilgili bulunmaktadır.
Muhtemelen servis reddi (DoS) bir saldırıdır başlatmak için, belirli Web sitelerine karşı saldırılar ping çalışır.
Etkin pencerenin başlık belirli dizeleri içerdiğinde uygulamaları veya Windows'u yeniden başlattığında sonlandırır, birçoğu antivirüs veya normalde solucanı algılayamaz veya kaldırmak için kullanılmış olabilir sistem araçları temsilcisi olabilir.
Açılıştan üzerindeki pause autoexec.bat dosyasını istihdam sistemleri neden kelime "pause" ile autoexec.bat dosyasının üzerine yazar. Win32/Brontok bazı türevleri açılış sırasında bir ileti görüntülemek için autoexec.bat değiştirebilir.
Ayrıca msconfig gitmek isteyeceksiniz. Başlat> Çalıştır yazın msconfig . Ve herhangi bir başlangıç &#8203;&#8203;öğeleri (devre dışı başlangıç &#8203;&#8203;sekmesi altında şüpheli bakın); normal süreçler ve hangi bir tehdit olabilir belirlemek için bir internet arama çalıştırmanız gerekebilir.
emin olun zamanlanmış görevi artık yoktur
Eğer regedit açabilirsiniz emin olun
virüslü dosyalar için tarayıcınızı yeniden çalıştırın. Bir şey silmek bulursa, PC yeniden başlatın ve sonra tarayıcınızı yeniden çalıştırın ve hiçbir şey daha ortaya kadar dosyaları silin.
Kayıt normale döndü ve gizli dosya ve klasörleri görüntülemek emin olun.
Bu yapıldıktan sonra, bilgisayarı yeniden başlatın ve aşağıdaki sırayla her şeyin üzerinde kontrol edin

Sırf bu virüs için üretilmiş 2 adet araç var.Bu araçlar ile çözemezsen combofix dene.

Bitdefender Brontok Temizleme aracı

Sophos un temizleme aracını kullanabilirsiniz.

 

[SDN Okuru]

ubuntu'ya geç... rahat et...

 

[yaşli çocuk]

ComboFix'i indirin ve usb'ye atın.Ardından USB aracılığı ile bilgisayarınıza ComboFix.exe'yi atın.Kendi bilgisayarınızda çaıştırın ve sonra tekrar deneyin bakalım sorun halledilmiş mi..

 

[BlackShopAre]

kusura bakmayın bakamadım da bunların hepsini denemeye çalışaca ğım yardımlarınız için teşekkürler

 

[SDN Okuru]

Arkadaşlar benim durumum daha kötü
Annemin flash belleğinden büyük bilgisayara geçmiş zaten oda biraz kafayı yediği için format atcaktık o yuzden dosyalarımızı başka bi flasha attık sonra bnm acil alacağım vardı oyuzden flashı leptopuma taktım ve onada geçti


Şimdi sorum şu benim dosyalarımı felan sıilmez değilmi çünkü önemli dosyalarım var (resim-video felan)