Messenger' dan Bulaşan Virüsün Temizlenmesi

[chimera]

Yazıma, "virüssüz güzel günler geçirmeniz dileklerimle" diyerek başlamak istiyorum.

Dünyanın en çok kullanılan mesajlaşma yazılımlarından biri olan Windows Live Messenger' ı hemen hemen hepimiz kullanıyoruz. Bu kadar çok kullanılması tabii ki kötü zihniyetleri kişilerinde kötü amaçlarına ortak olmasını sağlıyor. Bende yakın bir tarihte arkadaşımın msn adresinden bana kendi bilgisi olmadan gönderilmeye çalışan bir link ile karşılaştım. Bu linkte "Bu Resimdeki Sen misin" yazıyordu.

Peki bu linke tıkladığımızda ne oluyor ?
Bu linkte tıkladığınızda sizi bir siteye yönlendiriyor ve siteye gittiğiniz anda bir dosya downloadı için kaydet seçeneği çıkıyor. Eğer kabul ederseniz bilgisayarınıza bir resim dosyası iniyor ve resme tıkladığınız anda işletim sisteminizde kullanıcı klasörünün altındaki "temp" klasörüne Service.exe diye bir exe dosyası atıyor. Bu dosyayı ne normal modda nede güvenli modda silemiyorsunuz. Görev Yöneticisinden işlemler sekmesine baktığınızda orada service.exe diye çalıştığınıda görebilirsiniz. Ama çalıştığı yer sistem tarafı değil sizin kullanıcı adınız altında olduğunuğuda görebilirsiniz ve oradan da sonlandırmak istediğinizde sonlandıramıyorsunuz..

Not : Eğer bilgisayarınızda sağlam bir antivirüs programınız varsa linke tıkladıktan sonra resmin bilgisayarınıza inmesine izin vermeden bağlantıyı koparıyor siz devam edersenizde indikten sonra siliyor.

Bunu nasıl silebilirim ?
Bunu silebilmeniz için hazırlanmış olan iki tane dosya var. Bunlardan birincisi regedit dosyasıdır. Bu dosya sayesinde resme tıkladığınız andan itibaren regeditteki anahtarlardan birinde yapılmış olan değişikliği eski haline geri getiriyor. Bu işlemi yaptıktan sonra bilgisayarınızı yeniden başlatmanız gerekiyor. Bilgisayarınızı yeniden başlattıktan sonra ".bat" uzantılı msdos batch file' ımızı çalıştırıyoruz. Bu dosyada sistemimizdeki service.exe dosyasından tamamen kurtulmamızı sağlıyor ve devam etmek için bir tuşa basınız uyarısını alıyoruz. Herhangi bir tuşa bastıktan sonra bilgisayarımızı yeniden başlatıyoruz. Bilgisayarınız açıldıktan sonra temp klasörünün içine girip gizli dosyaları göster seçeneği aktifken baktığınızda artık service.exe diye bir dosyanın olmadığını ve bu sorundan tamamen arındığınızı göreceksiniz...

Regedit düzenlemesi için indirmeniz gereken dosya : Buradan
Bat uzantılı MS-Dos Batch File dosyasını indirmek için : Buradan

Not : Bu iki dosya benim tarafımdan bir çok bilgisayarda denendi ve olumlu sonuçlar alındı.

SDN - http://shiftdelete.net

 

[iol99]

Sağol chimera
Bu sıralar çok kişinin başına gelen bir durum bu.

 

[chimera]

Rica ederim.

 

[mila12]

banada arkadaşımdan geldi bende tıkladım antivirüs siteye bile girmedi

http://www.very-naked.com/?=senin@mailin.com(bu site kapatılmış ama siz yinede girmeyiniz)


site isimleri farklılık gösteterebilir dikkat etmek lazım

bilgiler için teşekkürler.

 

[iol99]

Linkten ziyade direk .zip dosyası gönderliyor. Benim başıma gelmedi; daha doğrusu kabul etmedim gönderilen dosyaları. Kabul eden arkadaşlar da formatla kurtulabilmişlerdi. Virüsün verdiği zarar internete bağlanamamak olmuştu.

Chimera, söylediğin çözüm bu durumda da işe yarar mı?

 

[chimera]

iol, senin dediğinde bu benim yazdığım işe yarar mı bilmiyorum, çünkü o tarz bir sorunla karşılaşmadım ve karşılaşmadığım içinde deneyemedim.

 

[JuLiuSiuS]

abime olmuştu kaspersky sildi galiba

 

[chimera]

Herkes biliyor gerçi ama ben yinede söyleyeyim kaspersky sağlam bir antivirüs programıdır. Muhtemelen bulmuş ve silmiştir. Eğer silip silmediğinden emin değilseniz temp klasörünün içine bakabilirsiniz.

 

[mr.meseli]

PAylaşım için teşekkürler, bu virüsü yiyen bol her bi kafadan soru geliyor bana anlatmaktan bıktım konu link verir kurtulurum artık Aslında bu virüs değil şakamatik yazılımı zararlı kod bulundurmadığından antivürüsler silmiyor..

 

[byhck]

sağol chimera aynı şekilde bana da birsürü kişiden aynı soru "ya benim msn bişiler atıyooo!!! ne buu!! Nasıl silcem!!" şeklinde acaip acaip şikayetler...
çok saol

 

[Hakkı Alkan]

Eline sağlık sevgili moderatörümüz Faydalı bir yazı olacak. Burhan Altıntop'tan bana paso dosya geliyor ama kendisinin de haberi yok sanırım

 

[chimera]

Bunun gibi hazırlamayı düşündüğüm bir yazı daha var. Onuda uygun bir zamanımda yazarım diye düşünüyorum.

 

[cacar]

sayende bir arkadaşım bu dertten kurtardım rastgele bu konuya denk gelerek, teşekkürler.

 

[juzak]

Arkadaşlar Aynı Virüsü Bende Yedim NOD32 Adlı Antivürüsü Kurdum Ve Anında Sildim !!!

 

[chimera]

sayende bir arkadaşım bu dertten kurtardım rastgele bu konuya denk gelerek, teşekkürler.

Rica ederim

juzak, evet nod32 de siliyor.

 

[tertunc]

Eline sağlık sevgili moderatörümüz Faydalı bir yazı olacak. Burhan Altıntop'tan bana paso dosya geliyor ama kendisinin de haberi yok sanırım

var aynıloarı da bana geliyor haberi var zaten ondan artık msn ye girmiyor


not: yav artık gelmiyor

 

[EzOhİsTaN]

banada ara sıra geliyo arkadaşlarımdan bu tarz adresler ama hiçbirini tıklamıorum açmıorum kesin çözüm açmayın

 

[tertunc]

banada ara sıra geliyo arkadaşlarımdan bu tarz adresler ama hiçbirini tıklamıorum açmıorum kesin çözüm açmayın

filitre diye birşey var bende http://shiftdelete
ile başlamayan msn den gelen adresler engelleniyor.

 

[EzOhİsTaN]

banada ara sıra geliyo arkadaşlarımdan bu tarz adresler ama hiçbirini tıklamıorum açmıorum kesin çözüm açmayın

filitre diye birşey var bende http://shiftdelete
ile başlamayan msn den gelen adresler engelleniyor.

yani aslında filtre olayı daha güvenli tabi. ne kadar tıklamıyorum desende bi anlık dalgınlığına gelir yada farkında olmadan tıklayadabiliyosun. en güzel filtre, yada güzel bi antivürüs programı..

 

[Ahmethz]

baya iş gördü teşekkürler ^^

 

[tertunc]

Lycos adresi gibi ama bu membres gerçeği members

oh sen ciplak mi

http://membres.lycos.fr/photosgirls/photo.php?=adresin@uzantisi.com


Virüstür tıklamayınız.

 

[Ahmethz]

yeni çözümü olan?

 

[tertunc]

Kaynak : http://www.alialtugkoca.com/arsiv/msn-virusu-uyarisi-oh-sen-ciplak-mi-httpnaked-familycom/


Dün gece yan odadaki arkadaşımdan bi mesaj geldi msnden bi şaşırdım ne alaka diye.gönderilen linke bakınca bi çapan oğlu olduğunu anladım ve tıklamadan arkadaşı çağırıp bu ne leyn diye sordum,bi hack işi mi var diye.ben yollamadım dedi ne diyecek. Sonuçta bi virüs işi olduğunu anladım.mesaj şu şekilde

oh sen ciplak mi ? http://naked-family.com/?=msn adresiniz@hotmail.com

bu linke tıklıyosunuz siteye bağlanıyor ve bilgisayarınıza trojen tarzı bi virüs giriyor.ondan sonrada msn listenizdeki online olan herkese aynı mesajı atıyor.onlara da bulaşmış oluyor.virüs böyle böyle yayılıp gidiyor,çözümü ise şu şekilde hemen msninizi kapatıp uninstall ediyorsunuz.arkasından ad-aware ve avg anti-spyware kuruyorsunuz.bu iki yazılımda ücretsiz olarak indirip kurabilirsiniz.İndirdikten sonra bu iki virüs yazılımıyla bilgisayarınızı taratın virüsü bulacaktır ve silecektir.Bu temizlik işleminin arkasından MSN programınızı baştan yükleyebilirsiniz.Kolay gelsin.

Ek: Virüsün adıda belli oldu arkadaşlar Win32/IRCBot.AAL ismiymiş virüsümüzün herhalükarde MSNinizi silmeniz gerekiyor.Arkasından NOD32 yi kurarsanız trojeni sisteminizden temizleyecektir.

Daha detaylı bir temizlik yöntemi için beyni ziyaret edebilirsiniz.

 

[Ahmethz]

Talha verdiğin şey, Chimeranın verdiği yazısının aynısına götürüyor. Ek bir şey getirmiyor.

 

[tertunc]

Talha verdiğin şey, Chimeranın verdiği yazısının aynısına götürüyor. Ek bir şey getirmiyor.

Yazıyı siliyim mi gereksiz mi...


Bu arada virüs information

Virus: TR/Crypt.XPACK.Gen
Type: Trojan
In the wild: Yes
Reported Infections: Low
Distribution Potential: Low
Damage Potential: Low
Static file: No
Engine version: 7.03.00.32

Special detection TR/Crypt.XPACK.Gen

Description:
A generic detection routine designed to detect common family characteristics shared in several variants.

This special detection routine was developed in order to detect unknown variants and will be enhanced continuously.


Version history:
The following engine updates were released in order to enhance detection:

• 7.03.00.32 ( 25/01/2007 )
• 7.03.01.46 ( 29/03/2007 )
• 7.04.00.34 ( 19/06/2007 )
• 7.04.00.37 ( 28/06/2007 )
• 7.04.00.39 ( 05/07/2007 )
• 7.04.00.44 ( 18/07/2007 )
• 7.04.00.50 ( 25/07/2007 )
• 7.04.00.60 ( 10/08/2007 )
• 7.06.00.20 ( 04/10/2007 )
• 7.06.00.27 ( 18/10/2007 )
• 7.06.00.30 ( 26/10/2007 )
• 7.06.00.34 ( 06/11/2007 )
• 7.06.00.40 ( 07/12/2007 )
• 7.06.00.45 ( 13/12/2007 )
• 7.06.00.53 ( 24/01/2008 )

 

[superman]

kendini güvende hisetmek istiyorsan en güzeli bilgisayarınıza format atmak bu format işi beni bozar dersen bilmediğin şeyleri fazla kurcalamıyacaksın tabi arkadaşınıza bulaşmıtır burdan gelir ise anlık ileti ile ne gönderdiğini yazın cevap yok ise kabul etmeyin ve arkadaşınızı telefonla arayıp msn kısacası hacklendiğini bildirin.şu anda en iyi antivirüs progamı bile işe yaramadığı oluyor. başıma geldi bizim sistemde karspersk internet secutrti. 7 var o bile yidi kesinlikle bilmediğiniz dosyaları kesinlikle kabul etmeyelim arkadaşlar.

 

[chimera]

Antivirüs programlarının bazıları buluyor.

Ayrıca gizli dosyaları gösterememe gibi de bir sorununuz var ise onunda çözümü mevcut.

Buradan

 

[resident]

sağol chimera kardeş yaptım oldu ^^

 

[Hyperboy]

Talha verdiğin şey, Chimeranın verdiği yazısının aynısına götürüyor. Ek bir şey getirmiyor.

Yazıyı siliyim mi gereksiz mi...


Bu arada virüs information

Virus: TR/Crypt.XPACK.Gen
Type: Trojan
In the wild: Yes
Reported Infections: Low
Distribution Potential: Low
Damage Potential: Low
Static file: No
Engine version: 7.03.00.32

Special detection TR/Crypt.XPACK.Gen

Description:
A generic detection routine designed to detect common family characteristics shared in several variants.

This special detection routine was developed in order to detect unknown variants and will be enhanced continuously.


Version history:
The following engine updates were released in order to enhance detection:

• 7.03.00.32 ( 25/01/2007 )
• 7.03.01.46 ( 29/03/2007 )
• 7.04.00.34 ( 19/06/2007 )
• 7.04.00.37 ( 28/06/2007 )
• 7.04.00.39 ( 05/07/2007 )
• 7.04.00.44 ( 18/07/2007 )
• 7.04.00.50 ( 25/07/2007 )
• 7.04.00.60 ( 10/08/2007 )
• 7.06.00.20 ( 04/10/2007 )
• 7.06.00.27 ( 18/10/2007 )
• 7.06.00.30 ( 26/10/2007 )
• 7.06.00.34 ( 06/11/2007 )
• 7.06.00.40 ( 07/12/2007 )
• 7.06.00.45 ( 13/12/2007 )
• 7.06.00.53 ( 24/01/2008 )

talhacım kankam onnarı yapmana bile gerek yok msn i kaldırmamızın önemi yok hosts datalarındaki internet sayfalarını silince ztn o virüs kalkıyor merak etme banada aynı virüs bulaştı

 

[LiMoNi]

bu olay benimde daha yeni başıma geldi,3 gün uğraştım,herşeyi denedim.
msn bile açılmıyordu....
msn photo remover diye bir proogram buldum sonunda o bişeyler yaptı pc de.bayağı bişiler sildi attı

en sonunda virüs kalmadı lakin şu oldu;
window sunuz kopyadır diye uyarı aldım,
tabi onuda kolayı war,
programla hemen orjinal yaptım

bu arada yukardaki dosyaları ben alamadım yaa yardım