Bilqi Forum  
Regedit Erişimi ve Klasör Seçeneklerini Kapatan Worm Virüsü

Geri git   Bilqi Forum > > >

Windows İşletim Sistemi full işletim sistemi paylaşmak kesinlikle yasaktır

ÖDEVLERİNİZİ BULMAKTA ZORLANIYOMUSUNUZ!

SORUN ANINDA CEVAPLIYALIM.

TÜM SORULARINIZA ANINDA CEVAP VERİLECEKTİR !

Sitemize Üye Olmadan Konulara Cevap Yazabilir Ayrıca Soru Cevap Bölümüne Konu Açabilirsiniz !

Regedit Erişimi ve Klasör Seçeneklerini Kapatan Worm Virüsü

Windows İşletim Sistemi


Yeni Konu aç Cevapla
 
Seçenekler Stil
Alt 04-12-2009, 22:08   #1
Yaso
Operator
 
Yaso - ait Kullanıcı Resmi (Avatar)
 
Üyelik tarihi: Jan 2008
Mesajlar: 32.967
Tecrübe Puanı: 1000
Yaso has a reputation beyond reputeYaso has a reputation beyond reputeYaso has a reputation beyond reputeYaso has a reputation beyond reputeYaso has a reputation beyond reputeYaso has a reputation beyond reputeYaso has a reputation beyond reputeYaso has a reputation beyond reputeYaso has a reputation beyond reputeYaso has a reputation beyond reputeYaso has a reputation beyond repute
Standart Regedit Erişimi ve Klasör Seçeneklerini Kapatan Worm Virüsü

Regedit Erişimi ve Klasör Seçeneklerini Kapatan Worm Virüsü

Merhaba Arkadaşlar,
Regedit Erişimi ve Klasör Seçeneklerini Kapatan Worm Virüsü Email-Worm.Win32.Brontok.q (Bilgi almak için tıklayın) hakkında topladığım bilgileri aşağıya sıraladım. Bu isim Kaspersky tarafından verilen isim. Farklı anti-virus programları virüse değişik isimler vermiş. Bu virüsün yol açtığı bir sorunla ilgili yardım istiyorum. Sorunumu en alta yazacağım.

1) Virüs bulaştağı bilgisayarda C:\Windows klasörü altında RavMonE.exe diye 3,5 MB büyüklüğünde bir dosya oluşturuyor. Sanırım bütün işlemleri bu program yönetiyor. Ve diğer bilgisayarlara bu program aracılığıyla ulaşıyor. İşin ilginç yanı anti virus programları bu dosya sanki zararsızmış gibi davranıyor.
2) Açılışa kendini registerde shell=eksplorasi.exe komutuyla yüklüyor, bunun dışında aşağıdaki dosyaları da çalıştırıyor:

Kod:
%UserProfile%\Local Settings\Application Data\br<random number>on.exe%UserProfile%\Local Settings\Application Data\csrss.exe%UserProfile%\Local Settings\Application Data\inetinfo.exe%UserProfile%\Local Settings\Application Data\lsass.exe%UserProfile%\Local Settings\Application Data\services.exe%UserProfile%\Local Settings\Application Data\smss.exe%UserProfile%\Local Settings\Application Data\svchost.exe%UserProfile%\Local Settings\Application Data\winlogon.exe
3) Register kayıtlarında aşağıdaki değişiklikleri yapıp, Gizli ve Sistem Dosyalarını göster seçeneğini kapatıyor ve gizli ve sistem dosyalarını göstermek için kullanabilceğimiz Klasör Seçenekleri menüsünü kapatıyor ve Denetim masasından kaldırıyor, REGEDIT'in çalışmasını engelliyor ve böylece asıl virus dosyası RavMonE.exe'yi görmemizi engelliyor.Kod:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\System] "DisableRegistryTools"="1" "DisableCMD"="0"[HKCU\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Advanced] "Hidden"="0" "HideFileExt"="1" "ShowSuperHidden"="0"[HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\Explorer] "NoFolderOptions"="1"
4) Virüs bulaştığı bilgisayarda veya (en önemli yayılma aracı olan) Flash diskte her açılan klasörde klasörün adını taşıyan ve simgesi klasör simgesi şeklinde olan 42 kb büyüklüğünde bir dosya oluşturuyor.
Flash diske kendini kopyalayan RavMonE.exe hemen bir autorun.inf dosyası oluşturuyor ve flash disk otomatik olarak açıldığında autorun.inf dosyası aracılığıyla virüs temiz bilgisayarda aktif hale geçiyor. Eğr autorun.inf dosyası bi şekilde devreye girmezse, flash diskte oluşturduğu klasör ismini taşıyan .exe dosyaya klasörmüş gibi tıklandığında (dosyaları ayrıntılı göster seçeneği kullanılmazsa uygulama dosyası olduğu anlaşılmıyor) virüs yine aktif hale geçiyor.


NASIL TEMİZLENİR
Virüs güvenli kipte de aktif olduğu için temizlenmesi oldukça güç. Bir şekilde hiç tahmin edilmeyen bir dosya aracılığıyla aktif hale gelebiliyor ve Regedit.exe yi devre dışı bıraktığı için register'dan temizlemek de mümkün olmuyor.
Öncelikle Kullandığınız anti virüs programıyla bir açılış CD'si oluşturup, sistemi bu CD ile açıp temizlemeniz gerekir. Ben temizleme işini Kaspersky Internet Security 6.0'ın önerdiği PE Builder programı aracılığıyla oluşturduğum açılış CD'siyle yaptım. FAT32 sistemlerde MS-DOS ortamında açıp F-Prot'un DOS versiyonuyla da taranabilir. Ama yaklaşık 10 MB yer tutan bu programı DOS altında çalışacak bir açılış CD'sine kaydetmeniz gerekecektir. Disket aracılığıyla sisteme taşımak için dos altında çalışan bir sıkıştırma programıyla F-Protu disketlere bölerek sıkıştırabilir ve açılış disketiyle açtıktan sonra Harddiske kopyalayarak bir klasöre açıp çalıştırabilirsiniz. (CD sürücüsü olmayan sistemler için önerilebilir)
Bizim virüs çok değişik formatlarda dosyalar aracılığıyla yayıldığı için taramayı kesinlikle bütün dosyaları kapsayacak şekilde yapmak gerekir.

(25.12.2006 Ek: )Kaspersky İnternet Security 6.0'ın içinde bulunduğu PE Builder ile hazırlanmış boot CD'sinin ISO imajını sıkıştırıp 2 dosya halinde upload ettim. 1. Part 50 MB, 2. Part 20 MB büyüklüğünde, dosya açıldığında 183 MB büyüklüğünde bir ISO dosyası oluşturuyor. Anti virüs programının data dosyaları 25.12.2006 tarihi itibariyle güncellendi. İhtiyacı olan arkadaşlar aşağıdanki linkleri kullanarak indirebilirler:

Avp_Xp_Sp2_Boot.part1.rar 50 MB
Avp_Xp_Sp2_Boot.part2.rar 20 MB


VİRÜSÜN YOLAÇTIĞI SORUNLAR NASIL ÇÖZÜLÜR:
Virüs Register ayarlarına ulaşmayı engelliyor, bu sorunu Windows XP de aşmanın yolu aşağıda linki verdiğim mesajda anlatılmış. Öncelikle register'e müdaheleyi engelleyen kısıtlamayı kaldırmak gerekir:
http://www.frmtr.com/windows-isletim-sistemi/221916-regedit-hatasi-yardim-edin.html#post2307048
Daha sonra Virüsün gizlediği Klasör Seçeneklerini atktif hale getirmek için aşağıdaki mesajda linki verilen register kaydını indirip yükleyin.
http://www.frmtr.com/windows-isletim-sistemi/691913-folder-options-kaybuldu.html#post7189684

ya da aşağıdaki kodları .reg uzantılı bir dosyaya kaydedip yükleyin.


Kod:
REGEDIT4[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\Explorer]"NoFolderOptions"=dword:00000000
Virüs hakkında toparlayabildiğim bilgileri ve çözüm yollarını elimden geldiğince anlatmaya çalıştım.

Bu arada benim de birkaç sorunum var bu konularda yardım istiyorum.
1) Virüs Windows 98'de de regedit.exe'nin çalışmasını engelliyor.
Başlat/Çalıştır'da regedit komutunu verdiğimde Windows XP'de olduğu gibi şöyle bir hata veriyor:
"Kayıt defteri düzenleyiciniz yönetici tarafından devre dışı bırakılmıştır."
Windows 98 de Yönetimsel Araçlar diye bir araç olmadığndan (Varsa bile bunu ben bilmiyorum) Regedit'in çalışmasını engelleyen kısıtlamayı nasıl kaldırabiliriz?
(25.12.2006 Ek:) Arkadaşlar bu sorunun çözümünü de buldum ve aşağıda 5. mesajda açıkladım. Aşağıdaki linke tıklayarak mesajı okuyabilirsiniz:
http://www.frmtr.com/showthread.php?t=697165#post7292462


2) Windows XP bilgisayara takılan flash diskleri otomatik olarak çalıştırıyor ve tabii ki virüs flash diskte oluşturduğu autorun.inf dosyası aracılığıyla aktif hale geçip sisteme bulaştığından, virüsün yayılmasının önüne geçemiyoruz. XP'nin flash diskler için bu özelliğini nasıl iptal edebiliriz. Binbir çeşit flash diskin aynı bilgisayarda sürekli kullanıldığı bir ortamda olduğumuz için bu konudaki çözüm çok önemli.
Bu konuda bilgisi olan arkadaşların yardımını rica ediyorum.

Ek: Neyse ki arkadaşlar 2. sorunun çözümünü buldum hemen aşağıda resimli olarak gösterdim. Başlat/Çalıştır'da gpedit.msc yazıp enter' a basıyoruz. Çıkan Grup İlkesi Penceresinde Yerel Bilgisayar İlkesi\Kullanıcı Yapılandırması\Yönetim Şablonları\Sistem altında yer alan Otomatik Çalıştır Özelliğini Kapat' Etkin hale getiriyoruz ve Otomatik Çalıştırı Kapat bölümünden Tüm sürücüleri seçiyoruz.
__________________



Tüm bölümlerimize yetkili alımları başlamıştır başvurmak için aşağıdaki linke tıklayınız


Yaso isimli Üye şimdilik offline konumundadır   Alıntı ile Cevapla
Sponsored Links
Cevapla

Bookmarks


Konuyu Toplam 1 Üye okuyor. (0 Kayıtlı üye ve 1 Misafir)
 
Seçenekler
Stil

Yetkileriniz
Sizin Yeni Konu Acma Yetkiniz var yok
Sizin Konu Yanıtlama Yetkiniz var
You may not post attachments
You may not edit your posts

BB code is Açık
Smileler Açık
[IMG] Kodları Açık
HTML-KodlarıKapalı

Gitmek istediğiniz klasörü seçiniz

Benzer Konular
Konu Konuyu Başlatan Forum Cevaplar Son Mesaj
Üstünü kapatan altında kalır Korax Köşe Yazıları 0 02-10-2009 15:24
Üstünü kapatan altında kalır Korax Köşe Yazıları 0 02-10-2009 15:24
regedit kayıt defteri yedek alma videolu(programsız) Yaso Resimli Anlatımlar 0 08-22-2008 18:23
Çin, Youtube'a erişimi engelledi Haberci Bilim ve Teknoloji Haberleri 0 03-20-2008 19:23
Klasör Erişimi Yasak Hatasının Giderilmesi PHoeNiX Windows İşletim Sistemi 0 01-31-2008 01:25


Şu Anki Saat: 23:37


İçerik sağlayıcı paylaşım sitelerinden biri olan Bilqi.com Forum Adresimizde T.C.K 20.ci Madde ve 5651 Sayılı Kanun'un 4.cü maddesinin (2).ci fıkrasına göre TÜM ÜYELERİMİZ yaptıkları paylaşımlardan sorumludur. bilqi.com hakkında yapılacak tüm hukuksal Şikayetler doganinternet@hotmail.com ve streetken27@gmail.com dan iletişime geçilmesi halinde ilgili kanunlar ve yönetmelikler çerçevesinde en geç 1 (Bir) Hafta içerisinde bilqi.com yönetimi olarak tarafımızdan gereken işlemler yapılacak ve size dönüş yapacaktır.
Powered by vBulletin® Version 3.8.4
Copyright ©2000 - 2017, Jelsoft Enterprises Ltd.
Search Engine Optimisation provided by DragonByte SEO v2.0.36 (Lite) - vBulletin Mods & Addons Copyright © 2017 DragonByte Technologies Ltd.

Android Rom

Android Oyunlar

Android samsung htc

Samsung Htc

Nokia Windows