bugün
- akepe neden kültürel hegemonyayı ele geçiremedi16
- anın görüntüsü24
- sözlükteki gizli düşmanım10
- sözlük kızlarını harika yapan detaylar9
- herkes eski nikini yazsın bitsin bu eziyet19
- her insanın bir cini olması8
- ilişkilerde fizik mi kimya mı önemlidir sorgusu6
- uzun zaman sonra sözlüğe girmek2
- arkadaşlar ben gavat değilim2
- genç görünmeye çalışmak3
- enjoy im vaccinated2
- günün şiiri5
- avrupada hava sıcaklıkları2
- insanın geçmişinin karanlık olması8
- içtim şarabı13
- büstiyer2
- rakı sevmemek7
- şafak çak3
- giresun da otobüs durağında bekleyen turist kız5
- çift katlı otobüs3
- muhtarlıkların kapatılması gerekliliği3
- hayalet gibi bir insan olmak3
- kadir inanır22
- venezuella depremi3
- dümbelettin efendi2
- sosyal medya aranmaktır2
- sözlükte neden atatürk ve türk bayrağı resmi yok3
- aşure yapan sözlük kızları7
- daha relax3
- özelden sözlük erkeklerini taciz etmek3
- sektör öldü tek yol tıp diyen primat3
- bik bik'in mutfağına konuk olmak7
- hiç kimsenin sevmediği bir insana aşık olmak3
- japonya7
- of çok sıkıcı olmanız2
- kemalist dünya24
- 7 aydır berlinde yaşıyorum soruları alayım7
- trump ara seçimleri kaybederse soruşturma geçirir5
- tas kafa traşlı hırt sorunu5
- insan olmaya ceyrek kala3
- sesi güzel olan kızların çirkin olması sorunsalı2
- aydilge'nin sanat güneşi olması2
- çok güzel ama manyak kadın7
- mustafa kemal atatürk7
- true'nun çaylak olması16
- bu sıcakta karpuz tarlasında çalışmak4
- şeriatçıları afganistana sürmek4
- üniversitelerin gereksiz olması16
- iran'ın abd saldırısına karşılık tehdidi5
- trolluğun zeka gerektirdiği gerçeği3
Endonezya kökenli olan brontok virüsü bilgisayara girdiğinde önce görev yöneticisine HKLM\Software\Microsoft\Windows\CurrentVersion\Run registry key isimli kayıt girdisi şeklinde kopyalar ve bu sayede işletim sisteminin her açılışında kendini aktive eder. Windows kayıt yöneticisini engeller ve internet explorerın ayarlarını değiştirir. Araçlardaki klasör seçeneklerini kaldırır ve böylece gizli dosya ve klasörlere giremezsiniz, ayrıca windows güvenlik duvarını pasifize eder. Kendi e-mail programını devreye sokarak sizin e-mail adresinizi gönderen olarak gösterip bilgisayarda bulabildiği tüm adreslere otomatik fakemail gönderir. Bunlara ek olarak ms-dos açıldığında ve internetten yükleme yapılırken bilgisayarınızı yeniden başlatır. Belgelerim resimlerim klasörü içerisie kendi html dosyasını kopyalar ve belli aralıklarla yeşil bir fonda kendi bildirisini yayımlar. Bildiri bozuk bir ingilizce aksanıyla kaleme alınmış ve genel anlamda sex ve uyuşturucuya karşı yazılmıştır. Virüsü temizlemek için kaspersky 6.0 ve ad-aware professionals en etkili programlardandır.
http://img697.imageshack.us/i/brontoka.jpg/
http://img697.imageshack.us/i/brontoka.jpg/
ağzına sıçtığımın bir endonezyalısı tarafından yazılmış bu virüsü temizlemek için şu an denediğim; bu adresteki, bundan böyle ilah saydığım arkadaşın yönlendirmeleri kullanılabilir;
http://www.coolbuster.net...remove-brontok-virus.html
gerçi ben ne safe moda girip orada deneyebildim, ne de regedit i aktive etmem gerekti command menu den. önce kaspersky ardından nod32 ile virüsün görülebilir (regedit, görev yöneticisi, ...) etkilerini kaldırdım. ardından regeditten arkadaşın gösterdiği reg leri sildim. şimdi de son adımı uygulayıp bu amınoğlu esteban virüsten temelli kurtulmaya çalışıyorum. yedekte combofix duruyor, olmadı format var.
http://www.coolbuster.net...remove-brontok-virus.html
gerçi ben ne safe moda girip orada deneyebildim, ne de regedit i aktive etmem gerekti command menu den. önce kaspersky ardından nod32 ile virüsün görülebilir (regedit, görev yöneticisi, ...) etkilerini kaldırdım. ardından regeditten arkadaşın gösterdiği reg leri sildim. şimdi de son adımı uygulayıp bu amınoğlu esteban virüsten temelli kurtulmaya çalışıyorum. yedekte combofix duruyor, olmadı format var.
araçlar menümdeki klasör seçenkleri ve diğer bazı seçenekleri yemiş olan lanet olasıca bilgisayar canlısı. lepistes bile bu kadar fazla çoğalmıyor!
2 bilgisayarıma, 2 telefon ve 2 flashdisk'ten kazıyarak sildiğim virüs. Silmeside oldukça eziyetlidir. Nod32 5 ile 1 saate tüm hafızadan temizledi. Rahat nefes aldık.
edit: Temizleme yolu;
--spoiler--
Virüsün sistemde bıraktığı etkiler
1- Sistemde aşağıdaki dosyaları oluşturuyor ve hiçbir antivirüs programı bulamıyor bu virüsü (boyutu 41-42 veya 44 kb olan )
Özellikle Belgelerim klasöründe girdiğiniz klasörlere, girdiğiniz klasör adında bir .exe dosyası ekliyor.Ve bu .exe dosyasının simgesi klasör şeklinde oluyor.
2- Denetim Masası'nda Klasör Seçenekleri Menüsü'nü gizliyor.
Kayıt Defteri'ne eklediği aşağıdaki girdi yüzünden:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\
Explorer\NoFolderOptions -> Bad: (1) Good: (0)
Bu nedenle Gizli dosyalar görülemeyip, zararlinin sistemde biraktigi dosyalar silinemiyor.
3-Kayıt Defteri'ne(regedit) erişimi engelliyor.
Kayıt Defteri'ne eklediği aşağıdaki girdi yüzünden:
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableRegistryTools"=dword:1
4- internet'ten .exe uzantılı dosya indirmeye kalkarsaniz bilgisayarınızı yeniden başlatıyor.
5- Bilgisayarınızdaki aşağıdaki uzantılara sahip dosyaları arayarak bulduğu e-mail adreslerine spam mailler gönderiyor.
•asp
•cfm
•csv
•doc
•eml
•html
•php
•txt
•wab
6- C:\Documents and Settings\Kullanıcı Adı\Local Settings\Application Data klasöründe aşağıdaki dosya ve klasörleri oluşturuyor
C:\Documents and Settings\Kullanıcı Adı\Local Settings\Application Data\Loc.Mail.Bron.Tok
C:\Documents and Settings\Kullanıcı Adı\Local Settings\Application Data\Bron.tok-10-9
C:\Documents and Settings\Kullanıcı Adı\Local Settings\Application Data\Ok-SendMail-Bron-tok
C:\Documents and Settings\Kullanıcı Adı\Local Settings\Application Data\ListHost10.txt
C:\Documents and Settings\Kullanıcı Adı\Local Settings\Application Data\Kosong.Bron.Tok.txt
C:\Documents and Settings\Kullanıcı Adı\Local Settings\Application Data\GDIPFONTCACHEV1.dat
C:\Documents and Settings\Kullanıcı Adı\Local Settings\Application Data\Update.10.Bron.Tok.bin
C:\Documents and Settings\Kullanıcı Adı\Local Settings\Application Data\Bron.tok.A10.em.bin
7-Arada bir aşağıdaki sayfa açılıyor.
Bu dosya açılıyor.
( C:\Documents and Settings\Kullanıcı Adı\Belgelerim\Resimlerim\about.Brontok.A.html )
8-Kayıt Defterine aşağıdaki girdileri ekliyor.
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"Bron-Spizaetus" = "%Windir%\ShellNew\bronstab.exe"
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"Tok-Cirrhatus" = "C:\Documents and Settings\Kullanıcı Adı\Local Settings\Application Data\smss.exe" [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] "Shell"="Explorer.exe C:\WINDOWS\eksplorasi.pif"
Temizlemek için
eksplorasi.pif
smss.exe
services.exe
lsass.exe
csrss.exe
inetinfo.exe
winlogon.exe
Empty.pif
WowTumpeh.com
Kullanıcı Adı's Setting.scr
bronstab.exe
C:\Documents and Settings\Kullanıcı Adı\Belgelerim\Belgelerim.exe
C:\Documents and Settings\Kullanıcı Adı\Belgelerim\Müziğim\Müziğim.exe
C:\Documents and Settings\Kullanıcı Adı\Belgelerim\Resimlerim\Resimlerim.exe
C:\Documents and Settings\Kullanıcı Adı\Local Settings\Application Data\csrss.exe
C:\Documents and Settings\Kullanıcı Adı\Local Settings\Application Data\inetinfo.exe
C:\Documents and Settings\Kullanıcı Adı\Local Settings\Application Data\lsass.exe
C:\Documents and Settings\Kullanıcı Adı\Local Settings\Application Data\services.exe
C:\Documents and Settings\Kullanıcı Adı\Local Settings\Application Data\smss.exe
C:\Documents and Settings\Kullanıcı Adı\Local Settings\Application Data\winlogon.exe
C:\Documents and Settings\Kullanıcı Adı\Local Settings\temp\Rar$EX00.718\bronstab.exe
C:\Documents and Settings\Kullanıcı Adı\Start Menu\Programlar\Başlangıç\Empty.pif
C:\Documents and Settings\Kullanıcı Adı\Templates\WowTumpeh.com
C:\WINDOWS\eksplorasi.exe
C:\WINDOWS\ShellNew\bronstab.exe
C:\WINDOWS\system32\Kullanıcı Adı's Setting.scr
Bu dosyaları bilgisayarınızdan silin.
NOT:services.exe gibi dosyaların bir orjinali vardır birde sahtesi vardır sahtesini silmeniz gerekiyor.
Hijackthis adlı programı indirin.Çalıştırın.Gelen uyarılara evet diyin.Do a system scan only seçeneğini seçip 10 saniye bekleyin.Gelen ekranda aşağıdaki girdiler ile ilgili kutucukları işaretleyip fix checked deyin.
O1 - Hosts: bölümündeki tüm girdileri işaretleyin.
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
F2 - REG:system.ini: Shell=Explorer.exe
Bu işlemin ardından Kayıt Defteri'ne erişememe sorunu düzelecek.
Başlat > Çalıştır > regedit yazıp enter'layarak Kayıt Defteri Yöneticisi'ne girin.
Aşağıdaki girdiyi bulun.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFolderOptions
Burada değer şu anda 1 olarak gözüküyor.Resimdeki gibi bunu 0 yapip tamam deyin.Bilgisayarınızı yeniden başlatın.Denetim Masası > Klasör Seçenekleri menüsü geri geldi.Klasör Seçenekleri > Görünüm > Gizli Dosyaları Göster seçeneğini işaretleyerek tamam deyin.
C:\Documents and Settings\Kullanıcı Adı\Local Settings\Application Data klasörü içinde yer alan aşağıdaki dosya ve klasörleri el ile silin.
Silinecek Klasörler:
C:\Documents and Settings\Kullanıcı Adı\Local Settings\Application Data\Loc.Mail.Bron.Tok
C:\Documents and Settings\Kullanıcı Adı\Local Settings\Application Data\Bron.tok-10-9
C:\Documents and Settings\Kullanıcı Adı\Local Settings\Application Data\Ok-SendMail-Bron-tok
Silinecek Dosyalar
C:\Documents and Settings\Kullanıcı Adı\Local Settings\Application Data\ListHost10.txt
C:\Documents and Settings\Kullanıcı Adı\Local Settings\Application Data\Kosong.Bron.Tok.txt
C:\Documents and Settings\Kullanıcı Adı\Local Settings\Application Data\GDIPFONTCACHEV1.dat
C:\Documents and Settings\Kullanıcı Adı\Local Settings\Application Data\Update.10.Bron.Tok.bin
C:\Documents and Settings\Kullanıcı Adı\Local Settings\Application Data\Bron.tok.A10.em.binAşağıdaki html dosyasını silin.
C:\Documents and Settings\Kullanıcı Adı\Belgelerim\Resimlerim\about.Brontok.A.html
--spoiler--
Yada bunların yerine bir antivirüs ile 1-2 saatlik tarama ile temizleyin.
edit: Temizleme yolu;
--spoiler--
Virüsün sistemde bıraktığı etkiler
1- Sistemde aşağıdaki dosyaları oluşturuyor ve hiçbir antivirüs programı bulamıyor bu virüsü (boyutu 41-42 veya 44 kb olan )
Özellikle Belgelerim klasöründe girdiğiniz klasörlere, girdiğiniz klasör adında bir .exe dosyası ekliyor.Ve bu .exe dosyasının simgesi klasör şeklinde oluyor.
2- Denetim Masası'nda Klasör Seçenekleri Menüsü'nü gizliyor.
Kayıt Defteri'ne eklediği aşağıdaki girdi yüzünden:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\
Explorer\NoFolderOptions -> Bad: (1) Good: (0)
Bu nedenle Gizli dosyalar görülemeyip, zararlinin sistemde biraktigi dosyalar silinemiyor.
3-Kayıt Defteri'ne(regedit) erişimi engelliyor.
Kayıt Defteri'ne eklediği aşağıdaki girdi yüzünden:
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableRegistryTools"=dword:1
4- internet'ten .exe uzantılı dosya indirmeye kalkarsaniz bilgisayarınızı yeniden başlatıyor.
5- Bilgisayarınızdaki aşağıdaki uzantılara sahip dosyaları arayarak bulduğu e-mail adreslerine spam mailler gönderiyor.
•asp
•cfm
•csv
•doc
•eml
•html
•php
•txt
•wab
6- C:\Documents and Settings\Kullanıcı Adı\Local Settings\Application Data klasöründe aşağıdaki dosya ve klasörleri oluşturuyor
C:\Documents and Settings\Kullanıcı Adı\Local Settings\Application Data\Loc.Mail.Bron.Tok
C:\Documents and Settings\Kullanıcı Adı\Local Settings\Application Data\Bron.tok-10-9
C:\Documents and Settings\Kullanıcı Adı\Local Settings\Application Data\Ok-SendMail-Bron-tok
C:\Documents and Settings\Kullanıcı Adı\Local Settings\Application Data\ListHost10.txt
C:\Documents and Settings\Kullanıcı Adı\Local Settings\Application Data\Kosong.Bron.Tok.txt
C:\Documents and Settings\Kullanıcı Adı\Local Settings\Application Data\GDIPFONTCACHEV1.dat
C:\Documents and Settings\Kullanıcı Adı\Local Settings\Application Data\Update.10.Bron.Tok.bin
C:\Documents and Settings\Kullanıcı Adı\Local Settings\Application Data\Bron.tok.A10.em.bin
7-Arada bir aşağıdaki sayfa açılıyor.
Bu dosya açılıyor.
( C:\Documents and Settings\Kullanıcı Adı\Belgelerim\Resimlerim\about.Brontok.A.html )
8-Kayıt Defterine aşağıdaki girdileri ekliyor.
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"Bron-Spizaetus" = "%Windir%\ShellNew\bronstab.exe"
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"Tok-Cirrhatus" = "C:\Documents and Settings\Kullanıcı Adı\Local Settings\Application Data\smss.exe" [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] "Shell"="Explorer.exe C:\WINDOWS\eksplorasi.pif"
Temizlemek için
eksplorasi.pif
smss.exe
services.exe
lsass.exe
csrss.exe
inetinfo.exe
winlogon.exe
Empty.pif
WowTumpeh.com
Kullanıcı Adı's Setting.scr
bronstab.exe
C:\Documents and Settings\Kullanıcı Adı\Belgelerim\Belgelerim.exe
C:\Documents and Settings\Kullanıcı Adı\Belgelerim\Müziğim\Müziğim.exe
C:\Documents and Settings\Kullanıcı Adı\Belgelerim\Resimlerim\Resimlerim.exe
C:\Documents and Settings\Kullanıcı Adı\Local Settings\Application Data\csrss.exe
C:\Documents and Settings\Kullanıcı Adı\Local Settings\Application Data\inetinfo.exe
C:\Documents and Settings\Kullanıcı Adı\Local Settings\Application Data\lsass.exe
C:\Documents and Settings\Kullanıcı Adı\Local Settings\Application Data\services.exe
C:\Documents and Settings\Kullanıcı Adı\Local Settings\Application Data\smss.exe
C:\Documents and Settings\Kullanıcı Adı\Local Settings\Application Data\winlogon.exe
C:\Documents and Settings\Kullanıcı Adı\Local Settings\temp\Rar$EX00.718\bronstab.exe
C:\Documents and Settings\Kullanıcı Adı\Start Menu\Programlar\Başlangıç\Empty.pif
C:\Documents and Settings\Kullanıcı Adı\Templates\WowTumpeh.com
C:\WINDOWS\eksplorasi.exe
C:\WINDOWS\ShellNew\bronstab.exe
C:\WINDOWS\system32\Kullanıcı Adı's Setting.scr
Bu dosyaları bilgisayarınızdan silin.
NOT:services.exe gibi dosyaların bir orjinali vardır birde sahtesi vardır sahtesini silmeniz gerekiyor.
Hijackthis adlı programı indirin.Çalıştırın.Gelen uyarılara evet diyin.Do a system scan only seçeneğini seçip 10 saniye bekleyin.Gelen ekranda aşağıdaki girdiler ile ilgili kutucukları işaretleyip fix checked deyin.
O1 - Hosts: bölümündeki tüm girdileri işaretleyin.
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
F2 - REG:system.ini: Shell=Explorer.exe
Bu işlemin ardından Kayıt Defteri'ne erişememe sorunu düzelecek.
Başlat > Çalıştır > regedit yazıp enter'layarak Kayıt Defteri Yöneticisi'ne girin.
Aşağıdaki girdiyi bulun.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFolderOptions
Burada değer şu anda 1 olarak gözüküyor.Resimdeki gibi bunu 0 yapip tamam deyin.Bilgisayarınızı yeniden başlatın.Denetim Masası > Klasör Seçenekleri menüsü geri geldi.Klasör Seçenekleri > Görünüm > Gizli Dosyaları Göster seçeneğini işaretleyerek tamam deyin.
C:\Documents and Settings\Kullanıcı Adı\Local Settings\Application Data klasörü içinde yer alan aşağıdaki dosya ve klasörleri el ile silin.
Silinecek Klasörler:
C:\Documents and Settings\Kullanıcı Adı\Local Settings\Application Data\Loc.Mail.Bron.Tok
C:\Documents and Settings\Kullanıcı Adı\Local Settings\Application Data\Bron.tok-10-9
C:\Documents and Settings\Kullanıcı Adı\Local Settings\Application Data\Ok-SendMail-Bron-tok
Silinecek Dosyalar
C:\Documents and Settings\Kullanıcı Adı\Local Settings\Application Data\ListHost10.txt
C:\Documents and Settings\Kullanıcı Adı\Local Settings\Application Data\Kosong.Bron.Tok.txt
C:\Documents and Settings\Kullanıcı Adı\Local Settings\Application Data\GDIPFONTCACHEV1.dat
C:\Documents and Settings\Kullanıcı Adı\Local Settings\Application Data\Update.10.Bron.Tok.bin
C:\Documents and Settings\Kullanıcı Adı\Local Settings\Application Data\Bron.tok.A10.em.binAşağıdaki html dosyasını silin.
C:\Documents and Settings\Kullanıcı Adı\Belgelerim\Resimlerim\about.Brontok.A.html
--spoiler--
Yada bunların yerine bir antivirüs ile 1-2 saatlik tarama ile temizleyin.
Gündemdeki Haberler
Güncel Önemli Başlıklar