Forum

Rootkit virüs&...
 
Bildirimler
Hepsini Temizle

Rootkit virüsü hk.

8 Yazılar
5 Üyeler
0 Reactions
651 Görüntüleme
(@okanvidin)
Gönderiler: 15
Eminent Member
Konu başlatıcı
 

İyi günler,

Client'larımızda meydana gelen arızadan öncelikle bahsetmek istiyorum. Xp'nin bitme süresine yakın bir dönemde bilgisayara bulaşan ".bat veya script" öncelikle masaüstündeki ikonların isimlerini değiştirmekte (uygunsuz içerik olarak) ardından müdahale yapılmazsa backup diskilerini (d:, e:) biçimlendirmektedir. İnternet üzerinden edindiğim bilgiye göre svchost sayesinde network'e yayılabiliyor. Anti virüs ve anti malware'e yakalanmıyor çünkü kendini sistemin bir parçası olarak çalıştırmakta ayrıca service olduğunu düşünüyorum sürekli isim değiştirip dosya yaratıyor. İşin sıkıntılı durumu ne olduğunu biliyoruz fakat çözüm olarak net birşey yok.
Denenen tool'lar : Avira rescue (linux tabanlı), kaspersky removal tool, malware bytes, sophos vb......

AVG anti rootkit ile yaptığımız taramalarda ise  "ntcreatethreadex hook" isimli bir şey ile karşılaşıyoruz ve aradığımız zaman bunun için service olarak sistemde dosyası gibi sürekli çalışan bir virüs olduğu ortaya çıkıyor.

Şimdilik yaptığımız çözüm sıfır temiz disk ile virüs'lü diski clon ile ezerek yeniden kurmak yada clon yapmak...

Kesin olarak belli bir çözüm üretemedik (tool indirip tarattırmak ve temizleyip yolumuza devam etmek gibi)

 Konu hakkında tecrübenize güveniyorum şimdiden teşekkürler

 
Gönderildi : 24/04/2014 22:14

(@ayhanozdemir)
Gönderiler: 474
Honorable Member
 

Merhaba,

Sistemi komple kapatıp clientları güvenli modda tek tek açarak combofix (Ücretsiz) ile tarattırın.Bütün makinaların taraması bitince sistemi komple açıp deneyin.

Kolay gelsin 

 
Gönderildi : 25/04/2014 17:24

(@MustafaKURU)
Gönderiler: 388
Honorable Member
 

Merhaba,

Ayhan Bey tavsiyesi faydalı olacaktır Combofix düşük ihtimal dahilinde sistemleri patlatsada bir çok sert ve güçlü virusleri silebilmektedir.

 
Gönderildi : 25/04/2014 20:15

(@okanvidin)
Gönderiler: 15
Eminent Member
Konu başlatıcı
 

merhaba,

Combofix denenmiştir fakat sonuc aynı. 

Biz bilgisayarları klonlamaya devam ediyoruz ama işin ilginç yanı kimsenin başına gelmemiş olması ilk kobay biz olduk sanırım 🙂

 
Gönderildi : 05/05/2014 12:23

(@yilmazgokce)
Gönderiler: 112
Estimable Member
 

Norman malware cleaner denedinizmi ?

Geçenlerde bende de böyle bir sıkıntı olmuştu faydalı oldu... 

 
Gönderildi : 05/05/2014 12:49

(@MustafaKURU)
Gönderiler: 388
Honorable Member
 

Merhaba Okan Bey,

Birde Malwarebytes Anti-Malware Full sürümü ile denermisiniz.

Çözüme ulaşmanız dileğiyle.

 
Gönderildi : 05/05/2014 12:50

(@okanvidin)
Gönderiler: 15
Eminent Member
Konu başlatıcı
 

anti malware bytes lisanslı ürünü makinalarımızda kuruludur. Norman malware de bulamıyor çok garip bir durum, sanki bir servis var ve sürekli bir notepad içerisinden komutları çalıştırıp; masaüstü isimlerini değiştirip backup disklerini biçimlendiriyor. Konu ile ilgili arkadaşlarımızdan nod32, kaspersky, webroot gibi yazılımları temin ederek denedik, avira rescue sistem, combofix, avg rootkit derdimize çare olmadı. Şuan klon yaparak gideriyoruz fakat işin derinine inmek istiyoruz.(nedir, nasıl çalışır, nasıl engellenir) şuan tek çare olarak vb script'lerin çalışmasını engelliyoruz(tabi scriptse) 

yoksa klasik bir virüs olsa izlenecek yollar belli, toollar bellidir ama bunun ne olduğuda belli değil 🙂 sinirden gülmeye başladık artık.

 
Gönderildi : 05/05/2014 19:10

(@KenanISIK)
Gönderiler: 95
Estimable Member
 

Merhaba ,  log alıp gönderir seniz yardımcı olabilirim. 

 

http://www.eset.com/tr/download/utilities/detail/family/3/

 

 

 
Gönderildi : 28/05/2014 14:35

Paylaş: