conficker

bu virus zamanında benim de başıma dert olmuştu. öncelikle yapmanız gereken

ağa bağlı tüm client ve sunucuların en son windows güncellemelerini yapmanız. bu büyük oranda virüsün yayılmaını engellemektedir.

daha sonra Bit defender dan yada Kaspersky den aldığınız silme tollu ile teker teker tüm server ve clientları temizliyorsunuz.

Schedule Job bölümünün altını kontrol ediniz. burda eğer At10 gibi abuk sunuk joblar görüyorsanız bunları temizleyin. bu virüsün bazı variantları buraya otomatik joblar ekleyerek kendisinin yayılmasını garanti altına alıyor.

Schedule Job bölümünü tam anlamadım biraz ayrıntılı anlatırmısınız? nereden nasıl yapılıyor?

Merhaba, bu zararlı haşeratın bana musallat olan varyantında tüm windows işletim sistemi kurulu sistemlerde (Sunucu yada kullanıcı ayırt etmeksizin) Control Panel/Scheduled Tasks bölümü altına At8, At10 gibi rastgele isimlerle job' lar oluşturup bu nlara script bağlayarak kendisini sürekli aktif tutabiliyor ve böylece yayılma hızını ve etkinliğini maksimuma çıkartabiliyordu.

Merhaba,

Ne demek istediğinizi şimdi anladım, tekeşkürler, dün zaten kk toolu indirdim serverlerden başlayayara tarattım. o bahsettiğiniz taskları otomatik olarak sildi. bütün client makinelerde de kk yı zamanlanmış görevlerde schedule oluşturdum her 10 dk bir çalıştırıyor.

Teşekkür ederim yardımlarınızdan dolayı İşe yaradı gibi görünüyor. Genelde forumlarda çok basit ve tam anlamadan cevaplar veriliyor yada sadece bir bilgisayar için bilgiler veriliyor, insanın başına gelmeyince bilmiyor, neyse

Teşekkürler

Merhabalar,

Bahsedilen sorundan oldukça müzdaribim. Hangi yolu denediysem kurtulamadım bu virüsten. Bteleman kktools ile kurtuldugunu soyluyorsun. Kk toolsu down edebileceğim bir url verebilir misin ?

http://download.eset.com/special/EConfickerRemover.exe bu tool'u deneyin, ardindan combofix'i deneyin.

bu toolun hiç bir işevi yok Barış Bey..

http://destek.helyum.com.tr/index.php?_m=downloads&_a=view&parentcategoryid=13&pcid=0&nav=0

buradan indirebilkirsiniz.

Kolay Gelsin. 

Antivirüs loglarınızı yollarmısınız?

Active directory ve exchange kurulu serverım ( dilaver ) trend micro logları aşşağıdaki gibidir. ve günde 200 den fazla her client icin aynı logları almaktayım.. yardımlarınızı rica ediyorum. ne kadar önerilen tool varsa denedim. 

6/22/2010 11:19:12 DILAVER Mal_DownadJ      Scanned by DCS DCS Cleaned View
6/22/2010 11:19:11 DILAVER WORM_DOWNAD.AD   Scanned by DCS DCS Cleaned View
6/22/2010 11:19:11 DILAVER WORM_DOWNAD      Scanned by DCS DCS Cleaned View
6/22/2010 11:18:49 DILAVER Mal_DownadJ      At1.job Real-time Scan Quarantined View
6/22/2010 11:18:49 DILAVER WORM_DOWNAD.AD   BILGISLEM\ADMINISTRATOR jcpcwri.xeq Real-time Scan Quarantined View
6/22/2010 10:16:10 DILAVER Mal_DownadJ      Scanned by DCS DCS Cleaned View
6/22/2010 10:16:09 DILAVER WORM_DOWNAD.AD   Scanned by DCS DCS Cleaned View
6/22/2010 10:16:09 DILAVER WORM_DOWNAD      Scanned by DCS DCS Cleaned View
6/22/2010 10:15:53 DILAVER Mal_DownadJ      At1.job Real-time Scan Quarantined View

Taskleri silmeniz için bir toola ihtiyacınız yok. Start - Settings - Control Panel - Scheduled Tasks altında anlam ifade etmeyen zamanlanmış görevler görürsünüz. Onları silmelisiniz. Sorunun diğer arkadaşla aynı olduğunu belirtmişsiniz, aynı ise çözülür. Değilse NOD32 ' nin güncel sürümü ile taramayı deneyin. Ayrıca start - run - msconfig - startup bölümünde bilginiz dışı bir checkbox varsa kaldırın.

zamanlanmıs görevler altında bir anlam ifade etmeyen görevler yok. regeditten de at1.job girdisini buldum sildim.ancak uyarılar hala devam ediyor. sürekli üremekte wormlar.ayrıca startupa yerlesmis bilinmeyen bir uygulama da yok. Kaspersky, mcaffe, nod32 gibi tüm anti programlarla, hatta adaware, spydoctor gibi spy malware programlarıyla tarama gerceklestirdim. sonuc olarak tehdit yok diyor hepsi. ancak trend micro bütün clientlarda ve serverlarda uyarı veriyor. Kullanıcılar tedirgin. sistem sacmalamaya basladi.

Bir fikri olan yok mu arkadaşlar ?

burada yapılaması gereken en mantıklı iş bütün sistemi lisanslı virüs programı ile donatmak ve merkezi olarak virüs pragramlarının update ve yönetimini yapmak.Free virüs programları sizi korumaz.

Kolay Gelsin. 

Lisanslı Trend micro var. Diğer serverlarımızın yanında clientları yöneten bir trend micro server var. ve her clientta kurulu trendmicro officescan var lisanslı ve trend micro server ile tam bir uyum içerisinde çalışıyorlar. Ancak trendmicro yakaladım ve temizledim demesine ragmen, worm tekrar ürüyor ve gün icinde trendmicro aynı tepkiyi yine gösteriyor. Bu döngü artarak böyle devam ediyor.

Tskler, iyi calismalar

şu işi kimse çözemedi ya, şaşırtıcı. Kocaman üst düzey IT forumundayız.

Sayın Mustafa bey,

http://www.foundstone.com/us/resources/termsofuse.asp?file=conficker_detection_tool_v108.zip  linki ile networkünüzde Conficker bulunan sistemleri tarayabilirsiniz. Tool ile silme, temizleme değil Conficker'in bulunduğu sistemleri buluyorsunuz. İlgili bilgisayarları bulduktan sonra gerekli temizleme işlemini yaparsınız.

Bu tip sorunlarla uğraşmamak için tüm sistemlerinizin Windows Update'lerinin güncel olduğundan emin olunuz. Patch management kullanmıyorsanız mutlaka WSUS kullanmanızı tavsiye ediyorum.

İyi çalışmalar dilerim.

Sayın Mustafa bey,

http://www.foundstone.com/us/resources/termsofuse.asp?file=conficker_detection_tool_v108.zip  linki ile networkünüzde Conficker bulunan sistemleri tarayabilirsiniz. Tool ile silme, temizleme değil Conficker'in bulunduğu sistemleri buluyorsunuz. İlgili bilgisayarları bulduktan sonra gerekli temizleme işlemini yaparsınız.

Bu tip sorunlarla uğraşmamak için tüm sistemlerinizin Windows Update'lerinin güncel olduğundan emin olunuz. Patch management kullanmıyorsanız mutlaka WSUS kullanmanızı tavsiye ediyorum.

İyi çalışmalar dilerim.

merhaba tool linki çalışmıyor elinde bu tool mevcut olan varsa paylaşabilrmi.