Forum
Merhabalar,
40 cliente sahip windows server 2003 ve trend micro server kullanıyorum. ve bu iki serverda farkli makinalarda barınıyor. Yaklasık 1 aydır Trend micro hem server tarafında hem de client tarafında worm_downoad.ad virüsü buluyor temizlediğini söylüyor ama bu uyariyi belli araliklarla vermeye devam ediyor. yani bu virüs temizlendikten sonra kendini tekrar üretiyor. ve trend micro tekrar yakalıyor. temizlemek icin şu yöntemleri denedim.
Geri yükleme noktasını kapatarak trend micro ile tarama yaptim ancak sonuc olmadı
clientlarda aynısını yaptim buda cozum olmadi.
switchleri kapatarak ve clientlari agdan kopararak denedim yine olmadi.
Kaspersky kurdum ve bunla tarama yapmayi denedim yine cozum olmadi. Sizlere sorum şu şekilde.
1- Şu anda sistemimde virüsten kaynaklanan bir yavaslama veya bir baska sorun bulunmuyor. Trend micro bu virüsü tutuyor sanırım. Bu böyle devam ederse sistemim bundan etkilenecektir. Acaba trend microdan gecerek sistemimi etkilermi ?
2- Bu virüs icin bir fix, removal tool yada bir temizleme yolu bulunuyor mu ?
Benimle çözüm önerilerinizi paylaşabilir misiniz ?
Şimdiden ilgili tüm arkadaşlara teşekkür ederim.
Mustafa ERGÜL
Merhabalar ,
Size aşağıda ki linkleri öneriyorum.
Ömer hocamızın makalesine bir göz atın.
http://www.omerkaradeniz.com/2009/04/10/worm_downada-w32downadup-w32confickerworm-virus-analizi/
http://www.sophos.com/security/analyses/viruses-and-spyware/malconfickera.html
Kolay gelsin.
Merhabalar tekrar,
Çalıştığım yer bir hastane ve daha öncesinde networku kaldırma imkanım olmustu. Ancak hersey yerli yerine oturdugu ve tüm servisler 24 saat yoğun çalıştığı için networku iptal etmem imkansız hale geldi.
Clientlar domaine bağlı çalışırken bu virüsü temizlemenin bir inceliği, yolu yok mudur ?
Güvenlik konusunda Uzman hocalarımdan cevap bekliyorum.
Bu konudan müzdarip olan bir çok sistemci olduğunu düşünüyorum. Trendmicro bu virüsü yok edemediğine göre, trend microda hala bir çözüm üretebilmiş değil. Internette konuyla ilgili arama yapılırsa bir çok sistemcinin bu virüsten kurtulmak icin yollar aradığını ancak bulamadığını görebiliriz. Şayet çözümü burada üretirsek sadece bana değil, birçok arkadaşımıza çözümünüz ilaç niteliğinde olacaktir.
Tşkler, iyi çalışmalar
Mustafa ERGÜL
Merhaba,
Öncelikle bu bir exploit ve microsoftun yamalanmamış sistemlerine açık kullanarak network üzerinden bulaşma özelliği mevcut.
Teknik detaylar için ve nasıl bulaşır nasıl temizleniri bu linkten bakabilirsiniz.
http://threatinfo.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM%5FDOWNAD%2EAD&VSect=T
Sisteminizden temizledikten sonra ki temizleme işleminde mutlaka networkten uzaklaştırın ve sisteminize göre mevcut olan yamayı indirip kurunuz.
Merhaba,
Öncelikle bu bir exploit ve microsoftun yamalanmamış sistemlerine açık kullanarak network üzerinden bulaşma özelliği mevcut.
Teknik detaylar için ve nasıl bulaşır nasıl temizleniri bu linkten bakabilirsiniz.
http://threatinfo.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM%5FDOWNAD%2EAD&VSect=T
Sisteminizden temizledikten sonra ki temizleme işleminde mutlaka networkten uzaklaştırın ve sisteminize göre mevcut olan yamayı indirip kurunuz.
Rafet Bey tesekkur ederim, bilgi için. Benim ingilizcem biraz zayıf. Acaba virüsün temizlenmesi icin önerdiği yazılımlardan hangisini kurmam gerekli. Birden fazla yazılım önerisi sunulmuş..
tskler, iyi calismalar
İşletim sisteminize göre linke tıklamanız yeterli.
Patch Information:
For information about the specific
security update for your affected software, click the appropriate link:
- Microsoft
Windows 2000 Service Pack 4 - Windows
XP Service Pack 2 and Windows XP Service Pack 3 - Windows
XP Professional x64 Edition and Service Pack 2 - Windows
Server 2003 Service Pack 1 and Service Pack 2 - Windows
Server 2003 x64 Edition and Service Pack 2 - Windows
Server 2003 with SP1 and SP2 for Itanium-based Systems - Windows
Vista and Windows Vista Service Pack 1 - Windows
Vista x64 Edition and Windows Vista x64 Edition Service Pack 1 - Windows
Server 2008 for 32-bit Systems* - Windows
Server 2008 for x64-based Systems* - Windows
Server 2008 for Itanium-based Systems
zaten bundan sonraki stepte 5-6 tane yazılım öneriyor. bütün dosyalari indirdim fakat neyin ne zaman yükleneceğini çözemedim. biraz karmaşık bi yükleme yapısına sahip. Ayrıca bu trend micro serverıma mı kurulacak. yoksa virüsü temizlemek istedigim tüm clientlara mı ? Kurulan yazılımın clientları yönetme kabiliyeti var mıdır ?
Yardimci olabilirseniz sevinirim.
Tskler, iyi calismalar
zaten bundan sonraki stepte 5-6 tane yazılım öneriyor. bütün dosyalari indirdim fakat neyin ne zaman yükleneceğini çözemedim. biraz karmaşık bi yükleme yapısına sahip. Ayrıca bu trend micro serverıma mı kurulacak. yoksa virüsü temizlemek istedigim tüm clientlara mı ? Kurulan yazılımın clientları yönetme kabiliyeti var mıdır ?
Yardimci olabilirseniz sevinirim.
Tskler, iyi calismalar
İşletim sisteminize uygun olanı indirin. Xp ise Xp'ye Win.2003 ise Win 2003'e kuracaksınız.
Öncelikle tek bir client üzerine kurun deneyin. Clientları yönetemezsiniz.
Syg.
Merhaba tekrar,
Arkadaşlar önerilen çözüm yolları ile bahsettiğim wormu temizleyemedim. ve sistemimde bundan olumsuz etkileniyor. Başka çözüm yolu olan arkadaşım rica etsem paylaşabilir mi ? Ben aynı zamanda diğer kaynaklardan da araştırıyorum. boş durmuyorum.
Tşkler, Syg,
Merhaba,
Hala sisteminizde virüs olması çok enterasan doğrusu. Lütfen 1 client bilgisayarınızı networkten uzaklaştırın daha sonra o bilgisayardan Trend Microyu kaldırın Kaspersky İnternet Sec. ürününü indirip 30 günlük demosunu kurup bilgisayarı full taramadan geçirin. Son olarak size daha önce verdiğim linklerde yer alan ve client bilgisayarınıza uygun olan yamayı yapınız. Daha sonra networke alın bakalım tekrar bu bilgisayara bulaşma oluyor mu ?
Merhaba,
Clientlarda Windows güvenlik yaması başarılı oldu sanırım. uyguladigim clientlarda henüz trend micro clientlar virüs uyarısı vermedi. Ancak serverlarımda hala bu virüs var. Server 2003 icin nasıl bir yöntem uygulamaliyim. Server üzerindende bu virüsü yok ettiğimde kurtulmus olacagım bu virüsten. Önerilerinize ihtiyacım var arkadaslar
Merhaba,
Aynı yamanın verdiğim linklerde server için yaması da mevcut ... Sunucu için bu yamayı uyguladınız mı ?
Merhaba tekrar Rafet Bey
Virüs uyarısı vermiyor dediğim, dediklerinizi uyguladığım clientlarda bugün itibarı ile trend micro virüs uyarısı vermeye başladı. Trend micro fix tool, kaspersky ve trend micro console ile yapmıs oldugum taramalarda herhangibir virüse rastamıyor. Ancak trend micro client belli aralıklarla Worm_downoad.ad ye rastladıgını söylüyor. Yani yapmıs oldugumuz aksiyon planları başarısız oldu diyebilirim. Benim amacım bu virüslerden önce client tarafında kurtularak , bir daha bulasmaması icin önlem almak. Daha sonra da serverlar tarafında bu virüsten kurtularak önlem alarak tamamen kurtulmak. Acaba nasıl bir yol izlemeliyim. Napmalıyım ki bu saklanan virüsü temizleyeyim ve önlem alayım. Sistemim bundan su anda cok olumsuz etkilenmiyor ama hastalıklar artacaktır. bir an önce tedavi iyi gerekiyor. Sizin ve diğer arkadaslarımın yardimlarini bekliyorum..
Tskler, iyi çalışmalar
Merhaba,
Elinizdeki envanteri bilmediğim için net yönlendirmeler yapmam çok zor ancak ben kendime göre yorumluyorum sizde bu yolu izleyebilirsiniz.
Ortamda öncelikle temizleyeceğiniz sistemlerin başında sunucular gelir ki tüm veri akışları bunlar üzerinden gerçekleşmektedir. (Tabi bunlarda virüs izlerine rastlanmışsa.) Temizleme işleminden sonra yamalama işlemini yine sunucudan başlarım.
Sunucuda birşeyler yok temiz ve yamalama işlemini gerçekleştirdiyseniz o zaman networkü izlemeye alırım elimde UTM bir cihaz var ise onunla ha yok network izleme programları sysloglar ile detaylara kadar inerim ve sonuçta ortamda sıkıntı çıkaran bilgisayarları tespit edersiniz. Bunları networkten uzaklaştırıp temizleme ve yamalama işlemini yaparım.
Bu arada elinizde UTM bir cihaz ve yönetilebilir bir swicth varsa port kısıtlamaları ile güvenliği üst seviyeye çekip bulaşma riskinide ortadan kaldırırım. Tabi kesin çözüm değil örneğin http ve https trafiğini kullanıyor olabilir virüsler.
Size ayrıca bir tool önereceğim kullanımı çok kolay olmakla birlikte tehlikelidir istenmeyen sonuçlar ortaya çıkarabilir ama kesin çözüm sağlayacağını göreceksiniz. Tool'un adı AVZ bu ürün yine benimde çok kullandığım Kaspersky ürünü için tasarlanmış ek yardımcı programdır.
Ürünü kullanma ve indirmek için : http://support.kaspersky.com/faq/?qid=208279710 ilgili linki kullanabilirsiniz. Lütfen dikkatli olun çok fazla detayı var supportta belirtilen adımlar dışına eğer bilginiz yoksa çıkmayın problem yaşarsınız.
Bu tool ile rapor oluşturup, sistemi temizleyebilir, yamalayabilir, güvenlik düzeyini yükseltebilir ve sorununuza çözüm bulabilirsiniz.