Forum
Bildirimler
Hepsini Temizle
Windows Server
13
Yazılar
5
Üyeler
0
Reactions
799
Görüntüleme
Konu başlatıcı
merhaba arkadaşlar
Bilgisayarıma "new folder" virüsü bulaşmıştı ben de internnete biraz araştırma yaptım.yabancı bi site regeditle ilgili bi çözüm vardı onu yaptım ama bilgisayarım resmen çöktü diyebilirim.şöyle ki
Site de yazan kodlar aşağıda;
[Version]
Signature=”$Chicago$”
Provider=Nightmare-066kgi
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del
[UnhookRegKey]
HKLM, Software\CLASSES\batfile\shell\open\command,,,”"”%1¨” %*”
HKLM, Software\CLASSES\comfile\shell\open\command,,,”"”%1¨” %*”
HKLM, Software\CLASSES\exefile\shell\open\command,,,”"”%1¨” %*”
HKLM, Software\CLASSES\piffile\shell\open\command,,,”"”%1¨” %*”
HKLM, Software\CLASSES\regfile\shell\open\command,,,”regedit.exe “”%1¨”"
HKLM, Software\CLASSES\scrfile\shell\open\command,,,”"”%1¨” %*”
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, “Explorer.exe”
[del]
HKCU, Software\Microsoft\Windows\CurrentVersion\Run, Yahoo Messengger
HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\WorkgroupCrawler\Shares, Shared
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoFolderOptions
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegistryTools
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableTaskMgr
HKLM, SYSTEM\CurrentControlSet\Services\Schedule, AtTaskMaskHour
HKU, .DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run, Yahoo Messengger
bu kodları not defterine yapıştırdım.farklı kaydet dedim ve bir ad verdim uzantısı da .inf olucak şekilde kaydettim masaüstüne(sss.inf)
Bu inf dosyasına sağ tıklayıp yükle dediğim zaman masaüstünde ki simgeler kısa süreliğine gitti geldi ve windows'un birlikte aç penceresi belirdi.
Şimdi regedite girmeye çalıştıgım zaman bu birlikte aç penceresi geliyor sürekli.sistem geri yükleme yapıcam onda da hata alıyorum.rundll32 dosyası bulunamadı diyor.Pc yi yeniden başlatıyorum masaüstü simgeleri gelmiyor.Ne yapmam gerekiyor arkadaşlar format atamam çünkü bilgisayar server pc.yani içinde otomasyon programı var... 🙁
Gönderildi : 28/09/2011 01:52
sistem geri yükleme yapmayı deneyebilirsin. başlat / tüm programlar / donatılar / sistem geri yükleme. bu virüs bulaşmadan önceki zamana geri dönebilirsin
Gönderildi : 28/09/2011 02:07
Konu başlatıcı
denedim onu da ama malesef olmadı.denetim masasından girmeye çalışıorum ve hata alıorum.rubdll32 hatası 🙁
Gönderildi : 28/09/2011 02:35
Merhaba,
Öncelikle forum kurallarına aykırı başlık açmayın! Kuralları okusaydınız başlıkta bu şekilde bir soru sorulmayacağını biliyor olacaktınız.
Ben başlıkları düzelttim. Sorunuza gelince.
Yaptığınız hata yukarıdaki kod inf değil "abc.reg" uzantısı reg olacak şekilde kaydetmeniz ve bu şekilde çalıştırmanız gerekiyordu.
Size tavsiyem bu adresten http://www.combofix.org/ combofix indirin ve çalıştırın. Temizlik işlemlerini otomatik olarak kendisi yapacaktır. Yanlız bazı durumlarda sistemin çökmesine neden olmaktadır. Bu nedenle yedek almayı unutmayın.
Gönderildi : 28/09/2011 03:15
Bu kodların malum sorunu çözeceğini sanmıyorum ama arada başka bir problem oluşmuş. En azından Register ulaşabiliyor olmanız lazımdı. Aynı komutları tersten işletin. Add komutu ile kodları .reg uzantısıyla çalıştırın. Regedit Windows altından çalıştırmayı deneyin yada Regedt32 deneyebilirsiniz.
'balık vermez, nasıl tutulabildiğine yönlendirir'
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız. Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz. Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************
Gönderildi : 28/09/2011 03:16
Yaptığınız hata yukarıdaki kod inf değil "abc.reg" uzantısı reg olacak şekilde kaydetmeniz ve bu şekilde çalıştırmanız gerekiyordu.
Selamlar Rafet Bey,
Gökhan Beyin belirttiği gibi kodun .inf uzantısı ile kaydedilmesi gerekiyor. Kodun yapısını dikkatle incelerseniz .inf dosyası türüne uyan bir yapı olduğunu göreceksiniz. .reg uzantısı ile kod çalışmayacaktır.
Gönderildi : 28/09/2011 11:12
Konu başlatıcı
Bu kodların malum sorunu çözeceğini sanmıyorum ama arada başka bir problem oluşmuş. En azından Register ulaşabiliyor olmanız lazımdı. Aynı komutları tersten işletin. Add komutu ile kodları .reg uzantısıyla çalıştırın. Regedit Windows altından çalıştırmayı deneyin yada Regedt32 deneyebilirsiniz.
Windows altından regedite şöle ulaşabiliyorum.regedit.exe dosyasına sağ tıklayıp farklı çalıştır dediğim zaman açılıyor.fakat çift tıkladığım zaman birlikte aç penceresi geliyor.Aynı komutları tersten işletmeye kalktığım zaman da bu birlikte aç penceresi çıkıcak büyük ihtimal.Komutları reg uzantısıyla çalıştırmak yerine manuel değiştirebilir miyim ?
Gönderildi : 28/09/2011 11:55
Merhaba,
Gökhan bey combofix kullandınız mı ?
Gönderildi : 28/09/2011 21:02
Yaptığınız hata yukarıdaki kod inf değil "abc.reg" uzantısı reg olacak şekilde kaydetmeniz ve bu şekilde çalıştırmanız gerekiyordu.
Selamlar Rafet Bey,
Gökhan Beyin belirttiği gibi kodun .inf uzantısı ile kaydedilmesi gerekiyor. Kodun yapısını dikkatle incelerseniz .inf dosyası türüne uyan bir yapı olduğunu göreceksiniz. .reg uzantısı ile kod çalışmayacaktır.
Merhaba,
Tamamen haklısınız inf olarak kullanmak gerektiği yazıyor nette. Kodu detaylı incelememiştim.
Ancak hala combofix kullanmasını öneriyorum 🙂
Gönderildi : 28/09/2011 21:08
Konu başlatıcı
Merhaba,
Gökhan bey combofix kullandınız mı ?
Kullanmadım.Ama combofix'in bazı durumlarda sistem dosyalarına zarar vererek hatta silerek windowsun tamamıyla çökmesine sebep olduğunu biliyorum...
Sanırım siz sorunun virüsten kaynaklandığını düşündüğünüz için combofix'i öneriyorsunuz.Ben şimdiye kadar combofix'i trojen tarzındaki virüsleri temizlemek için kullandım.Ama bunun yanında sistemdeki bozuk dosyaları da onarıyor olabilir tabi.Sizin düşünceniz bu yönde sanırım...
Gönderildi : 29/09/2011 00:15
1- Yeni bir kullanıcı açıp o kullanıcı ile logon olmayı deneyebilirmisiniz ?
2-başlat / çalıştır da sfc /scannow komutunu yazarak windowsun hasar görmüş dosyalarını onarabilirsiniz.
Gönderildi : 29/09/2011 01:29
Anlatmaya çalıştığım kernel Shell yapısını düzeltmeye çalışmaktı zaten. Evet manuel müdahale edebilirsiniz ki öyle yapmalısınız. Biraz register yönetimi ve yolları hakkında bilgi edinmelisiniz. Shell'leri ezbere tek tek düzeltmek pek kolay değil kaynak olmadan, desktop ortamıda aynı şekilde.
Combofix'in söylenme amacı repair de yapıyor oluşu olabilir ki bu doğru. Register üzerinden hatalı yolları ve system32 altında ki yapıları düzeltebiliyor fakat tüm shell'leri düzeltebileceğine emin değilim. Siz tek tek düzeltemezseniz Tamir toollarına ihtiyacınız var. Tabi önce sistemin imajını alın.
Bence hiç uğraşmayın temiz sisteme geçsin...
'balık vermez, nasıl tutulabildiğine yönlendirir'
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız. Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz. Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************
Gönderildi : 29/09/2011 01:37
Konu başlatıcı
İlgilenen tüm arkadaşlara teşekkür ederim.Sorunu yine sanaldan bi arkadaşımın yardımıyla çözdüm...İnf dosyasının içindeki karakterler de sorun varmış.Doğru inf dosyasının içeriğini aşağıya yazıyorum.Belki benim gibi zor da kalan bir başka arakadaşıma yardımcı olur...
[Version] Signature=”$Chicago$” Provider=Nightmare-066kgi [DefaultInstall] AddReg=UnhookRegKey DelReg=del [UnhookRegKey] HKLM, Software\CLASSES\batfile\shell\open\command,,,"%1" %* HKLM, Software\CLASSES\comfile\shell\open\command,,,"%1" %* HKLM, Software\CLASSES\exefile\shell\open\command,,,"%1" %* HKLM, Software\CLASSES\piffile\shell\open\command,,,"%1" %* HKLM, Software\CLASSES\regfile\shell\open\command,,,regedit.exe "%1" HKLM, Software\CLASSES\scrfile\shell\open\command,,,"%1" %* HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, Explorer.exe [del] HKCU, Software\Microsoft\Windows\CurrentVersion\Run, Yahoo Messengger HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\WorkgroupCrawler\Shares, Shared HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoFolderOptions HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegistryTools HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableTaskMgr HKLM, SYSTEM\CurrentControlSet\Services\Schedule, AtTaskMaskHour HKU, .DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run, Yahoo Messengger
Gönderildi : 29/09/2011 16:45
