Forum
merhaba arkadaşlar
Bilgisayarıma "new folder" virüsü bulaşmıştı ben de internnete biraz araştırma yaptım.yabancı bi site regeditle ilgili bi çözüm vardı onu yaptım ama bilgisayarım resmen çöktü diyebilirim.şöyle ki
Site de yazan kodlar aşağıda;
[Version]
Signature=”$Chicago$”
Provider=Nightmare-066kgi
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del
[UnhookRegKey]
HKLM, Software\CLASSES\batfile\shell\open\command,,,”"”%1¨” %*”
HKLM, Software\CLASSES\comfile\shell\open\command,,,”"”%1¨” %*”
HKLM, Software\CLASSES\exefile\shell\open\command,,,”"”%1¨” %*”
HKLM, Software\CLASSES\piffile\shell\open\command,,,”"”%1¨” %*”
HKLM, Software\CLASSES\regfile\shell\open\command,,,”regedit.exe “”%1¨”"
HKLM, Software\CLASSES\scrfile\shell\open\command,,,”"”%1¨” %*”
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, “Explorer.exe”
[del]
HKCU, Software\Microsoft\Windows\CurrentVersion\Run, Yahoo Messengger
HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\WorkgroupCrawler\Shares, Shared
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoFolderOptions
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegistryTools
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableTaskMgr
HKLM, SYSTEM\CurrentControlSet\Services\Schedule, AtTaskMaskHour
HKU, .DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run, Yahoo Messengger
bu kodları not defterine yapıştırdım.farklı kaydet dedim ve bir ad verdim uzantısı da .inf olucak şekilde kaydettim masaüstüne(sss.inf)
Bu inf dosyasına sağ tıklayıp yükle dediğim zaman masaüstünde ki simgeler kısa süreliğine gitti geldi ve windows'un birlikte aç penceresi belirdi.
Şimdi regedite girmeye çalıştıgım zaman bu birlikte aç penceresi geliyor sürekli.sistem geri yükleme yapıcam onda da hata alıyorum.rundll32 dosyası bulunamadı diyor.Pc yi yeniden başlatıyorum masaüstü simgeleri gelmiyor.Ne yapmam gerekiyor arkadaşlar format atamam çünkü bilgisayar server pc.yani içinde otomasyon programı var... 🙁
sistem geri yükleme yapmayı deneyebilirsin. başlat / tüm programlar / donatılar / sistem geri yükleme. bu virüs bulaşmadan önceki zamana geri dönebilirsin
denedim onu da ama malesef olmadı.denetim masasından girmeye çalışıorum ve hata alıorum.rubdll32 hatası 🙁
Merhaba,
Öncelikle forum kurallarına aykırı başlık açmayın! Kuralları okusaydınız başlıkta bu şekilde bir soru sorulmayacağını biliyor olacaktınız.
Ben başlıkları düzelttim. Sorunuza gelince.
Yaptığınız hata yukarıdaki kod inf değil "abc.reg" uzantısı reg olacak şekilde kaydetmeniz ve bu şekilde çalıştırmanız gerekiyordu.
Size tavsiyem bu adresten http://www.combofix.org/ combofix indirin ve çalıştırın. Temizlik işlemlerini otomatik olarak kendisi yapacaktır. Yanlız bazı durumlarda sistemin çökmesine neden olmaktadır. Bu nedenle yedek almayı unutmayın.
Bu kodların malum sorunu çözeceğini sanmıyorum ama arada başka bir problem oluşmuş. En azından Register ulaşabiliyor olmanız lazımdı. Aynı komutları tersten işletin. Add komutu ile kodları .reg uzantısıyla çalıştırın. Regedit Windows altından çalıştırmayı deneyin yada Regedt32 deneyebilirsiniz.
'balık vermez, nasıl tutulabildiğine yönlendirir'
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız. Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz. Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************
Yaptığınız hata yukarıdaki kod inf değil "abc.reg" uzantısı reg olacak şekilde kaydetmeniz ve bu şekilde çalıştırmanız gerekiyordu.
Selamlar Rafet Bey,
Gökhan Beyin belirttiği gibi kodun .inf uzantısı ile kaydedilmesi gerekiyor. Kodun yapısını dikkatle incelerseniz .inf dosyası türüne uyan bir yapı olduğunu göreceksiniz. .reg uzantısı ile kod çalışmayacaktır.
Bu kodların malum sorunu çözeceğini sanmıyorum ama arada başka bir problem oluşmuş. En azından Register ulaşabiliyor olmanız lazımdı. Aynı komutları tersten işletin. Add komutu ile kodları .reg uzantısıyla çalıştırın. Regedit Windows altından çalıştırmayı deneyin yada Regedt32 deneyebilirsiniz.
Windows altından regedite şöle ulaşabiliyorum.regedit.exe dosyasına sağ tıklayıp farklı çalıştır dediğim zaman açılıyor.fakat çift tıkladığım zaman birlikte aç penceresi geliyor.Aynı komutları tersten işletmeye kalktığım zaman da bu birlikte aç penceresi çıkıcak büyük ihtimal.Komutları reg uzantısıyla çalıştırmak yerine manuel değiştirebilir miyim ?
Merhaba,
Gökhan bey combofix kullandınız mı ?
Yaptığınız hata yukarıdaki kod inf değil "abc.reg" uzantısı reg olacak şekilde kaydetmeniz ve bu şekilde çalıştırmanız gerekiyordu.
Selamlar Rafet Bey,
Gökhan Beyin belirttiği gibi kodun .inf uzantısı ile kaydedilmesi gerekiyor. Kodun yapısını dikkatle incelerseniz .inf dosyası türüne uyan bir yapı olduğunu göreceksiniz. .reg uzantısı ile kod çalışmayacaktır.
Merhaba,
Tamamen haklısınız inf olarak kullanmak gerektiği yazıyor nette. Kodu detaylı incelememiştim.
Ancak hala combofix kullanmasını öneriyorum 🙂
Merhaba,
Gökhan bey combofix kullandınız mı ?
Kullanmadım.Ama combofix'in bazı durumlarda sistem dosyalarına zarar vererek hatta silerek windowsun tamamıyla çökmesine sebep olduğunu biliyorum...
Sanırım siz sorunun virüsten kaynaklandığını düşündüğünüz için combofix'i öneriyorsunuz.Ben şimdiye kadar combofix'i trojen tarzındaki virüsleri temizlemek için kullandım.Ama bunun yanında sistemdeki bozuk dosyaları da onarıyor olabilir tabi.Sizin düşünceniz bu yönde sanırım...
1- Yeni bir kullanıcı açıp o kullanıcı ile logon olmayı deneyebilirmisiniz ?
2-başlat / çalıştır da sfc /scannow komutunu yazarak windowsun hasar görmüş dosyalarını onarabilirsiniz.
Anlatmaya çalıştığım kernel Shell yapısını düzeltmeye çalışmaktı zaten. Evet manuel müdahale edebilirsiniz ki öyle yapmalısınız. Biraz register yönetimi ve yolları hakkında bilgi edinmelisiniz. Shell'leri ezbere tek tek düzeltmek pek kolay değil kaynak olmadan, desktop ortamıda aynı şekilde.
Combofix'in söylenme amacı repair de yapıyor oluşu olabilir ki bu doğru. Register üzerinden hatalı yolları ve system32 altında ki yapıları düzeltebiliyor fakat tüm shell'leri düzeltebileceğine emin değilim. Siz tek tek düzeltemezseniz Tamir toollarına ihtiyacınız var. Tabi önce sistemin imajını alın.
Bence hiç uğraşmayın temiz sisteme geçsin...
'balık vermez, nasıl tutulabildiğine yönlendirir'
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız. Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz. Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************
İlgilenen tüm arkadaşlara teşekkür ederim.Sorunu yine sanaldan bi arkadaşımın yardımıyla çözdüm...İnf dosyasının içindeki karakterler de sorun varmış.Doğru inf dosyasının içeriğini aşağıya yazıyorum.Belki benim gibi zor da kalan bir başka arakadaşıma yardımcı olur...
[Version] Signature=”$Chicago$” Provider=Nightmare-066kgi [DefaultInstall] AddReg=UnhookRegKey DelReg=del [UnhookRegKey] HKLM, Software\CLASSES\batfile\shell\open\command,,,"%1" %* HKLM, Software\CLASSES\comfile\shell\open\command,,,"%1" %* HKLM, Software\CLASSES\exefile\shell\open\command,,,"%1" %* HKLM, Software\CLASSES\piffile\shell\open\command,,,"%1" %* HKLM, Software\CLASSES\regfile\shell\open\command,,,regedit.exe "%1" HKLM, Software\CLASSES\scrfile\shell\open\command,,,"%1" %* HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, Explorer.exe [del] HKCU, Software\Microsoft\Windows\CurrentVersion\Run, Yahoo Messengger HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\WorkgroupCrawler\Shares, Shared HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoFolderOptions HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegistryTools HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableTaskMgr HKLM, SYSTEM\CurrentControlSet\Services\Schedule, AtTaskMaskHour HKU, .DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run, Yahoo Messengger