Forum
Bildirimler
Hepsini Temizle
Windows Server
5
Yazılar
2
Üyeler
0
Reactions
759
Görüntüleme
Konu başlatıcı
arkadaşlar sality virüsünü serverdan temizledim fakat registryda birtakım etkileri kalmış durumda. aşağıdaki sorunu yaşamış ve çözmüş olan varsa paylaşırsa sevinirim.
server 2003 r2 sp2
saygılar
[URL= http://img359.imageshack.us/img359/2769/hidden.th.jp g" target="_blank">
http://img359.imageshack.us/img359/2769/hidden.th.jp g"/> [/IMG][/URL]
Gönderildi : 09/04/2009 20:06
Gönderildi : 09/04/2009 20:22
Konu başlatıcı
Merhaba,
http://www.troublefixers.com/folder-options-disabled-by-virus-trojan/
ilgin için teşekkürler fakat bu sorun ile alakalı değil
Gönderildi : 09/04/2009 21:03
selam,
Sisteminizi Kaspersky ile full taratın,muhakkak sorun düzelecektir.
Gönderildi : 10/04/2009 16:12
Konu başlatıcı
kasper ve benzeri virüs programları sadece virüsün bulaştığı exe leri bulur silmeye çalışır birçoğunu silemez. safemodda açılması gerekir fakat açılmaz, çünkü virüs safemode anahtarını silmiştir yani
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal]
[[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\]
aşağıdaki işlemleri yapmadan önce makinenin reg yedeğini alınız.
anahtarlarının altında yüzlerce value var.. (xp 2003 ve vista için ayrı regler) sağlam bir sistemden export edilir ve makineye import edilir. sistem geri yükleme devre dışı bırakılarak makine safe modda açılır...
combofix ile xp lerde tarama yapılır büyük ölçüde temizler fakat halen virüs vardır...
norton corporate 10.1.8 veya daha üstü ile full sistem scan edilir virüslü exeler silinir. (bunlar çoğunlukla 3.parti yazılımların exeleridir)
aşağıdaki regler notepade atılır ve uzantısı .inf olarak kayıt edilip çalıştırılır
[Version]
Signature="$Chicago$"
Provider=Nobody
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del
[UnhookRegKey]
HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""
HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe"
HKLM, SYSTEM\ControlSet001\Control\SafeBoot, AlternateShell,0, "cmd.exe"
HKLM, SYSTEM\ControlSet002\Control\SafeBoot, AlternateShell,0, "cmd.exe"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot, AlternateShell,0, "cmd.exe"
HKLM, SYSTEM\CurrentControlSet\Services\lanmanserver\parameters, AutoShareWks,0x00010001,0
HKLM, SYSTEM\CurrentControlSet\Services\lanmanserver\parameters, AutoShareServer,0x00010001,0
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoDriveTypeAutoRun,0x000000ff,255
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer, NoDriveTypeAutoRun,0x000000ff,255
[del]
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableRegistryTools
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableTaskMgr
HKLM, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableRegistryTools
HKLM, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableTaskMgr
bu işlemler bittikten sonra "hijackthis" yazılımı ile reg kayıtları ve background da çalışan exelerin faaliyetleri izlenir şüpheli görülenler incelenir.
antivirüs sitelerinde bahsedilmeyen çözümü olmayan tek konu var onuda ben sordum:) bu lanet virüs paylaşımda olan dosyalara ve klasörlere superhidden niteliği kazandırıyor ve gizli olan dosya/klasörün checkboxını kaldıramıyorsun pasif halde duruyor. bunu düzeltemedim daha önce sorunu çözen arkadaş varsa paylaşmasını rica ederim.
bu virüsü ciddiye alın zamanında müdahale edilmeyen sistemlere ciddi hasar veriyor. sürekli kendisini netten güncelliyor. sality.ae
Gönderildi : 10/04/2009 18:26
