Forum
arkadaşlar sality virüsünü serverdan temizledim fakat registryda birtakım etkileri kalmış durumda. aşağıdaki sorunu yaşamış ve çözmüş olan varsa paylaşırsa sevinirim.
server 2003 r2 sp2
saygılar
[URL= http://img359.imageshack.us/img359/2769/hidden.th.jp g" target="_blank">http://img359.imageshack.us/img359/2769/hidden.th.jp g"/> [/IMG][/URL]
Merhaba,
http://www.troublefixers.com/folder-options-disabled-by-virus-trojan/
ilgin için teşekkürler fakat bu sorun ile alakalı değil
selam,
Sisteminizi Kaspersky ile full taratın,muhakkak sorun düzelecektir.
kasper ve benzeri virüs programları sadece virüsün bulaştığı exe leri bulur silmeye çalışır birçoğunu silemez. safemodda açılması gerekir fakat açılmaz, çünkü virüs safemode anahtarını silmiştir yani
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal]
[[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\]
aşağıdaki işlemleri yapmadan önce makinenin reg yedeğini alınız.
anahtarlarının altında yüzlerce value var.. (xp 2003 ve vista için ayrı regler) sağlam bir sistemden export edilir ve makineye import edilir. sistem geri yükleme devre dışı bırakılarak makine safe modda açılır...
combofix ile xp lerde tarama yapılır büyük ölçüde temizler fakat halen virüs vardır...
norton corporate 10.1.8 veya daha üstü ile full sistem scan edilir virüslü exeler silinir. (bunlar çoğunlukla 3.parti yazılımların exeleridir)
aşağıdaki regler notepade atılır ve uzantısı .inf olarak kayıt edilip çalıştırılır
[Version]
Signature="$Chicago$"
Provider=Nobody
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del
[UnhookRegKey]
HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""
HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe"
HKLM, SYSTEM\ControlSet001\Control\SafeBoot, AlternateShell,0, "cmd.exe"
HKLM, SYSTEM\ControlSet002\Control\SafeBoot, AlternateShell,0, "cmd.exe"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot, AlternateShell,0, "cmd.exe"
HKLM, SYSTEM\CurrentControlSet\Services\lanmanserver\parameters, AutoShareWks,0x00010001,0
HKLM, SYSTEM\CurrentControlSet\Services\lanmanserver\parameters, AutoShareServer,0x00010001,0
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoDriveTypeAutoRun,0x000000ff,255
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer, NoDriveTypeAutoRun,0x000000ff,255
[del]
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableRegistryTools
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableTaskMgr
HKLM, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableRegistryTools
HKLM, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableTaskMgr
bu işlemler bittikten sonra "hijackthis" yazılımı ile reg kayıtları ve background da çalışan exelerin faaliyetleri izlenir şüpheli görülenler incelenir.
antivirüs sitelerinde bahsedilmeyen çözümü olmayan tek konu var onuda ben sordum:) bu lanet virüs paylaşımda olan dosyalara ve klasörlere superhidden niteliği kazandırıyor ve gizli olan dosya/klasörün checkboxını kaldıramıyorsun pasif halde duruyor. bunu düzeltemedim daha önce sorunu çözen arkadaş varsa paylaşmasını rica ederim.
bu virüsü ciddiye alın zamanında müdahale edilmeyen sistemlere ciddi hasar veriyor. sürekli kendisini netten güncelliyor. sality.ae