Forum

hidden folder check...
 
Bildirimler
Hepsini Temizle

hidden folder checkbox disable

5 Yazılar
2 Üyeler
0 Reactions
777 Görüntüleme
(@Anonim)
Gönderiler: 0
Konu başlatıcı
 

arkadaşlar sality virüsünü serverdan temizledim fakat registryda birtakım etkileri kalmış durumda. aşağıdaki sorunu yaşamış ve çözmüş olan varsa paylaşırsa sevinirim.


server 2003 r2 sp2


 saygılar


[URL= http://img359.imageshack.us/img359/2769/hidden.th.jp g" target="_blank">http://img359.imageshack.us/img359/2769/hidden.th.jp g"/> [/IMG][/URL]


 

 
Gönderildi : 09/04/2009 20:06

(@ErenSARISALTIK)
Gönderiler: 890
Noble Member

(@Anonim)
Gönderiler: 0
Konu başlatıcı
 


Merhaba,


http://www.troublefixers.com/folder-options-disabled-by-virus-trojan/



ilgin için teşekkürler fakat bu sorun ile alakalı değil

 
Gönderildi : 09/04/2009 21:03

(@ErenSARISALTIK)
Gönderiler: 890
Noble Member
 

selam,

Sisteminizi Kaspersky ile full taratın,muhakkak sorun düzelecektir.

 
Gönderildi : 10/04/2009 16:12

(@Anonim)
Gönderiler: 0
Konu başlatıcı
 

kasper ve benzeri virüs programları sadece virüsün bulaştığı exe leri bulur silmeye çalışır birçoğunu silemez. safemodda açılması gerekir fakat açılmaz, çünkü virüs safemode anahtarını silmiştir yani


[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal]


[[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\]


aşağıdaki işlemleri yapmadan önce makinenin reg yedeğini alınız.


anahtarlarının altında yüzlerce value var.. (xp 2003 ve vista için ayrı regler) sağlam bir sistemden export edilir ve makineye import edilir. sistem geri yükleme devre dışı bırakılarak makine safe modda açılır...


combofix ile xp lerde tarama yapılır büyük ölçüde temizler fakat halen virüs vardır...


norton corporate 10.1.8 veya daha üstü ile full sistem scan edilir virüslü exeler silinir. (bunlar çoğunlukla 3.parti yazılımların exeleridir)


aşağıdaki regler notepade atılır ve uzantısı .inf olarak kayıt edilip çalıştırılır


[Version]
Signature="$Chicago$"
Provider=Nobody


[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del


[UnhookRegKey]
HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""
HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe"
HKLM, SYSTEM\ControlSet001\Control\SafeBoot, AlternateShell,0, "cmd.exe"
HKLM, SYSTEM\ControlSet002\Control\SafeBoot, AlternateShell,0, "cmd.exe"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot, AlternateShell,0, "cmd.exe"
HKLM, SYSTEM\CurrentControlSet\Services\lanmanserver\parameters, AutoShareWks,0x00010001,0
HKLM, SYSTEM\CurrentControlSet\Services\lanmanserver\parameters, AutoShareServer,0x00010001,0
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoDriveTypeAutoRun,0x000000ff,255
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer, NoDriveTypeAutoRun,0x000000ff,255


[del]
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableRegistryTools
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableTaskMgr
HKLM, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableRegistryTools
HKLM, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableTaskMgr


bu işlemler bittikten sonra "hijackthis" yazılımı ile reg kayıtları ve background da çalışan exelerin faaliyetleri izlenir şüpheli görülenler incelenir. 


antivirüs sitelerinde bahsedilmeyen çözümü olmayan tek konu var onuda ben sordum:) bu lanet virüs paylaşımda olan dosyalara ve klasörlere superhidden niteliği kazandırıyor ve gizli olan dosya/klasörün checkboxını kaldıramıyorsun pasif halde duruyor. bunu düzeltemedim daha önce sorunu çözen arkadaş varsa paylaşmasını rica ederim.


bu virüsü ciddiye alın zamanında müdahale edilmeyen sistemlere ciddi hasar veriyor. sürekli kendisini netten güncelliyor. sality.ae


 

 
Gönderildi : 10/04/2009 18:26

Paylaş: