2 bilgisayarıma, 2 telefon ve 2 flashdisk'ten kazıyarak sildiğim virüs. Silmeside oldukça eziyetlidir. Nod32 5 ile 1 saate tüm hafızadan temizledi. Rahat nefes aldık.
edit: Temizleme yolu;
--spoiler--
Virüsün sistemde bıraktığı etkiler
1- Sistemde aşağıdaki dosyaları oluşturuyor ve hiçbir antivirüs programı bulamıyor bu virüsü (boyutu 41-42 veya 44 kb olan )
Özellikle Belgelerim klasöründe girdiğiniz klasörlere, girdiğiniz klasör adında bir .exe dosyası ekliyor.Ve bu .exe dosyasının simgesi klasör şeklinde oluyor.
2- Denetim Masası'nda Klasör Seçenekleri Menüsü'nü gizliyor.
Kayıt Defteri'ne eklediği aşağıdaki girdi yüzünden:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\
Explorer\NoFolderOptions -> Bad: (1) Good: (0)
Bu nedenle Gizli dosyalar görülemeyip, zararlinin sistemde biraktigi dosyalar silinemiyor.
3-Kayıt Defteri'ne(regedit) erişimi engelliyor.
Kayıt Defteri'ne eklediği aşağıdaki girdi yüzünden:
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableRegistryTools"=dword:1
4- internet'ten .exe uzantılı dosya indirmeye kalkarsaniz bilgisayarınızı yeniden başlatıyor.
5- Bilgisayarınızdaki aşağıdaki uzantılara sahip dosyaları arayarak bulduğu e-mail adreslerine spam mailler gönderiyor.
•asp
•cfm
•csv
•doc
•eml
•html
•php
•txt
•wab
6- C:\Documents and Settings\Kullanıcı Adı\Local Settings\Application Data klasöründe aşağıdaki dosya ve klasörleri oluşturuyor
C:\Documents and Settings\Kullanıcı Adı\Local Settings\Application Data\Loc.Mail.Bron.Tok
C:\Documents and Settings\Kullanıcı Adı\Local Settings\Application Data\Bron.tok-10-9
C:\Documents and Settings\Kullanıcı Adı\Local Settings\Application Data\Ok-SendMail-Bron-tok
C:\Documents and Settings\Kullanıcı Adı\Local Settings\Application Data\ListHost10.txt
C:\Documents and Settings\Kullanıcı Adı\Local Settings\Application Data\Kosong.Bron.Tok.txt
C:\Documents and Settings\Kullanıcı Adı\Local Settings\Application Data\GDIPFONTCACHEV1.dat
C:\Documents and Settings\Kullanıcı Adı\Local Settings\Application Data\Update.10.Bron.Tok.bin
C:\Documents and Settings\Kullanıcı Adı\Local Settings\Application Data\Bron.tok.A10.em.bin
7-Arada bir aşağıdaki sayfa açılıyor.
Bu dosya açılıyor.
( C:\Documents and Settings\Kullanıcı Adı\Belgelerim\Resimlerim\about.Brontok.A.html )
8-Kayıt Defterine aşağıdaki girdileri ekliyor.
C:\Documents and Settings\Kullanıcı Adı\Belgelerim\Belgelerim.exe
C:\Documents and Settings\Kullanıcı Adı\Belgelerim\Müziğim\Müziğim.exe
C:\Documents and Settings\Kullanıcı Adı\Belgelerim\Resimlerim\Resimlerim.exe
C:\Documents and Settings\Kullanıcı Adı\Local Settings\Application Data\csrss.exe
C:\Documents and Settings\Kullanıcı Adı\Local Settings\Application Data\inetinfo.exe
C:\Documents and Settings\Kullanıcı Adı\Local Settings\Application Data\lsass.exe
C:\Documents and Settings\Kullanıcı Adı\Local Settings\Application Data\services.exe
C:\Documents and Settings\Kullanıcı Adı\Local Settings\Application Data\smss.exe
C:\Documents and Settings\Kullanıcı Adı\Local Settings\Application Data\winlogon.exe
C:\Documents and Settings\Kullanıcı Adı\Local Settings\temp\Rar$EX00.718\bronstab.exe
C:\Documents and Settings\Kullanıcı Adı\Start Menu\Programlar\Başlangıç\Empty.pif
C:\Documents and Settings\Kullanıcı Adı\Templates\WowTumpeh.com
C:\WINDOWS\eksplorasi.exe
C:\WINDOWS\ShellNew\bronstab.exe
C:\WINDOWS\system32\Kullanıcı Adı's Setting.scr
Bu dosyaları bilgisayarınızdan silin.
NOT:services.exe gibi dosyaların bir orjinali vardır birde sahtesi vardır sahtesini silmeniz gerekiyor.
Hijackthis adlı programı indirin.Çalıştırın.Gelen uyarılara evet diyin.Do a system scan only seçeneğini seçip 10 saniye bekleyin.Gelen ekranda aşağıdaki girdiler ile ilgili kutucukları işaretleyip fix checked deyin.
O1 - Hosts: bölümündeki tüm girdileri işaretleyin.
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
F2 - REG:system.ini: Shell=Explorer.exe
Bu işlemin ardından Kayıt Defteri'ne erişememe sorunu düzelecek.
Başlat > Çalıştır > regedit yazıp enter'layarak Kayıt Defteri Yöneticisi'ne girin.
Aşağıdaki girdiyi bulun.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFolderOptions
Burada değer şu anda 1 olarak gözüküyor.Resimdeki gibi bunu 0 yapip tamam deyin.Bilgisayarınızı yeniden başlatın.Denetim Masası > Klasör Seçenekleri menüsü geri geldi.Klasör Seçenekleri > Görünüm > Gizli Dosyaları Göster seçeneğini işaretleyerek tamam deyin.
C:\Documents and Settings\Kullanıcı Adı\Local Settings\Application Data klasörü içinde yer alan aşağıdaki dosya ve klasörleri el ile silin.
Silinecek Klasörler:
C:\Documents and Settings\Kullanıcı Adı\Local Settings\Application Data\Loc.Mail.Bron.Tok
C:\Documents and Settings\Kullanıcı Adı\Local Settings\Application Data\Bron.tok-10-9
C:\Documents and Settings\Kullanıcı Adı\Local Settings\Application Data\Ok-SendMail-Bron-tok
Silinecek Dosyalar
C:\Documents and Settings\Kullanıcı Adı\Local Settings\Application Data\ListHost10.txt
C:\Documents and Settings\Kullanıcı Adı\Local Settings\Application Data\Kosong.Bron.Tok.txt
C:\Documents and Settings\Kullanıcı Adı\Local Settings\Application Data\GDIPFONTCACHEV1.dat
C:\Documents and Settings\Kullanıcı Adı\Local Settings\Application Data\Update.10.Bron.Tok.bin
C:\Documents and Settings\Kullanıcı Adı\Local Settings\Application Data\Bron.tok.A10.em.binAşağıdaki html dosyasını silin.
C:\Documents and Settings\Kullanıcı Adı\Belgelerim\Resimlerim\about.Brontok.A.html
