MSN Messenger Virüsü Nasıl Temizlenir ? [Kesin bi bakın]

Msn, Icq, Skype... konularında bilgi paylaşım alanıdır.
Cevapla
Kullanıcı avatarı
Bekir 65
Megabyte3
Megabyte3
Mesajlar: 1215
Kayıt: 11 Nis 2006, 22:05
cinsiyet: Erkek

MSN Messenger Virüsü Nasıl Temizlenir ? [Kesin bi bakın]

Mesaj gönderen Bekir 65 »

Resim

Son günlerde MSN üzerinden yayılan bir virüs ortalıgı kasıp kavuruyor. Summer2008.zip adı verilen bu virüs, bulastıgı makinelerde kurulu MSN Messenger’lar aracılıgıyla, baska messenger sahiplerine virüs dosyaları ekli anlık iletiler gönderiyor. Eger siz de, arkadasınızın birinden tatilden döndügünü ve size tatil fotograflarını yollamak istedigini söyleyen bir anlık ileti alırsanız, dosyayı kabul etmeyin.

Eger halihazırda böyle bir hataya düsmüsseniz, ilk olarak messenger listenizdeki arkadaslarınıza durumu bildirin ve gönderilen dosyaları açmamalarını isteyin. 2. olarak antivirüs programınızı güvenli kipte çalıstırın ve virüsü temizleyin.

Kaspersky antivirüs programı, virüsü Backdoor.Win32.IRCBot.acd ismiyle tanıyor.

Virüs WINDOWS dizininize images0XX.zip, photos0XX.zip, albumXX.zip, photoXX.zip, pictures0XX.zip, pictureXX.zip (XX yerine album39.zip, images091.zip gibi degisik sayılar olacak sekilde) dosyalarını atıyor.

Asagıdaki bilgiler C.I.S.R.T. (Chinese Internet Security Response Team) websitesinden alınmıs olup, uzman olmayanlar tarafından kullanımı problemler dogurabilir. Bu adımları izleyebileceginizden emin degilseniz, lütfen antivirüs programınızı kullanın.

1. Adım
“Baslat”->”Çalıstır”, “REGEDIT” yazarak registry editörünü açın.

2. Adım
HKEY_LOCAL_MACHINE\SOFTWARE\ Microsoft\Windows\CurrentVersion\ ShellServiceObjectDelayLoad adresine gidin.
Sag panelden “printers”=”{CLSID}” yazısını silin.
( Silmeden önce lütfen {CLSID} kısmını kopyalayın. )

3. Adım

HKEY_CLASSES_ROOT\CLSID adresine gidin.

2. adımdaki {CLSID} degerini silin.

4. Adım
Makinenizi yeniden baslatın.

5. Adım
Asagıdaki dosyaları temizleyin:

%System%\notiffy.dll
%System%\printers.exe
%userprofile%\new.txt
%Windows%\{string1}{rastgele numara}.zip (dosya boyutu:119KB)

Pek çok kullanıcının bilgisayar sistemine zarar verdigi bildirilen bu virüs, kisilerin listesindeki diger insanlar tarafından gönderiliyor. Listenizdeki kisilerden gelecek türü bilinmeyen dosyaları bilgisayarınıza kaydetmemeye özen gösterin.
Sistem klasörlerine sızıyor.

Bilgi Teknolojileri Güvenligi Danısmanı Ömer Kurtulmus’tan aldıgımız bilgiye göre, MSN Messenger listesindeki kisilerden gelen transfer aslında dosya degil, bir İnternet linki. Çogunlukla gelen link ve dosyalar “pif” ve “scr” uzantılı oluyor. MSN üzerinden yayılan bu virüs için antivirüs firmaları saat 14:00 itibariyle güncel virüs imza dosyalarını dagıtmaya basladılar. Daha bu virüsten etkilenmemis olanların antivirüs yazılımlarını güncellemeleri en önemli tedbir olacaktır. Yeni virüs tanım dosyalarında bu virüs, Serflog.A, Kelvir.B, Fatso.A vb. isimlerle tespit ediliyot.

Gelen dosya degil link

Bu virüs, MSN Messenger üzerinden kontakt listenizde yer alan kisilerden bir dosya veya İnternet sayfası link’i olarak geliyor. Kullanıcı bu linke tıkladıgında virüs dosyası hemen aktif olmuyor, fakat gelen dosya çalıstırıldıgında aktif oluyor. Bulastıgı anda o bilgisayardaki MSN kayıtlarında yer alan herkese söz konusu link’i gönderiyor. Bu durum tespit edildiginde ilk yapılacak islem bilgisayarın İnternet baglantısını kesmek olmalıdır. Böylelikle baska birine virüsün yayılması engellenmis olur.

Adım adım temizleme rehberi

E-Güvenlik Danısmanı Ömer Kurtulmus’ta aldıgımız bilgiye göre, antivirüs yazılımları güncellenmeden virüs bulasan PC’lerde artık otomatik güncelleme özelligi çalısmayacagından, virüsün elle silinmesi gerekiyor. Eger İnternet’ten bir temizleme programı indirilip kullanılacaksa, MSN messenger programının çalısmadıgına emin olunmalı.

Elle temizlemede izlenecek yöntemler ise sunlar:

1. Bilgisayarınızı restart edip güvenli kipte açın (Açılıs anında tusuna basarak güvenli kipi seçebilirsiniz.)

2. Baslat menüsünden “çalıstır” (run) sekmesini tıklayıp açılan pencereye “regedit” yazarak enter’a basın.

3. Regedit programı içinde asagıdaki alt anahtarları inceleyin ve bunlar içinde virüsle ilgili eklenmis yeni kayıtları silin:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\RunServices

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\policies\Explorer\Run

HKEY_CURRENT_USER\Microsoft\Windows\CurrentVersion \Run

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\policies\Explorer\Run

Yukarıdaki kayıtlar içinde “serpe”, “avnort”, “ltwob” gibi tanımlar var ise sisteminiz virüsten etkilenmis ve her açılısta kendisini tekrar çalıstırıyor demektir. Bu tanımları silin.

4. “Bilgisayarım”ı açtıktan sonra “araçlar”dan dizin seçenekleri menüsünü açın ve görüntü bölümündeki “gizli dosyaları göster” seçenegini seçin ve bilinen dosya tipleri için dosya uzantısını gösterme seçenegindeki isareti kaldırın. Böylelikle virüs’ün sistem içinde gizli dosya olarak kopyalanmıs türevlerini görebileceksiniz.

5. Asagıdaki dizinlerde isimleri verilen dosyaları bilgisayarınızdan silin.

C:\windows\system32\formatsys.exe
C:\windows\system32\serbw.exe
C:\windows\msmbw.exe
C:\Crazy frog gets killed by train!.pif
C:\Annoying crazy frog getting killed.pif
C:\See my lesbian friends.pif
C:\LOL that ur pic!.pif
C:\My new photo!.pif
C:\Me on holiday!.pif
C:\The Cat And The Fan piccy.pif
C:\How a Blonde Eats a Banana…pif
C:\Mona Lisa Wants Her Smile Back.pif
C:\Topless in Mini Skirt! lol.pif
C:\Fat Elvis! lol.pif
C:\Jennifer Lopez.scr
C:\lspt.exe
C:\Documents and Settings\\Local Settings\Application Data\Microsoft\CD Burning\autorun.exe
C:\British National Party.jpg
C:\Crazy-Frog.Html
C:\Message to n00b LARISSA.txt
6. C:\Windows\System32\Drivers\etc altındaki hosts dosyasını edit edin ve 64.233.167.104 veya benzeri IP adresleri için yeni tanımlanmıs adres bilgilerini silin.


Örnek içerik:

64.233.167.104 www.symantec.com
64.233.167.104 www.sophos.com
64.233.167.104 www.mcafee.com
64.233.167.104 www.viruslist.com
64.233.167.104 www.f-secure.com
64.233.167.104 www.avp.com
64.233.167.104 www.kaspersky.com

Bu vb. antivirüs üreticilerinin adreslerini içeren satırların tümünü silin. Böylelikle antivirüs yazılımınız yeni güncellemeleri indirebilir hale gelecektir.


Yukarıdaki islemlerden sonra bilgisayarınızı yeniden baslatıp antivirüs yazılımını İnternet’e baglanarak güncelleyin ve gözden kaçmıs kalıntılar olabilecegini düsünerek bilgisayarınızı virüs taramasından geçirin.
Yukarıdaki yöntem, “inTellect Bilgisayar” IT Güvenlik Uzmanı Ömer Kurtulmus’un verdigin bilgilerden derlenmistir.


su adreslerden de detaylı bilgi alınabilir:
http://www.symantec.com/avcenter/venc/d ... log.a.html
http://securityresponse.symantec.com/av ... ropia.html

Alintidir
Cevapla