Regedit teki Gizli Virüs?

fbli
11-07-2011, 18:32   |  #1  
fbli avatarı
OP Yıllanmış Üye
Teşekkür Sayısı: 4
1,158 mesaj
Kayıt Tarihi:Kayıt: Eki 2010

 

Herkese merhaba.
Bugün virüs şüphesiyle GMER ile bilgisayarıma göz gezdiriyordum. HKLM SECURITY girdisinin kırmızı olduğunu gördüm. Regeditle silmeyi denedim ama olmadı bende girdiye yönetici hakkı verip girdinin sahipliğini aldım; yeniden başlattım. Şifre istenecek yerde reset attı başlangıç onarmadan işlemin bitmesini bekledim. İşe yaramadı.
Gizlilik bildirimini okurken Aç yaparak GMER i tekrar çalıştırdım. svchost, ntfs.sys gibi önemli dosyalarda rootkit buldu. TDSS Killer, GMER, Spybot ile tarama yaptım fakat silemedim.
Sizlere sormak istediğim bu virüsten nasıl kurtulabilirim? Bilgisayara tam da ısınmaya başlamıştım. İçinde onlarca lisanslı yazılım var. Yardımlarınızı bekliyorum.

fbli
13-07-2011, 15:22   |  #2  
fbli avatarı
OP Yıllanmış Üye
Teşekkür Sayısı: 4
1,158 mesaj
Kayıt Tarihi:Kayıt: Eki 2010

Virüsleri hallettim ama GMER de girdiler hala kırmızı ama silemiyorum. Yardım edebilecek birisi yok mu?

fbli
14-07-2011, 19:21   |  #3  
fbli avatarı
OP Yıllanmış Üye
Teşekkür Sayısı: 4
1,158 mesaj
Kayıt Tarihi:Kayıt: Eki 2010

Arkadaşlar gerçekten yardıma ihtiyacım var. Yoksa çok uğraştığım bilgisayarıma format atmak zorunda kalacağım.

turbocat
14-07-2011, 20:03   |  #4  
Yıllanmış Üye
Teşekkür Sayısı: 0
269 mesaj
Kayıt Tarihi:Kayıt: Şub 2010

buraya gir ;
http://www.kaspersky.com/antivirus-removal-tool-register
 
email adresini tak ad  vs girdikten sonra submit form de ;  sonra  removal toolu indir...kurulan bir program değildir.....
ama  emisoft asquared  freeden daha iyi buluyor ;  direk indirip çalıştır....sonra seçeneklerinden bütün tarama  bölgelerini (c d e hdd vs ) seç..taratmaya başla ..
 
oda olmazsa  bunu indir ;
http://support.kaspersky.com/viruses/rescuedisk/all?qid=208282173
 
bir boş cdye  yazdır ; (iso dosyasıdır)  graphical mode da çalıştır taramaya başla ... graphic mode siyah ekran  hatası veriyorsa  cdyi yine  boot ettir  ; text mode da çalıştır  programı.......
cdyi boot ettirdiğinde 10 sn den geriye sayar ; süre bitmeden  enterla ;  dil ingilizce english seç sonra çıkan menüden  graphical mode yada text mode  (hangisi çalışıyorsa ) onu seçersin...
 
not; virüslü olan bir sistemde  virüs tarama boot cdsi  oluşturulmaz ; mutlaka boot cdyi  başka pcde hazırlaman lazım.. eğer kendi virüslü sisteminde oluşturursanız   cdnin boot sectörüne  virüsü bulaştırırsınız.....onu takınca pcnize  sistemi düzeltim derken sistem nanay olur.....
 
not;  gmer programı bazen hatalı  uyarı verebiliyor ; chip temmuz  2011 dergisinde nasıl kullanılacağıyla ilgili  biraz  yazı var...chip dergisi alsaydınız  (temmuz 2011 sayısını  ) hem bedava key loger (zemana antilogger)   tespit programına sahip olurdunuz    hemde gmer konusunda biraz bilgi almış olurdunuz.. bu arada zemana full sürümdür... 365 yada 400 gün  koruma sağlıyor...
 
önce  virüs removal toolu deneyiniz...boot sektörüde taratmayı unutmayınız..bir şey bulamazsa  sorun yok ; eğer bulursa ve temizlerse güvenlik önlemi olarak birde  boot cd ile taratınız....
 
 

Son Düzenleme: turbocat ~ 14 Temmuz 2011 20:04
fbli
18-07-2011, 13:10   |  #5  
fbli avatarı
OP Yıllanmış Üye
Teşekkür Sayısı: 4
1,158 mesaj
Kayıt Tarihi:Kayıt: Eki 2010

Yardımlarınız için çok çok teşekkür ederim. Önerdiğiniz programı şu an kullanıyorum. Process Hacker adlı programda svchost.exe nin www.007guard.com adlı siteye bağlandığını söylüyor. Bildiğim kadarıyla virüslü bir site. Bu konuda ne yapmam lazım?

turbocat
18-07-2011, 21:14   |  #6  
Yıllanmış Üye
Teşekkür Sayısı: 0
269 mesaj
Kayıt Tarihi:Kayıt: Şub 2010

bloklayın ; mutlaka bir firewall yazılımı kullanmanız şart ; yada kis 2012  norton gibi antivirüs yazılımı kullanırsanız tehlikeli sitelerin çoğunda yazılım sizi uyarır bloklama yaparsınız......
svchost exe o siteye bağlanıyorsa sisteminizde o siteye bağlanmaya çalışan bir yazılım vardır..... en son hangi yazılımları kurdunuz bir düşünün.... denetim masası program ekle kaldırdan bir kontrol edin tanımadığınız bir yazılım var mı diye ?
yoksa tanımadığınız yazılım  sisteminizde spyware benzeri yazılım olabilir....
birde   başlat menüsüne  basın  ; çalıştırı açın   msconfig yazın ... orda başlangıça bakınız .. tanımadığınız başlangıç öğesi varmı diye ; spware yada adaware varsa oraya kendini ekler genellikle...zaten eklenmiş başlangıç öğelerinin nerde hangi klasörde yüklü olduğunu   msconfig size söyler...

Son Düzenleme: turbocat ~ 18 Temmuz 2011 21:16
fbli
19-07-2011, 17:03   |  #7  
fbli avatarı
OP Yıllanmış Üye
Teşekkür Sayısı: 4
1,158 mesaj
Kayıt Tarihi:Kayıt: Eki 2010

Denediğim hiç bir program işe yaramadı. Format atmaya karar verdim. Yarın Win7 Ultimate 64 Bit alıp format atacağım. Belgelerim zaten D sürücüsünde. Önemli programlarıda yedekleyip format atacağım. D de virüs varsa tekrar bulaşması mümkün mü?

PC.Kopat
19-07-2011, 20:36   |  #8  
Yıllanmış Üye
Teşekkür Sayısı: 1
750 mesaj
Kayıt Tarihi:Kayıt: Eyl 2009

Mümkün.

fbli
21-07-2011, 10:16   |  #9  
fbli avatarı
OP Yıllanmış Üye
Teşekkür Sayısı: 4
1,158 mesaj
Kayıt Tarihi:Kayıt: Eki 2010

Sadece D yi virüs taramasından geçirdikten sonra format atarım.

fbli
21-07-2011, 11:31   |  #10  
fbli avatarı
OP Yıllanmış Üye
Teşekkür Sayısı: 4
1,158 mesaj
Kayıt Tarihi:Kayıt: Eki 2010

Yardımlarınız için çok teşekkür ederim.

Tolstoy
23-07-2011, 00:33   |  #11  
Yıllanmış Üye
Teşekkür Sayısı: 5
381 mesaj
Kayıt Tarihi:Kayıt: Nis 2008

Gmer, rootkit tesbit aracıdır. Rootkit'i silmeden atılacak format sorununuza çözüm olmayabilir.

Format'tan bir süre sonra sorununuzun devam ettiğini görürseniz, zararlı incelemesi yapanlara sisteminizi inceletebilirsiniz.

fbli
24-07-2011, 09:58   |  #12  
fbli avatarı
OP Yıllanmış Üye
Teşekkür Sayısı: 4
1,158 mesaj
Kayıt Tarihi:Kayıt: Eki 2010

GMER, System32 deki dosyaların yarısını kırmızı olarak gösteriyor ama taratınca hiç bir şey çıkmıyor. Hem de 2008 yılından kalma bir araç artık pek güvenmiyorum. Bilgisayarıma Windows 7 Ultimate yükledikten sonra Comodo İnternet Security yi yükledim. Hosts dosyasını kilitledim. İlk format attığımda 007guard virüsü bulaşıyor. Process Hacker ile baktığımda Kaspersky ve Firefox un bu siteye bağlandığını anladım. D sürücüsünde çok değerli verilerim var. Bu nedenle biçimlendirmek istemiyorum. Çözüm de bulamadım. Sandboxie de işe yaramıyor. WmWare Player işe yarar mı?