Win32 Sality Virüsü Bulaştı :(

[CyRuS]

[spoiler]http://www.kaspersky.com/antivirus-removal-tool?form=1[/spoiler] Sorunu bununla 5 saat tarattıktan sonra çözdüm.ama 60 GB lık veri kaybım oldu.iso ve rar dosyalarına bulaşmıyor.sadece exe uzantılı program vs.. lere bulaşıyor.Buna şükür hasarı en eza indirdim.

[gozyası]

Benim de bilgsayarıma buna benzer bi virüs vardı servise yollamak zorunda kaldım formatda iza edmedi...

[TeYyArEe]

[quote name='quadcore' timestamp='1347543055' post='1240265']
herkez sallammışya eset avast demiş kaspersky demiş en basit yolu istersen dene olmadı dersen bilgisayar muhendisligini bırakacam
öncellikle tabi professionelsen yapman gereken anti virüslü spyware doctor kur tarama ya tarama yaparken bütün ögelerin içerisini tara de flash diskinide tak onuda tarat tam 7 saat sürer tarama ama onun sonunda pc tertemiz ve exelerin silinmeden güzelcene temizliyor orn oyun batllefield 3 win32 sality var bunun içerisindekini siliyor dosyayı degil basıma gelen bir olayı butun arastırmalarımın sonucunda bu program temizledi
[code]http://depositfiles.com/files/0eqoba01f[/code]
[/quote]

Win32/Sality.AA bulaşmış sisteme program yükleyerek silmeye kalkmak ? Win32/Sality.AA gibi kendini Svchost.exe içerisine gömerek hareket eden virüsleri bu şekilde silmeye kalkmak, sistem üzerinde virüsün bulaşmadığı alanlara da virüsü bulaştırmaktan başka işe yaramaz. Bence mühendislik konusunu tekrardan bir gözden geçir. Eğer bir bilgisayar mühendisi bile bu şekilde açıklamalar ve çözüm yolları sunuyor ise vay bizim halimize...

Win32/Sality.AA virüsünün sistem üzerinde yaptığı bazı değişiklikler;
[code]
%System%\drivers\< random filename >.sys Bu dizine rastgele bir SYS dosyası oluşturur ve bunu aşağıdaki registry kaydı ile sistem başlangıcında çalıştırır
HOTKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\abp470n5\Run "svchost.exe -k <random file>.sys"

Windows%\System.ini dosyası içerisine aşağıdaki girdiyi ekler, bununla beraber sisteme bağlı tüm disk ve uzak bağlantılara kendini yönlendirme izini verir.
[MCIDRV_VER]
DEVICEMB=< random number >

HKCU\Software\< computer name > Buraya kendine ön tanımlı bir kullanıcı oluşturarak bu kullanıcıya erişim izni atar.

Windows ağ hizmetlerini kullanarak aşağıdaki sitelere erişip ek program dosyalarını indirir
89.119.67.154
bjerm.mass.hc.ru
klkjwre77638dfqwieuoi888.info
kukutrustnet777.info
kukutrustnet777888.info
kukutrustnet888.info
kukutrustnet987.info
lpbmx.ru lpbmx.ru
mattfoll.eu.interia.pl
st1.dist.su.lt

Dosya eklentileri altından DVB ve AVC gibi Antivirüs yazılımlarına ait database dosyalarının kullanımını iptal ederek Antivirüs yazılımlarının devre dışı kalmasını sağlar

Aşağıdaki registry kayıtlarını silerek Windows'un Güvenli Kip, Komut istemi ile Güvenli kip gibi başlatma seçeneklerini devre dışı bırakır
HKCU\System\CurrentControlSet\Control\SafeBoot
HKLM\Software\Microsoft\Windows NT\CurrentVersion\ProfileList
HKLM\Software\Microsoft\Windows\CurrentVersion\Ext\Stats
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects

Sistem ayarları altından sistemi Düşük Güvenlik seviyesine indirir, aşağıdaki registry kayıtlarını ekleyerek sistem üzerinde çalışması gereken Antivirüs, Firewall, UAC gibi güvenlik programlarını devre dışı bırakır
HKLM\SOFTWARE\Microsoft\Security Center\AntiVirusOverride = dword:00000001
HKLM\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify = dword:00000001
HKLM\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify = dword:00000001
HKLM\SOFTWARE\Microsoft\Security Center\FirewallOverride = dword:00000001
HKLM\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify = dword:00000001
HKLM\SOFTWARE\Microsoft\Security Center\UacDisableNotify = dword:00000001
HKLM\SOFTWARE\Microsoft\Security Center\Svc\AntiVirusOverride = dword:00000001
HKLM\SOFTWARE\Microsoft\Security Center\Svc\AntiVirusDisableNotify = dword:00000001
HKLM\SOFTWARE\Microsoft\Security Center\Svc\FirewallDisableNotify = dword:00000001
HKLM\SOFTWARE\Microsoft\Security Center\Svc\FirewallOverride = dword:00000001
HKLM\SOFTWARE\Microsoft\Security Center\Svc\UpdatesDisableNotify = dword:00000001
HKLM\SOFTWARE\Microsoft\Security Center\Svc\UacDisableNotify = dword:00000001

Svchost.exe -k netsh firewall set opmode disable komutu ile Windows üzerinde çalışan güvenlik duvarını devre dışı bırakır ve aşağıdaki girdileri değiştirerek kendine ait dosyalara internet erişim yetkileri
ile donatılmasını sağlar
HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\"< infected filename >" = "< infected filename >:*:Enabled:ipsec"
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA = 0
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Setting\GlobalUserOffline = 0

Aşağıdaki registry kayıtlarını ekleyerek Explorer üzerinde gizli dosyaların görüntülenmesini engeller
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Hidden = 2

Aşağıdaki registry kayıtlarını ekleyerek Görev yöneticisi ve Registry Editor'ün çalışmasını engeller
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\system\DisableTaskMgr = dword:00000001
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\system\DisableRegistryTools = dword:00000001

Svchost.exe dosyası aracılığı ile sistem üzerinde çalışan servislerin çalışmasını durdurur, durdurduğu bazı servislere örnekler
Agnitum Client Security Service
Amon monitor
AVG Engine
Avira AntiVir Premium Guard
Eset Personal Firewall
Eset Service Eset Servisi
F-Prot Antivirus Update Monitor
F-Secure Gatekeeper
ISSVC ISSVC
LavasoftFirewall
McAfeeFramework
navapsvc navapsvc
NOD32krn
Outpost Firewall main module
PavProt
PSIMSVC
SavRoam
SmcService
Symantec AntiVirus
tcpsr
Tmntsrv
TmPfw

Svchost.exe aracılığı ile Ağ erişim hizmetlerine ait "IP Traffic Filter Device Driver" gibi davranarak aşağıdaki programların internete erişimini engeller
sality-remover
virusinfo.
cureit.
drweb.
onlinescan.
spywareinfo.
ewido.
virusscan.
windowsecurity.
spywareguide.
bitdefender.
pandasoftware.
agnmitum.
virustotal.
sophos.
trendmicro.
etrust.com
symantec.
mcafee.
f-secure.
eset.com
kaspersky
[/code]

Sanırım virüs hakkında bu kadar bilgi yeter, şimdi gelelim bu virüsü sistemden silmeye. Öncelikle sistemimizi temiz bir önyükleme yapmamız gerekir. Bu yüzden WinPE uygulamaları kullanmak en mantıklı çözüm olacaktır. Bu sayede sistemimiz virüsten bağımsız olarak denetlenebilecek ve gereken temizlik işlemi başarı ile sonuçlanacaktır.

[color=#ff8c00][b]köylü[/b][/color] arkadaşımızın yapmış olduğu Win7PE 'yi indirmenizi tavsiye ederim çünkü CD/DVD/USB üzerinden çalışması, internet erişiminin olması başlıca etmenler.
[code]http://www.tnctr.com/topic/192429-win7pewindows-kurulumu/[/code]

Sistemimizi bu CD/DVD/USB üzerinden çalıştırıp daha sonra Win32/Sality Remover programlarından herhangi birini indirip, yada Win7PE üzerindeki Avast Virüs Cleaner programı ile gereken virüs silme işlemlerini uygulayabilirsiniz. Ancak bu şekilde bu virüslerden tam olarak kurtulabilirsiniz.

Ayrıca mümkün ise Windows işletim sisteminizi yeniden kurmanızı, Antivirüs programınızı değiştirmenizi ve sadece güvendiğiniz kullanıcılara ait keygen/crack gibi uygulamaları kullanmanızı öneririm.

Haydi kolay gele !

[rev6]

saçma gelir mi bilmem ama en kötü c ye formatıp linux yükle heralde virüs sorunun hallolur

[JAMAL]

[b]Avira premium Lisanslı bulup tarat paramparça eder virüsü [/b]

[FLaky]

[size=5][b]İstersen kasperskydende mükemmel bi program bul hiç fayda etmez direk format..formattan sonra ilk kurcağın şey bitdefender veya eset olsun....[/b][/size]

[delphi63]

[quote name='quadcore' timestamp='1347543055' post='1240265']
herkez sallammışya eset avast demiş kaspersky demiş en basit yolu istersen dene olmadı dersen bilgisayar muhendisligini bırakacam
öncellikle tabi professionelsen yapman gereken anti virüslü spyware doctor kur tarama ya tarama yaparken bütün ögelerin içerisini tara de flash diskinide tak onuda tarat tam 7 saat sürer tarama ama onun sonunda pc tertemiz ve exelerin silinmeden güzelcene temizliyor orn oyun batllefield 3 win32 sality var bunun içerisindekini siliyor dosyayı degil basıma gelen bir olayı butun arastırmalarımın sonucunda bu program temizledi indir [url="http://depositfiles.com/files/0eqoba01f"][url]http://depositfiles.com/files/0eqoba01f[/url][/url] seriali var olmassa neden ara
[/quote]

Bence de bilgisayar mühendisliğini bırakmalısın. Ülkemizin en büyük kurumlarından birisinde Bilgi Teknolojilerinin müdürüyüm. Bende bilgisayar mühendisiyim. Ama senin gibileri asla işe almam. Ünvanın arasında saklanıp, kendini yeterli görüp geliştirmeyerek çok şey bildiklerini zanneden çok mühendis gördüm. Bilgisayar mühendisliği doktorluk gibi bir meslek değildir. Mesela doktorluğu tıp okuyanlar yapabilir. Ama Bilgisayar mühendisliğini kapsayan konuları mühendisliği okumayanlarda yapabilir. Okutulan derslerin kitaplarını alır ve okuyup hatta evde veya iş yerinde uygulamalı yapar. Tek eksiği akademik düzeyde bir etiketi olmaz. Ayrıca son yıllarda bilgisayar mühendisliği veya diğer mühendislikler de pazarlama veya arge gibi branşların gerisinde kaldı. Yani siz bilgisayar mühendisi olsanız bile o branşlardaki kişiler sizden daha fazla kazanabiliyor.

[messages]

http://www.chip.com.tr/blog/edizdar/win32.sality-virusleri-temizleme-araclari_4909.html

Bu linktekileri dene.

Edited September 16, 2012 by messages

[quadcore]

[quote name='delphi63' timestamp='1347783750' post='1241094']

Bence de bilgisayar mühendisliğini bırakmalısın. Ülkemizin en büyük kurumlarından birisinde Bilgi Teknolojilerinin müdürüyüm. Bende bilgisayar mühendisiyim. Ama senin gibileri asla işe almam. Ünvanın arasında saklanıp, kendini yeterli görüp geliştirmeyerek çok şey bildiklerini zanneden çok mühendis gördüm. Bilgisayar mühendisliği doktorluk gibi bir meslek değildir. Mesela doktorluğu tıp okuyanlar yapabilir. Ama Bilgisayar mühendisliğini kapsayan konuları mühendisliği okumayanlarda yapabilir. Okutulan derslerin kitaplarını alır ve okuyup hatta evde veya iş yerinde uygulamalı yapar. Tek eksiği akademik düzeyde bir etiketi olmaz. Ayrıca son yıllarda bilgisayar mühendisliği veya diğer mühendislikler de pazarlama veya arge gibi branşların gerisinde kaldı. Yani siz bilgisayar mühendisi olsanız bile o branşlardaki kişiler sizden daha fazla kazanabiliyor.
[/quote]

sana acıklama yap diyen oldumu cok bilmiş ben çözümü bu sekilde sagladım burda hep bir agızdan birsey cıkıyor senin gibi boş boş konusanlar cok yardımcı olup duruma el atacagına tutmus beni eleştiriyorsun sen once kendi durumuna bak bilgi teknolojisi homeofiste anca anktet doldur sen senin gibilerinini cok gordum herkez aynı degildir herkezin farkı vardır bilg müh olupta oturan iş veren cok gordum ben oyle degilim işte... bilmem o bilgili kafan aldımı !!!!

[delphi63]

[quote name='quadcore' timestamp='1347788774' post='1241115']

sana acıklama yap diyen oldumu cok bilmiş ben çözümü bu sekilde sagladım burda hep bir agızdan birsey cıkıyor senin gibi boş boş konusanlar cok yardımcı olup duruma el atacagına tutmus beni eleştiriyorsun sen once kendi durumuna bak bilgi teknolojisi homeofiste anca anktet doldur sen senin gibilerinini cok gordum herkez aynı degildir herkezin farkı vardır bilg müh olupta oturan iş veren cok gordum ben oyle degilim işte... bilmem o bilgili kafan aldımı !!!!
[/quote]

Sizin gibi amatörler yüzünden ünvanımız değersizleşmeye başladı. Bilgisayar Mühendisiymişte daha iyisini bilirmiş gibi başkalarını küçümsüyor. İşte bu yüzden sizin gibilere git anket doldur diyoruz. Ben sizin gibileri işe almıyorum ya. Dersinizi vermiş oluyorum.

[yasayanolu]

dostum bu sality sen çalıştırmazsan çalışmaz. birisi bilgisayarında özellikle çalştırıyor. buna dikkat et.
ikincisi nod 32 açılmıyorsa o zaman başka bilgisayara takıp tarayaaksın. ya da başka bir yol, bu virüs reg kaydı ile çalışır. yani eğer regi halledersen işin kolaylaşır. başka bilgisayarın yoksa bilgisayara windows yükle ama biçimlendirme silme yapmadan c ye yükle. sonra da bilgisayar açılınca hiçbir yere girmeden sadece interneti ve eseti kurup güncelleyip tarama yapacaksın.
başka antivirüslere güvenme çünkü onlar onarım yapıyor virüs artığı kalıyor. bir tane bile kod kalırsa o virüs kendini internetten indirir. ona göre öyle pis bir virüstür. parity ve sality virüsleri ile kanki oldum ben. geçmişte resmen canıma okudular ama hiç veri kaybetmedim.

[temhem]

Ben bilgisayar mühendisi değilim ama bundan 4 sene evvel benim bilgisayarada bulaştı.90 gb oyunu bu yüzden silmek zorunda kaldım.Uzun araştırmalar sonunda fixmbr yapıp tüm diskleri silerek bundan kurtuldum.Birde kaspersky secure diskle bootlu cdden güncellemeyi yaparak tüm bilgisayarı tarat belki çare olabilir.Yardımcı olabildiysem ne mutlu bana

[CyRuS]

kaspersky antivirus removal tool .Sality pisliğinden bu programla kurtuldum. programın seçeneklerinde deep scan bölümü en can alıcı noktası.kökünü kızıyor.bütün ayarları en üst seviyeye çıkarttım. sadece sality değil bir çok virüslü programlarıda tespit ediyorsun.