SİSTEM DOKTORU

Merhaba arkadaşlar dun bir clientıma msn den virus bulaşmış şu malum zip dosyalarından almış ve lıstesındekılere dagıtmış.Trendmicro Officescan yuklu ve butun updateleri apılı trend virusu realtıme olarak yakalamış ama yinede sisteme bulaşmış.Trendden aldıgım log sonuçları aşagıdadır.

11/5/2007 16:03:15

Deleted Client

TROJ_AGENT.ADKM

runtime.sys

Real-time Scan

Infected file was successfully deleted

11/5/2007 16:03:15

Deleted Client

TROJ_AGENT.ACQI

Ip6Fw.sys

Real-time Scan

Infected file was successfully deleted

 

Şimdi yukarıdaki 2 dosyaı silmiş ama her restartdan sonra yenıden sisteme kendılerını yukluyorlar ve yenıden siliyor.Birde c:\windows\temp içine startdrv.exe diye bir dosya atmış run dada duruyor.Sistem geri yuklemeyi kapatıp guvenli modda açtım.Hijackthis ile started kalkmıyor.Regeditden sılıyorum silinemiyor.Temp klasorunden exe siliyorum silinmiyor.Winlogonla çalışıyor herhalde.Trendle guvenli kipte taratıyorum bulamıyor.Bu stardrv hiç bir şekilde kaldırılamıyor.Virus Solutionlarında hep aynı olay bir tool yok antivurusu update edip guvenli kipte taratın diyor.Spybotlada denedım olmadı.Kasperskda bulamadı en son imageden gerı dondum.Daha sonra farkettim ki bu stardrv.exe başka bir trojene ait TROJ_PUSHDO.AD adında ve antivursler silemiyor.Sistem geri yuklemeyi kapatıp restart edip windows cd si ile açıp repair komutundan sonra

1. del %Windows%\Temp\startdrv.exe
   del %System% \drivers\runtime2.sys
   del %System% \drivers\runtime.sys
2. del %System% \drivers\Ip6Fw.sys
    bu  dosyaları siliyoruz ve direk guvenli kipte açarak run dan kaldırıyoruz.
3. HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet>Services> kısmında aşagıdakileri
4. runtime,runtime2 siliyoruz.

 

C:\WINDOWS\Temp\startdrv.exe

%windir%\System32\drivers\runtime.sys
%windir%\System32\drivers\ip6fw.sys

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Runtime
"ImagePath" =  \??\%Windir%\System32\drivers\runtime.sys
"ErrorControl" = 1
"Start" = 3
"Type" = 1

 

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Runtime "ImagePath"
"ImagePath" =  \??\%Windir%\System32\drivers\runtime.sys
"ErrorControl" = 1
"Start" = 3
"Type" = 1

%System%\drivers\runtime2.sys

%Windows%\Temp\startdrv.exe

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\runtime
Imagepath = "\??\%System%\drivers\runtime.sys"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\runtime2
Imagepath = "\??\%System%\drivers\runtime2.sys"
Virussuz günler dilerim.

---

http://sistemdoktoru.com/forums/56330/ShowThread.aspx#56330

bu virüs bende de var. görülüo ama silinemiyo. bunu silebilecek bir program falan yok mu. yada daha basit bir yolu.

SAGESSE:

bu virüs bende de var. görülüo ama silinemiyo. bunu silebilecek bir program falan yok mu. yada daha basit bir yolu.

Merhaba Daha Basit Bir Yolu Yok.Yada Ben Konuyu Yazarken Yoktu belki şimdi bir Tool Vardir.Manuel Silmeniz Gerekmektedir.Arkadaşların Belirttikleri yontemler İşe Yaramaz.Aynı Virusden Bahsedilmiyor Herhalde

---

http://sistemdoktoru.com/forums/56330/ShowThread.aspx#56330

Merhaba Rafet Bey ilk Mesajımda Kav Kullandıgımı Belirtmiştim.Kis'i Bilemiyorum ama Mesajım Size Degildi.Spyware urunleri ile Silinemediginden Bahsediyordum

---

http://sistemdoktoru.com/forums/56330/ShowThread.aspx#56330

http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=TROJ%5FPUSHDO%2EAD&VSect=Sn solution bu

kespersky tarafından tanınan aliası "Trojan.Win32.Pakes.bmo" ve sistemden kis bunu tamamen temızleyebılıyorsa kalitesini daha çok kanıtlamış olur çunku trend sistemden kaldıramıyor.

 

---

http://sistemdoktoru.com/forums/56330/ShowThread.aspx#56330

Hayır Rafet Bey sizinle Alakalı Negative Bir Düüşünce içinde Değilim.Fikir Ayrılıkları Olacaktır ama Şunu anlayamıyorum Kis veya Kav farketmez sonuçta bu bir trojendir ve 2 urunde aynı virus veritabanını Kullanmaktadır.Yanlışım varsa düzeltin ama Kav veya Kis Urunlerının Bunu silemeeceginden Eminim Denebılır.Updatelerı yapılı bir Kav ile Denemiştim.buldu ama sistemden kaldıramamıştı.

---

http://sistemdoktoru.com/forums/56330/ShowThread.aspx#56330

Merhaba

Benzer bir olay ile bende karşılaştım şuan için en etkili yol cmd tan giril del ile silmek alternatif yok

Bilgi için teşekkürler Tanju Bey...

---

Serkan ERTUNÇ
IT Specialist

BASKI DEVRE SAN ve TIC LTD STI
Ankara Asfaltı Pendik Kavşağı
Ceyhan Sk. No:10 34896 Pendik-Istanbul-Turkey
Web : http://www.baskidevre.com.tr
E-mail : serkan.ertunc@baskidevre.com.tr

Zaten Asıl Sorun startdrv.exe-runtime2.sys-runtime.sys-Ip6Fw.sys
Rafet Bey malesef gondermiş oldugunuz P.Screen Bir kanıt olamaz buluyor,sildim diyor ama Restart sonrası Geri Geliyor ve Buna sebep Olan da Startdrv.exe dir.Guvenlı Kıpte bile Bu dosyayı Temp Klasorunun içinde kendısı Gidip Silemıyorsnuz.Hatta Regedıtdekı Degerını Sılmek ıstedıgınızde de Dizin Silinemez uyarısı verıyor.Neyse Konu Gereksız Yere Çok Uzamıştır.Benim Tespitimde Trend Micro-Kaspersky-Spybot-Panda-Bitdefender urunlerı virusu tespit etmiş ama Sistemden Kaldıramamıştır.Herkeze iyi Gunler

---

http://sistemdoktoru.com/forums/56330/ShowThread.aspx#56330

mc afee 8.5 ve spyware doctor 5 serisi temizleyebilir benzer bi sorunu halletmiştim sende bi dene istersen abicim