Virüsler,Trojanlar Ve Diğer Zararlılar. |
11-20-2007 | #1 |
RaHaTSiZ
|
Virüsler,Trojanlar Ve Diğer Zararlılar.Zararlı Adı : W32/Virut-M Etkilenen Sistemler :Windows Verdiği Zararlar : sisteme diğer bilgisayarlardan giriş için izin verir Nasıl Korunulur : http://wwwsophoscom/downloads/ide/virut-mide Zararlı Adı :W32/IRCBot-YC Etkilenen Sistemler :Windows Verdiği Zararlar : -sisteme diğer bilgisayarlardan giriş için izin verir -bilgi çalar -internetten kod indirir -Registry’de kendini kurar -exploit sistemleri yada yazılımları savunmasız bırakır Nasıl Korunulur :http://wwwsophoscom/downloads/ide/ircbo-ycide Nasıl Yayılır :Ağ Paylaşımı AdwareWebhancer Yayılma: Düşük Zarar verme: Düşük Boyut: ~187000 Bulunma tarihi: 2007 Ekim 01 Belirtileri: Webhancer internet bağlantısına etki eden bir spywaredir Virüs, windows LSP’ni değiştirerek internet browser’inde yardım objesi oluşturur LPS, Katmanlı Hizmet Sağlayıcı (Layered Service Provider) olarak bilinen yazılım Windows TCP/IP’nin içine gömülerek bir zincir içerisinde kullanılır Ancak LSP’nin bozulması veya silinmesi durumunda bu zincir çalışmaz hale gelir ve internet erişimi kesilir Ağ aktivitelerini kontrol ederken ve internet bağlantı geçmişi hakkında bilgi toplarken internetin yavaşlamasına neden olur SP2’li işletim sistemlerden önceki sürümlerde elle bu uygulamanın ağdan kaldırılamaz Teknik açıklama: Disk üzerinde şu konumlarda bulunur; C:\\Program Files\\webHancer\\Programs\\licensetxt C:\\Program Files\\webHancer\\Programs\\readmetxt C:\\Program Files\\webHancer\\Programs\\sporderdll C:\\Program Files\\webHancer\\Programs\\wbhsharedll C:\\Program Files\\webHancer\\Programs\\whAgentexe C:\\Program Files\\webHancer\\Programs\\whAgentini C:\\Program Files\\webHancer\\Programs\\whiehlprdll C:\\Program Files\\webHancer\\Programs\\whieshmdll C:\\WINDOWS\\webhdlldll C:\\WINDOWS\\whAgentinf C:\\WINDOWS\\whInstallerexe C:\\WINDOWS\\whInstallerini Ve şu registry girdilerini oluşturur HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\CLSID\\{c90 0b400-cdfe-11d3-976a-00e02913a9e0} * HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\Interface\\ {C89435B0-CDFE-11D3-976A-00E02913A9E0} * HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\TypeLib\\{C 8CB3870-CDFE-11D3-976A-00E02913A9E0} * HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\WhIeHelperO bjWhIeHelperObj * HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\WhIeHelperO bjWhIeHelperObj1 * HKEY_LOCAL_MACHINE\\SOFTWARE\\webHancer * HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Service s\\WS2IFSL * HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\ CurrentVersion\\Uninstall\\webHancer Agent * HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\ CurrentVersion\\Explorer\\Browser Helper Objects\\{c900b400-cdfe-11d3-976a-00e02913a9e0} Temizleme için bitdefender programını kullanabilirsiniz Zararlı Adı : W32/Hoxe-B Etkilenen Sistemler : Windows Verdiği Zararlar : Registry’de kendini kurar Nasıl Korunulur : http://wwwsophoscom/downloads/ide/hoxe-bide Nasıl Yayılır : Ağ Paylaşımı Zararlı Adı: Win32/PinfiA nam-ı diğer Win32/PariteA, Win32/Pariteb, W32/Pateb Etkilenen Sistemler:Windows Verdiği Zararlar: -Sisteme diğer bilgisayarlardan giriş için izin verir -Bilgi çalar -Registry de kendini kurar Virüs ilk aktif olduğunda rastgele bir isimle kendini temporary dosyası olarak kaydeder; C:\\\\WINDOWS\\\\TEMP\\\\gs1905TMP gibi Exe ve scr uzantılı dosyalara bulaşır Şu registry girdisini oluşturması beklenir: HKEY_CURRENT_USER\\\\Software\\\\Microsoft\\\\Wind ows\\\\CurrentVersion\\\\Explorer\\\\PINF Nasıl Korunulur: CA eTrust Antivirüs virüsü bulup kolayca temizliyor Win32WormAutorunerCD Yayılma: Düşük Zarar verme: Düşük Boyut: 123 Bulunma tarihi: 2007 Ekim 02 Belirtileri: Bu worm, aşağıda listelenen klasörlerde rasgele isimlerle çalışır Program Files Program Files\\Common Files\\System Program Files\\Common Files\\Microsoft SharedSecurity İzlenen yazılımı umulmadık bir şekilde sonlandırır Windows update servisini durdurur Gizli dosyaları önceden görüntülenebildikleri halde Explorer tarafından görüntülenemezler Teknik açıklama: Bu zararlı yazılımın iki kötü niyetli davranışı mevcuttur 1- Worm, kendini tüm disklere kopyalayarak yayılmaya çalışır ve kopyalandığı disklerde autoruninf dosyası oluşturur Özellikle o an etkin olarak kullanılan çıkarılabilir disklere etki eder 2- Worm, ikinci bir zararlıyı önceden ayarlanmış bir URL’den download eder ve çalışıtırır Ve birde hazır olarak çalışan güvenlik dosyalarını, izleme programlarını ve bunlara bağlı olarak oluşturulan registry girdilerini bu download ettiği zararlı ile sona erdirir Sona erdireceği dosyaların listesi aşağıdadır Rasexe avpcom avpexe runiepexe PFWexe FYFireWallexe rfwmainexe rfwsrvexe KAVPFexe KPFW32exe nod32kuiexe nod32exe Navapsvcexe Navapw32exe avconsolexe webscanxexe NPFMntorexe vsstatexe KPfwSvcexe RavTaskexe Ravexe RavMonexe mmskexe WoptiCleanexe QQKavexe QQDoctorexe EGHOSTexe 360Safeexe iparmoexe adamexe IceSwordexe 360rptexe 360trayexe AgentSvrexe AppSvc32exe autorunsexe avgrssvcexe AvMonitorexe CCenterexe ccSvcHstexe FileDstyexe FTCleanerShellexe HijackThisexe Iparmorexe isPwdSvcexe kabaloadexe KaScrScnSCR KASMainexe KASTaskexe KAV32exe KAVDXexe KAVPFWexe KAVSetupexe KAVStartexe KISLnchrexe KMailMonexe KMFilterexe KPFW32Xexe KPFWSvcexe KRegExexe KRepaircom KsLoaderexe KVCenterkxp KvDetectexe KvfwMclexe KVMonXPkxp KVMonXP_1kxp kvolexe kvolselfexe KvReportkxp KVScankxp KVSrvXPexe KVStubkxp kvuploadexe kvwscexe KvXPkxp KvXP_1kxp KWatchexe KWatch9xexe KWatchXexe loaddllexe MagicSetexe mcconsolexe mmqczjexe nod32krnexe PFWLiveUpdateexe QHSETexe RavMonDexe RavStubexe RegCleanexe rfwcfgexe RfwMainexe RsAgentexe Rsaupdexe safeliveexe scan32exe shcfg32exe SmartUpexe SREngEXE symlcsvcexe SysSafeexe TrojanDetectorexe Trojanwallexe TrojDiekxp UIHostexe UmxAgentexe UmxAttachmentexe UmxCfgexe UmxFwHlpexe UmxPolexe UpLiveexe upieaexe ASTexe ArSwpexe USBCleanerexe rstruiexe QQLiveUpdateexe QQUpdateCenterexe Timwpexe QQSCexe Kayıt defterinde hata ayıklayıcı olarak belirtilen anahtarı oluşturur (sistemimize sık sık virüs bulaşması durumunda karşılaştığımız güya hata ayıklama mesajları için oluşturulur Tabi bu mesajlarda yazılanlarda gene sisteme verilecek bir zararın göstergesidir) Software\\Microsoft\\Windows NT\\CurrentVersion\\Image File Execution Options\\ Ve aşağıda belirtilen güvenlik programlarının bileşenlerini ve Windows Update işleminin açılışta çalışmasını sağlayan registry girdilerinide siler SYSTEM\\ControlSet001\\Control\\SafeBoot\\Minimal\ \{4D36E967-E325-11CE-BFC1-08002BE10318} SYSTEM\\ControlSet001\\Control\\SafeBoot\\Network\ \{4D36E967-E325-11CE-BFC1-08002BE10318} SYSTEM\\CurrentControlSet\\Control\\SafeBoot\\Mini mal\\{4D36E967-E325-11CE-BFC1-08002BE10318} SYSTEM\\CurrentControlSet\\Control\\SafeBoot\\Netw ork\\{4D36E967-E325-11CE-BFC1-08002BE10318} SYSTEM\\CurrentControlSet\\Services\\wscsvc SYSTEM\\CurrentControlSet\\Services\\wuauserv SYSTEM\\CurrentControlSet\\Services\\RSPPSYS SYSTEM\\ControlSet001\\Services\\wscsvc SYSTEM\\ControlSet001\\Services\\wuauserv Worm gizli dosya ayarları ve otomatik çalıştırma seçeneklerini değiştirir bundan dolayı Windows explorer’da gizli dosyalar görüntülenemez ve otomatik çalışma aktif hale gelir Temizleme için Bitdefender programını kullanabilirsiniz ve yukarıda verilen registry girdilerini silebilirsiniz WormWin32Skipia Belirleme tarihi: Eylül 09 2007 18:15 GMT Açıklama Tarihi: 2 Ekim 2007 Davranış: İnternet worm Teknik detayları: Bu worm skype yoluyla yayılır, virüslü mesajlar sykpe yüklü tüm makinalardan gönderilecektir Bu worm bir Windows exe dosyası şeklindedir ve 188,416 byte kapasiteli, C++ dilinde yazılmıştır Gizli olarak çalışma özelliğine sahip Worm aşağıda belirtilen dosyayı açarak resim izleme programını kullanır %WinDir%\\Soap Bubblesbmp Sistem klasörü altında açılışta çalıştırılabilir dosya olarak aşağıda listelenen dosya isimleri ile kopyalanır %System%\\wndrivsexe %System%\\mshtml32exe %System%\\sdrives32exe %System%\\winlgcverexe Worm sistem açılışında her biri otomatik olarak çalıştırılabilen dosyalar olarak düzenlenmesi için aşağıdaki registry girdilerini oluşturur [HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion \\RunOnce] "Start Services" = "%WormCopy%" [HKLM\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon] "Windows Explorer" = "explorerexe %WormCopy%" "Logon Data" = "%WormCopy%" [HKLM\\Software\\Microsoft\\Windows\\CurrentVersion \\policies\\Explorer\\Run] "Policies Settings" = "" Ve birde şu registry girdisini oluşturur [HKLM\\Software\\RMX\\cfg] Skype yazılımını kullanan bu virüs, kullanan kişilerin listelerine ekli olan kişilere aşağıdaki mesajları gönderir Hey how are u ? look your photos looks realy nice where I put ur photo I used photoshop and edited it look what crazy photo Tiffany sent to me haha lol now u populr really funny you checked ? oops sorry please don’t look there :S oh sry not for u u happy ? this (happy) sexy one what ur friend name wich is in photo ? labas esi? ziurek kur tavo foto imeciau kaip as taves noriu zek kur tavo foto metos isdergta cia tu isimetei ? cia biski su photoshopu pazaidziau bet kas cia tavim taip isderge ? =]] patinka? geras ane ? matai as net nezinau ka tavo vietoj daryciau :S pala biski Bu mesajların devamında gelen bir link bu worm’u içerir Aşağıda, bu diyalogla ilgili bir örnek verelim [17:59:05] User says: how are u ? [17:59:22] User says: look what crazy photo Tiffany sent to me,looks cool [17:59:26] User says: http://www%InfectedURL%jpg [17:59:37] User says: oops sorry please don’t look there :S [17:59:40] User says: Virüsten etkilenmiş makine internete bağlandığı zaman, aşağıdaki adreslere bağlanmaya çalışır http://www****meorg/erotic-gallerys/usr5d8c/****jpg (at the time of writing, this link was not working) http://www****spacenet/erotic-gallerys/usr5d8c/****scr - this file is 188 416 bytes in size, and will be detected by Kaspersky Anti-Virus as WormWin32Skipic Ve birde makineya bağlanan flash belleklere bulaşarak yayılmaya çalışır Worm kendini açılış klasörüne aşağıdaki dosya isimleriyle kopyalar gameexe zjbsexe Ve flas bellek açılış klasörünün içine “autoruninf” olarak adlandırılan bir dosya oluşturur Dosyanın kapsadığı kodlar aşağıdaki şekildedir [autorun] action=Windows Picture and Fax Viewer open=zjbsexe icon=zjbsexe Worm sistemdeki %System%\\drivers\\etc\\hosts dosyasını da değiştirir Bilinen önemli güvenlik sitelerine bağlantı yapılmasına engel olur Ve açılışta çalışan güvenlik programının uygulama dosyalarının çalışmasına engel olur Temizleme: KAV antivirüs programını update edin, KAV virüsü silecektir Ama sisteminde KAV yada baka bir antivirüs olmayan kullanıcılar aşağıdaki işlemleri yaparak virüsü sistemlerinden silebilirler 1- Bilgisayarınızı resetleyin ve güvenli modan açtırın (açılışta F8 tuşuna bastığınızda gelen seçeneklerden güvenli mod seçeneğini seçerek yapabilirsiniz) 2- Orijinal worm dosyasını silin(bu virüs bulaşmış sistemdeki worm’un içine işlediği orijinal program dosyasıdır 3- Worm’un oluşturduğu aşağıdaki tüm dosyaları silin; %System%\\wndrivsexe %System%\\mshtml32exe %System%\\sdrives32exe %System%\\winlgcverexe 4- Aşağıdaki regedit kayılarını silin (regedite girmek için Başlat >> Çalıştır >> Regedit yazın enterlayın ve herhangi bir soruna karşı yedekleyin Bunun içinde Düzen menüsünden ver seçeneğini seçmeniz yeterli olacaktır) [HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion \\RunOnce] "Start Services" = "%WormCopy%" [HKLM\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon] "Windows Explorer" = "explorerexe %WormCopy%" "Logon Data" = "%WormCopy%" [HKLM\\Software\\Microsoft\\Windows\\CurrentVersion \\policies\\Explorer\\Run] "Policies Settings" = " [HKLM\\Software\\RMX\\cfg] 5- Sistemdeki %System%\\drivers\\etc\\hosts dosyasını değiştirin Dosyanın orijinal şekli aşağıdaki gibidir Notepad ile dosyayı açtıktan sonra aşağıdaki şekilde değiştirip kaydetmeniz yeterlidir # Copyright (c) 1993-1999 Microsoft Corp # This is a sample HOSTS file used by Microsoft TCP/IP for Windows # This file contains the mappings of IP addresses to host names Each entry should be kept on an individual line #The IP address should be placed in the first column followed by the corresponding host name #The IP address and the host name should be separated by at least one space # # Additionally, comments (such as these) may be inserted on individual # lines or following the machine name denoted by a ’#’ symbol # For example: # # 102549497 rhinoacmecom # source server # 38256310 xacmecom # x client host 127001 localhost 6- Sisteme bağlanan flash bellek içindeki açılış klasöründeki aşağıdaki dosyaları silin Eğer dosyaları göremiyorsanız Denetim masası >> Klasör seçenekleri >> Görünüm menüsünden gizli dosyaları gösteri aktifleştirin ve korunan sistem dosyalarını gizle seçeneğini kaldırın gameexe zjbsexe autoruninf 7- Sisteminizdeki antivirüs yazılımını update yapın ve sisteminizi tekrar taratın http://wwwviruslistcom/en/viruses/encyclopedia?virusid=21780235 TrojanWin32StartPageau Diğer isimleri : TrojanWin32StartPageau (Kaspersky Lab) is also known as: StartPage-CH (McAfee), TrojanStartPage (Symantec), TrojanStartPage (Doctor Web), Trojan:Win32/StartPageAU (RAV), TROJ_STARTPAGEO (Trend Micro), TR/StartPageAU (H+BEDV), Win32:Trojan-gen (ALWIL), Startpage3BI (Grisoft), TrojanDropperRute (SOFTWIN), TrojanStartpage-162 (ClamAV), Trojan Horse (Panda), Win32/StartPageNAZ (Eset) Açıklama Tarihi: 2 Ekim 2007 Davranış: Trojan Teknik detayları: Bu trojan bilinçsiz kullanıcıların yada sistemlerine bulaşmış olan kullanıcıların Microsoft İnternet Explorer ayarlarını değiştirir Bir DLL dosyasıdır ve boyutu 5,120 byte’dır Kurulum: Bu trojanın etki ettiği makinada diğer trojanlar kurulumuna izin verir Etki ettiği anda sistemde şu dosyayı oluşturur %WinDir%\\hhhtt Ve trojanın sistem açılışında çalışması için aşağıdaki regedit kayıtlarını oluşturur [HKLM\\Software\\Microsoft\\Windows\\CurrentVersion \\Run]"Control" = "rundll32exe C:\\WINDOWS\\system32\\ctrlpandll,Restore ControlPanel" [HKLM\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Windows]"AppInit_DLLs" = "ctrlpandll" Trojan sistemde şu regedit kayıtlarını oluşturur [HKLM\\Software\\Microsoft\\Internet Explorer\\Styles] "Use My Stylesheet" = "1" "User Stylesheet" = "%WinDir%\\hhhtt" [HKCU\\Software\\Microsoft\\Internet Explorer\\Main] "Start Page" = http://aifindinfo/ "Search Page" = http://aifindinfo/ "Search Bar" = http://aifindinfo/ [HKCU\\Software\\Microsoft\\Internet Explorer] "SearchURL" = http://aifindinfo/ Kullanıcıların sık kullanılanlarına aşağıdaki dosyları ekler; !!! Exclusive Youngest Porn !!!url 80 old daddies brutally f**king their daughtersurl CENSORED YOUNGEST PORNurl Fresh XXX pics & movieurl f**king Young Virginz !!!url Innocent Girls Brutally f**kedurl Little Bitches Getting f**kedurl MSNcomurl Virgin Girls in Actionurl XX yo girls getting brutally f**ked by huge dickurl Young Masha sucking huge dick until her lips teared openurl Youngest Girls Onlyurl Youngest Hardcore Actionurl Host dosyasına aşağıdaki satırı ekler 20517712466 autosearchmsncom Temizleme: KAV antivirüs programını update edin, KAV virüsü silecektir Ama sisteminde KAV yada baka bir antivirüs olmayan kullanıcılar aşağıdaki işlemleri yaparak virüsü sistemlerinden silebilirler 1- Orijinal Trojan dosyasını silin ( sistemde bulunan orijinal dosyanın içine işlediği dosya) 2-Aşağıdaki regedit kaydını silin (regedite girmek için Başlat >> Çalıştır >> Regedit yazın enterlayın ve herhangi bir soruna karşı yedekleyin Bunun içinde Düzen menüsünden ver seçeneğini seçmeniz yeterli olacaktır) [HKLM\\Software\\Microsoft\\Windows\\CurrentVersion \\Run] "Control" = "rundll32exe C:\\WINDOWS\\system32\\ctrlpandll,Restore ControlPanel" 3- Aşağıdaki regedit kaydını değiştirin, [HKLM\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Windows] "AppInit_DLLs" = "ctrlpandll" Normalde olması gereken şu şekildedir "AppInit_DLLs" = " " 4- Ve aşağıdaki kayıtları eski haline çevirin; [HKLM\\Software\\Microsoft\\Internet Explorer\\Styles] "Use My Stylesheet" = "1" "User Stylesheet" = "%WinDir%\\hhhtt" [HKCU\\Software\\Microsoft\\Internet Explorer\\Main] "Start Page" = http://aifindinfo/ "Search Page" = http://aifindinfo/ "Search Bar" = "http://aifindinfo/" [HKCU\\Software\\Microsoft\\Internet Explorer] "SearchURL" = http://aifindinfo/ 5- Aşağıdaki dosyayı silin, %WinDir%\\hhhtt 6- Sık kullanılanlar’daki aşağıdaki dosyları silin, !!! Exclusive Youngest Porn !!!url 80 old daddies brutally f**king their daughtersurl CENSORED YOUNGEST PORNurl Fresh XXX pics & movieurl f**king Young Virginz !!!url Innocent Girls Brutally f**kedurl Little Bitches Getting f**kedurl MSNcomurl Virgin Girls in Actionurl XX yo girls getting brutally f**ked by huge dickur Young Masha sucking huge dick until her lips teared openurl Youngest Girls Onlyurl 7- Sistemdeki %System%\\drivers\\etc\\hosts dosyasını değiştirin Dosyanın orijinal şekli aşağıdaki gibidir Notepad ile dosyayı açtıktan sonra aşağıdaki şekilde değiştirip kaydetmeniz yeterlidir # Copyright (c) 1993-1999 Microsoft Corp # This is a sample HOSTS file used by Microsoft TCP/IP for Windows # This file contains the mappings of IP addresses to host names Each entry should be kept on an individual line #The IP address should be placed in the first column followed by the corresponding host name #The IP address and the host name should be separated by at least one space # # Additionally, comments (such as these) may be inserted on individual # lines or following the machine name denoted by a ’#’ symbol # For example: # # 102549497 rhinoacmecom # source server # 38256310 xacmecom # x client host 127001 localhost 8-Sisteminizdeki antivirüs yazılımını update yapın ve sisteminizi tekrar taratın http://wwwviruslistcom/en/viruses/encyclopedia?virusid=38205 Email-WormVBSSmalln Açıklama Tarihi: 2 Ekim 2007 Davranış: Trojan Teknik detayları: Bu worm, enfekte edilmiş mesajların atacment olarak internet üzerinden gönderilmesi ile yayılır Enfekte edilmiş mesajlar, virüsün etki ettiği makinedan e-mail adreslerine toplu olarak gönderilir Worm, 1 310 byte kapasitesindedir Ve Visual Basic Script dili ile yazılmıştır Sisteme kurulumu: Sisteme bulaştığı zaman, Windows açılış klasöründe aşağıdaki dosyayı oluşturur %WinDir%\\Troyanvbs Otomatik olarak sistem açılışında çalışması için kayıt defterinde aşağıdaki anahtarı oluşturur [HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion \\RunServices] "E-Mail" = "%WinDir%\\Troyanvbs" Worm, kendisini otomatik olarak adres defterine ekli olan tüm mail adreslerine gönderir Virüs birde uzak kötü niyetli kullanıcılara hedef makinaya bu worm’un bulaştığını bildirir Mesajlarına *pwl uzantılı bir dosya ekler Bu dosya kullanıcı parolalarını içerir Toplu olarak gönderilen mesajın içeriği aynen şöyledir Başlık Prinosim izveneniya Ve mesajda yazılanlar; Prinosim izvineniya za lichnoye bespokoistvo Prosim vas vyislat’ Vash login i parol’ (zhelatel’no bez lishnikh simvolov) na adres: support@inboxru dlya povtornoi identifikatsii Zaranee spasibo…" Mesajı gönderen kötü niyetli kullanıcının e mail adresine örnek olarak (*****Snake@inboxru) verebiliriz Gönderilen mesaja bir örnekte şu şekildedir Başlık Lam grokhnut!!! Mesaj içeriği Vot fail s parolyami <imya pol’zovatelya> Ve atachment dosyası adı <imya pol’zovatelya>,pwl Temizleme: KAV antivirüs programını update edin, KAV virüsü silecektir Ama sisteminde KAV yada baka bir antivirüs olmayan kullanıcılar aşağıdaki işlemleri yaparak virüsü sistemlerinden silebilirler 1- Orjinal trojan dosyasını silin, 2-Aşağıdaki regedit kaydını silin (regedite girmek için Başlat >> Çalıştır >> Regedit yazın enterlayın ve herhangi bir soruna karşı yedekleyin Bunun içinde Düzen menüsünden ver seçeneğini seçmeniz yeterli olacaktır) [HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion \\RunServices] "E-Mail" = "%WinDir%\\Troyanvbs" 3- Aşağıdaki worm dosyasını silin %WinDir%\\Troyanvbs 4- Sisteminizdeki antivirüs yazılımını update yapın ve sisteminizi tekrar taratın |
|