Olympos Security

Merhabalar herkese.

Sistemime bulaşan truva silinemiyor , ve explorerda spy & antispy türü birşey arattığımda otomatik sayfa kananıyor...

tavsiye edebileceğiniz spybot varsa direct download link ile yardım edebilirsiniz..

ismi spybot olan bu virüsten antispy değil antivirüs programı kurtarabilir. Mutlaka sürekli güncellenen bir antivirüs ve antispyware programı sisteminde kurulu olsun. Eğer manuel olarak temizlemen gerekiyorsa işine yarayacak bazı bilgiler:
Virüsün dosya sisteminde yarattığı dosyalar:
%Temp%\WERe4e5.dir00\appcompat.txt
%Temp%\WERe4e5.dir00\manifest.txt
%Temp%\WERe4e5.dir00\winmwta.exe.hdmp
%Temp%\WERe4e5.dir00\winmwta.exe.mdmp
%System%\dllcache\winmwta.exe
%System%\drivers\oreans32.sys

yaratılan klasör:
%Temp%\WERe4e5.dir00

yaratılan registry kayıtları:
* HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_MICROSOFT_WINDOWS_TCP_ANALYSIS
* HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_MICROSOFT_WINDOWS_TCP_ANALYSIS\0000
* HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_MICROSOFT_WINDOWS_TCP_ANALYSIS\0000\Control
* HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_OREANS32
* HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_OREANS32\0000
* HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_OREANS32\0000\Control
* HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Microsoft Windows TCP Analysis
* HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Microsoft Windows TCP Analysis\Security
* HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Microsoft Windows TCP Analysis\Enum
* HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\oreans32
* HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\oreans32\Security
* HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\oreans32\Enum
* HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MICROSOFT_WINDOWS_TCP_ANALYSIS
* HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MICROSOFT_WINDOWS_TCP_ANALYSIS\0000
* HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MICROSOFT_WINDOWS_TCP_ANALYSIS\0000\Control
* HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_OREANS32
* HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_OREANS32\0000
* HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_OREANS32\0000\Control
* HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Microsoft Windows TCP Analysis
* HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Microsoft Windows TCP Analysis\Security
* HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Microsoft Windows TCP Analysis\Enum
* HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\oreans32
* HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\oreans32\Security
* HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\oreans32\Enum

Makinada 1035, 11125 ve 13672 TCP portlarını açıyor ve dinliyor.

dark.sohbetle.com irc sunucusuna (port 1111) bağlanıyor. ##fbx odasına girip ddos saldırısı için komut bekliyor.

Aşağıdaki işlemleri sonlandırabiliyor:
agentsvr.exe
cmd.exe
drwatson.exe
ent.exe
explore.exe
gmt.exe
init.exe
msconfig.exe
msinfo32.exe
netstat.exe
nt.exe
ntvdm.exe
nui.exe
ray.exe
regedit.exe
regedt32.exe
sc.exe
sd.exe
sfc.exe
sh.exe
start.exe
svc.exe
sysedit.exe
taskmgr.exe
tc.exe
tracert.exe
update.exe

aynen söylediğin şekilde irc ye bağlanmaya çalıştı ..

ama şu var eklemeliyim ki ;

her hangi bir güvenlik proğramı kurmaya çalıştığımda işlem başarısız oluyor , yani hiçbir şekilde silemedim...

kayıt defterinden silmeme rağmen hala çalışıyordu..

Formatla hallettim sorunu , teşekkürler..

Gtbot'lar genellikle irc üzerinde yayılan ve kendilerini genellikle bir irc tabanı üzerinden yada reklamları üzerinden yayarlar. Genellikle " bu videoyu izlemek için indirin " tarzı olan ve otomatik olarak sizin ip adresinizi alarak backdoor dediğimiz haberiniz olmadan irc'ye girersiniz. Bu işin basit bir açıklaması. Ayrıca bu yöntemle irc'ye girmeseniz dahi bu trojanlar sizin bilgilerinizi çalacak kadarda hain ve terbiyesizler :) Manuel olarak temizlemek zor gerçekten. Çünki sizi çok uğraştırabiliyor. Hatta svchost.exe , service.exe gibi yerlere bulaşınca daha da çileden çıkartabiliyor. Hiç bir antivirus yada antispyware veya spycleaner temizlemez. Çünki bunlar kişisel tehdit içeriklidir. Global bir tehdit değildir. Buda antivirus şirketlerinin databaseni şişirmemek için genellikle gözden kaçar. Dünyada milyonlarca böyle basit 3-5 kodla yazılabilir trojanlardır. Tek yapmanız gereken güvenli irc alanları seçin , eğer mIRC sizin bağlandığınızdan farklı bir yere bağlanıyorsa bundan şüphe duyun ve mIRC'inizi açmayın. Undernet olarak bu konuda her zaman yardım veriyoruz. Her türlü virus - trojan - rootkit vb. tehlikeli yazılımları code copy paste yöntemi ile temizlemek mümkün. Ayrıca pc'inize girmeden sadece uzaktan komut çalıştırma yöntemleriyle yapılabiliniyor.Format atmaya gerek kalmıyor. Mümkün olduğunca irc reklamlarına tıklamayın. Güvensiz yerlerden script yada mirc indirmeyin. Mirc'in zaten legal adresi var...
www.mirc.com dan rahatlıkla indirebilirsiniz. Bunlar sizler için faydalı olacaktır. Saygılarımla

Bilgisayarınızda SQL 2000 yüklü ise SA kullanıcına güçlü bir şifre verin. Bu virüs 1433 numarılı SQL portunu kullanarak sisteme giriş yapıyor. Ayrıca modemden bu portun yönlendirmesini kaldırın ve virüs tarayıcınızı güncelleyerek tam tarama yapın. Başka kurtuluş yolu yok. Bazı dosya ve register kayıtlarını elle silmeniz gerekebilir. Virüs tarayıcılar bu virüsü tam olarak tanımamaktadırlar. En etkilisi Symantec EndPoint Protection kullanmak.

Eğer SQL 2005 kullanıyorsanız ve SA şifresi varsa, sistem loglarına baktığınızda Türkiyedeki bir İP adresinden SA kullanıcısıyla sisteme giriş yapılmaya çalışıldığını görebilirsiniz. SQL 2000 ise böyle bir kayıt tutmamaktadır.