Konuyu görüntüle
IUCODERS FORUM > İşletim Sistemleri & Donanım & Network > Microsoft > Sality Virüsü Hakkında
Yazar
tommyknocker


avatar
Istanbul
Kayıt: 09.02.2006
23.06.2009-07:00 #61626
Arkadaşlar genellikle flash disk yolu ile bulaşan bu virüse dikkat etmenizi tavsiye ediyorum.Dün geceden beri uğraşıyoruz.Çözümü bulduk ama bu tüm harddisk lerin (Özellikle .exe lerin) silinmesine mal olacak maalesef.

Virüs okula sunum yapmak için gidip flash diski okulun bilgisayarına takmamızla oldu.Virüs(lerin) girdiğini farkettik ama sonra unuttuk aradan da zaman geçti.Bugün takma gafletinde bulunduk.Eh olan oldu.

Maalsef bu virüs bir boot sektör virüsü.Boot sektör virüsleri, çeşitli aracı yollarla kendini boot sektörüne kopyalar ve normalde orda bulunan komutlar yerine kendi komutlarını çalıştırıyor. Bunun sonucunda bilgisayarımız sürücüye ulaşırken aktifleşir ve virüs bilgisyarımızda aktif hale gelir.Yani virüsü silebilirsiniz.(Evet siliniyor laughing ), hatta format atıp kurtulacağınızı da zannedebilirsiniz.Ama öyle değil işte.Bu lanet virüs formattan sonra bile değişmeyen boot sektörü sayesinde kendini yeniden kopyalayıp aktif hale geliyor.Format ya da silmek çözüm değil.En azından tek başına değil.

Önce silceksiniz bir şekilde sonra Xp CD si ile kurtarma konsolunu açıp fixmbr komutu ile tüm disklerdeki mbr bölümleri orjinal hale gelecek.Sonra restart ama masaüstünü görmeden de formata girişilmesi gerekiyor.Ayrıca diskler ham hale getirilip tekrardan bölünmeli ve bana kalırsa hızlı format tercih edilmemeli.Tüm diskler bu şekilde formatlanmalı.

Bunları neden anlattım laughing Olur da bir gün bu lanet virüse yakalanan birileri olursa belki işine yarayabilir.Bir de zayıf da olsa belki farklı bir kurtuluş yolu gösteren olur umuduyla laughing


Unutmadan : Virüsü yazana acayip okkalı bir küfür savuruyorum.Ayrıca da umarım cehennemin en dibinde güzel bir süit ayarlanmıştır zat-ı alilerine.pumpkin





Those were the days guys...
Yazar
burakkanmaz


avatar
Gaziantep
Kayıt: 02.10.2006
23.06.2009-07:43 #61627
Virüsü yazana ettiğin küfürlerin yanında bende "helal olsun!" demek istiyorum biggrin Bizlerin bile çaresizce bakakaldığı bir virüs yazmış adam laughing Küfür + Tebrik etmek lazım love struckblushing





Yazar
fenerista


avatar
Istanbul
Kayıt: 27.11.2006
23.06.2009-10:04 #61628
Antor:
 


Benim gibi çaresiz kalmış olabilirsiniz...

Bilgisayarınıza birisi kahrolası bir flashdisk taktı ve...

Görev yöneticiniz çalışmıyor mu ?
Regedit e giremiyormusunuz ?
Ağ bağlantılarınızda Linux GDI gibi garip bir ağ mı eklendi ?
Mevcut fix ler çalışmıyor mu ?
(sil.bat efendim combofix, avg nin sality fix'i...)
Antivirüs açtığınız anda pc kilitleniyor mu ?
Güvenli kip'in hiçbirine giremiyor musunuz ?
Hatta ve hatta antivirüs sitelerinede mi girdirmiyor =)
Gizli dosya göstermemesini söylemeye gerek yok zaten...

Sality nin dünyasına hoş geldiniz yaklaşık 3-4 gündür bu lanet virüsden kurtulmaya çalışıyorum başına gelenlerinse harddiski değiştirdim kurtuldum dediklerini duydum. Ben bir çözüm getirebildim mi ? Sanırsam evet...

Ama anlatayım neler olduğunu.

1.) Virüs bulaştıktan sonra hemen aktive olmuyor kendine ait bir downloaderi var ve internetten çekiyor.

2.) Bir kere download ettikten sonra kendini bilgisayarınızdaki bütün .exe dosyalarına yazıyor. (C D E onun için alfabe farketmiyor her diske yazıyor)

Kurtulduğumda nasıl kurtulduğumu detaylı olarak anlatacağım ancak başından geçmiş olan birisi varsa lütfen bildiklerini paylaşsın.

Başladığım kurtulma metodu.
1.) Ubuntu live cd ile yedeklerimde ne kadar .exe .msi gibi çalıştırılabilir dosya varsa tamamını silmek. Bunun için media/disk gibi harddisklerinizin partitionlarına ulaşıp sonra

rm -i `find . -name "*.exe"`

komutuyla ne kadar exe varsa imha...

2.) C ye format ve driverlerin kurulumu yanlız bunları yaparken modem kapalı internetten kendini çekmesin diye.
3.) CTRL - ALT - DEL çekerek görev yöneticisinin varlığından emin olmak (parmaklar çapraz)
4.) Güvenli kipde bilgisayarımız halen açılırken sality ile alakalı ne kadar fix varsa çekip çalıştırmak (AVG,ComboFix,Sophos) (Modem açık) işiniz bitince geri kapatın
5.) Kaspersky trial i gene güvenli kipde download edip sonra modemi kapatıp normal windowsda install edin. Sonra gene güvenli kipde açıp aktivasyon ve güncellemeleri yapın...
6.) Kaspersky güncelledim modemi kapatıp normal windows a boot ettim. Full scan yaptı ve temiz. Modemi açtım internet bağlı anca virüsden şu anda bir aktivite yok.
7.) Relog attığımda konuyu güncellemiş olursam sality belasının video resim gibi yedeklerinizi mahvetmeden temizlenmesi böyle bir ritüele bağlanabilir.

Birazdan temizlemek için güvenli kipdeyken kullandığım fixlerin orjinal linklerini ve kendi uploadımın linklerini vereceğim. Malum virüs bulaştıktan sonra fixlerin adreslerine girilemeyebiliyor.

Sophos
http://www.sophos.com/tools/sav32sfx.exe

Bu fix dosyasını çalıştırmak için güvenli kip komut istemine girebiliyor olmanız lazım. Bu dosya self-extractor C: sürücünüze açın ve güvenli ms-dos kipindeyken klasörüne gidip
sav32cli -remove parametresi vererek exe sini çalıştırın.

AVG
http://free.avg.com/virus-removal.ndi-67769

Bu fix dosyası 3 parçadan oluşuyor. Tek tek indirip güvenli windows kipindeyken (tavsiyem cmd ile bir terminal açarak) c: d: e: gibi disk parametreleri vererek çalıştırın.

Combo Fix
http://download.bleepingcomputer.com/sUBs/ComboFix.exe

Unutmayın dikkat etmeniz gereken en önemli noktalar
1.) Temizlemeden önce internete saadece linux veya güvenli kipdeyken girin
2.) Normal windows açılmadan önce mutlaka modemi kapatmış olduğunuzdan emin olun

Daha da önemlisi
Benim kadar şanslı değilseniz ve artık harddiski çöpe atacam kıvamına geldiyseniz şu anlatacağım en garanti yöntem olacaktır.
Bir Win98 CD si edinin. Fdisk, FixMBR, Fdisk /fixmbr ve format C: D: Allah ne verdiyse...


________________________________________________________________________________




axu067:
 

Bu virüsle tam 13 gece sabahladım çözüme ulaşmak için o yüzden artık bunun piri oldum.. Şimdi bu virüs için benim yapmış olduklarımı tek tek yazacağım size..
1)ilk başta kill amvoyu kullanarak gizli doysaları görererk virüsü silmeyi denedim nafile...
2:Sonra yukarda vermiş olduğum ilk linkteki dosyayı kullanarak virüsü silmeyi denememe bi nebze olsun fayda etsiysede nafile..
3)Ondan sonra Avira AntiVir Rescue System CD/DVD Kullanarak boottan virüs taraması yaparak virüsü silmeyi denedim bu biraz işe yaradı sonra yine hortaladı nedeni ise bunu yaparken sistem geri yükleme her ne kadar kapalı olmasına rağmen nasıl oluyorsa oluyo yine sanki sistem geri yükleme açıkmış gibi boottan tarama yaparken yine sistem geri yüklemenin içinde virüs buluyo ve sonuç yine nafile..
4)Daha sonra bunu kaspeksy le denemeye çalıştım yani kaspeksy Rescue CD/DVD boot System i kullanmayı denedim nafile..
5)Ha bu arada normal olarak bunu silmek için kullandığım antileri yazmadım eset nod32 en son sürüm full güncellemeli nafile..kasperky internet 2009 en son sürüm full güncellemeli nafile...avira anitivir en son sürüm full güncellemeli nafile...avast 6.4 mü ne en son sürüm full güncellemeli nafile...fprot en son sürüm full güncellemeli nafile..10 larca kullandığım syp wae yok hackthis bilmem ne bunları saymıyorum yani daha..kill sality yok win32delete sality yok drweb bilmem ne yani..(not:güvenik kip ve internet bağlantısı keserek yapıldı hepsi..)
6)Sonra dedimki ''ben seni silecem arkadaşım hemde kesin silecem isterse bütün dosyalarımı silme pahasına da olsa seni silecem ve ne mi yaptım..80 gb hardiskteki bütün dosyaları sildim.bütün diskleri biçimledim sıfırdan format attım bütün disklerin kökü kazındı sıfır xp kurdum..bilgisayarı açtım ee tabi normal olarak exe kuracaksınız bilgisayar exeyi görünce ne mi oluyo biraz bekliyo donuyo yani sonra siz sanıyorsunuz ki herşey düzeldi o donma aslında herşeyin yeniden başlangıcı.Ki zaten exe olan bi klasöre tıkladığınız da donmada yaptıysa hooppppp geçmiş olsun herşey baştan..Exe yi tarıyorsunuz sorun yok virüs ama donma var exe görünce bilgisayar gene kafayı yiyo simgesine bakıyorsunuz bişe yok yani simge sağlam.... mı acaba derler adama..exe olan bi klasörü ara diyin yani araya basın exenin adını yazmanıza gerek bile yok sadece ara diyim exe bembeyazz..Normalde aramada da simgeli çıkması gerekirken bütün exeler bembeyazz
7)Dedim ya işte sonra bi tek çözüm kalıyo..hardisk i mi değişmek??hayır..uzun gecelemelerin sonunda bunun bi mbr virüsü olduğunu anladım artık..Adım gibi biliyodum ve yapılması gerekenleri yapmaya başladım hemen heyecanla..Tekrar bütün diskleri sildim biçimledim sonra mbr virüsünü silmek için bilgisayara xp cdsini takıp R düzenleme konsolundan bootu sildim.. Zaten işlem fixmbr bi yazdım hemen bota kaymış dedi..yani izinsiz çalışan angil dingil var dedi..neyse bootu sildim sonra bilgisayar açıldı ama hata burda işte.Bakın botu sildikten sonra sakın ama sakın bilgisayar masa üstünü görmesin..Neden diyeceksiniz eğer bootu sildikten sonra masa üstünü görürseniz yine system volumenin içindeki ki zaten bu yukarda da anlattığım gibi ne hikmetse sistem geri yükleme kapalı olmasına rağmen çıkan bu virüs gene geliyo.Zaten boot komple temizledikten sonra gene format atmanız gerekir çünkü disklerdeki virüs hemen damlıyor boota.
8)Bakın arkadaşlar isterseniz bin kere silin bin kere format atın bin kere yedeklediğiniz doysalar her format kurulumdan sonra yine diskinize atın..Daha da iç karatıcısını söylim..Yedeklemeyi bırakın herşeyi sıfırdan koyun dosya exe resim gibi yine bulaşır bu virüs..Mbr virüsü ama bunda işlem biraz farklı hemen anlatıyorum şimdi iyi dinleyin...
9)Sonuç çözüm kurtulduk mu kurtulacak mıyız artık adına ne derseni diyin..
1.. İlk başta bilgisayar açıkken c hariç bütün disklerinizi silin..
2....Diskleri biçimlendirin
3.Ağ bağı çıkarın..
4..Biosa girin ve cdyi cdden boot edecek duruma getirin
5..xp cdsini takın ve R YE basarak kurtarma konsolunu açın
6..oraya önce 1 yazın sonra şifre isterse adminstör şifrenizi yazın
7..Çıkan komuta fixmbr yazın entere basın
8.EXİT YAZIN ÇIKIN
9İşte can alıcı nokta burası şimdi standart mbr virüsü silme işlemi bu.. Ama sakın nasıl olsa boot yenilendi diyerek tekrar içinde bulunan xpyi kullanmayın ne kadar da diskleri silseniz bile..Eğer kullanırsanız herşey boşa gider.ONUN İÇİN EXİT YAZIP TEKRAR RESET ATTIĞI ANDA hemen masa üsütüne gelmeden xp kurulumuna geçin..KuRULUM aşamasında bütün bölümleri D ye ve sonra L ye basarak silin ve tekrar oluşturun..BU virüs öyle sistem geri yüklemeyle gitmez arkadaşım..Ve bu işlemlerden sonra bilgisiyarınızı takır takır kullanın..Ayrıca veri yedekleyediysenizde onları yüklemeyin..benden demesi saygılar..Ha ayrıca bunları yaptıktan sonrada acronisle yedekleyin bütün disklerinizi boş bile olsa yedekleyin sonra uğraşmazsınız..Win32 Sality ve FORMAT bana göre öldü..artık sizi bilemem



alıntı..


http://forum.donanimhaber.com/m_31065416/tm.htm

Bu virüsler genelde xp ye işler. Windowsa 7'ye terfi edin beta falan değil vistadan daha uyumlubiggrin





Oktay,
Thk you!





Del.icio.us
Digg
Facebook
Furl
Google
Blink
Simpy
Spurl
Y! MyWeb