CTRL+ALT+DELETE yaptığınızda aşağıdakilerden birini işlemler sekmesinde görüyorsanız, geçmiş olsun bilgisayarınıza yeni nesil virüslerden biri olan Kryptik.abx bulaşmıştır… internetuzmani.com farkı ile yazımın sonunda tüm basamakları yerine getirirseniz virüsten tamamen kurtulmuş olacaksınız.
lizkavd.exe
antivurus pro 2010
seres.exe
restorer64_a.exe
Kryptik.ABX bu sıralar yayılmaya başlayan ve tehlike seviyesi çok yüksek bir truva atıdır.Tehlike seviyesinin yüksek olmasının en büyük sebebi henüz mevcut AV uygulamalarının bu truva atının davranışları ile ilgili bir bilgiye sahip olmamaları.Ancak bu durumda dahi AV uygulaması sizi korumaya devam edecektir, korkmanız için bir sebep yok.
alertvirusSistem Geri Yüklemeyi denemeyin bile, çünkü virüs yazarı bunada önlem almış.. :)
Virüsün yayılmada kullanılan kaynak dosyaları; (Kontrol edin ve shift+delete yaparak siliniz.)
C:\Documents and Settings\Kullanıcı Adı\Application Data\seres.exe
C:\Documents and Settings\Kullanıcı Adı\Application Data\svcst.exe
Ayrıca kontrol etmeniz gereken diğer dosya ise :
C:\Windows\System32\Regedit_32.exe
Eğer NOD32,AVG,Antivir,Kaspersky,Panda,Norton,PcClean gibi bir AntiVirüs uygulamasına sahipseniz ve size kryptik truva atı ile ilgili karantina uyarısı veriyorsa o zaman şu adımları takip ederek bu uyarıyı vermesini engelleyebilirsiniz.
- Başlat -> Çalıştır ->Msconfig ve Entere basın.
- Eğer varsa yukarıda yazmış olduğum dosya isimlerinin yanında ki çentiği kaldırın.
- CTRL + ALT + DELETE yaparak görev yöneticisini açın.Yine yukarda ki dosya isimlerinin görev yöneticisinde aktif olup olmadığını kontrol edin ve varsa görevi sonlandırın.
- Bulundukları klasörlerin içerisine girerek bu dosyaları silin.(Bu adıma dikkat edin,kesinlikle silmeyi unutmayın.ilerdede hatırlatacağım.internetuzmani.com farkı ile…!!!)
Dosyaların gizli olma ihtimaline karşı gizli dosyaları sistem dosyalarını da gösterme seçeneği ile birlikte aktif edin.Ayrıca aşağıda ki registry kayıtlarını da kontrol edin.
Eğer sisteminzide AV uygulaması yoksa mutlaka geçici sürüm dahi olsa indirin kurun ve tarama işlemi yapın.Pek çok kullanıcı sisteminde kullandığı AV güncel olmadığı için bu tür virüslerden haberdar değil.Fakat bu virüs sisteminizde AV uygulaması yokken bulunuyorsa siz AV uygulaması kursanız dahi kendini yeniden yüklemeye devam edecektir.Bu durumda yapmanız gereken işlemler sırasıyla şöyle :
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Associations anahtarını kaldırın.
- HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Download içerisinde mevcut olan : RunInvalidSignatures = 0×00000001 değerini 0×00000000 olarak değiştirin ve Yeni -> Dize Değeri diyerek ” CheckExeSignatures “ adında bir anahtar oluşturup değerini ” Yes ” yapın.Truva atının yaptığı bu değişiklik imzasız exe dosyalarının sorgusuz indirilip çalıştırılabilmesi amaçlıdır.
- HKEY_CURRENT_USER\Software\Microsoft\Security Center içerisinde ki şu ayarlar bulun ve anahtar değelerini kaldırın.(Xp olan bilgisayarların bazılarında olmayabilir.(Bende bu kayıtlar yoktu şahsen.Ama emin olmak için Düzen-Bul deyip aşağıdaki değerler başlıklarını aratabilirsiniz.internetuzmani.com farkı)
* AntiVirusDisableNotify = 0×00000001
* FirewallDisableNotify = 0×00000001
* UpdatesDisableNotify = 0×00000001
Bu anahtar değerleri güvenlik duvarı kapatıldığında ve AV uygulaması iptal edildiğinde verilecek uyarıları engeller.
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Associations içerisine eklenmiş bulunun şu anahtar değerlerini kaldırın :
* LowRiskFileTypes = “zip;.rar;.cab;.txt;.exe;.reg;.msi;.htm;.html;.gif;.bmp;.jpg;.avi;.mov;.mp3;.wav”
* SaveZoneInformation = 0×00000001
Bu anahtar değerleri ise birazdan bahsedeceğim indirmeleri sorgusuz çalıştırmak amaçlı eklenmektedir.
- Bu truva atının son hamlesi ise HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run içerisine yukarıda bahsettiğim dosyaları kaydetmek.Bu sebepten ötürü bulundukları klasörlerden silin.
* mserv = “%AppData%\seres.exe”
* svchost = “%AppData%\svcst.exe”
Gördüğünüz gibi bu trojan horse (virus) kayıt defterinin bildik yollarını kullanmıyor.Fakat öyle ilginç noktalardan enjeksiyon yapılıyor ki zaten bu truva atının seviyesini arttıran en önemli sebeplerden bir tanesi de bu.Bu kadar kayıt defteri girdisi yapılmasının en önemli nedeni ise truva atı bilgisayardan silinsede yapmış olduğu entrikalar sayesinde bazı sitelerden otomatik olarak indirilebilmesi ve sorgusuz sualsiz çalıştırılabilmesi.Bu sitelerin bir kaç tanesi ise şöyle :
http:// ulioperdanogad.com/
http:// paferbasedos.com/
Buradan siz fark etmede inen dosya yine size fark ettirmeden çalıştırılıyor.Aslında AV uygulamasına sahip olupta kryptik ile ilgili uyarı alanların uyarıyı almalarının da sebebi bu.Tek fark virüs AV uygulaması karantinaya aldığı için aktif olamıyor.
Bu virüsün bulaşma şekli “ Antivirüs Pro 2010 ” ya da ” Antispyware 2010 ” sahte AV uygulamalarının kurulmasıdır.
IU Admin’den Ek olarak: Malwarebytes’ Anti Malware ve Spy Hunter 3 Security Suite programlarını da kurarak diger spy&trojan horse’ lere karşı sisteminizi taratmanızı öneririm.
