Fun2win-tr.com virüsü - Chrome Flash Player

'Güvenlik' bölümünde Recep Baltaş tarafından 29 Nisan 2013 tarihinde başlatılan konu.

  1.  
    Recep Baltaş
    Çevrimdışı

    Recep Baltaş Technopat Yönetici

    Katılım:
    14 Ağustos 2010
    Mesajlar:
    29.549
    Beğenileri:
    13.299
    Yer:
    İstanbul
    Dün forumdaki bir arkadaşımızın Chrome'a bulaşan virüsünü temizleyip burada rehberini yazmıştım. Söz konusu virüsü paketledim (açsanız da zarar vermiyor merak etmeyin) ve bilgisayarıma kopyaladım.

    Şimdi bu virüs nasıl bulaşıyor ona bir bakalım.

    İlk olarak virüs Kayıt Defterinde şu adreste duruyor:

    Kod:
    Windows Registry Editor Version 5.00
    
    
    [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Google\Chrome\ExtensionInstallForcelist]
    "1"="hklciglieepfckpgldcgekjahkmojooi;C:\\ProgramData\\ChromeUpdate\\update.xml"
    
    
    
    Görmüş olduğunuz üzere C:\ProgramData\ChromeUpdate\update.xml" adındaki bir dosyayı çağırıyor. Bu dosyanın içeriğine bakalım:

    Kod:
    <?xml version="1.0" encoding="UTF-8"?>
    <gupdate xmlns="http://www.google.com/update2/response" protocol="2.0">
    	<app appid="hklciglieepfckpgldcgekjahkmojooi">
    		<updatecheck codebase="C:\ProgramData\ChromeUpdate\chrome.crx" version="1.0"/>
    	</app>
    </gupdate>
    
    Dosyanın içine baktığımızda virüsün tam konumunu görüyoruz: C:\ProgramData\ChromeUpdate\chrome.crx

    Dosyayı bulup VirusTotal'e upload ettim ve şu anda sadece Kaspersky tanıyabiliyor:

    https://www.virustotal.com/tr/file/...d6a1d9007d3db2d4d5033e1e3930b314a0c/analysis/

    Bunlar da virüsün diğer bileşeni:

    https://www.virustotal.com/tr/file/...e34be82d7483f5adf6b26350/analysis/1367235756/
  2.  
    tsoydas
    Çevrimdışı

    tsoydas Yoctopat

    Katılım:
    28 Mayıs 2013
    Mesajlar:
    4
    Beğenileri:
    0
    Yer:
    gümüşhane
    Aynı sorunu son 3-4 gündür bende yaşıyorum forumda vermiş olduğunuz bilgileri uyguladım fakat C:\ProgramData\ChromeUpdate\chrome.crx dosya benim bilgisayarımda yer almıyor.
    burada yer alan rehberi uygulamadan önce chorome kaldırıp yeniden kurmuştum ama netice alamamıştım acaba neden bu dosya bende yoktur. farklı olarak ne yapabilirim.

    Teşekkürler.
  3.  
    Murat5038
    Çevrimdışı

    Murat5038 Yönetici Yönetici

    Katılım:
    1 Mayıs 2013
    Mesajlar:
    6.853
    Beğenileri:
    1.583
    Yer:
    Sakarya
    İmzamdaki Sistem tarama aracını İndirip, Tarama yapın tarama Bittiğinde İnternet explorer'da bir sayfa açacak. O sayfada bir link verecek o linki burada paylaşın.
    1 kişi bunu beğendi.
  4.  
    tsoydas
    Çevrimdışı

    tsoydas Yoctopat

    Katılım:
    28 Mayıs 2013
    Mesajlar:
    4
    Beğenileri:
    0
    Yer:
    gümüşhane
    Merhaba,
    belirtmiş olduğunuz proğramı indirip taratttım ve çıkan link: GetSystemInfo Parser 2.96
    Ayrıca yine imzanızda bulunan kaspersky IS ındırıp onlarada taratma yaptım bulduğu dosyayı sildim.
    Şimdi bu virusten tamamen kurtulmuş oldun mu? Bilgilerinizi rica ederim.
  5.  
    Murat5038
    Çevrimdışı

    Murat5038 Yönetici Yönetici

    Katılım:
    1 Mayıs 2013
    Mesajlar:
    6.853
    Beğenileri:
    1.583
    Yer:
    Sakarya
    Eğer Sayfa çıkmıyor ise kurtulmuşsunuz demektir :) Onu sonra önerecektim yanlız iyi olmuş taratmanız.
    RAporu inceliyorum az sonra sonucu bildiririm.
    Eğer Kaspersk IS taratıp sildikten sonra raporu oluşturdu iseniz Burada belirtin.
  6.  
    tsoydas
    Çevrimdışı

    tsoydas Yoctopat

    Katılım:
    28 Mayıs 2013
    Mesajlar:
    4
    Beğenileri:
    0
    Yer:
    gümüşhane
    Evet önce kaspersky ile taratıp akabinde raporu oluşturdum. Rapor sonucunu sizden bekliyorum.
    ilginize teşekkür ederim.
  7.  
    Murat5038
    Çevrimdışı

    Murat5038 Yönetici Yönetici

    Katılım:
    1 Mayıs 2013
    Mesajlar:
    6.853
    Beğenileri:
    1.583
    Yer:
    Sakarya
    Herhangi bir anasayfa değimi görünmüyor yanlız Rootkit Bulaşmış ve kaspersky Kaldırmış gözüküyor :)
    Yanlız Klasörü bırakmış her ihtimale karşı, Altta yazacağım yerdeki klasörü silin.
    c:\programdata\microsoft\search\data\temp\ Bu bölümde usgthrsvc Bu klasörü silin.

    Bundan Başka Herşey temiz ve doğru gözüküyor. Windows Dosyaların sağlam Sadece Ağ ile ilgili bir sorun yaşıyorsunuz gözüküyor, ağ ve bluetooth driverlerini doğru ve yeniden yükleyin.

    Eğer Anasayfanız değişmiş veya sorununuz Geçmedi ise Teamwiever ile bağlantı kurayım id pass gönderin bir kontrol edeyim.
  8.  
    tsoydas
    Çevrimdışı

    tsoydas Yoctopat

    Katılım:
    28 Mayıs 2013
    Mesajlar:
    4
    Beğenileri:
    0
    Yer:
    gümüşhane
    Kontrolleriniz için teşekkür ederim. Şuanda bir sorun gözükmüyor eğerki sorun olursa yeniden size buradan yazarak TW üzerinden bağlantı kurarak yardımınızı rica edeceğim.
    Yukarıda belirtmiş olduğunuz klasörü sildim. Ağ ve bluetooth için gerekli güncellemeleri yapıyorum.
    Vakit ayırdığınız için yeniden teşekkür ederim.
  9.  
    Murat5038
    Çevrimdışı

    Murat5038 Yönetici Yönetici

    Katılım:
    1 Mayıs 2013
    Mesajlar:
    6.853
    Beğenileri:
    1.583
    Yer:
    Sakarya
    Rica Ederim Kolay gelsin.
    1 kişi bunu beğendi.

Sayfayı Paylaş