Fun2win-tr.com virüsü - Chrome Flash Player

'Güvenlik' bölümünde Recep Baltaş tarafından 29 Nisan 2013 tarihinde başlatılan konu.

Yüklüyor...
  1.  
    Recep Baltaş

    Recep Baltaş Technopat Yönetici

    Katılım:
    14 Ağustos 2010
    Mesajlar:
    31.649
    Beğenileri:
    15.711
    Yer:
    İstanbul
    Dün forumdaki bir arkadaşımızın Chrome'a bulaşan virüsünü temizleyip rehberini yazmıştım. Söz konusu virüsü paketledim (açsanız da zarar vermiyor merak etmeyin) ve bilgisayarıma kopyaladım.

    Şimdi bu virüs nasıl bulaşıyor ona bir bakalım.

    İlk olarak virüs Kayıt Defterinde şu adreste duruyor:

    Kod:
    Windows Registry Editor Version 5.00
    
    
    [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Google\Chrome\ExtensionInstallForcelist]
    "1"="hklciglieepfckpgldcgekjahkmojooi;C:\\ProgramData\\ChromeUpdate\\update.xml"
    
    
    
    Görmüş olduğunuz üzere C:\ProgramData\ChromeUpdate\update.xml" adındaki bir dosyayı çağırıyor. Bu dosyanın içeriğine bakalım:

    Kod:
    <?xml version="1.0" encoding="UTF-8"?>
    <gupdate xmlns="http://www.google.com/update2/response" protocol="2.0">
    	<app appid="hklciglieepfckpgldcgekjahkmojooi">
    		<updatecheck codebase="C:\ProgramData\ChromeUpdate\chrome.crx" version="1.0"/>
    	</app>
    </gupdate>
    
    Dosyanın içine baktığımızda virüsün tam konumunu görüyoruz: C:\ProgramData\ChromeUpdate\chrome.crx

    Dosyayı bulup VirusTotal'e upload ettim ve şu anda sadece Kaspersky tanıyabiliyor:



    Bunlar da virüsün diğer bileşeni:

     
  2.  
    tsoydas

    tsoydas Yoctopat

    Katılım:
    28 Mayıs 2013
    Mesajlar:
    4
    Beğenileri:
    0
    Yer:
    gümüşhane
    Aynı sorunu son 3-4 gündür bende yaşıyorum forumda vermiş olduğunuz bilgileri uyguladım fakat C:\ProgramData\ChromeUpdate\chrome.crx dosya benim bilgisayarımda yer almıyor.
    burada yer alan rehberi uygulamadan önce chorome kaldırıp yeniden kurmuştum ama netice alamamıştım acaba neden bu dosya bende yoktur. farklı olarak ne yapabilirim.

    Teşekkürler.
     
  3.  
    Murat5038

    Murat5038 Researcher Yönetici

    Katılım:
    1 Mayıs 2013
    Mesajlar:
    8.262
    Beğenileri:
    2.124
    Yer:
    Sakarya
    İmzamdaki Sistem tarama aracını İndirip, Tarama yapın tarama Bittiğinde İnternet explorer'da bir sayfa açacak. O sayfada bir link verecek o linki burada paylaşın.
     
    1 kişi bunu beğendi.
  4.  
    tsoydas

    tsoydas Yoctopat

    Katılım:
    28 Mayıs 2013
    Mesajlar:
    4
    Beğenileri:
    0
    Yer:
    gümüşhane
    Merhaba,
    belirtmiş olduğunuz proğramı indirip taratttım ve çıkan link:
    Ayrıca yine imzanızda bulunan kaspersky IS ındırıp onlarada taratma yaptım bulduğu dosyayı sildim.
    Şimdi bu virusten tamamen kurtulmuş oldun mu? Bilgilerinizi rica ederim.
     
  5.  
    Murat5038

    Murat5038 Researcher Yönetici

    Katılım:
    1 Mayıs 2013
    Mesajlar:
    8.262
    Beğenileri:
    2.124
    Yer:
    Sakarya
    Eğer Sayfa çıkmıyor ise kurtulmuşsunuz demektir :) Onu sonra önerecektim yanlız iyi olmuş taratmanız.
    RAporu inceliyorum az sonra sonucu bildiririm.
    Eğer Kaspersk IS taratıp sildikten sonra raporu oluşturdu iseniz Burada belirtin.
     
  6.  
    tsoydas

    tsoydas Yoctopat

    Katılım:
    28 Mayıs 2013
    Mesajlar:
    4
    Beğenileri:
    0
    Yer:
    gümüşhane
    Evet önce kaspersky ile taratıp akabinde raporu oluşturdum. Rapor sonucunu sizden bekliyorum.
    ilginize teşekkür ederim.
     
  7.  
    Murat5038

    Murat5038 Researcher Yönetici

    Katılım:
    1 Mayıs 2013
    Mesajlar:
    8.262
    Beğenileri:
    2.124
    Yer:
    Sakarya
    Herhangi bir anasayfa değimi görünmüyor yanlız Rootkit Bulaşmış ve kaspersky Kaldırmış gözüküyor :)
    Yanlız Klasörü bırakmış her ihtimale karşı, Altta yazacağım yerdeki klasörü silin.
    c:\programdata\microsoft\search\data\temp\ Bu bölümde usgthrsvc Bu klasörü silin.

    Bundan Başka Herşey temiz ve doğru gözüküyor. Windows Dosyaların sağlam Sadece Ağ ile ilgili bir sorun yaşıyorsunuz gözüküyor, ağ ve bluetooth driverlerini doğru ve yeniden yükleyin.

    Eğer Anasayfanız değişmiş veya sorununuz Geçmedi ise Teamwiever ile bağlantı kurayım id pass gönderin bir kontrol edeyim.
     
  8.  
    tsoydas

    tsoydas Yoctopat

    Katılım:
    28 Mayıs 2013
    Mesajlar:
    4
    Beğenileri:
    0
    Yer:
    gümüşhane
    Kontrolleriniz için teşekkür ederim. Şuanda bir sorun gözükmüyor eğerki sorun olursa yeniden size buradan yazarak TW üzerinden bağlantı kurarak yardımınızı rica edeceğim.
    Yukarıda belirtmiş olduğunuz klasörü sildim. Ağ ve bluetooth için gerekli güncellemeleri yapıyorum.
    Vakit ayırdığınız için yeniden teşekkür ederim.
     
  9.  
    Murat5038

    Murat5038 Researcher Yönetici

    Katılım:
    1 Mayıs 2013
    Mesajlar:
    8.262
    Beğenileri:
    2.124
    Yer:
    Sakarya
    Rica Ederim Kolay gelsin.
     
    1 kişi bunu beğendi.

Sayfayı Paylaş