Silinmeyen virüs nasıl silinir?

SukruGokk

Centipat
Katılım
1 Haziran 2022
Mesajlar
8
Daha fazla  
Cinsiyet
Erkek
Bilgisayarda son günlerde ciddi bir performans düşüşü vardı. Panda ve Windows Defender'da sorun yok gözüküyordu. Malwarebytes ile tarama yaptım 33 tane tehdit bulundu. Hepsini sildim bilgisayarı yeniden başlattım tarama yaptım bir baktım hala Hijack.AutoConfigURL.PrxySvrRST isimli 5 tane malware olarak algılanan registry Value ve 1 tane de aynı adda registery key var. Tekrar tekrar tarama yapıp siliyorum ama bilgisayarı yeniden başlatıp tarama yaptığımda silinmemiş gibi duruyorlar. Tek çözüm format atmak mı ?

Çıktı da bu:

Malwarebytes
www.malwarebytes.com

-Log Details-
Scan Date: 8/16/22
Scan Time: 3:50 PM
Log File: 01bcc1bc-1d62-11ed-b55c-0897988c8a46.json

-Software Information-
Version: 4.5.13.208
Components Version: 1.0.1740
Update Package Version: 1.0.58711
License: Trial

-System Information-
OS: Windows 11 (Build 22000.856)
CPU: x64
File System: NTFS
User: LAPTOP-KE7LOACT\sukru

-Scan Summary-
Scan Type: Threat Scan
Scan Initiated By: Manual
Result: Completed
Objects Scanned: 362203
Threats Detected: 6
Threats Quarantined: 0
Time Elapsed: 1 min, 31 sec

-Scan Options-
Memory: Enabled
Startup: Enabled
Filesystem: Enabled
Archives: Enabled
Rootkits: Disabled
Heuristics: Enabled
PUP: Detect
PUM: Detect

-Scan Details-
Process: 0
(No malicious items detected)

Module: 0
(No malicious items detected)

Registry Key: 1
Hijack.AutoConfigURL.PrxySvrRST, HKLM\SYSTEM\CURRENTCONTROLSET\SERVICES\NLASVC\PARAMETERS\INTERNET\MANUALPROXIES, No Action By User, 3617, -1, 0.0.0, , action, , ,

Registry Value: 5
Hijack.AutoConfigURL.PrxySvrRST, HKU\S-1-5-21-1765645081-922238504-1303624641-1001\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS|AUTOCONFIGURL, No Action By User, 3617, 1078095, 1.0.58711, , ame, , ,
Hijack.AutoConfigURL.PrxySvrRST, HKU\S-1-5-21-1765645081-922238504-1303624641-1001\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS|AUTOCONFIGURL, No Action By User, 3617, -1, 0.0.0, , action, , ,
Hijack.AutoConfigURL.PrxySvrRST, HKU\S-1-5-18\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS|PROXYENABLE, No Action By User, 3617, -1, 0.0.0, , action, , ,
Hijack.AutoConfigURL.PrxySvrRST, HKU\S-1-5-21-1765645081-922238504-1303624641-1001\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS|PROXYENABLE, No Action By User, 3617, -1, 0.0.0, , action, , ,
Hijack.AutoConfigURL.PrxySvrRST, HKU\.DEFAULT\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS|PROXYENABLE, No Action By User, 3617, -1, 0.0.0, , action, , ,

Registry Data: 0
(No malicious items detected)

Data Stream: 0
(No malicious items detected)

Folder: 0
(No malicious items detected)

File: 0
(No malicious items detected)

Physical Sector: 0
(No malicious items detected)

WMI: 0
(No malicious items detected)


(end)
 
Son düzenleme:
Bilgisayarda son günlerde ciddi bir performans düşüşü vardı. Panda ve Windows Defender'da sorun yok gözüküyordu. Malwarebytes ile tarama yaptım 33 tane tehdit bulundu. Hepsini sildim bilgisayarı yeniden başlattım tarama yaptım bir baktım hala hijack. Autoconfigurl. Prxysvrrst isimli 5 tane malware olarak algılanan registry Value ve 1 tane de aynı adda registery key var. Tekrar tekrar tarama yapıp siliyorum ama bilgisayarı yeniden başlatıp tarama yaptığımda silinmemiş gibi duruyorlar. Tek çözüm format atmak mı?
Farklı alternatifler ile taratın. EEK ve KVRT ile taratabilirsiniz.
 
Evet karantinadan sildim hatta güvenli mod başlatım kendim manual olarak kayıt defterinden sildim. Güvenli modda tekrar başlatınca sorun çözülmüş gibi oluyor ama normal moda geçince tekrardan eklenıyorlar.

Kendini kopyalıyor olabilir.

@Dutchman.
 
Otomatik olarak kendini yeniden sisteme atayan bir zararlı muhtemelen.

KVRT taraması gerçekleştirin.

Hocam şimdi şöyle, ben kendim kayıt defterinden değerleri silince tekrardan oluşuturuyordu kendini, Python scripti yazıp Startup'a atadım. Bir kez reboot ettikten sonra bir baktım tekrardan oluşturulmamış. Scripti devre dışı bıraktım, yine bir şey yok hiçbir şey oluşturulmuyor. Malwarebytes'dan tarama yaptım temiz, Norton Power Eraser'dan tarama yaptım temiz. Proxy ataması da yapmıyor artık. Anlamadığım nokta ben virüsü silmedim sadece Proxy atamasını engelledim. Sorun çözüldü ancak bu registry atamasını yapan başka bir program vardı demek ki. Sadece kayıt defterindeki veri böyle bir işlem yapamayacağına göre. C:/ProgramData/Microsoft/Duubex/whflp.s diye bir dosya vardı virüs olarak algılanan program silemedi ben de silemeyince uzantısını değiştirdim dedim belki dosyayı bozabilirim diye ancak otomatik Proxy atamasıyla bir alakası var mıdır bilmiyorum. Sizin bahsettiğiniz programla tarama yaptım bir şey çıkmadı.
 

Yeni konular

Geri
Yukarı