Teknoloji Haberleri
Aşağı Git
Tüm Forumlar
İşletim Sistemleri ve Yazılımlar
Yazılım Genel
Güvenlik Programları
NTKRNL adlı solucan
Bu konudaki kullanıcılar: 1 misafir
17
Cevap 5527
Tıklama 0
Öne Çıkarma
Cevap 5527
Tıklama 0
Öne Çıkarma
1. sayfa
-
NTKRNL adlı solucan
sistemi geri yukledim duzeldi gozukuyor sagolasın birader herkese verdigimiz aklı kendimize söleyemedik demekki terzi kendi söküğünü dikemezmiş |
Bu mesaja 1 cevap geldi.
| arkadaslar yinede bu konuda daha ayrıntılı bilgi sahibi olanların bilgilerini paylaşmalarını isterim. |
Bu mesaja 1 cevap geldi.
tam adını al klsöerün çalışdıra gir regedit yaz ve orda pcnin tüm dosylarında tarat o ismi regeditten silmen laızm yada güzel bir antivirüsle sil... |
Bu mesaja 1 cevap geldi.
|
regedit yaz ve orda pcnin tüm dosylarında tarat o ismi regeditten silmen laızm yada güzel bir antivirüsle sil... regedit yazım ve arattırdım ntkrnl veya ntkr şeklinde arattırdım hiçbi sekilde bulamadı! aynı isimle registere yazmadıgını tahmin ediyorum yanılıyormuyum yada sistem geri yukleme yaptım bi kaç gun önceye attım makineyi bu yuzden görme şansım yok zannedersim? |
Bu mesaja 1 cevap geldi.
|
23 Aralık 2006 tarihli haber Salı günü Websense, görünüşe göre bir solucanın Skpye’ı hedef aldığını bildirdi. Solucan ilk olarak Asya-pasifikteki bilgisayarları etkiledi, ve özellikle Kore’de halen araştırma konusu çünkü tüm güvenlik uzmanları kökeni ve tabiatı hakkında hemfikir değil. Websense raporu, solucanın Skype’ın chat özelliği ile yayıldığını söylüyor. Belirli bir biçimde, kullanıcılar kendilerinin “sp.exe” isimli bir dosyayı indirmelerini isteyen bir mesaj alıyorlar. Yürütülebilir dosya, şifreleri çalabilen bir Truva atı. Bir kullanıcı Truva atını çalıştırdığında kendisini yaymak için başka bir kod takımını başlatıyor. Websense blogunda konunu halen araştırma altında olduğu ancak solucanın birkaç özelliğinin bildirildiği belirtiliyor: “*dosya paketlenmiş durumda ve hata ayıklama karşıt yordamı var (NTKrnl Secure Suite packer) *dosya, ilave bir kod için uzak sunucuya bağlanıyor *orijinal siteye kara delik açılıyor ve artık kodu vermiyor *kurbanların sayısı halen belirlenememiş durumda *orijinal bulaşmanı APAC bölgesinde olduğu görülüyor (özellikle Kore)” websense’e göre yürütülebilir dosya NTKrnl Secure Suite Packer ile şifrelenmiş gibi görünüyor, farklı algılama motorlarına dosyayı tek bir şekilde gösteren çok biçimli bir şifreleme programı. Websense, kodu barındıran orijinal site onu sunmaya devam etmiyor diye belirtti. Bu solucan üzerindeki çalışma halen ilerleme aşamasında ve güvenlik dünyası bunun nasıl belirleneceği konusunda bölünmüş durumda. Örneğin, F-Secure araştırma şefi Mikko Hypponen’e göre, solucan Skype’ı hedef almıyor. Bu cümle F-Secure tarafından solucanın örneği üzerine yapılan bir çalışmanın temelinde yayınlandı. Hypponen, “Açık olan şey, şu anda Skype’da yüklü bir solucan patlaması yok. Durumu takip ediyoruz.” dedi. Diğer taraftan, SANS internet Storm Center, “Skype ile yayılan yeni bir solucan”dan haberdar olduklarını ve daha fazla bilgi aradıklarını belirti. Solucan hakkında daha fazla detay, testler ve çalışmalar yerine getirilir getirilmez yayınlanacak. |
< Bu mesaj bu kişi tarafından değiştirildi trgevent -- 16 Ocak 2007; 2:55:24 >
Bu mesaja 1 cevap geldi.
|
Arkadaslar net kafem var bu solucan benim pc lerimede bulastı . Avast olmasına ragmen butun agda kendini gösteriyor. belliki caresi format ; fakat bu sorunla bir daha karşılasmamk için ne tavsiye önerirsiniz. teşekkurler. |
| Selam arkadaşlar bu solucanın (tabi gerçekten solucansa) aynı adlı bir sitesi var. Profesyonel bi siteye benziyor. Bu konuda bilgisi olan varsa bizi aydınlatsın lütfen nasıl kurtuluruz bundan ? |
Bu mesaja 1 cevap geldi.
|
Arkadaşlar NTkrnl olayını çözmüş bulunuyorum... Her ne kadar araştırma yaptığınızda yararlı bir programmış gibi şöyle sonuç verse de;
Ayrıntılı bilgi için :http://www.softpedia.com/get/Programming/Packers-Crypters-Protectors/NTkrnl-Protector.shtml (Bir de çok faydalı birşeymiş gibi fiyatına 158$ yazmışlar :))) Ben yukarıda anlatıldığı tarzda bir faydasını göremedim, çünkü internet bağlantısını felç etti... Cafede hiçbir sayfa açılmıyor, herşey çok yavaş çalışıyor... bence NTkrnl kesinlikle bir SOLUCAN... Bilgisayarın birine bulaştıktan sonra ağ üzerinden bütün bilgisayarlara yayılıyor... Google'da arama yaptığınızda da ilk sonuç olarak kendi sitesi geliyor ve sanki profesyonel bir siteymiş gibi göze çarpıyor... Bu solucan bilgisayarınızda system32 dosyası altında "gizli" bir klasör ve dosya adıyla çalışıyor... C:\Windows\System32\dllcache\snchost.exe ----> işte solucan program bu.... (Boşuna silmeyi denemeyin silinmiyor, silsenizde geri geliyor... zaten ne "dllcache" klasörünü ne de "snchost.exe" yi arayarak yada aratarak bulduramıyorsunuz) İsim olarak dikkat çekmesin diye Windows'un kendi dosyası olan svchost.exe'ye ne kadar da benziyor değilmi!! Bu "snchost.exe"nin nasıl birşey olduğunu ve ayrıntılarını görebilmeniz için bilgisayarınızda bir process viewer olması lazım... Bu tarz bir program bilgisayarınızda mutlaka bulunsun.. çoğu zaman istenmeyen uygulamaları ve dll'leri görmenize, sonlandırmanıza yardımcı olacaktır... CurrProcess programı dünyada bu konuda en iyi ve en hızlı programlardan biri... http://www.nirsoft.net/utils/cprocess.zip adresinden indirebilirsiniz... NTkrnl hakkında biraz bilgi vereyim... Öncelikle bilgisayarı açtığınızda yada explorer'ı açtığınızda kendi resmini göstererek çalıştığını belli eder... CurrProcess benzeri bir programla çalışan uygulamalara baktığınızda... herzamanki çalışan olağan exe'lerin arasında windows'un svchost.exe'sine benzeyen bir uygulama dikkatinizi çekecektir... Adı: snchost.exe... Bunu sonlandırsanız bile kendini yeniden çalıştırıyor... Silmek neredeyse imkansız çünkü windows bileşenleriyle kendini canlı tutmayı başarıyor... Sanırım bilgisayardaki bazı dll'ler ve scriptler yoluyla kendini yeniden yüklüyor... Eğer kişisel bilgisayarınızda bu sorunu yaşıyorsanız formatlamaktan başka bir çareniz yok... (yada önceden ghost'unu almış iseniz onu yükleyin)... Eğer internet cafe sahibi iseniz; işte o zaman kaba tabiriyle: hapı yuttunuz... çünkü ağ yoluyla bütün bilgisayarlara bulaşıyor... Kendi durumumu örnek vereyim... Arkadaşın cafesinde 20 adet masa + 1 adet ana masa var... Ana masa hariç diğer 20 bilgisayarda aktif durumda deep freeze var... Solucan nasıl olduysa ana masaya bulaşmış... Oradan da diğer açık masalara... (açık olmayanlara da açılınca bulaşıyor) DeepFreeze, her yeniden başlatışta önceki yedekten yüklediği için bilgisayarı kurtarıyor... Ancak bilgisayar açıldığında diğer açık bilgisayarlardan tekrar o solucanı kapıyor... En sonunda şöyle bir çözüm bulduk... Cafeyi boşalttık... Birbirine bulaşmaması için tüm client bilgisayarları kapattık... (Nasıl olsa açılırken deepfreeze hepsini eskisinden yükleyecek ve kurtaracak) Hepsi kapalı durumdayken ana masanın ise kendi ghostunu aldık... (sizinkinin ghostu yoksa formatlayıp yeniden yükleyin)... Ana masayı ghost'ladıktan sonra ne olur ne olmaz diye kapattık... Sonra 20 adet masayı açtık... Gayet temiz... (--> deepfreeze kurtardı) Ana masayı da açtık... Gayet temiz... (--->ghostlandı) Sözün özü; 1)Kişisel bilgisayar sahibiyseniz ghost alın yada formatlayın... 2)Cafe sahibiyseniz 2 seçeneğiniz var; 2.a) Client bilgisayarlarda önceden yüklenmiş deepfreeze (yada goback) gibi aktif bir program varsa sorun yok... Clientleri kapatın ve anamakineyi yeniden yükleyin (formatlayın yada alınmış ghostu varsa ordan yükleyin) 2.b)Client bilgisayarlarda deepfreeze yoksa; işte o zaman mesele büyük... solucan bütün bilgisayarlarda varlığını sürdürür... tüm bilgisayarları formatlamanız yada ghostlarını almanız gerekecektir... ghost alırken mutlaka ama mutlaka diğer tüm bilgisayarların kapalı olmasına dikkat edin... Yoksa bilgisayar açıldığında ağ yoluyla tekrar bulaşır... Formatlarsanız da aynı durum söz konusu... Bir bilgisayarı formatlayıp açarken "diğerleri mutlaka kapalı olsun"... Birini temiz kurduktan sonra kapatın ve bekleyin... Sonra ikinciyi kurun ve kapatın...sonra üçüncüyü, sonra dördüncüyü... Ve tümünün formatını bitirene kadar hiçbir bilgisayarı açmayın... Yoksa açık durumda olan bilgisayar, yepyeni kurupta açtığınız bilgisayara da bulaştırır... Herkese mutlu günler... |
< Bu mesaj bu kişi tarafından değiştirildi bulutsuzgece -- 14 Ocak 2007; 19:38:51 >
Bu mesaja 1 cevap geldi.
|
Bu solucanmıdır virüsmüdür nedir benim cafede 4-5 pcde var.Ses sorunların problem açıyor.Ewido buluyor siliyorum ama sonra canlanıyomu bilemicem... Virüsün ismi Backdoor.IRCBot.wd |
Bu mesaja 1 cevap geldi.
| Arkadasım Aynı Sorun Sımdı ßenım Agım'dada var .. Bazı Makıneler'de Goback Bazıların'da Ise DeepFreez var Neyse ßen ßu Solucanın hangı ßılgısayar'larda oldugunu snchost.exe ßu Dosyaya ßakarak mı Anlayacagım ? :SS |
Bu mesaja 1 cevap geldi.
| NTkrnl bir solucan degil sadece bir şifreleme methodudur. Tam adı NTKrnl Secure Suite Packer sadece bi algoritma bir sifreleme methodu bu method ile farklı dosya adları ile sisteme bulasma olasılıgı var... cafenin birinde aynı sorunun tam 2 gundur benimde basimda var, karsıma ilk cikan dosya nod64.exe diger bir isimle cikan dosya lmkhost.exe, hepsinin yine bulundugu yer System32 içinde dllcache klasoru... tam anlamıyla agda bir facia local agi internet agini bi sure cikmaza hatta kitlenmeye varana kadar zora sokabiliyor... ve halen herhangi bir removal tool yayinlanmamis durumda o yuzden deepfreeze vb programlar ile korunmayan pcler icin kesin format gerekiyor... ayrica bu sıstemde calisan ilginc isimli dosyalara regedit te arattıgınız rastlamanız mumkundur, trojan bunu cok akıllı bir sekilde tum aga kopyalabiliyor ve msconfig sistem baslangicina bakıldıgında hizmet blogunda Microsoft Agent üretici blogunda ise Bilinmeyen ibaresi ile baslangica yazilabiliyor... Daha sık olarak Kore çıkışlı Knight Online oyunu için kullanılan Kosp,Xpatch,Xhack vb kurulum dosyalarından geliyor, - tahminince asıl amac bu olsa gerek bu oyun icin sifreleri calabilmek - ayrıca bir cok sohbet sitesinde de tmp klasorunu kullanarak sisteme bulasabiliyor... tam bir basagrisi konuyu gorunce icime dokeyim dedim :) |
< Bu mesaj bu kişi tarafından değiştirildi loremipsum -- 21 Ocak 2007; 1:10:45 >
Bu mesaja 1 cevap geldi.
|
aynı ekran bende de cıkıoyrdu. yani bilgisayar açılırken ntkrnl ekranı cıkıp kayboluyordu. ben Hijackthis ile kurtuldum side deneyin faydası olur bence.... Hijackthis ile ilgili yapılacaklar aşagıda acıklanmış.serji tarafından http://forum.donanimhaber.com/m_9478084/tm.htm |
Bu mesaja 1 cevap geldi.
| hijackthis ile kurtulun demişsiniz ama burda bir sorun var hijackthisi bilmeyen kişilerin elinde felaktetle sonuçlanacak sorunlar oluşabilir. Mutlaka bilen birilerinden destek alın. Ayrıca doctus.net'ide takip eden biri olarak sanırım sizin sorununuzu ordaki arkadaşlardan biri çözmüştü. Veya isim benzerliğide olabilir. |
1. sayfa
DH Mobil uygulaması ile devam edin.
Mobil tarayıcınız ile mümkün olanların yanı sıra, birçok yeni ve faydalı özelliğe erişin.
Gizle ve güncelleme çıkana kadar tekrar gösterme.
< Resime gitmek için tıklayın >
DH forumlarında vakit geçirmekten keyif alıyor gibisin ancak giriş yapmadığını görüyoruz.
Üye Ol Şimdi DeğilÜye olduğunda özel mesaj gönderebilir, beğendiğin konuları favorilerine ekleyip takibe alabilir ve daha önce gezdiğin konulara hızlıca erişebilirsin.