Suicide Veil Posted September 12, 2009 Share Posted September 12, 2009 bilgisayarıma bir çeşit autorun virüsü bulaştı sürücülere sağ tıklayınca garip karakterlerle ifadeler çıkıyor. daha önceden bulaşmış bir autorun virüsünü temizlediğim programla bundan kurtulamadm arkadaşlar yardımcı olursanız sevinirim.. Link to comment Share on other sites More sharing options...
Şehzade Posted September 12, 2009 Share Posted September 12, 2009 Malwarebytes' Anti-Malware programı ile bi tarat derim sanırım sorununu çözer Link to comment Share on other sites More sharing options...
nevar Posted September 12, 2009 Share Posted September 12, 2009 windows/system32 klasorune bak orada yqfprhqr.d1l autorun3.exe OfcpfwSvcs.exe dosyalari var mi bi bak bir de windows/system32/Driver klasorunde yqfprhqr.sys dosyasi var mi onada bi bak bunlar virus dosyalari bulamazsan ilk once windows/system32/Driver klasorunu tarat sonra da sistem32 yi Link to comment Share on other sites More sharing options...
zeugma_of_bow Posted September 12, 2009 Share Posted September 12, 2009 dostum bisim şirket makinalarınada bulaşmıştı bilgi işlemden yardım aldım elimde bi tane bu gibi durumlar için hazırlanmış skript var ama ben nası düzenleneceğini bilmediğim için bi kaç sn lik tarama sonrası aktif hale gelen gizli dosyaları otomatik kapatmıyo o ayarı yapmasını bilmiyorum emanuel düzeltirsin artık ( ama nasıl ekleyeceğimi unuttum) ekleyemiyorum istersen combofix kullan tek kelime ile harika masaüstünde çalıstırman gerekiyor güncellemesine izin ver o senden istemediği sürece hiç bir şeyi kullanma calıstırma amacı kullandığın virüs programını tetikliyor ve temizliyorsun Link to comment Share on other sites More sharing options...
reflex3504 Posted September 12, 2009 Share Posted September 12, 2009 Combofix kur Link to comment Share on other sites More sharing options...
zeugma_of_bow Posted September 12, 2009 Share Posted September 12, 2009 yada şimdi yazacağım komutları yeni metin belgesine kopyala uzantısını .vbs yap çalıştır yukarda ilk bahsettiğim script in açıklaması on Error Resume Next Dim objShell, objFileSystem, objTextStream, objRegex Dim colRegexMatches1, colRegexMatches2 Dim nReturnCode Dim strIpFileText Dim element, i Dim Lista Lista=array("n1de?ect.com","nide?ect.com","nlde?ect.com","j*.bat","m*.com","d*.com","copy.exe","host.exe",_ "a0*.com","ntdeiect.com","ntdelect.com", "u?de*.com","ntde1ect.com", "x*.com", "tio*.*",_ "80*.com","semo*.exe") Set geekside=WScript.CreateObject("WScript.Shell") Set objShell = WScript.CreateObject("WScript.Shell") Set objFileSystem = CreateObject("Scripting.FileSystemObject") Set objFSO = CreateObject("Scripting.FileSystemObject") Set colDrives = objFSO.Drives Wscript.Echo "Software provided by MyGeekSide.com to remove malicious software amvo, avpo, n1detect y variants" Wscript.Echo "Proccess of search and removing can take some seconds. Please be patient." i=0 For Each objDrive in colDrives If objDrive.IsReady = True Then nret=geekside.Run("cmd /C attrib -s -h -r "&objDrive.DriveLetter&":\autorun.inf",0,TRUE) Set objTextStream = objFileSystem.OpenTextFile(objDrive.DriveLetter&":\autorun.inf",1) strIpFileText = objTextStream.ReadAll objTextStream.Close End If Next Set objRegex = new RegExp objRegex.Pattern = "=\w+(.com|.bat|.exe|.pif|.scr|.svd|.dat|.tmp)" objRegex.Global = True objRegex.IgnoreCase = True Set colRegexMatches1 = objRegex.Execute(strIpFileText) i=0 For Each element In colRegexMatches1 element = Replace(element,"=","") WScript.Echo "Proceeding to remove file of virus :" & element For Each objDrive in colDrives If objDrive.IsReady = True Then Wscript.Echo "Clean drive: " & objDrive.DriveLetter nret=geekside.Run("cmd /C taskkill /f /im amvo.exe",0,TRUE) nret=geekside.Run("cmd /C taskkill /f /im avpo.exe",0,TRUE) nret=geekside.Run("cmd /C taskkill /f /im semo2x.exe.tmp",0,TRUE) nret=geekside.Run("cmd /C taskkill /f /im semo2x.exe",0,TRUE) nret=geekside.Run("cmd /C taskkill /f /im help.exe.tmp",0,TRUE) nret=geekside.Run("cmd /C attrib -s -h -r " &objDrive.DriveLetter&":\" & element &"",0,TRUE) nret=geekside.Run("cmd /C cd \ & del "&objDrive.DriveLetter&":\" & element & "/f /q /a",0,TRUE) nret=geekside.Run("cmd /C cd \ & del "&objDrive.DriveLetter&":\autorun.inf",0,TRUE) End If Next i = i + 1 Next Set objRegex= Nothing Set objTextStream = Nothing Set objFileSystem = Nothing Set objShell = Nothing nret15=geekside.Run("cmd /C attrib -s -h -r c:\windows\system32\amvo*.*",0,TRUE) nret16=geekside.Run("cmd /C attrib -s -h -r c:\windows\system32\avpo*.*",0,TRUE) nret20=geekside.Run("cmd /C attrib -s -h -r c:\windows\system32\help.exe.tmp",0,TRUE) nret56=geekside.Run("cmd /C attrib -s -h -r c:\windows\system32\semo*.*",0,TRUE) nret60=geekside.Run("cmd /C attrib -s -h -r c:\windows\system32\semo*.*.*",0,TRUE) nret23=geekside.Run("cmd /C del /f c:\windows\system32\amvo*.*",0,TRUE) nret24=geekside.Run("cmd /C del /f c:\windows\system32\avpo*.*",0,TRUE) nret57=geekside.Run("cmd /C del /f c:\windows\system32\semo*.*.*",0,TRUE) nret59=geekside.Run("cmd /C del /f c:\windows\system32\semo*.*",0,TRUE) WScript.Echo "Proceeding to restore registry to see Hidden Files" nret31=geekside.Run("cmd /C reg delete HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\ /v amva /f",0,TRUE) nret32=geekside.Run("cmd /C reg delete HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\ /v avpo /f",0,TRUE) nret68=geekside.Run("cmd /C reg delete HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\ /v avpa /f",0,TRUE) nret33=geekside.Run("cmd /C reg add HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ /v Hidden /t REG_DWORD /d 1 /f",0,TRUE) nret43=geekside.Run("cmd /C reg add HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ /v SuperHidden /t REG_DWORD /d 1 /f",0,TRUE) nret44=geekside.Run("cmd /C reg add HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ /v ShowSuperHidden /t REG_DWORD /d 1 /f",0,TRUE) nret45=geekside.Run("cmd /C reg add HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ /v Hidden /t REG_DWORD /d 1 /f",0,TRUE) nret46=geekside.Run("cmd /C reg add HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ /v SuperHidden /t REG_DWORD /d 1 /f",0,TRUE) nret47=geekside.Run("cmd /C reg add HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ /v ShowSuperHidden /t REG_DWORD /d 1 /f",0,TRUE) nret34=geekside.Run("cmd /C reg add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN\ /v CheckedValue /t REG_DWORD /d 2 /f",0,TRUE) nret35=geekside.Run("cmd /C reg add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN\ /v DefaultValue /t REG_DWORD /d 2 /f",0,TRUE) nret36=geekside.Run("cmd /C reg delete HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\ /v CheckedValue /f",0,TRUE) nret37=geekside.Run("cmd /C reg add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\ /v CheckedValue /t REG_DWORD /d 1 /f",0,TRUE) nret38=geekside.Run("cmd /C reg add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\ /v DefaultValue /t REG_DWORD /d 2 /f",0,TRUE) nret39=geekside.Run("cmd /C reg add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\ /v CheckedValue /t REG_DWORD /d 0 /f",0,TRUE) nret40=geekside.Run("cmd /C reg add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\ /v DefaultValue /t REG_DWORD /d 0 /f",0,TRUE) nret48=geekside.Run("cmd /C reg add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\ /v Type /t REG_SZ /d Group /f",0,TRUE) nret49=geekside.Run("cmd /C reg add HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\ /v NoDriveTypeAutoRun /t REG_DWORD /d 255 /f",0,TRUE) nret50=geekside.Run("cmd /C reg add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\ /v NoDriveTypeAutoRun /t REG_DWORD /d 255 /f",0,TRUE) nret61=geekside.Run("cmd /C reg add HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\ /v NoFolderOptions /t REG_DWORD /d 0 /f",0,TRUE) nret62=geekside.Run("cmd /C reg add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\ /v NoFolderOptions /t REG_DWORD /d 0 /f",0,TRUE) nret63=geekside.Run("cmd /C reg add HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\ /v DisableRegistryTools /t REG_DWORD /d 0 /f",0,TRUE) nret78=geekside.Run("cmd /C taskkill /f /im explorer.exe",0,TRUE) nret79=geekside.Run("cmd /C start explorer.exe",0,TRUE) nret15=geekside.Run("cmd /C attrib -s -h -r c:\windows\system32\amvo*.*",0,TRUE) nret16=geekside.Run("cmd /C attrib -s -h -r c:\windows\system32\avpo*.*",0,TRUE) nret20=geekside.Run("cmd /C attrib -s -h -r c:\windows\system32\help.exe.tmp",0,TRUE) nret56=geekside.Run("cmd /C attrib -s -h -r c:\windows\system32\semo*.*.*",0,TRUE) nret60=geekside.Run("cmd /C attrib -s -h -r c:\windows\system32\semo*.*",0,TRUE) nret23=geekside.Run("cmd /C del /f c:\windows\system32\amvo*.*",0,TRUE) nret24=geekside.Run("cmd /C del /f c:\windows\system32\avpo*.*",0,TRUE) nret57=geekside.Run("cmd /C del /f c:\windows\system32\semo*.*.*",0,TRUE) nret59=geekside.Run("cmd /C del /f c:\windows\system32\semo*.*",0,TRUE) For Each objDrive in colDrives If objDrive.IsReady = True Then For X=0 to UBound(Lista) nret=geekside.Run("cmd /C attrib -s -h -r "&objDrive.DriveLetter&":\"&Lista(X)&"",0,TRUE) nret=geekside.Run("cmd /C cd \ & del "&objDrive.DriveLetter&":\" &Lista(X)& "/f /q /a",0,TRUE) Next End If Next WScript.Echo "Congratulations! Your computer is disinfected of amvo virus and variants" WScript.Echo "www.mygeekside.com" WScript. Quit(0) Link to comment Share on other sites More sharing options...
zeugma_of_bow Posted September 12, 2009 Share Posted September 12, 2009 pardon ekleyeceğim komutları o kadar bilgim olsaydı 2 senedir eciar-test-signature denen baş belasından kurtulmak icin 5 ayda bir recovery yapmazdım Laptopa Link to comment Share on other sites More sharing options...
nevar Posted September 12, 2009 Share Posted September 12, 2009 autorun virusünü normal antivirus programlari ile silemiyorsun çünkü bu meret kendini sisteme SISTEM DOSYASI - MICROSOFT DOSYASI olarak tanitiyor bu yüzden antivirus programlari uzak duruyor çekik gozlü arkadaşlar yapmişlar internet e salmişlar hani şu kokmuş yumurta yiyenler var ya onlar bunlari tara AUTORUN.EXE AUTORUN3.EXE OFCPFWSVCS.EXE OFCPFWSVCS-ACEA0F7B__REPEAT_.EXE 06489515.EXE DC175.EXE OFCPFWSVCS.EXE1170185285 34184428.DAT AUTORUN.EXE 56503615.SVD 30458975.SVD DC177.EXE 12370849.DAT DC12.EXE 74095671.SVD WJCIUYUS.DL1 Link to comment Share on other sites More sharing options...
bsargin Posted September 12, 2009 Share Posted September 12, 2009 Bunları bir dene Please register to see this content. Masaüstüne aç ve tarat Link to comment Share on other sites More sharing options...
umutcnakn Posted September 12, 2009 Share Posted September 12, 2009 BUnuda deneyebilirsin açılan regedit kaydına çift tıkla tamamdır masaüstü gidip gelicek. Please register to see this content. Link to comment Share on other sites More sharing options...
Suicide Veil Posted September 13, 2009 Author Share Posted September 13, 2009 yadaşimdi yazacağım komutları yeni metin belgesine kopyala uzantısını .vbs yap çalıştır yukarda ilk bahsettiğim script in açıklaması on Error Resume Next Dim objShell, objFileSystem, objTextStream, objRegex Dim colRegexMatches1, colRegexMatches2 Dim nReturnCode Dim strIpFileText Dim element, i Dim Lista Lista=array("n1de?ect.com","nide?ect.com","nlde?ect.com","j*.bat","m*.com","d*.com","copy.exe","host.exe",_ "a0*.com","ntdeiect.com","ntdelect.com", "u?de*.com","ntde1ect.com", "x*.com", "tio*.*",_ "80*.com","semo*.exe") Set geekside=WScript.CreateObject("WScript.Shell") Set objShell = WScript.CreateObject("WScript.Shell") Set objFileSystem = CreateObject("Scripting.FileSystemObject") Set objFSO = CreateObject("Scripting.FileSystemObject") Set colDrives = objFSO.Drives Wscript.Echo "Software provided by MyGeekSide.com to remove malicious software amvo, avpo, n1detect y variants" Wscript.Echo "Proccess of search and removing can take some seconds. Please be patient." i=0 For Each objDrive in colDrives If objDrive.IsReady = True Then nret=geekside.Run("cmd /C attrib -s -h -r "&objDrive.DriveLetter&":\autorun.inf",0,TRUE) Set objTextStream = objFileSystem.OpenTextFile(objDrive.DriveLetter&":\autorun.inf",1) strIpFileText = objTextStream.ReadAll objTextStream.Close End If Next Set objRegex = new RegExp objRegex.Pattern = "=\w+(.com|.bat|.exe|.pif|.scr|.svd|.dat|.tmp)" objRegex.Global = True objRegex.IgnoreCase = True Set colRegexMatches1 = objRegex.Execute(strIpFileText) i=0 For Each element In colRegexMatches1 element = Replace(element,"=","") WScript.Echo "Proceeding to remove file of virus :" & element For Each objDrive in colDrives If objDrive.IsReady = True Then Wscript.Echo "Clean drive: " & objDrive.DriveLetter nret=geekside.Run("cmd /C taskkill /f /im amvo.exe",0,TRUE) nret=geekside.Run("cmd /C taskkill /f /im avpo.exe",0,TRUE) nret=geekside.Run("cmd /C taskkill /f /im semo2x.exe.tmp",0,TRUE) nret=geekside.Run("cmd /C taskkill /f /im semo2x.exe",0,TRUE) nret=geekside.Run("cmd /C taskkill /f /im help.exe.tmp",0,TRUE) nret=geekside.Run("cmd /C attrib -s -h -r " &objDrive.DriveLetter&":\" & element &"",0,TRUE) nret=geekside.Run("cmd /C cd \ & del "&objDrive.DriveLetter&":\" & element & "/f /q /a",0,TRUE) nret=geekside.Run("cmd /C cd \ & del "&objDrive.DriveLetter&":\autorun.inf",0,TRUE) End If Next i = i + 1 Next Set objRegex= Nothing Set objTextStream = Nothing Set objFileSystem = Nothing Set objShell = Nothing nret15=geekside.Run("cmd /C attrib -s -h -r c:\windows\system32\amvo*.*",0,TRUE) nret16=geekside.Run("cmd /C attrib -s -h -r c:\windows\system32\avpo*.*",0,TRUE) nret20=geekside.Run("cmd /C attrib -s -h -r c:\windows\system32\help.exe.tmp",0,TRUE) nret56=geekside.Run("cmd /C attrib -s -h -r c:\windows\system32\semo*.*",0,TRUE) nret60=geekside.Run("cmd /C attrib -s -h -r c:\windows\system32\semo*.*.*",0,TRUE) nret23=geekside.Run("cmd /C del /f c:\windows\system32\amvo*.*",0,TRUE) nret24=geekside.Run("cmd /C del /f c:\windows\system32\avpo*.*",0,TRUE) nret57=geekside.Run("cmd /C del /f c:\windows\system32\semo*.*.*",0,TRUE) nret59=geekside.Run("cmd /C del /f c:\windows\system32\semo*.*",0,TRUE) WScript.Echo "Proceeding to restore registry to see Hidden Files" nret31=geekside.Run("cmd /C reg delete HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\ /v amva /f",0,TRUE) nret32=geekside.Run("cmd /C reg delete HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\ /v avpo /f",0,TRUE) nret68=geekside.Run("cmd /C reg delete HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\ /v avpa /f",0,TRUE) nret33=geekside.Run("cmd /C reg add HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ /v Hidden /t REG_DWORD /d 1 /f",0,TRUE) nret43=geekside.Run("cmd /C reg add HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ /v SuperHidden /t REG_DWORD /d 1 /f",0,TRUE) nret44=geekside.Run("cmd /C reg add HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ /v ShowSuperHidden /t REG_DWORD /d 1 /f",0,TRUE) nret45=geekside.Run("cmd /C reg add HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ /v Hidden /t REG_DWORD /d 1 /f",0,TRUE) nret46=geekside.Run("cmd /C reg add HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ /v SuperHidden /t REG_DWORD /d 1 /f",0,TRUE) nret47=geekside.Run("cmd /C reg add HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ /v ShowSuperHidden /t REG_DWORD /d 1 /f",0,TRUE) nret34=geekside.Run("cmd /C reg add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN\ /v CheckedValue /t REG_DWORD /d 2 /f",0,TRUE) nret35=geekside.Run("cmd /C reg add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN\ /v DefaultValue /t REG_DWORD /d 2 /f",0,TRUE) nret36=geekside.Run("cmd /C reg delete HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\ /v CheckedValue /f",0,TRUE) nret37=geekside.Run("cmd /C reg add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\ /v CheckedValue /t REG_DWORD /d 1 /f",0,TRUE) nret38=geekside.Run("cmd /C reg add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\ /v DefaultValue /t REG_DWORD /d 2 /f",0,TRUE) nret39=geekside.Run("cmd /C reg add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\ /v CheckedValue /t REG_DWORD /d 0 /f",0,TRUE) nret40=geekside.Run("cmd /C reg add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\ /v DefaultValue /t REG_DWORD /d 0 /f",0,TRUE) nret48=geekside.Run("cmd /C reg add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\ /v Type /t REG_SZ /d Group /f",0,TRUE) nret49=geekside.Run("cmd /C reg add HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\ /v NoDriveTypeAutoRun /t REG_DWORD /d 255 /f",0,TRUE) nret50=geekside.Run("cmd /C reg add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\ /v NoDriveTypeAutoRun /t REG_DWORD /d 255 /f",0,TRUE) nret61=geekside.Run("cmd /C reg add HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\ /v NoFolderOptions /t REG_DWORD /d 0 /f",0,TRUE) nret62=geekside.Run("cmd /C reg add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\ /v NoFolderOptions /t REG_DWORD /d 0 /f",0,TRUE) nret63=geekside.Run("cmd /C reg add HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\ /v DisableRegistryTools /t REG_DWORD /d 0 /f",0,TRUE) nret78=geekside.Run("cmd /C taskkill /f /im explorer.exe",0,TRUE) nret79=geekside.Run("cmd /C start explorer.exe",0,TRUE) nret15=geekside.Run("cmd /C attrib -s -h -r c:\windows\system32\amvo*.*",0,TRUE) nret16=geekside.Run("cmd /C attrib -s -h -r c:\windows\system32\avpo*.*",0,TRUE) nret20=geekside.Run("cmd /C attrib -s -h -r c:\windows\system32\help.exe.tmp",0,TRUE) nret56=geekside.Run("cmd /C attrib -s -h -r c:\windows\system32\semo*.*.*",0,TRUE) nret60=geekside.Run("cmd /C attrib -s -h -r c:\windows\system32\semo*.*",0,TRUE) nret23=geekside.Run("cmd /C del /f c:\windows\system32\amvo*.*",0,TRUE) nret24=geekside.Run("cmd /C del /f c:\windows\system32\avpo*.*",0,TRUE) nret57=geekside.Run("cmd /C del /f c:\windows\system32\semo*.*.*",0,TRUE) nret59=geekside.Run("cmd /C del /f c:\windows\system32\semo*.*",0,TRUE) For Each objDrive in colDrives If objDrive.IsReady = True Then For X=0 to UBound(Lista) nret=geekside.Run("cmd /C attrib -s -h -r "&objDrive.DriveLetter&":\"&Lista(X)&"",0,TRUE) nret=geekside.Run("cmd /C cd \ & del "&objDrive.DriveLetter&":\" &Lista(X)& "/f /q /a",0,TRUE) Next End If Next WScript.Echo "Congratulations! Your computer is disinfected of amvo virus and variants" WScript.Echo "www.mygeekside.com" WScript. Quit(0) dostum teşekkür ederim ama silemedi virüsü. ""ogjebnl.exe"" diye bir virüs buluyor ama silemiyor. diğer yolları deniyeceğim bakalım. tüm arkadaşlara teşekkürler umarım kurtulurm.. Link to comment Share on other sites More sharing options...
batosnokia Posted September 13, 2009 Share Posted September 13, 2009 Norton Kullan Link to comment Share on other sites More sharing options...
nevar Posted September 13, 2009 Share Posted September 13, 2009 ""ogjebnl.exe"" diye bir virüs buluyor ama silemiyor. diğer yolları deniyeceğim bakalım. tüm arkadaşlara teşekkürler umarım kurtulurm.. registry kullanmasini biliyorsan başlat | calıştır | regedit aşagıdaki kayıt defteri anahtarlarını tarayıp bul ve bu anahtarları sil ondan sonra ""ogjebnl.exe"" dosyasını silmeyi dene vbcyhid xywrebh bhbsdrx htocusa ykubdte yeyinhi pydwhcw fhrqdpi kttrogc ogjebnl klrbyuv capxteo he bi de unutmadan hatırlatayım bu autorun virusu flashbellek ile bilgisayardan bilgisayara veba gibi yayılıyor dikkatli ol ! başka bilgisayarlara da bulaştırma ! tasklist - görev yöneticisini calıştırıp calışmakta olan dosyaları buraya yazabilirmisin autorun virusünü normal antivirus programları ile silemiyorsun çünkü bu meret kendini sisteme SISTEM DOSYASI - MICROSOFT DOSYASI olarak tanıtıyor bu yüzden antivirus programları uzak duruyor şu dosyaya bakabilirmisin C:\Program Files\Common Files\Microsoft Shared\ogjebnl.exe veya osgjaaj.exe Link to comment Share on other sites More sharing options...
Suicide Veil Posted September 13, 2009 Author Share Posted September 13, 2009 c:\program files\meex.exe c:\program files\NetMeeting\secedit.exe c:\windows\Downloaded Program Files\bdcore.dll c:\windows\Downloaded Program Files\libfn.dll c:\windows\Installer\flash8.msi c:\windows\Installer\Shockwave.msi c:\windows\system32\kav320.dll c:\windows\system32\msconfig.exe c:\windows\system32\scrrntr.dll c:\windows\system32\sexit.dat D:\autorun.inf E:\Autorun.inf F:\autorun.inf arkadaşlar herkese teşekkür ediyorum. combofix kurdum halletti üstteki dosyaları silmiş. Link to comment Share on other sites More sharing options...
yusuf_can Posted October 4, 2009 Share Posted October 4, 2009 combo fix programını kur işini görür. 3 mb lık bir programdır. bu adresten indirebilirsin: Please register to see this content. Link to comment Share on other sites More sharing options...
yusuf_can Posted October 4, 2009 Share Posted October 4, 2009 autorun virüs remover programınıda bir dene Link to comment Share on other sites More sharing options...
kovboy09 Posted October 17, 2009 Share Posted October 17, 2009 alternatif olarak Please register to see this content. bırde bunu dene auto run lara karsı bagısıklanıdıryor kendım kullanuyorum bır cok defabu program sayesınde kurtuldum ınsallah ısıne yarar Link to comment Share on other sites More sharing options...
biralogeg Posted October 23, 2009 Share Posted October 23, 2009 arkadaşım sana anlatayım bu meret usb belleklerden bulaşıyor hiçbir şekildede silinmiyor yapman gereken tekşey başka bir bilgisayarda usb bellegi takıp önce bellege biçimlendirme yapmak ve virüs taramasından geçirmek temizbir usb elde ettigin zaman avast ın sitesine girmek ve enson sürümünü indirmek daha sonra bilgisayarına format at ama sakın yerel sürücülerini açma (d-f -g) gibi format bittikten sonra usb bellegi tak avast ı kur makinan yeniden başlatacak bırak başlatsın sen git çayını kahveni iç ogerekeni yapar anca böyle kurtulabilirsin sana kolay gelsin Link to comment Share on other sites More sharing options...
anti-hayat Posted October 23, 2009 Share Posted October 23, 2009 KARDEŞ SEN BUNU KUR ONSDAN SONRA USB Yİ TAK AÇILAN PENCEREDE VİRÜSLERİ OUTRONU GÖRÜRSÜN DELETE ALL (HEPSİNİ SİL) DE USB Disk Security 5.1.0.15 Türkçe Full Katılımsız USB Disk Security yazılımı USB belleklerinizi bilgisayara taktığınızda veri alışverişi yaparken belleğinize zararlı yazılım bulaşma riskine karşı koruma sağlıyor. Küçük boyutuna rağmen bir antivirüs programı gibi işlev görerek belleğinizde tam koruma sağlıyor. Programın özelliği sadece bu değil. Ayrıca belleği taktığınızda görülen yeni donanım uyarısını kaldırıyor ve çıkartma işleminde olası bir donanım hatasını ise güvenli bir şekilde kontrol altına alıyor. Çok kolay bir kullanıma sahiptir. Hızlı ve etkili bir tarama sistemine sahiptir. Her işletim sistemiyle uyumlu bir şekilde çalışır. Dünyanın en küçük ve hızlı antivirüs programı diyebiliriz. İndir Please register to see this content. Rar Şifresi: www.tnctr.com Link to comment Share on other sites More sharing options...
Recommended Posts
Archived
This topic is now archived and is closed to further replies.