hrn_gll Posted August 15, 2008 Share Posted August 15, 2008 herhangi bir klasör üzerinde sağ tıkladığımda önceden silmiş olduğum klasör adında yeni bir klasör oluşuyor.çözümü bilen birileri yazarsa çok sevinirim. Link to comment Share on other sites More sharing options...
gavara Posted August 15, 2008 Share Posted August 15, 2008 hijack raporlarını gönderirmisn Link to comment Share on other sites More sharing options...
hrn_gll Posted August 15, 2008 Author Share Posted August 15, 2008 Logfile of HijackThis v1.99.1 Scan saved at 16:38:12, on 15.08.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\RTHDCPL.EXE C:\Program Files\Motorola\SMSERIAL\sm56hlpr.exe C:\Program Files\ATI Technologies\ATI.ACE\CLI.EXE C:\WINDOWS\ATK0100\HControl.exe C:\Program Files\ASUS\ATK Media\DMEDIA.EXE C:\Program Files\Synaptics\SynTP\SynTPEnh.exe C:\Program Files\ESET\ESET Smart Security\egui.exe C:\Program Files\ESET\ESET Smart Security\ekrn.exe C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe C:\Program Files\Common Files\LightScribe\LSSrvc.exe C:\WINDOWS\system32\ctfmon.exe C:\Program Files\MSN Messenger\MsnMsgr.Exe C:\WINDOWS\ATK0100\ATKOSD.exe C:\Program Files\Internet Download Manager\IDMan.exe C:\WINDOWS\system32\svchost.exe C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosA2dp.exe C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtHid.exe C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtHsp.exe C:\Program Files\Toshiba\Bluetooth Toshiba Stack\tosOBEX.exe C:\Program Files\Toshiba\Bluetooth Toshiba Stack\tosBtProc.exe C:\Program Files\Internet Download Manager\IEMonitor.exe C:\Program Files\ATI Technologies\ATI.ACE\cli.exe C:\Program Files\ATI Technologies\ATI.ACE\cli.exe C:\Program Files\MSN Messenger\usnsvc.exe C:\Program Files\MSN Messenger\msnmsgr.exe C:\Program Files\BearShare Applications\BearShare\BearShare.exe C:\Program Files\Mozilla Firefox\firefox.exe C:\Documents and Settings\pcLine\Desktop\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Bağlantılar O2 - BHO: IDM Helper - {0055C089-8582-441B-A0BF-17B458C2A3A8} - C:\Program Files\Internet Download Manager\IDMIECC.dll O2 - BHO: Adobe PDF Reader Bağı Yardımı - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [skyTel] SkyTel.EXE O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\CLIStart.exe" O4 - HKLM\..\Run: [sMSERIAL] C:\Program Files\Motorola\SMSERIAL\sm56hlpr.exe O4 - HKLM\..\Run: [HControl] C:\WINDOWS\ATK0100\HControl.exe O4 - HKLM\..\Run: [ATKMEDIA] C:\Program Files\ASUS\ATK Media\DMEDIA.EXE O4 - HKLM\..\Run: [synTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [egui] "C:\Program Files\ESET\ESET Smart Security\egui.exe" /hide /waitservice O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [iDMan] C:\Program Files\Internet Download Manager\IDMan.exe /onboot O4 - Startup: IMVU.lnk = C:\Program Files\IMVU\IMVUClient.exe O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe O4 - Global Startup: Bluetooth Manager.lnk = ? O8 - Extra context menu item: Bütün linkleri IDM ile indir - C:\Program Files\Internet Download Manager\IEGetAll.htm O8 - Extra context menu item: FLV video içeriğini IDM ile indir - C:\Program Files\Internet Download Manager\IEGetVL.htm O8 - Extra context menu item: IDM ile indir - C:\Program Files\Internet Download Manager\IEExt.htm O8 - Extra context menu item: Microsoft Excel'e Gö&nder - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra button: Araştır - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Run IMVU - {d9288080-1baa-4bc4-9cf8-a92d743db949} - C:\Documents and Settings\pcLine\Start Menu\Programlar\IMVU\Run IMVU.lnk O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\wpdshserviceobj.dll O21 - SSODL: Java - True - (no file) O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET Smart Security\EHttpSrv.exe O23 - Service: Eset Service (ekrn) - ESET - C:\Program Files\ESET\ESET Smart Security\ekrn.exe O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe Link to comment Share on other sites More sharing options...
gavara Posted August 15, 2008 Share Posted August 15, 2008 O4 - Startup: IMVU.lnk = C:\Program Files\IMVU\IMVUClient.exe[/CODE] Startuptan bunu kaldırırmısın ve programfiles da da sil Link to comment Share on other sites More sharing options...
hrn_gll Posted August 15, 2008 Author Share Posted August 15, 2008 IMVU yu kurmadan öncede aynı şey oluyordu kaldırıp tekrar denedim yine olmadı Link to comment Share on other sites More sharing options...
taba Posted August 15, 2008 Share Posted August 15, 2008 Herşeyden önce konu başlığında belirtilen sorununun kaynağını saptamak ve çözmek için yukarda HijackThis Raporu isteyen "gavara" arkadaşımızı kutlarım. Ancak, Windows işletim sistemi kurulu bir bilgisayarda oluşan sorunu HijackThis ile saptamak ve doğru çözümü önerebilmek için HijackThis raporunun tekniğine uygun olarak alınması gerekir şöyleki: Sağlıklı bir HijackThis raporu için bilgisayarı yeniden başlatıp, bir-iki dakika beklemek -bu arada fareye bile dokunmamak yani, hiçbir programı başlatmamak- ve arkasından HijackThis'ı çalıştırmak gerekir. Yukardaki rapora bakınca, bu şartlara uyulmadığı görülüyor; örneğin, rapor alırken Firefox tarayıcısı açıkmış... Dolayısiyle, bu rapora dayanarak, sorunun kaynağını doğru saptamak hele hele çözüm önermek zor... Yine de birşeyler yazmak gerekirse: Sorunun kaynağının bir kötücül olduğu aşağıdaki satırdan anlaşılıyor: O21 - SSODL: Java - True - (no file) Bu satırın HijackThis ile silinmesi sorunu çözmeyebilir; üstelik, sorunun çözümünü zorlaştırabilir; çünkü, HijackThis, genellikle kötücülün kendini değil kaydını siler; kaydı silinen bu kötücülü artık HijackThis ile saptayamayız... HijackThis, çok önemli ama çok küçük (793 KB) bir yazılımdır; kötücülü silmek için değil kötücülü saptamak için kullanılır; silme işini profesyonellere (anti-virus/spyware'lere) yaptırmak, silinip-silinmediğine ise yine HijackThis ile bakmak gerekir. Sonuç olarak, sorunlu arkadaşımızın şunları yapması gerekir: * Şuan kullanmakta olduğu NOD32 dışında bir antivirüsü (örneğin Avira'yı) indirip güncelleyerek, güvenli kipte sistem taraması yaptırtmak; * Arkasından, yukarda belirtildiği şekilde yeni bir HijackThis raporu çıkarmak. Not: 1) "gavara" arkadaşımızın belirttiği satır bir "chat" yazılımıyla ilgili olup, sorunun kaynağı gibi gözükmüyor; 2) Raporda görülen "ALCMTR.EXE" Realtek'in resmi casusu (spyware) olup, tek işi kişisel bilgilerinizi patronuna (Realtek'e) bildirmektir; System32'yi açıp silin; 3) Rapor için kullanılan HijackThis'ın sürümü eski olup, Trend Micro'dan yeni sürümünü indirmek gerekir. Link to comment Share on other sites More sharing options...
jiins Posted August 15, 2008 Share Posted August 15, 2008 Herşeyden önce konu başlığında belirtilen sorununun kaynağını saptamak ve çözmek için yukarda HijackThis Raporu isteyen "gavara" arkadaşımızı kutlarım.Ancak, Windows işletim sistemi kurulu bir bilgisayarda oluşan sorunu HijackThis ile saptamak ve doğru çözümü önerebilmek için HijackThis raporunun tekniğine uygun olarak alınması gerekir şöyleki: Sağlıklı bir HijackThis raporu için bilgisayarı yeniden başlatıp, bir-iki dakika beklemek -bu arada fareye bile dokunmamak yani, hiçbir programı başlatmamak- ve arkasından HijackThis'ı çalıştırmak gerekir. Yukardaki rapora bakınca, bu şartlara uyulmadığı görülüyor; örneğin, rapor alırken Firefox tarayıcısı açıkmış... Dolayısiyle, bu rapora dayanarak, sorunun kaynağını doğru saptamak hele hele çözüm önermek zor... Yine de birşeyler yazmak gerekirse: Sorunun kaynağının bir kötücül olduğu aşağıdaki satırdan anlaşılıyor: O21 - SSODL: Java - True - (no file) Bu satırın HijackThis ile silinmesi sorunu çözmeyebilir; üstelik, sorunun çözümünü zorlaştırabilir; çünkü, HijackThis, genellikle kötücülün kendini değil kaydını siler; kaydı silinen bu kötücülü artık HijackThis ile saptayamayız... HijackThis, çok önemli ama çok küçük (793 KB) bir yazılımdır; kötücülü silmek için değil kötücülü saptamak için kullanılır; silme işini profesyonellere (anti-virus/spyware'lere) yaptırmak, silinip-silinmediğine ise yine HijackThis ile bakmak gerekir. Sonuç olarak, sorunlu arkadaşımızın şunları yapması gerekir: * Şuan kullanmakta olduğu NOD32 dışında bir antivirüs (örneğin Avira) ile sistemini güvenli kipte taratmak; * Arkasından, yukarda belirtildiği şekilde yeni bir HijackThis raporu çıkarmak. Not: 1) "gavara" arkadaşımızın belirttiği satır bir "chat" yazılımıyla ilgili olup, sorunun kaynağı gibi gözükmüyor. 2) Rapor için kullanılan HijackThis'ın sürümü eski olup, Trend Micro'dan yeni sürümünü indirmek gerekir. MAŞALLAH... Link to comment Share on other sites More sharing options...
hexkodex Posted October 30, 2008 Share Posted October 30, 2008 birbirinizi tebrik etmişsiniz de olayı hiç anlamamışsınız arkadaşlar sorun olarak başlangıçta demiyor sağ tıkladığımda diyor ayrıca her startupta çalışan dosya problem çıkarmaz bunun tam cevabını bilen warsa yazarsa sevinirim ayrıca bu klasör belirli bir adda daha önce oluşturulup silinen veya taşınan bi klasörün isminde tekrar tekrar oluşuyor Link to comment Share on other sites More sharing options...
hacken Posted October 30, 2008 Share Posted October 30, 2008 kardes ılk once tavsıyem kill amvo yu indir bi tara sistemi sonra ise combofix kullan sonra cvp beklıyorum Link to comment Share on other sites More sharing options...
By_Reis Posted October 30, 2008 Share Posted October 30, 2008 sistemi onarmayı denesen güvenli kip ac bakalım Link to comment Share on other sites More sharing options...
Recommended Posts
Archived
This topic is now archived and is closed to further replies.