KnightOnline, Knight Online, WOW, Silkroad , CabalOnline, 9Dragons, DOTA, Counter Strike ve Dahası.... - Tekil Mesaj gösterimi - Herkes acil okusn We incelesin winlogin.exe trojan

P1kachu · 05-12-07, 03:04

trojan.win32.patched.g.

notebook'umun başına bela olmuş trojan. winlogon.exe'ye bulaşmış vaziyette. her açılışta, tesadüfi olarak isimlendirdiği nnnnn.exe ve başka bir takım dosyalar (.dll, .exe) yaratıyor, bunları çalıştırıp, netlimiter'dan başka hiçbir windows utility'sinin göremediği (http://img140.imagevenue.com/...6619568_122_236lo.jpg), arka planda çalışan bir internet explorer açıp, root directory'de (c:\) as.txt diye bir text file'a

- başka kurbanlardan topladığı e-mail adreslerini download ediyor,
- gezdiğim bilumum web sayfalarında görünen e-mail adreslerini ve
- herhangi bir yere klavyeyle yazdığım e-mail adreslerini

kaydediyor, bunları da belli periyodlar halinde ip'sini tespit ettiğim p..k'e upload ediyor.

"allah, allah, hiç kimseye de vermemiştim e-mail adresimi. hemen de junk yağmaya başladı." triplerinde iseniz, hard diskinizde c:\as.txt diye bir dosya olup, olmadığını kontrol edin. eğer böyle bir dosya bulursanız (içinde tanıdığınız/tanımadığınız bir dolu e-mail adresi göreceksiniz), önce başka bir yerde boş bir as.txt yaratın ve attribute'larını read-only yapın. pc'nizi bootlayın, açılır açılmaz, c:\as.txt'nin yerine yarattığınız read-only dosyayı yazın. bunu çok çabuk yapmanız lazım, çünkü 5-10 saniye içinde trojan aktive oluyor ve as.txt ulaşılamaz oluyor. böylece, en azından sizden ve başkalarından topladığı adresleri efendisine göndermesini engellersiniz.

çözüm: winlogon.exe'yi (c:\windows\system32 altında bulunuyor) http://www.virustotal.com'a upload edip, taratın. virüsü tanıyan (ki doğru-dürüst tanıyan tek bir program var, o da vba32 adlı virüs programı: http://www.anti-virus.by/en/ - norton, f-prot, mcafee, avast gibi yaygın kullanılan birçok virüs programı bakıp, geçiyor) bir virüs programı ile temizlemeyi deneyin. winlogon.exe windows'un çalışmazsa olmaz bir programı olduğu için, vba32'nin de bunu temizleyebileceğinden emin değilim, çünkü windows'a log olduğunuz anda, winlogon ellenemez oluyor.

manuel çözüm: pc'yi linux vs. işletim sistemleriyle açan ve üzerinde çeşitli file utility'ler olan bootable cd'lerden biriyle açıp, winlogon.exe'yi sağlıklı bir tanesiyle overwrite etmek olmalı. çalışıyorum, becerince entry'i update edeceğim.

--- edit ---
winlogon'u temizlemenin çözümü sözlükte varmış meğer: (bkz: #8674656). bu durumda çözüm şu şekilde bulundu:
- c:\windows\system32\winlogon.exe'nin adı değiştirildi
- c:\windows\system32\dllcache\'te bulunan winlogon'un sağlıklı olduğu tespit edilip, c:\windows\system32\'ye kopyalandı
- c:\windows\system32\'deki adı değiştirilmiş "eski" winlogon.exe silindi
- pc bootlandı
- trojan'ın yarattığı, ilgili abuk-sabuk dosyalar silindi *
- geçmiş olsun!
--- edit ---

virustotal.com'un winlogon.exe tarama raporu:

ahnlab-v3 2007.4.10.0 04.11.2007 no virus found
antivir 7.3.1.50 04.11.2007 no virus found
authentium 4.93.8 04.11.2007 no virus found
avast 4.7.936.0 04.10.2007 no virus found
avg 7.5.0.447 04.11.2007 no virus found
bitdefender 7.2 04.11.2007 no virus found
cat-quickheal 9.00 04.10.2007 no virus found
clamav devel-20070312 04.11.2007 no virus found
drweb 4.33 04.11.2007 no virus found
esafe 7.0.15.0 04.10.2007 no virus found
etrust-vet 30.7.3560 04.11.2007 no virus found
ewido 4.0 04.10.2007 no virus found
fileadvisor 1 04.11.2007 no virus found
fortinet 2.85.0.0 04.11.2007 wlhack.a!tr <---------
f-prot 4.3.1.45 04.11.2007 no virus found
f-secure 6.70.13030.0 04.11.2007 no virus found
ikarus t3.1.1.5 04.11.2007 no virus found
kaspersky 4.0.2.24 04.11.2007 no virus found
mcafee 5005 04.10.2007 no virus found
microsoft 1.2405 04.11.2007 no virus found
nod32v2 2180 04.11.2007 no virus found
norman 5.80.02 04.10.2007 no virus found
panda 9.0.0.4 04.11.2007 no virus found
prevx1 v2 04.11.2007 no virus found
sophos 4.16.0 04.06.2007 troj/wlhack-a <---------
sunbelt 2.2.907.0 04.07.2007 no virus found
symantec 10 04.11.2007 no virus found
thehacker 6.1.6.088 04.09.2007 no virus found
vba32 3.11.3 04.10.2007 trojan.win32.patched.g <---------
virusbuster 4.3.7:9 04.10.2007 no virus found
webwasher-gateway 6.0.1 04.11.2007 no virus found

tecrübelerime dayanarak söylüyorum ki, şu an türkiye' deki en yaygın virüsdür. nerede bir usb bellek varsa içindedir. ya şu dosyayı bana atsana dediğiniz anda usb nin içine, oradan da sizin bilgisayarınıza dalan lanet bir şeydir.
Ve acayip yavaslatıyo pc nizi nght da yavaslama sorunu olanlar baksn görv yöneticisinden Winlogin Exe warmı diye!

05-12-07, 03:04	#1
P1kachu MinasTirith Clan Member Üyelik Tarihi: Feb 2007 Mesajlar: 273 Tecrübe Puanı: 52	Herkes acil okusn We incelesin winlogin.exe trojan trojan.win32.patched.g. notebook'umun başına bela olmuş trojan. winlogon.exe'ye bulaşmış vaziyette. her açılışta, tesadüfi olarak isimlendirdiği nnnnn.exe ve başka bir takım dosyalar (.dll, .exe) yaratıyor, bunları çalıştırıp, netlimiter'dan başka hiçbir windows utility'sinin göremediği (http://img140.imagevenue.com/...6619568_122_236lo.jpg), arka planda çalışan bir internet explorer açıp, root directory'de (c:\) as.txt diye bir text file'a - başka kurbanlardan topladığı e-mail adreslerini download ediyor, - gezdiğim bilumum web sayfalarında görünen e-mail adreslerini ve - herhangi bir yere klavyeyle yazdığım e-mail adreslerini kaydediyor, bunları da belli periyodlar halinde ip'sini tespit ettiğim p..k'e upload ediyor. "allah, allah, hiç kimseye de vermemiştim e-mail adresimi. hemen de junk yağmaya başladı." triplerinde iseniz, hard diskinizde c:\as.txt diye bir dosya olup, olmadığını kontrol edin. eğer böyle bir dosya bulursanız (içinde tanıdığınız/tanımadığınız bir dolu e-mail adresi göreceksiniz), önce başka bir yerde boş bir as.txt yaratın ve attribute'larını read-only yapın. pc'nizi bootlayın, açılır açılmaz, c:\as.txt'nin yerine yarattığınız read-only dosyayı yazın. bunu çok çabuk yapmanız lazım, çünkü 5-10 saniye içinde trojan aktive oluyor ve as.txt ulaşılamaz oluyor. böylece, en azından sizden ve başkalarından topladığı adresleri efendisine göndermesini engellersiniz. çözüm: winlogon.exe'yi (c:\windows\system32 altında bulunuyor) http://www.virustotal.com'a upload edip, taratın. virüsü tanıyan (ki doğru-dürüst tanıyan tek bir program var, o da vba32 adlı virüs programı: http://www.anti-virus.by/en/ - norton, f-prot, mcafee, avast gibi yaygın kullanılan birçok virüs programı bakıp, geçiyor) bir virüs programı ile temizlemeyi deneyin. winlogon.exe windows'un çalışmazsa olmaz bir programı olduğu için, vba32'nin de bunu temizleyebileceğinden emin değilim, çünkü windows'a log olduğunuz anda, winlogon ellenemez oluyor. manuel çözüm: pc'yi linux vs. işletim sistemleriyle açan ve üzerinde çeşitli file utility'ler olan bootable cd'lerden biriyle açıp, winlogon.exe'yi sağlıklı bir tanesiyle overwrite etmek olmalı. çalışıyorum, becerince entry'i update edeceğim. --- edit --- winlogon'u temizlemenin çözümü sözlükte varmış meğer: (bkz: #8674656). bu durumda çözüm şu şekilde bulundu: - c:\windows\system32\winlogon.exe'nin adı değiştirildi - c:\windows\system32\dllcache\'te bulunan winlogon'un sağlıklı olduğu tespit edilip, c:\windows\system32\'ye kopyalandı - c:\windows\system32\'deki adı değiştirilmiş "eski" winlogon.exe silindi - pc bootlandı - trojan'ın yarattığı, ilgili abuk-sabuk dosyalar silindi * - geçmiş olsun! --- edit --- virustotal.com'un winlogon.exe tarama raporu: ahnlab-v3 2007.4.10.0 04.11.2007 no virus found antivir 7.3.1.50 04.11.2007 no virus found authentium 4.93.8 04.11.2007 no virus found avast 4.7.936.0 04.10.2007 no virus found avg 7.5.0.447 04.11.2007 no virus found bitdefender 7.2 04.11.2007 no virus found cat-quickheal 9.00 04.10.2007 no virus found clamav devel-20070312 04.11.2007 no virus found drweb 4.33 04.11.2007 no virus found esafe 7.0.15.0 04.10.2007 no virus found etrust-vet 30.7.3560 04.11.2007 no virus found ewido 4.0 04.10.2007 no virus found fileadvisor 1 04.11.2007 no virus found fortinet 2.85.0.0 04.11.2007 wlhack.a!tr <--------- f-prot 4.3.1.45 04.11.2007 no virus found f-secure 6.70.13030.0 04.11.2007 no virus found ikarus t3.1.1.5 04.11.2007 no virus found kaspersky 4.0.2.24 04.11.2007 no virus found mcafee 5005 04.10.2007 no virus found microsoft 1.2405 04.11.2007 no virus found nod32v2 2180 04.11.2007 no virus found norman 5.80.02 04.10.2007 no virus found panda 9.0.0.4 04.11.2007 no virus found prevx1 v2 04.11.2007 no virus found sophos 4.16.0 04.06.2007 troj/wlhack-a <--------- sunbelt 2.2.907.0 04.07.2007 no virus found symantec 10 04.11.2007 no virus found thehacker 6.1.6.088 04.09.2007 no virus found vba32 3.11.3 04.10.2007 trojan.win32.patched.g <--------- virusbuster 4.3.7:9 04.10.2007 no virus found webwasher-gateway 6.0.1 04.11.2007 no virus found tecrübelerime dayanarak söylüyorum ki, şu an türkiye' deki en yaygın virüsdür. nerede bir usb bellek varsa içindedir. ya şu dosyayı bana atsana dediğiniz anda usb nin içine, oradan da sizin bilgisayarınıza dalan lanet bir şeydir. Ve acayip yavaslatıyo pc nizi nght da yavaslama sorunu olanlar baksn görv yöneticisinden Winlogin Exe warmı diye! __________________ üye ol ve arkadaslarını üye yap yaptıkca kazan ilk üyeligin tamamla 5 ytl hesabında üye kazndırdkca parlar gelsin , http://www.superteklif.com/SuperUye/...d-71ac47a3ef89