Bir spy yakaladım galiba?Ustalar baksın lütfen

Question

Merhaba

bugün bilgisayarımda şöyle bir hata aldım.Daha önce görmüştüm ama gözüme o kadar çarpmadığı için ilgilenmemiştim.

System32 dosyamın içinde fbcd.exe diye bir exe gördüm ve bilgisayarın başlangıcına yerleşmişti.

794 KB boyutunda bir program.Şüphelendim.Antivirüs ile tarattırdım bir sonuç çıkmadı internet üzerinden tarattırdım sadece 1 sunucu backdoor dedi.

Bunun üzerine şüphelendim. PE Explorer ile baktım ve bazı sonuçlar çıktı size göstermek istiyorum

Dailog sekmesinde şu kodlar mevcur

DLGTEMPLATE DIALOG 0, 0, 316, 76 
  STYLE DS_SETFONT | DS_3DLOOK | DS_CONTROL | WS_CHILD | WS_VISIBLE | WS_CLIPSIBLINGS 
  LANGUAGE LANG_NEUTRAL, SUBLANG_NEUTRAL 
  FONT 8, "MS Sans Serif" 
  { 
    LTEXT   1119, 0, 0, 204, 76, NOT WS_VISIBLE 
  }

Stringde şu şekilde tablar var

STRINGTABLE 
  LANGUAGE LANG_NEUTRAL, SUBLANG_NEUTRAL 
  { 
  65264, "Window Background" 
  65265, "Window Frame" 
  65266, "Window Text" 
  65267, "Invalid owner" 
  65268, "RichEdit line insertion error" 
  65269, "This control requires version 4.70 or greater of COMCTL32.DLL" 
  65270, "No help keyword specified." 
  65271, "OLE error %.8x" 
  65272, "Method '%s' not supported by automation object" 
  65273, "Variant does not reference an automation object" 
  65274, "Dispatch methods do not support more than 64 parameters" 
  65275, "Buffer overflow" 
  65276, "Invalid UTF7" 
  }

STRINGTABLE 
  LANGUAGE LANG_NEUTRAL, SUBLANG_NEUTRAL 
  { 
  65328, "Up" 
  65329, "Right" 
  65330, "Down" 
  65331, "Ins" 
  65332, "Del" 
  65333, "Shift+" 
  65334, "Ctrl+" 
  65335, "Alt+" 
  65336, "Clipboard does not support Icons" 
  65337, "Text exceeds memo capacity" 
  65338, "Menu '%s' is already being used by another form" 
  65339, "Docked control must have a name" 
  65340, "Error removing control from dock tree" 
  65341, " - Dock zone not found" 
  65342, " - Dock zone has no control" 
  65343, "No OnGetItem event handler assigned" 
  }

RC data bölümünde
DVCLAL diye bir bölüm görüyorum ve girdiğimde karşıma şu kodlar çıkıyor

// <SIGNATURE> 
   
   - Licence is valid 
   - Delphi Client/Server Suite (Enterprise)

Ve TFRMBOT bölümünde şu kodlar var.

// <DFM>  TFRMROBOT = class(TForm); 
   
  object frmRobot: TfrmRobot 
    Left = 287 
    Top = 123 
    Width = 837 
    Height = 565 
    Caption = 'frmRobot' 
    Color = clBtnFace 
    Font.Charset = DEFAULT_CHARSET 
    Font.Color = clWindowText 
    Font.Height = -11 
    Font.Name = 'MS Sans Serif' 
    Font.Style = [] 
    OldCreateOrder = False 
    OnClose = FormClose 
    OnCreate = FormCreate 
    PixelsPerInch = 96 
    TextHeight = 13 
    object Label1: TLabel 
      Left = 174 
      Top = 20 
      Width = 31 
      Height = 13 
      Caption = 'Email: ' 
    end 
    object Label2: TLabel 
      Left = 153 
      Top = 52 
      Width = 52 
      Height = 13 
      Caption = 'Password: ' 
    end 
    object Label3: TLabel 
      Left = 40 
      Top = 84 
      Width = 165 
      Height = 13 
      Caption = 'Became fan links (link1,link2,link3):' 
    end 
    object Label4: TLabel 
      Left = 74 
      Top = 108 
      Width = 132 
      Height = 13 
      Caption = 'Apps links (link1,link2,link3):' 
    end 
    object Label5: TLabel 
      Left = 20 
      Top = 132 
      Width = 189 
      Height = 13 
      Caption = 'Join groups links (exmpl link1,link2,link3)' 
    end 
    object btnTest: TButton 
      Left = 216 
      Top = 192 
      Width = 75 
      Height = 25 
      Caption = 'Test' 
      Enabled = False 
      TabOrder = 0 
      OnClick = btnTestClick 
    end 
    object memLog: TTntMemo 
      Left = 16 
      Top = 232 
      Width = 801 
      Height = 297 
      Font.Charset = ANSI_CHARSET 
      Font.Color = clWindowText 
      Font.Height = -11 
      Font.Name = 'Tahoma' 
      Font.Style = [] 
      ParentFont = False 
      ScrollBars = ssBoth 
      TabOrder = 1 
    end 
    object edtEmail: TEdit 
      Left = 216 
      Top = 16 
      Width = 193 
      Height = 21 
      TabOrder = 2 
      Text = '***@gmail.com' 
    end 
    object edtPwd: TEdit 
      Left = 216 
      Top = 48 
      Width = 193 
      Height = 21 
      TabOrder = 3 
      Text = '****' 
    end 
    object edtBecomeAFanLinks: TTntEdit 
      Left = 216 
      Top = 80 
      Width = 593 
      Height = 21 
      Font.Charset = ANSI_CHARSET 
      Font.Color = clWindowText 
      Font.Height = -11 
      Font.Name = 'Tahoma' 
      Font.Style = [] 
      ParentFont = False 
      TabOrder = 4 
      Text = 'http://tr-tr.facebook.com/pages/Avrupa-Yakas/41081903949' 
    end 
    object cbAddFriend: TCheckBox 
      Left = 120 
      Top = 160 
      Width = 73 
      Height = 17 
      Caption = 'Add friend' 
      TabOrder = 5 
    end 
    object cbApprovalFriend: TCheckBox 
      Left = 200 
      Top = 160 
      Width = 97 
      Height = 17 
      Caption = 'Approval friend' 
      Checked = True 
      State = cbChecked 
      TabOrder = 6 
    end 
    object cbIgnoreOtherRequest: TCheckBox 
      Left = 304 
      Top = 160 
      Width = 129 
      Height = 17 
      Caption = 'Ignore all invite' 
      TabOrder = 7 
    end 
    object cbJoinGroup: TCheckBox 
      Left = 440 
      Top = 160 
      Width = 81 
      Height = 17 
      Caption = 'Join group' 
      TabOrder = 8 
    end 
    object cbBecomeAFan: TCheckBox 
      Left = 520 
      Top = 160 
      Width = 97 
      Height = 17 
      Caption = 'Become a fan' 
      TabOrder = 9 
    end 
    object cbAllowApp: TCheckBox 
      Left = 616 
      Top = 160 
      Width = 81 
      Height = 17 
      Caption = 'Allow app' 
      TabOrder = 10 
    end 
    object cbDeleteMessage: TCheckBox 
      Left = 704 
      Top = 160 
      Width = 97 
      Height = 17 
      Caption = 'Delete message' 
      TabOrder = 11 
    end 
    object edtAppLinks: TTntEdit 
      Left = 216 
      Top = 104 
      Width = 593 
      Height = 21 
      Font.Charset = ANSI_CHARSET 
      Font.Color = clWindowText 
      Font.Height = -11 
      Font.Name = 'Tahoma' 
      Font.Style = [] 
      ParentFont = False 
      TabOrder = 12 
      Text =  
        'http://www.new.facebook.com/tos.php?api_key=ce0a297590edc64aae77' + 
        '4c3a131f9443&next=http%3A%2F%2Fda2602c1.fb.joyent.us%2Fapps%2Fta' + 
        'skmaster%2F&v=1.0&canvas' 
    end 
    object edtJoinGroups: TTntEdit 
      Left = 216 
      Top = 128 
      Width = 593 
      Height = 21 
      Font.Charset = ANSI_CHARSET 
      Font.Color = clWindowText 
      Font.Height = -11 
      Font.Name = 'Tahoma' 
      Font.Style = [] 
      ParentFont = False 
      TabOrder = 13 
      Text = 'http://www.facebook.com/group.php?gid=15303049795' 
    end 
    object tmAccount: TTimer 
      Enabled = False 
      OnTimer = tmAccountTimer 
      Left = 344 
      Top = 16 
    end 
    object tmSendMessage: TTimer 
      Interval = 3000 
      OnTimer = tmSendMessageTimer 
      Left = 384 
      Top = 16 
    end 
  end

ilk bştaki hatya bakarakhttp://www.magover.com/ a giriyorum ve ordaki klasörleri göreceksiniz :S Bana face2 klasöründen geldi. MYSQL hata verdiği için.

Sizce bu nedir ne yapılabilir kim tarafından ne ile olmuştur?
Lütfen ustalardan rica ediyorum bildiklerinizi söyleyiniz.

Answer

Combofix'i kullan . Virüs programlarını kapat combofix'i indir ve aç , sana soru sorarsa evet demen yeterli başka birşeyi elleme . İşlemler bittikten sonra pc'i tekrar kapat aç sonra birdaha bak virüs varmı yokmu diye . Sypware Doctor Full ve Spybot Search Bu Programları kur ve bunlarlada bir tarama yap .

< Bu mesaj bu kişi tarafından değiştirildi Atif Zafrak -- 11 Mayıs 2009; 15:07:09 >

Bir spy yakaladım galiba?Ustalar baksın lütfen

Benzer içerikler