Üye Girişi
Bağlan Google+ ile Bağlan Facebook ile Bağlan
Yeni Kayıt
Tüm Forumlar
  • Tüm Forumlar
  • Donanım / Hardware
  • Teknik Yardım
  • Bu Konuda
Şimdi Ara

lovgate mahvediyor

Sıcak Fırsatlarda Tıklananlar
Editörün Seçtiği Fırsatlar
Daha Fazla
Bu Konudaki Kullanıcılar: Daha Az
2 Misafir - 2 Masaüstü
5 sn
8
Cevap
0
Favori
449
Tıklama
Daha Fazla
İstatistik
  • Konu İstatistikleri Yükleniyor
Konuya Özel
0 oy
Öne Çıkar
Cevapla
Sayfa: 1
Giriş
Mesaj
  • arkadaşlar bir çoğunuz bu lovgate virüsünü biliyorsunuzdur.. su an bir cafedeyim ve başım dertte. yaklasık 10 saattir bu wormla uğraşıyorum ama nafile aklınıza gelebilecek her türlü virüs temizliyici ile denedim. avast - kysperg - fprot - norton - mccafe - vs vs ama sonuc 0 bir şekilde kendini tekrar canlandırıyor serefsiz worm.
    ms dos kipindede fprot nod ve bit defener ın ms dos sürümleri ile tarama yaptım bir sürü dosya siliyorlar ama nafile restart attıktan 10 dakika sonra yine burda...
    format da attım fakat oda bir işe yaramıyor. şimdi sizden isteğim bana yardım edin kafayı cizmek üzereyim. temizlememem gerek ve gurur meselesi haline geldi.
    eğer bilen biri warsa lütfen ama lütfen yardım etsin. yoksa sonum bu worm yüzünden olacak..........[X(]







  • http://bilisim.istanbul.edu.tr/body1/virus/virus.html
    adresinden temizleme aracını indirebilirsin

    Aslında bir solucan (worm) olan W32/Lovgate.ad@MM e-mail yolu ile bilgisayarınıza bulaşıyor. Sonra, bir arka kapı açarak hacker'ın bilgisayarınıza ulaşıp istediğini yapmasını sağlıyor. Çalışan dosyalara (.EXE) bulaşıyor. Anti-virüs ve firewall'ı etkisiz hale getirmeye çalışıyor. Kendisini e-posta'nızdaki adreslere göndermeye çalışıyor. Böyle yayılıyor.

    Konusu; "hi, hello, Hello, Mail transaction Failed, mail delivery system" gibi olan e-posta'lara dikkat!!!. Bunlarla bulaşıyor. Okumadan silin. Mesaj içeriğinde "Mail failed. For further assistance, please contact!" olması tehlikeli !!! Aslında bu yazıyı okuduğunuzda iş işten geçmiş olabilir. Mesaj ekinde unicode karakterlerle oluşturulmuş ikili (binary) ".bin" dosyalar (attachment) geliyor. Rastgele bir şekilde .EXE, .PIF, .SCR, .ZIP dosya tiplerinde mesaj ekleri (attachment) yeralıyor.

    Aşağıdaki dosyalar solucanın ilk aşamada bulaştığı ve kullandığı dosyalardır;
    %WinDir%\System32\IEXPLORE.EXE
    %WinDir%\System32\KERNEL66.DLL
    %WinDir%\System32\RAVMOND.exe
    %WinDir%\System32\HXDEF.EXE
    %WinDir%\System32\UPDATE_OB.EXE
    %WinDir%\System32\TKBELLEXE.EXE
    %WinDir%\SYSTRA.EXE
    %WinDir%\SVCHOST.EXE.EXE
    C:\COMMAND.EXE
    %WinDir%\System32\MSJDBC11.DLL
    %WinDir%\System32\MSSIGN30.DLL
    %WinDir%\System32\ODBC16.DLL
    %WinDir%\System32\LMMIB20.DLL

    Solucan kendini arşivleyerek (ZIP'leyerek gibi) COM, EXE, PIF veya SCR gibi dosya tiplerinde ve password, email, book, letter, bak, work, important gibi dosya adı ile saklıyor. örneğin; important.scr gibi...

    Sistemin açılışında çalışması için;
    HKEY_CURRENT_USER\Software\Microsoft\Windows NT\
    CurrentVersion\Windows "run" = RAVMOND.exe
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
    Run "Hardware Profile" = %SysDir%\HXDEF.EXE
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
    Run "WinHelp" = %SysDir%\IEXPLORE.EXE
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
    Run "Program In Windows" = %SysDir%\IEXPLORE.EXE
    gibi registry'e ilaveler yapıyor.

    Solucan ilave servisleri için;
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
    runServices "SystemTra" = %WinDir%\SYSTRA.EXE
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
    runServices "COMM++System" = %WinDir%\SVCHOST.EXE
    gibi registry'e kayıtlar ilave ediyor.

    Arka kapı açmak için;
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
    Run "VFW Encoder/Decoder Settings" = RUNDLL32.EXE MSSIGN30.DLL ondll_reg
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
    Run "Protected Storage" = RUNDLL32.EXE MSSIGN30.DLL ondll_reg
    gibi registry'e kayıtlar ilave ediyor.

    Solucanın ilave ettiği iki servis;
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\_reg
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Management Protocol v.0 (experimental)
    başlıkları altında yeralıyor ve bu servisler ile ilgili detay bilgi;

    Service 1
    Display name: _reg
    ImagePath: Rundll32.exe msjdbc11.dll ondll_server
    Startup: automatic

    Service 2
    Display name: Windows Management Protocol v.0 (experimental)
    Description: Windows Advanced Server. Performs scheduled scans for LANguard.
    ImagePath: Rundll32.exe msjdbc11.dll ondll_server
    Startup: automatic

    şeklinde oluyor.

    Solucan kendini .EXE uzantılı dosyalara kopyalıyor ve asıl dosyanın ismini .ZMX olarak değiştiriyor.

    Aşağıdaki kelimeleri içeren servisleri ya da bellekte çalışan programları durduruyor;

    rising
    SkyNet
    Symantec
    McAfee
    Gate
    Rfw.exe
    RavMon.exe
    kill
    Duba

    Şimdilik manuel (elle) ve otomatik silme yöntemi bulunamadı, ancak bazı antivirüs firmaları kendi yazılımlarının bu solucanı durdurabildiğini söylüyor.




  • dostum teşşekkür ediyorum bilgilendirdiğin için bizi(ANGEL&SLAYER)..senden öğrenmek istediğim bişi war.bu worm temizleme araçlarının hepsini indirdim ben şimdi.Peki bunların çalışması nasıl olacak.Yani worm bulaştıktan sonramı çalıştırıcaz.Hangi wormun bulaştığını, hangi worm temizleme aracını kullanacağımızı nasıl anlayacaz.Bunların hepsi XP uyumlumu yoksa hem XP hem 98 de çalışırmı.Yada hepsini indirdikten sonra, hepsini çalıştırıcazmı sırayla.Mantık nasıl yani.Yardımcı olursan sevinirim.
  • eğer bilgisayarına hangi virüsün bulaştığını biliyorsan onu çalıştır... çalıştırdığın anda o kendisi taramaya başlar zaten ve temizler..... hepsini kullanmana gerek yok kısacası.... ama taratmanın bir sakıncasıda olmaz..... eğer worm temizlemek istiyorsan adaware ve spy sweeper programlarını kullanabilirsin... güzel programlardır..... sistemini temizler...

    virüs ve worm lar birbirinden farklı şeylerdir..... topicte geçen lovgate worm mantığıyla çalışıyor....

    Dediğim gibi yukarda adını verdiğim programları bir kurup kullan... baya temizlik yaparsın



    < Bu mesaj bu kişi tarafından değiştirildi angel&slayer -- 8 Ocak 2005, 9:00:00 >
  • zaten hepsini indirdim verdiğin linkten.ama hiç birini başlatmadım daha.bi deneyeyim ozaman.Spy sweeper kullanıyorum.güzel.
  • dostum ben ben bu sorunu hastane labaratuvarındaki ağda yaşadım yaklasık 45 makinayı esir aldı ve tam 1 hafta uğraştım sonunda bana ilaç olan sey STİNGER.EXE programı oldu http://vil.nai.com/vil/stinger/ burdan download et ve sistemi tara xp sistemlerde ilk önce sistem izlemeyi kapatman lazım sonra gerisini stinger exe halleder ama kalıcı bi çözüm için
    microsoft tan gerekli patch i bulup yükle yoksa 1 saate kalmaz tekrar tüm makinelere bulasır yaşadım ordan biliyorum :))
    diğer antivirüs programlarını deneme bile norton panda hepsi sıctı deneme bile boşa zaman kaybı hadi sana kolay gelsin
    bu arada bu stinger.exe 45 ayrı worm ve varyantına karsı etkili mcaffenin cıkardıgı küçük bi program yaklasık 958 kb kadar cok işini görür marifetlidir ..



    < Bu mesaj bu kişi tarafından değiştirildi brute_force -- 5 Ocak 2005, 14:38:57 >
  • arkadaşlar bilgileriniz için cok teşekür ederim.
    birincisi stenger i kullandım hatta microsoftun altını üstüne getirdim yamalarıda indirdim. şimdi bana bulaşan lovgate.x ve formatda dahil aklınıza gelebilecek her şeyi denedim.
    artık başka carem kalmadı hepsine birden formatı bascam ve tekrar updateleri denicem. ama hala içimde bir kuşku war. bu sistamatik in güncel olarak yayınladığı wormlara karşı fix programlarını bile denedim. hadi hayırlısı arkadaşlar haftaya kaldı artık şu an sadece 60 sn olayını durdurdum. ama worm sürekli kendni coğaltıyor ve bu beni deli ediyor.
    dediğim gibi kan davası haline geldi artık.
    reg kayıtları ile ilgli meseleye gelince sistamatik in fix programları reg kayıtlarını da temizliyor. ama malum bir şekilde tekrrar merhaba diyip karşıma geliyor.
    ben sadece format atmadan bu olaydan nasıl kurtulurum onun için uğraşıyorum.
    ve çözümünü bulmak için elimden gelen herşeyi yapacağım.
    bunca senedir bilgisayarla uğraşıyorum ama bu kadar pislik bir wormla daha önce hiç karşılaşmadım
    fikirlerinize hala acığım arkadaşlar.
    gelin el ele verip sunu bir şekilde çözüm yolunu bulalım....
    (formatsız şeklini)




  • format attın yine bulaşıyosa ağ baglantı kablosunu çıkar ve tekrar format at. veya yuklediğin programların içinde de olabilir
    • 
Sayfa: 1

Benzer içerikler

- x
Bildirim
mesajınız kopyalandı (ctrl+v) yapıştırmak istediğiniz yere yapıştırabilirsiniz.
Hizmet kalitesi için çerezleri kullanabiliriz. DH’ye girerek kullanım izni vermiş sayılırsınız.
Anladım Veri Politikamız