bu konuya 38 yanıt verildi

[yağmur]

son mesajı yeni gördüm ne güzel aynı düşüncedeyiz bilseydim önce yazmaz yazmanı talep ederdim.Affet Mel.

[IR0cc0]

Öncelikle Merhaba hepinizden 4yıllık bır konuyu upladıqım ıcın cok özur dılerım fakat gercekden mecbur kaldım...Aynı sorunu bende yasıyorum fkat ne yazıkkı cozemıyorum lutfen yardımlarınızı beklıyorum=(

[Melih]

Blaster virüsü çok eskidi artık. O kesin başka bir virüstür
Eğer bulgular bu virüs ile aynı ise en yakın zamanda bir antivirüs programı ile tarama yaptırmanı tavsiye ederim.
Çünkü piyasadaki bütün antivirüsler Blaster virüsünü temizleyebilir..

[IR0cc0]

Oncelıkle yardımın ıcın Saqol .Bulgular:Bilgisayar acılınca 1dk ıcınde kapanıyor(shut down komutu ıle durdurabılıyorum)
Symantec fixblass qibi programlarla taratınca herhanqi birşey bulmuyor
ctrl alt delete de blass deil lass die bi proqram var kapanmıyor...
Internete coğu zaman bağlanmıyor bağlandıqı zamanda ındırım yapılmıyor..
Bılgısayara atılan hıc bır anti virüs programı downland edilmiyor.Windows installer hatası veriyor.
Sp 1 yada Sp 2 kurmaya calıstıqımda veri tabanı hatası alıyorum.
Yardımlarınızı beklıyorum=(
Ayrıca internette bir arastırma yapınca blaster virüsü olarakda buldum worm(solucan virüsü olarakda)..

Bu mesaj Mel G. tarafından düzenlendi. Düzenleme zamanı: 30.11.2008 - 13:47
Bir üstteki mesajın tamamını alıntı yapmanıza gerek yok.

[Melih]

lass dediğin dosya ISASS olmasın?
Yani çakma LSASS

Öncelikle şuraya bir göz atıver: http://www.harabe.ne...p?showtopic=657

Buradan da çözemezsen gel yine

[IR0cc0]

Bi bakalım=) aksam eve qıdınce daha detylı bkcam:D yrdımların ıcın cok sağol ınsallah aradıqım cevap burdadır

[IR0cc0]

konuya baktım symantecın yaptıqı fxblass mı ne taratmıstım bırsey cıkmamıstı o konudakı yazılar benım anlattıqım sorunada uyuyor fakat blass da uyuyor=( 1dk ıcınde kapanıyor makına herneyse orda fxsasser yazıyor onu ındırıp taratmıstım fakat hıc bır sey bulamamıstı=(

[Melih]

O zaman aşağıdaki bağlantıya tıklayıp dosyayı Masaüstüne kaydet.
Daha sonra oradan çalıştırarak tarama yapmasını bekle..
Bitirdiğinde bir metin dosyası açacaktır. Bu dosyanın içeriğini buraya kopyala.
İz kalmış mı diye bakarız

Not: Eğer çalıştırmasına izin vermiyorsa ve hemen kapanıyorsa, güvenli modda da çalıştırabilirsin..

Combofix Yükle

[IR0cc0]

Yardımların ıcın cok saqol 2saat cıvarı sonra evde olucam denıcem umarım kurtulurum can sıkıntısı vermeye basladi=(

Bu mesaj IR0cc0 tarafından düzenlendi. Düzenleme zamanı: 01.12.2008 - 19:12

[IR0cc0]

Proqramı ındırdım kurdum tarattım metin belqesi cıktı sorunum duzelmedi metin belqesi cıktıkdan sonra bırakın belgeyi kopyalayp buraya atmaya screan shot almaya dahi vaktım olmuyor metnın kaydolduğu herahngi bir yer varsa bulup koyabılırım tabii...

[Melih]

C:\ComboFix.txt

[IR0cc0]

ComboFix 08-11-30.02 - anıl 2008-12-01 19:02:01.2 - NTFSx86 NETWORK
Running from: c:\documents and settings\anıl\Desktop\ComboFix.exe

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

((((((((((((((((((((((((( Files Created from 2008-11-01 to 2008-12-01 )))))))))))))))))))))))))))))))
.

2008-11-29 12:00 . 2008-11-29 12:00 <DIR> d-------- c:\documents and settings\All Users\Application Data\Kaspersky Lab Setup Files
2008-11-29 11:37 . 2008-11-29 11:37 268 --ah----- C:\sqmdata19.sqm
2008-11-29 11:37 . 2008-11-29 11:37 244 --ah----- C:\sqmnoopt19.sqm
2008-11-29 11:36 . 2008-11-29 11:36 <DIR> d--h-c--- c:\windows\$xpsp1hfm$
2008-11-29 11:36 . 2003-05-11 16:26 24,576 --a------ c:\windows\system32\xpsp1hfm.exe
2008-11-29 11:16 . 2008-11-29 11:16 268 --ah----- C:\sqmdata18.sqm
2008-11-29 11:16 . 2008-11-29 11:16 244 --ah----- C:\sqmnoopt18.sqm
2008-11-29 10:44 . 2008-11-29 10:44 244 --ah----- C:\sqmnoopt17.sqm
2008-11-29 10:44 . 2008-11-29 10:44 232 --ah----- C:\sqmdata17.sqm
2008-11-29 10:18 . 2008-11-29 10:18 244 --ah----- C:\sqmnoopt16.sqm
2008-11-29 10:18 . 2008-11-29 10:18 232 --ah----- C:\sqmdata16.sqm
2008-11-29 09:40 . 2008-11-29 09:40 244 --ah----- C:\sqmnoopt15.sqm
2008-11-29 09:40 . 2008-11-29 09:40 232 --ah----- C:\sqmdata15.sqm
2008-11-29 09:24 . 2008-11-29 09:24 244 --ah----- C:\sqmnoopt14.sqm
2008-11-29 09:24 . 2008-11-29 09:24 244 --ah----- C:\sqmnoopt13.sqm
2008-11-29 09:24 . 2008-11-29 09:24 232 --ah----- C:\sqmdata14.sqm
2008-11-29 09:24 . 2008-11-29 09:24 232 --ah----- C:\sqmdata13.sqm
2008-11-29 09:04 . 2008-11-29 09:04 244 --ah----- C:\sqmnoopt12.sqm
2008-11-29 09:04 . 2008-11-29 09:04 232 --ah----- C:\sqmdata12.sqm
2008-11-28 21:37 . 2008-11-28 21:37 1,123,600 --a------ c:\windows\system32\FM20.DLL
2008-11-28 21:37 . 2008-11-28 21:37 169,984 --a------ c:\windows\system32\P2D.DLL
2008-11-28 21:37 . 2008-11-28 21:37 161,552 --a------ c:\windows\system32\ASYCPICT.DLL
2008-11-28 21:37 . 2008-11-28 21:37 127,488 --a------ c:\windows\system32\ISCTRLS.OCX
2008-11-28 21:37 . 2008-11-28 21:37 79,872 --a------ c:\windows\system32\MSNAUDIO.ACM
2008-11-28 21:37 . 2008-11-28 21:37 57,344 --a------ c:\windows\system32\COMMTB32.DLL
2008-11-28 21:37 . 2008-11-28 21:37 28,672 --a------ c:\windows\system32\HLP95EN.DLL
2008-11-28 21:37 . 2008-11-28 21:37 25,872 --a------ c:\windows\system32\FM20ENU.DLL
2008-11-28 21:36 . 2008-11-28 21:36 268 --ah----- C:\sqmdata11.sqm
2008-11-28 21:36 . 2008-11-28 21:36 244 --ah----- C:\sqmnoopt11.sqm
2008-11-28 21:32 . 2008-11-28 21:37 <DIR> d-------- c:\program files\ActiveX Control Pad
2008-11-28 20:34 . 2008-11-28 20:34 268 --ah----- C:\sqmdata10.sqm
2008-11-28 20:34 . 2008-11-28 20:34 244 --ah----- C:\sqmnoopt10.sqm
2008-11-28 19:50 . 2008-11-28 19:50 244 --ah----- C:\sqmnoopt09.sqm
2008-11-28 19:50 . 2008-11-28 19:50 232 --ah----- C:\sqmdata09.sqm
2008-11-28 19:43 . 2008-11-28 19:43 244 --ah----- C:\sqmnoopt08.sqm
2008-11-28 19:43 . 2008-11-28 19:43 232 --ah----- C:\sqmdata08.sqm
2008-11-28 19:40 . 2008-12-01 18:57 244 --ah----- C:\sqmnoopt07.sqm
2008-11-28 19:40 . 2008-12-01 18:52 244 --ah----- C:\sqmnoopt06.sqm
2008-11-28 19:40 . 2008-12-01 18:57 232 --ah----- C:\sqmdata07.sqm
2008-11-28 19:40 . 2008-12-01 18:52 232 --ah----- C:\sqmdata06.sqm
2008-11-28 19:39 . 2008-11-29 16:05 268 --ah----- C:\sqmdata05.sqm
2008-11-28 19:39 . 2008-11-29 16:05 244 --ah----- C:\sqmnoopt05.sqm

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-12-01 16:57 --------- d-----w c:\program files\FlashGet
.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\ctfmon.exe" [2001-11-22 13312]
"MsnMsgr"="c:\program files\MSN Messenger\MsnMsgr.Exe" [2007-01-19 5674352]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-04-25 68856]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATICCC"="c:\program files\ATI Technologies\ATI.ACE\cli.exe" [2006-01-02 45056]
"Smapp"="c:\program files\Analog Devices\SoundMAX\SMTray.exe" [2003-07-30 143360]
"Flashget"="c:\program files\FlashGet\FlashGet.exe" [2007-09-25 2007088]
"NIC Monitor"="VNICMon.exe" [2004-02-09 c:\windows\system32\VNICMon.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2001-11-22 13312]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"MSACM.MSNAUDIO"= msnaudio.acm

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Authentication Packages REG_MULTI_SZ msv1_0 nwprovau
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-12-01 19:05:40
Windows 5.1.2600 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------

- - - - - - - > 'winlogon.exe'(588)
c:\windows\system32\ODBC32.dll
c:\windows\system32\Ati2evxx.dll
.
Completion time: 2008-12-01 19:06:57 - machine was rebooted
ComboFix-quarantined-files.txt 2008-12-01 17:06:55
ComboFix2.txt 2008-12-01 16:53:22

Pre-Run: 73.011.535.872 bayt boş
Post-Run: 73,014,054,912 bayt boş

95


Virüsün bulasma sansı olabılır dıye text. seklınde koymak ıstemedım dosyanın ıcerıqı budur...

[Melih]

Burada bir sorun göremedim.
Bir de HijackThis ile tarama yaptıralım:

HijackThis Yükle

Programı kurduktan sonra açılan pencerede "Do a system scan and save a logfile" seçeneğini tıkla.
Açılan metin belgesinin içeriğini buraya yapıştır.
Ona da bakalım

Bu arada bir donanım hatası (genellikle RAM) yüzünden de bilgisayar bu şekilde kapanabiliyor. RAM'i veya RAM slotunu değiştirmeyi de dene istersen..

Ayrıca shutdown -a ile kapanmasını önlemeden önce bir ekran görüntüsü alıp buraya resim şeklinde eklersen ona da bakalım.

Çözücez çözücez

[IR0cc0]

şuan evımde deilim gecınce alıp bir ss sini atıcam fakat aynen konunun basında bahsedılen 1dk sistem hatasıyla aynı eve gecınce atarm..Öncelikle yardımların ıcın cok saqol bir kac forum sıteıne daha basvurdum fakat hıc yanıt alamadım=( Çözucemize bnede ınanıyorum fakat gunduz işte oldugumdan yalnızca aksam sıtede on olabılıyorum ve sanırım sende pek fazla aynı saatte on olamıyoruz ne demk ıstedımı anlamıssındır=) Sorunun daha cabuk cozulmesi icin eğer sakıncası yoksa özelden msn adresimi versem oyle konusma sansımız varmı?Tabi sakıncası yoksa..Burdan gercekden cok uzuyorda=)

[IR0cc0]

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:48:31, on 02.12.2008
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ati2sgag.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\VNICMon.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
C:\Program Files\FlashGet\FlashGet.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\AirTies\ADSL Hizmet Programı\AirTies_util3.exe
C:\Program Files\internet explorer\iexplore.exe
C:\WINDOWS\System32\dwwin.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft....k/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft....k/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft....k/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Bağlantılar
O2 - BHO: flashget urlcatch - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\Program Files\FlashGet\jccatch.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\3.0.1225.9868\swg.dll
O2 - BHO: FlashGet GetFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - C:\Program Files\FlashGet\getflash.dll
O3 - Toolbar: &Radyo - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [NIC Monitor] VNICMon.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [Smapp] C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [Flashget] "C:\Program Files\FlashGet\FlashGet.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-21-484763869-1844237615-725345543-1003\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe (User '?')
O4 - HKUS\S-1-5-21-484763869-1844237615-725345543-1003\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background (User '?')
O4 - HKUS\S-1-5-21-484763869-1844237615-725345543-1003\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe (User '?')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User '?')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: AirTies ADSL Hizmet Programı.lnk = ?
O8 - Extra context menu item: &Download All with FlashGet - C:\Program Files\FlashGet\jc_all.htm
O8 - Extra context menu item: &Download with FlashGet - C:\Program Files\FlashGet\jc_link.htm
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Program Files\FlashGet\FlashGet.exe
O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Program Files\FlashGet\FlashGet.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\lspmus.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{D47F9E24-2BC8-4A0C-99F8-7664B3073C42}: NameServer = 4.2.2.2,4.2.2.1
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

--
End of file - 4866 bytes

Buda dıerının ıcerıqı=)

[IR0cc0]

Sistem uyarısının herhangi bir ss sini istemistin aldım fakat hostlayamıyorum..Sebep, yıne aynıs sorundan..Bır ınternet sayfası ıcınde bır upload yada vb bırseye tıklayınca acılmıyor(o da bu sorundan oldu) anca saq click kaydet ile acabılıyorum fakat o şekilde hostlamam olanaksız=(

[Melih]

Bu rapor da temiz..
Son seçeneğe kalıyoruz demek ki. Normal çalıştığından emin olduğun bir RAM ile açmaya çalış. Hâlâ aynı hatayı veriyorsa Betim Bilişim'e gel

[IR0cc0]

k bakıcaz artıq yardımların ıcın coq saqol

[Melih]

Tepedeki MSN Yardım Hattında yazan msn adresini listene ekle. Oradan açıp yardımcı olayım