Post by revolter00 on Dec 10, 2005 10:55:00 GMT -2
bugün saat 13:35 itibariyle karþýma çýkan bu spyware, aslinda "WINHOUND" adý altýnda gelen bir anti-spy programý..ama baþ belasý...
- öncelikle desktop backgroun dunuz deðiþitor ve size "pc nizde spy bulunmuþtur" mesajli bir html oluyor, ve allta bulunan "clean my computer" linkine týklayarak sazan gibi atlamanýz bekleniyor
- sonra desktopunuzda winhound anti-spy isimli bir kýsayol oluþuyor ve sisteminize yuklenen programý çaliþtýrýp "sözde tarama yaparak bgb da prgrami çaliþtiriyor"
- task manager dan gizlenen bu program/spy ý silmek için normal spy taratýcýlar veya antivirusler yetersiz kalýyor
ben 40 dakikalýk bir uðraþtan sonra "manual" sildim
SÝLECEÐÝMÝZ DOSYALAR:
manual silme iþlemi:
1- task manger dan eðer görünür ise aþaðýdakileri Kill process diyoruz..
html.exe
intell32.exe
links.exe
ll.exe
shdochp.exe
sywsvcs.exe
winhound.exe
2- registry den aþaðýdaki entryleri siliyoruz..
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\FHPage
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\intell32.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\links
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\WinHound
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\{F33812FB-F35C-4674-90F6-FD757C419C51}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\links
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\WinHound
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Start Page=[local address]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\Start Page=[site address]HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{784aa380-13f2-422e-8540-f2280f1dd4f1}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9EAC0102-5E61-2312-BC2D-4D54434D5443}
HKEY_CLASSES_ROOT\Tubby.ToolBandObj.1
HKEY_CURRENT_USER\Software\MTC MTCHKEY_LOCAL_MACHINE\SOFTWARE\WinHound.com
3- sistemde bir arama yaparak aþaðýdaki dosyalarý buluyoruz ve siliyoruz...
html.exe
intell32.exe
links.exe
ll.exe
shdochp.exe
sywsvcs.exe
winhound.exe
bhoimpl.dll
birdihuy.dll
cwrapper.dll
mtc.dll
oleext.dll
shdochp.dll
st3.dll
zlbw.dll
wl.dll
mtc.ini
bu dosyalar
C:\Windows\System32
C:\Windows\System
C:\Program Files\WinHound
C:\Windows\Downloaded Program Files
3- C:\Program Files\WinHound dir ini siliyoruz..
NOT: YUKARIDAKI ÝÞLEMLERÝ WÝNDDOWS NORMAL ÇALÝÞMA MODUNDA GERÇEKLEÞTÝREMEYEBÝLÝR, BUNUN ÝÇÝN SÝSTEMÝ SAFE MODE DA AÇMAK GEREKÝR..
- öncelikle desktop backgroun dunuz deðiþitor ve size "pc nizde spy bulunmuþtur" mesajli bir html oluyor, ve allta bulunan "clean my computer" linkine týklayarak sazan gibi atlamanýz bekleniyor
- sonra desktopunuzda winhound anti-spy isimli bir kýsayol oluþuyor ve sisteminize yuklenen programý çaliþtýrýp "sözde tarama yaparak bgb da prgrami çaliþtiriyor"
- task manager dan gizlenen bu program/spy ý silmek için normal spy taratýcýlar veya antivirusler yetersiz kalýyor
ben 40 dakikalýk bir uðraþtan sonra "manual" sildim
SÝLECEÐÝMÝZ DOSYALAR:
- html.exe
- intell32.exe
- links.exe
- ll.exe
- shdochp.exe
- sywsvcs.exe
- winhound.exe
- bhoimpl.dll
- birdihuy.dll
- cwrapper.dll
- mtc.dll
- oleext.dll
- shdochp.dll
- st3.dll
- zlbw.dll
- wl.dll
- mtc.ini
manual silme iþlemi:
1- task manger dan eðer görünür ise aþaðýdakileri Kill process diyoruz..
html.exe
intell32.exe
links.exe
ll.exe
shdochp.exe
sywsvcs.exe
winhound.exe
2- registry den aþaðýdaki entryleri siliyoruz..
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\FHPage
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\intell32.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\links
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\WinHound
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\{F33812FB-F35C-4674-90F6-FD757C419C51}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\links
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\WinHound
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Start Page=[local address]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\Start Page=[site address]HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{784aa380-13f2-422e-8540-f2280f1dd4f1}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9EAC0102-5E61-2312-BC2D-4D54434D5443}
HKEY_CLASSES_ROOT\Tubby.ToolBandObj.1
HKEY_CURRENT_USER\Software\MTC MTCHKEY_LOCAL_MACHINE\SOFTWARE\WinHound.com
3- sistemde bir arama yaparak aþaðýdaki dosyalarý buluyoruz ve siliyoruz...
html.exe
intell32.exe
links.exe
ll.exe
shdochp.exe
sywsvcs.exe
winhound.exe
bhoimpl.dll
birdihuy.dll
cwrapper.dll
mtc.dll
oleext.dll
shdochp.dll
st3.dll
zlbw.dll
wl.dll
mtc.ini
bu dosyalar
C:\Windows\System32
C:\Windows\System
C:\Program Files\WinHound
C:\Windows\Downloaded Program Files
3- C:\Program Files\WinHound dir ini siliyoruz..
NOT: YUKARIDAKI ÝÞLEMLERÝ WÝNDDOWS NORMAL ÇALÝÞMA MODUNDA GERÇEKLEÞTÝREMEYEBÝLÝR, BUNUN ÝÇÝN SÝSTEMÝ SAFE MODE DA AÇMAK GEREKÝR..
