Arkadaşlar



Bir suredir bazı makinelerde, Internet Explorer’in isteğimiz dışında, bazı siteleri (ozellikle www.yemektarifleri.org) actığı gorulmekteydi. Bu durum yemek.exe programının calıştırılması sonucu meydana gelmişti ve bir “zararlı kod” aktivitesiydi. Bu zararlı kodun Trojan.Comxt olduğu anlaşıldı. Aşağıda bu trojanın ozellikleri ve temizleme yontemi var. Bu yontemin trojanın bulaştığı birkac makinede uygulanması sonucu temizlendiği goruldu. Yine de uyguladıktan sonra temizlenmediyse haber verirseniz inceleriz.



Trojan şunları yapıyor:



1. Kendini şu şekilde kopyalıyor:



* %Windir%\Temp\Product.exe

* %System%\Temp\Product.exe

* \Temp\Product.exe



%System% buyuk ihtimalle ve default olarak

C:\Windows\System (Windows 95/98/Me)

C:\Winnt\System32 (Windows NT/2000)

C:\Windows\System32 (Windows XP)



%Windir% buyuk ihtimalle ve default olarak

C:\Windows (Windows 95/98/Me/XP)

C:\Winnt (Windows NT/2000)



2. Kendini C:\:Comxt.exe olarak kopyalar

3. Şu registry anahtarlarını oluşturarak gizli sistem servisi prosesi olarak başlar:



HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\comxt

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\R oot\LEGACY_COMXT



4. Başlangıcta calışmak icin şu registry anahtarına



HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run



şu değeri ekler:



"comxt" = "%Windir%\temp\comxt.exe"



5. Şu dosyayı başlatır %Windir%\temp\yemeklik.exe.

6. Microsoft Internet Explorer’ın değişik sitelere bağlanmasına calışır.

7. Bu sitelerden şu dosyayı indirir %Windir%\temp\2.tmp. Bu C:\:Mscrplgn.dll dosyası olarak calışır.



Temizlemek icin:



1. Start > Run’da :

regedit



2. Şu anahtara gelinir:



HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run



3. Sağ tarafta şu anahtar silinir:



"comxt" = "%Windir%\temp\comxt.exe"



4. Şu anahtarlar silinir:



HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\comxt

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\R oot\LEGACY_COMXT



Bu anahtarların bazıları sizin registry’da olmayabilir. Olanları silmeniz de yeterli olabilir. Ayrıca normal şartlarda Symantec Antivirus’un temizlemesi gerekir. Ama diğer bazı viruslerde olduğu gibi işe yaramıyabilir.
__________________