V9-TP Virüsü

[Mucit23]

Selamlar

Bilgisayarımda bu şekide can sıkıcı bir malware virüs var. Yaptığı tek şey bilgisayarımda chrome giriş sayfasını değiştiriyor. (Öyle olduğunu umuyorum) Araştırdığım kadarıyla başka bir işlevi yok. Chrome açıldığında liderhaber.org diye bir siteye yönlendiriyor. Virüsü yazanı bulsam tebrik edecem çünkü kurtulamıyorum. Bu parazit bayadır bilgidayarımda. En son 1 ay önce format attım bilgisayarıma, Yaklaşık 1 hafta kadar çıkmayı ortaya sonra tekrar belirdi. Chrome giriş sayfasını düzeltiyorum birkaç gün çıkmıyor ama nasıl ki sonra yine beliriyor.

Malwarebytes ile tarattığımda aşağıdaki zararlıları buluyor.

Malwarebytes
www.malwarebytes.com

-Log Details-
Scan Date: 1/4/20
Scan Time: 9:14 PM
Log File: 14c2180a-2f1e-11ea-8146-30e171ebf3ae.json

-Software Information-
Version: 4.0.4.49
Components Version: 1.0.785
Update Package Version: 1.0.17241
License: Free

-System Information-
OS: Windows 10 (Build 17763.914)
CPU: x64
File System: NTFS
User: DESKTOP-4EU73EV\ferha

-Scan Summary-
Scan Type: Threat Scan
Scan Initiated By: Manual
Result: Completed
Objects Scanned: 328783
Threats Detected: 4
Threats Quarantined: 0
Time Elapsed: 8 min, 36 sec

-Scan Options-
Memory: Enabled
Startup: Enabled
Filesystem: Enabled
Archives: Enabled
Rootkits: Disabled
Heuristics: Enabled
PUP: Detect
PUM: Detect

-Scan Details-
Process: 1
RiskWare.BitCoinMiner, C:\WINDOWS\SYSTEM32\XMRIG.EXE, No Action By User, 825, 734456, , , ,

Module: 1
RiskWare.BitCoinMiner, C:\WINDOWS\SYSTEM32\XMRIG.EXE, No Action By User, 825, 734456, , , ,

Registry Key: 0
(No malicious items detected)

Registry Value: 0
(No malicious items detected)

Registry Data: 1
PUM.Optional.HomepageControl, HKU\S-1-5-21-3972486090-2583257027-2335515779-1001\SOFTWARE\POLICIES\MICROSOFT\INTERNET EXPLORER\CONTROL PANEL|HOMEPAGE, No Action By User, 13458, 293330, 1.0.17241, , ame,

Data Stream: 0
(No malicious items detected)

Folder: 0
(No malicious items detected)

File: 1
RiskWare.BitCoinMiner, C:\WINDOWS\SYSTEM32\XMRIG.EXE, No Action By User, 825, 734456, 1.0.17241, AD84DA167AE8F071A1388E3F, dds, 00530890

Physical Sector: 0
(No malicious items detected)

WMI: 0
(No malicious items detected)


(end)

Siliyorum karantinaya alıyorum ve 3-4 gün sonra yine beliriyor. İnternette yazan birçok yöntemi denedim ama çözemedim. Bilgisi olan var mı?

[ilyas KAYA]

Servis olarak çalışıyor siz ne kadar silseniz de çalışır. Bilgisayarı uygulama yüklenmeden önceki sürüme geri yükleme yapın başka türlü zor. Antovirusler görmez. Ayrıca chrome kısayolunu değiştiriyor ona dikkat edin. Kısayol devamına uzantı ekliyor.

[MC_Skywalker]

Makinana Miner yazılımıda yüklemiş. Birisi için makina Bitcoin veya altcoin madenciliğide yapıyor. Sağlam bir antivirüs ile önce minerden kurtulmalısın. corome ayarları kolay çözülür.


mcaffe nin ücretsiz stinger programını kullanıp bir taratın.
https://www.mcafee.com/enterprise/en-us/downloads/free-tools/stinger.html

[Mucit23]

Bilgisayarımda normalde aşırı bir cpu kullanımı yok. Takip ediyorum özellikle. Fakat bilgisayarı ilk açtığımda chrome'u çalıştırdığımda CPU kullanımı %100 oluyor. Bilgisayar aptallaşıp chrome donuyor. Eğer chrome düzelmez ise task managerdan kapatıyorum. Sonrasında düzeliyor. Onun dışında dikkatimi çeken bir şey yok.

Dediğiniz gibi her seferinde chrome kısayolunu değiştiriyor.

[MC_Skywalker]

yazmayı unutmuşum

Chrome'u açın, Tarayıcı araç çubuğundaki Chrome menü butonuna (Sağ köşede alt alta üç çizgi) tıklayın,
    Açılan menüden Araçlar'ı, daha sonra Uzantılar'ı tıklayın.
    Açılan sayfada "Proxy Tool, PortaldoSites Toolbar, Yontoo, BrowserProtect" vb. bilinmeyen eklentileri geri dönüşüm kutusu ikonuna tıklayarak kaldırın. Burada size yabancı gelen ve varsa geri dönüşüm kutusu ikonuna basarak silin.
    Daha sonra tekrar Chrome menü butonuna tıklayın, açılan menüden Ayarlar'ı tıklayın.
    Ayarlar bölümünü tıklayın. "Arama Motorlarını Yönet" butonuna tıklayıp açılan menüde Google'ı varsayılan yapın ve v9.com'u kaldırın.
    Daha sonra anasayfanızı değiştirmek için Ayarlar sayfasındaki "Başlangıçta" bölümünde "Belirli bir sayfayı veya sayfaları aç"ı işaretleyin.
    Yanındaki butondan, Sayfaları ayarla, dilediğiniz sayfayı ayarlayın (google.com.tr gibi).
    Chrome kısayoluna (Masaüstündeki Chrome ikonu) sağ tıklayıp Özellikler'e tıklayın.
    Kısayol sekmesinde Hedef kısmında yalnızca "C:\Program Files\Google\Chrome\Application\chrome.exe" yazdığından emin olun.
    chrome.exe'den sonra v9.com liderhaber.org gibi yazan bir alan varsa onu silin.

c:\kullanıcılar\kullanıcıadı\AppData\Local\Temp klasörünü bir temizleyin. (bugünkü tarihlileri sildirmez.)

Minerlar GPU kullanıyor.

[algorist]

Bir kaç yıl önce bende buna benzer bir virüse yakalandım. Kasperysky orjinal olmasına rağmen yinede bulaştı. KIS ile tarama yapıp sildim daha sonra RogueKiller ve adwcleaner programı ile tarama yaptım ve temizlendi. Formatta bu virüs kolay kolay gelmemeli indirdiğin ve kurduğun yazılımlara dikkat etmeli. Spama gelen e postaları kesin bilmiyorsanız açmayın. Reg kayıtı olarak tutulan virüsler kolay kolay temizlenmiyor.
Temizleme işlemlerini güvenli modda yapın.

[Mucit23]

Unhackme diye bir antimalware ile tarattım. Virüs ile ilgili baya birşey buldu. Şimdilik bir şey yok gibi ama birkaç gün izleyeceğim.

[Mucit23]

Bu malware den kurtulmanın başka bir yolu yokmu dur. Unhackme ile denedim. Xmrig.exe diye bir zararlı buluyor. Yazılım ile kaldırıyorum. 4-5 gün sorun olmuyor daha sonra nasıl oluyorsa tekrardan ortaya çıkıyor. Dediğim gibi benim farkettiğim tek şey tarayıcı giriş sayfalarının değişmesi. Nerde barınıyor nasıl neyle aktif hale geliyor çözemiyorum.

Format atsam çözülürmü onuda bilmiyorum.

[magnetron]

benim laptopta da orijinal McAffe nin bulamadığı bir virüs var
laptopu şarja taktığım zaman 10 dakkada bir chrome da yeni sayfa açıyor

( şarja takmazsam ortaya çıkmıyor ama açılış sayfasını google yapamıyorum )

açılan sayfa bahis sitesi oyun sitesi vs vs gibi şeyler

nasıl kurtulucam ?
teşekkür

[mustafa_cmbz]

benim laptopta da orijinal McAffe nin bulamadığı bir virüs var
laptopu şarja taktığım zaman 10 dakkada bir chrome da yeni sayfa açıyor

( şarja takmazsam ortaya çıkmıyor ama açılış sayfasını google yapamıyorum )

açılan sayfa bahis sitesi oyun sitesi vs vs gibi şeyler

nasıl kurtulucam ?
teşekkür

Geçengün aynısı oldu keygen yükledim bitane virüslü çıktı.

Cntr+alt+del yapıp görev yöneticiden  neler çalışıyor bak.. İlla abuk subuk bişiler gözüne ililecek sağ tıkla dosya konumunu aç de c diskindeki klasörler yönlendirecek oraları komple sil. Ben de 8-10 tane vardı sildim ama son bita e kaldı her crome açtığımda Bi sayfaya atıyo. Bi onu bulamadım.

[mustafa_cmbz]

Ana sayfa ayarını temizledikten sonra crome ayarlarından yapacaksın.

[veliusta]

Chrome'u sil, Tekrar yükle.
Chrome yerine Chromium'u tavsiye ederim.  https://chromium.woolyss.com/
veya Firefox.

Bir de bu program ile tarama yapar mısın?: https://www.kaspersky.com/downloads/thank-you/free-virus-removal-tool

[gogge]

Benim tavsiyem, virüs bulaşan bilgisayarı sıfırlamanızdır. Virüs silmek bence sildiğini zannetmek demek.
- Öncelikle diskinizdeki tüm bölümlerdeki tüm verilerinizi yedekleyin.
- Bilgisayarınızı kapatın, tüm enerji bağlantılarını çıkartın ve kondansatörler boşalacak kadar bir süre bekleyin.
- Kesinlikle temiz bir cihazda hazırlanmış windows ön yükleme usb'si, dvd'si vs edinin.
- Bios ayarlarından boot cihazı olarak ön yükle cihazınızı seçin. Burası önemli, bios kesinlikle sizin harddiskinizi okumamalı, direk boot edeceğiniz cihazı okumalı.
- Kurulum ekranı geldiğinde komut kısmına geçip, diskpart komutunu kullanarak, diskinizdeki bölümleri silip, yeni bölüm(ler) oluşturun. (Diskpart kullanımıyla alakalı internetten bilgi edinebilirsiniz.)
- Sonra kurulum yapın.
- İnternet bağlantısı yapmadan önce mutlaka antivirus (internet security özelliği olmalı) yazılımınızı yükleyin. (Tavsiyem lisanslı yazılım kullanmanız yönündedir.)
- İnternet bağlantısını gerçekleştirin.
- Sonrasında ilk yapacağınız iş antivirüs yazılımınızı güncellemek olmalıdır.
- Artık temiz bir cihazınız var.
- Sonrasında aldığınız yedekleri yüklemeden ve yedekteki hiç bir dosyayı kullanmadan önce antivirüs yazılımı ile detaylı olarak taratın.
- Artık yedeklerinizi geri yükleyebilirsiniz.

İşlemler biraz zahmetli ve vakit alacak olsa da kişisel bilgilerimizin ele geçirilme ihtimali göz önüne alındığında bu zahmete katlanmak gerekir diye düşünüyorum.

Mutlaka lisanslı, güvenlik duvarı bulunan bir antivirüs yazılımı kullanmaya özen gösterin. 1-2 yıllık 5-10 lisanslı yazılımlar oldukça makul fiyatlara alınabiliyor.

[Mucit23]

Bilgisayarımda sadece xmrig.exe yani bitcoin madencisi var. System32'de bunu görüyorum. Birçok malware yazılımı ile tarattığım da bunu buluyor ve karantinaya alıyor. Tarama sonrası system32'den silindiğini görüyorum fakat bilgisayarımı yeniden başlattığımda system32'de tekrar xmrig.exe gelmiş oluyor. Nereye bulaşmış nasıl aktif oluyor çözemedim.

En son ihtimal dediğiniz gibi yapacağım fakat öncesinde kendim temizlemeye çalışacağım. Kaspersky'ın deneme sürümünü indirip kurdum. Şimdi bu yazılım ile genel bir tarama yapıyorum.

Aynı zamanda Google Chromu bilgisayarımdan kaldırdım. Chrome ilk açılışta donuyordu. Bu sırada CPU kullanımı %100 oluyor, birkaç sefer görev yöneticisinden zorla kapatmam gerekiyor. Daha sonraki açılışlarda sorun yok. Her ne sebepse muhtemelen bir takım yazılımlar chroma musallat olmuş. Silip yeniden kurmam çözüm olmadı. Bende komple sildim opera kullanıyorum şimdilik.

Kaspersky Tek bilgisayar birkaç yıllık lisans aslında alınabilir. Ucuza denk gelirse alabilirim.

[JKramer]

Burada hosts dosyası dahil temizlenecek farklı yerlerden bahsediyor: https://howtoremove.guide/xmrig-exe-virus-remove/