HEUR:Trojan.Script.Generic

[Zenley]

Kaspersky’ın tam tarama esnasında cihazımda tespit ettiği virüsten bahsetmeden önce size durumu daha iyi açıklayabilmek için izninizle kısaca kendimi anlatmak istiyorum.

İşlerim gereği finansal işlemler yapıyorum. 4 farklı bilgisayarım var ve uzun süredir yoğun bir şekilde internet & bilgisayar kullanıyorum. Bu olay başıma gelene kadar bilinçli bir internet kullanıcısı olduğumu düşünüyordum. Bilgisayarımda son yıllarda hiç virüsle karşılaşmamıştım. Tüm cihazlarımda oldukça titiz davranmaya çalışıyorum ve işim gereği bunu yapmak zorundayım. Anksiyete hastasıyım ve maalesef bu olaydan sonra huzurum kalmadı. İşime odaklanamıyorum. Aksiyon almadan önce bir uzmana danışmak ve başıma ne geldiğini daha iyi anlayabilmek için sizlere bu mesajı gönderiyorum. Desteğiniz ve vakit ayırıp ilgilendiğiniz için şimdiden teşekkür ederim.

Kaspersky Premium, otomatik olarak tüm cihazlarımda her saat başı tam tarama yapıyor. Tam tarama ayarları ise biraz kuvvetli, her dosyayı tarıyor ve sezgisel tarama ayarları ayrıntılıda.

25.01.2024 tarihinde, öğleden sonra bilgisayara geçip işlerimle ilgilenmeye başladım. 00:00’a kadar yapılan otomatik tam taramalarda herhangi bir sorun tespit edilmemişti. Gece saat 00:00’da başlayan otomatik tam tarama 00:26’da bitti ve yine herhangi bir sorun tespit edilmedi. Saat 01:00’da başlayan otomatik taramada ise aşağıda görselini ilettiğim sorunlar tespit edildi. Sanırım ne olduysa bu saat aralığında oldu. Ama ben bu saat aralığında sıra dışı bir işlem gerçekleştirmedim, rutin işlerimle ilgileniyordum. İşin problemli yanı o saat aralığında Metamask hesaplarımı açmıştım aktif olarak DeFi’de işlemler yapıyordum. Ayrıyeten cüzdanlar ile ilgili kritik şifre işlemleri de gerçekleştirmiştim.

O saat aralığında yaptığım işlemler:

1. NVIDIA, ekran kartına güncelleme geldiğine dair bildirim yolladı ve onu güncelleştirdim.

2. League of Legends’e güncelleme geldi ve onu güncelleştirdim.

3. İş ile ilgili her gün kullandığım sitelere girdim. Kullandığım tüm siteler yer imlerindedir ve her zaman oradan kullanım sağlarım. Yabancı ya da tehlikeli bir siteye girmemiştim.

4. Virüs tespit edilmeden 2 SAAT ÖNCE, resmi satıcıdan yeni almış olduğum Kingston USB Belleği paketinden çıkartıp bilgisayarıma taktım. Herhangi bir disk bağlandığında Kaspersky diski otomatik tarıyor, taramada disk temiz çıktı. Kingston USB belleği ayrıntılı biçimlendirdim. Biçimlendirme bitince farklı bir USB Bellek daha taktım. Kaspersky o belleği de taradı ve temiz çıktı. Sonradan takmış olduğum belleği sürekli olarak kullanıyorum ve sadece güvenilir cihazlara takıyorum. Sonradan taktığım bellekte bulunan Metamask cüzdanlarının şifrelerini ve kurtarma anahtarlarını kopyala yapıştır yaptım. Kısacası şifreleri diğer belleğe de yedekledim. Yedekleme bitince iki USB belleği de çıkarttım. Daha sonrasında VİRÜSÜN TESPİT EDİLDİĞİ SAAT ARALIĞINDA ise Kingston USB belleği bilgisayarıma tekrar takmam gerekti. Ama 2-3 dakika içerisinde belleği tekrar çıkarttım. Kaspersky belleğe yine tarama yapmıştı ve temiz çıkmıştı. Ek olarak bilgisayarımda bu şifrelerin bulunmadığını belirtmek isterim.

Bu saat aralığında herhangi bir uygulama, dosya hatta görsel dahi indirmedim ve açmadım. Tarayıcıya eklenti, tema vs eklemedim. Bilgisayarda yüklü uygulamalar, tarayıcı uzantıları yaklaşık 1 yıldır zaten yüklü durumda. Sadece güncelleştiriyorum. Herhangi bir rapora ya da başka bir şeye ihtiyacımız olursa diye bilgisayara format atmadım. Bilgisayarın olay sonrasında internet bağlantısını kestim. Kaspersky üzerinden kontrol edebildiğimiz ağ trafiğinin de görselini ihtiyaç durumuna göre iletebilirim.

Kaspersky virüsleri bulduktan sonra temizlemesi için iki sefer bilgisayarı yeniden başlattım. Şu anda karantinada bulunan bahsettiğimiz virüs dosyasına tıkladığımda ‘’Geri Yükle’’ ibaresi mevcut. İncelemek için ihtiyaç olabilmesi durumuna karşın belirtmek istedim. Kaspersky virüsü temizledikten sonra tekrar tam tarama gerçekleştirdim ve herhangi bir sorun bulunamadı. Ama benim içim rahat etmedi. MBAM ve HitmanPro ile de tarama sağladım. (Ücretsiz/Deneme Sürümleri ile) HEUR:Trojan.Script.Generic ile ilgili bir şey bulamadılar. Windows ile alakalı problemler ve uTorrent ile ilgili bazı problemler tespit edildi. uTorrent’i bilgisayara 1 sene önce indirmiştim ancak hiç kullanmamıştım. Problem tespit edilince onu da sildim. Taramaları yaptıktan sonra bir şey bulunmadığı için MBAM ve HitmanPro’yu sildim. Tüm tarayıcılardaki geçmişi ve önbelleği sıfırladım. Tarayıcılardaki eklentileri de sildim. (Metamask, Trust Wallet yani cüzdanlar harici eklentileri sildim.) Aradan 5 gün geçmesine rağmen cüzdanlarda da herhangi bir şüpheli işlem yok. İçlerindeki çekilebilir durumda olan para duruyor. Ancak çekilebilecek olan parayı çekip yeni bir cüzdan oluşturmam da mümkün değil, yüklü miktarda olan esas para kilitli. Herhangi bir transfer yok ve bazı cüzdanlara giriş sağladım. Şifreleri değiştirilmemişti ya da cüzdana BOT kurulmamıştı.

Ancak kurtarma anahtarlarını ele geçirmişler ise her an cüzdanların sahibi olabilirler. Bu durumun yaşanabilme ihtimalini öğrenmeye çalışıyorum. Olay örgüsünü olabildiğince detaylı anlatmaya çalıştım kritik olabilecek konuları atlamamak için, yazı uzun olduğu için çok üzgünüm. Bu virüsün yanlış pozitif olup olmadığından nasıl emin olacağız? Şimdiye kadar eğer ele geçirmiş olsalardı çoktan çekilebilecek para çekilip bot kurulurdu diye düşünüp kendimi rahatlatmaya çalışıyordum. Çünkü çekilebilir durumdaki para da önemsiz bir miktar değil.

Başımdan ne geçtiğini daha iyi anlamak ve gelecekte kendimi daha iyi koruyabilmek için size bazı sorular da sormak istiyorum. Eğer saçma bir soru soruyorsam bu durum için çok üzgünüm, öğrenmeye çalışıyorum. Daha iyi anlayabilmem için sorularıma siz de madde madde cevap verebilirseniz çok sevinirim.

1. Kaspersky cihazlarda hep açık, tüm bunlar yaşanırken de açıktı ama herhangi bir uyarı vermedi. Tam tarama esnasında bulundu virüs. Bunun sebebi nedir? Eğer bir dosya indirmiş olsaydım ve bu gerçekten virüslü olsaydı yine tam taramada mı çıkacaktı? Virüslü dosyayı çalıştırmadığım için mi Kaspersky anlık koruması müdahale etmedi?

2. tmp uzantılı bir dosya ile neler yapılabilir? Uzaktan erişim ve yönetim sağlamaları, veri çekmeleri mümkün müdür? Herhangi bir exe dosyası çalıştırmadan ya da kurulmadan cihazıma erişilmesi mümkün mü? Dosyanın türünün ve çalıştırılıp çalıştırılmadığının bir önemi var mı?

3. MBAM ücretli sürümünü satın alıp Kaspersky ile birlikte kullanmayı düşünüyorum. Birlikte çalışmaları herhangi bir problem oluşturur mu? Kaspersky ile daha uyumlu çalışan Anti Malware önerisi var mı şirketinizin?

4. Varsayılan Kaspersky ayarlarını kullanıyordum ama bu olaydan sonra bu ayarların benim için yeterli olup olmadığını düşünmeye başladım. Sizce yeterli mi, hangi ayarları nasıl yapmalıyım?

5. Virüsleri temizlemek için bilgisayarı yeniden başlattıktan sonra aldığım tüm aksiyonlar birkaç saat sürdü. Bu süre zarfında internete bağlıydı ancak daha sonrasında internet kablosunu çıkarttım. Hata mı ettim, virüsü bulduğu an interneti bağlantısını kesmeli miydim? Bu tarz durumlarda hemen bağlantıyı kesmek mi gerekir?

6. Bu virüsün modeme sıçrayabilme ihtimali var mıdır? Eğer var ise modemi resetlemeli miyim? Modemi resetlemek modeme bulaşan virüslerden kurtulmamızı sağlar mı?

[Zenley]

 

On 1/30/2024 at 3:38 PM, Zenley said:

MBAM ücretli sürümünü satın alıp Kaspersky ile birlikte kullanmayı düşünüyorum. Birlikte çalışmaları herhangi bir problem oluşturur mu? Kaspersky ile daha uyumlu çalışan Anti Malware önerisi var mı şirketinizin?

Sorduğum 3.cü soruya ekleme yapmak isterim, tam olarak açık olamadığımı fark ettim. MBAM kullanımını aktif koruması kapalı şekilde Kaspersky'ın gerçekleştirdiği gibi bilgisayarı otomatik taraması için kullanmayı düşünüyordum. Bunun bir mahsuru olur mu? Ek olarak ücretli plus sürümünü satın almayı düşünüyordum sizce free sürüm yeterli midir?

[Zenley]

Virüs bulaşan cihaz haricindeki cihazlara MBAM indirdim Premium Trial olarak. Real-Time Protection'ı kapattım ve sadece tarama yaptırdım. Tarama sonrasında MBAM yazılımını kapattım ama yine de Kaspersky sürekli olarak MBAM yazılımını uyumsuz yazılım olarak işaretliyor. Aslında ben de tam olarak bu durum oluşur mu diye sormak istemiştim. Premium'da kapatmam gereken bazı ayarları kapatamamış olabileceğimi düşünerek Premium denemeyi iptal ettim ve Free sürüme düşürdüm. Ancak hala uyumsuz yazılım olarak işaretliyor ve kaldırmak istiyor. Bu durum normal mi? 

Eğer bu durum normalse ve MBAM kullanmaya devam edebileceksem, uygulamanın arayüzünde MBAM Browser Guard'a rastladım. Kaspersky'ınki zaten tarayıcılarda yüklüydü, bunu da yüklemeye gerek yok diye düşünerek yüklemedim ama yine de size de sormak istedim. 

İlginiz ve desteğiniz için tekrardan çok teşekkür ederim.

[murat5038]

Mümkünse tespit edilen dosyayı bulabilirseniz buradan yeniden taratın mail adresinizi girip sonucunu paylaşın bizimle:

https://opentip.kaspersky.com/

Tespit edilen zararlı kimliği sezgisel olduğu için yanlış alarm olma htimali yüksektir. Kaspersky güncellemeleri ile yanlış alarm ise düzelecektir.

Tespit edilen dosyanın oluşturma zamanına bakarak o an hangi yazılım veya tarayıcı vb. açık ise o işlemden kaynaklandığını anlayabilirsiniz az çok.

Gelelim sorularınızın cevaplarına:

1.:Kaspersky aktif olarak imza tabanlı ve sezgisel motorlarla donatıldığı için eğer daha önceden tespit edilen bir doya saldırı veya bir zararlı ise indirme esnasında tespit edecektir. İmza tabanında eki değil yeni bir zararlı ise sezgisel koruma ve motorlar devrede olduğundan açtığınızda veya imzaya eklendiği zaman koruma engelleyecektir.

2.:tmp görselde de göründüğü gibi temp, yani geçici çalıştırma ve çöp denilebilecek windows klasöründe olduğu için sadece geçici dosyaları tutmaktadır. Dediğiniz işlemleri yapabilecek bir dosya değildir bahsettiğiniz.

3.:Kaspersky zaten tüm koruma araçları ile donatıldığı için farklı bir güvenlik yazılımı ve aracına gerek yoktur. Sonraki güncellemenizde de bahsettiğiniz gibi uyumsuz yazılım olarak algılayıp kaldırmanızı isteyecektir. Yine de kullanmak isterseniz Free olarak, aktif olmayan şekilde Kaspersky kaçırdığını düşündüğünüz bazı zamanlarda tarama amaçlı kullanabilirsiniz ancak Kaspersky verimliliğine olumsuz katkı sunabileceğinizi aklınızda bulundurmanız gerekmktedir.

4.:Kaspersky ayarları optimum ayarlarda geldiği için fazla kurcalamamanız gerekir. Yetersiz kaldığını düşündüğünüz motor ve algılama sisteminin ayarlar kısmına gidip güvenlik seviyesini yükseltebilirsiniz.

5. Özelinizde konuşmak gerekirse bu tür bağlantı kesme vb. işlemler gereksizdir. Zararlı türüne ve saldırı gibi bazı durumlarda büyük şirketlerde bu tür durumlar yaşanmaktadır ve bağlantı kesimi vb. İT çalışanları tarafından yönetilmektedir.

6. Yine özelinizde cevap vereceğim çünkü bu da zararlı tür ve tiplerine göre değişen bir durumdur. Bu zararlı sezgisel olduğu için bu tür davranışlar gereksizdir ve bulaşma söz konusu değildir.

[Zenley]

14 minutes ago, murat5038 said:

Mümkünse tespit edilen dosyayı bulabilirseniz buradan yeniden taratın mail adresinizi girip sonucunu paylaşın bizimle:

https://opentip.kaspersky.com/

Tespit edilen zararlı kimliği sezgisel olduğu için yanlış alarm olma htimali yüksektir. Kaspersky güncellemeleri ile yanlış alarm ise düzelecektir.

Merhaba Murat Bey, öncelikle desteğiniz için tekrar çok teşekkür ederim.

1) Tespit edilen dosyayı karantinada görüntüleyebiliyorum ve ''Geri Yükle'' ibaresi mevcut. Dosyaya sanırım ancak bu şekilde erişebiliyorum. Karantinadan geri yükleyip bahsettiğiniz siteye yüklemem doğru olur mu? Eğer dosya zararlı ise geri yüklemem bir problem oluşturur mu? Kaspersky dosyayı güvenli olarak işaretlerse tekrar temizler mi?

2) Kaspersky ve diğerleri, tmp uzantılı olarak tespit edilen virüslü dosya haricinde bir sorun bulmadı. Bulunan bu dosya , yanlış pozitif olmasa bile endişe duyduğum şeyleri yapabilmesi mümkün değil ise içim rahat edebilir mi? Dediğim gibi maalesef bu durumdan fazlasıyla negatif etkilendim, anksiyete yüzünden sağlıklı düşünemiyorum. Ama yazdıklarınızı tekrar tekrar okudum, anladığım kadarıyla bir problem olması pek mümkün gibi gözükmüyor.  

[murat5038]

Rica ederim,

1: Evet geri yükle tıklayıp tarayatabilirsiniz. İizn verilenler listesine ekleyip eklemediğini size bildirim olarak gelecektir orada eklemeyebilirsiniz, eklese bile Kaspersky ayarlarından dosyayı bulup izinlerini değiştirebilirsiniz.

2:tmp dosyası genelde yürütme içermeyen dosyalar olduğu için şüpheniz olmasın. Herhangi bir tehdit içeriği olursa Kaspersky yine tespit edecektir.

 

[Zenley]

Desteğiniz için çok teşekkür ederim. Herhangi bir problem yaşamadım çok şükür.

[Zenley]

On 2/5/2024 at 11:25 PM, murat5038 said:

2:tmp dosyası genelde yürütme içermeyen dosyalar olduğu için şüpheniz olmasın. Herhangi bir tehdit içeriği olursa Kaspersky yine tespit edecektir.

Merhaba Murat Bey, bu olaylardan sonra bilgisayarıma temiz kurulum yaptım. Bu sefer sadece aktif kullandığım birkaç programı indirdim. Fakat bugün bilgisayarım boşta dururken maalesef yine aynı durumla karşılaştım. Bu sefer sizin önerdiğiniz gibi dosyayı karantinadan geri yükledim ve https://opentip.kaspersky.com/ sitesinde tarattım. Sonuçları aşağıya görsel olarak ekledim. Sonuçlardan pek bir şey anlayamadım. Bu problemin sebebi nedir? Tekrar bu tarz bir durumla karşılaşmamak için format sonrası anakartın sitesinden driverları dahi indirmemiştim, Windows Update ne indirdiyse o şekliyle kullanıyordum. Bilgisayarda şuanda yüklü olan uygulama sayısı da bir elin parmakları kadar. Kaspersky yüksek tehdit düzeyli virüsler bulup dururken ben de sağlıklı bir şekilde işimi yapamıyorum. Bu durum psikolojimi de oldukça olumsuz etkiledi. Bu durumu nasıl çözeceğiz? İçim rahat etmediği için yine bilgisayara format atacağım ama bu durum yüzünden sürekli bilgisayarımı mı formatlamam gerekecek? Yüklü olan uygulamaları sizlere iletebilirim. Gerçekten çok zor durumdayım, desteğinizi rica ediyorum.

[murat5038]

Farklı adlarda ve döküm olarak çıktğı için false positive olması yüksek. Yukarıda dediğim gibi mail girip tekrar taranması için istek gönderdiyseniz opentipde inceleyeceklerdir.

Tarayıcı kaynaklı olduğunu düşünüyorum ancak ine de emin olmak için tarayıcılardan senkron oturumunu kapatıp zararlı temizleyip bu şekilde birkaç gün kontrol edn tekrar gelmez ise senkron ettiğiniz eklenti veya çerezlerden kaynaklanabilir.

Bunlar format gerektirecek zararlılar olmadığını belirtmiştim. Zaten Kaspersky zararlıyı tespit etmiş, tespit etmese zaten haberiniz olmadığı için içiniz rahat olacaktı sizin düşüncenizle 🙂 Yani engellenmiş bir şeyi dert etmemelisiniz. Gerekenleri yaptıysanız sorun yok.