WinCC 6.2 SQL 2005 problemi

[fatihsoylu]

Değerli forum kullanıcıları,

Sistemimin mevcut durumu aşağıdaki gibidir;

işletim sistemi: windows XP SP2
wincc : WinCC 6.2. SP2
SQL : SQL Server 2005

Bu sistemdeki bilgisayarlarda Conficker.jrg isimli bir solucan var ve bu solucanı ne yaptıysam silemedim. Ben de bilgisayarlara format atıp aynı programlarla yeniden kurdum. Ancak bu da çözüm olmadı virüs tekrar ağ üzerinden diğer bilgisayarlardan bulaşıyor ve virüs koruma programım bulunan virüsü direk sildiği içinde WinCC Runtime donuyor. Bilgisayarı tekrar başlatıp WinCC RT'ı tekrar açmak gerekiyor ve bu döngü devam ediyor. Ben de bu sefer Windows sürümünü XP SP2'den önce Windows7'ye sonra XP SP3'e değiştirdim. Bu durumda virüs giremiyor ancak yeni windows sürümlerinde (XP SP3 veya Windows7) kurduğum SQL server'da tanımlı olan "sa" kullanıcısının yapmam gereken (dbowner gibi) ayarlarını yapamadım. SQL bana 15405 hatasını veriyor. Çeşitli sitelerden araştırdığımda ilgili database için query oluşturup " exec sp_changedbowner 'sa','true' " kodunun çalıştırılması ile sorunun çözüleceği belirtiliyor. Denedim oldu gibi. Ancak Wincc projesi altında oluşturulan ve SQL'de attach ettiğim L1_database ile kaydetmeye çalıştığım tabloları winCC'de kaydedemiyorum. WinCC'de bunun için vb'de yazılan kodda sorun görünmüyor.

En sonunda bilgisayarı ilk günkü haline getirip (Windows XP SP2 ve WinCC 6.2) tekrrar ağa bağladım ve virüs yeniden bilgisayara saldırıyor.

XP SP3 veya windows7'de SQL için ne yapabilirim?

 

[ahmetbogus]

temiz yükleme sonrası izole bir network te deneme yapın .
sadece ilgili otomasyon pclerinin bulundugu bir network oluşturun.

izole networkten kastım internet baglantısı olmayan ve diger bilgisaylarlardan bagımsız Switch ile baglantıyı kastediyorum.

.temiz yükleme sonrası hiçbir virus izole networke bulaşamaz.
sadece usb ile bulaşır.
usb önlemi de ayrıca alınmalıdır.

aşagıdaki işlemleri yaptıgınızı ve system restore kullanmadıgınızı temiz yükleme yaptıgınızı varsayıyorum.

"Method Two: How to remove WORM/Conficker.jrg.worm manually?
1. Boot your computer into safe mode to close all running processes.
2. Remember to back up your system before making any changes for future restore job when necessary.
3. Remove these WORM/Conficker.jrg.worm files:
setup[random characters]0000.exe
%Documents and Settings%\[UserName]\Start Menu\ Protection Center.lnk
4. Open Registry Editor to delete the following registry entries:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run 'Protection Center'v
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall�1
HKEY_CLASSES_ROOT\secfile
HKEY_CURRENT_USER\Software\Paladin Antivirus
HKEY_CURRENT_USER\Software\Malware Defense
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System 'DisableTaskMgr' = '1'
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Download 'RunInvalidSignatures' ='1'
5. It is possibly for WORM/Conficker.jrg.worm to load by hiding within the system WIN.INI file and the strings "run=" and "load=". So you must check carefully in order to thoroughly remove it from your computer.
6 It is necessary for you t clean the IE temporary files where the original carrier may
"

WORM/Conficker.jrg.worm - How to remove WORM/Conficker.jrg.worm?

iyi çalışmalar.

 

[fatihsoylu]

Sayı Ahmeybogus,
Öncelikle ilginize teşekkür ederim.

Sistemde 15 bilgisayar bulunmakta ve hepsi proses gereği çalışması gereken bilgisayarlar. Virüs zamanında ağa bulaşmış ve ağın şu anda internet bağlantısı olmadığı halde temiz yükleme yaptığım bilgisayarı ağa bağladığım anda temiz bilgisayara virüs giriyor ve önceden de bahsettiğim üzere virüs programı virüsü ve bulaştığı dosyayı siliyor. Bu da WinCC RT'ın çalışmasını engelliyor. Benim anlamadığım temiz kurulu ve güncel virüs programı (Avira ve Eset Nod32 ayrı ayrı denendi, üstüne de microsoft essential'i kurdum) yüklenmiş bir PC'ye tekrar bu virüs nasıl giriyor? Bunu nasıl engelleyebilirim sizce?

Ayrıca temiz bir network için bütün bilgisayarları ağdan çıkararak kurabilmem için en az bir hafta duruş gerekir ki bu da mümkün olmuyor maalesef.

 

[ahmetbogus]

bu virus sizin admin şifrenizi dictionary attack(diger virus bulaşmış pclerin yardımıyla) buluyor ve sonra bulaşıyor.

o yüzden tüm networku temizlemeden kurtulamazsın gibime geliyor.

ama sana zaman kazandırması açısından çok zor admin şifreleri koyarsan koyarsan ve bu arada diger pcleri de temizlersen sorunu çözebilirsin.

iyi çalışmalar.

Conficker - Wikipedia, the free encyclopedia
Conficker, also known as Downup, Downadup and Kido, is a computer worm targeting the Microsoft Windows operating system that was first detected in November 2008.[1] It uses flaws in Windows software and Dictionary attacks on administrator passwords to co-opt machines and link them into a virtual computer that can be commanded remotely by its authors. Conficker has since spread rapidly into what is now believed to be the largest computer worm infection since the 2003 SQL Slammer,[2] with more than seven million government, business and home computers in over 200 countries now under its control. The worm has been unusually difficult to counter because of its combined use of many advanced malware techniques.[3][4]

 

[fatihsoylu]

Sayın Ahmetbogus,

Vermiş olduğunuz cevaplar için teşekkürler. Windows 7'deki SQL server 2005 problemini dün hallettik. Problem yeni kurduğum windows 7'nin bölge ve dil ayarlarının English(U.S.) olmamasından kaynaklanıyormuş. Problemi giderdim. Windows 7 kurulu bilgisayara ağdaki conficker virüsü bulaşmıyor. Yaklaşık 15gün önce kurduğum bir bilgisayar hala sağlam ve düzgün bir şekilde çalışıyor. Diğer bütün bilgisayarları da Windows 7'ye cevirerek virüs probleminden de kurtulmuş olacağım.