Autorun Virüsleri ve çözüm Yolları

[SkyReader]

Autorun Virüsleri ve çözüm Yolları

Günümüzde artık herkeste bir Flash (Usb) Disk var. Cebimizde minicik bir medyada defalarca silip kullanabileceğimiz ve kapasiteside son derece tatminkar olan bu şirin aletler hayatımızı çok fazla kolaylaştırdı. Fakat, flash disklerle neredeyse her yere bulaşan salak autorun virüsleri de bir çok defa şikayetlere neden olmakta… Ben uzun süredir çok sık duyuyorum,
“Bu flash disk benim makinemde açıyor ama sende neden açmıyor?” ya da
“Benim flash diskim bozuldu galiba tıklıyorum tıklıyorum açmıyor artık, formatladım ama düzelmedi?” ya da
“Format attım defalarca ama hala bu virüs var benim flash diskimde” ya da
“Gizli dosyaları göster diyorum ama aktif olmuyor bir türlü?” ya da
“Usb Diskime sağ tuş tıkladığımda ingilizce ya da garip dillerde yazılar çıkıyor, neden ki?” ya da
“Geri dönüşüm kutum açılmıyor? Ne oldu ki? gibi bir sürü sorular… Hepsinin çözümü var meraklanmayın…
Flash diskler ile, sd kartların kullanıldığı her yere (fotoğraf makineleri, cep telefonları) ve hatta mp3 playerlara bile bulaşabilen bu virüslerin kimileri epey tehlikeli… Aslında; flash diskimizi, linux yüklü bir makine ile açtığımızda, içindeki -bu altta yazılı olan- garip dosya isimlerini silerek flash diskimizi virüslerden temizleyebiliriz. Fakat bu garip virüslerin bulaştığı windowslara flash diskimizi her taktığımızda yine virüs bulaşacaktır. Bir garip döngü yani. Böyle bir virüs yüzünden formatladınız bilgisayarınızı ve flash diskinizi diyelim ama bu virüsün olduğu bir flash diski taktığınızda hoop herşey yeniden başa dönecektir. Bakalım neler yapabiliriz?

autorun.inf / autorun.vbs
activexdebugger32.exe / fooool.exe
bittorrent.exe / msvcr71.dll
sxs.exe / winfile.exe
copy.exe / command.exe
ravmonlog / WSscript.exe
ie.exe / copy.exe
Ravmon.exe / New Folder.exe
svchost.exe / Heap41a
avp0.dll, avpo.exe, avp0.exe, secenekler.ini
Virüslü flash disklerde olan garip dosyalar…

Yazının devamında;

• Bu garip virüs, trojan vs.. programlarını öncelikle Windowstan temizleyeceğiz.
• Otomatik olarak çalıştığı için müdahele edemediğimiz bu flash disklerin otomatik çalıştırma özelliğini iptal edeceğiz.
• Flash disklerimizden bu garip virüsleri temizleyeceğiz.
• Flash diskimize bu garip virüslerin asla bulaşamayacağı önlemler alacağız.

Öncelikle Windows’ta bu virüsün kalıntılarının olmadığından emin olalım. Yani bu virüsü kendi bilgisayarımızdan bir temizleyelim… Flash diskimizi bir müddet uzak tutacağız…
Başlat - Çalıştır - regedit yazıp Registry Editör’e girelim.

1. HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon anahtarını seçiyoruz. Sağ taraftaki Userinit yazısına iki kere tıklayın, açılan pencerede C:\WINDOWS\system32\userinit.exe, yazıyorsa -virgülde dahil- sorun yok. sonunda autorun.bat yazıyorsa onu silin ama sonundaki virgül kalsın.
2. HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Explorer \ içinde bulunan MountPoints2 klasörünü komple içindekilerle birlikte silin. O klasörün altında {10fc1320-d535-11db-8880-0018de94c187} gibi garip garip ifadeler olabilir farketmez ya da c, d, e gibi farklı klasörlerde olabilir, hepsini silin.
3. HKEY_CURRENT_USER \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run içinde bulunan avpo.exe dosyasını ya da buna benzer sizin kullanmadığınız bir program varsa ya da adı {10fc1320-d535-11db-8880-0018de94c187} gibi garip olan bir şeyler varsa bunları silin. Burada gördükleriniz Windows’un açılışında otomatik olarak çalıştırılan uygulamalardır. Sizin kurmadığınız bazı uygulamalar varsa şüpheleniyorsanız bunları da silin. Regeditten çıkabilirsiniz.
4. Eski dos günlerindeki Nc‘ye aşinaysanız onun ayarında bir program kurmaya geldi sıra. Total Commander programını indirip, kurun. (Direk C’ye totalcmd\ klasörüne kurulsun ellemeyin. )
5. Şimdi Ctrl + Alt + Delete diyerek görev yöneticisini açın. İşlemler sekmesine geçin. Burada WSscript.exe ya da Wscript.exe adında çalışan bir uygulama varsa işlemi sonlandır deyin. avpo.exe ya da ntde1ect.com adında uygulamalar varsa bunlarında görevini sonlandırın. En son Explorer.exe’nin görevini sonlandırın ve Uygulamalar sekmesindeki sağ alttan yeni görev deyin.
6. Eğer Total Commander programını kurduysanız direk 12.adıma geçin buraları atlayın. Yok ben Dos’a aşinayım elimle yazcam komutları diyorsanız devam edin.
7. cmd yazıp entera basın.
8. Windows’u c ye kurduysanız, cd \windows\system32 yazıp entera basın.
9. dir /a avp*.* yazıp entere basın eğer bir şeyler gözüküyorsa (Dosya bulunamadı demiyorsa)
   attrib -r -s -h avp*.* yazıp entera basın sonra da del avp*.*
10. Daha sonra attrib -h -r -s activexdebugger32.exe yazıp entera basın eğer dosya bulunamadı derse sorun yok. Hata vermediyse
    del activexdebugger32.exe yazıp entera basın.
11. cd\ yazıp entera basın. dir /a autor*.* yazıp entera basın. Eğer dosya bulunamadı diyorsa attrib -r -s -h autor*.* yazıp entera basın sonra da del autor*.* yazın. Bu adımları yaptıysanız direk 15.adıma geçin.
12. Total Commander ile devam etmek::::
13. Yeni Görev bölümünden gözat deyip, C:\deki totalcmd klasörünün içindeki TOTALCMD.EXE dosyasını bulun ve çalıştır deyin. TotalCMD açıldığında, Configuration dan Options a girin. Açılan pencereden, Display ‘e tıklayın. Show Hidden/System files (for experts only!) seçeneğini işaretleyin. Ok deyip çıkın. Bu işaretlediğimiz seçenek gizli ve sistem dosyalarını görünür hale getiriyor.
14. Daha sonra C sürücüsünün içinde autorun ile başlayan ya da üstte virüslü flash disklerde olan dosyalar baloncuğunda yazan dosyalar varsa onları farenin sağ tuşu ile seçip F8 tuşuna basın. Delete işlemi için onay verin. Daha sonra yine fare yardımıyla Windows klasörüne çift tıklayın, system32 klasörüne gidin. Burada avp ile başlayan dosyalar varsa onları da sağ tuş ile seçili hale getirin teker teker, daha sonra activexdebugger32.exe ya da ona benzer bir dosya varsa onu da seçin. Bu dosyaları da F8 ile silin.
15. Şimdi bilgisayarımızı yeniden başlatın.
16. Üstteki adımları tekrar kontrol edin bakalım bir yeniden aktif olmuş mu? Eğer başından beri takip ettiniz ve hiç bir değişiklik yapmamanıza rağmen, yani ayarlarınız düzgün olmasına rağmen virüs olabileceğinden şüpheleniyorsanız sonraki adıma geçin.
17. Sophos firmasının çıkarmış olduğu sav32sfx.exe dosyasını indirin. İndirme işlemi bittikten sonra üzerinde iki kere tıklayıp c:\SAV32CLI klasörüne açılmasını sağlayın.
18. Bu klasörü bir cd’ye yazın. Eğer bunun için cd harcamak istemiyorum diyorsanız bu klasörü diğer partition’a (d ya da e) kes-yapıştır diyebilirsiniz.
19. Bilgisayarınızı yeniden başlatın, Windowsun ilk yüklenmeye başladığı ekran gelmeden önce F8 tuşuna bir kaç defa basın. Karşınıza açılma seçenekleri gelecektir. Buradan “Komut istemiyle güvenli Mod”u seçin.
20. Karşınıza konsol açılacak. Daha sonra Cd romunuzun harfi neyse mesela E. E: (e iki nokta üst üste) yazıp enter tuşuna basın.
21. cd SAV32CLI yazıp entera basın, daha sonra SAV32CLI -REMOVE -P=C:\LOGFILE.TXT yazıp entera basın, size soracağı sorulara A harfini seçerek cevap verin. İşlem 1 saat kadar sürecektir, bittikten sonra artık tertemiz bir Windows’umuz var demektir.

Windows’umuzu bu saçma salak autorun virüsü türevlerinden temizledik…
Şimdi gelelim bundan sonra bu bilgisayara nasıl flash diskten virüs girmesine izin vermeyeceğimize…
Flash disklerden gelen virüslere kapıyı kapatmak
Yapılacaklar;

• Virüslü flash diskleri açarken virüs yememek için Total Commander programını kuracağız.
• Windows’un saçma salak autorun özelliğini flash diskler için ya da her medya için iptal edeceğiz.
• Flash disklerimizdeki, (sd kartlar, microsd kartlar aklınıza ne gelirse…) virüsleri sileceğiz.

Eğer hala Total Commander programını kurmamakta hala ısrarcıysanız, kurmanızın zamanı geldi demektir. Total Commander programını indirip, kurun. (Direk C’ye totalcmd\ klasörüne kurulsun ellemeyin. ) Programı kurduktan sonra Configuration dan Options a girin. Açılan pencereden, Display ‘e tıklayın. Show Hidden/System files (for experts only!) seçeneğini işaretleyin. Ok deyip çıkın. Bu işaretlediğimiz seçenek gizli ve sistem dosyalarını görünür hale getiriyor.

Autorun özelliğini devre dışı bırakmak için, Xp Pro ve Home sürümlerinde iki farklı yöntem uygulayacağız. Eğer Xp Home kullanıcısıysanız o aşamaya geçin.
A- Xp Profesional kullanıcıları için;
A-1 Başlat - Çalıştır - gpedit.msc yazın. Entera basın.
A-2 Bilgisayar Yapılandırması sekmesinin altındaki Yönetim Şablonları sekmesini açın. Buradan da sistem sekmesine tıklayın. Sağ tarafta listelenen seçeneklerden, Otomatik çalıştır özelliğini kapat seçeneğine çift tıklayın. Etkin ‘i işaretleyin. Uygula - Tamam deyin.
A-3 Bilgisayarı yeniden başlattığınızda usb diskler ve cdler otomatik olarak çalışmayacak ve varsa virüsler size bulaşmayacaktır.

B- Xp Home kullanıcıları için;
B-1 Başlat - Çalıştır - regedit yazın. Entera basın.
B-2 HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ Explorer anahtarına kadar gidin. Sağ tarafta listelenen seçeneklerden, NoDriveTypeAutoRun özelliğine çift tıklayın. Onaltılık seçili iken; 0xFF yazın. Tamama basın ve Regeditten çıkın.
B-3 Bilgisayarı yeniden başlattığınızda usb diskler ve cdler otomatik olarak çalışmayacak ve varsa virüsler size bulaşmayacaktır. Konu ile ilgili bkz.Microsoft
Sıra geldi USB Disklerimizdeki salak virüs/mallware/trojan ne varsa temizlemeye
Öncelikle sistemde virüs olmadığından emin olmalısınız yoksa temizleseniz bile tekrar bulaşabilir. O yüzden makalenin üstündeki virüs temizleme adımlarını yaptığınızdan emin olmalısınız.
Eğer sistemde virüs olmadığından eminseniz; Usb diskinizi taktıktan sonra, -Autorun özelliğini kapattığınız için- otomatik olarak başlama ekranı gelmeyecektir. O yüzden Bilgisayarım’a hiç girmeden direk Total Commander’ı açın. Soldaki aşağı doğru açılır pencereden Flash diskinizin olduğu sürücü harfini seçin, flash diskinizin içindeki veriler listelenecektir. Zaten daha önceden gizli ve sistem dosyalarını göster dediğiniz için aptal dosyaları görebiliyor olmalısınız.
Bu dosyalar;

autorun.inf / autorun.vbs
activexdebugger32.exe / fooool.exe
bittorrent.exe / msvcr71.dll
sxs.exe / winfile.exe
copy.exe / command.exe
ravmonlog / WSscript.exe
ie.exe / copy.exe
Ravmon.exe / New Folder.exe
svchost.exe / Heap41a
avp0.dll, avpo.exe, avp0.exe, secenekler.ini

gibi isimlerde olabilir. Bunları sağ tuş ile güzelce seçip, F8 tuşuna ya da delete tuşuna basın. Silme işlemine onay verin. Hepsi güzelce silindi… Artık flash diskinizde virüs yok
Peki bu flash diske hiç virüs bulaşmamasını nasıl sağlarım…

Öncelikle Virüssüz ve tertemiz flash diskimizde Total Commander ile yeni bir klasör oluşturun. (F7 tuşu ile) Bunun adını da autorun.inf yapın. Bu klasörü sağ tuş ile seçili hale getirin. Files menüsünden Change Attributes ‘i seçin. Oradaki archive, read only, hidden, system seçeneklerine iki kere tıklayarak, işaretli olduğundan emin olun. (Ok işareti olacak üstlerinde tamamen dolu değil…) Sonra da ok deyin. Artık klasörümüzün sağ tarafında rahs yazmalı.
Artık flash diskimizi virüslü bir makineye taktığımızda bile virüs yüklenemeyecek. Çünkü Autorun.inf dosyası bir klasör ve bu bir sistem dosyası üzerine de yazamayacak. Eğer flash diskinizi taktığınız makinede yazma hatası verirse aldırmayın, virüs bulaşamıyor demektir.

[Poster]

Bilgisayar ve İnternet > Genelbilgi ve İpucu > Autorun Virüsleri ve çözüm Yolları