Günümüzde artık herkeste bir Flash (Usb) Disk var. Cebimizde minicik bir medyada defalarca silip kullanabileceÄŸimiz ve kapasiteside son derece tatminkar olan bu ÅŸirin aletler hayatımızı çok fazla kolaylaÅŸtırdı. asd9.jpgFakat, flash disklerle neredeyse her yere bulaÅŸan salak autorun virüsleri de bir çok defa ÅŸikayetlere neden olmakta… Ben uzun süredir çok sık duyuyorum,

“Bu flash disk benim makinemde açıyor ama sende neden açmıyor?” ya da
“Benim flash diskim bozuldu galiba tıklıyorum tıklıyorum açmıyor artık, formatladım ama düzelmedi?” ya da
“Format attım defalarca ama hala bu virüs var benim flash diskimde” ya da
“Gizli dosyaları göster diyorum ama aktif olmuyor bir türlü?” ya da
“Usb Diskime saÄŸ tuÅŸ tıkladığımda ingilizce ya da garip dillerde yazılar çıkıyor, neden ki?” ya da
“Geri dönüşüm kutum açılmıyor? Ne oldu ki? gibi bir sürü sorular… Hepsinin çözümü var :D meraklanmayın…
Flash diskler ile, sd kartların kullanıldığı her yere (fotoÄŸraf makineleri, cep telefonları) ve hatta mp3 playerlara bile bulaÅŸabilen bu virüslerin kimileri epey tehlikeli… Aslında; flash diskimizi, linux yüklü bir makine ile açtığımızda, içindeki -bu altta yazılı olan- garip dosya isimlerini silerek flash diskimizi virüslerden temizleyebiliriz. Fakat bu garip virüslerin bulaÅŸtığı windowslara flash diskimizi her taktığımızda yine virüs bulaÅŸacaktır. Bir garip döngü yani. Böyle bir virüs yüzünden formatladınız bilgisayarınızı ve flash diskinizi diyelim ama bu virüsün olduÄŸu bir flash diski taktığınızda hoop herÅŸey yeniden baÅŸa dönecektir. Bakalım neler yapabiliriz?

autorun.inf / autorun.vbs
activexdebugger32.exe / fooool.exe
bittorrent.exe / msvcr71.dll
sxs.exe / winfile.exe
copy.exe / command.exe
ravmonlog / WSscript.exe
ie.exe / copy.exe
Ravmon.exe / New Folder.exe
svchost.exe / Heap41a
avp0.dll, avpo.exe, avp0.exe, secenekler.ini
Virüslü flash disklerde olan garip dosyalar…

Yazının devamında;

  • Bu garip virüs, trojan vs.. programlarını öncelikle Windowstan temizleyeceÄŸiz.
  • Otomatik olarak çalıştığı için müdahele edemediÄŸimiz bu flash disklerin otomatik çalıştırma özelliÄŸini iptal edeceÄŸiz.
  • Flash disklerimizden bu garip virüsleri temizleyeceÄŸiz.
  • Flash diskimize bu garip virüslerin asla bulaÅŸamayacağı önlemler alacağız.


Öncelikle Windows’ta bu virüsün kalıntılarının olmadığından emin olalım. Yani bu virüsü kendi bilgisayarımızdan bir temizleyelim… Flash diskimizi bir müddet uzak tutacağız…

BaÅŸlat – Çalıştır – regedit yazıp Registry Editör’e girelim.

  1. HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon anahtarını seçiyoruz. Sağ taraftaki Userinit yazısına iki kere tıklayın, açılan pencerede C:\WINDOWS\system32\userinit.exe, yazıyorsa -virgülde dahil- sorun yok. sonunda autorun.bat yazıyorsa onu silin ama sonundaki virgül kalsın.
  2. HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Explorer \ içinde bulunan MountPoints2 klasörünü komple içindekilerle birlikte silin. O klasörün altında {10fc1320-d535-11db-8880-0018de94c187} gibi garip garip ifadeler olabilir farketmez ya da c, d, e gibi farklı klasörlerde olabilir, hepsini silin.
  3. HKEY_CURRENT_USER \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run içinde bulunan avpo.exe dosyasını ya da buna benzer sizin kullanmadığınız bir program varsa ya da adı {10fc1320-d535-11db-8880-0018de94c187} gibi garip olan bir ÅŸeyler varsa bunları silin. Burada gördükleriniz Windows’un açılışında otomatik olarak çalıştırılan uygulamalardır. Sizin kurmadığınız bazı uygulamalar varsa şüpheleniyorsanız bunları da silin. ;) Regeditten çıkabilirsiniz.
  4. Eski dos günlerindeki Nc‘ye aÅŸinaysanız onun ayarında bir program kurmaya geldi sıra. Total Commander programını indirip, kurun. (Direk C’ye totalcmd\ klasörüne kurulsun ellemeyin. :D )
  5. �?imdi Ctrl + Alt + Delete diyerek görev yöneticisini açın. Ä°ÅŸlemler sekmesine geçin. Burada WSscript.exe ya da Wscript.exe adında çalışan bir uygulama varsa iÅŸlemi sonlandır deyin. avpo.exe ya da ntde1ect.com adında uygulamalar varsa bunlarında görevini sonlandırın. En son Explorer.exe’nin görevini sonlandırın ve Uygulamalar sekmesindeki saÄŸ alttan yeni görev deyin.
  6. EÄŸer Total Commander programını kurduysanız direk 12.adıma geçin buraları atlayın. Yok ben Dos’a aÅŸinayım elimle yazcam komutları diyorsanız devam edin.
  7. cmd yazıp entera basın.
  8. Windows’u c ye kurduysanız, cd \windows\system32 yazıp entera basın.
  9. dir /a avp*.* yazıp entere basın eğer bir şeyler gözüküyorsa (Dosya bulunamadı demiyorsa)
    attrib -r -s -h avp*.* yazıp entera basın sonra da del avp*.*
  10. Daha sonra attrib -h -r -s activexdebugger32.exe yazıp entera basın eğer dosya bulunamadı derse sorun yok. Hata vermediyse
    del activexdebugger32.exe yazıp entera basın.
  11. cd\ yazıp entera basın. dir /a autor*.* yazıp entera basın. Eğer dosya bulunamadı diyorsa attrib -r -s -h autor*.* yazıp entera basın sonra da del autor*.* yazın. Bu adımları yaptıysanız direk 15.adıma geçin.
  12. Total Commander ile devam etmek::::
  13. Yeni Görev bölümünden gözat deyip, C:\deki totalcmd klasörünün içindeki TOTALCMD.EXE dosyasını bulun ve çalıştır deyin. TotalCMD açıldığında, Configuration dan Options a girin. Açılan pencereden, Display ‘e tıklayın. Show Hidden/System files (for experts only!) seçeneÄŸini iÅŸaretleyin. Ok deyip çıkın. Bu iÅŸaretlediÄŸimiz seçenek gizli ve sistem dosyalarını görünür hale getiriyor.
  14. Daha sonra C sürücüsünün içinde autorun ile başlayan ya da üstte virüslü flash disklerde olan dosyalar baloncuğunda yazan dosyalar varsa onları farenin sağ tuşu ile seçip F8 tuşuna basın. Delete işlemi için onay verin. Daha sonra yine fare yardımıyla Windows klasörüne çift tıklayın, system32 klasörüne gidin. Burada avp ile başlayan dosyalar varsa onları da sağ tuş ile seçili hale getirin teker teker, daha sonra activexdebugger32.exe ya da ona benzer bir dosya varsa onu da seçin. Bu dosyaları da F8 ile silin.
  15. �?imdi bilgisayarımızı yeniden başlatın.
  16. Üstteki adımları tekrar kontrol edin bakalım bir yeniden aktif olmuş mu? Eğer başından beri takip ettiniz ve hiç bir değişiklik yapmamanıza rağmen, yani ayarlarınız düzgün olmasına rağmen virüs olabileceğinden şüpheleniyorsanız sonraki adıma geçin.
  17. Sophos firmasının çıkarmış olduğu sav32sfx.exe dosyasını indirin. İndirme işlemi bittikten sonra üzerinde iki kere tıklayıp c:\SAV32CLI klasörüne açılmasını sağlayın.
  18. Bu klasörü bir cd’ye yazın. EÄŸer bunun için cd harcamak istemiyorum diyorsanız bu klasörü diÄŸer partition’a (d ya da e) kes-yapıştır diyebilirsiniz.
  19. Bilgisayarınızı yeniden baÅŸlatın, Windowsun ilk yüklenmeye baÅŸladığı ekran gelmeden önce F8 tuÅŸuna bir kaç defa basın. Karşınıza açılma seçenekleri gelecektir. Buradan “Komut istemiyle güvenli Mod”u seçin.
  20. Karşınıza konsol açılacak. Daha sonra Cd romunuzun harfi neyse mesela E. E: (e iki nokta üst üste) yazıp enter tuşuna basın.
  21. cd SAV32CLI yazıp entera basın, daha sonra SAV32CLI -REMOVE -P=C:\LOGFILE.TXT yazıp entera basın, size soracağı sorulara A harfini seçerek cevap verin. Ä°ÅŸlem 1 saat kadar sürecektir, bittikten sonra artık tertemiz bir Windows’umuz var demektir.

Windows’umuzu bu saçma salak autorun virüsü türevlerinden temizledik… :D

Åžimdi gelelim bundan sonra bu bilgisayara nasıl flash diskten virüs girmesine izin vermeyeceÄŸimize…

Flash disklerden gelen virüslere kapıyı kapatmak

Yapılacaklar;

  • Virüslü flash diskleri açarken virüs yememek için Total Commander programını kuracağız.
  • Windows’un saçma salak autorun özelliÄŸini flash diskler için ya da her medya için iptal edeceÄŸiz.
  • Flash disklerimizdeki, (sd kartlar, microsd kartlar aklınıza ne gelirse…) virüsleri sileceÄŸiz.

EÄŸer hala Total Commander programını kurmamakta hala ısrarcıysanız, kurmanızın zamanı geldi demektir. Total Commander programını indirip, kurun. (Direk C’ye totalcmd\ klasörüne kurulsun ellemeyin. :D ) Programı kurduktan sonra Configuration dan Options a girin. Açılan pencereden, Display ‘e tıklayın. Show Hidden/System files (for experts only!) seçeneÄŸini iÅŸaretleyin. Ok deyip çıkın. Bu iÅŸaretlediÄŸimiz seçenek gizli ve sistem dosyalarını görünür hale getiriyor.

Total Commander

Autorun özelliğini devre dışı bırakmak için, Xp Pro ve Home sürümlerinde iki farklı yöntem uygulayacağız. Eğer Xp Home kullanıcısıysanız o aşamaya geçin.
A- Xp Profesional kullanıcıları için;
A-1 BaÅŸlat – Çalıştır – gpedit.msc yazın. Entera basın.
A-2 Bilgisayar Yapılandırması sekmesinin altındaki Yönetim ÅŸablonları sekmesini açın. Buradan da sistem sekmesine tıklayın. SaÄŸ tarafta listelenen seçeneklerden, Otomatik çalıştır özelliÄŸini kapat seçeneÄŸine çift tıklayın. Etkin ‘i iÅŸaretleyin. Uygula – Tamam deyin.
A-3 Bilgisayarı yeniden başlattığınızda usb diskler ve cdler otomatik olarak çalışmayacak ve varsa virüsler size bulaşmayacaktır.

Gpedit

B- Xp Home kullanıcıları için;
B-1 BaÅŸlat – Çalıştır – regedit yazın. Entera basın.
B-2 HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ Explorer anahtarına kadar gidin. Sağ tarafta listelenen seçeneklerden, NoDriveTypeAutoRun özelliğine çift tıklayın. Onaltılık seçili iken; 0xFF yazın. Tamama basın ve Regeditten çıkın.
B-3 Bilgisayarı yeniden başlattığınızda usb diskler ve cdler otomatik olarak çalışmayacak ve varsa virüsler size bulaşmayacaktır. Konu ile ilgili bkz.Microsoft

Sıra geldi USB Disklerimizdeki salak virüs/mallware/trojan ne varsa temizlemeye

Öncelikle sistemde virüs olmadığından emin olmalısınız yoksa temizleseniz bile tekrar bulaşabilir. O yüzden makalenin üstündeki virüs temizleme adımlarını yaptığınızdan emin olmalısınız.

EÄŸer sistemde virüs olmadığından eminseniz; Usb diskinizi taktıktan sonra, -Autorun özelliÄŸini kapattığınız için- otomatik olarak baÅŸlama ekranı gelmeyecektir. O yüzden Bilgisayarım’a hiç girmeden direk Total Commander’ı açın. Soldaki aÅŸağı doÄŸru açılır pencereden Flash diskinizin olduÄŸu sürücü harfini seçin, flash diskinizin içindeki veriler listelenecektir. Zaten daha önceden gizli ve sistem dosyalarını göster dediÄŸiniz için :) aptal dosyaları görebiliyor olmalısınız.
Bu dosyalar;

autorun.inf / autorun.vbs
activexdebugger32.exe / fooool.exe
bittorrent.exe / msvcr71.dll
sxs.exe / winfile.exe
copy.exe / command.exe
ravmonlog / WSscript.exe
ie.exe / copy.exe
Ravmon.exe / New Folder.exe
svchost.exe / Heap41a
avp0.dll, avpo.exe, avp0.exe, secenekler.ini

gibi isimlerde olabilir. Bunları saÄŸ tuÅŸ ile güzelce seçip, F8 tuÅŸuna ya da delete tuÅŸuna basın. Silme iÅŸlemine onay verin. Hepsi güzelce silindi… Artık flash diskinizde virüs yok :D

Peki bu flash diske hiç virüs bulaÅŸmamasını nasıl saÄŸlarım…

Öncelikle Virüssüz ve tertemiz flash diskimizde Total Commander ile yeni bir klasör oluÅŸturun. (F7 tuÅŸu ile) Bunun adını da autorun.inf yapın. Bu klasörü saÄŸ tuÅŸ ile seçili hale getirin. Files menüsünden Change Attributes ‘i seçin. Oradaki archive, read only, hidden, system seçeneklerine iki kere tıklayarak, iÅŸaretli olduÄŸundan emin olun. (Ok iÅŸareti olacak üstlerinde tamamen dolu deÄŸil…) Sonra da ok deyin. Artık klasörümüzün saÄŸ tarafında rahs yazmalı.
Artık flash diskimizi virüslü bir makineye taktığımızda bile virüs yüklenemeyecek. Çünkü Autorun.inf dosyası bir klasör ve bu bir sistem dosyası üzerine de yazamayacak. Eğer flash diskinizi taktığınız makinede yazma hatası verirse aldırmayın, virüs bulaşamıyor demektir. :D

[14] yorum yapılmış.