USB Bellekten Bulaşan Zararlılara Çözüm
Autorun.inf, Autorun.vbs, activexdebugger32, Bloodhound.Packed.Jmp, Bittorrent.exe win32 copy.exe, sxs.exe, Uxdeiect.com, Cfmon.exe,Copy exe hatası v.s
Aşağıda geçen tüm dosyaları tek pakette
Buradan indirebilirsiniz.
Öncelikle en basit yol Usb beleği biçimlendirmek (Biçimlendirme genelde çözüm olsada bazen sisteme bulaştığı için kesin çözüm değildir) ama dosyalarınızı yedeklerken gizli dosyaları yedeklemeyin.
Bir başka yol ise
USB Disk Security V5.1.0.15Bilgisayarınıza taktığınız usb flash diskler icin %100 koruma sağlamaktadır. Nasıl bir koruma derseniz. İnternetcafeler de yada bir cok insanin ortaklaşa kullandığı bilgisayarlara bir çok kişi flash bellekleri ile gelmekte ve flash belleklerden belleğe virüs, solucan gibi yazılımların bulastıgını ve bilgisayarınızda yazılımsal sorunlar oluşturabilmektedir. Bu program ile artık usb flash disklerinizi güvenle bilgisayarınıza takabilecek veri alışverişi sağlıyabileceksiniz. Başka yerden virus bulaşsa dahi flash diski taktığınız anda bir uyari penceresi gelecek silmek için sizden onay isteyecek. Kullanımı çok basittir. Antivirus programlarına gore boyutu oldukca kucuk ve cok daha hızlı calısmaktadır. Sadece 900 Kb lik bir program.
Buradan indiriniz.
Diğer yollar aşağıdadır. * Autorun.vbs Hatası, C ve D sürücülerinde birlikte aç sorunu (autorun.*, bittorrent.exe, ...)
* Gizli Dosyaları ve Klasörleri Gösterememe Sorununun Çözümü (amvo.exe, kavo.exe,Bloodhound.Packed.Jmp ...)
* C ve D sürücülerinin paylaşıma açılması (activexdebugger32.exe)
Çözümler :
1.Adım:
ComboFix (XP, Vista) Özel Temizleme Aracını masaüstünüze buradan indiriniz. alternatif-1, alternatif-2, alternatif-3
* ÖNEMLİ: Bilgisayarınız normal kipte açıkken güvenlik yazılımlarınızı geçici olarak devre dışı bırakın.
* Unutmayın aracı masaüstünden çalıştırmalısınız.
* Bütün dosya ve klasörleri kapatın.
* Masaüstünde Sağ Tıklayın; Yeni >Metin Belgesi oluşturun.
* Aşağıdaki metni kopyalayıp yapıştırın.
Code:
File::
C:\WINDOWS\swxcacls.exe
C:\WINDOWS\sed.exe
C:\WINDOWS\swxcacls.exe
C:\WINDOWS\system32\ezsidmv.dat
C:\WINDOWS\system32\perfh01F.dat
C:\WINDOWS\system32\perfc01F.dat
Folder::
C:\WINDOWS\PIF
* CFScript.txt dosyasını ComboFix.exe dosyasının üzerine sürükleyin ve bırakın. ComboFix çalışmaya başlayacaktır.
* Karşınıza bir uyarı penceresi gelecek. Çıkan tüm uyarılara "Evet" veya "Yes" deyin. İşlemin bitmesini bekleyin.
* Bu aşamada klavye veya mouse'a dokunmayanız. Tarama işlemi tamamlandıktan sonra karşınıza bir metin penceresi gelecek.
* Sonuç olarak size bir rapor dosyası verecek. "C:\combofix.txt"
Bu program ayrıca msn viruslerine karşı da etklidir.
Örneğin: www.hi5-imagescom/img.php?= linkini gönderen fxstaller.exe virüsü temizlemek için gerekli olan program Combofix programıdır. Bilgisayarı tararken gidip gelmeler olabilir ilk taramadan sonra bilgisayarınız yeniden başlayacaktır korkmayınız.
2.Adım:
Flash_Disinfector aracını masaüstüne indiriniz.
* İşleme başlamadan önce güvenlik yazılımlarınızı geçici olarak kapatınız.
* Virus olma ihtimali olan USB beleklerinizi bilgisayara tıkanız ama açmayınız.
* Dosyaya çift tıklatınız.
* Çıkacak uyarıda "Tamam" tuşuna basınız. Masaüstü kısa süre kaybolacak.
* İşlem bittiğinde çıkan uyarıda "Tamam" tuşuna basınız. Masaüstü geri gelecek.
3.Adım:
Doctus Özel Onarma Aracını buradan yada buradan indiriniz.
Uyari : Bu programı (Doctus Onarma Aracı) kullanmaya başlamadan önce tüm programları kapatmanız gereklidir. Bu uyarı Doctus programı için geçerlidir.
Daha detaylı bilgi için doctus.org 'u ziyaret edin. Çünkü yanlış kullanımda bu program uygulanan windows için hatalara sebep olabilir. Bu nedenle doctusun daha geniş kapsamlı sitesini ziyaret ediniz.
* Arşivden masaüstüne çıkartınız.
* Tüm dosya ve klasörleri kapatınız.
* Çift tıklayarak çalıştırınız. Herhangi bir tuşa basarak devam ediniz.
* Çıkan uyarıları onaylayınız. Masaüstü kısa süre kaybolacak. Bekleyiniz.
* Herhangi bir tuşa basarak devam ediniz.
* Bilgisayar kendini yeniden başlatacaktır.
4.Adım
Autorun.inf virüslerinden kurtulun
USB disklerin kullanımındaki artış ile başımıza yeni bir bela musallat oldu. Autorun.inf ile bulaşan (sisteminize harici bir harddisk, flash disk ya da CD/DVD taktığınızda bu mediaların içinde autorun.inf isimli dosya varsa varsa windows, bu dosyayı çalıştırarak, sizin rızanız olmadan içinde yazan komutları çalıştırır) virüsler.
Bu virüsler eminim çoğunuzun sistemine bulaşmıştır. Ben bugun sistemimde virüs programımın çalışmadığını (norton, avast ve nod32 yazılımlarının hiçbiri bu badireyi engelleyememiş) gizli klasörlerin görüntülenmediğini, ve ayarlardan gerekli düzeltmeyi yapsam da bu düzeltmenin aktif olamadığını farkettim. araştırdığımda sorunun amvo isimli bir virüs olduğunu öğrendim.
Bundan korunmak için :
1- sisteminizin autorun özelliğini kapatın. şuradaki yönlendirmeleri uygulayın Ancak bu adım, sisteminizdeki virüs sebebiyle aktif olamayabilir. Bu nedenle bu adımı sistemine virüs bulaşmamış şahsı muhteremler uygulayabilir. virüs bulaşmış olanlar, beni takip edin.
2-Manuel olarak amvo dosyalarından kurtulun
Bu arada yazının kaynağı burasıdır.
1. Ctrl-Alt-Del konfigürasyonunu kullanarak Görev Yöneticisi’ni (Task Manager) açın.
2. Eğer wscript.exe adında çalışan bir dosya varsa işlemi sonlandır ile kapatın.
3. Eğer explorer.exe adında çalışan bir dosya varsa işlemi sonlandır ile kapatın.
4. Görev Yöneticisi’nden Dosya > Yeni Görev Çalıştır fonksiyonunu açın.
5. Çıkan kutuya cmd yazarak Komut İstemini çalıştırın.
6. Aşağıdaki komutu bütün sabit disk bölümlerine uygulayın.
del c:\autorun.* /f /a /s /q
del d:\autorun.* /f /a /s /q
(Not: Bu komut sabit disklerinizdeki bütün autorun.inf dosylarını sileceğinden dolayı eğer kendi olauşturduğunuz dosyalar varsa yedekleyin.)
7. cd c:\windows\system32 komutu ile Windows/System32 klasörüne girin.
8. dir /a avp*.* komutunu girin.
9. Eğer avp0.dll, avpo.exe, avp0.exe adında dosyalar görüyorsanız aşağıdaki komutla silin.
attrib -r -s -h avpo.exe
del avpo.exe
10. Görev Yöneticisi’nden Dosya > Yeni Görev Çalıştır fonksiyonunu kullanarak regedit komutunu çalıştırın. Şu anahtarı bulun.
HKEY_CURRENT_USER \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run
11. Bu anahtar altında avpo.exe girdisi varsa silin.
12. Regedit’in düzen>bul fonksiyonu ile ntde1ect.com dosyasını arayın. Bulduğunuz bütün girdileri silin.
13. Bilgisayarı yeniden başlatın.
Bilgisayarınız bu şekilde autorun trojanından kurtulmuş olacaktır. Eğer hala trojan varsa buradaki işlemleri bilgisayarınızı güvenli kipte açarak tekrarlamanızı öneririm.
3- 2. adımı otomatik olarak uygulayan kill_amvo_virus_usb_en.rar aracını indirin ve çalıştırın. bu uygulama ile dosyalarınızın görünülebilirliği de sağlanmış olacak. Araç çalışırken bir çok onay kutucuğu çıkacak. sakin olun, onaylayın tümünü. bitiminde ekran kararabilir, yine sakinliğinizi koruyunuz.
4- bir başka arac olan smart_av.exe' yi de indirerek sisteminizi sağlam kazığa da bağlayabilirsiniz.
5.Adım
Autorun.vbs sorunu ve çözüm dosyası
Autorun.vbs, sisteme bir şekilde bulaşan zararlı bir yazılımın [ malware] yol açtığı disk sürücüsü problemidir. Autorun.vbs bulaşan bir sistemde disk sürücülerine erişim kısıtlanır, kayıt defterinde gerçekleştirilen değişiklikler nedeni ile sağ tuş menüsüne hatalı girdiler eklenir ve sistem verimi düşer. "komut dosyası bulunamıyor" hatası ile ortaya çıkan ve son zamanlarda oldukça sık karşılaşılan bu sorun ile ilgili gelen e-postalar neticesinde hazırladığımız ufak uygulama sayesinde, artık bu sorunu aşabilecek ve sisteminizi eski performansına kavuşturabileceksiniz.
Hazırladığımız uygulamayı sisteminize kurduğunuz anda otomatik olarak bir mesaj kutusu ile karşılaşacaksınız. Bu mesaj kutusu size, o an içerisinde sistemde çalışan diğer uygulamaları kapatmanızı, varsa üzerinde çalıştığınız
uygulamaları kaydetmenizi hatırlatacak ve " Tamam" düğmesine bastığınız anda uygulama çalışacaktır. Bu uyarının nedeni, işlem tamamlandıktan sonra sistem yeniden başlatılacağından mevcut çalışmalarınızı kaybetmemeniz içindir.
Türkçe Yazılım - Autorun.vbs Düzelteci : Buradan indirebilirsinize
6.Adım
Activexdebugger32 Nedir? Nasıl Temizlenir?
Trojan genellikle flash disklerden bulşamaktadır.Bu trojanı temizleyebilmek için Dracula Virüs Temizleyici ile virüsten tamamen kurtulabilirsiniz
DraculaVirusTemizleyiciv3.4 indir.
Ayrıntılı bilgi http://www.yazguven.com
7. Adım
Bittorrent.exe win32 copy.exe sxs.exe autorun.inf virüsleri için çözüm
Bu yöntem Bittorrent.exe virüslerini temizlemek için geliştirilmiştir.
Belirtileri:
1-Bilgisayarımda C,D,E.. sürücülere çift tıklama yöntemi ile açılamaması, sağ tıklayıp aç deyince açılması
2- Sürücülere çift tıklama yöntemiyle açmaya çalışınca hata vermesi
3-Sürücülere sağ tıklayınca Normalin dışında menülerin olması
UYARI: Normalde sağ tuş menüleri şöyle sıralanır: Aç,Araştır,Ara.. şeklinde sıralanması lazım.
Virüs ihtimali olanlarda Auto, aç araştır şeklinde gidebilir. (Bunlar basit autorun.inf virüsleridir)
Yada anlamsız karakterler bulunabilir(Bunlar biraz daha zor Autorun.vbs virüsleridir)
ÇÖZÜM:(KATKILARINIZLA GELİŞTRİLEN SİL.BAT GÜNCELLENDİ)
1-
Buradan sil.rar dosyasını indirebilirsiniz
Linkteki dosyayı indirip çalıştırın. işlem bitinceye kadar yaklaşık 3 dakika bekleyin. bilgisayarı kapatıp açın. sorun halledildi ise geçmiş olsun halledilmedi ise 4. adıma geçin. Buraya kadar bir çok kişide çözüme kavuşacak 4. adıma geçmenize gerek kalmayacaktır.
Makinayı yeniden başlatım sorun var mı bakın. aksi halde 4. adıma geçin
2-başlat çalıştır regedit yazıp enterlayın.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="userinit.exe" olarak ayarlamak (autorun.bat eki varsa silin. Doğru ve temiz ayar C:\WINDOWS\system32\userinit.exe, şeklinde olacak )
ve
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"ShowSuperHidden"=dword:1 olarak ayarlamak (00000 ise silip 1 yapın)
ayrıca
HKEY_CURRENT_USER\Software\microsoft\Windows\CurrentVersion\Explorer\ içinde bulunan
MountPoints2 klasörünü komple içindekilerle birlikte silmek gerekiyor.(merak etmeyin silin birşey olmaz)
Eğer sorun hala devam ediyorsa, Buraya bilgi verin çözüm yolu bulmaya çalışalım..
8.Adım
Bloodhound.Packed.Jmp temizleme-Gizli Dosyaları Görünür Hale Getirememe Sorunu
Bloodhound.Packed.Jmp ne yapıyor?
Gizli dosyaları göster dediğimde göstermiyo tekrar gizleye getiriyor.
Tüm popüler antivirüsleri denedim.Bunların yanında tüm popüler anti spy larıda denedim bir türlü temizlenmedi.Sonra
http://forums.spybot.info/showthread.php?t=26044 adresindeki ComboFix.exe dosyasını buldum.Denedim ve sonuç mükemmel temizlendi.
Linkler
1- http://download.bleepingcomputer.com/sUBs/ComboFix.exe
2- http://www.forospyware.com/sUBs/ComboFix.exe
3- http://subs.geekstogo.com/ComboFix.exe
9.Adım
Bu yöntem Autorun.inf dosyasını kullanarak yayılan virüslerini temizlemek için geliştirilmiştir.(Win32/Small.F virüs)
Belirtileri:
1-Bilgisayarımda C,D,E.. sürücülere çift tıklama yöntemi ile açılamaması, sağ tıklayıp aç deyince açılması
2- Sürücülere çift tıklama yöntemiyle açmaya çalışınca hata vermesi
3-Sürücülere sağ tıklayınca Normalin dışında menülerin olması
UYARI: Normalde sağ tuş menüleri şöyle sıralanır: Aç,Araştır,Ara.. şeklinde sıralanması lazım.
Virüs ihtimali olanlarda Auto, aç araştır şeklinde gidebilir. (Bunlar basit autorun.inf virüsleridir)
Yada anlamsız karakterler bulunabilir(Bunlar biraz daha zor Autorun.vbs virüsleridir)
ÇÖZÜM:
1- Buradan TuRK_HARD.rar dosyasını indirin.
Linkteki dosyayı indirip çalıştırın. işlem bitinceye kadar yaklaşık 3-5 dakika bekleyin. bilgisayarı kapatıp açın. sorun halledildi ise geçmiş olsun halledilmedi ise 4. adıma geçin. Buraya kadar bir çok kişide çözüme kavuşacak 4. adıma geçmenize gerek kalmayacaktır.
Makinayı yeniden başlatım sorun var mı bakın. aksi halde 4. adıma geçin
2-başlat çalıştır regedit yazıp enterlayın.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="userinit.exe" olarak ayarlamak (autorun.bat eki varsa silin. Doğru ve temiz ayar C:\WINDOWS\system32\userinit.exe, şeklinde olacak )
ve
[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\Advanced]
"ShowSuperHidden"=dword:1 olarak ayarlamak (00000 ise silip 1 yapın)
ayrıca
HKEY_CURRENT_USER\Software\microsoft\Windows\Curre ntVersion\Explorer\ içinde bulunan
MountPoints2 klasörünü komple içindekilerle birlikte silmek gerekiyor.(merak etmeyin silin birşey olmaz)
Eğer sorun hala devam ediyorsa, Buraya bilgi verin çözüm yolu bulmaya çalışalım..
Edit: Açıklamada Güncelleme yapıldı + 2008 güncellemeyesi eklendi + Gizli dosyaları göster/gösterme sorunu için yama eklendi.
Ocak 2008 Güncellemesi:
Win32/Delf.AAM truva atı sürücü ve flash disklerde bulunan klasörleri gizleyerek, klasör görünümnde 37KBlık dosyalar oluşturuyor. kullanıcılarda bunu klasör sanıp tıkladıgı and virüs yayılmaya devam ediyor. Bu truruva atının gizlediği dosyaların pasif olan gizlilik özellğini aktif edebilme özellği ek dosya olarak rar dosyasına eklenmiştir.
Diğerleri eğer sadece USB disklerde autorun'ı kapatmak isterseniz. buradaki kayıt defteri yaması ile bunu gerçekleştirebilirsiniz.
Başımıza bela olan autorun virüslerinin sistemden silmeye yarayan programlar aşağıdaki linkte mevcut.
copy.exe
bittorrent.exe
autorun.info
sxs.exe
win32.exe vb birçok virüsü temizleyebiliyor
AutoRun.rar dosyasını buradan indirin.
yukardaki dosyayı indirin nasıl kullanıldığı içinde yazıyor.
Not:Bu virüsler Pardus ta bulaşmamaktadır.
Aşağıdaki bölüm yazguven.com dan alınmıştır.
Virüs Tespiti ve Flash Disk Virüslerinden Korunma
Aşağıdaki işlemleri okur ve uygulanırsanız flash disklerden gelebilecek zararlılar konusunda daha dikkatli davranabilirsiniz:
1- Sağlam bilgisayarlarda Denetim Masası-> Klasör Seçeneklerinde Görünüm kısmında gizli dosya veya klasörleri göster seçili olmalıdır.Yine görünümde korunan işletim sistemi dosyalarını gizle işareti kaldırılmalıdır.Bunları yaptığınızda doğal olarak kullanıcı C:\ sürücüsünde birçok gizli dosyayı görecektir ve endişeye kapılacaktır.Bunların silinmemesi gerekir. Flash disklerdeki gizli konumundaki(yarı saydam görünür) dosyalar kesin olmamakla birlikte genelde virüslüdür. Eğer Autorun dosyası görüyorsanız ve açtığınızda open=deneme.exe gibi bir şey yazılısıysa ve flash diskiniz içinde deneme.exe ‘yi görüyorsanız ve gizli bir dosya ise yüksek olasılıkla o dosya virüstür.
2-Klasör Seçenekleri->görünüm kısmında bilinen dosya ve uzantıları gizle var, bunun işareti de kaldırılırsa dosya uzantıları görünür bunun yararı nedir, klasör görünümlü exe’ler var özellikle Newfolder.exe virüsü kendisini klasör gibi gösterir ve tıkladığınızda geçmiş olsun.Tüm alt klasörlerde aynı isimli exe oluşturur. Bunu yapmanın zararı nedir? Eskiden yeni metin belgesi oluşturup asd ismini verdiğinizde sorunsuz kaydedebilirdiniz ama şimdi uzantıyı göreceğiniz için asd.txt olarak kaydetmek zorundasınız aksi takdirde dosya adı asd kalırsa tanımlanamayan dosya biçimi olarak kalır.
3-Flash diskleri asla üzerine çift tıklayarak ya da sağ tıklayıp aç diyerek açmayın bunun yerine Bilgisayarımda Adres çubuğuna sürücü ismini yazarak girin örneğin F:/ gibi. Bu şekilde girdikten sonra flash diskte virüs varsa muhtemelen Yarı saydam exe’leri göreceksiniz ve bunları Autorun.inf iel birlikte silebilirsiniz.
4-Eğer makinede virüs var ve hiçbir şekilde temizlenemiyorsa( Dracula’ya rağmen) bilgisayarınızı açılışta F8 tuşuna basılı tutarak güvenli modda çalıştırın, başlat->çalıştır kısmına msconfig yazın ve Başlangıç sekmesindeki bütün programları kaldırdıktan sonra bilgisayarı yeniden başlatın, sorun düzelmişse aynı yöntemle bazı güvenilir işlemleri tekrar işaretleyerek çalıştırabilirsiniz(Örneğin Nod32 gibi)
5-Bir virüsün virüs olduğunu nasıl anlarım, bunun anlaşılması aslında kolay değildir ama görev yöneticisine bakılır ve yabancı isimli çalışan exe’lerden şüphelenilir ve işlemciyi çok kullanan işlemlerden şüphelenilir. Bir de şu var, siz flash diskteki autorun.inf dosyasını silmenize rağmen bir süre sonra bu dosya tekrar geliyorsa o çalışan işlemlerden birisi sizin flashınıza kopyalama işlemini yaptırıyor demektir yani kısacası virüs aktif demektir.
Son olarak ise hijackthis nedir ne işe yarar.
HijackThis programı; "spybot" , "Spybot - Search & Destroy", veya başka bir "Spyware/Hijacker remover" programı kullanıp temizleme işlemi yaptıktan sonra sisteminizde hala problemler varsa kullanılır. HijackThis ileri seviye bir program olduğu için ileri seviyede bir bilgisayar ve windows bilgisi ister. Bu programın belirttiği anahtarlardan birini yanlışlıkla silmeniz halinde sistemi çökertebilir veya başka problemlerin oluşmasına neden olursunuz. Bu nedenle siz öncelikle Spyware/Hijacker/Trojans temizlemesini başka temizleme programları ile yapmalısınız. Diğer metodların (antivirüs programları, Ad-aware , Spybot - Search & Destroy, CWShredder.hijack ve benzeri temizleme programları) hepsini kullandığınıza emin iseniz ve hala problemleriniz devam ediyorsa bu programı kullanabilirsiniz ancak size verdiği bilgiler üzerinde kesin bilgiye sahip değilseniz lütfen bir bilene sorunuz, sadece hijackthis log dosyalarını sormak için kurulmuş internet siteleri ve forumlar vardır. Buralara log dosyanızı veriyorsunuz size hangi satırları silmeniz veya değiştirmeniz gerektiğini yazıyorlar. (computercops.biz , spywareinfo.com/forums gibi)
HiJackThis Buradan indirebilirsiniz.
Hijackthis 'in daha detaylı açıklaması için burayı okuyunuz.
Bu yazılar çeşitli sitelerden alıntıdır ve bazıları derlenmiştir.
