Şifreleri Çalan Virüsleri Temizleme Yöntemi
Yaklaşık 1 seneden beri mevcut olan ancak bugun itibariyel 100 makinanın 40 da rastladığımız bir virusle ilgili uyarı vermek istedim.
Bu virüs özellikle kişisel tüm bilgilerinizi şifrelerini kredi karti bilgilerini msn şifrelerini mail şifrelerinizi belirli bazı kişilere göndermektedir.
Bu virusun en öenmli göstgergelerinden biri gizli dosyları göster demenize ragmen göstermemesi
Aslında en çok flashbellekler ile yayılmakta ve kendini autorun komutu ile bilgisayarın sabit disklerine kopmayalamaktadir. Kendini korunan sistem dosyası olarka gosterdigi ve antiviruslerin ulaşmadığı
system volume informationa yerleştigi için bir çok antivirus bu virusu atlamaktadır.
Ne kadar iyi antivirusunuz olsada yayılan dosya aslında bir virus degil ancak kendi amvo virusunu yazarak
sistemde sonsuza kadar kalabilir. En güvenli yok tüm hardisklere format atmaktır. Şimdi diğer alternatif yollara
değineyim
1- Öncelikle bilgisayarınızda kasperky yada antiviral antivirus programi olmalı. Yoksa aşağıdaki adreslerden
indirip hemen kurun. Antivursleri update ettikten sonra full system taramasi yaptirin ve virusleri bulınca sil komutu verin bu yardimci trojanları yok eder ama virus hala pcnizde emin olun
Antivurs ile temizlik aşaması bittikten sonra. Diğer aşamaya geçelim
Kasperky 1 ay deneme surumu turkce 2009
http://www.kaspersky.com.tr/yuklemeler.html
Antivir 1 ay deneme sürümü (BENİM TERCİHİM BU KASPERSKY ZAYIF KALDI BU VİRUSTE)
http://www.free-av.com/en/download/index.html
2- amvo ve türevleri ile en etkili temizleme araci combofix adlı programdır. Bu programı
aşağıdaki siteden indirebilirsiniz
combofix indirme
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
combofix i indirip çalıştırırken antivirus programıon ne oldugunu sorarsa izin verin çünkü sisteme direkt müdahale ediyor
combo fiz ile temizlik bitince size detaylı rapor verecektir.
Ama hala işlem bitmedi virus hala gizleniyor.
3- Bazı virüsler kendilerini system volume information da saklar ve virüs programları bu dosyayı erişim
olmadığı için taramaz...
Bu dosyayı görmek için ;
Denetim Masası => Klasör Seçenekleri => Görünüm =>
Gizli dosya ve klasörleri göster ...(İşaretle)
Korunan işletim sistemi dosyalarını gizle (Önerilen) ...(İşareti kaldır)
DIKKAT VIRUSLU BİLGİLSAYARDA GİZLİ DOSYALARI GÖSTER KOMUTU ÇALIŞMAZ. Bu durumdaCombofix aşamasına geri dönün
bu adımları uygulayın.
Şimdi bu klasörü C:\System Volume Information ve varsa D:\System Volume Information olarak bulursunuz...
Şimdi Klasörü açmaya çalıştığınızda Erişim Engellendi diye bir uyarı alırsınız...
Erişim izni vermek için ;
Başlat => Çalıştır =>
cacls "C:\System Volume Information" /e /g Oturum açma adı:F (Enter)
veya
cacls "D:\System Volume Information" /e /g Oturum açma adı:F (Enter)
(Oturum açma adı ---> bilgisayarı hangi kullanıcı adı ile açtıysanız onu yazacaksınız...)
Örneğin:
cacls "C:\System Volume Information" /e /g administrator:F
yada
cacls "D:\System Volume Information" /e /g ahmet:F
komutu yazarken Baştaki C sizin hardiskinizdeki C yi temsil ediyor hardisk 3 bolumde ve hardislar D ve E olarakda varsa aynı şekilde baştakini degistirip tekrar komutu vermen gererkir. Her sürücü için bu komut verilmeli genelde yapilan hata oturum açma adının yalnış girilmesi oluyor
Bu komutu ulaşamadığınzı başka klasörler içinde kullanaiblirsiniz.
Sistem geri yuklemeyi bilgilsayar özelliklerinden kapatin ve C ve D surucunuze girin
virusun ana dosyasını gorebilirsiniz genelde h.exe gibi acaip isimlerde olur.
Yukarıda ki işlemi doğru yaptığınız anlamak için system volume information a girmeye çalışın
Eğer girebiliyorsanız doğru işlme yapmışsınızdır.
system volume information icinde olan klasörleri silin. Silinmeyen klasör olursa
kendiniz slinmeyen klasörün içine girerek manuel olarak silin. Silinmeyen txt dosyası rapor dosyasıdır endişe etmeyin.
ÖNEMLİ UYARI:
Virüs temizlendigi zaman amvo ile birlikte aktif olan bir başka virüs c yada d hardiskinize erişimi engeller. Şöyleki hardiskinize tıkladığınızda birlikte aç çıkar sebebi explorer exeyi devre dışı bırakan virüsün antivirüs tarafında silinemsidir. yerel disklere yani harddisklere tıkladığınızda birlikte aç sorununun çözümü aşağıdadır:
rapidshare.com/files/142924156/birlikte_ac_duzelt.bat.html
Henuz deneyemedim ama %99 calisir. Çalışmassa soyleyin inceleyim
http://virusscan.jotti.org/ sitesi gayet başarılı virüs bulmada lütfen indirdiğiniz her dosyayı bu siteden den kontrol ediniz.
Bir kişiye bile yardım edebilirsem ne mutlu
Bu virüs özellikle kişisel tüm bilgilerinizi şifrelerini kredi karti bilgilerini msn şifrelerini mail şifrelerinizi belirli bazı kişilere göndermektedir.
Bu virusun en öenmli göstgergelerinden biri gizli dosyları göster demenize ragmen göstermemesi
Aslında en çok flashbellekler ile yayılmakta ve kendini autorun komutu ile bilgisayarın sabit disklerine kopmayalamaktadir. Kendini korunan sistem dosyası olarka gosterdigi ve antiviruslerin ulaşmadığı
system volume informationa yerleştigi için bir çok antivirus bu virusu atlamaktadır.
Ne kadar iyi antivirusunuz olsada yayılan dosya aslında bir virus degil ancak kendi amvo virusunu yazarak
sistemde sonsuza kadar kalabilir. En güvenli yok tüm hardisklere format atmaktır. Şimdi diğer alternatif yollara
değineyim
1- Öncelikle bilgisayarınızda kasperky yada antiviral antivirus programi olmalı. Yoksa aşağıdaki adreslerden
indirip hemen kurun. Antivursleri update ettikten sonra full system taramasi yaptirin ve virusleri bulınca sil komutu verin bu yardimci trojanları yok eder ama virus hala pcnizde emin olun
Antivurs ile temizlik aşaması bittikten sonra. Diğer aşamaya geçelim
Kasperky 1 ay deneme surumu turkce 2009
http://www.kaspersky.com.tr/yuklemeler.html
Antivir 1 ay deneme sürümü (BENİM TERCİHİM BU KASPERSKY ZAYIF KALDI BU VİRUSTE)
http://www.free-av.com/en/download/index.html
2- amvo ve türevleri ile en etkili temizleme araci combofix adlı programdır. Bu programı
aşağıdaki siteden indirebilirsiniz
combofix indirme
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
combofix i indirip çalıştırırken antivirus programıon ne oldugunu sorarsa izin verin çünkü sisteme direkt müdahale ediyor
combo fiz ile temizlik bitince size detaylı rapor verecektir.
Ama hala işlem bitmedi virus hala gizleniyor.
3- Bazı virüsler kendilerini system volume information da saklar ve virüs programları bu dosyayı erişim
olmadığı için taramaz...
Bu dosyayı görmek için ;
Denetim Masası => Klasör Seçenekleri => Görünüm =>
Gizli dosya ve klasörleri göster ...(İşaretle)
Korunan işletim sistemi dosyalarını gizle (Önerilen) ...(İşareti kaldır)
DIKKAT VIRUSLU BİLGİLSAYARDA GİZLİ DOSYALARI GÖSTER KOMUTU ÇALIŞMAZ. Bu durumdaCombofix aşamasına geri dönün
bu adımları uygulayın.
Şimdi bu klasörü C:\System Volume Information ve varsa D:\System Volume Information olarak bulursunuz...
Şimdi Klasörü açmaya çalıştığınızda Erişim Engellendi diye bir uyarı alırsınız...
Erişim izni vermek için ;
Başlat => Çalıştır =>
cacls "C:\System Volume Information" /e /g Oturum açma adı:F (Enter)
veya
cacls "D:\System Volume Information" /e /g Oturum açma adı:F (Enter)
(Oturum açma adı ---> bilgisayarı hangi kullanıcı adı ile açtıysanız onu yazacaksınız...)
Örneğin:
cacls "C:\System Volume Information" /e /g administrator:F
yada
cacls "D:\System Volume Information" /e /g ahmet:F
komutu yazarken Baştaki C sizin hardiskinizdeki C yi temsil ediyor hardisk 3 bolumde ve hardislar D ve E olarakda varsa aynı şekilde baştakini degistirip tekrar komutu vermen gererkir. Her sürücü için bu komut verilmeli genelde yapilan hata oturum açma adının yalnış girilmesi oluyor
Bu komutu ulaşamadığınzı başka klasörler içinde kullanaiblirsiniz.
Sistem geri yuklemeyi bilgilsayar özelliklerinden kapatin ve C ve D surucunuze girin
virusun ana dosyasını gorebilirsiniz genelde h.exe gibi acaip isimlerde olur.
Yukarıda ki işlemi doğru yaptığınız anlamak için system volume information a girmeye çalışın
Eğer girebiliyorsanız doğru işlme yapmışsınızdır.
system volume information icinde olan klasörleri silin. Silinmeyen klasör olursa
kendiniz slinmeyen klasörün içine girerek manuel olarak silin. Silinmeyen txt dosyası rapor dosyasıdır endişe etmeyin.
ÖNEMLİ UYARI:
Virüs temizlendigi zaman amvo ile birlikte aktif olan bir başka virüs c yada d hardiskinize erişimi engeller. Şöyleki hardiskinize tıkladığınızda birlikte aç çıkar sebebi explorer exeyi devre dışı bırakan virüsün antivirüs tarafında silinemsidir. yerel disklere yani harddisklere tıkladığınızda birlikte aç sorununun çözümü aşağıdadır:
rapidshare.com/files/142924156/birlikte_ac_duzelt.bat.html
Henuz deneyemedim ama %99 calisir. Çalışmassa soyleyin inceleyim
http://virusscan.jotti.org/ sitesi gayet başarılı virüs bulmada lütfen indirdiğiniz her dosyayı bu siteden den kontrol ediniz.
Bir kişiye bile yardım edebilirsem ne mutlu