BİLGİSAYAR VİRUSLERİNE DİKKAT

 

Trojan Kontrol ve Net bios virusu Temizlenmesi Son Çikan Virusler ve OnlineVirus Kontrol

Bilgisayar Virüsleri

KIM ENGELELMİŞ VIRUSU TEMIZLEME

Birkaç ay önce açılmış olan site, kullanıcılara messenger ortamında sizleri kimlerin engellediğini göstermeyi iddia ediyor.Tabi böyle birşey mümkün değil.Yazılımın amacı özel bilgilerinizi karşı tarafa yollamak.

"Güvenli" Temizlik Aşamaları
Zararlı yazılımı az önce indirip kurdum.Svchost.exe olarak görev yöneticisinde çalışmaya başlıyor.Yani bir sistem hizmeti olarak saklanmaya çalışıyor.Belli bir süre sonra system tray'de yüzlerce olmayı başarıyor ve cpu yükünü %100'e çıkartarak Windows'un kilitlenmesine neden oluyor

Görev Yöneticisi
user posted image

System Tray
user posted image

Zararlının temizlenmesi için 3 adet ufak araca ihtiyacımız var.
-RegSeeker
-StartupList 2.02
-Unlocker 1.8.5

Temizlik işlemlerine geçmeden önce mutlaka sistem geri yüklemeyi kapatmalısınız.Yukarıdaki programları indirdikten sonra aşağıdaki aşamaları iyice izleyin ve uygulamak için güvenli mod'a geçin.
*Program Files-Kim Engellemiş klasörünü silin.engelleyen.exe adlı dosyası silemeyebilir. (vista'da ayrıcalık uyarısı verdi)

*RegSeeker programını çalıştırın ve Find in Registry bölümüne "kim engellemiş" yazın ve çıkan girdilerin hepsini silin.Ardından yine aynı yere "engelleyen" yazın.Bir önceki işlemi tekrarlayın.Böylece sağ alt köşedeki uyarıdan kurtulacağız.

1-*StartupList programını çalıştırın.
 user posted image

2-Sağ tıklayın ve silin.
user posted image

3-Sağ tıklayın ve Show This File'a basın.
user posted image

4-Açılan klasörde direk aradığımız dosya seçili olarak karşımıza gelecektir.Üzerinde sağ tıklayın ve unlocker'a tıklayın.İşlemi Bitir dedikten sonra dosyayı silebilirsiniz.
5-Son olarak Kim Engellemiş klasörüne geçerek engelleyen.exe dosyasını silebilirsiniz...

 

MSN Messenger Virüsü Temizleme Yöntemi
 

Msn virüsü uyarısı! oh sen ciplak mi ? http://naked-family.com


msn oh sen çıplak mısın

oh sen ciplak mi ? http://naked-family.com/?=msn adresiniz@hotmail.com

Bu linke tıklıyosunuz siteye bağlanıyor ve bilgisayarınıza trojen tarzı bi virüs giriyor.ondan sonrada msn listenizdeki online olan herkese aynı mesajı atıyor.onlara da bulaşmış oluyor.virüs böyle böyle yayılıp gidiyor,çözümü ise şu şekilde hemen msninizi kapatıp uninstall ediyorsunuz.arkasından ad-aware ve avg anti-spyware kuruyorsunuz.bu iki yazılımda ücretsiz olarak indirip kurabilirsiniz.İndirdikten sonra bu iki virüs yazılımıyla bilgisayarınızı taratın virüsü bulacaktır ve silecektir.Bu temizlik işleminin arkasından MSN programınızı baştan yükleyebilirsiniz.Kolay gelsin.

Ek: Virüsün adıda belli oldu arkadaşlar Win32/IRCBot.AAL  ismiymiş virüsümüzün herhalükarde MSNinizi silmeniz gerekiyor.Arkasından NOD32 yi kurarsanız trojeni sisteminizden temizleyecektir.

Önnot: Benzer şekilde "oh sen ciplak mi" veya "oh sen çıplaksın" veya bu tarz ifadeler içeren her türlü mesaj da aynı virüs sayın Beyn okurları. Direkt olarak böyle bir ifade içeren ve ardına bağlantı koyulmuş mesajlar geldiğinde arkadaşınızdan önce "Bu mesajı sen mi attın?" diye onay isteyin, olumsuz cevap verecektir, o zaman da bilgisayarına virüs bulaştığı konusunda kendisini uyarın.

Evet arkadaşlar, yeni virüsümüz hayırlı olsun:

Yeni MSN virüsü

WLM listenizde bu virüsü bilgisayarına muhtemelen bu tuzağa düşerek bulaştırmış arkadaşınız, yukarıdaki mesajın ardından (-misin ekinin ayrı yazılmamış olmasının kıllığına da dikkat çekmek istiyorum .) v***-naked.com/?=e-posta@adresin.iz şeklinde bir bağlantı da yolluyor - siteye doğrudan erişmeyin diye üç harfinin yerine yıldız koydum. Siz de MSN adresiniz naked'li maked'li bir sitede fotoğrafta kullanılıyor diye panikleyip bağlantıya tıkladığınızda, sitenin indirmenizi istediği nakedmodel18.com dosyasını indirdikten sonra çalıştırdığınızda Win32/IRCBot.AAL kod adlı virüs sisteminize bulaşmış oluyor.

Virüsü - daha doğrusu virüs demeyeyim, solucanı tek tanıyan anti-virus yazılımı NOD32 Antivirus. Bu, NOD32'nin en iyi anti-virus yazılımı olduğunu göstermiyor tabii ki, ama yine de NOD32'yi tebrik ve takdir ediyorum. Tamam teşekkür de ediyorum.

Muhtemelen bu solucan, 40 bin bilgisayara bulaşan ve feci bir fırtınaya sebep olacak solucanın bir türevi - zaten NOD32'nin teşhisi de a variant of… diye başlıyor. Bu yüzden tüm dünyanın internetini korumak adına pek dikkatli olup bu bağlantıyı size gönderen arkadaşınızı uyarmanızda fayda var. Bu yazıyı gösterirseniz daha şahane olur, o ayrı .

Temizlik için;

  1. omg-fix14.exe indirin ve masa üstüne yükleyip çalıştırın.Bilgisayarınızı kapayıp acın. WLM'i kapatın. MSN Plus! falan kullanıyorsanız onları da kapatın, WLM ve MSN'le alakalı ne varsa kapatın.
  2. omg-fix10-en.reg dosyasını indirin (Sağ tık - Farklı Kaydet ile).
  3. Dosyaya çift tıklayın veya sağ tıklayıp Birleştir deyin. Çıkan uyarıyı Evet diye yanıtlayın.
  4. Bilgisayarı yeniden başlatın. Bilgisayarı bu adımda yeniden başlatmanız en önemli adım. Başlatmazsanız virüsü temizlemeniz mümkün olmayacak.
  5. omg-delete10-en.bat dosyasını indirin (Sağ tık - Farklı Kaydet ile).
  6. İnen .bat dosyasını çalıştırın.
  7. Başlat a basın > Çalıştır > boşluğa "cleanmgr" yazın ve "OK" e basın silinmiş dosyalar temizlenecektir.
  8. Her ihtimale karşı bilgisayarı yeniden başlatın.
  9. Temizlendiniz.
  10. Bilgisayarınızı bahsettiğim noktalarda yeniden başlatmadıysanız temizlenmediniz.

(Kaynak)
(Yukarıdaki dosyalar uçmuşsa, bağlantılar kırıksa buradan iki dosyayı da indirebilirsiniz.)

Ek: Bahsettiğim dosyayı Jotti's Malware Scan sitesinde tarattım. Sizin de şüphelendiğiniz bir dosya varsa siteye yollayabilir, her anti-virus yazılımı tarafından taranmasını sağlayabilirsiniz.

Not: Yazı bana ait ve Beyn lisansına göre yazıyı kopyalarken buraya bağlantı vermeniz de zorunlu. Hani kendi sitenizde, forumlarda falan yayınlarsınız diye diyorum. Zorunlu değil tabii ama etik açısından yaklaşırsak "Emeğe saygı" sloganının yayıldığı forumlarda bağlantı verilmemesi yakışık almaz.

Ek-2: Eğer sorununuz hala çözülmediyse Türkiye'nin bilgisayar güvenliğini konu alan en iyi forumuna bakmanız faydalı olabilir:
http://doctus.org/

 

GIF VIRUSU TEMIZLEME
MSN kullanıcılarını hedefleyen virüs hızla yayılıyor. Bulaştığı sistemde, tüm MSN kontaklarına kendisini yaymaya yönelik mesajlar gönderiyor. Messenger listesindeki kişilerden gelen transfer aslında dosya değil, bir İnternet linki. Çoğunlukla gelen link ve dosyalar “pif” ve “scr” uzantılı oluyor.Yeni virüs tanım dosyalarında bu virüs, Serflog.A, Kelvir.B, Fatso.A vb. isimlerle tespit ediliyor.
 
 
Virüsün bilgisayara bulaşmaması için bu linke tıklanmaması, eğer tıklanmışsa dosyanın çalıştırılmaması gerekiyor.
  Temizleme Yöntemi

Antivirüs yazılımları güncellenmeden virüs bulaşan PC’lerde artık otomatik güncelleme özelliği çalışmayacağından, virüsün elle silinmesi gerekiyor. Eğer İnternet’ten bir temizleme programı indirilip kullanılacaksa, MSN Messenger programının çalışmadığına emin olunmalı.

 

Elle temizlemede izlenecek yöntemler ise şunlar:

1. Bilgisayarınızı restart edip güvenli kipte açın (Açılış anında <F8> tuşuna basarak güvenli kipi seçebilirsiniz.)


2. Başlat menüsünden “çalıştır” (run) sekmesini tıklayıp açılan pencereye “regedit” yazarak enter’a basın.


3. Regedit programı içinde aşağıdaki alt anahtarları inceleyin ve bunlar içinde virüsle ilgili eklenmiş yeni kayıtları silin:
 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run

HKEY_CURRENT_USER\Microsoft\Windows\CurrentVersion\Run

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run

Yukarıdaki kayıtlar içinde “serpe”, “avnort”, “ltwob” gibi tanımlar var ise sisteminiz virüsten etkilenmiş ve her açılışta kendisini tekrar çalıştırıyor demektir. Bu tanımları silin.

 

4. “Bilgisayarım”ı açtıktan sonra “araçlar”dan dizin seçenekleri menüsünü açın ve görüntü bölümündeki “gizli dosyaları göster” seçeneğini seçin ve bilinen dosya tipleri için dosya uzantısını gösterme seçeneğindeki işareti kaldırın. Böylelikle virüs'ün sistem içinde gizli dosya olarak kopyalanmış türevlerini görebileceksiniz.

 

5. Aşağıdaki dizinlerde isimleri verilen dosyaları bilgisayarınızdan silin.

C:\windows\system32\formatsys.exe

C:\windows\system32\serbw.exe

C:\windows\msmbw.exe

C:\Crazy frog gets killed by train!.pif

C:\Annoying crazy frog getting killed.pif

C:\See my lesbian friends.pif

C:\LOL that ur pic!.pif

C:\My new photo!.pif

C:\Me on holiday!.pif

C:\The Cat And The Fan piccy.pif

C:\How a Blonde Eats a Banana...pif

C:\Mona Lisa Wants Her Smile Back.pif

C:\Topless in Mini Skirt! lol.pif

C:\Fat Elvis! lol.pif

C:\Jennifer Lopez.scr

C:\lspt.exe

C:\Documents and Settings\<Kullanıcı_Adı>\Local Settings\Application Data\Microsoft\CD Burning\autorun.exe

C:\British National Party.jpg

C:\Crazy-Frog.Html

C:\Message to n00b LARISSA.txt

 

6. C:\Windows\System32\Drivers\etc altındaki hosts dosyasını edit edin ve 64.233.167.104 veya benzeri IP adresleri için yeni tanımlanmış adres bilgilerini silin.

Örnek içerik:

64.233.167.104 www.symantec.com

64.233.167.104 www.sophos.com

64.233.167.104 www.mcafee.com

64.233.167.104 www.viruslist.com

64.233.167.104 www.f-secure.com

64.233.167.104 www.avp.com

64.233.167.104 www.kaspersky.com

 

Bu vb. antivirüs üreticilerinin adreslerini içeren satırların tümünü silin. Böylelikle antivirüs yazılımınız yeni güncellemeleri indirebilir hale gelecektir.

Yukarıdaki işlemlerden sonra bilgisayarınızı yeniden başlatıp antivirüs yazılımını İnternet’e bağlanarak güncelleyin ve gözden kaçmış kalıntılar olabileceğini düşünerek bilgisayarınızı virüs taramasından geçirin.

MSN RESIM VIRUSU VE TEMIZLENMESI
Son günlerde hızla yayılan Msn Virüsü diye adlandırılan bir virüs ile karşı karşıyayız. En kötü durum ise antivirüs programlarının bu virüs karşısında başarısız kalmaları. Virüs msnden bulaştığı kişi aracılığı ile size “http://membres.lycos.fr/newphoto/webcam-pics2007.zip my new cam pictures look !!”   veya http://membres.lycos.fr/newphoto/webcam-pics2007.zip me!!

Konulu bir mesaj atıyor. Eğer linki tıklayıp açarsanız maalesef virüsü kapmış ve listenizdekilere de aynı şekilde otomatik mesaj gönderilmesine alet olmuş oluyorsunuz.

Nasıl Msn Messenger Virüsünü Silerim?

işte bu noktada aşağıdaki yöntemleri sırası ile uygulayın;

1. Aşağıdaki programı diskinize çekin.

SmitfraudFix.exe 

2. Sistemi güvenlik kipte başlatın. (Windows XPde bilgisayarınız açılırken f8 tuşuna basın ve güvenli kip modunu seçin)

3.  Programı çift tıklayarak çalıştırın. Öncelikle Sitemi 1 tuşuna basıp Enterlayarak Search ile taratın ve çıkan text log dosyasını okuyup not edin. Sonrasında 2 tuşuna basıp sistemi Clean ile temizletin Eğer Clean Registery diye soru sorarsa Yes diyerek cevaplayın. En son olarak da sistemi 3 seçeneği ile zaralı DNS Zonelardan temizleyin.

4. Antivirüs programınızı açılışta taramaya programlayın ve komple sistem taraması gerçekleştirin. %90 ihtimalle virüsü sistemden uzaklaştırmış olacaksınız. Ancak sorununuz devam ederse aşağıdaki programı deneyin ve size çıkardığı rapor doğrultusunda yönergelerini izleyin.

ComboFix.exe

BİLGİSAYARINIZDA CASUS PROGRAM VARMI ? (SPYWARE)
Spyware veya Türkçe ismi ile casus programlar bilgisayarınızda casusluk yapmak için yaratılmış programlardır.
Bu programlar kullandığınız masum görünen ve genelde internetten “bedava” diye reklamını görüp indirdiğiniz programlar ile bilgisayarınıza bulaşan programcıklardır. Çoğunlukla dikkat etmediğimiz EULA (Son Kullanıcı Lisans Sözleşmesi) içersinde programla birlikte kuruluçağı belirtilir ve biz “I Agree” dediğimiz an herşeyi kabul etmiş oluyoruz.

Tam anlamı ile virüs olarak adlandırılamayan bu programların temel amaçları kuruldukları bilgisayarda bilgi toplamak ve bu bilgileri bu programları yaratan kişilere göndermektir.

Bu spyware / casus programların bilgisayarınıza tehlikesi casusluk derecelerine göre değişir:
Casusluk yaptıkları konular nispeten masum olarak adlandırılabilecek olan “hangi siteye gidiyor, ne kadar orada kalıyor” gibi bilgilerden daha ciddi olan bilgisayarınızın kurulum şifreleri veya kullandığınız kredi kartı bilgilerini edinerek bunları program yazıcılarına postalamaya kadar varabilen her türlü casusluk örneklerini kapsayabilirler.

Sörf bilgilerinizi genelde google toolbar, alexa toolbar veya diğer benzeri toolbar ismiyle dağıtılan internet Explorer eklentileri biriktirirler.
Bu şekilde sizin hangi siteleri ziyaret ettiğinizi ölçerek ziyaret edilen sitelere puan veya benzeri değerlendirmeler verirler. Sonra bu verileri arama sitelerinde sonuçları sıralamak için kullanabilirler. Aynı şekilde GetRight, Gator ve benzeri internetten dosya indirmeye yarayan programlar da bu tür spyware içerirler.
Ancak bunu kendileri tabiî ki kabul etmezler, çünkü bu programları kurarken kabul ettiğiniz kullanım kurallarına göre bu veri aktarımını kabul ettiğinizi bildirdiğiniz için bunun casusluk olmadığını, gönüllü veri paylaşımı olduğunu belirtirler.

Spyware veya casus programların daha tehlikeli olan türevleri ise sizin bilgisayar ve/ya internet ayarlarınızı kendi istedikleri gibi değiştirirler ve mesela sizleri kendi istedikleri sitelere yönlendirirler, bazıları bununla da yetinmeyip internet başlangıç sayfanızı kendi istedikleri gibi değiştirirler hatta bazen bilgisayarda karşınıza nereden geldiğini bilmediğiniz ve anlayamadığınız reklam içerikli pencereler çıkarırlar. Bunlara Adware’de denir, çünkü her ne kadar bir önceki casus programlar gibi casusluk yapıyor olsalar da, bunun yanında ayrıca birde bilgisayarınızda reklama yönelik oynamalar yapmaktadırlar. Ayrıca ne yazık ki bu açılan reklamlar her zaman masum denecek türden reklamlar değildirler. Birden bilgisayarınız açıkken görmek istemeyeceğiniz fotoğraf ve yazılar karşınızda belirebilir. O anda arkadasınız, iş arkadasınız, patronunuz, eşiniz, anne veya babanız bunu görürse bulunduğunuz durumu açıklamakta zorlanabilirsiniz.

Tabi bunlardan daha da tehlikeli olanları da vardır mesela bu türün en tehlikelileri olarak nitelendirilmesi mümkün olan Dialer programlara değinmeden edemeyeceğiz. Telefon hattı üzerinden internete bağlananlar için bu dialer programlar bilgisayarınızın internet bağlantı ayarlarını değiştirerek sizi ödemeli bir telefon hattına yönlendiren programlardır. Siz bu dialer programlar bulaştığı esnada her zamanki gibi internete bağlanırken eve şişik bir telefon faturası gelince şoke olursunuz, çünkü faturanız birden belki de 10 katı ile artmıştır. Bunun nedeni bu bilgisayarınıza bulaşan dialer programlar internete bağlandığınız numarayı biraz önce belirttiğimiz gibi ücretli bir yurtdışı hattı veya 900lü bir hat ile değiştirip sizi her internete girişinizde bu ücretli hatlar aracılığı ile internete bağlamıştır.

Bu spyware-casus programlardan veya dialer programlardan kurtulmak için Microsoft AntiSpyWare , Spy Cleaner , Ad-Aware SE Personal , Spy Sweeper , SpyBot-Search&Destroy , E-trust PastPatrol programlarını kullanabilirsiniz. Bu antispyware programları bilgisayarınızı bu haşerelerden korurken ilk kurulumda bilgisayarınızda bulunan önceden yerleşmiş programları da temizlerler. Ancak bu temizleme için scan komutunu vermeniz gerekir.

Bilgisayarınıza kurduktan sonra bu antispyware programlarını yeni oluşan tehlikelere karşı da sürekli güncellemeyi unutmayın.