Wallpaper lara biraz ara verelim bu hafta içerisinde uğraştığım bir kaç virüsü (Zararlı Programcık) nasıl temizlediğimi anlatayım.
Aslında virüsler eskidendi şimdilerde trojanlar, mallware’ler spyware’ler moda, genel olarak hepsine virüs diyoruz. Önceki gün Win32.Sality.aa isimli virüsle tanıştım. Kendine exe dosyalara da bulaştırarak çoğaltıyor. Ayrıca sisteme kendini “abp470n5“ isimli bir hizmet olarak ekliyor ve windows\system32\drivers klasörü altında rastgele bir isimde sys uzantılı dosya oluşturuyor (örneğin : jjsjmu.sys).
Hizmet çalışırken sisteminizde varsa antivirüsünüzü, güncellemeleri ve güvnli modu devre dışı bırakıyor. Bu hizmeti HiJackFree isimli programın services kısmında görebilirsiniz. Bu program ile normalde hizmeti durdurup virüsü silebiliriz ancak virüs aktif olduğu için kendini koruyor ve sildirmiyor doğal olarak. Hizmeti başlat çalıştıra gelip ” sc delete abp470n5 “ komutunu çalıştırarak durdurabiliriz bu komutu çalıştırdıktan sonra bilgisayarı kapatıp açmak gerekiyor. Hizmetin durup durmadığını HijackFree ile kontrol ettikten sonra Kaspersky yapımı virüs temizleme programı Remove-Sality.aa ile sistemdeki exe dosyalarını taratarak temizliyoruz. Son olarak windowsumuzun güvenli modda açılma işlemini normale döndürmek için bu ekteki reg dosyalarından windowsumuza uygun olanını çalıştırıyoruz.
Bir diğer zararlı programcık maceram ise sality.aa ile tanışmamdan bir gün sonra oldu. Bu zararlı adını bile bulamadığım bir virüs. Küçük olmasına rağmen oldukça büyük zararlar verebiliyor: Bilgisayarın internet bağlantısını algıladıktan sonra ağ bağlantısını sürekli kullanmaya başlıyor ve internet hızını çok düşürüyor. İnternet üzerinden kendi yazarına bilgi gönderiyor olabilir. Gelelim temizlenmesine: Bu virüste diğer birçok virüs gibi kendini windows\system32 altına atıyor ve adını da ddrawex32.dll olarak tanımlamış.
Normalde system32 altında ddrawex.dll diye bir dosya var ve virüsümüz kendini onun kardeşi gibi gösteriyor
Ayırıca explorer.exe nin kullandığı bir dll dosyası olarak görünüyor böylece silinemiyor. Virüsü HiJackThis adlı Program ile temizliyoruz. Ancak dediğim gibi explorer.exe açıkken silinemiyor bunun için önce HiJackThis‘ i çalıştırıp Do a system scan tuşuna basıyoruz. Daha sonra Ctrl+Alt+Delete yaparak Görev Yöneticisinden explorer.exe yi seçip işlemi sonlandır diyoruz ve uygulamalar kısmından HiJackThis i seçip Geçiş Yap tuşuna basıyoruz, program penceresinde gelen listeden ddrawex32.dll isimli dosyayı yazan satırı bulup işaretleyip Fix Checked tuşuna basıyoruz. Daha sonra Görev Yöneticisine geçip Dosya menüsünden Yeni görev çalıştır tıklayıp explorer.exe yazarak exploer.exe yi çalıştırıyoruz ve masaüstümüz geeri geliyor. Bilgisyarımızı yeniden başlatıp HiJackThis ile tekrar tarama yaparak virüsün silinip silenemediğini görebiliriz.
Umarım faydalı olmuştur bir sonraki virüs yazımda son zamanların en ünlü virüsünü Conficker‘ın nasıl temizleneceğini ve sistemimize bulaşmaması için ne gibi önlemler alabiliceğimizi anlatacağım.
