USB disklerin kullanımındaki artış ile başımıza yeni bir bela musallat oldu. Autorun.inf ile bulaşan (sisteminize harici bir harddisk, flash disk ya da CD/DVD taktığınızda bu mediaların içinde autorun.inf isimli dosya varsa varsa windows, bu dosyayı çalıştırarak, sizin rızanız olmadan içinde yazan komutları çalıştırır) virüsler.
Bu virüsler eminim çoğunuzun sistemine bulaşmıştır. Ben bugun sistemimde virüs programımın çalışmadığını (norton, avast ve nod32 yazılımlarının hiçbiri bu badireyi engelleyememiş) gizli klasörlerin görüntülenmediğini, ve ayarlardan gerekli düzeltmeyi yapsam da bu düzeltmenin aktif olamadığını farkettim. araştırdığımda sorunun amvo isimli bir virüs olduğunu öğrendim.
Bundan korunmak için :
1- sisteminizin autorun özelliğini kapatın. şuradaki yönlendirmeleri uygulayın Ancak bu adım, sisteminizdeki virüs sebebiyle aktif olamayabilir. Bu nedenle bu adımı sistemine virüs bulaşmamış şahsı muhteremler uygulayabilir. virüs bulaşmış olanlar, beni takip edin.
(@ZZombie'nin yorumundan ek) ayrıca harici bir disk taktığınızda her seferinde autorun özelliği inaktif yapmak için SHIFT tuşuna da basılı tutubilirsiniz.ancak bu yok kesin bir çözüm getirmeyebilir. ayrıca kuşkulu diskleri çift tıklayarak açmayın. sağ tıklayıp aç deyin.
(@cxc'nin yorumundan ek)ve eğer sadece USB disklerde autorun'ı kapatmak isterseniz
buradaki kayıt defteri yaması ile bunu gerçekleştirebilirsiniz
2- Buradaki adımları uygulayarak manuel olarak amvo dosyalarından kurtulun
3- 2. adımı otomatik olarak uygulayan kill_amvo_virus_usb_en.rar aracını indirin ve çalıştırın. bu uygulama ile dosyalarınızın görünülebilirliği de sağlanmış olacak. Araç çalışırken bir çok onay kutucuğu çıkacak. sakin olun, onaylayın tümünü. bitiminde ekran kararabilir, yine sakinliğinizi koruyunuz.
UYARI :bu adımda bir sorun rapor edilmiştir(@Doguhan BEYOGLU). lütfen adımları dikkatli uygulayınız.adımlarda bahsedilen yöntemlere aşina değilseniz uygulamayınız.
4- bir başka arac olan smart_av.exe' yi de indirerek sisteminizi sağlam kazığa da bağlayabilirsiniz.
5- ek bir virüs silme aracı da @matasoy tarafından önerildi.http://rapidshare.com/files/111382168/Temizle.rar.html. ancak amvo için yoketme becerisi var mı bilemiyorum. test etmedim bu konuda.
6- @kenanartun başka bir araç önermiş amvo ve diğer virüsler için garanti çözüm olarak : pardus
ek bilgiler için teşekkürler.
- delizade
- 35 yorum var
- 29 Nisan 2008 23:59
« önceki yazı Trekkies |
sonraki yazı » kendi ölüm projeni tasarla! |
Yorumlar
@disconnect
aynı sayfaya google önbelleğinden de ulaşabilirsiniz ancak sürekli güncellenen bir sayfaysa sorun oluşturabilir: http://64.233.183.104/search?q=cache:uzZPiVcfi1EJ:www.hackhell.com/archive/index.php/t-375186.html+http://www.hackhell.com/archive/index.php/t-375186.html&hl=tr&ct=clnk&cd=1&gl=tr
kendi sitemde bahsettiğim tamamen benim çözümüm olan bir yöntem isterseniz bi bakın derim
dün yeni kurduğum bir makinede bu virusle karşılaştım...gün boyu beni bitirdi ama sorunu çözmüştüm uzun yollardan. Şirkette yaklaşık 15 makine var sürekli bu autorun sorunları oluyor. İşlediğiniz konu çok başarılı, tekrar teşekkürler.
Kaspersky Anti-Virus virüsü otomatik olarak temizleyebiliyor. Amvo'yla ilgili bütün dosyaları tespit edip Kaspersky virüs araştırma merkezine yolladıktan 2 saat sonra tanımaya başladı. Gözümden kaçan 1-2 dosyayıda daha sonradan yolladığımda sorunu komple ortadan kaldırabilecek seviyeye geldi. İddia ediyorum Türkiye üzerindeki en büyük destekçileri benim :)
Eğer konsol kullanımına hakimseniz sorunsuz olarak baş edebileceğiniz bir virüs.
Artı ek bir bilgi vereyim.
Windows'un Autorun özelliğini iptal etmek yerine.
İçinde virüs olduğundan şüphelendiğiniz CD ya da USB cihazı bağlamadan önce klavyeden shift (üst karakter) tuşunu basılı tutup. Daha sonra cihazı bağlayın. Shift basılı olduğunda windows bağlanan yeni ortamlarda otomatik çalıştır özelliğini geçici olarak devre dışı bırakacaktır.
Daha sonra bu ortamin içine erişmek için de üzerine sağ tuşla tıklayıp, çıkan menüden "aç" komutunu seçin.
Bu kısım önemli. Eğer üzerine çift tıklarsanız windows standart olarak ilk önce autorun.inf dosyasını arayacaktır. Ve varsa onu uygulayacaktır.
norton nedense bilgisayarımdaki tüm keygen, crack, illegal yazılımı bulurken bi türlü virüslerin tümünü bulmuyor.
usb bellekten çalışan bir sürü farklı virüs olduğundan zaman zaman virüs programları bile çözüm bulamıyor.
bulabildiğim en iyi çözüm çıkarılabilir diskler için bu özelliği kapatmak ...
buradaki kayıt defteri dosyasını çalıştırarak sadece çıkarılablir diskler için otomatik başlatmayı kapatabilirsiniz.
bunun dışında taktığınız usb bellekten sürekli olarak tek bir programı çalıştırıyorsanız bu bat dosyasını düzenleyip xxx yazan yere usb bellekteki programın adını yazarsanız o sizin için bulup çalıştıracaktır.
güzelmiş. Teşekkür ederim. Okuldaki labda bunu uygulayacam. Asıl sorunum klasörleri KOruana SİStem Klasörlerine çevririp görünmez yapıyor.
Ayrıca Klasör ayarlarındaki değişiklikleri de kabul ettirmeyecek şeyler yapıyor. Ve hiçbirzaman Gizlenen klasörleri ve gizlenen sistem klasörlerini göremiyorsunuz, ayarını dğeiştiremiyorsunuz. Ancak adres çubuğuna ad yazınca girilebiliyor.
bende bir bat dosyası var. O da hemen hemen temizleme işini görüyor. Birisi yazmış sağolsun. Anti-Vİrüs gibi çalışıyor. C D E F G H I ... sürücüleri varsa içlerine girip
del autorun.inf
del bittorrent.exe
del sxs.exe
del copy.exe
del command.exe
del ravmonlog
del msvcr71.dll
del ie.exe
del copy.exe
del autorun.vbs
del WSscript.exe
del WSscript.exe
del autorun.vbs.exe
del winfile.exe
yukatrdaki listedekileri siliyor. activexdebugger32.exe yide bulup siliyor.
Çok başarıılı bir bat dosyası. Hem güvenli olduğunu çok net görebiliyorsunuz.
Ayrıca Sağ Klik menüsündeki AÇ ARAŞTIr gibi bölümlerin yerine başka şeyler geldiğinde onları da düzeltiyor. Artık kendi C ve D nize çift tıklayarak girebiliyorsunuz. Dur hemen bir yere yükliyim
http://rapidshare.com/files/111382168/Temizle.rar.html
İçini açıp koldara bakabilirsiniz. Bir bellek taktığınızda ilk bunu çalıştırın. Bırakın sizin yerine o temizlesin ;)
2. adımdaki linkteki dos komutlarında bir sorun var. Ve ilgili tum klasorlerdeki dosyaları siliyor.
Zaten forumdaki konunun içesindeki diğer yorumları okursanız anlayacaksınız.
2. adımı test ettikten sonra bildiriye koyarsanız iyi olur.
/* not: ben test ettim ve denilen adımları harfiyen yerine getirdim. 160 GB lık diskim sıfırlandı :) */
İki gündür benim laptop'a musallat oldu, temizledim lakin bu virüsden kaynaklı olsa gerek, c ve d sürücülerini açamıyorum, sürücüyü açacak explorer programını windwos klasörünün içinden çağırarak veya win+e tuşuyla windows exploreru çalıştırarak girebiliyorum. ÜStelik bunu varsayılan yapamıyorum.
amvo ve benzeri virüsleri USB bellek ve harici yedekleme sürücülerinden silmek için en kolay ve köklü çözüm "PARDUS Çalışan CD 2007.3 versiyonudur"
bu ürünü bu adresden indirebilir ve virüsleri temizleyebilirsiniz.
Bu konuda kesin çözüm oluyor. Enjekte olmuş diğer virüs tiplerine değil bu tip dosya olarak çalışan virüsleri temizliyor.
bu virüsler bir ara beni de uğraştırmıştı. antivirüs programı ile halledemedim. şöyle bi temizleme yolu duydum onu uyguluyorum.
özellikle activexdebugger32.exe için.
usb nin içine girince virüs görülmüyor. ama winrar'ı açıp winrar üzerinden usb ye girdiğinizde göremediğiniz virüsleri görmüş oluyorsunuz ve elle siliyorsunuz.
autorun.inf virüsü mü? o da ne:) Şaka bir yana Linux kullanıcı olmanın büyük nimetlerinden biri de bu tarz zararlılardan uzak olmaktır. Harici medyalar aracılığıyla (yazılabilir cd, harici disk, parmak bellek vs.) sisteminize virüs vb. sızmasını engellemenin en güvenilir yollarından biri, zzombie'nin de değindiği gibi cihazı sisteminize bağlamadan önce klavyenin shift tuşuna basmak ve otomatik çalışmasını engellemektir. Windows'un autorun özelliği kapamak amatör kullanıcılar için biraz sıkıcı bir durum olsa da sistem güvenliğini düşünen herkesin yapması gereken bir ayardır. Cihazınızı sisteminize bağladıktan sonra da mutlaka virüs taraması yapmakta fayda var. Aksi taktirde, haberiniz olmadan özenle koruduğunuz bilgisayarınız bir veri çöplüğüne dönebilir. Unutmayın, tıpkı trafikte olduğu gibi, siz ne kadar dikkatli olursa olsun, karşınızdakinin dikkatsizliği yüzünden siz zarar görebilirsiniz...
attrib (ms dos komutu) komutuyla, autoron veya benzeri, exe dosyalarını harap eden bela var mı yok mu diye kontrol edebilirsiniz.
2. adımdaki link için serverda bir kesinti var uyarısı var. daha sorna denerseniz ulaşabilirsiniz umarım.
@Doguhan BEYOGLU,ben o adımları uyguladım. sistemimdeki virüsü önce manüel olarak defetmeye çalışmıştım. daha sonra otomatik yapanı da denedim. ancak söylediğin şey korkunç bir şey, tabii ki bu olmadı bilemiyorum bir sorun yaşanmış olmalı komut ya da komut parametrelerinde. çok üzüldüm. ama kesinlikle o adımlar tarafımdan denenmişlerdi.
ayrıca, uygulamadan sonra evet sabit diskleri açmak istediğimde windows bana hangi programla açayım diye soruyor. şu anda acil bir iş yetiştirmeye çalıştığıumdan bunu gidermek için bir araştırma yapmadım. çözersem bunu da paylaşırım.
ek olarak, shift tuşuna basılı tutma yöntemi her zaman uygulanabilir olmayacağından kesin bir çözüm değil. siz değil bir başkası da bir disk ekleyebilir sisteminize ya da siz unutabilirsiniz bunu yapmayı. üstelik artık çok da elzem bir durum değil otomatik gösterim meselesi.
@ cxc ,reg dosyası harika. teşekkürler. @matasoy bu bat dosyası da ek bir destekçi olacaktır teşekkürler.
ben yazıyı dekrar edit edeceğim yazdıklarınız ışığında. harika tiyolar vardı meseleyle ilgili.
USB bellekten bulaşan zararlılara (Autorun.* sorunu,kavo.exe sorunu, gizli dosyaları gösterememe amvo.exe sorunu, activexdebugger32 sorunu) çözüm için burayı inceleyiniz.
MSN 'de iken "Bu fotoğraftaki kişi sen misin?" ve benzeri cümleleri tıkladığımızda bilgisayarımıza bulaşan zararlılardan kurtulmak için burayı inceleyiniz.
Sevgiler
bende şu şekilde temizledim;
çalıştır+cmd
hangi sürücüdeysem o sürücüye attrib -h -s yazdım ve gizli ne varsa görünür yaptım.
ardından del komutu ya da explorer üzerinden dosyaları sildim. registeriden de var olan dosya adların arayıp satıorlarını ve klasörlerini yok ettim.
pc kapatıp açtım ve ta daaaa :D temizlendi :)
@Rockipsiz, Balımsın. Kaspersky manyağısın.
Alıcam yarın bilgisayarımı söz. (:
Ben de diyorum bu virüsü ne kadar çabuk tanıdı Kaspersky. Meğersem senin sayendeymiş.
"ayrıca, uygulamadan sonra evet sabit diskleri açmak istediğimde windows bana hangi programla açayım diye soruyor."
autorun.inf dosyası sebebiyle oluyor. bir autorun.txt oluşturun, txt uzantısını inf yapın, açılmayan sürücülerin köküne atın (c:\ d:\).
restart sonrası sorun çözülecektir.
saygılarımla
mat
:)
arkadaşlar, disklere erişim bahsettiğim yöntemlerle çift tıklanarak mümkün olamıyor. çünkü yukarıda da bahsedildiği üzere windows, bir disk öğesine çift tıklanarak açılmak istendiğinde içindeki autorun.inf dosyasını çalıştırmakta. bu da virüs tehlikesini doğuruyor. Bu nedenle bilinçli olarak çift tıklama ile açma imkanı kaldırılıyor. yani yöntemleri uyguladıktan sonar dosya gezginlerinden diskinize çift tıkladığnızda açamazsınız. ( bugün keşfettim kusura bakmayın. daha önce yöntemleri uygularken bir sorun oluştu ve gerekli bağlantı koptu diye yorumlamıştım )
aslında son yaaşdığım iki deneyim sonrasında acaba bu şekilde kalsa mı diye düşünüyorum. ciddi bir erişim sorunu yaratıyor evet ama buna alışarak bu tip virüslerin aktif olması neredeyse imkansız oluveriyor bu şekilde.
ben o virüse okul virüsü adını veriyorum.
Okulda flashdisk i olan ve okul içindeki kitapçıdan çıktı alan herkesde var. :)
evet ;) ama şurası kesin ki bu bir güvenlik açığı ve gerçekten virüs programcıları bu işi iyi takip ediyor ne yazık ki.
"hmm..abi patır patır usb disk sokulup çıkarılıyor...istediğimiz zararlı programları kullanıcının onayı olmadan çalıştırabiliyoruz ne güzel di mi!"
Aynı sorun benimde başıma geldi.
Tekrar bulaşmasını garanti etmiyor ama
amvo ve bittorent virüslerini tere yağından
kıl çeker gibi kaldıran bir araç buldum.
combofix adlı bu aracı güvenli kipte çalıştırınca
amvo da dahil bir çok virüsü çok başarılı bir
şekilde kaldırabiliyor. Bu araç sayesinde
virüs yazanların bir uyanıklığınıda keşfettim
amvo.exe (amvo virüsleride bayağı geliştirilmiş
bir kaç türü varmış), bittorent.exe nin yanında
sistemde çalışan iexplore.exe adlı iki virüs daha
varki ben bunları sondaki r harfine bakmadığım
için explorer zannederdim. Program iexplore.exe adlı iki dosya silince bir anda panik oldum, daha
sonra numarayı farkedenci kendi kendime güldüm:)))
Bu aracı http://download.bleepingcomputer.com/sUBs/ComboFix.exe
adresinden indirebilirsiniz.
çok teşekkürler.
@zinarali sağol
yolladığın link tam da benim göndermek istediğim linkdi
arkadaşlar bu linkden(www.doctus.org) sadece autorun.inf için değil hertürlü sorunlarınız da konusunda uzman arkadaşlardan yardım alabilirsiniz
şu an için en güzel çözüm yolu kaspersky gibi görünüyor.
ayrıca virüs bulaşınca gizli dosyaları bile göremiyorsunuz. illet birşey.
Alternatif olarak benim yaptığımı yapın. Bilgisayarınızı Mac OS X'den başlatın (PCnize hala 2. veya n'inci işletim sistemi olarak Mac OS X yükleyemediyseniz, OSX86 projesinden nasibinizi alın veya bir Mac edinin, ya da hayatınızın geri kalanında bilgisayarınız size hizmet edeceğine siz bilgisyarınıza virüs, trojan, casus yazılım gibi sorunlarla uğraşarak hizmet etmeye devam edin :P).
Mac OS X'de USB cihazınız içindeki dosyaların hepsini hard diskte atın. USB'yi formatlayın, Mac'den dosyalarınızı tekrar USB'ye atın.
Böylece Autorun.inf virüsünden kurtulacaksınız
Sorunun kaynağı USB'deki virüslü bir dosya ise
o dosyayı Windows üzerinde tekrar açtığınızda aynı sorun ortaya çıkabilir.
Benim durumumda böyle bir problem olmadı. Saydığım adımları uygulayarak Autorun.inf sorununu çözmem 25 dakikamı bile almadı.
@maclord , şimdilik önerdiğin yol çoğumuz için hala pahalı;)
@delizade osx86 projesi normal pclere macosx kurulmasını sağlayan projenin adı, hiç bir masrafa girmeden mac os x sahibi olabilirsin yani :)
pillinetwork sitelerine yorum ekleyebilmek ve daha fazlası için, üye olun ya da giriş yapın.
İlgili Yazılar
Bu Yazıyı Tutanlar
Beğendiğiniz bir yazıya "tuttum" demek için başlığın yanındaki yıldıza tıklayabilirsiniz.
