Bir virüs temizleme hikayesi



Bir şeyi itiraf etmek gerekiyor. Virüs programcıları artık çok akıllıca gizlenen ve çalışan virüsler ve truva atları hazırlıyorlar. Önceden virüs temizlemek için illa  da anti-virüs programı kullanmak gerekmezdi. Birkaç yardımcı programla virüslü dosyaları tespit eder ve bir şekilde silerdiniz. Fakat yeni virüsleri doğru anti-virüs programını bulmadan silmek imkansıza yakın hale geldi.

Bu itirafımın sebebi başımdan geçen son virüs temizleme hadisesi. Olaylar şöyle gelişti:

Şirketimizde bir kullanıcı bilgisayarında sıradışı şeyler olduğunu söyleyerek yardımımı istedi. “Hayırdır inşallah” diyerek bilgisayarı incelemeye başladım.

Şirkette AVG firmasının anti-virüs programını kullanıyoruz ve oldukça memnunuz. Bilgisayarda kurulu olan AVG’nin karantina dosyasına baktım ve birşey olmadığını gördüm.

Bunun üzerine “Malwarebytes’ Anti-Malware” programı ile bir tarama yaptırdım fakat o da birkaç cookie dışında zararlı birşey tespit edemedi fakat kullanıcı, bilgisayarın garip davrandığı konusunda ısrarcıydı.

Bu arada söylemeden geçemeyeceğim. “Malwarebytes’ Anti-Malware” anti-virüs programlarının bulamadığı bazı truva atlarını son derece başarılı şekilde bulup temizleyebiliyor. Daha önce yaşadığımız birkaç virüs hadisesinde son derece başarılı temizlikler yaptığına şahit oldum. Bilgisayarınızı en az ayda bir bu programla taratmanızı tavsiye ederim. Taratmadan önce mutlaka programın güncelleme işlemini de çalıştırın.

Neyse, gelelim asıl meseleye. Virüs varlığını tespit etmede kullandığım üç adet altın değerinde program var. Bunların listesini ve indirebileceğiniz web adreslerini aşağıda veriyorum:

Process Explorer: SysInternals tarafından geliştirilen program, Windows’un Task Manager (Görev Yöneticisi) programı gibi çalışan uygulamaları gösteriyor fakat her uygulama ile ilgili çok daha detaylı bilgi veriyor.

Web Adresi: http://technet.microsoft.com/en-us/sysinternals/bb896653.aspx

Autoruns: Yine SysInternals’a ait bu program, Windows açıldığında otomatik olarak devreye giren uygulamalar ve hizmetler (service), yüklenen sürücüler (driver)  ve Internet Explorer’a yamanan ve BHO denen programlar hakkında detaylı bilgi veriyor.

Web Adresi: http://technet.microsoft.com/en-us/sysinternals/bb963902.aspx

CurrPorts: Nirsoft tarafından geliştirilen bu program ise hangi uygulamanın hangi port’tan Internete bağlandığını gösteriyor.

Web Adresi:http://www.nirsoft.net/utils/cports.html

Ben işe önce CurrPorts ile başladım. Programı çalıştırdığımda services.exe isimli programın harici bir IP adresine bağlandığını gördüm. Bu garipti çünkü services.exe sistem hizmetlerini çalıştıran ana program ve hiçbir şekilde Internete bağlanmaması gerekiyor.

Yaptığım kısa bir araştırma ile IP adresinin Moskova’da bir bilgisayara ait olduğunu görünce iyice işkillendim ve CurrPorts’a tekrar baktığımda bu sefer svchost.exe programının birçok adrese smtp portundan bağlanarak e-mail gönderdiğini hayretle gördüm çünkü svchost.exe de services.exe altında çalışan ve dll uzantılı hizmet dosyalarının çalışmasını sağlayan bir uygulama.

Virüs yazanların sık başvurduğu yöntemlerden bir tanesi, virüslü dosyalarına sistem dosyalarından birinin ismini vermek ve Process Explorer veya Task Manager’da çalışan uygulamalara baktığınızda virüslü dosyayı kolayca bulmanızı engellemektir. Genelde bu virüslü dosyalar orijinal dosyanın bulunduğu klasörden farklı bir yere kopyalanır ve oradan çalışırlar.

Fakat Process Explorer’ı çalıştırdığımda her iki dosyanın da WindowsSystem32 klasöründen çalışan gerçek sistem dosyaları olduğunu gördüm ve daha da şaşırdım.

Bunun üzerine Autoruns uygulamasını çalıştırarak sistem açıldığında otomatik çalışan uygulamaları kontrol ettim fakat şüpheli hiçbir dosya tespit edemedim.

Virüsün services.exe ve svchost.exe dosyalarını değiştirmiş olabileceğini düşünerek temiz bir sistemden services.exe ve svchost.exe dosyalarını C: altına kopyaladım ve bilgisayarı NTFS dosya sistemini destekleyen bir DOS CD’si ile açarak bu iki temiz dosyayı WindowsSystem32 altına koplayıp bilgisayarı tekrar başlattım.

“Tamam artık, virüsü temizledim” diye seviniyordum fakat CurrPorts’u çalıştırıp aynı faaliyetleri görünce sevincim kursağımda kaldı.

Bu arada belirtmem gerekiyor; bahsettiğim virüs veya truva atı özetle şu işi yapıyor. Önce kodunda kayıtlı olan merkez bilgisayarlardan birine bağlanıp gerekli emirleri alıyor. Ardından değişik e-mail adreslerine spam göndermeye başlıyor. Tabi bu benim gözlemlediğim davranışı. Uygun şekilde yazıldıysa merkeze bir kere bağlandıktan sonra aldığı emre göre yapabilecekleri neredeyse sınırsız.

Neyse, ardından değişik Rootkit tarayıcılar ile sistemi tarattım fakat hiçbir sonuç alamadım.

“Herhalde bu yeni bir virüs” diye düşünerek son birkaç ay içinde benzer şeyler yaşayanlar olup olmadığını bulmak için Google’da değişik anahtar kelimelerle defalarca arama yaptım fakat aynı problemleri yaşayan bir kullanıcının soru-cevap şeklinde mesajlaşmalarını içeren bir tek forum sayfası bulabildim. Heyecanla soru-cevapları sonuna kadar okudum fakat o kullanıcının da probleminin henüz çözülemediğini gördüm.

Tam ümidimi kaybedip bilgisayarı formatlamaya karar vermişken virüs problemleri ile ilgili forum sayfalarında daha önce rastlamadığım bir program gözüme çarptı. Adı Combofix olan bu program ile sistemi tarattığımda virüs temizlendi.

Combofix diğer anti-virüs programlarına benzemiyor çünkü diğerleri gibi bir kullanıcı arayüzü yok. 

Programın Windows XP üzerinde en doğru kullanılış yöntemi şöyle:

http://download.bleepingcomputer.com/sUBs/ComboFix.exe adresinden Combofix.exe adlı dosyayı indirin ve masaüstüne koplayın.

Windows Recovery Console uygulamasını aşağıdakilerden hangisi sisteminize uygunsa o sayfadan indirin.

Windows XP Home SP1 için : http://www.microsoft.com/downloads/details.aspx?displaylang=tr&FamilyID=E8FE6868-6E4F-471C-B455-BD5AFEE126D8

Windows XP Professional SP1 için : http://www.microsoft.com/downloads/details.aspx?displaylang=tr&FamilyID=55820EDB-5039-4955-BCB7-4FED408EA73F

Windows XP Home SP2 ve SP3 için : http://www.microsoft.com/downloads/details.aspx?displaylang=tr&FamilyID=535D248D-5E10-49B5-B80C-0A0205368124

Windows XP Professional SP2 ve SP3 için : http://www.microsoft.com/downloads/details.aspx?displaylang=tr&FamilyID=535D248D-5E10-49B5-B80C-0A0205368124

İndirdiğiniz bu dosyayı da masaüstüne kopyalayın.

Bahsettiğim olayda bilgisayarda Windows XP Home SP3 Türkçe yüklüydü ve indirdiğim dosyanın ismi de WindowsXP-KB310994-SP2-Pro-BootDisk-TRK.exe idi.

Şimdi masaüstünüzde indirdiğiniz iki dosyanın da bulunması gerekiyor.

İndirdiğiniz ikinci dosyayı, aynı çöp kutusuna atar gibi fare ile sürükleyerek ComboFix.exe dosyası üzerine sürükleyip bırakın. Bu şekilde ComboFix programı çalışacaktır. Aşağıdaki animasyon bu işlemi nasıl yapacağınızı gösteriyor.

Ekranda belirecek sorulara “Yes” diye cevap verin ve bekleyin. Mavi renkli bir komut penceresi açılacak, sistem taranacak ve yeniden başlatılacaktır. Sistem yeniden başladığında gerekli temizlik işlemi otomatik olarak yapılacak ve C: altında yapılan işlemleri listeleyen bir log dosyası oluşturulacak.

Bu anlatımın daha detaylı İngilizce versiyonunu şu adreste bulabilirsiniz: http://www.bleepingcomputer.com/combofix/how-to-use-combofix

Umarım bu hikaye benzer sorunları yaşayan başka kullanıcıların yaralarına merhem olur.

Ahmet Uzun – Tazetaze.com



Bir Yorum Yapılmış

1. Aykut Yenigul diyor ki:

   28 Ağustos 2009, 17:06

   evet kardeş aynı sorunu bende yaşıyorudum sistem akamai tecnolojies die bir bilgisayara bağlanıyordu netlimiterle engelliyodum kotayıda harcıyodu şimddiden tşk….

   Cevapla