Worm Virusleri ve Silme Yöntemleri, Çok önemli

DİĞER WORM VİRÜSLERİ İLE İLGİLİ TEMiZLEME PROGRAMLARI VE BİLGİ:



W32 Sasser Worm Virüsü:

W32 Sasser worm virüsü A, B, C, D, E ve F şeklinde varyasyonlar halinde bulunur ve bilgisayara bulaşır. Microsoft'un MS04-011 numaralı güvenlik bülteninde açıklandığı üzere Windows'ta bulunan LSASS (Local Security Authority Subsystem Service) servis programının güvenlik açıklarını tarayarak, bulduğu açıklardan file transfer protokolünü kullanarak (FTP) kendisini başka bilgisayarlara kopyalar. Bunun için seçtiği rastgele IP'lerde tarama yapar. Güvenlik Patch dosyaları yüklenmemiş NT, 2000 ve XP işletim sistemi yüklü bilgisayarlara bulaşır. Win95/98/Me bilgisayarlara da bulaşır fakat aktif hale geçmez. XP ve 2000 bilgisayarlarda "Bilgisayarın kapanmasına 1 dakika var" yazısı ekrana çıkarak bilgisayarı kapatır. Bu 1 dakika içinde virüsü temizlemek mümkün olmadığı için sistem tarihini geçici olarak birkaç gün/ay geri atabilirsiniz. Bulaştığı makinanın Windows dizininde natpatch.exe dosyası oluşturur ve bunu registry'deki HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentV ersionRun kısmına ekler. Böylece her Windows'u başlattığınızda virüs aktif hale geçer. Virüsün aktifliğine son vermek için CTRL-ALT-DEL tuşuna bastığınızda gelen TASK MANAGER'de PROCESS kısmına geçin. Listedeki natpatch.exe'yi bulun, üzerine tıklayıp process'ine son verin. W32 Sasser virüsü için Symantec Antivirüs firması fxsasser.exe dosyasını kullanıcıların hizmetine sundu. Bu dosya ile (bilgisayarınızı kesinlikle güvenli kipte açtıktan sonra) virüsü temizleyin. Türkçe XP bilgisayarlar için hazırlanmış update dosyalarını bilgisayarınıza patch etmelisiniz. Bunun için service pack 2'yi kurmanız yeterlidir.



W32 Sasser Virüsünü temizlemek için adım adım yapılacak işler (NT, 2000 ve XP):



1. Bilgisayarınızı baştan başlatın ve güvenli kipte açın (açılış sırasında F8'e basacaksınız)

2. Fxsasser( Bu Linki Görmeniz İçin SupersatForuma Uye Olmanız Gerekmektedir. ) ya da Fsasser( Bu Linki Görmeniz İçin SupersatForuma Uye Olmanız Gerekmektedir. ) programıyla bilgisayarınızda virüsü aratın

3. Bilgisayarınızı kapatın açın (Normal olarak)

4. Service pack 2'yi kurun

5. Kurduktan sonra bilgisayarınızı baştan başlatıp virüsü tekrar arayın.

6. Sisteminizdeki anti-virüs'ü güncelleyin.



W32 Cycle virüsü ise LSASS güvenlik sisteminin buffer overrun açığı ile kendisini yayar. 2000 ve XP bilgisayarlara bulaşır. Virüsün aktifliğine son vermek için System Restore programının çalışmasına son vermelisiniz. Task Manager ile baktığınızda msblast.exe, avserve.exe, avserve2.exe veya skynetave.exe programlarını görürseniz bilgisayarınıza W32 Cycle worm virüsü bulaşmış demektir.



W32 Sasser E virüsü için registry editörü çalştırıp (regedit) lsasss.exe satırını bulup silmelisiniz. Registry'deki yeri:

HKLMSoftwareMicrosoftWindowsCurrentVersionRunLSASS SVR = lsasss.exe







MyDoom Virüsü



E-mail ile yayılan bir spam mail worm virüsü olup bulaştığı bilgisayarlardaki outlook adres defterine musallat oluyor. Buradaki adreslere virüslü mailler gönderirken içerik olarak rastgele konular seçiyor. Maillere attachment olarak küçük bir .zip dosyası ekleyerek zararsız görünümlü bir içerik ile kullanıcıları aldatmaya çalışıyor. .bat, .cmd, .exe, .pif ve .scr uzantılı mail ekleri yaratıyor. Kazaa gibi servislerle yayılması dizayn edildiğinden bu servislerden gelen dosyalarda bulunma ihtimali yüksek. Klavyeyi kontrol eden bir virüs olduğundan klavyeden girilen kredi kartı bilgileri ve şifreleri bilgisayarda kendisine özel bir dosyada saklayıp yeri gelince bu bilgileri maille yollayamaya çalışıyor. MyDoom virüsünü temizleyen programı

Bu Linki Görmeniz İçin SupersatForuma Uye Olmanız Gerekmektedir. buradan edinebilirsiniz



XP Bilgisayarınızdaki "System Restore" servisini iptal ederek W32 Sasser ve benzeri virüslerin bilgisayardaki işlevlerine son verme ve engelleme:

1. Masaüstündeki "Bilgisayarım" simgesine sağ tuşla tıklayın ve oradan "Sistem Geri Yükleme"yi seçin.

2. "Bütün sürücüler'deki sistem geri yüklemeyi kapat" kutucuğunu işaretleyin.

3. Tamam'a tıklayın, gelen uyarıya tamam deyin.



XP'de eğer bir dosyayı silmeye kalktığınızda "Bu dosya başka bir application tarafından kullanılıyor" deyip silmiyorsa ve o dosyayı başka bir programın kullanmadığından eminseniz yapacağız iş:

Kısa yol, çabuk çözüm 1:

1. Dosyanın ismini değiştirin, uzantısını da değiştirin. Mesela "a.a" yapabilirsiniz.

(Windows Explorer'da dosya uzantılarını gizle seçeneği aktif ise bunu yapamazsınız)

2. Sonra dosyayı silebilirsiniz.

3. Eğer Windows dosyanın ismini değiştirmenize izin vermez ise dosyayı silmek için aşağıdakini deneyin:



Kısa yol, çabuk çözüm 2:

1. Başlat'tan "cmd"yi çalıştırın.

2. Silinecek dosyanın ismi uzun ise klasörde "dir /x" yazarak kısa ismini içinde "~" olacak şekilde görün.

(Ör. "MatrixRevolutions2.avi" dosyasını dir/x ile "matrixr~1.avi" olarak göreceksiniz.)

3. Del /f yazarak kısa dosya isminin kısa halini yazarak dosyayı silin.

(Ör. Del /f matrixr~1.avi)



Uzun yol, kesin çözüm 3 (En inatçı dosyalar için):

1. CTRL-ALT-DEL yaparak Task Manager'i çalıştırın ve "explorer.exe"nin çalışmasına son verin (desktop silinecektir!)

2. Task Manager'deki Dosya kısmından "Yeni Görev (Çalıştır)"ı seçip oraya "cmd" ya da "command" yazın.

3. Silmek istediğiniz sürücüye ve klasöre gidin.

4. "del" komutuyla dosyayı silin.

5. Task Manager'deki Dosya kısmına "Yeni Görev (Çalıştır)"ı seçip oraya "explorer" yazıp enter'a bastığınızda desktop geri gelecektir.

6. Dosyayı silmiş oldunuz, en inatçı dosyaları bile silebilirsiniz.



Yararlanılan kaynaklar:

Symantec Antivirüs Sitesindeki Asuka Yamamoto'nun yazısı

Sophos Antivirüs Sitesi

Kaspersky Antivirüs Sitesi

Antivir Antivirüs Sitesi

F-Secure Antivirüs Sitesi

IT Güvenlik Uzmanı Ömer Kurtulmuş'un yazısı (inTellect Bilgisayar)

CA Virus Information Center

Symantec Virus Removal Tools Page [Tüm trojan, solucan ve virüsler için download edilebilir küçük temizleme programları]