Anasayfa
Latest images
Arama
Kayıt Ol
Giriş yapMsn Virüsü Nedir? Nasıl Silinir?
1 sayfadaki 1 sayfası
Msn Virüsü Nedir? Nasıl Silinir?
Admin Ptsi Mart 30, 2009 10:20 am
Tayvan’da binlerce insanın, saldırganlar tarafından kullanıcıların bilgisayarlarının kontrol altına alınabilmesine olanak tanıyan, MSN vasıtasıyla iletilen bir virüsün etkisi altında olduğunu bildirdi.
Kulllanıcıların çoğu, kişiler listesinde düzenli olarak kayıtlı bulunan arkadaşlarından bir link aldı. Linke tıkladıklarında, bir backdoor virüsün bilgisayarlarına kurulduğunu fark ettiler.
Çoğu kullanıcı, ilk olarak kişi listelerinin yok olduğunu ve MSN Messenger’ı kapatmanın imkansız olduğunu bildirdi. Bir kısmı, Messenger Linkine tıkladıktan sonra ters olan hiçbir şey olmadığını kabul ederken, bazı kullanıcılar da bilgisayarlarında veri kaybı olduğunu belirtti.
Virüsün özellikleri ve ne kadar yaygın olduğu hakkında net bir bilgi yok, Doğrusu, bir taraftan MSN temsilcileri BKDR_RINBOT.A isminde bir backdoor virüsü tespit ettiklerini iddia ederken, diğer yandan Symantec Çin bölgesi uzmanları virüsün Backdoor.irc.Bot virüsü olarak tanımlanabileceğini belirtti.
Symantec’e göre, virüs, alıcının korumasını kaldırmak için linkleri göndermede kişi listesini kullanıyor.
Bu tür bir saldırının amacı hem virüsü yaymaya devam etmek için daha fazla kişiye ulaşmak, hem de virüsün bulaştığı bilgisayarlara tam kontrol kazanmak. Bunun yanında, virüsün bulaşmış olduğu bilgisayarların her yeniden başlatıldığında virüsü çalıştıracağı ve bir IRC sohbet odası sunucusuna bağlanmaya çalıştığı, bu sayede bu sunucuya bağlanan bütün bilgisayarların virüsten etkileneceği doğrulandı.
W32.Serflog Msn Virüsü Nasıl Silinir?
W32.Serflog adında, Türkiye çapında “MSN Virüsü” olarak tabir edilen son derece akıllı bir virüs şu sıralar Msn Messenger kullanıcılarının başını fena halde ağrıtmakta. Virüs bilgisayarınıza yerleşiyor ve Msn kişi listenizi kullanarak yayılıyor. Kişi listenizdekilere: “Fotoğraf albümü gör”, “Şu siteye girsene…” gibi sizden habersiz mesajlar gönderiyor ve karşı tarafın verdiği adresteki ve resimlerdeki virüslü dosyayı açmasını amaçlıyor. Karşı taraf virüslü dosyayı açtığında, ona da bulaşmış oluyor ve aynı yolla yayılmaya devam ediyor.
Virüsten kurtulmak için iki yol blunmakta. Bunlardan birincisi virüsü el ile temizlemek(bu zor olanı), ikincisi de Symantec’in ürettiği bir virüs silme programı ile silmek(kolay yol). Size ilk olarak kolay yolu yani virüs silme programı ile bu virüsten kurtulmayı anlatacağım ama öncelikle sizi virüsle tanıştırayım. Tanışın, kaynaşın:
Öncelikle size Symantec’den edindiğim bilgiler doğrultusunda, virüs hakkında ufak bilgiler vereyim:
____________________________________________________
Symantec // Virüs özeti
Virüsün piyasaya çıktığı tarih: 18 Mart 2005
Virüsün son halini aldığı(güncellendiği) tarih: 5 Aralık 2005
Tür: Bilgi silici
____________________________________________________
Buradan anladığımız kadayırla; virüs ilk olarak 2005 mart ayında bizlerle tanışmış. Bundan dokuz ay sonra da şu anda bizlerin başını ağrıtmakta olan son halini almış.
Virüsün etrafa yayılmasıyla beraber(7 Mart 2005) Symantec bu virüsü önlemek için bir virüs silme programı üretmiş. Virüs yayıldıkça bu program işe yaramamaya başlamış ve bu programı 17 Şubat 2007 günü güncellemiş. Bu arada programın adını söylemeyi unuttum. Programa “FixSflog” adını vermiş. Klasik Symantec program adlarından yani.
Neyse ben lafı çok uzatmadan, programı nasıl kullanacanığınızı size anlatayım:
Virüsü temizlemek için kolay olan yol (tavsiye edilir)
Virüs silme programını çalıştırmadan önce dikkat etmeniz gereken bazı hususlar var. Bunları sizin için aşağıda belirttim:
Eğer sürekli internete bağlıysanız ya da dosyalarınızı paylaştığınız bir ağ içindeyseniz hemen bağlantınızı tüm dünya ile kesin ve dosyalarınızı paylaşıyorsanız, paylaşmakta olduğunuz dosyaları salt okunur(read only) moduna getirin. Bu önlemleri aldıktan sonra tekrar ağınıza ya da internetinize bağlanabilirsiniz.(Bu ayarları yapmayı bilmiyorsanız, hiç ellemeyin daha iyi) Bu önlemi almanızı niye söyledim, onu merak ediyorsunuz şimdi tabii. Gelelim niyesine: Bu virüs dosya paylaşımı sayesinde yayılıyor. Eğer siz önlem almazsanız, bilgisayarını dışarıya kilitlemezseniz aynı sizin gibi başkalarının da başı ağrıyacak hem de sizin yüzünüzden. [
]
virüs silme programını bilgisayarınıza indirin. Hemen sıkılmayın öyle çünkü çok küçük bir dosya. İndirmek saniyeler alıyor sadece. []
Dipnot: Eğer verdiğim adresten dosyayı indiremiyorsanız, virüs Symantec’in sitesini de bloke etmiş demektir. Eğer öyle bir durumla karşılaşırsanız bana özel mesaj atın, ben size programı gönderirim.
Evet, dosyayı indirdiniz. Artık bu virüsten kurtulmaya hazırız. Programı çalıştırmadan önce yapmanız gereken bazı şeyler var, tabii virüsten tamamen kurtulmak istiyorsanız. []
- Çalışan tüm programları kapatın.
- İnternete veya ağa bağlıysanız bağlantınızı kesin.
- Windows XP kullanıyorsanız; sistem geri yükleme özelliğini kapatın.
XP’de sistem geri yükleme özelliği nasıl kapatılır?
- “Bilgisayarım” simgesine sağ tıklayın ve “Özellikler” seçeneğine tıklayın.
- Açılan pencerede “Sistem Geri Yükleme” sekmesine(bölümüne) gelin.
- “Bütün sürücülerdeki sistem geri yüklemeyi kapat” seçeneğini işaretleyin.
- Ardından “Uygula” sonra da “Tamam” butonlarına basın.
- Bilgisayarı yeniden başlatmak gerektiğini söyleyen bir uyarı alacaksınız. “Evet” butonuna basın ve bilgisayarı yaptığınız ayarların aktif olması için yeniden başlatın.
Dipnot: Virüs temizleme işlemi bitince sistem geri yükleme özelliğini tekrar açmanız gerekecek. Özelliği açmak için yukarıda bahsettiklerimin aynısını tekrar yapmanız gerekecek. Bu sefer “Bütün sürücülerdeki sistem geri yüklemeyi kapat” seçeneğini işaretlemek yerine, işaretini kaldıracaksınız doğal olarak.
Şimdi virüs temizleme programını çalıştırmaya hazırız.
- Size verdiğim adresten indirdiğiniz programı açın.
- Taramayı başlatmak için “Start” butonuna basın.
Tarama bittiğinde eğer bilgisayarınızda virüsü bulabildiyse: “W32.Serflog has infected the computer.” şeklinde bir mesaj göreceksiniz. Eğer bu şekilde bir mesaj görmezseniz(virüs olmadığında karşınıza çıkan mesajı unuttum) virüsü bulamamış demektir ya da sizde gerçekten de virüs yoktur.
Eğer virüs bulunduysa aşağıdakileri yönergeleri izleyin:
- Bilgisayarı yeniden başlatın.
- Virüs temizleme programını tekrar çalıştırın ve son bir kez daha emin olmak için tarama yaptırın. “W32.Serflog has infected the computer.” şeklinde bir mesaj gelmezse, virüs temizlenmiş demektir. []
Virüsü temizlemek için zor olan yol (tavsiye edilmez ama işe yarar)
Şimdi de virüsü hiçbir program olmadan, tamamen elle temizlemek için bir yol anlatacağım sizlere. Bence yukardaki yöntem çok daha kolay ama tabii yine de siz bilirsiniz. []
Aşağıdaki yönergeleri dikkatlice izleyin ve uygulayın:
- Bilgisayarınızı yeniden başlatıp, güvenli kipte açın. (Güvenli kipte açmak için bilgisayar açılışında F8 tuşuna basarak “Güvenli kip” seçeneğini seçiniz.)
- Başlat menüsünden “Çalıştır” seçeneğine tıklayın ve çıkan komut satısına “regedit” yazıp enter’e basın.
- Regedit’de aşağıda belirtilmiş anahtar yollarını dikkatlice tarayın ve içlerinde “serpe”, “avnort”, “ltwob” gibi girdiler varsa, bunları silin: (Girdiler üzerine sağ tıklayarak, silme seçeneğini görebilirsiniz.)
Kodlar:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
Kodlar:
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices
Kodlar:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionpoliciesExplorerRun
Kodlar:
HKEY_CURRENT_USERMicrosoftWindowsCurrentVersionRun
Kodlar:
HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionpoliciesExplorerRun
- “Bilgisayarım” simgesine çift tıklayın ve açılan pencerede “Araçlar” menüsünden “Klasör Seçenekleri” bölümüne tıklayın. Açılan pencerede “Görünüm” sekmesine gelin ve “Gizli dosyaları göster” seçeneğini işaretleyin. Ardından “Uygula” sonra da “Tamam” butonlarına basarak pencereyi kapatın.
- Aşağıdaki dizinlerde isimleri belirtilen dosyaları silin:
Kodlar:
c:windowssystem32
Silinecek dosyalar: “formatsys.exe”, “serbw.exe”
Kodlar:
c:windows
Silinecek dosyalar: “msmbw.exe”
Kodlar:
c:documents and settings<kullanıcı_adı>local settingsapplication datamicrosoftcd burning
Silinecek dosyalar: “autorun.exe”
Kodlar:
c:
Silinecek dosyalar: “Crazy frog gets killed by train!.pif”, “Annoying crazy frog getting killed.pif”, “See my lesbian friends.pif”, “LOL that ur pic!.pif”, “My new photo!.pif”, “Me on holiday!.pif”, “The Cat And The Fan piccy.pif”, “How a Blonde Eats a B
--------------------------------------------------------------------------------
[ Banned Word
]
--------------------------------------------------------------------------------
…pif”, “Mona Lisa Wants Her Smile Back.pif”, “Topless in Mini Skirt! lol.pif”, “Fat Elvis! lol.pif”, “Jennifer Lopez.scr”, “lspt.exe”, “British National Party.jpg”, “Crazy-Frog.Html”, “Message to n00b LARISSA.txt”
- Geldik son adıma. Aşağıda belirttiğim klasöre gidin.
Kodlar:
c:windowssystem32driversetc
Bu klasörde “hosts” adı altında bir dosya var. O dosyaya sağ tıklayın ve birlikte aç seçeneğine basın. Birlikte açmak istediğiniz programı “Not defteri” olarak seçin yani dosyayı not defteri yardımı ile açın. Bu dosya içerisinde aşağıda belirttiğim satır hariç herşeyi silin.
Kodlar:
127.0.0.1 localhost
Muhtemelen bu satır haricinde eğer siz bir şeyler eklemediyseniz daha önceden, Antivirüs yazılımlarının web siteleri yazacaktır.
Tüm bu işlemlerden sonra bilgisayarınızı yeniden başlatıp antivirüs tarayıcınızı ve bilgisayarınızı güncelleyin.
Kulllanıcıların çoğu, kişiler listesinde düzenli olarak kayıtlı bulunan arkadaşlarından bir link aldı. Linke tıkladıklarında, bir backdoor virüsün bilgisayarlarına kurulduğunu fark ettiler.
Çoğu kullanıcı, ilk olarak kişi listelerinin yok olduğunu ve MSN Messenger’ı kapatmanın imkansız olduğunu bildirdi. Bir kısmı, Messenger Linkine tıkladıktan sonra ters olan hiçbir şey olmadığını kabul ederken, bazı kullanıcılar da bilgisayarlarında veri kaybı olduğunu belirtti.
Virüsün özellikleri ve ne kadar yaygın olduğu hakkında net bir bilgi yok, Doğrusu, bir taraftan MSN temsilcileri BKDR_RINBOT.A isminde bir backdoor virüsü tespit ettiklerini iddia ederken, diğer yandan Symantec Çin bölgesi uzmanları virüsün Backdoor.irc.Bot virüsü olarak tanımlanabileceğini belirtti.
Symantec’e göre, virüs, alıcının korumasını kaldırmak için linkleri göndermede kişi listesini kullanıyor.
Bu tür bir saldırının amacı hem virüsü yaymaya devam etmek için daha fazla kişiye ulaşmak, hem de virüsün bulaştığı bilgisayarlara tam kontrol kazanmak. Bunun yanında, virüsün bulaşmış olduğu bilgisayarların her yeniden başlatıldığında virüsü çalıştıracağı ve bir IRC sohbet odası sunucusuna bağlanmaya çalıştığı, bu sayede bu sunucuya bağlanan bütün bilgisayarların virüsten etkileneceği doğrulandı.
W32.Serflog Msn Virüsü Nasıl Silinir?
W32.Serflog adında, Türkiye çapında “MSN Virüsü” olarak tabir edilen son derece akıllı bir virüs şu sıralar Msn Messenger kullanıcılarının başını fena halde ağrıtmakta. Virüs bilgisayarınıza yerleşiyor ve Msn kişi listenizi kullanarak yayılıyor. Kişi listenizdekilere: “Fotoğraf albümü gör”, “Şu siteye girsene…” gibi sizden habersiz mesajlar gönderiyor ve karşı tarafın verdiği adresteki ve resimlerdeki virüslü dosyayı açmasını amaçlıyor. Karşı taraf virüslü dosyayı açtığında, ona da bulaşmış oluyor ve aynı yolla yayılmaya devam ediyor.
Virüsten kurtulmak için iki yol blunmakta. Bunlardan birincisi virüsü el ile temizlemek(bu zor olanı), ikincisi de Symantec’in ürettiği bir virüs silme programı ile silmek(kolay yol). Size ilk olarak kolay yolu yani virüs silme programı ile bu virüsten kurtulmayı anlatacağım ama öncelikle sizi virüsle tanıştırayım. Tanışın, kaynaşın:
Öncelikle size Symantec’den edindiğim bilgiler doğrultusunda, virüs hakkında ufak bilgiler vereyim:
____________________________________________________
Symantec // Virüs özeti
Virüsün piyasaya çıktığı tarih: 18 Mart 2005
Virüsün son halini aldığı(güncellendiği) tarih: 5 Aralık 2005
Tür: Bilgi silici
____________________________________________________
Buradan anladığımız kadayırla; virüs ilk olarak 2005 mart ayında bizlerle tanışmış. Bundan dokuz ay sonra da şu anda bizlerin başını ağrıtmakta olan son halini almış.
Virüsün etrafa yayılmasıyla beraber(7 Mart 2005) Symantec bu virüsü önlemek için bir virüs silme programı üretmiş. Virüs yayıldıkça bu program işe yaramamaya başlamış ve bu programı 17 Şubat 2007 günü güncellemiş. Bu arada programın adını söylemeyi unuttum. Programa “FixSflog” adını vermiş. Klasik Symantec program adlarından yani.
Neyse ben lafı çok uzatmadan, programı nasıl kullanacanığınızı size anlatayım:
Virüsü temizlemek için kolay olan yol (tavsiye edilir)
Virüs silme programını çalıştırmadan önce dikkat etmeniz gereken bazı hususlar var. Bunları sizin için aşağıda belirttim:
Eğer sürekli internete bağlıysanız ya da dosyalarınızı paylaştığınız bir ağ içindeyseniz hemen bağlantınızı tüm dünya ile kesin ve dosyalarınızı paylaşıyorsanız, paylaşmakta olduğunuz dosyaları salt okunur(read only) moduna getirin. Bu önlemleri aldıktan sonra tekrar ağınıza ya da internetinize bağlanabilirsiniz.(Bu ayarları yapmayı bilmiyorsanız, hiç ellemeyin daha iyi) Bu önlemi almanızı niye söyledim, onu merak ediyorsunuz şimdi tabii. Gelelim niyesine: Bu virüs dosya paylaşımı sayesinde yayılıyor. Eğer siz önlem almazsanız, bilgisayarını dışarıya kilitlemezseniz aynı sizin gibi başkalarının da başı ağrıyacak hem de sizin yüzünüzden. [
]virüs silme programını bilgisayarınıza indirin. Hemen sıkılmayın öyle çünkü çok küçük bir dosya. İndirmek saniyeler alıyor sadece. [
]Dipnot: Eğer verdiğim adresten dosyayı indiremiyorsanız, virüs Symantec’in sitesini de bloke etmiş demektir. Eğer öyle bir durumla karşılaşırsanız bana özel mesaj atın, ben size programı gönderirim.
Evet, dosyayı indirdiniz. Artık bu virüsten kurtulmaya hazırız. Programı çalıştırmadan önce yapmanız gereken bazı şeyler var, tabii virüsten tamamen kurtulmak istiyorsanız. [
]- Çalışan tüm programları kapatın.
- İnternete veya ağa bağlıysanız bağlantınızı kesin.
- Windows XP kullanıyorsanız; sistem geri yükleme özelliğini kapatın.
XP’de sistem geri yükleme özelliği nasıl kapatılır?
- “Bilgisayarım” simgesine sağ tıklayın ve “Özellikler” seçeneğine tıklayın.
- Açılan pencerede “Sistem Geri Yükleme” sekmesine(bölümüne) gelin.
- “Bütün sürücülerdeki sistem geri yüklemeyi kapat” seçeneğini işaretleyin.
- Ardından “Uygula” sonra da “Tamam” butonlarına basın.
- Bilgisayarı yeniden başlatmak gerektiğini söyleyen bir uyarı alacaksınız. “Evet” butonuna basın ve bilgisayarı yaptığınız ayarların aktif olması için yeniden başlatın.
Dipnot: Virüs temizleme işlemi bitince sistem geri yükleme özelliğini tekrar açmanız gerekecek. Özelliği açmak için yukarıda bahsettiklerimin aynısını tekrar yapmanız gerekecek. Bu sefer “Bütün sürücülerdeki sistem geri yüklemeyi kapat” seçeneğini işaretlemek yerine, işaretini kaldıracaksınız doğal olarak.
Şimdi virüs temizleme programını çalıştırmaya hazırız.
- Size verdiğim adresten indirdiğiniz programı açın.
- Taramayı başlatmak için “Start” butonuna basın.
Tarama bittiğinde eğer bilgisayarınızda virüsü bulabildiyse: “W32.Serflog has infected the computer.” şeklinde bir mesaj göreceksiniz. Eğer bu şekilde bir mesaj görmezseniz(virüs olmadığında karşınıza çıkan mesajı unuttum) virüsü bulamamış demektir ya da sizde gerçekten de virüs yoktur.
Eğer virüs bulunduysa aşağıdakileri yönergeleri izleyin:
- Bilgisayarı yeniden başlatın.
- Virüs temizleme programını tekrar çalıştırın ve son bir kez daha emin olmak için tarama yaptırın. “W32.Serflog has infected the computer.” şeklinde bir mesaj gelmezse, virüs temizlenmiş demektir. [
]Virüsü temizlemek için zor olan yol (tavsiye edilmez ama işe yarar)
Şimdi de virüsü hiçbir program olmadan, tamamen elle temizlemek için bir yol anlatacağım sizlere. Bence yukardaki yöntem çok daha kolay ama tabii yine de siz bilirsiniz. [
]Aşağıdaki yönergeleri dikkatlice izleyin ve uygulayın:
- Bilgisayarınızı yeniden başlatıp, güvenli kipte açın. (Güvenli kipte açmak için bilgisayar açılışında F8 tuşuna basarak “Güvenli kip” seçeneğini seçiniz.)
- Başlat menüsünden “Çalıştır” seçeneğine tıklayın ve çıkan komut satısına “regedit” yazıp enter’e basın.
- Regedit’de aşağıda belirtilmiş anahtar yollarını dikkatlice tarayın ve içlerinde “serpe”, “avnort”, “ltwob” gibi girdiler varsa, bunları silin: (Girdiler üzerine sağ tıklayarak, silme seçeneğini görebilirsiniz.)
Kodlar:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
Kodlar:
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices
Kodlar:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionpoliciesExplorerRun
Kodlar:
HKEY_CURRENT_USERMicrosoftWindowsCurrentVersionRun
Kodlar:
HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionpoliciesExplorerRun
- “Bilgisayarım” simgesine çift tıklayın ve açılan pencerede “Araçlar” menüsünden “Klasör Seçenekleri” bölümüne tıklayın. Açılan pencerede “Görünüm” sekmesine gelin ve “Gizli dosyaları göster” seçeneğini işaretleyin. Ardından “Uygula” sonra da “Tamam” butonlarına basarak pencereyi kapatın.
- Aşağıdaki dizinlerde isimleri belirtilen dosyaları silin:
Kodlar:
c:windowssystem32
Silinecek dosyalar: “formatsys.exe”, “serbw.exe”
Kodlar:
c:windows
Silinecek dosyalar: “msmbw.exe”
Kodlar:
c:documents and settings<kullanıcı_adı>local settingsapplication datamicrosoftcd burning
Silinecek dosyalar: “autorun.exe”
Kodlar:
c:
Silinecek dosyalar: “Crazy frog gets killed by train!.pif”, “Annoying crazy frog getting killed.pif”, “See my lesbian friends.pif”, “LOL that ur pic!.pif”, “My new photo!.pif”, “Me on holiday!.pif”, “The Cat And The Fan piccy.pif”, “How a Blonde Eats a B
--------------------------------------------------------------------------------
[ Banned Word
] --------------------------------------------------------------------------------
…pif”, “Mona Lisa Wants Her Smile Back.pif”, “Topless in Mini Skirt! lol.pif”, “Fat Elvis! lol.pif”, “Jennifer Lopez.scr”, “lspt.exe”, “British National Party.jpg”, “Crazy-Frog.Html”, “Message to n00b LARISSA.txt”
- Geldik son adıma. Aşağıda belirttiğim klasöre gidin.
Kodlar:
c:windowssystem32driversetc
Bu klasörde “hosts” adı altında bir dosya var. O dosyaya sağ tıklayın ve birlikte aç seçeneğine basın. Birlikte açmak istediğiniz programı “Not defteri” olarak seçin yani dosyayı not defteri yardımı ile açın. Bu dosya içerisinde aşağıda belirttiğim satır hariç herşeyi silin.
Kodlar:
127.0.0.1 localhost
Muhtemelen bu satır haricinde eğer siz bir şeyler eklemediyseniz daha önceden, Antivirüs yazılımlarının web siteleri yazacaktır.
Tüm bu işlemlerden sonra bilgisayarınızı yeniden başlatıp antivirüs tarayıcınızı ve bilgisayarınızı güncelleyin.
Admin- Admin
- Mesaj Sayısı : 41
Kayıt tarihi : 28/03/09 -
1 sayfadaki 1 sayfası
Bu forumun müsaadesi var:
Bu forumdaki mesajlara cevap veremezsiniz