BİLGİSAYARA FORMAT ATMADAN VİRÜSLERİ TEMİZLEMEK.
Bilgisayarınıza zararlı bir yazılım bulaştı ve silemiyorsunuz C:resycledboot.com geçerli bir Win32 uygulaması değil… gibi uyarı alıyorsunuz veya Trojan, Malware, Spy, Activexdebugger32, Antivirüs2008/2009, Amvo, Kavo, ckvo vb. sahte antivirüslerle yada değişik zararlılarla başınız derde girdi. Değişik forumlarda farklı farklı çözümler okudunuz fakat uygulamada sonuç alamadınız. O halde dikkatli okuyun;
Bunlardan kurtulmanın iki yolu var ancak 2
.yol biraz daha zahmetli ve uzun, bir o kadar da sinir bozucu. Çünkü 2. yolda CD den çalışan bir sistemle Bilgisayarımızı başlatmamız gerekiyor. Bu yüzden biz aşağıdaki yöntemi uygulayacağız. Gerekli olan yazılımlar:
Yukarıdaki yazılımları
internetten temin ettikten sonra, 1. ve 2. sıradaki programları Bilgisayarımıza yüklüyor ve güncelliyoruz. Bu işlemler esnasında Bilgisayarımızı
asla resetlemiyoruz aksi halde sil baştan yaparsınız. Bu ve benzeri zararlı yazılımlar değişik yerlere farklı isimlerde dosyalar yerleştirdiklerinden, yerlerine ve isimlerine değinmeyeceğim. Sadece bunları nasıl sileceğinizin temel mantığını anlatacağım.
Şimdi ön hazırlığımızı yapalım;
İlk
olarak Araçlar> Klasör Seçenekleri>
Görünüm menüsüne gelip alttaki ''Varsayılanı Yükle'' butonuna basıyoruz. Hemen ardından ''Gizli dosya ve klasörleri göster''i işaretledikten sonra bar çubuğunu aşağı kaydırıp ''Korunan işletim sistemi dosyalarını gizle (önerilen)'' işaretini kaldırıyoruz ve tamam diyoruz. Başlat> Çalıştır’a msconfig yazıp enter'lıyoruz. Genel sekmesinden ortadaki
Tanımlama Başlangıcını işaretleyip Tamam diyor ve yeniden başlatıyoruz. Bilgisayar açılırken ilk yazıları gördüğünüz anda F8 tuşuna sık aralıklarla basarak güvenli mod seçim ekranından
''Komut istemiyle Güvenli Mod'' sekmesini işaretleyerek Bilgisayarı başlatıyor ve çıkan uyarıya evet deyip geçiyoruz. Karşımıza siyah Ms
-Dos ekranı gelmiş olması lazım. Buraya kesinlikle Explorer yazıp enter'lamıyoruz. Mümkün mertebe Explorer.exe yi çalıştırmaktan kaçınıyoruz.
...Çünkü bazı zararlılar bu dosyaya kendini enjekte etmiş olabileceğinden silmemize engel oluşturacaktır. Şayet böyle bir durumla karşılaşır ve aksi gibi winlogon.exe ye de enjekte olmuş bir zararlı tespit ederseniz, o zaman yukarıda yazdığım gibi CD den çalışan bir sistemle Bilgisayarı açıp, adını önceden tesbit ettiğiniz zararlıyı bulunduğu yerden silebilirsiniz. Şimdi kaldığımız yerden devam edelim...
Ctrl+Alt+Del tuşlarına basarak görev yöneticisini açıyoruz. Burayı iyi kavrayın çünkü tüm işlemlerimizi buradan yapacağız. Dosya bölümünden ''yeni görev çalıştır dedikten sonra ''Gözat'a tıklayıp açılan pencereden alttaki Dosya türü: programlar yazan yeri Tüm dosyalar olarak değiştiriyoruz. Bu arada açılan pencereleri ekranın bir tarafında toplamaya çalışın aksi halde zorlanırsınız. Tüm dosyalar olarak seçtikten sonra Konum yazan yerden yada soldan, C:Program Files'e giriyoruz.
(göz at ekranını iptal butonunun hemen altından tutup çekerek büyütebilirsiniz.)
Buraya kadar her şey tamamsa ihtiyacımız olan programları artık çalıştırabiliriz. Yalnız bu şekilde çalıştıracağımız programın .exe sini seçerek ''aç'' diyeceğiz. Bu sayede normal Explorer penceresini kullanıyormuş gibi HDD içerisinde dolaşacağız.
Gelelim zararlıları tespit edip silmeye;
İlk önce
Hijackthis'i çalıştırıyoruz. Main menü den ''Do a system scan only'' yapıyor ve sol alttaki ''Save log''a basıp kaydediyoruz. Faydası olmayacağı için şimdilik burada hiçbir işlem yapmıyoruz. Daha sonra karşılaştırma yapacağız.
Şimdi de rootkit tespiti için
Helios Lite'i çalıştırıp ''Scan Type'' menüsünden ''Hidden Files''i seçerek Scan yapıyoruz. Bu arada kağıt ve kaleminizi hazırlayın, karşımıza çıkacak olan kırmızı
renkli tavşanların isimlerini
not alacağız. Yazdık mı.? Devam…
Ardından
Startup Control Panel'i çalıştırın ve not aldığınız isimlerden olanları bulun ve işaretleyin. Büyük ihtimalle ona saldıracağız. Denemek için isminin üzerine bir kez tıklayın mavi renk aldığında yukarıdan ''Delete''ye basın sonra ''Refresh'' yapın. Sildiğiniz halde geri geliyorsa hedef doğrudur.
...Bu dokümanı C:resycledboot.com ve autorun.inf için hazırladım. Fakat diğer zararlılar için de aynı yöntemi uygulayabilirsiniz. Görev yöneticisinden tanıdığınız bazı zararlı uygulamaları sonlandırabilirsiniz ancak, bu konuda hedef olarak belirlediğimiz zararlıyı görev yöneticisinde göremeyeceğiniz gibi değişik antilerle silseniz dahi yine C:, D:, E: gibi sürücülere kendini kopyalayacaktır.
Sırada
Trojan Remover var. Nokta vuruşu en son yapacağız düşmanımızı biraz yormamız lazım, önce dallarını budayalım. Programı çalıştırıyoruz ve ''Scan'' yaptırıyoruz. bir şeyler bulduğunda önümüze gelen seçim ekranından 2
. sıradakini işaretleyip devam ediyoruz. Her uyarı için aynı işlemi yapıyor ve bitiriyoruz. Emin olmak için ikinci kez scan yapıyoruz. Bazılarını silemediğini göreceksiniz. Bu arada tekrar hatırlatıyorum, Bilgisayarı
asla resetlemiyoruz. Notlarımızı almayı da ihmal etmiyoruz.
RunScanner'i Expert Mode de çalıştırarak ortadaki ''Scan Computer'' butonuna tıklıyoruz. Malware hunting deki Unrated başlığında bulunan Filtler bölümünden ''files not found''u seçiyoruz. Ekranda gördüğümüz tüm kırmızı renkteki bileşenlerin solundaki kutucuğu çift tıklayarak yada aralık çubuğu yardımıyla işaretliyoruz. Bunu diğer menüler içinde tekrarlıyoruz. Daha sonra ''item fixer''e geçip kırmızı renkte yazan ''fix selected items''e tıklayarak işaretlediklerimizi siliyoruz.
Geldik önemli anlara… Şimdi yine aynı işlemleri bu sefer filter kısmından ''All Files'i seçerek daha önce not aldığımız zararlı isimlerini gözden geçiriyoruz. Bulduklarımızı tekrar işaretleyerek (diğer taraflara da bakmayı unutmuyoruz.) yine fix’liyoruz. Şayet menüler arasındaki kontrollerimizde not aldığımız isimler varsa ve işaretleme imkanımız yoksa, o ismin üzerine sağ tıklayarak ''Delete file at next reboot'' seçip bir sonraki resette dosyanın silinmesini sağlıyoruz. ''Malware hunting'' ve ''Extra Stuff''da bulunan tüm başlıklar içinde Aynı işlemler geçerli. Diğer başlıklarla Reboot computer ve start Explorer butonlarına dokunmuyoruz. Uff yazması uygulamasından zormuş yav...
...Eh epey yol aldık. Sıkılan olduysa devam etmesin. Yakınlarda bir yerde teknik servis gibi görünen çakallar hazır pusuda bekliyordur zaten. Götürürsün oraya hiç uğraşmaz bir güzel çakarlar formatı, onu da yarım yamalak yapar sonra forumda başlarsın başlık açmaya. Üstüne üstlük birde paranla rezil olursun. İyisi mi devam et hem bir şeyler kap hem de işini gör. Neyse uzatmayayım… Biraz dokundurduk kusura kalmayın, lafım bu işi hakkıyla yapanlara değildi, onlar kendini biliyor.
Sıra
Malwarebytes'Anti-Malware'de; Dil ayarlarından Türkçe'yi seçip tam tarama yaparak tespit ettiklerini siliyoruz. Bilgisayarı kapatmamızı isteyecek hayır diyerek devam ediyoruz. Hangilerinin silindiğinden emin olmak için tarama işlemini tekrarlıyoruz. Sonuçlarla karşılaştırarak not alıyoruz. Bir iki dosyayı silememiş olması lazım. Bu durumda hemen ayarların yanında bulunan ''Diğer araçlar'' menüsüne geçiyoruz. Dosya silicisi yazan yerin altında ''Aracı çalıştır'' yazan yere tıklayarak silemediği dosyaları bulundukları konumdan işaretleyerek noktayı koyuyoruz. Bu işlemde silinemeyen o dosyaları, Bilgisayarınızda ileri düzey seçeneklerle aramayı denediyseniz bulunamadığını fark etmişsinizdir.
Şimdi
Startup Control Panel'i çalıştırarak ilk baktığınızda not aldığınız zararlının ''refresh'' butonuna basdığınızda yerinde olup olmadığına bakın. Hatta sürücülerinize tekrar bakarak resycled klasörünü ve autorun.inf dosyasını arayın. Yerinde olmadığını göreceksiniz.
Son olarak
Windows Worms Doors Cleaner'i çalıştırın ve kırmızı işaretli olan yerlere tıklayarak ''enable'' konumuna getirin. Uyarılara yes yes deyin ama restart yazan uyarıya hayır. Tüm işlemler bittikten sonra bilgisayarı yeniden başlatıp normal olarak açıyoruz. Ve son kez anti malware ve Trojan Remover ile taratıyoruz. Bir şey çıkacağını sanmıyorum ama
garanti olsun.
Eğer orjinal
host dosyası değişmişse -ki muhtemelen zarar görmüştür.- onuda
BURADAN indirebilirsiniz.
İndirdikten sonra dosya üzerine çift tıkladığınızda kendisi gerekli yerine kopyalanacaktır.
Ardından başlat>çalıştır satırına msconfig yazarak, ilk başta yaptığımız Tanımlama Başlangıcını
Normal başlangıç olarak değiştirdikten sonra bilgisayarı yeniden normal şekilde başlatıyoruz. Yeniden başlattığımızda ...dosyası bulunamadı gibi bir uyarı verirse, ilk önce yaptığımız gibi
Hijackthis'i çalıştırıyoruz. Main menü den ''Do a system scan only'' yaptıktan sonra bulunamayan dosya adınına ait kayıt anahtarını ekrandan işaretleyerek
fix'liyoruz. Fix'ledikten sonra emin olmak için tekrar scan yapıp anahtarın silinip silinmediğine bakıyoruz. Silinmişse sorun yok ve muhtemelen silinecektir.
Hayırlı uğurlu olsun. Bundan sonrası size kalmış. İsterseniz normal yollardan aynı programlarla tekrar gözden geçirebilirsiniz.
RegSeeker konusunu yazmaya gerek görmedim, onunla da kalan çöpleri temizleyebilirsiniz. Kullanımı gayet basit ve türkçe.
Genelde zararlılar için hep aynı yöntemi kullanırım ve bir Bilgisayardan
boot.com zararlısını yazdığım yöntemle temizledim. O an izlediğim yolu kaleme almak geldi. Umarım işinize yarar.
Hatırlatma: Eğer yukarıdaki yöntem size karışık geliyorsa ilk önce
ComboFix'i indirin ve güvenli modda çalıştırın, işlem uzun
sürebilir telaşlanmayın ve hiç bir şey yapmadan bekleyin. Bilgisayarınız yeniden başladıktan sonra sorun hala devam ediyorsa diğer adımları uygulayın.
Önemli Not:
Şayet bu ve benzeri zararlılara karşı Bilgisayarınızda
Outpost Security Suite Pro yüklü ise, tüm bu temizleme işlemlerini çok daha kolay bir şekilde yapmanız mümkün. Çünkü
Antivirüs+Firewall özeliği olan bu yazılım, bir şekilde sisteminize sızan zararlıların aktif olmalarını ve yayılmalarını daha baştan engellediği için, size tahmin edemeyeceğiniz kadar kolaylıklar sunmaktadır. Kendim kullanıyorum ve herkese tavsiye ederim. Banko favorimdir.
Resmi sitesindeki ekran görüntüsü için
TIKLA.
Outpost'un Çalışma prensibi;
Bir çok özelliğe sahip olan ve tam sistem koruması sağlayan bu yazılım, isteğe bağlı olarak ziyaret ettiğiniz sitelerde veya aldığınız e
-postalardaki zararlı scriptleri, reklam pencerelerini, vb.. zararlı içerikleri engelleyebiliyor. Size yapılan saldırıyı algılayıp, saldırıyı yapan bilgisayarı 5 dakikalığına sizden uzaklaştırabiliyor. Bu süre kullanıcının isteğine göre değiştirilebiliyor. Programın Hassaslık ayarları sayesinde en küçük ping'leri ve
port taramalarını bile algılayıp, yapanların size IP'sini veriyor.
İnternete ulaşmak isteyen her türlü programın adını ve bağlanmak istediği adresi size iletiyor. İsteğinize bağlı olarak o programın internete bağlanmasını engelleyebiliyorsunuz. İnternet bağlantısına izin verdiğiniz programlardan birinin kodları değişirse size uyarı veriyor ve bir daha soruyor: "İnternet bağlantısını vereyim mi?"
Outpost - Dünyanın en ünlü güvenlik yazılımları arasındadır ve bilgisayarınızı e-postadaki zararlı içeriklerden (script), reklam pencerelerinden, internet solucanlarından, casus yazılımlardan, truva atlarından ve bilgisayarınızı ele geçirmeye çalışan ''hacker''lardan koruyan kendi güvenlik duvarına (Firewall) sahip
MUHTEŞEM bir yazılımdır.
Yazılım hacker saldırılarını algılar ve onları engeller, Bilgisayarınızdaki bilgileri korur, web'de güvenli sörf yapmanızı sağlar ve gelen kutunuzdaki internet solucanı etkinliklerini durdurur.
Outpost, gizlilik modunda çalışır ve hackerlara gözükmez. Bunlara ek olarak açılır pencereleri (pop
-up) ve reklamları engelleyerek sayfa açılışını hızlandırır ve daha zevkli sörf ortamı sunar. Kullanıcı yararı için Outpost güncellemeleri yeni tehditlere karşı korumayı garanti eder.
Outpost Security tüm bunların yanı sıra, internet,ağ trafiğinizi izleyerek bilgisayarınızdan veri sızdırılmasına engel olur. Oldukça etkili virüs tarama özelliği sayesinde tespit edilen zararlı her ne olursa olsun çalışmasına müsaade etmez, siz isteseniz dahi yakaladığı zararlıyı bilgisayarınıza yüklenmesine izin vermez.
(bunun için korumayı devre dışı bırakmanız gerekiyor) Gelişmiş SPAM (Reklam postası) önleyicisi sayesinde de, sıklıkla karşınıza çıkacak olan reklam yazılımlarına karşı çok etkili çözümler sunar. Gezindiğiniz bir sitedeki reklam içeriklerini
otomatik engelleyerek ekran kirliliğini önler.
Dip Not:
Bilgisayarınıza Outpost yüklü ise mynet, ekolay gibi sitelerden
oyun oynamak istiyorsanız
Buradaki ayarları mutlaka yapmalısınız. Aksi halde oyun penceresi açılmaz.
