06

Mart
2008

Gizli Dosyaları Görünür Hale Getirememe Sorunun Çözümü

kategori: Nette Gezdiklerim, Tavsiyeler
grknclk yazmış,

Konuya forumtr.com da denk geldim. Birçok arkadaşın başını ağrıtan bir sorun.

Çözümü üreten arkadaş Trojanla 11 ocak tarihinde karşılaşmış..  Yeni bir trojan ve yakın zaman içerisinde daha çok yayılacaktır.
Amvo.exe - U.bat - Amvo0.dll Trojan

Bugün karşılaştığım bir trojan türünden bahsetmek istiyorum. Bulaştığı bilgisayara ilk önce internet üzerinden geldiğini düşündüğüm ama sonradan flash disk üzerinden bulaştığını öğrendiğim bu truva atının genel tanımlayıcı özellikler, “amvo.exe,amvo0.dll,autorun.inf ve u.bat”.

Semptomlar : Trojan sisteme flash disk içerisinden bulaşıyor.Ama bunun bu tür taşınabilir bellekler için yazıldığını düşünmüyorda değilim.Flash diski iki kez tıklayıp açmaya çalıştığınızda daha önceden “autorun.inf” dosyası flash diskin üzerinde kayıtlı olduğu için direkt olarak “u.bat” isimli dosyayı koşulsuz olarak çalıştırıyor.Antivirüs programınız varsa size bir uyarı verecektir ancak bu sorununuzu çözmüyor.Truva atı kendini önce system32 klasörü içine amvo.exe adı altında kaydediyor.İkinci adımda oluşturduğu amvo0.dll dosyasını windows klasörüne, u.bat ve autorun.inf dosyasını da tüm lokal sürücülere kopyalıyor.İşte şimdi yandınız, tabi bilgisayarınızı enfeksiyondan sonra yeninden başlattıysanız.Yeniden başlatma işlemi yapıldıysa artık lokal disklerinize ulaşamıyorsunuz demektir.Bu kadarla da bitmiyor.Artık gizli dosyaları görme seçeneğinizde istediğiniz gibi çalışmıyor.Yeniden başlatma işlemi olmadıysa işiniz daha kolay.


Çözüm : Hey gidi günler deyip DOS kullanabilen arkadaşlar kolları sıvasınlar.Bilmeyenlerde sıvasınlar, çünkü birazdan bi kaç dos komutu ile bu sorunu çözmeye çalışacağız :

- Başlat menüsünde ÇALIŞTIR uygulamasını açın ve CMD yazıp enter e basın

- Gelen pencere de gördüğünüz “C:\>…..\…” varsayılan klasörünüzü gösterir.Bizim işimi sürücülerle olduğu için “CD\” yazmalısınız.Bu sizin sürücü köküne ulaşmanızı sağlar ki bizim ilk işimiz orada.

- Artık yol olarak “C:\>” görünüyorsa ilk komutumuz şu şekilde :

attrib -a -r -s -h autorun.inf ( ve enter )
attrib -a -r -s -h u.bat ( ve enter )

Burada ki amacımız hiç bir şekilde görünür hale getiremediğimiz bu dosyaları dos ortamında görünebilir hale getirmek.

- Şimdi de bu dosyaları silelim :

del autorun.inf ( ve enter )
del u.bat ( ve enter )

Bu iki dosya silindikten sonra varsa eğer diğer lokal disklere de yukarda ki komut satırı parametreleri ile ulaşıp o alanda ki autorun.inf ve u.bat dosyalarını silin.

- Şimdi ikinci aşamaya geçiyoruz.Bilgisayarına bu trojanı bulaştırmış ama yeniden başlatmamış olanlar bu kısımdan itibaren takip etmeliler.Onların işi daha kolay.Şimdi aynı komut satırında önce “cd windows” parametre sizi “c:\>windows” alanına getirdikten sonra da “cd system32″ yazıp entere basın.Bu sizi “c:\windows\system32>” klasörüne getirmeli.

- Az önce ki gibi :

attrib -a -r -s -h amvo.exe ( ve enter )
attrib -a -r -s -h amvo0.dll ( ve enter )

yazıyoruz ve gizli dosyaların ortaya çıkmasını sağlıyoruz.

- Bu dosyaları siliyoruz :

del amvo.exe ( ve enter )
del amvo0.dll ( ve enter )

- Yapmamız gereken sonraki işlem konsol penceresini kapatıp yine başlat menüsünden ÇALIŞTIR uygulamasına MSCONFIG yazıp çalıştır demek.Karşınıza Sistem Yapılandırma Yardımcı Programı çıkacak.Burda BAŞLANGIÇ kartını yukardan seçin ve gelen listeden “AMVO.EXE” satırının yanında çentiği kaldırarak açılışta çalışmasını durdurun.

- Ve son işlem.Başlat menüsünde ki ÇALIŞTIR uygulamasına artık aşinayız.Bu kez oraya REGEDIT yazıyoruz.Karşımıza Kayıt Düzenleyici gelecek.Bu uygulama dikkatli kullanılması gereken bir uygulama.Yanlışlıkla yapılabilecek bir değişiklik dimyata giderken bulgurdan olmanıza neden olabilir.O yüzden sadece şunu yapın :

- F3 tuşuna basın

- Arama penceresine “AMVO.EXE” yazıp entere basın

- Bulduğu tek kayıt zaten onun kayıt anahtarı olacaktır.Lütfen onun bulduğu değeri silmeyin.Sol tarafa baktığınızda kayıt ağacına aslında ona ait bir klasör göreceksiniz.Üzerinde AMVO yazan bu klasörü iyice emin olduktan sonra silin.

- Bilgisayarınızı yeniden başlatın ve yeniden başlatma sonrasında lokal disklerinizin yine autorun ile açılıp açılmadığını kontrol edin.Eğer yine böyle bir durum varsa yukarda ki işlemleri tekrarlayın.

Söylediğim gibi ben denedim sorun giderildi.. umarım bu sorunu yasayan arkadaşların işine yarar..

Ayrıca combofix isimli dosyayı indirerek autorun.inf ve bulaşabileceği sürücüleri bu dosya ile temizleyebilirsiniz. Dosya boyu 1,5 Mb civarındadır.

Combofix Download: DOWNLOAD İÇİN TIKLAYIN ! 
Konu alıntıdır. Umarım yardımcı olabilmişimdir.

EkleBunu Sosyal Paylaşım Butonu

Bu Yazıyı Paylaşın


« Ulusal İşletim Sistemimiz Pardus   |   İdefixe olmuş İdefix »

 


Yorumlar

Kullanıcı girişi yaparak ya da zorunlu olan * alanlarını doldurarak yorum yapabilirsiniz.

İsminiz *

Email adresiniz *

Web sitesiz

Mesajınızı buraya yazabilirsiniz:

Toplam 8 yorum var.

  1. www.tusul.com | 06 Mart 2008, 10:35

    Gizli Dosyaları Görünür Hale Getirememe Sorunun Çözümü…

    Bugün karşılaştığım bir trojan türünden bahsetmek istiyorum. Bulaştığı bilgisayara ilk önce internet üzerinden geldiğini düşündüğüm ama sonradan flash disk üzerinden bulaştığını öğrendiğim bu truva atının genel tanımla…

  2. webiket.net | 06 Mart 2008, 10:38

    Gizli Dosyaları Görünür Hale Getirememe Sorunun Çözümü…

    Bugün karşılaştığım bir trojan türünden bahsetmek istiyorum. Bulaştığı bilgisayara ilk önce internet üzerinden geldiğini düşündüğüm ama sonradan flash disk üzerinden bulaştığını öğrendiğim bu truva atının genel tanımla…

  3. 100puan.com | 06 Mart 2008, 14:12

    Gizli Dosyaları Görünür Hale Getirememe Sorunun Çözümü…

    Gizli Dosyaları Görünür Hale Getirememe Sorunun Çözümüne buradan ulaşabilirsiniz….

  4. İmlerim | 06 Mart 2008, 14:42

    Merhaba, aynı sorunu yaşamış biri olarak şunu da eklemek istiyorum… Bu trojan bilgisayarın güvenli kipte açılmasını da engellemektedir…
    Bu sorunu çözmek için de http://im.hitkafe.net/6a51c2 adresindeki safemode.reg dosyasını indirip, kayıt defterine eklemek gerekiyor…

    Bu çözümü bulmak, tam olarak sorunun neden kaynaklandığını bilmediğim için beni günlerce uğraştırmıştı… Umarım aynı sorunu yaşayan arkadaşlara yardımcı olur…

    Teşekkürler. Evet bak bilmiyordum bunu. Linkini kısalttım cok fazla uzundu.

  5. mesut akcan | 06 Mart 2008, 15:54

    http://im.hitkafe.net/c4ecd8

    sayfamda bu işin özünü yazmıştım.
    ne çabuk yayılmış çeşitli sitelere. tabii eklemeler de olmuş.

    Evet doğrudur. Seninde linkini kısalttım. Gerçekten faydalı bir makale olmuş.

  6. adnan | 24 Mart 2008, 22:03

    kardeş çok tşk ederim gerçekten çok iyi bi bilgi çünü bu sorun bu aralar gördüğüm ve en çok rastlanan sorunlardan biri 4 ay önce başıma geldi ben önce local diskleri formatladım ve bi daha takmadım çünkü bu virüsün çalışma prensibi zaten otomatik açılım neyse daha sonra pc ye format attım ve bu şekilde sorun halloldu

  7. burak | 05 Nisan 2008, 02:22

    allah razı olsun dostum harikasın çok sağolasın

  8. AHMET SARIGÖL | 20 Mayıs 2008, 23:36

    indirdim
    fakat
    eski sürümmüş galiba
    bu uyarıyı verdi

    THİS COPY ComboFix has expired.
    Please download an updated copy.

    başka alternatif
    bir program werirmisiniz
    yada yeni sürümmmm :(

Kapat
E-posta ile paylaş