Semptomlar : Virüs büyük olasılıkla cep telefonunuzdan dosya transferi yaparken bulaşmış olabilir.Benim gördüğüm Sony Ericsson marka bir telefondan yapılan resim transferi sırasında bu virüsün bilgisayara bulaştığı.Sistemin kullanıcısı da bunu onaylamıştı zaten.Herneyse, bilgisayara bulaşan bu virüs, bazı türler gibi ilk önce Explorer menüsünde ki Klasör Seçeneklerini yok ediyor.Böylece virüsü tanımlayamıyorsunuz, tanımlasanızda silemiyorsunuz.Çünkü görmediğiniz dosyayı nasıl sileceksiniz ? Aaa pardon bi saniye, DOS ortamında bunu yapabilirsiniz değil mi ? Acı gerçek ile yüzyüze geldiğim andı bu düşünceyi hayata geçirmeye çalışmak.Konsol uygulaması için komut satırına geçtiğiniz anda bilgisayarınız yeniden başlatılıyor.Yapacak bişey varmı diye düşünürken bir BAT dosyası yazmak geldi aklıma ama önce internetten kısa bir araştırma yaptım.Nerelere hangi dosyaları bulaştırıyordu ? Sonunda buldum ama detay vermiyorum.Zira yazının en sonunda çözümü belirtmiş olacağım.

BAT dosyasını hazırladım, ve sırayla önce bu araştırma sonucunda klasörlerin yerlerini belirlediğim dosyaları görünür hale getirdim.Sonra da sildirdim.İçim rahattı, nasılsa BAT dosyasını çalıştırdığım da konsol çalıştığı halde sistem kendini yeniden başlatmamıştı.Bu arada bir şeyi daha farkettim, konsol uygulamasında durduğunuz süreye endeksli olarak bilgisayarınız yeniden başlatılıyor.Benim hazırladığım BAT dosyası 1 saniye de çalışıp kapandığı için benim düşünceme göre kapanma süresinde önce deaktif olmasından dolayı bilgisayarı yeniden başlatamıyordu.

Bilgisayarı yeniden başlattım, ancak bu virüs yine aktifti.Sorun nerdeydi acaba diye düşünürken Registry kayıtlarına bakmak geldi aklıma.Ama ne mümkün, o da iptal edilmiş.Yani düşeceğiniz durumlar bunlar..

Artık bişeyler yapmak istemiyordum bu cihazın üzerinde.Yine diğer sistemde internet ortamında araştırma yapmaya devam edeyim dedim ve bu virüs için hazırlanmış bir yazılım buldum.

Sorununuzu çözmek için bu yazılımı indirip çalıştırın.Daha sonra da yeniden başlatın.

Gelelim neticeye, aslında yukarda adı geçen exe dosyası ya da sizinde Windows Başlangıç kaydında göreceğiniz bütün dosyalar tamamen yem olarak kullanılan dosyalar.Yani ortada bir yem var ve sizde benim gibi bu solucanı temizlemek için o dosyalar ile uğraşıyorken aslında geri planda 4-5 klasör içinde ki dosyalar vasıtası ile solucan çalışmaya devam ediyor.Nasıl bir mantık ama ?

Unutmadan, bu solucan bir takım yerlere kendini kopyalamayı da ihmal etmiyor.Varyantlar farklı olduğu için siz yine de Belgelerim klasörünü enine boyuna bir kontrol edin.İçinde tanıdık gelmeyen tüm klasörleri silin.Ayrıca virüs tarayıcınızla sisteminizi komple taramadan geçirmeyi de unutmayın.

Kolay gelsin

Semptomlar : Trojan sisteme flash disk içerisinden bulaşıyor.Ama bunun bu tür taşınabilir bellekler için yazıldığını düşünmüyorda değilim.Flash diski iki kez tıklayıp açmaya çalıştığınızda daha önceden “autorun.inf” dosyası flash diskin üzerinde kayıtlı olduğu için direkt olarak “u.bat” isimli dosyayı koşulsuz olarak çalıştırıyor.Antivirüs programınız varsa size bir uyarı verecektir ancak bu sorununuzu çözmüyor.Truva atı kendini önce system32 klasörü içine amvo.exe adı altında kaydediyor.İkinci adımda oluşturduğu amvo0.dll dosyasını windows klasörüne, u.bat ve autorun.inf dosyasını da tüm lokal sürücülere kopyalıyor.İşte şimdi yandınız, tabi bilgisayarınızı enfeksiyondan sonra yeninden başlattıysanız.Yeniden başlatma işlemi yapıldıysa artık lokal disklerinize ulaşamıyorsunuz demektir.Bu kadarla da bitmiyor.Artık gizli dosyaları görme seçeneğinizde istediğiniz gibi çalışmıyor.Yeniden başlatma işlemi olmadıysa işiniz daha kolay.

Çözüm : Hey gidi günler deyip DOS kullanabilen arkadaşlar kolları sıvasınlar.Bilmeyenlerde sıvasınlar, çünkü birazdan bi kaç dos komutu ile bu sorunu çözmeye çalışacağız :

- Ama önce CTRL+ALT+DEL yaparak görev yöneticisini çalıştırın.Gelen pencerede “İşlemler” bölümünde AMVO.EXE yazan satırı bulup seçerek “Görevi Sonlandır” butonuna basın.Gelen mesajı onaylayın.

- Sonra Başlat menüsünde ÇALIŞTIR uygulamasını açın ve CMD yazıp enter e basın

- Gelen pencere de gördüğünüz “C:>……..” varsayılan klasörünüzü gösterir.Bizim işimi sürücülerle olduğu için “CD” yazmalısınız.Bu sizin sürücü köküne ulaşmanızı sağlar ki bizim ilk işimiz orada.

- Artık yol olarak “C:>” görünüyorsa ilk komutumuz şu şekilde :

attrib -a -r -s -h autorun.inf ( ve enter )
attrib -a -r -s -h u.bat ( ve enter )

Burada ki amacımız hiç bir şekilde görünür hale getiremediğimiz bu dosyaları dos ortamında görünebilir hale getirmek.

- Şimdi de bu dosyaları silelim :

del autorun.inf ( ve enter )
del u.bat ( ve enter )

Bu iki dosya silindikten sonra varsa eğer diğer lokal disklere de yukarda ki komut satırı parametreleri ile ulaşıp o alanda ki autorun.inf ve u.bat dosyalarını silin.

- Şimdi ikinci aşamaya geçiyoruz.Bilgisayarına bu trojanı bulaştırmış ama yeniden başlatmamış olanlar bu kısımdan itibaren takip etmeliler.Onların işi daha kolay.Şimdi aynı komut satırında önce “cd windows” parametre sizi “c:>windows” alanına getirdikten sonra da “cd system32″ yazıp entere basın.Bu sizi “c:windowssystem32>” klasörüne getirmeli.

- Az önce ki gibi :

attrib -a -r -s -h amvo.exe ( ve enter )
attrib -a -r -s -h amvo0.dll ( ve enter )

yazıyoruz ve gizli dosyaların ortaya çıkmasını sağlıyoruz.

- Bu dosyaları siliyoruz :

del amvo.exe ( ve enter )
del amvo0.dll ( ve enter )

- Yapmamız gereken sonraki işlem konsol penceresini kapatıp yine başlat menüsünden ÇALIŞTIR uygulamasına MSCONFIG yazıp çalıştır demek.Karşınıza Sistem Yapılandırma Yardımcı Programı çıkacak.Burda BAŞLANGIÇ kartını yukardan seçin ve gelen listeden “AMVO.EXE” satırının yanında çentiği kaldırarak açılışta çalışmasını durdurun.

- Ve son işlem.Başlat menüsünde ki ÇALIŞTIR uygulamasına artık aşinayız.Bu kez oraya REGEDIT yazıyoruz.Karşımıza Kayıt Düzenleyici gelecek.Bu uygulama dikkatli kullanılması gereken bir uygulama.Yanlışlıkla yapılabilecek bir değişiklik dimyata giderken bulgurdan olmanıza neden olabilir.O yüzden sadece şunu yapın :

- F3 tuşuna basın
- Arama penceresine “AMVO.EXE” yazıp entere basın
- Bulduğu tek kayıt zaten onun kayıt anahtarı olacaktır.Lütfen onun bulduğu değeri silmeyin.Sol tarafa baktığınızda kayıt ağacına aslında ona ait bir klasör göreceksiniz.Üzerinde AMVO yazan bu klasörü iyice emin olduktan sonra silin.

- Bilgisayarınızı yeniden başlatın ve yeniden başlatma sonrasında lokal disklerinizin yine autorun ile açılıp açılmadığını kontrol edin.Eğer yine böyle bir durum varsa yukarda ki işlemleri tekrarlayın.

Yazıya 01-04-2008 Tarihli ek olarak :
Gün geçtikçe artan şikayetler sebebi nedeniyle, yabancı web sitelerden birinden bulduğum eksiklerini gidererek türkçeye çevirdiğim ve bu virüsün benim bulabildiğim varyasyonlarını temizleyen bir scripti buradan indirip çalıştırabilir ve bilgisayarınıza bulamış bu solucandan tümüyle kurtulabilirsiniz.Script yukarıda anlatılan işlemleri kendisi otomatik gerçekleştiriyor.Sadece işlemleri onaylamalısınız.

Bu yazı 1. yaşını doldurdu ve bu zaman içerisinde bu bela için farklı çözümler ortaya çıktı.Şimdi burayı tıklayıp indirin, çalıştırın ve sadece yönergeleri izleyin.

-