Anti Virüs Kullanmama rağmen sistemimde bir problem olduğundan şüphelenerek bulduğum ve Win32/Mebroot.k adlı virüs şu an aktif halen aktif durumda yeni kurbanlarını bekliyor,bilgisayarların boot sector'u ne bulaşarak sisteminize dışarıdan müdahale yapılacak hale getirmek için gerekli açıkları sağlayan virüs ne yazık ki format ile de silinemiyor çünkü bu bir boot sector(mbr) virüsü...
Bu virüsü çoğu anti-virüs tanımıyor bazı virüs programları ise tanısa bile silemiyor.Bunun sebebi ise sistemin yani windows'un çalışıyor olması.. Bu sorunu dos kipinde yada low level format ile çözebiliriz.
Virüsün sistem üzerinde tespit ettiğim etkileri:
1.Sistem çok yavaş çalışıyor (Zaten bu şekilde anlıyorsunuz)
2.Bilgisayarınız da rootkit adı verilen zararlı kodlar çalıştırıyor
3.Bilgisayarınıza Gizli ve tespit edilmesi zor keylogger'lar indiriyor.
4.Hedef şifre çalmak olduğu için sisteminiz her daim izleniyor.
5.Rus kaynaklı olması virüs'ü iki kat daha tehlikeli hale sokuyor çünkü bu işin uzmanı Ruslar.
Boot Sektör Virüsleri Nelerdir? Nasıl Temizlenir?
Boot Virüs'ü Boot dizinine kendini yazmış, ve silnmesi en zor virüslerdendir.Bu virüs trojan destek tabanlı çalışır
Boot sektör virüsleri, çeşitli aracı yollarla kendini boot sektörüne kopyalar ve normalde orda bulunan komutlar yerine kendi komutlarını çalıştırır. Bunun sonucunda bilgisayarımız sürücüye ulaşırken aktifleşir ve virüs bilgisyarımızda aktif hale gelir. Temizleme kısmına gelirsek, daha önce söylediğim gibi boot sektörleri format veya biçimlendirme yoluyla temizlenemez. Dolayısıyla bu sektörlere bulaşan virüsleri temizlemek için yapılması gereken.
- Tüm bilgisayardaki dosyaların yedeklerini alırsınız. Boot virüsleri kendilerini kopyalama yeteneğine sahiplerdir dolayısıyla bir sektöre bulaştıkları an diğer sürücülerin boot sektörlerinede kendilerini yerleştirirler.
- Yedekleme işleminden sonra bilgisayarı windows cd desteği ile başlatıp tüm bölümler tek tek kaldırılmalı (ham hale getirilmeli) ve yeniden oluşturulmalıdır. Daha sonra bölümler biçimlendirilerek bu virüsten kurtulmuş oluruz.
MBR Virüsleri Nelerdir? Nasıl Temizlenirler?
MBR (Master Boot Record ) virüsleride boot sektör virüsleri gibi özel yöntemlerle kendilerini bilgisayarın başlangıç sektörü olan MBR sektörüne kopyalarlar ve bilgisayar açılırken ilk olarak bu sektör flash tarafından okuncağı için MBR virüsü pc de aktif hale geçecektir.
MBR virüsünü temizlemek aslında çok basit bir şekilde gerçekleşir.
1.) Windows kurulum cd sini bilgisayarınıza takın.
2.) Bilgisayarınızı cdromdan başlata ayarlayın ve cd desteği ile başlatın.
3.) Okuma işlemleri bittikten sonra R (Onar) Tuşuna basarak onarma bölümüne geçin.
4.) Bu aşamdan sonra varsayılan klavye düzeninin seçilmesi için biraz bekleyin ve Hangi windows oturumu ile çalışmak istiyorsunuz sorusuna 1 yazarak Enter tuşuna basın. Sizden yönetici şifresi isterse boş bırakarak Enter tuşuna basın, eğer kabul etmezse, windows kurulurken girdiğiniz şifreyi yazarak işleme devam edin.
5.) Tüm bu aşamalardan sonra karşınıza gelen komut satırına fixmbr komutunu yazarak Enter'a basın ve karşınıza gelen kısımlardada devam ederek MBR sektörünüzü yeniden oluşturun. FIXMBR komutu msdos'da cd desteği ile başlatıldığı zaman çalışabilen bir komuttur. Normalde xp açıkken bu komutu çalıştıramazsınız.
Bu yaptığımız işlem sonucunda virüslü veya hatalı MBR bölümünü orjinal haliyle değiştirerek düzeltmiş olduk. Fakat Bu işlemlerden sonra bilgisayarınıza format atmanız gerekmektedir. Çünkü MBR virüsü sonucunda bilgisayarınıza bulaşan dosyalar çeşitli bölümerde kendilerini aktif ettikleri için ancak format yoluyla geçmektedirler. Dolayısıyla ilk önce dosya yedeklerini almalı daha sonra yukarıdaki komut yapısı uygulanmalı ve en son olarak format çekilerek virüsten kurtulmuş olacaksınız.
Bilgisayarımda MBR Virüsü Olduğunu Nasıl Anlarım?
- Bu virüs bilgisayarınızda bulunuyorsa, tüm işlemleriniz çok yavaş bir şekilde gerçekleşecektir. Mesela bir word dosyası açtığınızda bile eski performans ile karşılaştırılamıyacak kadar kötü bir durumda olduğunu göreceksiniz.
- Bilgisayarınızda görev yöneticisine baktığınız zaman 1.exe, 2.exe, 3.exe, 4.exe,..10.exe,...., 14.exe, 15.exe, 16.exe gibi isimlerde dosyaların çalıştığını göreceksiniz. Ne kadar sonlandırırsanız sonlandırın kenidini sürekli olarak açacaktır.
- Virüs bilgisayarınızda MBR den aldığı komutlarla çeşitli yazılımlar yükleyerek bilgisayarınıza zarar verebilir hatta geri getirilemeyen bilgi kayıpları oluşturabilir.
Temiz Sistemi Koruma:
-Virüsten korunmanız için önerimiz ilk olarak internette gezdiğiniz siteler konusunda dikkatli olun ikincisi ise eğer biosunuz destekliyorsa Enable Boot Sector Virus Protection - Boot Sektör Korumasını Aktifleştir seçeneğini enable yaparak MBR ve Boot sektörlerinize sonradan yazma yetkisini kaldırarak, işletim sisteminiz çalışıyor iken bu bölümlere bulaşabilecek virüsleri engellemiş olursunuz.
NOT:Virüs temizleme için anlatım windows xp üzerinden yapılmıştır.Benzer yollar ile diğer işletim sistemlerinde de virüs temizlenebilmektedir.
Alıntı değil derlemedir...
>mcafee23< (28.05.2010)
