Rezil bir virüs sorunu !

Merhaba , yukarıda anlatılan bazı yöntemler sadece usb belleğinizi temizler sisteme sızmış olan virüsü temizleyemez.. Kısayol virüsü usb bellek içeriisndeki tüm dosyaları isimsiz (alt + 255) bir klosöre taşıyor ardından o klosörü sistem dosyasına çevirip gizliyor yani attrib kullanıyor. Usb içerisnde (ana dizinde) .lnk + .inf + .nfc +.fat32 +.ini + isimsiz klosör dosyaları bulunuyor. Bunlardan .nfc , .fat32 , .ini dosyaları aslında birer .dll dir sadece uzantıları farklı.. Kısayol ise System32\rundll32.exe sayesnde .nfc .fat32 .ini dosyalarını çalıştırıyor.. rundll32.exe bilgisayardaki .dll dosyalarını çalıştıran bir yazılımdır. Bu virüsün 25 çeşidini tespit ettim. Virüstotalde aratırsanız TrustedInstaller.exe diye tarama sonuçlarına ulaşabilirsiniz. Virüsü temizlemek biraz zahmetli sistemde birçok klosöre bulaşıyor fakat genel olarak

 C:\DOCUME~1\User\LOCALS~1\Temp\TrustedInstaller.exe 

C:\DOCUME~1\User\LOCALS~1\Temp\_install_\msiexec.exe

C:\DOCUME~1\User\LOCALS~1\Temp\03.tmp

bu dizinlerde  bulunuyor. Bunları silmek için öncelikle görev yöneticinizden wuauclt.exe , rundll32.exe varsa TrustedInstaller.exe , msiexec.exe sonlandırıp ardından belirtilen klosörlerden silebilirsiniz. usb belleğiniz için ise Klosör seçeneklerinden öncelikle Korunan İşletim Sistemi Dosyaları Gizle seçeneğindeki tiki kaldırıp , Gizli dosyaları göster tikini işaretleyiniz artık usb belleğinizdeki gizli dosyaları görebilirsiniz.. isimsiz klosör haricinde .nfc .fat32 .lnk .ini .inf dosyalarını siliniz ve isimsiz klosörün içindeki dosyları ana dizine taşıyınız ardından isimsiz klosörüde silebilirsiniz. Virüs özellikle okulların baş belası her baktığım forum , site de karşılaşıyorum bende biraz araştırma yaptım bulduklarımı sizlerle paylaşmak istedim.. Bunun la ilgili bir projem var , bu hafta içerisinde programım biter ise yayınlayacağım. İsterseniz buradan takip edebilirsiniz https://www.facebook.com/Turkosoft  

Turkosoft Corporation

Arkadaşlar aynı virüs banada bulaşmıştı. Dershaneye yeni akıllı tahtalar gelmişti bu sene. Şerefsizin biri usb ile bizim akıllı tahtaya virüsü yüklemiş. Tabi hocalarda konuları falan atmak için mecbur takıyolar USB belleklerini. Önce onlardan hocaların konularını indirdikleri ana pcye geçti. Tabi ordandan tüm dershaneye. Banada hoca sınıfta izlettirmek için film atmaya gitmişti ve öyle bulaşmıştı. Tabi bu virüs yüzüne benim flashtakilerde görünmez sistem klasörüne taşındı. Daha sonra eve geldiğimde flashımı açtığımda mecbur o kısayolu kullanmak zorunda kalmıştım. Kısayolu tam açtım Avast hemen "LNK:FakeFolder-B[Trj]" hatası verdi ve kısayolu karantinaya aldı. Daha sonra tarama yaptığımda "N:/ /Mt2" klasörünü taradığını gördüm. Windows gezgininden / / klasörüne girmeye kalktığımda ise hata veriyordu. Tarama sonucu  birtek autorun.inf deki VBS:Malware-Gen i bulabildi ve temizleyebildi. Ama flashın içi hala dolu gözüküyo ama windowstan flash içine girince hiçbir şey göremiyordum. google amcada yaptığım birkaç araştırma sonucu Flashın içini WinRar ile açtım. Birde baktım daha ne pislikler varmış da benim haberim yokmuş. Önce ana dizindeki index.inf gibi klasörü yokmuş gibi gösteren virüsleri gördüm. Önce onları sildim. sonra / / klasörüne erişimi engelleyen virüsü ise / / klasörü içindeki başka bir autorun.inf ve alt dosyalarını gördüm. onlarıda temizledikten sonra WinRar üstünden / / klasöründeki dosyalarımı ana dizine aktardım. Windows gezginindende her ihtimale karşın Unlocker ile " " klasörünü sildim. Avast'ın başlangıçta uyarması sayesinde rundll32.exe ye bulaşmasını engellenmiş oldu. Bu sayede virüs bilgisayara kendini atamadan engellenip silinmiş oldu. Yani tamamen sistem virüsten temizlenmiş oldu. Artık gene öyle bir durum olduğunda virüsleri hiç çalıştırmadan direk WinRar sayesinde siliyorum.
Yani ne biçimlendirmeye gerek kalıyor ne kurtarma yazılımına nede fazladan antivirüse.... Avast + WinRar virüsü sistemden temizliyor. Genede hala bulaşan arkadaşlara bir çözüm önerisi olarak bulunsun :)

usbshow1.0 programı ile gizli dosyaları görebilirsiniz.
program sizin yerinize attrib komutunu kullanır ve autorun.inf, desktop.ini, Removable Drive (8GB).lnk gibi gereksiz dosyaları siler.

http://www.usbshow.net

kısa basit ve kullanışlı. herkeste işe yarar mı bilmiyorum. klasör seçeneklerinden gizli klasörleri görünür yap dedim ayrıca aynı yerden gizli sistem dosyalarını da görünür yap dedim (sadece birinciyi yapınca olmadı) dosyalarıma ulaştım. sonra usb ye format attım. ortalık tertemiz oldu. virüsü temizlemek kadar dosyalar da önemli.

Konuya katkım olması açısından denediğim bazı yöntemleri yazacağım. Bu konuda yorum yapan arkadaşlar çözümün belli bir aşamasını anlatmışlar, bunlarda güzel. Fakat konu köklü bir çözüme kavuşmamış, parça parça kalmış. Konu ile ilgili etkili bir çalışma yaptım. Parçaları birleştirerek bütünü oluşturmaya çalıştım. Umarım faydalı olur. Flash diske iç içe iki klasör oluşturup diskin erişim izin ayarlarını değiştirerek dosya ile klasörlerin gizli-görünmez olmasını ve virüs girmesini engellemiş oldum. Yazım uzun olduğu için kendi sitemin linkini vereceğim. Lütfen dikkatli bir şekilde okuyun ve varsa önerilerinizi yazın. http://sevimbay.net/usb-flash-disk-kisayol-virusu-ve-cozumu.html