tels.xls.exe virüsü

Pazar, 13 Aralık 2009 tarihinde oluşturuldu

Usb belleğimi Linuxu olan bir bilgisayara taktığım zaman tel.xls.exe isminda bir dosya görüyordum. Pek önemsemiyordum ve siliyordum. Siliyorum siliyorum ama geri geliyor. çıktı almak için diskim takıldığı zaman virüs programları virüsü tespit ediyordu. ben yine pek inanmıyor, sallamıyordum. çok çok solucandır diye düşünüyordum. çünkü bir zararını görmemiştim.  Biraz araştırınca bu dosyanın virüs olduğunu tespit ettim. öncelikle bu virüs her diske yerleşiyor. Her diskte tels.xls.exe ve autorun.inf adında dosya olarak kendine yer açıyor. Silsen bile direk ürüyor. Takılan her diske bulaşıyor çok kötü. Bir de gizli dosyaları göster denesiz bile göremiyorsunuz. Başka zararı elbette vardır fakat ben tespit edemedim şimdilik. ınşallah edemem :)

 Eğer bilgisayarınızda linux var ise çok kolay bir şekilde delete tuşu ile silebilirsiniz yok ise neler yapılacağını anlatayım...

 

Netten araştırırken şu bilgilere eriştim. Kaspersky buluyor ama temizliyemiyor, PREVXCSIFREE programını kullanın deniyordu. Programı kurdum bir sürü buldu. Bir sürü dediğim her sabit ve taşınabilir diskte 2şer dosya. Programa sil dedim lisans numarası istedi. O dosyaları sileyim dedim sildikçe tekrar ürediler. çünkü virüsün içerisinde kendi kendini durmadan üreten ve kopyalayıp çoğaltan autorun dosyası var. Sonra bir yöntem denemeye çalıştım.:

PREVXCSIFREE programı ile tüm virüsleri ve yerlerini tespit ettim. Bir kağıda not aldım. Eski DOS yöntemlerini kullanacaktım. Programın bulmuş olduğu dosyaların adı tels.xls.exe, autorun.inf, socks.exe, svchost.exe, filekan.exe ve session.exe. Bir kaç farklı isimli hali de varmış. Bunlardan tels.xls.exe ve autorun.inf her diskin kök dizininde mevcut. diğerleri isi Windows\sys32 ce windows dizinlerinde...

Bilgisayarı kapatıp yeniden açtım, açılma esnasında F8 tuşuna bastım ve komut istemiyle bilgisyarı açtım. Eski siyah ekran aracılığı ile tek tek yukarıda yazdığım dosyaların gizliliğini kaldırdım:

Attrib -r -h -s   "dosya adı".... Daha sonra
Del "dosya adı"

Tek tek tüm sabit ve taşınabilir disklere bunu uyguladım. Hatta bilgisatarınıza takılan fotoğraf makinesi bellekleri ve cep telefonları. hepsinde aynı işlemi yaptıktan sonra bilgisayarı kapattım açtım ve PREVXCSIFREE ile tekrar tarattım. Görünürde birşey yok gibiydi. Umarım olmaz da...

şimdi sırada virüsün bıraktığı etkiyi düzelmeye geldi sıra. Gizli dosyaları görememe konusunu çözmek gerekiyor.

Notepad'i açalım ve içine aşağıdaki satılarları yapıştırdıktan sonra dosyayı kayit.reg şeklinde kaydedip çalıştıralım:


"

Windows Registry Editor Version 5.00



[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden]



[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden]

"Text"="@shell32.dll,-30499"

"Type"="group"

"Bitmap"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,\

00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,53,00,\

48,00,45,00,4c,00,4c,00,33,00,32,00,2e,00,64,00,6c,00,6c,00,2c,00,34,00,00,\

00

"HelpID"="shell.hlp#51131"



[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN]

"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"

"Text"="@shell32.dll,-30501"

"Type"="radio"

"CheckedValue"=dword:00000002

"ValueName"="Hidden"

"DefaultValue"=dword:00000002

"HKeyRoot"=dword:80000001

"HelpID"="shell.hlp#51104"



[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]

"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"

"Text"="@shell32.dll,-30500"

"Type"="radio"

"CheckedValue"=dword:00000001

"ValueName"="Hidden"

"DefaultValue"=dword:00000002

"HKeyRoot"=dword:80000001

"HelpID"="shell.hlp#51105"



[HKEY_CURRENT_USER\Software\microsoft\Windows\CurrentVersion\Explorer\Advanced]

"Hidden"=dword:00000001


Yukarıdaki kodları yine bir siteden buldum tabiki... Hadi geçmiş olsun şimdilik. umarım kalıcı bir çözümdür... :))

bu ara önceden olsa bu durumlar olmazdı olsa bile şak diye bir çözüm üretilirdi ama sektörden uzaklaşınca insan paslanıyor, yaşlanıyor, unutuyor ve en önemlisi kendini geliştiremiyor...
Bilgisayar ile ilgili yan ürün, çevre ürünü ve yazılım konularında fikir ve görüş bildirirdim, şimdi ben yardım alıyorum :) olacak o kadar artık...

Gösterim: 2245