Slm arkadaşlar.. ben bi süredir fabrikada bu virüsle içli dışlı olduum için tecrübelerimi paylaşayım istedim.. Atası "amvo.exe" olan bu virüs tahmin edemiyceğiniz kadar çok isimle sisteme yayılabiliyor.. (amvo.exe, ckvo.exe, u.exe, 19.exe, svchost.exe, explore.exe, IEXPLORE.exe, anlamsız rakam ve harflerden oluşan random isimler v.s.....). Bu sayfa da bazı çözümler anlatılmış ve çalışır, fakat isim varyasyonu farklı bir virüse denk geldiğiniz zaman çözüm yarım kalacak ve kaldıınız yerden devam etmek zorunda kalacaksınız.
Çözüme geçelim;
Şimdi normal virüs vakalarında yapılması gereken ilk hareket, ctrl+alt+del tuş kombinasyonuyla ya da görev çubuğunda sağ tuş görev yöneticisi (Task Manager) yardımı ile şüphelenilen uygulamanın sonlandırılmasıdır. Eğer virüs sağlıklı olarak kapanırsa onu silememeniz için hiç bir sebep yoktur. Fakat bu tür durumlarda bazen "svchost.exe" ismiyle de varyasyonlarını makineye yayabilmektedir. Bu uygulamayı neden kapatamayız, çünkü sistemin en önemli uygulamasının adı da "svchost.exe" dir ve aynı isimle 6-7 tane kadar çalışmak zorundadır. hangisi gerçek hangisi fake ayırt etmek zor olacaktır. Dolayısıyla yapılması gereken en sağlıklı hareket; makineyi yeniden başlatıp siyah ekrandayken "f8" tuşuna devamlı basarak güvenli moda geçmek ve çalışmayı ordan yapmaktır.
Güvenli moda geçtikten sonra, "çalıştır" ekranına "msconfig" yazıp açılan menüden "başlangıç"ı seçip windows açılırken çalışan programların seçimini yapın. Eğer özel uygulamalar kullanmıyorsanır burda ki her şeyi kaldırabilirsiniz. Bu uygulamayı onaylayıp kapatmaya kalktığınızda "restart" edeyim mi diye sorar, siz "hayır"ı seçin, çünkü işimiz bitmedi. Şimdi sıra gizli dosyaların görünmesini engelleyen regedit kaydını düzeltmek.
(NOT: Bu işlemler sırasında "ASLA" C, D veya herhangi bir diski çift tıklayarak açmamanız gerekir, illa ki disklere girecekseniz "çalıştır"a "c:", "d:" yazarak girebilirsiniz)
Gizli dosyalar için regedit kaydını düzeltmek;
"çalıştır" > "regedit" > "enter"
"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\" path ine gidin, burada ki "CheckedValue" DWORD değerinin "0" olduğunu göreceksiniz. Çift tıklayarak açın bu değeri "1" yapın. "regedit"i kapatın. Makineyi restart edin ve tekrar güvenli modda açın.
Şimdi kontrolü virüsten aldık fakat hiçbir silme işlemi yapmadık, sıra onda. Yine güvenli modda çalışmaya devam ediyoruz. Tekra uyarıyorum C,D veya herhangi bir disk ASLA çift tıklayarak açılmayacak, yoksa en başa dönülür. "çalıştır"a "c:" enter yaparak C diskine eriştik. Üst menülerden "klasör seçenekleri"nde "görünüm" sekmesinde "gizli dosyaları göster" i işaretleyin, "korunan sitem dosyalarını gizle" işaretini kaldırın. ekranı onaylayın ve kaptın menüyü. göreceksinizki gizli dosyalar artık açılıyor. şimdi o bahsi geçen virüsleri silebiliriz. "Autorun.inf" dosyasının kesinlikle silinmesi gerekir. hangi .exe dosyasını sileceğinize karar veremediyseniz hiç olmazsa autorun.inf dosyasını açın open komutunda ki exe yi bulup silin. aynı işlemi D diski ve varsa diğer diskler içinde uygulayın.. autorun ı sildiğiniz için ilk başta diskler çift tıklayarak erişilemez halde olur. çalıştır c: ile erişebilirsiniz.. bu durum restart edilince düzelir. artık sisteme sağlam bir antivirüs kurma zamanı geldi. benim tavsiyem "Avira Antivir Personal Edition" dır. Antivirüs kurulup güncellendikten sonra tam tarama yaptırmasanız bile c:\windows\ dizini ve ana disk dizinleri taratılabilir, hatta taratılmalıdır. Çalışan bir virüsün üzerine kurulan antivirüs hiç bir işe yaramaz arkadaşlar, bu kadar işlemi bu yüzden yapıyoruz. siz siz olun antivirüssüz nette dolaşmayın, flash veya harici disk takmayın.
Ayrıca yukarda ki arkadaşın verdiği dosya içinde bir script dosyası var regedit kayıtlarını otomatik düzeltiyor.. onu da kullanabilirsiniz.. ama bu yönteme yardımcı olarak.. tek başına işe yaramayabilir bazı durumlarda, arkadaşın hakkını da yememek lazım.
NOT: İş bitmeden diskleri sakın çift tıklayarak açmayın. sonra yöntem işe yaramıyor diye yazmayın.
Hadi geçmiş olsun..