buradan indirin.rar şifresi =grafakir.blogcu yada buraya bir göz atın
inen dosyayı masaüstünde çalıştırın.her gelen uyarı sayfasında tamamı tıklayın.çıkarılabilir diskleri pc ye taktığınızda açmadan önce bunu mutlaka
uygulayın.
diğer bilgiler
Gizli dosya ve klasörlerinizi göremiyorsanız, gizli dosya ve klasörleri göster dediğinizde bu seçenek aktif olmuyorsa bilgisayarınıza kavo.exe ckvo.exe amvo.exe tavo.exe lere çözüm virüsü bulaşmış demektir.Bu virüsü hiç bir antivirüs programı tanıyamıyor malesef. Virüsün kendiside gizli çalışıyor ve bütün disklere kendini kopyalıyor. Gizli olduğu için arattığınızda bulamazsınız. Ama bu virüsü temizlemenin çözümü var.
Öncelikle bu virüsün devamı niteliğinde olan bir kaç virüs ismide mevcut.
Bunlar sırası ile şöyle:
FF[1].EXE CFV90H.COM UBS[1].EXE 16820503.SVD FF.EXE UBS.EXE DPTRWS~1.EXE NTPHYY.COM ZZ.EXE ZZ[1].EXE 86022975.DAT DPTRWE~1.EXE 21924277.SVD 43948862.DAT RTNLPIPU.COM B2CFCEEC3E52DC4A8DA9537D882CEBF5.EXE DPTRRSIBBB-807.PMS.EXE DPTRRS~1.EXE 96399351.DAT M6DQM2VD.EXE 31677373.SVD 86944912.DAT 78918808.EXE YY.EXE 74819404.EXE 10374849.EXE 89480437.COM 58682999.COM 69596047.EXE NTDELECT.COM 74192017.EX 72482835.COM 70297129.EX 59632795.COM 20399194.VEX 06735693.EXE UBS[2].EXE 80291247.EXE 02872284.COM 19798851.EXE 37055584.COM 08438936.COM 12237707.COM A0167952.COM A0169906.COM A0170906.COM A0170925.COM A0171064.COM A0171403.COM A0167954.COM A0169908.COM A0170927.COM A0171066.COM A0171405.COM A0167956.COM A0169910.COM A0170929.COM A0171068.COM A0171407.COM 90390086.COM
.regedite zarar veriyor
.gizli dosyaları göremiyorsun
.işlemciyi ağırlaştırıyor
Sistemde sonradan meydana gelecek ciddi boyutta yaralar açan bu virüsün çözümü öyle virüs programlarınızda olmuyor. Karspersky ve avastı denedim. Ayrıca bunun nazarında bir çok virüs koruma ve trojan koruma programı ile de tarattım. Programların bir kısmı buluyor ama sistemde gizli olan dosyasını silemediği için sistem açılıp kapandıktan sonra yeniden devreye giriyor. İşte burada sizlere çok ama çok yardımcı olacak bir program veriyorum.
Ama her ne kadar da sistemi bu virüslerden temizlesede aynı zamanda sistemide tamir etmek gibi bir özelliğide mevcut.
Sizin yapmanız gereken programı çalıştırmak ve çıkan iletilere ok demek. Her okey dediğinizde sisteminize yerleşen virüsü siliyor ve sildiği gibi de tamirinide yapıyor. kısa ibr sürede sistemin rahatladığını kendinizde fark edeceksiniz.
Ayrıca Not olarakda şunu ekliyeyim. Her ne kadar da virüsü temizlesede ( ama kesin temizliyor ) Siz sistemi güvenli kipte çalıştırarak bir kerede daha virüs programı ile taratmanızda fayda vardır.
Virüsün bulaştığı yer ise şöyle :
c:windowssystem32tavo1.dll
c:windowssystem32tavo.exe
c:windowssystem32kavo1.dll
c:windowssystem32kavo0.dll
c:windowssystem32kavo.exe
c:1i.com
programı çalıştırdıktan sonra sistem32 içine girdiğinizde zaten göreceksiniz orada olduğunu. Eğer böyle bir şikayeti olan varsa tabiki.
Eklentiden indirebilirsiniz. Dosya boyutu 1 Kb'tır.
Bu dosya çalıştırabilir bir exe dosya değildir. Bu bir based script dosyasıdır. Üzerine tıklama ile çalışıyor. Ancak bir raporlama sistemi var. Buda karşına çıkacak olan uyarı pencereleri ile kapsamlı. Bu çıkan uyarı pencerelerini okeyleyerek program ilerleme yapıyor. Sistem çalışması çok basit ve dosyanın küçüklüğüde sizlere yanıltıcı gelmesin. Çok faydalıdır. Yazılım microsoft tarafındanda test edilip kullanılmıştır. Gerekli yerlerde sistem tamiri için önerilen bir yazılımdır.
Sizlere çalışma protokolünden bir komud dizimini yazayım. Yazılımdan anlayanlar bunun işlevini çok kolay anlıyacaklardır. Yaptığı işide gösteriyor zaten...
CODE:
.................................................. ..................................
For Each element In colRegexMatches1
element = Replace(element,"=","")
WScript.Echo "Proceeding to remove file of virus :" & element
For Each objDrive in colDrives
If objDrive.IsReady = True Then
Wscript.Echo "Clean drive: " & objDrive.DriveLetter
nret=geekside.Run("cmd /C taskkill /f /im amvo.exe",0,TRUE)
nret=geekside.Run("cmd /C taskkill /f /im avpo.exe",0,TRUE)
nret=geekside.Run("cmd /C taskkill /f /im semo2x.exe.tmp",0,TRUE)
nret=geekside.Run("cmd /C taskkill /f /im semo2x.exe",0,TRUE)
nret=geekside.Run("cmd /C taskkill /f /im help.exe.tmp",0,TRUE)
nret=geekside.Run("cmd /C attrib -s -h -r " &objDrive.DriveLetter&":" & element &"",0,TRUE)
nret=geekside.Run("cmd /C cd & del "&objDrive.DriveLetter&":" & element & "/f /q /a",0,TRUE)
nret=geekside.Run("cmd /C cd & del "&objDrive.DriveLetter&":autorun.inf",0,TRUE)
End If
Next
i = i + 1
.................................................. ..................................
Yukarıda belirttiğim gibi sistem komut yönetimi ile çalışmakta ve cmd sistemini yani başlat çalıştır sistemini kullanarak sisteme komutlar vermekte. Ve bu komutlarla gerekli işleri yapıyor.
Ayrıca şunuda belirteyim bazı paylaşım forumlarında paylaşım yapan arkadaşların yaptıklarını inceledim. Kulaktan dolma sistem komutlarını yazıp uygulamanızı isteyebilirler. Sakın bunlara kanmayın. Sistem içinden belki dosya siliyor bunu bilemezseniz yada farkında olmadan yanlış komut girerseniz sistemi çökertmeye varan hasarlara sebeb olabilir. Tavsiyem üzerine o tip uygulamalardan kaçının.
Sizlere şöyle bir örnek daha vereyim.
Bu örnekte sistemden dosyayı hem siliyor ve düzeltilmesi gerekli olan çekirdek (kernell) dosyaları ve kayıt defterini tamir ettiğini çalışma prensibini incelediğinizde fark edeceksiniz.
CODE
.................................................. ..................................
WScript.Echo "Proceeding to restore registry to see Hidden Files"
nret31=geekside.Run("cmd /C reg delete HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurre ntVersionRun /v amva /f",0,TRUE)
nret32=geekside.Run("cmd /C reg delete HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurre ntVersionRun /v avpo /f",0,TRUE)
nret68=geekside.Run("cmd /C reg delete HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurre ntVersionRun /v avpa /f",0,TRUE)
nret33=geekside.Run("cmd /C reg add HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurre ntVersionExplorerAdvanced /v Hidden /t REG_DWORD /d 1 /f",0,TRUE)
nret43=geekside.Run("cmd /C reg add HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurre ntVersionExplorerAdvanced /v SuperHidden /t REG_DWORD /d 1 /f",0,TRUE)
nret44=geekside.Run("cmd /C reg add HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurre ntVersionExplorerAdvanced /v ShowSuperHidden /t REG_DWORD /d 1 /f",0,TRUE)
.................................................. ..................................
Özellile arkadaşlar programın özel bir kurulum şekli yok. Tek tıklama ile çalışan bir sistem. Sadece yapmanız gereken tıklamak ve karşınıza çıkan pencereleri okeylemek. İşlem bu kadar basit.
Klasör içinden çıkan programı masa üzeriğne yerleştirin ve üzerine çift tıklama yapın. Geri kalanları program kendi yapıyor.
Sonrada en temizi ise bu yönergelerin olduğu klasöre gidip belirttiğim dosyaları silin.
c:windowssystem32tavo1.dll
c:windowssystem32tavo.exe
c:windowssystem32kavo1.dll
c:windowssystem32kavo0.dll
c:windowssystem32kavo.exe
c:1i.com
yukarda belirttiğim klasörlerdekileri silin.
İşlem tamamen bitti.
Birkaç arkadaşın bilgisayarına bu işlemi yaptım.ilk etapta sisteme format atmak istemişlerdi. Ama yedeklerinin olduğunu söylediler. Sonradan da yedeklerinin içinde virüs tespiti bulduk.
Ancak bunu şöyle bulduk. Karspersky kullanıyordu. İlk önce taramada hiç bişey bulamadık. Sistem temiz çıktı. Gel gelelim bu programı çalıştırdıkdan sonra karspersky birden coştu.
Anlıyacağınız sisteme kendini çok iyi modifiye ediyor. Ve gizli dosya olarak kalıyor. Dışa çıktığında ise karspersky bunu buluyor. Ayrıca Bunun üzerine sistemi Pc spydoctor ile tarattığınızda bu virüsün bıraktığı çekirdek dosyalarını da sildiğini göreceksiniz.
Örnek olarak aşağıda bulaşmış olupta bıraktığı izleri.
d:sistem volume information_retore{0e5ce978-b2da-4823-bf59-f6ceb9479ff8}a0000199.com
a0000192.com
a0000164.com
a0000158.com
a0000144.com
a0000137.com
a0000231.com
a0000197.com
a0000190.com
a0000162.com
a0000160.com
Çekirdek dosyalar genelde sistem volume içine yerleşmektedir. Onlarda gizli dosya olarak orada yer etmekte. Bunlarıda ayrıca ek bilgi olaraktan sizlere sunmak istedim.
Sistemi her türlü virüs programı ile taratabilirsiniz. Ancak bu virüsü bulmaları imkansız gibi bişey.
Ama işte bu program sayesinde gizli virüs ortaya çıkartıyor. Ve işte bundan sonra sizlere verdiğim yerlerdeki sistem32 içinde ki dosyaları silmeniz yeterli olacak. Ancak yaptığım araştırmalarda şunu gördüm XPtools programı bu virüsü görüyor. Ancak sadece engellemekle kalıyor. Sistem içinde çalışmasına devam ettiğinden virüs yine faaliyet gösteriyor.
Bu programın çalışma prensibi çok basit. Bir script olduğundan çalıştırdığınızda göreceksiniz ki sistemi çok güzel bir şekilde kontrol ediyor. Program üzerinde çalışmalar var.
sizlerin yapması gereken şimdilik sadece sistem32 içine yerleşen kavo.exe ve tavo.exe uzantılarını sildikten sonra elinizde bulunan virüs programları ile sistemi tekrar tekrar taratmanız ve buldunuz şüpheli olacak ne kadar dosya varsa onları silmeniz.
Virüsün muhtamel bulaşma yerleri. Ve virüsün şekil aldığı isimler yine aşağıda vermek istedim.
d:sistem volume information_retore{0e5ce978-b2da-4823-bf59-f6ceb9479ff8}a0000199.com
a0000192.com
a0000164
a0000158
a0000144
a0000137
a0000231
a0000197
a0000190
a0000162
a0000160
c:windowssystem32tavo1.dll
c:windowssystem32tavo.exe
c:windowssystem32kavo1.dll
c:windowssystem32kavo0.dll
c:windowssystem32kavo.exe
c:1i.com
virtool:win32/obfuscator.T
Unutmayın ki Bu dosyayı (c:1i.com) mutlaka silin. Bu tekrarlamasını sağlayan çalıştırma motoru.
.................................................. .........................................
Arkadaşlar şunu da belirteyim virüs online oyunlar üzerinden bulaşmakta. Örnek olarak Knight online ve benzeri oyunlar üzerinden sisteme bulaşıyor.
Şunu da belirteyim arkadaşlar oyuna takılan arkadaşların sorunlarından en büyük sorun oyunda ki elbise ve silahlarının çalındığıydı. İşte buna sebeb olan virüsün bu olduğu kanısındayım.
Çünkü oyun oynayan kişilere bu tip virüslerin sisteme yerleştirmek için sitelere yönlendirme yapıyorlar. Ve bunun doğrultusunda sistem içinde bir keyloger görevi gördüğü kanısındayım.
Oyun serverlarının ne kadar güvenli olduğunu söyleselerde bence bir açık var.
