Bir Virüs Macerası: t2hjo0.exe
Ben kendi bilgisayarlarımda yıllardır sadece GNU/Linux dağıtımlarını kullanıyorum. Benim Microsoft Windows’la tek temasım işyerindeki bilgisayarlar ve eşimin dizüstü bilgisayarı aracılığıyla oluyor. O yüzden uzun zamandır Windows virüsleri benim için bir dert değil…
Geçen gün, eşimin bilgisayarı artık yıllandığı için ona yeni bir bilgisayar almaya karar verdik. Bu defa kararımız bir dizüstü bilgisayar yerine netbook almak oldu. Netbook seçmek için tanınmış bir bilgisayar mağazasına gittik ve orada Asus’un “Eee pc 1101HA” modelini beğendik.
Eve gelir gelmez, başka hiç bir işlem yapmadan Avast’ı kurdum bilgisayara ve başladım bilgisayarı taramaya… O da ne! Avast’ın, Windows açılışı esnasında yaptığı virüs taramasında, system32 klasörü içinde bir tane Truva atı ile karşılaştım! Daha yeni alınmış bilgisayarda virüs çıkması epey şaşırttı beni. Bilgisayarı aldığım yeri arayıp durumu bildirdiğimde, “Siz virüsü silin. Olmazsa getirin tekrar Windows kurarız,” dediler!!
Neyse… Truva atını silip taramaya devam ettim. Tarama başka virüs göstermedi ve bilgisayar normal bir şekilde açıldı. Daha sonra bilgisayarı Windows içinden Avast’la bir kez daha tarattım. Burada herhangi bir virüs görünmedi…
Avast’ın öteki çoğu virüs tarayıcısında bulunmayan bir özelliği var: “Çıkarıma Dayalı Tarama” (Heuristic Scan).
Bildiğiniz gibi virüs tarayıcıları bir veritabanı üzerinden çalışır ve bu yüzden ancak tanıyabildikleri virüsleri tespit edebilirler. Yani eğer bir virüsün dünya üzerindeki ilk kurbanlarından biri sizseniz, kullandığınız virüs tarayıcısı bilgisayarınızdaki bu virüsü tespit edemez… Virüs tarayıcısını geliştiren ekip bu yeni virüsü veritabanına ekleyene kadar, o virüs bilgisayarınızda at koşturmaya devam edecektir.
İşte “Çıkarıma Dayalı Tarama” böyle durumlara karşı kullanılan bir yöntemdir. Bu yöntemde, virüs tarayıcısı, sisteminizdeki dosyaları analiz eder ve genel olarak virüslerin davranış şekliyle sizin sisteminizdeki dosyaların davranış şeklini birbiriyle karşılaştırır. Karşılaştırma sırasında bazı dosyaların sistem üzerinde neler yaptıklarına bakarak, “böyle bir şeyi ancak bir virüs yapar. Dolayısıyla bu dosya olsa olsa bir virüstür!” şeklinde bir sonuca varır ve sizi o dosyaya karşı uyarır. Çıkarıma dayalı taramanın yanlış alarm vermesi de çok sık rastlanan bir durumdur. Yani aslında virüs tarayıcınızın şüphelendiği dosya, aslında sistemde kullandığınız programlardan birine ait güvenli bir dosya da olabilir… O yüzden genellikle bu taramayı kullanan virüs tarayıcıları, şüpheli dosyayı dikkatle değerlendirmenizi ve bu dosyayı incelenmek üzere laboratuvarlarına göndermenizi isterler. Size bu analize dayanarak kesinlikle bu dosyayı silmenizi tavsiye etmezler.
Avast bilgisayar açıldıktan yaklaşık 8 dakika sonra böyle bir çıkarıma dayalı tarama işlemi gerçekleştiriyor. İşte ben de bilgisayarı açmış kurcalarken yaklaşık 8 dakika sonra karşıma bu bahsettiğim analizin sonuçları geldi ve Avast beni bilgisayarımdaki “C:\t2hjo0.exe” adlı bir şüpheli dosyaya karşı uyardı… Gidip “C:\” sürücüsüne baktığımda elbette ortada açık açık öyle bir dosya yoktu. Gizli dosyaları da göstermek için klasör ayarlarına gittim. Normal bir şekilde “gizli dosyaları göster” seçeneğini işaretledim. Ama “C:\” dizini içinde karşıma hiç bir gizli dosya çıkmadı!.. Bunun üzerine tekrar klasör ayarlarından “gizli dosyaları göster” seçeneğini kontrol ettiğimde, yaptığımı zannettiğim ayarın aslında yapılmamış olduğunu gördüm. Yani orada hâlâ “gizli dosyaları gösterme” seçeneği etkin görünüyordu… Neyse, herhalde kutucuğa düzgün basamadım diye düşünüp tekrar aynı işlemi yaptım. “C:\” dizinini kontrol ettim. Yine gizli dosya yok. Tekrar klasör ayarlarına baktığımda yine “gizli dosyaları gösterme” seçeneği etkindi… Böylece başımın belada olduğunu anladım! Belli ki sistemdeki “bir şey” benim gizli dosyaları göstermemi engelliyordu…
Bunun üzerine başladım araştırmaya… Önce Google’de bu “t2hjo0.exe” denen dosyayı arattım. http://www.threatexpert.com/report.aspx?md5=cd052f0b36b00be523dd990270846acf adresinde karşıma bu .exe dosyasıyla ilgili bazı bilgiler çıktı. Ama genel olarak Google bu dosya üzerine çok az sonuç veriyordu…
ThreatExpert sitesindeki bilgiye göre bu dosya merkeze 2 Ekim 2009 tarihinde bildirilmiş. Yani oldukça yeni bir virüsle karşı karşıya olma ihtimalim bir hayli yüksek… Ayrıca orada bu virüsle ilgili şöyle bir bilgi de veriliyor:
Sürücünün kök dizininde bir autorun.inf dosyası oluşturarak sürücüyü otomatik olarak çalışacak şekilde ayarlar. Eğer bu sürücü ağ üzerinden paylaşılıyorsa, uzaktaki bilgisayarlar bu paylaşım alanına erişmeye çalıştıklarında bu virüs o bilgisayarlara da bulaşabilir.
Yine aynı sitede verilen bilgiye göre bu virüs sistemde şu dosyaları oluşturuyor:
c:\autorun.inf
%Temp%\cvasds0.dll
%Temp%\cvasds1.dll
%Temp%\cvasds2.dll
%Temp%\herss.exe
C:\t2hjo0.exe
Ayrıca bu virüs yeni süreçler başlatabiliyor ve Windows kütüğünde de bazı değişiklikler yapabiliyor. Zaten benim gizli dosyaları gösteremememe sebep olan şey, bu virüsün kütükteki [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] adresinde yaptığı değişiklik…
Böylece Avast’ın çıkarıma dayalı tarama sonucu bulduğu şüpheli dosyanın gerçekten de bir virüs olduğundan emin olmuş oldum. Artık bundan sonra bu virüsü nasıl başımdan def edeceğimi bulmam gerekiyordu…
Önce birkaç farklı virüs tarayıcısıyla sistemi defalarca tarattım. Ne yazık ki hiç biri virüsü tespit edip silemedi…
Bunun üzerine virüsü elle temizlemeye çalışmaktan başka çarem kalmadı.
İlk iş olarak komut satırında “msconfig” komutunu vererek bilgisayar başlarken yüklenen programlara baktım. t2hjo0.exe virüsüyle bağlantılı olan “herss.exe” adlı program listede görünüyordu. Bunun solundaki onay kutusunu temizleyerek herss.exe’nin her Windows başlangıcında yüklenmesini engelledim.
Daha sonra bilgisayarı kapatıp “Güvenli Kipte” açtım. Yine komut satırında “cd C:\Documents and Settings\kullanıcı_adı\Local Settings\Temp” komutunu vererek Temp klasörüne gittim ve orada şu komutu verdim:
attrib -r -s -h herss.exe
“attrib”; Windows’ta dosyaların niteliklerini değiştirmemizi veya ayarlamamızı sağlayan bir komut. “-” işareti dosyanın bir niteliğini kaldırır, “+” işareti ise dosyaya bir niteliği verir. Ben yukarıdaki komutla “herss.exe” adlı dosyanın salt okunur niteliğini (-r), sistem dosyası olma niteliğini (-s) ve gizli dosya olma niteliğini (-h) kaldırmış oldum. Böylece “herss.exe” dosyası bir anda Temp klasörü içinde görünür hale geldi. Ancak biraz önce görünür olan dosya bir anda görünmez olunca, üç-dört saniye içinde bu dosyanın bütün niteliklerini kendi kendine geri kazandığını anladım… Bunun üzerine hızlı bir şekilde tekrar yukarıdaki komutu ve ayrıca şu komutu verdim:
del herss.exe
Böylece dosya, niteliklerini kazanmadan kendisini silmiş oldum.
“herss.exe” dosyasını sildik, ama işimiz bitmedi. Sırada silinmesi gereken “autorun.inf” ve “t2hjo0.exe” dosyaları var. Bu dosyaları da silmek için komut satırında C:\ dizininin altına gidip şu komutu verdim:
attrib -r -s -h autorun.inf
Yine hızlı bir şekilde şu komutla dosyanın adını “autorun.inf”ten “autorun.txt”ye değiştirdim:
ren autorun.inf autorun.txt
Virüsün bu autorun.inf dosyasını tekrar oluşturmasını engellemek için şu komutu verdim:
mkdir autorun.inf
Böylece “C:\” dizini altında “autorun.inf” adlı bir klasör oluşturmuş oldum. “C:\” dizini altında zaten “autorun.inf” adlı bir klasör olduğu için, Windows virüsün “autorun.inf” adlı bir dosya oluşturmasına izin vermez… İstersek daha sonra bu “autorun.inf” adlı klasörü gizli hale getirebiliriz. Bütün sürücülerinizde “autorun.inf” adlı bir klasör oluşturarak bendekine benzer virüslerin, sürücülerinizde “autorun.inf” adlı bir dosya oluşturmasını engelleyebilirsiniz.
Daha sonra autorun.txt dosyasının içeriğini görmek için şu komutu verdim:
type autorun.txt
Dosyanın içinde şunlar yazılıydı:
[AutoRun]
open=t2hjo0.exe
shell\open\command=t2hjo0.exe
Bingo! Virüsümüzün gerçek adını böylece öğrenmiş olduk: t2hjo0.exe. Autorun.inf dosyası bu .exe’yi çalıştıracak şekilde yazılmış…
Şimdi bu virüsü silebilmek için şu komutları verdim:
attrib -r -s -h t2hjo0.exe
del t2hjo0.exe
Artık autorun.txt dosyasıyla işimiz kalmadığı için onu da silebiliriz:
del autorun.txt
Yeni bilgisayarımız “C:\” sürücüsünün yanısıra bir de “D:\” sürücüsüne sahip olduğu için, yukarıda “C:\” sürücüsünde gerçekleştirdiğim bütün işlemleri “D:\” sürücüsünde de yaptım. Çünkü bu virüs bilgisayardaki bütün sürücülere demir atıyor… O yüzden bu işlemi, sahip olduğumuz bütün sürücülerde tekrar etmemiz gerekiyor.
Güvenli Kipteki işlemleri bitirdikten sonra bilgisayarı normal bir şekilde tekrar açtım. “msconfig” komutuyla başlangıç programlarını tekrar kontrol ettim. Daha önce Temp dizini içindeki “herss.exe” dosyasını sildiğim için bu dosya listede artık görünmüyordu.
Son temizliği yapmak için “Başlat > Çalıştır” yolunu takip ederek “regedit” komutuyla Windows kütüğüne girdim. Kütükte arama yaparak, “herss” ve “t2hjo” ifadelerini içeren bütün kayıtları sildim. Bu girişleri sildikten sonra kütükteki HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL adresine giderek “CheckedValue” değerini “1″ yaptım. Virüs bu değeri “0″a getirdiği için gizli dosyaları göremiyordum. Bu değişikliği yaptıktan sonra klasör ayarlarından gizli dosyaları gösterip gösteremediğimi kontrol ettim. Artık gizli dosyalar normal bir şekilde gösteriliyordu…
Son olarak yine Temp klasörünü kontrol ettim ve orada virüsün oluşturduğu dosyalardan biri olan “cvasds0.dll”yi görüp onu da sildim.
Bundan sonra da bilgisayarı tekrar başlattım. Birkaç virüs ve casus programıyla bilgisayarı dört-beş kez tarattım. Taramalar temiz çıkınca da rahatlamış oldum ve bilgisayarı eşime teslim ettim. Şu an için bilgisayarda bir sorun görünmüyor.
Bu arada anlattığım yöntem bizim bilgisayarda işe yaradı. Ama sizin bilgisayarda işe yarayacağı konusunda garanti veremem. Yani kısaca, buradaki yöntemi uygulayıp uygulamamak tamamen size kalmış. Sorumluluk sizin!… 
Yukarıda anlattığım yöntem bu virüsü temizlemenin zor yolu. Bir de bu virüsten kurtulmanın çok daha kolay bir yolu var. Ne mi? Tabii ki bilgisayara formatı basıp herhangi bir GNU/Linux dağıtımını kurmak! Eşim GNU/Linux kullanmaya çekindiği için kendisini bir türlü ikna edemiyorum. Ama belki siz kendinizi, eşinizi, sevgilinizi veya dostlarınızı ikna edebilirsiniz…
Loading ...
Çok teşekkürler böyle bir yazıyı bizimle paylaştığınız için. Ama sanırım sizin virüs biraz acele yazılmış
Zira benim bilgisayarımda bulunan virüs şu anda tam bir baş belası. Dedikleriniz işe yaramıyor. autorun.inf klasörünü silip tekrar oluşturuyor dosyasını 
Geliştirmişler anlayacağınız. Yinede bu anlatılanlardan yola çıkılarak güvenli kipte bu virüsü temizleyeceğim. Şimdiye kadar önemsemediğim için faaldi ama artık savaş zamanı 
t2hjo0.exe virüsü bana da bulaştı. Antivirüs proğramlarıyla silemedim. WinRAR proğramını açtım, C: konumundayken t2hjo0.exe ve autorun.inf dosyalarını sildim. Sorun bitti.
Nihat
kardeşim inanılmaz işime yaradı bu herss ile ilgili internetteki tek döküm sayende bilgisayarımdaki bi cok kurulumu yapmaktan kurtardın cok teşekkürler
İşinize yaradığına sevindim…:) İyi çalışmalar…
merhaba ben winrarda herss.exe virüsünü buldum ancak nasıl sileceğimi bulamadım
yardımcı olursanız sevinirim
çok sabırsızım galiba, tam yüklemeden yazmışım size, şimdi herss.exeyi sildim bakalım diğerleride mevcutmu:)
yazı için çok teşekkürler… Bilgisayarda bir terslik olduğunu sezmiş ve msconfig den herss.exe yi farketmiş, daha sonra ise google dan taratmıştım. Ancak işime sadece sizin yazınız yaradı.. Birde autorun.inf dosyasını txt formatına döndürüp type ladıktan sonra t2hjo0.exe ye rastlamadım bende çıkan nds0q.exe idi. Arkadaşlar illa o dosya olacak diye beklemesinler bence…
Yazının işinize yaradığına sevindim. Dediğiniz gibi autorun.inf dosyasındaki girdi “t2hjo0.exe” yerine bambaşka bir şey de olabilir. Avast beni uyardığı sırada doğrudan “t2hjo0.exe” adını da verdiği için virüsün adını erkenden öğrenebildim. Eğer Avast bu virüsün adını vermemiş olsaydı, autorun.inf’in içine bakana kadar virüsün adını öğrenemeyecektim. Elbette her autorun.inf dosyası virüslü olacak diye de bir kaide yok… Sonuçta autorun.inf, temelde başka bir dosyayı otomatik olarak açmak üzere tasarlanmış minik bir dosyadır yalnızca… Herhangi bir auturon.inf dosyasının içini açtığınızda masum bir HTML dosyasının adını da görebilirsiniz.
merhaba, gerçekten de bu virus konusunda webde bulabildiğim tek işe yarar metod sizinki oldu.
çok teşekkürler.
Aynı sorunu bilgisayarımda yaşayan biri olarak sorun çözümüne yönelik yaptığım araştırmalarda karşılaştığım en güzel açıklama. Teşekkür ediyorum.
Keşke Arama motorlarında yapılan aramalarda, Ego tatmini için oluşturulmuş forumlardan kurtulup, sizin yazdığınız türde yazılarla karşılaşabilsek.
Görünüşe göre gerçekten çok uğraşmışsın. Sorunu çözmüş olman ve bir çok kişiye bu sitede yayınlayarak yardımda bulunmuş olman güzel. Ama senin de dediğin gibi format atma yolu daha iyi olabilirdi. Çünkü yeni aldığın bir bilgisayar ve GNU/Linux bir dağıtım kurmamış/kurmayacak olsan bile en azından sıfırdan bir Windows kurulumu en güvenlisi olurdu. Umarım en kısa sürede eşini GNU/Linux kullanmaya ikna edersin
@POLAT, format insana hiçbir şey öğretmez!
Tamamen çaresiz kalınmadıkça bir bilgisayara format atmak bence çok verimsiz bir yöntem. Eşimin bilgisayarına GNU/Linux kurma meselesine gelince… Konusunu dahi açtırmıyor… 
Bende biliyorum formatın insana birşey öğretmediğini. Ama 12 sene Windows kullandım. Windows gibi bir işletim sistemi için bence bu kadar uğraşmaya değmez
vallahi bravo….. mesele format atmak değil… yapılan işi iki tane komut bence format atmak daha zor. mesele bu işi öğrenmiş olmakta. bundan böyle bu virüsün girmesine engel olmak için arkadaşımız iki dakikasını harcayacak, ama format atmayı tercih edenler ise en az 1,5 saat harcayacak… saygılar
alinti
Bingo! Virüsümüzün gerçek adını böylece öğrenmiş olduk: t2hjo0.exe. Autorun.inf dosyası bu .exe’yi çalıştıracak şekilde yazılmış…
siz t2hjo0.exe yi durdurmadiginiz icin tekrar kendini windowsun derinliklerine gommustur. kaldiki bu process durdurmus bile olsaniz otomatik olarak kendi tekrar calistiracaktir.