Geçen gün, eşimin bilgisayarı artık yıllandığı için ona yeni bir bilgisayar almaya karar verdik. Bu defa kararımız bir dizüstü bilgisayar yerine netbook almak oldu. Netbook seçmek için tanınmış bir bilgisayar mağazasına gittik ve orada Asus’un “Eee pc 1101HA” modelini beğendik.

Eve gelir gelmez, başka hiç bir işlem yapmadan Avast’ı kurdum bilgisayara ve başladım bilgisayarı taramaya… O da ne! Avast’ın, Windows açılışı esnasında yaptığı virüs taramasında, system32 klasörü içinde bir tane Truva atı ile karşılaştım! Daha yeni alınmış bilgisayarda virüs çıkması epey şaşırttı beni. Bilgisayarı aldığım yeri arayıp durumu bildirdiğimde, “Siz virüsü silin. Olmazsa getirin tekrar Windows kurarız,” dediler!!

Neyse… Truva atını silip taramaya devam ettim. Tarama başka virüs göstermedi ve bilgisayar normal bir şekilde açıldı. Daha sonra bilgisayarı Windows içinden Avast’la bir kez daha tarattım. Burada herhangi bir virüs görünmedi…

Avast’ın öteki çoğu virüs tarayıcısında bulunmayan bir özelliği var: “Çıkarıma Dayalı Tarama” (Heuristic Scan).

Bildiğiniz gibi virüs tarayıcıları bir veritabanı üzerinden çalışır ve bu yüzden ancak tanıyabildikleri virüsleri tespit edebilirler. Yani eğer bir virüsün dünya üzerindeki ilk kurbanlarından biri sizseniz, kullandığınız virüs tarayıcısı bilgisayarınızdaki bu virüsü tespit edemez… Virüs tarayıcısını geliştiren ekip bu yeni virüsü veritabanına ekleyene kadar, o virüs bilgisayarınızda at koşturmaya devam edecektir.

İşte “Çıkarıma Dayalı Tarama” böyle durumlara karşı kullanılan bir yöntemdir. Bu yöntemde, virüs tarayıcısı, sisteminizdeki dosyaları analiz eder ve genel olarak virüslerin davranış şekliyle sizin sisteminizdeki dosyaların davranış şeklini birbiriyle karşılaştırır. Karşılaştırma sırasında bazı dosyaların sistem üzerinde neler yaptıklarına bakarak, “böyle bir şeyi ancak bir virüs yapar. Dolayısıyla bu dosya olsa olsa bir virüstür!” şeklinde bir sonuca varır ve sizi o dosyaya karşı uyarır. Çıkarıma dayalı taramanın yanlış alarm vermesi de çok sık rastlanan bir durumdur. Yani aslında virüs tarayıcınızın şüphelendiği dosya, aslında sistemde kullandığınız programlardan birine ait güvenli bir dosya da olabilir… O yüzden genellikle bu taramayı kullanan virüs tarayıcıları, şüpheli dosyayı dikkatle değerlendirmenizi ve bu dosyayı incelenmek üzere laboratuvarlarına göndermenizi isterler. Size bu analize dayanarak kesinlikle bu dosyayı silmenizi tavsiye etmezler.

Avast bilgisayar açıldıktan yaklaşık 8 dakika sonra böyle bir çıkarıma dayalı tarama işlemi gerçekleştiriyor. İşte ben de bilgisayarı açmış kurcalarken yaklaşık 8 dakika sonra karşıma bu bahsettiğim analizin sonuçları geldi ve Avast beni bilgisayarımdaki “C:\t2hjo0.exe” adlı bir şüpheli dosyaya karşı uyardı… Gidip “C:\” sürücüsüne baktığımda elbette ortada açık açık öyle bir dosya yoktu. Gizli dosyaları da göstermek için klasör ayarlarına gittim. Normal bir şekilde “gizli dosyaları göster” seçeneğini işaretledim. Ama “C:\” dizini içinde karşıma hiç bir gizli dosya çıkmadı!.. Bunun üzerine tekrar klasör ayarlarından “gizli dosyaları göster” seçeneğini kontrol ettiğimde, yaptığımı zannettiğim ayarın aslında yapılmamış olduğunu gördüm. Yani orada hâlâ “gizli dosyaları gösterme” seçeneği etkin görünüyordu… Neyse, herhalde kutucuğa düzgün basamadım diye düşünüp tekrar aynı işlemi yaptım. “C:\” dizinini kontrol ettim. Yine gizli dosya yok. Tekrar klasör ayarlarına baktığımda yine “gizli dosyaları gösterme” seçeneği etkindi… Böylece başımın belada olduğunu anladım! Belli ki sistemdeki “bir şey” benim gizli dosyaları göstermemi engelliyordu…

Bunun üzerine başladım araştırmaya… Önce Google’de bu “t2hjo0.exe” denen dosyayı arattım. http://www.threatexpert.com/report.aspx?md5=cd052f0b36b00be523dd990270846acf adresinde karşıma bu .exe dosyasıyla ilgili bazı bilgiler çıktı. Ama genel olarak Google bu dosya üzerine çok az sonuç veriyordu…

ThreatExpert sitesindeki bilgiye göre bu dosya merkeze 2 Ekim 2009 tarihinde bildirilmiş. Yani oldukça yeni bir virüsle karşı karşıya olma ihtimalim bir hayli yüksek… Ayrıca orada bu virüsle ilgili şöyle bir bilgi de veriliyor:

Sürücünün kök dizininde bir autorun.inf dosyası oluşturarak sürücüyü otomatik olarak çalışacak şekilde ayarlar. Eğer bu sürücü ağ üzerinden paylaşılıyorsa, uzaktaki bilgisayarlar bu paylaşım alanına erişmeye çalıştıklarında bu virüs o bilgisayarlara da bulaşabilir.

Yine aynı sitede verilen bilgiye göre bu virüs sistemde şu dosyaları oluşturuyor:

c:\autorun.inf

%Temp%\cvasds0.dll

%Temp%\cvasds1.dll

%Temp%\cvasds2.dll

%Temp%\herss.exe

C:\t2hjo0.exe

Ayrıca bu virüs yeni süreçler başlatabiliyor ve Windows kütüğünde de bazı değişiklikler yapabiliyor. Zaten benim gizli dosyaları gösteremememe sebep olan şey, bu virüsün kütükteki [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] adresinde yaptığı değişiklik…

Böylece Avast’ın çıkarıma dayalı tarama sonucu bulduğu şüpheli dosyanın gerçekten de bir virüs olduğundan emin olmuş oldum. Artık bundan sonra bu virüsü nasıl başımdan def edeceğimi bulmam gerekiyordu…

Önce birkaç farklı virüs tarayıcısıyla sistemi defalarca tarattım. Ne yazık ki hiç biri virüsü tespit edip silemedi…

Bunun üzerine virüsü elle temizlemeye çalışmaktan başka çarem kalmadı.

İlk iş olarak komut satırında “msconfig” komutunu vererek bilgisayar başlarken yüklenen programlara baktım. t2hjo0.exe virüsüyle bağlantılı olan “herss.exe” adlı program listede görünüyordu. Bunun solundaki onay kutusunu temizleyerek herss.exe’nin her Windows başlangıcında yüklenmesini engelledim.

Daha sonra bilgisayarı kapatıp “Güvenli Kipte” açtım. Yine komut satırında “cd C:\Documents and Settings\kullanıcı_adı\Local Settings\Temp” komutunu vererek Temp klasörüne gittim ve orada şu komutu verdim:

attrib -r -s -h herss.exe

“attrib”; Windows’ta dosyaların niteliklerini değiştirmemizi veya ayarlamamızı sağlayan bir komut. “-” işareti dosyanın bir niteliğini kaldırır, “+” işareti ise dosyaya bir niteliği verir. Ben yukarıdaki komutla “herss.exe” adlı dosyanın salt okunur niteliğini (-r), sistem dosyası olma niteliğini (-s) ve gizli dosya olma niteliğini (-h) kaldırmış oldum. Böylece “herss.exe” dosyası bir anda Temp klasörü içinde görünür hale geldi. Ancak biraz önce görünür olan dosya bir anda görünmez olunca, üç-dört saniye içinde bu dosyanın bütün niteliklerini kendi kendine geri kazandığını anladım… Bunun üzerine hızlı bir şekilde tekrar yukarıdaki komutu ve ayrıca şu komutu verdim:

del herss.exe

Böylece dosya, niteliklerini kazanmadan kendisini silmiş oldum.

“herss.exe” dosyasını sildik, ama işimiz bitmedi. Sırada silinmesi gereken “autorun.inf” ve “t2hjo0.exe” dosyaları var. Bu dosyaları da silmek için komut satırında C:\ dizininin altına gidip şu komutu verdim:

attrib -r -s -h autorun.inf

Yine hızlı bir şekilde şu komutla dosyanın adını “autorun.inf”ten “autorun.txt”ye değiştirdim:

ren autorun.inf autorun.txt

Virüsün bu autorun.inf dosyasını tekrar oluşturmasını engellemek için şu komutu verdim:

mkdir autorun.inf

Böylece “C:\” dizini altında “autorun.inf” adlı bir klasör oluşturmuş oldum. “C:\” dizini altında zaten “autorun.inf” adlı bir klasör olduğu için, Windows virüsün “autorun.inf” adlı bir dosya oluşturmasına izin vermez… İstersek daha sonra bu “autorun.inf” adlı klasörü gizli hale getirebiliriz. Bütün sürücülerinizde “autorun.inf” adlı bir klasör oluşturarak bendekine benzer virüslerin, sürücülerinizde “autorun.inf” adlı bir dosya oluşturmasını engelleyebilirsiniz.

Daha sonra autorun.txt dosyasının içeriğini görmek için şu komutu verdim:

type autorun.txt

Dosyanın içinde şunlar yazılıydı:

[AutoRun]

open=t2hjo0.exe

shell\open\command=t2hjo0.exe

Bingo! Virüsümüzün gerçek adını böylece öğrenmiş olduk: t2hjo0.exe. Autorun.inf dosyası bu .exe’yi çalıştıracak şekilde yazılmış…

Şimdi bu virüsü silebilmek için şu komutları verdim:

attrib -r -s -h t2hjo0.exe

del t2hjo0.exe

Artık autorun.txt dosyasıyla işimiz kalmadığı için onu da silebiliriz:

del autorun.txt

Yeni bilgisayarımız “C:\” sürücüsünün yanısıra bir de “D:\” sürücüsüne sahip olduğu için, yukarıda “C:\” sürücüsünde gerçekleştirdiğim bütün işlemleri “D:\” sürücüsünde de yaptım. Çünkü bu virüs bilgisayardaki bütün sürücülere demir atıyor… O yüzden bu işlemi, sahip olduğumuz bütün sürücülerde tekrar etmemiz gerekiyor.

Güvenli Kipteki işlemleri bitirdikten sonra bilgisayarı normal bir şekilde tekrar açtım. “msconfig” komutuyla başlangıç programlarını tekrar kontrol ettim. Daha önce Temp dizini içindeki “herss.exe” dosyasını sildiğim için bu dosya listede artık görünmüyordu.

Son temizliği yapmak için “Başlat > Çalıştır” yolunu takip ederek “regedit” komutuyla Windows kütüğüne girdim. Kütükte arama yaparak, “herss” ve “t2hjo” ifadelerini içeren bütün kayıtları sildim. Bu girişleri sildikten sonra kütükteki HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL adresine giderek “CheckedValue” değerini “1″ yaptım. Virüs bu değeri “0″a getirdiği için gizli dosyaları göremiyordum. Bu değişikliği yaptıktan sonra klasör ayarlarından gizli dosyaları gösterip gösteremediğimi kontrol ettim. Artık gizli dosyalar normal bir şekilde gösteriliyordu…

Son olarak yine Temp klasörünü kontrol ettim ve orada virüsün oluşturduğu dosyalardan biri olan “cvasds0.dll”yi görüp onu da sildim.

Bundan sonra da bilgisayarı tekrar başlattım. Birkaç virüs ve casus programıyla bilgisayarı dört-beş kez tarattım. Taramalar temiz çıkınca da rahatlamış oldum ve bilgisayarı eşime teslim ettim. Şu an için bilgisayarda bir sorun görünmüyor.

Bu arada anlattığım yöntem bizim bilgisayarda işe yaradı. Ama sizin bilgisayarda işe yarayacağı konusunda garanti veremem. Yani kısaca, buradaki yöntemi uygulayıp uygulamamak tamamen size kalmış. Sorumluluk sizin!…

Yukarıda anlattığım yöntem bu virüsü temizlemenin zor yolu. Bir de bu virüsten kurtulmanın çok daha kolay bir yolu var. Ne mi? Tabii ki bilgisayara formatı basıp herhangi bir GNU/Linux dağıtımını kurmak! Eşim GNU/Linux kullanmaya çekindiği için kendisini bir türlü ikna edemiyorum. Ama belki siz kendinizi, eşinizi, sevgilinizi veya dostlarınızı ikna edebilirsiniz…