Virüs

Yazıyı başlıkta tam olarak verdim, gerisi uygulamaya kalıyor. Ama hikayesini anlatmadan edemeyeceğim.

Autorun dediğimiz olay, WindowsXP'de yeni bir aygıt ya da disk bilgisayara takıldığında onun otomatik algılanıp kullanılması işlevine verilen ad. Mesela bir "flash" belleğiniz ya da CD'niz var, bilgisayara taktınız, hemen onu görüp gerekli otomatik kullanım seçeneklerini çalıştırmaya çalışıyor ve eğer içinde bir autorun.inf dosyası mevcutsa onun içinde yazılı olan şeyleri yapmaya çalışıyor. Bu autorun.inf dosyaları içine bir virüs, trojan ya da benzeri bir zararlı uygulama çalıştırılması komutu varsa, Windows "otomatik kullan"ıyor ve virüsü bilgisayarımıza indragandi yapıyor, çakaaaal.

İşte buna halk arasında USB virüsü diyenler var. Bunlar bulaştıklarında genelde pek anlaşılmayabiliyor. Zira şu sıralar casusluk yapan tipleri revaçta. Mesela bilgisayarınıza giriyor ve sizin şifrelerinizi, kredi kartı bilgilerinizi ve benzeri pek çok özel bilgiyi alıp mümkün olduğu ilk anda internet üzerinden yazarına servis ediyor. Dolayısıyla bilgisayar içinde bulunduğunu çaktırmaması lazım.

Neyse bu kadar zararlı olan bir şeye Windows neden hâlâ bir yama ya da eklenti vermiyor, bunu anlamış değilim ama çözümü var. İşte geliyor:  Devamını oku »

Biliyorum, hepiniz bilinçli internet kullanıcısısınız, ama insanın aklına arada bir olur olmaz şeyler geliyor. Dur bir de şuna bakayım ya da bir de bunu deneyeyim yollu merak giderme yolları arıyor olabilirsiniz. O yüzden baştan söyleyeyim, bugün sevgili küçük kardeşimin "aaa bakayım bu neymiş" şeklindeki yaklaşımı sayesinde bir MSN trojanı yemiş bulunduk.

Önce MSN açıkken şöyle bir mesaj geliyor, hem de en güvendiğiniz kişiden:

hahaha bugun 7 tane msn kirdim deli birsey bu ya kimseye soleme sakin http://www.msn-kirici.com burdan idiriyosun

Tabii ki bu mesaj aslında trojandan yani bir çeşit virüsten geliyor. Sonra o siteye girip programı indirip çalıştırırsanız vay halinize.

Program kendini sisteme mIRC adıyla tanıtıyor. Program Ekle/Kaldır'dan mIRC adlı programı kaldırmaya çalıştığınızda önce programı kapatmanız gerektiği şeklinde bir uyarı alıyorsunuz. Bu arada sağ alt köşede "Windows Haberleri" diye bir ikon çıkıyor, ki bu ikonun Windows'la hiç alakası yok. Üstelik çalışan programı kapatmak istediğinizde CTRL+ALT+DEL kombinasyonuyla Görev Yöneticisi'ni açtığınızda bu bahsettiğim trojan, Görev Yöneticisi'ni direk kapatıyor. O da yetmiyor, bir de Windows'un Registry ayarlarını değiştirerek kurtulmayı deneyeyim diyorsunuz ve Başlat>Çalıştır'dan regedit'i çalıştırmaya kalktığınızda yine bu trojan Registry penceresini de kapatıyor. Bu olaylar dönerken Avast yine hiçbir şey yapmıyor.

Bu bizim evdeki ikinci bilgisayar olduğundan hala Avast yüklü duruyordu. Biliyorsunuz, ben zaten Avast'a olan güvenimi çoktan kaybetmiştim, bu da cabası oldu. Neyse efendim, sonunda bastım formatı bilgisayara.

Siz siz olun, yok "kim beni engellemiş", yok "birinin şifresini nasıl kırarım" yollu yalanlara gelmeyin, şifrenizi her önünüze çıkan siteye girmeyin, bilmediğiniz programları da bilgisayarınıza yüklemeyin.

Eğer böyle bir olay başınıza geldiyse, sisteminizi tamamen temizledikten sonra da şifrelerinizi bir elden geçirseniz fena olmaz hani. Belki o virüs/trojan, sizin şifrenizi çoktan bir yerlere kaydetmiştir. Kim bilir...

Ekleme (Not): Bilgisayarınızı Güvenlik Kip ya da Güvenli Mod'da çalıştırdığınızda Program Ekle/Kaldır'dan "mIRC" adlı programı kaldırabiliyorsunuz ama ben şahsen bu trojanın tamamen kalkıp kalkmadığından emin değilim.

Ekleme (Not) 2: Güvenli Mod'da çalıştırmak için, bilgisayar başlarken F8 tuşuna basın.

Ekleme (Not) 3: "Bilgisayarınızı formatlamanız gerekiyor" demiyorum! "Format kesin çözüm olur" diyorum. Yorumlarla yazıya katkıda bulunarak diğer yöntemleri belirten arkadaşlara teşekkür ederim ama bahsettiklerimizin kesinliği hakkında bir şey diyemiyoruz. Yani, mIRC programını kaldırmış olmanız trojandan arındığınızı göstermez. Ya da ctrl+alt+del kombinasyonuyla bir şeyleri kapatmak, tüm virüs faaliyetlerini durdurmanızı kesin olarak sağlamayabilir.

USB virüsleri peşimi bırakmıyor. Anlamsız bir çekim kuvvetiyle USBlere girip ardından bilgisayarıma karargahlarını kuruyorlar. Haddini bilen misafire her zaman kapımız açık. Kendileri, başımız üstündeki yerlerinde kaykıla kaykıla oturabilirler. Ama mahrem bilgilerimi, şifrelerimi oraya buraya göndermek isteyen, üstelik zaten bana ancak yeten RAMlerimi kullanan hiçbir misafir misafir değildir benim gözümde.

Bunlardan kurtulmak için tabii ki sağlam bir virüs koruma programına ihtiyaç var ama takdir edersiniz ki fiyatlar her zaman el yakar. Ortalama bir bilgisayar kullanıcısının özellikle para verip Windows aldığına şahit oldunuz mu? Ben olmadım. Eğer bilgisayar alırken yanında verirlerse ne âlâ. Hülâsâ, bir antivirüs programına verecek param yoktu şimdiye kadar. O yüzden beleş bir antivirüs olan Avast'tan caymadım. Ama takdir edersiniz ki ucuz etin yahnisi yavan oluyor.

Denemek için Kaspersky Internet Security'yi kurdum. Sonuç göz kamaştırıcıydı. Bilgisayarımda virüsler cirit atıyordu ve Avast'ın ruhu bile duymamıştı şimdiye kadar. Kendilerini bir çırpıda silip attım. Elbet Kaspersky amca bu işi beleşe yapmazdı. Yapmadı da. Para istedi, ben de uyduruk bir seri numarasıyla işi bağlamaya yeltendim. Fakat o da ne! Beni kara listesine aldığını söyledi bir anda. Eh, sağlık olsun Kaspersky amca. Hayy'dan gelen de Hû'ya gitmiyor mu zaten? Kolay geldi kolaya gider. Ha biz bunun üstesinden gelmeyi bilmiyor muyuz sanki? İlla ki biliyoruz, bilmiyorsak da öğreniriz. Ama insan kendi de yazılımcı olunca, korsan program kullanımının vicdan azabını çok derinlerden ve yakıcı olarak hissediyor. Ya da belki bu durum bana hastır, ne bileyim.

Şimdi asıl mesele, bir antivirüs programı olmadan, bilgisayar nasıl korunur mevzuu. Derler ki Linux'ün patronu Linus Torvalds'ın bir lafı vardır: En güvenli bilgisayar fişi çekilmiş bilgisayardır. Bu rivayet doğruysa sanırım benim gibi dizüstü bilgisayar kullanıcılarını hesaba katmamıştı. Dolayısıyla kendi kendimizi kollamanın bir yolunu bulacağız artık. Bu "kendini kollama" olayının ehemmiyetli bir noktası, Windows'un Registry ayarlarıyla haşır neşir olmak galiba. Çünkü bilgisayarı mesken edinen virüsler en önce kendilerini Windows'a sistem bileşeni olarak takdim ediyorlar. Bir nevi köstebek hesabı, yerlerini sağlamlaştırıyorlar.

Neyse, ben kendi başıma illa ki virüs cemaatiyle başa çıkamam ama gördüm ki, gizli dosya ve klasörleri göster dememe rağmen Windows kendi bildiğini okuyup üflüyor. Hiçbir gizli dosyayı ve sistem dosyasını bana göstermiyor. O vakit, bu işin az önce bahsettiğim Registry ayarlarından kıvrılabileceğini hissettim.

Siz de aynı durumdan muzdaripseniz, ben bağlantı adresini vereyim, ona göre birşeyler yaparsınız artık. [Burada yazıyor]

Fotoğraf: dudemjk

Bilgisayarım deliler gibi çalışıyordu. Bir dizüstü bilgisayarı olmasına rağmen kendinden beklenmeyen bir çalışma azmi ve şevki göstererek, bir elektrik süpürgesi misali gürültü çıkarmaktan kendini alamıyordu. Ben de meraklanıp Ctrl+Alt+Del kombinasyonuyla içten içe neler çevirdiğine baktım.

İlk bakışta şüpheli bir şey yoktu. Ama "SD kullanımı" göstergesinde yani "Sayfa Dosyası Kullanımı" yazan göstergede kaynak kullanımı 1GB'a kadar çıkmıştı. Demek istediğim şey: bilgisayarım hiçbir işlem yapmadığı halde kendi kendine bi' işler çeviriyordu. Meğerse içten içe McaUpdate.exe diye bir dosya çalıştırıyormuş. Adı McAfee antivirüs programına ne kadar da benziyor. Ama ben McAfee de kullanmıyorum. Yine de "update" yazısını görünce bir işe yarıyor sanmıştım.

Neyse, bunu silmenin yolunu Gogıl amca sayesinde öğrendim. Şöyle ki;

1. CTRL+ALT+DEL yaptıktan sonra "işlemler" sekmesindeki McaUpdate.exe işlemini durduruyoruz.
2. C:\Program Files\Network Associates\Virus Scan\ klasörüne gidiyoruz.
3. Muhtemelen McaUpdate.exe dosyasını göremeyeceksiniz. Hemen yukarıdaki menüden: Araçlar > Klasör Seçenekleri > Görünüm'e girip Gelişmiş Ayarlar içindeki "Gizli dosya ve klasörleri göster"i işaretleyip uygula diyoruz. Tamam'a bastığımızda artık görünüyor olmalı. Şimdi bu dosyayı siliyoruz ve inşallah kendisinden kurtuluyoruz.

Ardından SD kullanımına bakınca 200 MB'a kadar indi. İyi oldu.

Not: Gizli dosyalar hâlâ görünmüyorsa başka bir virüs daha var demektir. O zaman şu yazıma bir göz atın:
Virüsüm güldür güldür, gel de yar beni güldür