[Çözüldü]Flaş Bellek Üzerindeki Virüs Sorunu ?

Başlatan Geany, 03 Ağustos 2010 - 02:36:14

« önceki - sonraki »

0 Üyeler ve 1 Ziyaretçi konuyu incelemekte.

Yazdır
Aşağı git Sayfa1
Kullanıcı Eylemleri

Geany

03 Ağustos 2010 - 02:36:14 Son düzenlenme: 03 Ağustos 2010 - 07:27:45 Özer Yenihayat
Selamlar arkadaşlar..

İndirme işlemi için gittiğim cafeden farkında olmadan aldığım misafirden kurtulamıyorum.  :-\

Flash belleğe giren virüs her klasör ve dosyayla aynı isimde fakat (*.exe) uzantısıyla disk içerisinde dosya oluşturuyor.

Wine kurulu iken taktığımda "C:/" dizinine "Win/lsass.exe" olarak arkaplanda çalışan bir uygulama yerleştirdi.

Wine ile kullandığım program kalmadığı için wine ve PlayOnLinux gibi eklentileri kaldırdım. Diskteki kalıntılarını temizledim vesayre.

Şuan siz belleği taktığınızda karşınıza pencere açılıp disk içerisini görüntülüyor.Bende ise pencere açılıp anında kapanıyor ve boş olan çöp kutusuna 3-4 tane dosya ekliyor.  :-\

Bu dosyaları gerek mouse ile gerekse yönetici olduğum terminal üzerinden silemiyorum. Ubucleaner'da çöp kutusunu temizleyemedi.  :-\

Flash bellekte internetten çektiğim ıvır zıvır dışında önemli olan dosyalarımda var onları kurtarabilsem yeterli..

Aklıma gelen birkaç çözümü denedim. Onlarda şu şekilde,

Bilgisayarda Virtualbox üzerinde WinXp var. Onun üzerinden Avast ile temizlemeye kalktım fakat yazmaya karşı korumalı hatası verdi.

Bende Ubuntu üzerinde iken flash bellekteki tüm dosyaları ek bir klasöre kopyalamayı düşündüm. Daha sonra bu klasörü Xp içerisinde temizlerim mantığı ile..

Başlangıç;


Ve sonuç;


Resimden de anlayacağınız üzere, bana gerekli olan klasörleri atlayıp virüsün oluşturduğu (*.exe) uzantılı dosyaları kopyalıyor.  :-\

Normal de, [Çıktı-Gan-Moro-Net] isimli dosyalar bir klasör ve içlerinde benim sakladığım pdf uzantılı dosyalar var.

Komut satırından, ilgili alana gidip silmeye çalıştığımda yine sadece okuma yetkim olduğu uyarısını alıyorum ;


Diskteki tüm dosyaları kopyalamak değil de, taşımak istediğimde uçbirim kendi içinde döngüye giriyor;

Komutu girip, ekran görüntüsünü alana kadar geçen sürede kaydırma çubuğunun konumunu görüyorsunuz.  :-\

Bu komut sonucunda da, sonuç olarak yine kendi oluşturduğu dosyaları kopyalıyor.

Terminal üzerinden flash disk üzerindeki dosyaların chmod ayarlarıyla vesayre oynamaya çalıştığımda yine read only çıktısını alıyorum.

İşin ilginç yanı bu döngü olayından sonra terminali zorla kapatabilsemde, Ctrl+Alt+F1 ile konsola geçtiğimde orada başka bir döngü devam ediyor.

Bu sırada işlemci kullanımı ara sıra en üst seviyeye gelip fanlar deliriyor ve bilgisayara restart vesayre atarken doğrulama için benden kullanıcı şifremi istiyor.  :-\

Konsoldaki döngüyü ekran görüntüsü aracına süre vererek vesayre almaya çalıştım ama sadece siyah ekran olarak alıyor. Yazıları içermiyor.  :-\

Bu yazıyı yazarken video almaya denedim. Malesef onda da konsolu göstermiyor  :-\

Çok hızlı geçtiği için tam anlayamıyorum ama sanırım yazılanların anlamları şu; Fat sistemi sda1 üzerinde bulunamıyor. Erişim engellendi.  :-\

Bu mesajı yazarken arkaplanda, konsoldaki döngü devam ediyor ve fanlar yine uçmuş durumda. Restart atmadan önce sıcaklığı göstereyim :)


Çok uzun ve karmaşık bir şekilde anlattım farkındayım kusura bakmayın  ::)

Bir fikri olan var ise paylaşırsa sevinirim.. İlginiz için şimdiden teşekkürler.


hitokiri

#1
03 Ağustos 2010 - 03:29:48
flash diske format at olsun bitsin :)
silnemiyen dosyalara gelince de bi yeniden başlatıncada durum hâlâ aynımı yani çöpteki silinemiyenler ?
döngüyü sonlandırmak içinde terminali zorla kapatma bu işlem sanırım şişme yapıyor
onun yerine işlemi sonlandır
killall mv gibi



Mesaj tekrarı yüzünden mesajınız birleştirildi. Bu mesajın gönderim tarihi : 03 Ağustos 2010 - 03:33:06

birde şu çıktı dosyayı bulmanda yardımcı olabilir başka bi yerlere kendini attıysa
Kod Seç
sudo  find /|grep lsass.exe
biraz uzun sürücektir :)
virüsse bende de var
/xp/WINDOWS/system32/dllcache/lsass.exe :)

heartsmagic

#2
03 Ağustos 2010 - 03:41:11
Bu son zamanlarda görüğümüz virüs nasıl bir şeyse bellekleri yazmaya kapatıyor. Ubuntu üzerinde etki yapması da ilginç gelmişti bana. Bir şekilde başa çıkıyor demek ki. Dosyaların kurtarılması şart mı?
Hayattan çıkarı olmayanların, ölümden de çıkarı olmayacaktır.
Hayatlarıyla yanlış olanların ölümleriyle doğru olmalarına imkân var mıdır?

Böylece yalan, dünyanın düzenine dönüştürülüyor.

Geany

#3
03 Ağustos 2010 - 04:08:29
@Hitokiri, flaş belleği bilgisayardan çıkardığım anda çöp kutusundakiler de yok oluyor, tektar taktığımdaysa yeniden aynı dosyalar bana merhaba diyor :P

Bir de sendeki dosya sanırım sistem dosyası. Araştırdığım kadarıyla system32 dizini altındaki sistem dosyası haricinde ki ise virüs..

Bunu yazan kişiler, kullanıcılara yutturmak maksatıyla benzer isimde yapmışlar.Konular da Lsass -> lsass -> isass gibi bir sürü benzer isimde dosya ile karşılaştım.

Yine de güncel bir antivirüs ile taratsan fena olmaz. Fikir verene de bir bak değil mi ? Ne hâldeyim  :-X

@heartsmagic virüsün bu şekilde etki yapması beni de şaşırttı. Gerçi flaş belleği çıkarttığım anda kurtulabiliyorum. Windows üzerinde dizinlere truva atı bırakıp uzaktan bağlantı vesayre sağlıyor. Düşünüyorum da windows kullanıyor olsaydım şuan kim bilir neler ile uğraşıyordum  :-X

Soruya gelirsem, böyle bir soruya hiç bir zaman şart diyemem tabi ki.. :)

Sadece bir süredir sakladığım pdf dosyaları vardı ve çoğunu okumamıştım. Yine bulunur, sadece uğraştırır.

Kısa bir yolu vardır belki diye düşünerek konuyu açmıştım. Eğer uğraştıracak bir sorunsa ki öyle de görünüyor :) konuyu kapatabilirsin. Bir kaç pdf dosyası için kimseyi uğraştırmak istemem..

İlginiz için teşekkürler.. Bundan sonra flaş disk konusunda biraz daha dikkatli davranmam gerekecek onu öğrendim :)

heartsmagic

#4
03 Ağustos 2010 - 04:45:39
Konu çözülmediği için kapatmayalım, belki bilen birileri fikir verebilir.
Uğraşırız uğraşmasına da çözüm bulabilir miyiz bilmiyorum. Zira daha önce bu sorun için bellek biçimlendirmişti birileri sanıyorum. Hani fsck falan iş görür mü diye düşünüyorum.
Hayattan çıkarı olmayanların, ölümden de çıkarı olmayacaktır.
Hayatlarıyla yanlış olanların ölümleriyle doğru olmalarına imkân var mıdır?

Böylece yalan, dünyanın düzenine dönüştürülüyor.

Geany

#5
03 Ağustos 2010 - 05:02:13 Son düzenlenme: 03 Ağustos 2010 - 07:27:10 Özer Yenihayat
Bu konuyu açtıktan sonra restart atmıştım ve şuan bilgisayara flaş belleği taktığımda ayrı bir hata ile karşılaştım.

Şimdi de , Konum Bağlanamadı, Not Authozired. Konum Çıkarılamadı, Not Authozired. Uyarısı veriyor. Hem bağlayamıyorum hem çıkartamıyorum yani :)

Yetkiniz yok engelini aşamadım.   ::)


Mesaj tekrarı yüzünden mesajınız birleştirildi. Bu mesajın gönderim tarihi : 03 Ağustos 2010 - 07:27:10

Saat, 06:58 ve sorunu çözebildim :)

Flaş diski mount ettikten sonra, taşıma komutunu girerken "*" kullanarak hepsini çekmeye çalışmak yerine tek tek çekerek dosyaları alabildim.

Konunun ilk mesajındaki bu ekrana geldikten sonra;

Kopyalama işlemi yaptığımda "xxx dizini atlanıyor" mesajını verip diğer dosyayı alıyordu. Bende atladığı dosya/dizini komut içerisinde vereyim dedim ve aldım.
Kod Seç
mv /media/NYENIHAYAT/Moro/dosyaismi.pdf /home/yenihayat/Masaüstü/Hedef
Komunutu uyguladım ve "Hedef" klasörüme dosyaismi.pdf dosyası geldi. Bunu biraz daha değiştirip;
Kod Seç
mv /media/NYENIHAYAT/Moro/*.pdf /home/yenihayat/Masaüstü/Hedef
Şeklinde girdim. Tüm pdf dosyalarını verdi. Ancak (*.*) Yaptığımda işlev görmedi   ::)

Bundan sonrası zaten basit. Aynı komutu klasör ve dosya ismi/uzantıları değiştirerek tekrar tekrar kullandım. Bitişinde de diski biçimlendirdim.

Şuan tüm dosyaları kurtarmış buluyorum. :)

İyi çalışmalar..
Yazdır
Yukarı git Sayfa1
Kullanıcı Eylemleri