lsee.exe, ise.exe, Recycler Virus Analizi ( Worm_Autorun.CG )
Mayıs 6, 2008 5 Yorum
Worm çeşitleri gittikçe hızlı çoğalıyor.
Virus Adı: Worm_Autorun.CG ( recycler.exe,ise.exe,lsee.exe)
Platform: Tüm Windows Işletim sistemleri
Saklanma Şekli: Recycler Dosyasına bürünme ( Geri Dönüşüm Kutusu )
Çoğalma Şekli : Usb Flash Memory ve Network Share
USB storage araçlarından Recycler adıyla bulaşan bu virusu çalıştırdığınız anda ip (209.11.245.18) adresine bağlanıyor ve kendisine bir kullanıcı adı ve şifre oluşturarak hemen sahibinin ona komut vermesini beklemeye başlıyor.
Eğer wormu bulaştıran bir kişi yeterli önlemi almaz ise saldırgan bilgisayarınızda daha fazla komut çalıştırabiliyor. Mesela bilgisayarınızı internet bağlantınızı kullanarak başka bilgisayarlara bağlanmak ve bağlandığı bilgisayarlar ile beraber toplu olarak saldırılar düzenleyebilir. Ayrıca her bilgisayarı açtığınızda tekrar internete bağlanıp aynı işlemleri yapıyor ve wormu yazan kişiden komut bekliyor.
Bilgisayar bulaştıktan sonra tam olarak saklandığı yer ise
C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise.exe
Gelelim recycler (ise.exe,lsee.exe,desktop.ini ) virusunden nasıl kurtulacağınıza;
Öncelikle Başlat > Çalıştır command (cmd.exe) yi açalım.
Aşağıdaki komut ile Explorer (explorer.exe) yi sonlandıralım.
TASKKILL / f / im explorer.exe
cd \ yazın ve cd \Recycler klasörüne girin
\ S-1-5-21-1482476501-1644491937-682003330-1013 \ klasörünün salt okunur ve gizli dosya özelliklerini kaldırın.
attrib-r-s-h S-1-5-21-1482476501-1644491937-682003330-1013
Dosyanın ismini aşağıdaki komut ile değiştirin.
ren S-1-5-21-1482476501-1644491937-682003330-1013 omer
Windows Explorer ı açın.
explorer.exe.
omer Klasörünü bulun ve içindeki ise.exe, isee.exe and desktop.ini dosyalarını silin.
Başlat > Çalıştır a Regedit yazarak açılan pencerede;
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\
{08B0E5C0-4FCB-11CF-AAX5-90401C608512}
StubPath = “C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise.exe”
değerini silin. Bu ise.exe nin açılışta çalışmasını sağlayan regedit kaydıdır.
Tüm sürücülerde ( C:,D:,E:…) Autorun.inf klasörü oluşturacağından bu dosyayı notepad ile açarak içeriğini temizleyin.
Autorun.inf içeriği bu şekildedir;
[autorun]
open=RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise.exe
icon=%SystemRoot%\system32\SHELL32.dll,4
action=Open folder to view files
shell\open=Open
shell\open\command=RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise.exe
shell\open\default=1
Kolay Gelsin.
biraz karışık ama işe yaradı teşekküürler
merabalar ben bu yolu denedim ama başarısız oldum.. rice etsem ferda arkadaşım yada ömer bey bana yardımcı olabilir misiniz.. bu virüs yüzünden başım fena derecede belada :(( yardımlarınızı bekliyorum..
Merhaba Bu kouyla ilgili yukarıdaki işlemleri yapamadıysanız yada yaparken başarılı olamadıysanız http://www.cozumpark.com adresindeki forumdan sorularınızı sorabilrisiniz.
teşekkürler iyi çalışmalar..
işe yarar gibi görünüyo ama tam anlamıyla anlatılamamıs karmasık bı turlu dogru sekılde yapamadm