lsee.exe, ise.exe, Recycler Virus Analizi ( Worm_Autorun.CG )


Worm çeşitleri gittikçe hızlı çoğalıyor.

Virus Adı: Worm_Autorun.CG ( recycler.exe,ise.exe,lsee.exe)

Platform: Tüm Windows Işletim sistemleri

Saklanma Şekli: Recycler Dosyasına bürünme ( Geri Dönüşüm Kutusu )

Çoğalma Şekli : Usb Flash Memory ve Network Share

USB storage araçlarından Recycler adıyla bulaşan bu virusu çalıştırdığınız anda ip (209.11.245.18)  adresine bağlanıyor ve kendisine bir kullanıcı adı ve şifre oluşturarak hemen sahibinin ona komut vermesini beklemeye başlıyor.

Eğer wormu bulaştıran bir kişi yeterli önlemi almaz ise saldırgan bilgisayarınızda daha fazla komut çalıştırabiliyor. Mesela bilgisayarınızı internet bağlantınızı kullanarak başka bilgisayarlara bağlanmak ve bağlandığı bilgisayarlar ile beraber toplu olarak saldırılar düzenleyebilir.  Ayrıca her bilgisayarı açtığınızda tekrar internete bağlanıp aynı işlemleri yapıyor ve wormu yazan kişiden komut bekliyor.

Bilgisayar bulaştıktan sonra tam olarak saklandığı yer ise

C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise.exe

Gelelim recycler (ise.exe,lsee.exe,desktop.ini ) virusunden nasıl kurtulacağınıza;

Öncelikle Başlat > Çalıştır command (cmd.exe) yi açalım.

Aşağıdaki komut ile Explorer (explorer.exe) yi sonlandıralım.

TASKKILL / f / im explorer.exe

cd \ yazın ve cd \Recycler  klasörüne girin

\ S-1-5-21-1482476501-1644491937-682003330-1013 \  klasörünün salt okunur ve gizli dosya özelliklerini kaldırın.

attrib-r-s-h S-1-5-21-1482476501-1644491937-682003330-1013

Dosyanın ismini aşağıdaki komut ile değiştirin.

ren S-1-5-21-1482476501-1644491937-682003330-1013 omer

Windows Explorer ı açın.

explorer.exe.

omer Klasörünü bulun ve içindeki ise.exe, isee.exe and desktop.ini dosyalarını silin.

Başlat > Çalıştır a Regedit yazarak açılan pencerede;

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\
{08B0E5C0-4FCB-11CF-AAX5-90401C608512}
StubPath = “C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise.exe

değerini silin. Bu ise.exe nin açılışta çalışmasını sağlayan regedit kaydıdır.

Tüm sürücülerde ( C:,D:,E:…) Autorun.inf klasörü oluşturacağından bu dosyayı notepad ile açarak içeriğini temizleyin.

Autorun.inf içeriği bu şekildedir;

[autorun]
open=RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise.exe
icon=%SystemRoot%\system32\SHELL32.dll,4
action=Open folder to view files
shell\open=Open
shell\open\command=RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise.exe
shell\open\default=1

Kolay Gelsin.

Hakkında ÖmerKARADENIZ
https://omerkaradeniz.wordpress.com/hakkimda/ https://www.linkedin.com/in/omerkaradeniz

5 Responses to lsee.exe, ise.exe, Recycler Virus Analizi ( Worm_Autorun.CG )

  1. Ferda diyor ki:

    biraz karışık ama işe yaradı teşekküürler

  2. mahmut diyor ki:

    merabalar ben bu yolu denedim ama başarısız oldum.. rice etsem ferda arkadaşım yada ömer bey bana yardımcı olabilir misiniz.. bu virüs yüzünden başım fena derecede belada :(( yardımlarınızı bekliyorum..

  3. Ömer KARADENIZ diyor ki:

    Merhaba Bu kouyla ilgili yukarıdaki işlemleri yapamadıysanız yada yaparken başarılı olamadıysanız http://www.cozumpark.com adresindeki forumdan sorularınızı sorabilrisiniz.

  4. mahmut diyor ki:

    teşekkürler iyi çalışmalar..

  5. atakan diyor ki:

    işe yarar gibi görünüyo ama tam anlamıyla anlatılamamıs karmasık bı turlu dogru sekılde yapamadm

Bir Cevap Yazın

Aşağıya bilgilerinizi girin veya oturum açmak için bir simgeye tıklayın:

WordPress.com Logosu

WordPress.com hesabınızı kullanarak yorum yapıyorsunuz. Log Out / Değiştir )

Twitter resmi

Twitter hesabınızı kullanarak yorum yapıyorsunuz. Log Out / Değiştir )

Facebook fotoğrafı

Facebook hesabınızı kullanarak yorum yapıyorsunuz. Log Out / Değiştir )

Google+ fotoğrafı

Google+ hesabınızı kullanarak yorum yapıyorsunuz. Log Out / Değiştir )

Connecting to %s

%d blogcu bunu beğendi: