Autorun.inf virüsü değil autorun.inf klasörü [ Çözüldü ]

[santra]

arkadaşlar merabalar..yardımlarınız için şimdiden binlerce teşekkür ediyorum...ne yaptıysam ne ettiysem sorunuma çare bulamadım..bilgisayarım kurduğum programlar yüzünden program çöplüğü oldu!!!...
nod32 esed antivirüs programım önce sürekli autorun.inf dosyası bulmaya başladı..sürekli bunu bulduğunu söylüyor,siliyor ama sürekli uyarı ekranı çıkıyordu..yani ben durdurmasam 344 bilmem kaç autorun.inf saldırısı oldu..
uzatmak istemiyorum..bu sıkıcı durumdan kurtulmak için adı flashdisk mi nedir bi küçük program kurdum...HAY KURMAZ OLAYDIM..bu program da hem C sürücüsüne hem de D sürücüsüne "autorun.inf" adlı bir klasör oluşturdu...arkadaşlar virüs değil..bildiğimiz klasör oluşturdu..şimdi bu klasörleri silemiyorum!!!!..
forumlara baktım..herkesin cözümünü denedim olmadı..bilgisayarıma kurmadığım virüs,torent,casus yazılım vb kalmadı..silmiyor.
nasıl bir programki silinmeyen bir dosya oluşturuyor..o kadar üzgün ve sinirliyim ki..çareyi size yazmakta buldum..lütfen yardım edin..bu ne lanet bir şeydir ki hiçbirşey silemiyor..bir klasörü silmek bu kadar zor mudur?..nereye bağlı göbeğinden anlamış değilim..
yardımlarınızı bekliyorum..saygılarımla

 

[KintaRo]

http://forum.shiftdelete.net/guvenlik/38292-combofix.html

Bunu denemelisin.

 

[santra]

uyarınız için teşekkürler..harfleri küçülterek, 3 numaralı mesajı düzeltiyorum..saygılar


değerli kintaro kardeşim...birazdan senin için yazacaklarım için bana darılma..övgüde aşırıya kaçarsam bana kızma..

helal olsun sana..helallllll..seni tebrik ödüyorum,gözlerinden öpüyorum kardeşim..3 günden beri gece 3 lere kadar ne yaptıysam çaresini bulamadığım bu autorun.inf klasörü için verdiğin program işimi gördü be kardeşim..kimler ne demedi ki; kaspersky kullan, regedite gir, dracula kullan, kapat aç, sağ tıkla sil,araştır,adaware kullan, önce şunu yap, sonra bunu kap, bilgisayarımın içine edildi yani...
ama senin programın nasıl birşeyse derinden analiz yapıp, kökünden kazıyor..hem klasörü siliyor hem de virüsleri...gel bir daha öpücem alnından kardeşim..
şimdi niye bu kadar abartılı davrandığımı birkez daha söylemek istiyorum..bir,3 günden beri yapamadığım birşey,mutsuz ve bitkin bir insandım ...iki, sanal alemde herkesin derdi buyken, herkes bu autorun.inf klasörü (arkadaşlar dikkat edin virüs demiyorum, bildiğimiz klasör ve silinemiyor) ile uğraşırken herkese burdan seslenmek ve bu program için sadece combofıx in yeterli olduğunu mutlulukla belirtmek için yazıyorum..

ben buraya yazdım..benim sorunumdaki arkadaşlarda konuyu diğer forumlara ,sanal aleme taşısınlar..yardımcı olalım arkadaşlara..saygılarımla

artık bugün başka bir gün, farklı herşey..autorun diye bir sorun kalmamıştır artık!!! ömrümü yedin autorun,ömrümü..ama sonunda ben de seni yedim )))..​

teşekkürler kintaro ...

 

[santra]

Arkadaşlar Flash_Disinfector'ün yarattığı autorun.inf klasörünü ve bu klasör içersindeki dosyayı kintaro kardeşimizin tavsiye ettiği combofix adlı programla silebilirsiniz..

ayrıca Flash_Disinfector adlı programı bu yüzden tavsiye etmem..kullanmayın...​

 

[ecevit]

Saol kardeşim çok işe yaradı helal olsun sana santra ve KintaRo

 

[Jannn]

walla arkadaşlar bende USB dic Security die bi program war zbshareware yazıo üstünde kendi oluşturduğu autorun dosyalarını kendide silebiliyo ayrıca usb den takılan ne olursa olsun herşeyi otomatik tarıyo we silme imkanı weriyo.. isteyen olursa buraya mesaj bıraksın upload edebilirim elimde full sürümü war

 

[Turab Garip]

Arkadaşlar Flash_Disinfector'ün yarattığı autorun.inf klasörünü ve bu klasör içersindeki dosyayı kintaro kardeşimizin tavsiye ettiği combofix adlı programla silebilirsiniz..

ayrıca Flash_Disinfector adlı programı bu yüzden tavsiye etmem..kullanmayın...​

Flash Disinfector belli ki flash disklere virüs bulaşmasını engelliyor. Uyguladığı yönteme bakılırsa bunu başarıyor da. Dolayısıyla onu bu özelliğinden ötürü tavsiye etmiyor olmakla bu yazılıma haksızlık ediyorsun.

Ayrıca ben de flash disklerime virüs bulaşmaması için bu yöntemi kullanıyorum. Flash disk içerisinde autorun.inf isimli bir klasör oluşturuyorum ve bunu sistem klasörü yaparak virüslerin buraya girmesini engelliyorum.

 

[tertunc]

Benim Flash Belleklerimde de AUTORUN.INF dosyası var autorun virüslerini engelliyor.

 

[buraqq]

tşkler kintaro...

ben de giveawa... dan indirmiştim o flash programını... babam senin yükleyeceğim virüs programı zaten böyle olur diye kızıyodu:d

ellerinde gözlerinden öpreim...

 

[adminselat]

Sırf sana teşekkür edebilmek için forma üye oldum ayrıca arkadaşlar ben abartmayı sevmem gerçekten işe yarıyor arkadaşımızın tavsiye ettigi program bende kurtuldum digerleri gibi. sizden ricam bunu kullandınız kullandıktan sonra şunu unutmayın bi teşekkür etmeyii emek harcanmış bir kuru teşekkür edemezmisiniz saygılarımla.

Not:1377 kez okunmuş teşekkür eden sadece 4 veya 5 kişi bu mu sizin insanlıga saygınız ayıp ben ayıplıyorum ve kınıyorum sizi...

 

[ivrindi]

Benim Flash Belleklerimde de AUTORUN.INF dosyası var autorun virüslerini engelliyor.

Elmacık ve talha sarı ertunç, bu yöntemi biraz açar mısınız nasıl olacak o sistem dosyası durumları falan?

 

[Turab Garip]

Bu arkadaşın "sorun" olarak gördüğü şey aslında onu koruyan bir şey. Normalde virüslerin flashdisklerle yayılmasının en kolay yolu, Windows'un otomatik çalıştırma özelliğidir.

Yani flashdiski bilgisayara takarsın ve otomatik olarak açılır. Otomatik olarak açılmasını sağlamak için Windows'un tanıdığı "autorun.inf" isimli bir dosya vardır. Virüsler de bu dosyanın Windows tarafından otomatik olarak çalıştırılacağını bildikleri için, bu dosyanın içine zararlı kodlar koyarlar. Böylece de o makineye virüs bulaşmış olur.

Bunun için, virüsler flashdisklerde ilk olarak autorun.inf isimli bir metin dosyası oluştururlar. Eğer bu autorun.inf dosyası olmasa, flashdisk virüslü bile olsa takıldığı makineye otomatik olarak bulaşmaz.

İşte bu avantajı kullanmak için, sen kendin bir "autorun.inf" klasörü oluşturabilirsin. Bu klasöre de sistem özelliği verirsin. Böylece virüs "autorun.inf" dosyası oluşturmak ve flashdiske bulaşmak istediğinde Windows ona şöyle der; "hoop kardeşim bu isimde bir dosya zaten var"..

Bunu yapmak için flash diskini takıyorsun, diyelim ki "F" sürücüsü olsun. Sonra komut satırını açıyorsun ve aşağıdaki komutları yazıp her satırdan sonra Enter tuşuna tıklıyorsun:

F:
attrib -h -r -s autorun.inf
del autorun.inf
md autorun.inf
attrib +h +r +s autorun.inf

Artık o flashdisk virüslere karşı aşılanmış oldu. Yine de virüsler kendilerini flashdiske kopyalayabilirler ama artık otomatik olarak bulaşamazlar, sadece kuluçkada beklerler öylece.. O yüzden bilmediğiniz dosyaları çalıştırmamanız ve virüslerden koruyucu bir program kullanmanız da iyi olur.

 

[sevyeter]

bende gercekten kintaro tsk etmek için üye oldum siteye gercekten allah razı olsun bu virüsten kurtalmak için cok ugrastım denemediğim program kalmadı emeğine yüreğine saglık allah razı olsun programı kullanıpta tsk etmeyenleri kınıyorum bende elimden geldğince bu programı sorunlu arkdaslara iletmeye calsıcam tekrar cok tesekkürler..

 

[dduygusal]

arkadaslar benı yanlıs anlamayın ama ComboFix programını karsperty virus olarak algılıyor ??neyapmamı onerırsınız??

 

[pa3ga]

Helal olsun size KİNTARO kardeşim ve SANTRA kardeşim sayenizde bende autorun belasından kurtuldum çok saolun

 

[fazli]

Autorun.inf klasörü flash diskimi vista sistemli bilgisayarıma taktığım anda bir programla karşılaştım bilgisayardaki dosyaları tarıyordu, ara yüzdeki tuşlar çince veya japonca yazılardan olusan bir program bir casus program herhalde. Bu "combofix" programını deneyeceğim. by

 

[korsan12]

yalnız arkadaşlar combofix fazla kullanmayın bilgisayarınıza zarar verebilir. sistem geri yüklemeyi kapatabiliyor v.b gibi şeyler

 

[emyube]

bana da nod 32 den hata geliyor autorun adlı.Fakat dosyayı bulamadım bilgisayarda.yani silmeyi felan denemedim.Sadece nod 32 den açılan sayfa da sildim fakat yine sayfa açılıyor bu uyarı.Ne yapmam lazım.şimdiden teşekkürler...

 

[emyube]

ya abi 2 türlü tehdit algılanıyo 1. si C:/autorun.inf ve D:/autorun.inf sürekli geliyor ne yapmam lazım lütfen acele edin

 

[soresger2121]

bende okudum bende teşekkür ediyorum kardeş.

 

[honline]

ya abi 2 türlü tehdit algılanıyo 1. si C:/autorun.inf ve D:/autorun.inf sürekli geliyor ne yapmam lazım lütfen acele edin

bu programla autorun.inf den kurtulabilirsin
Dracula virüs temizleyici v3.0

 

[gretna989]

USB Disk Security (Lisanslı) Programı ComboFix'ten kaliteli aynı işlevi gören fakat arkaplanda sürekli çalışan bir programdır. ComboFix yerine arkaplanda çalışan USB Disk Security Programını kullanmanızı öneririm

 

[tanık]

bu programla autorun.inf den kurtulabilirsin
Dracula virüs temizleyici v3.0

aynı durum bendede var kardeşlerim
bu dracula ne kadar güvenli ??
ikide bi ekrana geliyo autorun virüs diye nod 32 siliyo ama biraz sonra yine bulundu diyo. dosya ismi ilk new folder diye bi dosyayı bulmakla başlıyor. yardımlarınız için şimdiden teşekkürler..

 

[marko2000]

ALINTIDIR

Nam-ı Diğer Conficker (Downadup, Kido) Solucanı Osman PAMUK, TÜBİTAK-UEKAE 28.01.2009 Yazı İndeksNam-ı Diğer Conficker (Downadup, Kido) Solucanı Sayfa 1 Toplam: 2
Microsoft 23 Ekim 2008 tarihinde çok acil olduğunu bildirdiği bir güncelleme yayınladı: MS08-67 [7]. Güncelleme solucanlar tarafından kullanılabilir bir açıklığı kapatıyordu. Tabiî ki Microsoft’un kendisinin böyle önemli bir açıklık olduğunu belirtmesi ve normal güncelleme çıkarma periyodunu sırf bu açıklık için değiştirmesi dünyadaki birçok güvenlik uzmanının dikkatini çektiği gibi, kötü niyetli kod yazarlarının da ilgisini çekti. Açıklığın yayınlanmasının üzerinden daha 24 saat geçmemişti ki internette açıklığı kullanan exploitler ortaya çıktı. Ondan sonraki günlerde birçok kötü niyetli yazılım bu açıklığı kullanarak yayılmaya çalıştı fakat çok büyük tehdit oluşturamadılar. Ancak açıklık yayınlandıktan bir ay sonra ilk kayda değer, açıklığı kullanan “Conficker” adlı solucan tespit edildi.
Conficker solucanı ilk çıktığında fazla dikkat çekmedi. Solucanın yayılımı beklenenin, diğer bir deyişle korkulanın altında bir sayıdaydı. Hatta görülen o ki bu durum birçok güvenlik sorumlusunu rehavete sevk etti. Çünkü işin ciddiyeti yaklaşık üç hafta önce solucanın yeni bir sürümünün çıkmasıyla değişti. Bu yeni sürümün tespit edilmesinin üzerinden bir iki hafta geçmeden yeni solucan 3 milyonunun üzerinde bilgisayara bulaşmıştı. Haddi zatında 3 milyon sayısı bir solucan için çok büyük bir başarıydı. Çünkü şimdiye kadarki en büyük solucan ağının büyülüğü 100 binler civarındaki bilgisayardan oluşmaktaydı. Fakat Conficker bu kadarla kalmadı. Bir kaç gün içinde telaffuz edilen sayı 9 milyonu geçti. Bu yazıyı yazdığım sıralarda ise sayı 15 milyonun üzerinde olarak tahmin edilmekte [1].
Nasıl Yayılıyor

Aslında bu yayılma hızı bir açıdan hiç de şaşırtıcı değil. Çünkü solucan, her ne kadar çok karmaşık bir mühendislik örneği olsa da, bilinen en zayıf güvenlik halkasına yani insan faktörüne akıllı bir şekilde saldırmakta.
Biraz daha açacak olursak, solucan yayılmak için biraz sosyal mühendislik, biraz da hep ihmal ettiğimiz çok basit güvenlik zafiyetlerinden faydalanmakta. Solucanın yayılmak için kullandığı kısaca üç farklı yol var [5].

Conficker yayılma yöntemleri [3]
MS08-67 ile Duyurulan SMB Protokolündeki Açıklığı [7] Kullanarak

Evet, üzerinden üç ay geçmesine rağmen maalesef birçok kullanıcı bilgisayarı halen güncellememiş durumda. Solucanın bu kadar hızlı yayılmasının temel nedeni de bu.
Ele geçirilmiş olan bilgisayardan solucan diğer bir bilgisayara açıklık yardımıyla bulaşmak istediğinde ilk önce ele geçirilmiş olan bilgisayarın dış ip adresini aşağıdaki web sayfalarından herhangi birini kullanarak tespit etmekte [2]:
http://checkip.dyndns.org
http://getmyip.co.uk
http://www.getmyip.org
http://www.whatsmyipaddress.com
Daha sonra solucan rastgele bir portta HTTP sunumcusu açmakta:
http://%DışIPAdresi%:%RastgelePort%
Bu web sunumcusunun üzerinden de solucan kendisini yeni kurban makinesine kopyalamakta. Kopyalanan dosyanın uzantısı “bmp”,”gif”,”jpeg”,”png” uzantılarından herhangi birisi olabilmekte.
Son olarak da solucan, açıklığın asıl kaynağı olan NetpwPathCanonicalize API 'sine kanca atmakta ve başka birisinin bu açıklığı kullanarak bu bilgisayarı ele geçirmesini engellemekte.
Bu açıklığı kullanarak solucan sadece güncellenmemiş Windows 2000,XP ve 2003 makinelerine bulaşabilmekte, Vista ve Server 2008 kurulu bilgisayarlara bulaşamamaktadır [7].
Sözlük Saldırısı ile Bilgisayarlardaki Zayıf Yerel Yönetici Hesaplarının Şifrelerini Kırarak [2]

Zaten eğer hala standart “12345”,”Asd1234”,”Password” gibi şifreler kullanıyorsanız ve şimdiye kadar hacklenmediyseniz ya bir ağ bağlantınız yok ya da hacklendiğinizin farkında bile değilsiniz.
Conficker solucanı bir bilgisayara bulaştığında ilk önce çevresindeki bilgisayarları taramakta. Tarama sonucunda bulduğu bilgisayara bulaşabilmesi için tarama için kullandığı kullanıcı hesabının karşı bilgisayarda yerel yönetici haklarına sahip olması gerekmektedir. İşte eğer yerel yönetici hakkına sahip değilse, NetUserEnum API yardımıyla karşı bilgisayardaki kullanıcı hesap isimlerini almakta ve yukarıda bahsi geçen kendi sözlüğündeki şifreleri sırayla denemektedir.
Bu saldırı sonucunda solucan yerel yönetici haklarına sahipse ve ağ üzerinden bilgisayarın paylaşımlarına ulaşabiliyorsa, aşağıdaki adreste bir kopyasını “ADMIN$” paylaşımda oluşturmakta:
\\[Sunumcu İsmi]\ADMIN$\System32\[rastgele dosya ismi].[rastgele uzantı]
Bundan sonra zamanlanmış bir iş tanımlayarak kopyalamış olduğu dosyanın çalıştırılmasını sağlamaktadır:
rundll32.exe [rasgele dosya ismi].[rastgele uzantı], [rastgele]
Ele Geçirilmiş Bir Bilgisayara Bağlanmış Depolama Aygıtlarının Başka Bir Bilgisayara Bağlanmasıyla[2]

Aslında bu yöntem çok da yeni olmayan bir yöntem. Fakat Conficker bu saldırıya eklediği orijinal sosyal mühendislik örneği sayesinde yeni bir boyut kazandırmakta.
Conficker bir bilgisayara bulaştığında o bilgisayara map edilmiş ve taşınabilir sürücülerde aşağıdaki dosyaları oluşturmakta:
%DriveLetter%\RECYCLER\S-%d-%d-%d-%d%d%d-%d%d%d-%d%d%d-%d\[...].[3 rasgele karakter]
%DriveLetter%\autorun.inf
Bu sayede bulaştığı bir sürücü başka bir bilgisayara takıldığında eğer autorun (otomatik çalıştır) aktifse, Conficker direk olarak takıldığı bilgisayara bulaşmakta. Eğer autorun aktif değilse yani biraz bilinçli bir kullanıcı autorun’ı kapattıysa veya Vista ve üstü bir sürüm kullanıyorsa Conficker’ın sosyal mühendislik saldırısı devreye girmekte.

​

Vista’ya taşınabilir bir sürücü takıldığında [5]
Yukarıdaki Windows penceresindeki sorunu görebildiniz mi? Evet, “Install or run program” yazısının altındaki “Open folder to view files” yazan klasör ikonu sahte. Eğer bir aşağıdaki “General options” altındaki “Open folder to view files” yazan klasör ikonu yerine üstteki sahte olana tıklarsanız Conflicker’ı kendiniz çalıştırmış olacaksınız.
Gayet akıllıca değil mi? Evet, Conficker’ın sayısı 3 bin civarında olduğu tahmin edilen küçük, orta veya büyük ölçekli kuruluşun iç veya dış ağına bulaştığı varsayılmakta [1]. Malumunuz günümüzde direk internet erişimi olan bir kuruluş nerdeyse hiç yoktur. Hepsinin çıkışında bir güvenlik duvarı ve bunun yanında genellikle bir IDS bulunmaktadır. Bu solucanın Windows açıklığını kullanarak bulaşması için karşı bilgisayarın 139 ve 445 inci portlarına ulaşması gerekmektedir [7] ve güvenlik duvarlarında internetten bu portlara gelen isteklerin kapalı olması gerektiği en temel ayarlardan birisidir. Peki, nasıl olduyor da bu kuruluşlara Conficker rahatlıkla bulaşıyor? Tabiî ki taşınabilir sürücülerle.
Birçok kuruluşta USB sürücü kullanımı ya yasaktır ya da denetim altında tutulmaktadır. Fakat sistem yöneticileri için bu yasak çoğu zaman bir şey ifade etmez. Ve bu solucanın bir sistem yöneticisinin bilgisayarına bulaştığını varsayalım. Solucan hâlihazırda sistem yöneticisinin haklarına sahip olacaktır ve ikinci yayılma yöntemini hatırlarsak, daha sonrası için bütün ağı ele geçirmesi an meselesi olacaktır.
Diğer taraftan solucanın çoğu zaman yönetici hesabına ihtiyacı da bulunmamaktadır. Genelde iç ağ olmasından dolayı önemsenmeyen ve zamanında yapılmayan güvenlik güncellemeleri ve devamlı şifre sıfırlamak ve değiştirmekten bıktığı için basit şifreler kullanan sistem yöneticileri ve bilgisayar kullanıcıları, solucanın yayılması için gerekli ortamı zaten oluşturmaktadırlar.
Bilgisayarımıza bulaştı mı nasıl anlarız?

Conficker solucanı bir bilgisayara bulaştığı zaman tespit edilmesini zorlaştıran ve yayılmasını kolaylaştıran birçok değişiklik yapmaktadır. Yaptığı bu değişiklikler diğer taraftan da normalin dışında faaliyetlere sebep olduğu için tespit edilmesine de olanak sağlamaktadır [5].
Tabiî ki en genel tespit yöntemi virüs programları. Fakat Conficker bulaştığı bilgisayardaki virüs programlarının kendilerini güncellemek için bağlanmaları gereken domainlere (etki alanlarına) ulaşmasını engellemektedir. Yani virüs programınız kendini güncelleyemiyorsa Conficker size çoktan bulaşmış olabilir.


Bunun dışında:

• Eğer “Windows Update” devamlı olarak başarısız oluyorsa.
• Windows Defender güncelleme yapamıyorsa
• Svchost adresinden rastgele hata mesajları geliyorsa
• Güvenlikle alakalı önemli sitelerin belli bir kısmına ulaşamıyorsanız
• Aşağıdaki Windows servisleri çalışmaya başlayamıyorsa

1. “wscsvc” (Windows Security Center Service)
2. “WinDefend” (Windows Defender Service)
3. “ERSvc” (Windows Error Reporting Service)
4. “WerSvc” (Windows Error Reporting Service)

Conficker size de bulaşmış olabilir.
Bunların dışında, Conficker analiz edilmesini ve denetlenmesi zorlaştırmak için çok katmanlı polimorfizm (polymorphism) ve paketleme (packing) korumasına sahiptir. İndirilen ve çalıştırılan dosyalarına ulaşımı engellemek için oluşturduğu kütük defteri servis ayarlarına ulaşım hakkını sadece Local System erişebilecek şekilde değiştirmektedir. Aynı amaçla çalışacak olan dosyalarına bütün kullanıcılar için bütün erişim haklarını kaldırmakta. Sadece execute (çalıştırma) hakkına ulaşımı bırakmaktadır. Bunlara ek olarak kendi dosyaları üzerinde bir sistem kilidi (system lock) tutmakta. Böylelikle başka programların bu dosyalara ulaşımını zorlaştırmaktadır [3].
Nasıl önlem alır veya temizleriz?

Eğer bilgisayarınıza Conficker bulaşmamış ise yapmanız gereken gayet kolay. Bilgisayarınızı güncelleyin, anti virüs programınızı güncelleyin, şifrelerinizi güçlendirin, autorun özelliğini kaldırın ve diğer bilgisayarlara da giren taşınabilir sürücüleri taktığınızda nereye tıkladığınıza dikkat edin. Diğerlerine göre biraz teknik olan autorun özelliğinin nasıl kaldırılacağına dair bilgi için yine bilgi güvenliği sayfasındaki “Otomatik ÇalıştırMA! ” yazısına göz atabilirsiniz [6].
Fakat Conficker zaten bulaşmış durumda ise [3]: ilk önce gerekli MS08-67 güncellemesi yüklenmeli ve şifreler güçlendirilmelidir. Tabiî ki “Windows Update” servisinin çalışması virüs tarafından engelleneceği için güncelleme temiz bir bilgisayarda Microsoft’un sayfasından indirilebilir. Daha sonra bu dosya yazma korumalı olarak açılan bir paylaşıma kopyalanabilir ve bu paylaşım üzerinden kurban bilgisayarda çalıştırılabilir. Asıl temizleme işlemi için ise kurban bilgisayarda bulunan virüs yazılımı varsa güncellenebilir veya yalnız başına çalışan birçok temizleme aracından birisi kullanılabilir. Örnek olarak MSRT (Malicious Software Removal Tool) [3] veya F-Secure “Disinfection Tool” [1]. Yine bu noktada dikkat edilmesi gereken husus Conficker’ın virüs programı güncellemesini web üzerinden yapmanızı engelleyecek olmasıdır. Bunun için yukarıdaki metot aynı şekilde kullanılabilir.

ÇÖZÜM


Otomatik ÇalıştırMA! Oktay Şahin, TÜBİTAK-UEKAE 23.01.2009 Autorun, taşınabilir disklerin bilgisayara takıldığında istenilen programı veya programları otomatik olarak çalıştırması için kullanılan bir uygulamadır. Autorun özelliği CD, DVD ve USB diskler gibi bütün taşınabilir disklerde bulunmaktadır. Autorun özelliği işlevinden dolayı çok ciddi güvenlik açıklıklarına sebep olmaktadır.

Trojan ve worm gibi zararlı yazılımlar bu özelliği kullanarak son kullanıcıya farkettirmeden çok hızlı bir şekilde yayılmaktadır. Autorun ile yayılma özelliğinin oldukça kolay olması ve son kullanıcının farkındalığını en aza indirmesi dolayısıyla, bu yöntemi kullanan zararlı yazılımların sayısında son yıllarda ciddi bir artış görülmektedir.
Bu konuda Bilgi Güvenliği sitemizde "USB Disklerde AutoRun ile Gelen Tehlike " adlı bir makale yayınlanmış ve bir çözüm önerisinden bahsedilmişti. Microsoft tarafından da önerilen bu çözüm önerisinin bazı Windows işletim sistemlerinde yetersiz olduğu belirlenmiştir. Bu makalede Autorun özelliğinin Microsoft Windows işletim sistemlerinde tam olarak nasıl kapatılacağına dair yöntemler anlatılmaktadır.
Öncelikle çok karıştırılan Autorun ve Autoplay arasındaki farka değinelim. Bu iki özellik isimleri itibariyle benzer işlevlere sahipmiş gibi görünse de aslında birbirlerinden farklıdır. Autorun özelliği, taşınabilir disklerin bilgisayara takıldığında istenilen programı veya programları otomatik olarak çalıştırması için kullanılır. Örneğin, USB disk takıldığında bir kurulum dosyasının otomatik olarak çalışması isteniyorsa Autorun özelliği kullanılır.
Autoplay özelliği ise, taşınabilir disk bilgisayara takıldığında bir ortam dosyasının nasıl çalıştırılacağına kullanıcının karar vermesini sağlar. Örneğin, taşınabilir diskte bir mp3 dosyası olsun. Autoplay özelliği sayesinde kullanıcı bu mp3 dosyasının winamp programıyla veya windows media player programıyla çalıştırılacağına karar verebilir.
Autorun özelliğinin çalışması için Autorun.inf dosyası kullanılmaktadır. Bu dosya ile Autorun özelliği kullanılarak taşınabilir disk takıldığında neler yapılacağı komutlarla belirlenmektedir. Örnek bir Autorun dosyası aşağıdaki gibidir

[autorun]
open = program.exe
Bu komutlar kullanılarak taşınabilir diskte bulunan program.exe dosyası otomatik olarak çalıştırılabilmektedir.
Autorun Özelliğinin Beraberinde Getirdiği Riskler


Autorun özelliği, taşınabilir disk içerisine kopyalanan zararlı yazılımların, taşınabilir diskin takıldığı bilgisayara, kullanıcıya farkettirmeden kurulmasına sebep olur. Zararlı yazılımın bulaştığı bilgisayara başka bir taşınabilir disk takılması durumunda zararlı yazılım kendini bu diske de kopyalamaktadır. Zararlı yazılımlar bu şekilde hızlı bir şekilde yayılmaktadır.
Zararlı yazılım sisteme sızdığında, internet üzerinden bir bilgisayara bağlanarak, bulaştığı bilgisayarın zombi haline gelmesini sağlayabilir. Kurulan zararlı yazılım bir keylogger olabilir ve kişisel bilgilerin çalınmasına sebep olabilir. Bunun gibi pek çok zararlı işlemi gerçekleştirebilir.
Autorun Özelliği Nasıl Kapatılır?

Windows işletim sistemlerinde Autorun özelliğini kapatmak için pek çok yol bulunmaktadır. Ancak bazı çözümler diğerlerine göre daha etkilidir. Şimdi Autorun özelliğini kapatma yollarına bir göz atalım:
SYSoesNotExist Yöntemi ile Autorun.inf Dosyalarının Çalışmasının Engellenmesi


Autorun.inf dosyalarının çalışmasını engellemek için en kolay ve en etkili yöntemdir. Bu yöntemde, kütük anahtarı (registry key) yazılarak genel bir politika oluşturulur ve autorun.inf dosyalarının çalışması engellenir. Bu yöntemi uygulamak için aşağıdaki adımlar izlenir:

1. Notepad açılarak yeni bir dosya oluşturulur. Dosyanın içerisine aşağıdaki satırlar eklenir. Köşeli parantez arasındaki kısmın tek bir satırda olmasına dikkat edilmelidir.

REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]


@="@SYSoesNotExist"

1. Dosya NoAutoRun.reg ismiyle kaydedilir. Dosya uzantısının reg olmasına dikkat edilmelidir.
2. Oluşturulan NoAutoRun.regdosyası üzerinde sağ tıklanır ve birleştir (merge) seçilir. Uyarı mesajları kabul edildiğinde kayıt kaydedilmiş olacaktır.
3. Bilgisayar yeniden başlatıldığında kütük kaydı etkin hale gelir ve autorun.inf dosyalarının çalışmamasını sağlar.

Bu yöntem bütün Windows işletim sistemlerinde çalışmaktadır.
Grup İlkesi Yöntemi


Grup İlkesi’nde yer alan Otomatik kullan’ı kapat özelliği etkin hale getirilerek Autorun özelliği devre dışı bırakılabilir. Bu yöntemi uygulamak için Windows 2000, Windows 2003 ve Windows XP’de aşağıdaki adımlar izlenmelidir:

1. Başlat menüsünden Çalıştır tıklanır.
2. Gpedit.msc yazılır ve Tamam tıklanır.
3. Bilgisayar Yapılandırması \ Yönetim Şablonları \ Sistem tıklanır.
4. Pencerenin sağ kısmında yer alan Otomatik kullan’ı kapat ayarı etkin hale getirilir ve All drives seçilir. OK tıklanarak ayar kaydedilir. (Windows 2000 işletim sisteminde Otomatik kullan’ı kapat ayarı yerine Otomatik kullan’ı devre dışı bırak ayarı yer almaktadır.)

Grup ilkesi ayarı Windows Vista işletim sisteminde ise şu şekilde yapılır:

1. Başlat düğmesine tıklanır. Aramaya Başla kutusuna Gpedit.msc yazılır ve ENTER tuşuna basılır.
2. Açılan pencerede Bilgisayar Yapılandırması \ Yönetim Şablonları \ Windows Bileşenleri \ Otomatik Kullan İlkeleri ayarına tıklanır.
3. Ayrıntılar bölümünde yer alan Otomatik Kullan’ı Kapat ayarına çift tıklanır.
4. Etkin seçeneği işaretlenir ve Tüm sürücüler seçeneği seçilir.
5. Bilgisayar yeniden başladığında yapılan ayar etkili olacaktır.

Bu adımlar aşağıda belirtilen kütük anahtarının değerini 0xFF olarak ayarlamaktadır: HK_LOCAL_MACHINE\SOFTWARE\MICROSOFT\Windows\CurrentVersion\Policies\Explorer\NoDriveTypeAutoRun.Windows XP Home Edition, Windows Vista Home Premium ve Windows Vista Home işletim sistemi sürümlerinde ilgili grup ilkesi ayarları bulunmamaktadır. Bu işletim sistemlerinde kütük anahtarları kullanılarak aynı işlem gerçekleştirilebilir:

1. Başlat menüsünde Çalıştır kısmına regedit yazılır ve ENTER tuşuna basılır.
2. HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \Services \ CDROM ayarlarına tıklanır.
3. Autorun’a çift tıklanır.
4. 1 değeri 0 olarak değiştirilir. Ayar kaydedilir.
5. HKEY_CURRENT_USER \ Software \Microsoft \Windows \ CurrentVersion \ Policies\ Explorer ayarlarına tıklanır.
6. NoDriveTypeAutoRun çift tıklanır. Açılan pencerede yer alan değer 0xFF olarak değiştirilir. Ayarlar kaydedilir ve bilgisayar yeniden başlatılır.

Yukarıda bahsedilen bu iki yöntemin, aşağıda belirtilen Windows işletim sistemlerinde etkin olarak çalışmadığı tespit edilmiştir.

• Microsoft Windows 2000
• Windows XP Service Pack 2
• Windows Server 2003 Service Pack 1
• Windows Server 2003 Service Pack 2
• Windows Vista

Bu yöntemlerin düzgün bir şekilde çalışması için aşağıda belirtilen güncelleştirmelerin yüklenmesi gerekir:

• Windows XP Güncelleştirmesi (KB950582)

http://www.microsoft.com/downloads/details.aspx?displaylang=tr&FamilyID=cc4fb38c-579b-40f7-89c4-1721d7b8daa5

• Itanium tabanlı sistemler için Windows Server 2003 Güncelleştirmesi (KB950582)

http://www.microsoft.com/downloads/details.aspx?FamilyId=5795F63E-1FD9-4A13-9650-1015E14B6D11

• Windows Server 2003 x64 Edition Güncelleştirmesi (KB950582)

http://www.microsoft.com/downloads/details.aspx?FamilyId=E8507286-CDF8-4BCB-AFC5-9734FE772C53

• Windows Server 2003 Güncelleştirmesi (KB950582)

http://www.microsoft.com/downloads/details.aspx?displaylang=tr&FamilyID=705305e5-7060-4236-b5d2-40ca63a967fb

• Windows XP x64 Edition Güncelleştirmesi (KB950582)

http://www.microsoft.com/downloads/details.aspx?FamilyId=21A0124C-6F50-4281-923E-E2B28068147A

• Windows 2000 Güncelleştirmesi (KB950582)

http://www.microsoft.com/downloads/details.aspx?displaylang=tr&FamilyID=c192edcf-ca3d-44e3-8ecc-49c5f4da5405

• Windows Vista Güncelleştirmesi (KB950582)

http://www.microsoft.com/turkiye/technet/security/Bulletin/2008/MS08-038.mspx
Yukarıda belirtilen KB950582 güncelleştirmesi Windows XP SP3 ve Windows Vista SP1 sürümlerinde yüklü olarak gelmektedir. Bu sürümlerde KB950582 güncelleştirmesinin yüklenmesine gerek yoktur.
MountPoint2 Yöntemi
Taşınabilir disk bilgisayara ilk takıldığında, bilgisayar taşınabilir diskte autorun.inf dosyası olup olmadığını kontrol eder. Tespit ettiği değerleri MountPoint2 kütük anahtarına kaydeder. Bu anahtar bilgisayara takılmış bütün cihazlara ait bilgileri tutmaktadır.


MountPoint2 anahtarının erişim izinleri değştirilerek autorun.inf dosyasının çalışması engellenebilir. Bu durum bilgisayar taşınabilir diski daha önceden tanımış olsa da geçerlidir. MountPoint2 kütük anahtarına ait izinleri değiştirmek için şu adımlar uygulanır:

1. Başlat menüsünden Çalıştır tıklanır.
2. Regedit yazılarak kütük açılır.
3. Aşağıda belirtilen kütük anahtarı açılır.

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2

1. Mountpoints2 üzerine sağ tıklanır ve İzin (Permission) tıklanır.
2. Gelişmiş tıklanır. Açılan pencerede “inherit from parent the permission entries that apply to child objects. Include these with entries explicitly defined here” yazan kısımda yer alan tik kaldırılır.
3. Uyarı penceresinde sırasıyla Kaldır, Evet ve Tamam tıklanır.

Bu yöntem autorun özelliğini engellemekle birlikte, işletim sistemi üzerinde başka etkileri olup olmadığı bilinmediğinden tavsiye edilmemektedir. Ancak bu ayar oldukça etkilidir. Bilgisayarı yeniden başlatmaya gerek yoktur. Ayar geri alındığında ise Autorun özelliği çalışmaya devam etmektedir. Yukarıda gösterilen ayarı geri almak için “inherit from parent the permission entries that apply to child objects. Include these with entries explicitly defined here” yazan kısma yeniden tik konulmalı ve ayar kaydedilmelidir.
Shift Tuşu Yöntemi
Autorun.inf dosyasının çalışmasını engellemek için en basit yol, bilgisayara taşınabilir disk takıldığında kullanıcının shift tuşuna basmasıdır. Bu yöntemin dejavantajı, taşınabilir disk her takıldığında kullanıcının shift tuşuna basmayı unutma ihtimalidir.
Eğer bilgisayar, taşınabilir diski önceden tanımışsa bu yöntem geçersiz olmaktadır. Yani daha önce bilgisayara takılan taşınabilir disk shift tuşuna basılı tutularak tekrar bilgisayara takıldığında, autorun özelliği çalışmaktadır.
Autorun Özelliğinin Çalışıp Çalışmadığını Test Etme

Şimdi bilgisayarımızda autorun özelliğinin çalışıp çalışmadığını test edelim. Autorun özelliğinin çalışıp çalışmadığını test etmek için herhangi bir USB diskin kök klasörüne autorun.inf dosyası ve autoruntest.cmd adlı bir komut dosyası oluşturuyoruz.
autorun.inf dosyasına şunlar kopyalanır:
[autorun]
shellexecute=autoruntest.cmd

autoruntest.cmd dosyasına ise notepad ile:
Echo "Batch dosyasi calisti. Bilgisayarda autorun ozelligi acik"
Pause

yazılır ve dosyalar kaydedilir. Daha sonra USB disk bilgisayardan çıkarılır ve yeniden takılır. USB disk bilgisayara takıldığında veya USB disk üzerine çift tıklandığında "Batch dosyasi calisti. Bilgisayarda autorun ozelligi acik" yazısı görülürse autorun özelliği çalışıyor demektir. Aksi durumda autorun özelliği çalışmamaktadır.
Windows XP SP3 İşletim Sisteminde Test Sonuçları

Windows XP SP3 işletim sisteminde bu yazıda belirtilen yöntemler test edilmiş ve aşağıdaki sonuçlara ulaşılmıştır.

Yöntem
USB Disk Önceden Takılmışsa
USB Disk İlk Defa Takılmışsa
SYSoesNotExist
Başarılı
Başarılı
Grup İlkesi
Başarılı
Başarılı
MounPoints2
Başarılı
Başarılı
Shift Tuşu
Başarısız
Başarılı
Tablo 1. Test Sonuçları
Bu sonuçlara göre, Shift Key yönteminde USB diskin ilk defa takılması durumu hariç diğer bütün yöntemler Windows XP SP3 işletim sisteminde autorun özelliğinin kapatılmasında etkili bir sonuç vermektedir.

 

[screamwolf]

paylasim icin cok tesekkürler değerli hocam....

 

[istanbultelekom]

http://forum.shiftdelete.net/guvenlik/38292-combofix.html

Bunu denemelisin.

Tşk.. Kaynak için :happy:

 

[bemektar26]

Autorun ne nalet bi şey ya bulaştımı gitmek bilmiyor...

 

[SeYH_SaMiL]

Selamun aleyküm,
Arkadaşlar benim bilgisayarımda avast 4.8 sürümü lisanslı olarak kurulu fakat son 1,5 aydır sürekli uğraştığım bir sorunum var, bu sorunum resimdeki göreceğiniz Otomatik kullanılıyor penceresi açılıp durması,
Resim:

Gördüğünüz gibi bir küçük pencere çıkıyor ve en fazla 4 sn kadar açık kalıyor o anda kitleniyor yazı yazıyorsam duruyor donuyor yazamıyorum ve 2-3- en fazla 5 saniye içinde kapanıyor, bunun virus olduğunu arkadaşlarım söyledi ve ben avastı kaldırdım ESET NOD32 Antivirus 3.0.645 Business Edition sürümünü kurdum tarattım, daha sonra gezginlerden kayspersky indirdim son sürümünü kurdum ve yine tarattım buldukları tüm dosya ve exeleri sildim programlara ait olanlarıda dahil yinede çözüm olmadı, sonra 4 gün önce C diskine format attım, ve Avast 'ı tekrar kurup tarattım her hangi bir virus bulamadı bende programları kuruyorken bir bakdım yine bu lanet olası pencere, ve yine sıklığı azalmış olsada açılıp duruyor, acaba bunun sebebi ne olabilir eğer virus ise ki arkadaşım Flash disklerden bulaşması ihtimal olan bir virusu temizlemek için AUTORUN ismiyle bir dosya yolladı içerisinde autorun.bad dosyası vardı çalıştırdım dosyasını masa üstüne çıkarıp fakat oda çözüm olmadı hala açılıyor.
Sizce bu virusu temizlememin bir yolu varmı her hangi bir yazılım bu açılan pencereyi engelleyebilirmi, internette arayarak forumunuzu buldum ve ComboFix programıyla tarattım daha yeni fakat birde resimle ve derdimi anlatarak siz üstad 'ların bu virusun autorun olup olmadığına dair fikirlerinizi almak istedim, yardımcı olursanız çok sevinirim. Yaptıklarımdan Başka ne yapabilirim

 

[PC MERAKLISI]

SeYH_SaMiL arkadaşım o virüs degildir sadece windows çıkarılabilir disklerin için otomatik kullan dosyası bozulmuş onun göstergesi

formattan sonrada oldu demişsin yine bozulmuştur çünkü aynı şey benim başımada geldi
çok önemli bişey degil

 

[SeYH_SaMiL]

SeYH_SaMiL arkadaşım o virüs degildir sadece windows çıkarılabilir disklerin için otomatik kullan dosyası bozulmuş onun göstergesi

formattan sonrada oldu demişsin yine bozulmuştur çünkü aynı şey benim başımada geldi
çok önemli bişey degil

Dostum çok rahatsız ediyor, örneğin bir kod yazıyorum kafamı eğmişim bir bakıyorum hatalar üst üste meyer bu pencere açılmış yazdım sandığım kodları yazamadığımı buluyorum hayda diyorum, yani çok kısa süreli açılıyor kapanıyor bu açıldığı andada yazmama vs izin vemriyor donuyor o 3 sn boyunca pc bu nedenle çok zorluklar yaşatıyor, acaba nasıl çözebilirim bu sorunu inan bezmiş durumdayım.

Peki otomatik kullan dosyasını nasıl onara bilirim yada düzeltebilirim.