Kısayol Virüsü YARDIM

Selamun Aleyküm arkadaşlar başka başlık vardı ama durum o kadar canımı sıktıki mecburen yeni başlık açtım.
cevaplarda combofix ile tara yazıyordu oda uzun sürüyor geçen yaptım verim alamadım.
mecbur format attım.şimdi yine aynı sorun.tüm öğretmenlerin flaşına bulaştı diyebilirim.
Hangi flaşı taksam içeriğini kısayol yapıyor.
attrib ile açıyorum gözüküyor dosyalar.
çıkarıp tekrar takıyorum yine aynı şey.
lisanslı webroot kullanıyorum.flaşı her taktığımda aktif tehdit diyor V32.mogoogwi.gen gibi bir uyarı veriyor.
Konu ile ilgili tecrübesi olan arkadaşların yardımını bekliyorum.

Geçen senelerde ben de yaşamıştım. Ancak çözümünü hatırlamıyorum. Şu sıralar benim de ihtiyacım var. Çözen arkadaş varsa acil paylaşırsa çok mutlu oluruz. Şimdiden teşekkürler...

bunu bir denesene hocam..

kendi flashıma bulaştı. nod32 ile tarattım virüsler silindi sonra da gizli dosyaları göster programıyla da dosyalarımı geri getirdim.

bu vürüsü yazanın...başımıza bela. bıktım bende. bir de ATAK kurduk tahtalara. hergün uğraş dur.

oruc_reis hocam ben de bu virüsle beladaydım biraz önledim gibi, 360 total security i kurdum sonra bir hocamızın paylaştığı
aşağıdaki kodları not defterine vbs olarak kaydettim çalıştırdım biraz daha rahatım şimdi

on Error Resume Next

Dim objShell, objFileSystem, objTextStream, objRegex
Dim colRegexMatches1, colRegexMatches2
Dim nReturnCode
Dim strIpFileText
Dim element, i

Dim Lista
Lista=array("n1de?ect.com","nide?ect.com","nlde?ect.com","j*.bat","m*.com","d*.com","copy.exe","host.exe",_
"a0*.com","ntdeiect.com","ntdelect.com", "u?de*.com","ntde1ect.com", "x*.com", "tio*.*",_
"80*.com","semo*.exe","autorun*.*","x*.exe","yl*.exe","qd*.cmd")


Set hardwaremania=WScript.CreateObject("WScript.Shell")
Set objShell = WScript.CreateObject("WScript.Shell")
Set objFileSystem = CreateObject("Scripting.FileSystemObject")

Set objFSO = CreateObject("Scripting.FileSystemObject")
Set colDrives = objFSO.Drives


Wscript.Echo "Bu script kötü amaçlı amvo, avpo, n1detect ve türevlerini kaldırmak için Dr_X hazırlanmıştır.1923turk.biz"
Wscript.Echo "arama ve silme işlemi bikaç saniye alacaktır. lütfen sabırlı olun"


i=0
For Each objDrive in colDrives
If objDrive.IsReady = True Then
nret=hardwaremania.Run("cmd /C attrib -s -h -r "&objDrive.DriveLetter&":\autorun.inf",0,TRUE)
Set objTextStream = objFileSystem.OpenTextFile(objDrive.DriveLetter&":\autorun.inf",1)
strIpFileText = objTextStream.ReadAll
objTextStream.Close
End If
Next


Set objRegex = new RegExp

objRegex.Pattern = "=\w+(.com|.bat|.exe|.pif|.scr|.svd|.dat|.tmp|.cmd)"
objRegex.Global = True
objRegex.IgnoreCase = True
Set colRegexMatches1 = objRegex.Execute(strIpFileText)



i=0
For Each element In colRegexMatches1
element = Replace(element,"=","")
WScript.Echo "Proceeding to remove file of virus :" & element
For Each objDrive in colDrives
If objDrive.IsReady = True Then
Wscript.Echo "Clean drive: " & objDrive.DriveLetter

nret=hardwaremania.Run("cmd /C taskkill /f /im amvo.exe",0,TRUE)
nret=hardwaremania.Run("cmd /C taskkill /f /im avpo.exe",0,TRUE)

nret=hardwaremania.Run("cmd /C taskkill /f /im semo2x.exe.tmp",0,TRUE)
nret=hardwaremania.Run("cmd /C taskkill /f /im semo2x.exe",0,TRUE)
nret=hardwaremania.Run("cmd /C taskkill /f /im help.exe.tmp",0,TRUE)

nret=hardwaremania.Run("cmd /C attrib -s -h -r " &objDrive.DriveLetter&":\" & element &"",0,TRUE)
nret=hardwaremania.Run("cmd /C cd \ & del "&objDrive.DriveLetter&":\" & element & "/f /q /a",0,TRUE)
nret=hardwaremania.Run("cmd /C cd \ & del "&objDrive.DriveLetter&":\autorun.inf",0,TRUE)

End If
Next
i = i + 1
Next


Set objRegex= Nothing
Set objTextStream = Nothing
Set objFileSystem = Nothing
Set objShell = Nothing

nret15=hardwaremania.Run("cmd /C attrib -s -h -r c:\windows\system32\amvo*.*",0,TRUE)
nret16=hardwaremania.Run("cmd /C attrib -s -h -r c:\windows\system32\avpo*.*",0,TRUE)
nret20=hardwaremania.Run("cmd /C attrib -s -h -r c:\windows\system32\help.exe.tmp",0,TRUE)


nret56=hardwaremania.Run("cmd /C attrib -s -h -r c:\windows\system32\semo*.*",0,TRUE)
nret60=hardwaremania.Run("cmd /C attrib -s -h -r c:\windows\system32\semo*.*.*",0,TRUE)


nret23=hardwaremania.Run("cmd /C del /f c:\windows\system32\amvo*.*",0,TRUE)
nret24=hardwaremania.Run("cmd /C del /f c:\windows\system32\avpo*.*",0,TRUE)


nret57=hardwaremania.Run("cmd /C del /f c:\windows\system32\semo*.*.*",0,TRUE)
nret59=hardwaremania.Run("cmd /C del /f c:\windows\system32\semo*.*",0,TRUE)


WScript.Echo "gizli dosyaların görünmesi için kayıt defteri eski haline getiriliyor"

nret31=hardwaremania.Run("cmd /C reg delete HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\ /v amva /f",0,TRUE)
nret32=hardwaremania.Run("cmd /C reg delete HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\ /v avpo /f",0,TRUE)

nret68=hardwaremania.Run("cmd /C reg delete HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\ /v avpa /f",0,TRUE)


nret33=hardwaremania.Run("cmd /C reg add HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ /v Hidden /t REG_DWORD /d 1 /f",0,TRUE)
nret43=hardwaremania.Run("cmd /C reg add HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ /v SuperHidden /t REG_DWORD /d 1 /f",0,TRUE)
nret44=hardwaremania.Run("cmd /C reg add HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ /v ShowSuperHidden /t REG_DWORD /d 1 /f",0,TRUE)


nret45=hardwaremania.Run("cmd /C reg add HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ /v Hidden /t REG_DWORD /d 1 /f",0,TRUE)
nret46=hardwaremania.Run("cmd /C reg add HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ /v SuperHidden /t REG_DWORD /d 1 /f",0,TRUE)
nret47=hardwaremania.Run("cmd /C reg add HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ /v ShowSuperHidden /t REG_DWORD /d 1 /f",0,TRUE)


nret34=hardwaremania.Run("cmd /C reg add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN\ /v CheckedValue /t REG_DWORD /d 2 /f",0,TRUE)
nret35=hardwaremania.Run("cmd /C reg add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN\ /v DefaultValue /t REG_DWORD /d 2 /f",0,TRUE)


nret36=hardwaremania.Run("cmd /C reg delete HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\ /v CheckedValue /f",0,TRUE)
nret37=hardwaremania.Run("cmd /C reg add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\ /v CheckedValue /t REG_DWORD /d 1 /f",0,TRUE)
nret38=hardwaremania.Run("cmd /C reg add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\ /v DefaultValue /t REG_DWORD /d 2 /f",0,TRUE)


nret39=hardwaremania.Run("cmd /C reg add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\ /v CheckedValue /t REG_DWORD /d 0 /f",0,TRUE)
nret40=hardwaremania.Run("cmd /C reg add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\ /v DefaultValue /t REG_DWORD /d 0 /f",0,TRUE)

nret48=hardwaremania.Run("cmd /C reg add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\ /v Type /t REG_SZ /d Group /f",0,TRUE)



nret61=hardwaremania.Run("cmd /C reg add HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\ /v NoFolderOptions /t REG_DWORD /d 0 /f",0,TRUE)
nret62=hardwaremania.Run("cmd /C reg add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\ /v NoFolderOptions /t REG_DWORD /d 0 /f",0,TRUE)
nret63=hardwaremania.Run("cmd /C reg add HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\ /v DisableRegistryTools /t REG_DWORD /d 0 /f",0,TRUE)


nret78=hardwaremania.Run("cmd /C taskkill /f /im explorer.exe",0,TRUE)
nret79=hardwaremania.Run("cmd /C start explorer.exe",0,TRUE)


nret15=hardwaremania.Run("cmd /C attrib -s -h -r c:\windows\system32\amvo*.*",0,TRUE)
nret16=hardwaremania.Run("cmd /C attrib -s -h -r c:\windows\system32\avpo*.*",0,TRUE)
nret20=hardwaremania.Run("cmd /C attrib -s -h -r c:\windows\system32\help.exe.tmp",0,TRUE)



nret56=hardwaremania.Run("cmd /C attrib -s -h -r c:\windows\system32\semo*.*.*",0,TRUE)
nret60=hardwaremania.Run("cmd /C attrib -s -h -r c:\windows\system32\semo*.*",0,TRUE)


nret23=hardwaremania.Run("cmd /C del /f c:\windows\system32\amvo*.*",0,TRUE)
nret24=hardwaremania.Run("cmd /C del /f c:\windows\system32\avpo*.*",0,TRUE)


nret57=hardwaremania.Run("cmd /C del /f c:\windows\system32\semo*.*.*",0,TRUE)
nret59=hardwaremania.Run("cmd /C del /f c:\windows\system32\semo*.*",0,TRUE)


For Each objDrive in colDrives
If objDrive.IsReady = True Then
For X=0 to UBound(Lista)
nret=hardwaremania.Run("cmd /C attrib -s -h -r "&objDrive.DriveLetter&":\"&Lista(X)&"",0,TRUE)
nret=hardwaremania.Run("cmd /C cd \ & del "&objDrive.DriveLetter&":\" &Lista(X)& "/f /q /a",0,TRUE)
Next
End If
Next

WScript.Echo "Tebrikler! bilgisayarınız amvo virus ve türevlerinden temizlendi.Dr_X"
WScript.Echo "1923turk.biz--Dr_X"


WScript. Quit(0)




inşallah faydası olur hocam, iyi çalışmalar..

bu virüs bizim okulda da var. yayıldı demek ki.
çözüm önerileri için teşekkürler

Arkadaşlar dediklerinizi denedim olmadı.
Bu virüste ben şunu yaptım kurtuldum diyen yok mu gerçekten :cry: :cry:

Ben şu yöntemle okuldaki bilgisayarları kurtardım ve yayılmasını engelledim

bts-destek-f52/kisayol-virusunden-kurtulmak-mumkun-mu-t141945.html#p1533825

s_kajmeran' Alıntı:

Bilgisayardan silme konusunda Combofix başarılı... Malesef win 8 için çalışan bulamadım. Diğer işletim sistemlerinde etkili...

Sonrasında flashları vs temzilemek için;
USB Disk Security Programını ve 360 Total Security'i kurun.... Flashtan gelen autorun dosyasını engelleyip sileceğiz USB disk security ile...

Ardından

Dosya seçeneklerinde "Gizli Dosyaları göster"i seçin ve aynı kısımda "Korunan İşletim sistemi Dosyalarını gizle (Önerilen)" seçeneğini kaldırın...
Attribute Changer programını kurun....

Flash'ı takın İçinde İsimsiz ve gizli olan dosyamız dışındakileri silin.... (system volume information ve recycle klasörleri sislinmiyor sıkıntı yok...
Ardından o isimsiz ve soluk görünen dosyaya sağ tıklayın "Öznitelikleri değiştir" deyin...
Dosya Seçenekleri ve Klasör seçenekleri seçeneklerindeki tüm tikleri kaldırıp "Alt Klasörleri Dahil Et" kısmını seçip uygula tamam deyin... Klasörler içinde varsa farklı türlerdeki dosyaları silin...


Henüz bulaşmamış bilgisayarlarınıza USB Disk Securtiy ve 360 Total Security'î yükleyin, bulaşmasını önlersiniz...


Kolay gelsin...

Genişletmek için tıkla ...

Hocam başka çözümleri de vardır ama şu an kullandığım yöntem Microsoft Security Essentials ve USB Disc Security ikilisi.
Microsoft Security Essentials bu virüsü siliyor.

Bellekleri ne kadar biçimlendirsenizde virüs makinanıza bulaşmış olduğu için taktığınız her belleğe aynısını yapacak.

Etkileşimli tahtalarda zaten MSE 64 bitlik sürüm yüklü geliyor.
İnternet olmayan tahtalarda bu sorunu yaşayanlar https://support.microsoft.com/en-us/kb/971606/tr adresinden offline güncelleme dosyasını indirip kullanabilirler

FLASH BELLEKTEKİ VERİLERİNİZİ ÖNCE YEDEKLEYİN. FLASH BELLEĞİNİZİ NTFS OLARAK BİÇİMLENDİRİN. DOSYALARINIZI VİRÜSTEN TEMİZLEYİP FLASH BELLEĞE YENİDEN YÜKLEYİNİZ. FLASH BELLEĞE SAĞ TIKLA ÖZELLİKLERE GİR. GÜVENLİK SEKMESİNDEN FLASH BELLEĞİ YAZMAYA KARŞI KORUMALI HALE GETİR.
BİLGİSAYARINA TEKRAR FORMAT AT DEEP FREEZ YADA DRİVE VACCİNE KUR. FLASHINA YÜKLEMEK İSTEDİĞİN DOSYALARI ÖNCEDEN BİLGİSAYARA VİRÜSLÜ FLASH TAKILMASINA KARŞIN BİLGİSAYARI YENİDEN BAŞLATTIKTAN SONRA YÜKLEYEBİLİRSİN.

360 total security ile tarayın virüsü bulup silecektir ardından ekteki bat dosyasını flash içerisine atıp çalıştırın.

Re: Ynt: Kısayol Virüsü YARDIM

360 total.Çok agresif ama hafif ve hızlıdır.
Kuracaksın ve virüs denen derdi unutacaksın.Hasari hocama da bu güvenlik yazılımını bizlere tanıttığı için teşekkürler.
Okulun tamamına yakın 360 total kurdum.Arayıp soran yok.Demek ki 360 total olan sistemde sorun olmuyor.
Hayırlı kandiller dilerim.Mübarek olsun.

tskler

Sil isimli bir program var sizi bu dertten kurtaracaktir.

Bu nasıl bir virüstür yaw