PC'ye bir şey mi bulaştı, yoksa sadece çıldırdı mı? Bu soruyu cevaplamak genellikle kolay değildir. CHIP Online sisteminize virüs bulaştığına işaret eden yedi tipik olayı gösteriyor ve bu sorunları nasıl çözeceğinizi anlatıyor.
Conficker solucanı geçen senenin sonundan beri ortalıkta kol geziyor ve bu süre zarfında milyonlarca bilgisayara bulaştı. İşin trajikomik tarafı ise Microsoft'un bu açığı Ekim 2008'de çıkardığı yama ile kapatmasına rağmen solucanın yükselişe geçmiş olması.
Birçok kullanıcı zararlı yazılımlardan gelen tehlikeyi küçümser ve PC'sini yeterince iyi korumaz. Zira işletim sisteminin ve virüs tarayıcının güncellemeleri düzenli olarak yüklenmezse içinde her türlü "anti" ibaresini bulunduran kapsamlı bir güvenlik seti dahi yeterli olmaz. "Önleme yöntemleri" sayfasında virüslere karşı nasıl etkin bir koruma sağlayabileceğinizi özetledik.
Zararlı, bilgisayara girdiğinde belki de rootkit kamuflajıyla virüs tarayıcıdan saklanır veya koruma mekanizmalarını devre dışı bırakır. Başka bir senaryo: Casus yazılımlar devreye girip bilgilerinizi hacker'lere gönderir veya internetten başka zararlı yazılımlar indirmeye başlar. Virüs bulaştığına dair işaretler ise pek belirgin değildir: Yavaş bilgisayar, alışılmadık pop-up pencereleri, değiştirilmiş tarayıcı ana sayfası, sürekli çökmeler. Daha kötüsü: Windows ve diğer yazılımlar da kısmen benzer problemlere yol açabiliyor.
Bu tip sinir bozucu durumlarda suçun bir virüse mi, yoksa Windows'a mı ait olduğunu nasıl anlayabileceğinizi gösteriyoruz. Gerekli araçların indirme linklerini de ekledik.
PC sürekli çöküyor
Öyle ya da böyle büyük sistem hataları Windows'u köşeye sıkıştırır. Sonuç: Eksik veya zarar görmüş dosyalarıyla ilgili mesajlar, sistem donmaları veya daha sıkıcısı: Bilgisayar sürekli yeniden başlar.
Bu problemlerin sebebi kötü programlanmış zararlı yazılımlar olabilir. Bazı virüs yazarlarının virüslerini kapsamlı olarak test etmeye vakti olmadıkları için bu tip olaylar gerçekleşir. Çok ender durumlarda bu durum bilinçli olarak yapılır, sonuçta zararlı yazılım hası, izini belli etmeyendir.
Fakat normal uygulamalar da kısmen de olsa kötü programlanmış olabilir ve çökmelere neden olurlar. Bir diğer olası problem kaynağı donanım hatalarıdır: Özellikle mavi ekranlar ve otomatik yeniden başlatmalar genellikle çok ısınmış veya bozuk işlemci, ekran kartı veya bellek modülüne işaret eder.
Virüs mü, Windows mu?
Donanım problemlerini ortaya çıkarmak için öncelikle PC'nizi açıp onu tozlardan arındırmalısınız. Sonrasında tüm kabloların yerine oturup oturmadığını ve fanların rahat bir şekilde çalışıp çalışmadığını kontrol edin. Windows Aygıt Yöneticisi'nde "Donanım" sekmesi altında olası donanım problemlerini görebilir ve aygıt sürücüsünü yeniden kurup sorundan kurtulabilirsiniz.
Genel sistem performansını denetlemek için SiSoft Sandra Lite aracını kullanıp herhangi bir bileşenin aşırı ısınıp ısınmadığını öğrenebilirsiniz. Kısa bir süre önce yeni bir program yüklediyseniz sorunun sebebi bu da olabilir. Programı kaldırmak yeterli olmayabilir; çünkü bazı program parçaları veya kayıt defteri girdileri geride kalabilir. Burada da CCleaner veya söz konusu programı kurmadan önce alınan sistem geri yükleme noktası yardımcı olur.
Download:
CCleaner
SiSoft Sandra Lite
Olağandışı ağ trafiği
Güvenlik duvarı sürekli uyarı mesajları çıkardığında can sıkıcı olabilir. Tuhaf olan ise, bu mesajların siz sörf yapmadığınız sırada da çıkmasıdır.
İnternet bağlantısındaki gereksiz veri trafiği de (bu da Görev Yöneticisi'nden gözlemlenebilir) dikkate alınmalıdır; özellikle de internette sörf yapmıyorken oluşuyorsa. Zira artık zararlı yazılımların öncelikli hedefi dosya sistemine zarar vermek değil. Casus yazılımlar önemli kullanıcı dosyalarını virüs yazarlarına gönderebilir, internetten farklı virüsler indirebilir veya PC'nizi bir robota dönüştürüp diğer kullanıcılara spam yollatabilir.
Örneğin KeyPowler ismindeki casus yazılım, klavye vuruşlarınızı kaydediyor ve bunları hacker'e gönderiyor; böyle bir durumda tüm parolalarınız ve oturum bilgileriniz yanlış ellere geçmiş olur. Fakat bazen zararsız programlar hatta Windows'un kendisi bile ağ trafiğinden sorumlu olabilir: Arka planda Windows Update çalışıyor olabilir veya güncel bir program sürümü indiriliyordur.
Virüs mü, Windows mu?
Ufak CurrPorts aracı internet bağlantısı kuran tüm hizmetleri gösterir. CTRL + F6 tuş kombinasyonu ile listedeki Windows sistem hizmetlerini gizleyebilirsiniz. Eğer geriye kalan işlemler arasında tarayıcınız dışında farklı bir şey varsa bu, casus yazılım olabilir. "Remote Address" kısmında iletişim kurulan IP adreslerini görebilirsiniz. IP adresinin arkasında kimin saklandığını ise Network-tools.com web hizmetiyle öğrenebilirsiniz.
Download: CurrPorts
Bilgisayar yavaşlıyor
Windows kullanıcılarının yakından tanıdığı bir durum: Zamanla bilgisayar hız kaybeder. Ön yükleme süreci uzar ve Windows, başlangıçtan sonra bir sürü program yükleyip işe başlamanızı engeller.
Bilgisayar bu hale geldiğinde programları ve verileri yüklemek için daha fazla zamana ihtiyaç duyar. Şurası kesin ki her zararlı yazılım kaynak tüketir ve sisteme yük bindirir; fakat zamanla birçok normal programın da sistemi frenlediği ayrı bir gerçek. Kayıt defterini doldururlar, sabit diski parçalarlar ve otomatik başlatma klasörüne yerleşirler.
Virüs mü, Windows mu?
Sistemi frenleyen unsurların ve davetsiz misafirlerin izini bir görev yöneticisi ile sürebilirsiniz. Windows-denginden çok daha bilgi verici olan System Explorer programını tavsiye ediyoruz. "Autoruns | Startups" sekmesi altında Windows başlangıcı sırasında yüklenen programları, "Monitoring | Processes" altında ise tüm aktif hizmetleri görebilirsiniz. "Safe" olarak işaretlenmiş girdiler genellikle önemli Windows hizmetleridir. Ama dikkat: Bazı zararlılar orijinal Windows hizmeti kılığına girerek sizi aldatabilir. Örneğin Netsky.AB solucanı "csrss.exe" ismi altında gizleniyor. Fark: Solucan "C:\Windows" dizininde, Windows hizmeti ise "C:\Windows\System32 dizininde yer alıyor.
System Explorer'da tanımadığınız veya şüphelendiğiniz bir işlemi işaretlerseniz bu işlemin kök dizini görüntülenir. İşleme sağ tıklayıp içerik menüsünden "File Check| VirusTotal.com" girdisini seçip dosyayı taratabilirsiniz. Asla analiz etmeden bir işlemi sonlandırmayın; önemli bir sistem hizmeti olabilir!
Download: System Explorer
Web tarayıcı çıldırıyor
Web tarayıcının görevini yerine getirip size internette eşlik etmeyi reddetmesi sinir bozucudur: Farklı başlangıç sayfaları açılır, garip araç çubukları belirir ve sürekli can sıkıcı pop-up pencereleri açılır. Zararlı yazılım bu araçlarla kullanıcıyı modifiye edilmiş, tuzaklı sitelere yönlendirmeye ve hassas verilerini çalmaya çalışır.
MyCentria ismindeki reklam ajanı kullanıcının arama sorgularını yakalayan ve anahtar sözcüğe uygun modifiye edilmiş sonuçlar çıkaran tarayıcı eklentisi şeklinde bir araç çubuğu kurar. Fakat bazı zararsız programlar da tarayıcılara araç çubuğu entegre edebilir. Kurulum sırasında dikkat etmeyip araç çubuğunun yanındaki tiki kaldırmayanlar tarayıcısının üst kısmını araç çubuklarıyla doldurur. Her önünüze çıkan onay penceresine "Next" veya "OK" demeyin!
Virüs mü, Windows mu?
Yanlış başlangıç sayfasını internet seçeneklerine girip değiştirmek çoğu durumda işe yaramaz; çünkü hacker'ler her zaman bu seçeneğin üzerine yazarlar. Bu durumda "Çalıştır" penceresine yazacağınız "regedit" komutuyla Windows Kayıt Defterine göz atmalısınız. "HKEY_LOCAL_MACHINE/Software/Microsoft/InternetExplorer/Main" anahtarı altındaki "Start Page" girdisi altında Internet Explorer'ın başlangıç sayfasını bulursunuz. Bu listede göreceğiniz tanımadık bir URL, genellikle reklam ajanlarına işaret eder.
HijackThis aracı bu tarz saldırganların izini sürebilir. Programın oluşturduğu kayıt dosyasını hijackthis adresinde analiz ettirin. Sitenin forum kısmında şüpheli dosyaları yorumlamada uzmanlardan yardım da alabilirsiniz. Böylece PC'nizde virüs olup olmadığını ve hangi girdileri silmeniz gerektiğini öğrenebilirsiniz.
Download: HijackThis
Garip sabit disk aktiviteleri
Bunu da birçok kullanıcı bilir: Hiçbir şey yapılmadığına ve program çalıştırılmadığına rağmen SABİT diskin ışığı çılgınca yanıp söner. Muhtemelen bu sırada bir virüs uyanmış ve sabit diskteki hesap bilgilerini ve parolaları aramaya başlamıştır.
Veya saldırgan, internetten takviye indiriyordur ve farklı zararlılar kuruyordur. Genellikle bu tarz aktivitelerin zararsız nedenleri vardır: Windows ve diğer programlar bilgisayarın boş anlarını disk birleştirme, dosya indeksleme veya otomatik güncelleme ve yedekleme gibi sistem hizmetlerini gerçekleştirmek için kullanır. Bunların dışında virüs tarayıcı da rutin sistem taramasını yapıyor olabilir.
Virüs mü, Windows mu?
Sistem tepsisindeki ufak ikon üzerinden anti-virüs programınızı açın ve tarayıcının sistemi denetleyip denetlemediğini öğrenin. Bir Windows hizmetinin aktif olup olmadığını Denetim Masası'na girip Zamanlanmış Görevler'den kontrol edebilirsiniz. Burada hangi bakım hizmetinin ne zaman başladığını görebilirsiniz. Diğer programların otomatik güncelleştirmeleri System Explorer aracındaki "Autoruns | Startups" sekmesinde listelenir.
Download: System Explorer
Bozulan virüs tarayıcıları
Her gün 30.000 tane yeni virüs çıkıyor. Bunun anlamı: Güncel virüs tarayıcısı olmadan tehlikedesiniz. Buna rağmen birçok kullanıcı virüs tarayıcının çalışıp çalışmadığını veya otomatik güncellemelerin yapılıp yapılmadığını dikkate almaz.
Artık zararlı yazılımlar virüs tarayıcıları devre dışı bırakabiliyor veya güncelleme sunucularına erişimi engelleyebiliyor. Hatta bazı zararlılar daha da ileri gidip Google'da "koruma", "virüs" veya "antivirüs" kelimeleriyle yapılan aramaları içinde zararlı bulunan, modifiye edilmiş sitelere yönlendirebiliyor. Fakat güncelleme sırasında hatalı iletilmiş dosyalar veya güncelleme sunucusunun çökmesi de bu tarz sorunlara yol açabilir.
Virüs mü, Windows mu?
Öncelikle güncellemeyi el ile başlatmayı denemelisiniz. Bu seçeneği güvenlik yazılımının güncelleme seçeneklerinde bulabilirsiniz. Olası sunucu problemleri veya çökmeleri hakkında genellikle virüs tarayıcı üreticisinin web sitesinde açıklama yapılır. Fakat koruma programını güncellemedikçe tehlike attığı için geçici bir süreliğine PC'nizi çevrimiçi bir virüs tarayıcıya taratmalısınız.
Trend Micro tarayıcısı yüksek performanslı bir motor kullanıyor ve Firefox/Internet Explorer ile çalışıyor. Çevrimiçi hizmetler bellek içeriğinden önyükleme (boot) sektörüne kadar bilgisayarın tüm bölümlerini tararlar ve bu iş için en güncel virüs imzalarını kullanırlar.
Değiştirilmiş kullanıcı arabirimi
Blusod virüsü mavi ekranları sahte mavi ekranlar oluşturarak kullanıcıyı korkutuyor. Böyle bir durumda panikleyip daha önce aldığı bir yedeği geri yükleyenler veya Windows'u sıfırdan kuranlar boş yere kendilerine zahmet etmiş olur.
Virüs mü, Windows mu?
Kural olarak virüsler bu tarz olaylara sebep olur; fakat bu tarz kötü amaçlı yazılımların kalıcı zararlar verdiği çok enderdir. Gerçekten zararlı bir virüsün amacı mümkün mertebe gizli kalmaktır. Sinir bozmaktan öteye gidemeyen zararlılar sistemin derinliklerine de erişemez; çünkü hemen anti-virüsler tarafından kaldırılırlar. Genellikle bir çevrimiçi virüs tarayıcısı veya ücretsiz bir tarayıcı bunları temizlemek için yeterli olur. Ne yazık ki her virüs bu derece zararsız değildir. Siber suçluların kurbanı olmamak için kapsamlı bir güvenlik çözümü kullanmaya gayret edin.
Önleme yöntemleri
Virüs ve casus programlara karşı %100 koruma yok. Lakin şu kurallara uyarsanız risk seviyesi en aza iner.
- Virüs tarayıcınızın otomatik güncelleştirme özelliğini etkinleştirin; güncel virüs imzaları olmadan tarayıcı pek bir işe yaramaz.
- Düzenli aralıklarla virüs tarayıcınıza sisteminizi kontrol ettirin.
- Virüs tarayıcınızın gerçek zamanlı koruma özelliğinin sürekli etkin olmasına dikkat edin.
- Web tarayıcınızın ve Windows'un otomatik güncelleştirme özelliğini kesinlikle etkinleştirin.
- Düzenli aralıklarla yedekleme yapın.
- Windows'un hiç açılmadığı durumlara karşı önyükleme özelliği olan bir CD hazırlayın.
- Her şeyden önemlisi: Tanımadığınız e-posta eklerini açmayın ve tanımadığınız web sitelerinde gezinirken dikkatli olun. Arkadaşınız göndermiş dahi olsa, Messenger'da yazışırken ekranda beliren her linke tıklamayın.
Acil durum için püf noktalar
Bilgisayarına gerçekten virüs girdiğinde ne yapmalısınız? Bu tip bir durumda panikleyip herhangi bir dosyayı silenler virüsün kendisinden daha fazla tahribat yapabilir. Bu yedi püf nokta ile zararlılardan yan hasar almadan kurtulacaksınız.
- 1. Aceleci eylemler gerçekleştirmeyin.
- 2. Virüs tarayıcı kurun ve/veya bunu güncelleyin.
- 3. Ağ kablosunu bilgisayardan ayırın ki, PC'nizdeki zararlı, yeni virüs bileşenleri indirmesin veya önemli verilerinizi saldırgana göndermesin.
- 4. PC'yi kapatın ve sona tekrar açın. Bazı virüsler sisteme direkt yeniden başlatma komutu verdiğinizde bellekte kalmaya devam eder; fakat PC'yi kapatırsanız bu riski elemiş olursunuz.
- 5. Yedekleme yaptığınız sürücülere virüs bulaştırmamak için önemli verilerinizi boş bir depolama ortamına aktarın. Bu veri taşıyıcıyı daha sonra kullanmadan önce virüs taraması yapın.
- 6. Virüs taramasını başlatın ve saldırganları temizleyin.
- 7. Ek koruma programları kurun ve PC'nizi bunlarla taratın; mesela rootkit-temizleyicisi Gmer.
Download: Gmer