Merhabalar.
Bu yazıda son zamanlarda karşılaştığımız bir sorun hakkında bulduklarımı paylaştım.
Belirtiler:
Bilgisayardaki uygulamalar açılmıyor.
Bir uygulamayı açmaya çalıştığımızda, sadece dosyalar için kullanılan "Birlikte Aç" penceresi geliyordu.
Bir ileti penceresi açılıyordu: "Program uyumluluk yardımcısı. Bu program yönetici ayrıcalıkları gerektirebilir. Bu program düzgün çalışmadıysa, program yönetici olarak çalıştırmayı deneyin. Program: Bilinmeyen Program. Yayımcı: Bilinmeyen Yayımcı. Konum: C:\Windows\svchost.com". Programı yönetici olarak başlatın. Bu program düzgün çalışıyor."
Bu pencerelere yanıt verilmese bile iletiler çoğalmaya devam ediyordu.
Yapılanlar:
3 defa format atıldı, buna rağmen sonuç değişmedi.
Formattan sonra gördüğünüz ileti ekrana çıktı: "svchost.com - Bozuk Dosya. E:\Config.Msi dosya veya dizini, bozuk ve okunamaz durumda. Lütfen Chkdsk hizmet programını çalıştırın." Sorunun çözülmesinin ardından, E:\ konumunda "Config.Msi" adında bir dosyanın olmadığı, klasör yapısında da herhangi bir bozulma olmadığı görülmüştür.
Durumun, uygulama aktivasyonu için çalıştırdığımız "KMS" gibi çalışan "Toolkit" adlı uygulamadan kaynaklanan kayıt defteri bozulması veya diğer sistem kararsızlık türlerinden biri olduğunu; yani olayın kullanıcı olarak bizden kaynaklandığını tespit ettik.
"svchost.com" dosyasını not defteri ile açıp incelediğimizde son satırda şu ifadeye rastladık: "Best regards 2 Tommy Salo. [Nov-2005] yours [Dziadulja Apanas]".
Aşağıda kaynak linkleri verilen bilgilere bakılarak kayıt defteri düzenleyicisi "regedit" üzerinde Microsoft kaynağındaki ayarlar aynen uygulandı. Şimdilik sorunun olmadığı görüldü. Bu dosyanın gerçek bir virüs mü yoksa kayıt defteri bozukluğu mu olduğu forum sitelerinde tartışılmaktadır.
Sitede verilen anahtarlar aşağıdaki gibidir:
;;copy everything from the next line down…
Windows Registry Editor Version 5.00
[-HKEY_CLASSES_ROOT\.exe]
[HKEY_CLASSES_ROOT\.exe]
@="exefile"
"Content Type"="application/x-msdownload"
[HKEY_CLASSES_ROOT\.exe\PersistentHandler]
@="{098f2470-bae0-11cd-b579-08002b30bfeb}"
[HKEY_CLASSES_ROOT\exefile]
@="Application"
"EditFlags"=hex:38,07,00,00
"FriendlyTypeName"=hex(2):40,00,25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,\
00,6f,00,6f,00,74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,\
32,00,5c,00,73,00,68,00,65,00,6c,00,6c,00,33,00,32,00,2e,00,64,00,6c,00,6c,\
00,2c,00,2d,00,31,00,30,00,31,00,35,00,36,00,00,00
[HKEY_CLASSES_ROOT\exefile\DefaultIcon]
@="%1"
[HKEY_CLASSES_ROOT\exefile\shell]
[HKEY_CLASSES_ROOT\exefile\shell\open]
"EditFlags"=hex:00,00,00,00
[HKEY_CLASSES_ROOT\exefile\shell\open\command]
@="\"%1\" %*"
"IsolatedCommand"="\"%1\" %*"
[HKEY_CLASSES_ROOT\exefile\shell\runas]
"HasLUAShield"=""
[HKEY_CLASSES_ROOT\exefile\shell\runas\command]
@="\"%1\" %*"
"IsolatedCommand"="\"%1\" %*"
[HKEY_CLASSES_ROOT\exefile\shell\runasuser]
@="@shell32.dll,-50944"
"Extended"=""
"SuppressionPolicyEx"="{F211AA05-D4DF-4370-A2A0-9F19C09756A7}"
[HKEY_CLASSES_ROOT\exefile\shell\runasuser\command]
"DelegateExecute"="{ea72d00e-4960-42fa-ba92-7792a7944c1d}"
[HKEY_CLASSES_ROOT\exefile\shellex]
[HKEY_CLASSES_ROOT\exefile\shellex\ContextMenuHandlers]
@="Compatibility"
[HKEY_CLASSES_ROOT\exefile\shellex\ContextMenuHandlers\Compatibility]
@="{1d27f844-3a1f-4410-85ac-14651078412d}"
[HKEY_CLASSES_ROOT\exefile\shellex\DropHandler]
@="{86C86720-42A0-1069-A2E8-08002B30309D}"
[-HKEY_CLASSES_ROOT\SystemFileAssociations\.exe]
[HKEY_CLASSES_ROOT\SystemFileAssociations\.exe]
"FullDetails"="prop:System.PropGroup.Description;System.FileDescription;System.ItemTypeText;System.FileVersion;System.Software.ProductName;System.Software.ProductVersion;System.Copyright;*System.Category;*System.Comment;System.Size;System.DateModified;System.Language;*System.Trademarks;*System.OriginalFileName"
"InfoTip"="prop:System.FileDescription;System.Company;System.FileVersion;System.DateCreated;System.Size"
"TileInfo"="prop:System.FileDescription;System.Company;System.FileVersion;System.DateCreated;System.Size"
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.exe]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.exe]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.exe\OpenWithList]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.exe\OpenWithProgids]
"exefile"=hex(0):
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.exe]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.exe]
@="exefile"
"Content Type"="application/x-msdownload"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.exe\PersistentHandler]
@="{098f2470-bae0-11cd-b579-08002b30bfeb}"
;;end stop here.
Bu anahtarları ister kendiniz tek tek kontrol edebilir, isterseniz adresteki gibi kayıt defteri düzenleyicisine aktarabilirsiniz:
https://support.microsoft.com/tr-tr/help/950505/when-you-run-an-exe-file-on-a-windows-xp-windows-vista-or-windows-7-ba
"Neshta.A" Tip Bulaşma Şekli
1) Bu, internet tarayıcısında kullanılan çalışma mantığı bilinmeyen bir eklenti; güvenli olmayan bir siteye girildiğinde sitenin erişim talebine izin verilmesi; bünyesine zaten "Neshta.A" bulaşmış bir EXE kullanıldığında; muhtemelen, "C:\hiberfil.sys", "C:\pagefile.sys" veya "C:\System Volume Information\..." içerisine yerleşip çalışan bir kötü amaçlı yazılımdır.
2) Kötü amaçlı yazılım, Windows oturumu içerisinde aktif olduğunda, kullanıcının ilk çalıştırdığı uygulamanın harddisk üzerine yazılı ilk 41.472 baytlık kısmını kendi algoritmasından geçirerek korsan biçimini %USERPROFILE%/AppData/Local/Temp/4582-490 klasörüne kopyalar. Aşağıda bunun temsilî çalışma şekli gösterilmiştir:
3) Kötü amaçlı yazılım, kullanıcının verdiği komut üzerine, ürettiği bu dosyayı çalıştırır. Windows hizmetleri bünyesindeki "API" komutları kullanılarak bulaşma işlemi başlar. Kullanıcı, çalışan bu dosyayı, orijinal uygulama olduğunu zanneder.
4) Fakat uygulamanın bazı komutları çalış(a)mayacağı için "internal program error, cpp -132" ve benzeri hatalar gelebilir, bazen uygulama direkt kapanabilir, hatta programın hiç bulunamadığına dair hatalar gelebilir.
5) Durumu "tanı"lamak için, "taskmgr.exe" yani "görev yöneticisi"nde söz konusu uygulamanın "Dosya konumunu aç" tıklandığında, çalışan uygulamanın korsan %USERPROFILE%/AppData/Local/Temp/4582-490/Prog~.EXE dosyası olduğu görülür.
6) Bu ifadedeki "Prog~.EXE" varsayımdır. Bu algoritmadan geçen korsan uygulama; "calc.exe", "msword.exe" gibi uygulamalar ve Microsoft dışı diğer uygulamalar da olabilir.
7) Orijinal dosya ile, kötü amaçlı yazılım dosya boyutlarının farklı olduğu görülür.
8) Kullanıcı şüphelenip kötü amaçlı yazılımı kapatırken, algoritma, orijinal uygulamanın ilk 41.472 baytını değiştirir.
9) Bu değişiklik, orijinal uygulamanın tekrar çalıştırıldığında, %USERPROFILE%/AppData/Local/Temp/4582-490/ klasörüne yönlendirilmesini sağlar.
10) Diğer uygulamalar arasında gezinirken veya uygulamalar çalıştırılırken bu işlemler tekrarlanır, algoritma, tüm yazılabilir diskleri arayıp yürütülebilir EXE dosyalarına erişir.
Kaynak:
https://www.virusbulletin.com/virusbulletin/2014/08/bird-s-nest
Bunun çözümü için AVG şirketinin ücretsiz sağladığı Neshta Onarım Aracı'nı kullanabilirsiniz.
LAN bağlantısı kullananlar, uygulamayı indirdikten sonra bağlantıyı kesip aygıtları taramalıdır.
https://www.avg.com/tr-tr/remove-win32-neshta
Kaynaklar:
https://answers.microsoft.com/en-us/windows/forum/all/fixed-how-to-repair-windows-registry-when-you-can/00a6bab7-bf86-42a5-8a1b-fbf7d7f5eccb
https://youtu.be/rF4TGGHYO_U?t=286
MSO1055.ACL dosyasını alabilirsiniz.
