Rehber Bilgisayarımda virüs mü var?

Selam,

Bircok kisinin merak ettigi bir konuda sizlere elimden geldiginde yardimci olmak istiyorum. Oncelikle sunu soyleyeyim: Ozellikle standart bir ev kullanicisi: Bilgisayarinin enfekte olup olmadigini genelde %100 ihtimalle kesin olarak anlayamaz ancak bazi belirtileri kovalayabilir. Iste ben size basitce bunlarin nasil yapildigini gosterecegim. Oncelikle bakmamiz gereken sey supheli belirtiler;

Performans ve sistem davranisi sorunlari

-Bilgisayarin aniden asiri yavaslamasi
-Gercek anlamda bilgisayar bosta olmasina ragmen CPU / RAM kullaniminin anormal yuksek olmasi
-Fanlarin bosta da surekli yuksek hizda calismasi
-Bilgisayarin acilis suresinin belirgin sekilde uzamasi
-Programlarin gec acilmasi / donmasi (Normalde yapmadigi bir sekilde)
-Kendi kendine masaustunde dosyalar olusmasi, bazi dosyalarin isim degistirmesi

Ag ve baglanti davranisi

-Bostayken bile surekli internet trafigi
-Bilinmeyen IP'lere surekli outbound baglanti
-DNS ayarlarinin kendiliginden degismesi
-Tarayicida ana sayfanin degismesi, arama sonuclarinin yonlendirilmesi, kendiliginden sekmeler acilmasi

Guvenlik ile ilgili isaretler
-Antivirusun kapanmasi/devre disi birakilmasi
-Windows Update'in calismamasi
-Guvenlik duvarinin kapatilmasi
-Windows Defender servislerinin kendiliginden durdurulmasi

Dosya ve Disk Belirtileri
-Dosyalarin uzantisinin degismesi (Bu, ozellikle ransomware'de gorulur)
-Tanimadiginiz .exe / .dll dosyalarinin kendiliginden olusmasi
-Sistem klasorlerinde ne idugu belirsiz, sizin kullandiginiz hicbir seyle ilgisi olmayan yabanci seylerin olusmasi
-Dosyalarin kendiliginden silinmesi veya erisilememesi

Hesap ve Davranissal Belirtiler

-Sosyal medya / e-posta hesaplarinizdan sizin disinizda kendiliginden mesaj gonderilmesi
-Steam, Discord gibi hesaplarinizda anormal aktiviteler
-Tarayiciya kayitli sifrelerin calinmasi

Kabaca belirtiler bunlar. Fakat sunu unutmamak gerek: Bunlarin bircogu tek basina bilgisayarinizin enfekte oldugunun kaniti degildir. Ozellikle bostayken RAM / CPU kullaniminin artmasi, bosta olmasina ragmen ufak internet aktiviteleri her zaman zararli yazilim demek degildir. Bunlar isletim sistemindeki normal surecler de olabilir. Ama malware suphesi uyandiran bircok supheli aktivite ust uste bindiginde o zaman artik bir seylerin farkina varmalisiniz. Simdi biraz daha isin manuel kontrol tarafina inelim.

Manuel Kontrol (Daha derin ve dikkatli olunmasi gereken katman)
Process Explorer (Gelismis gorev yoneticisi) ile kontrol. Nedir bu Process Explorer?

Process Explorer, klasik gorev yoneticisinin cok daha gelismis halidir. Sunlari yapabilir;

-Sureclerin gercek dosya konumunu gosterir
-Dijital imza kontrolu yapar
-Hangi surecin hangi sureci baslattigini (parent-child iliskisi) gosterir
-DLL ve handle seviyesinde inceleme sunar

Peki nasil kullanilir bu Process Explorer?

1.Programi indirin ve yonetici olarak calistirin

2-Signature dogrulamayi acin

• Options - Verify Image Signatures

Nelere bakmalisin?
1.Surec Agaci (Process Tree)

Process Explorer'in en onemli kismi:
- Surecler agac yapisinda gosterilir
-Ornegin;

• explorer.exe - chrome.exe
• services.exe - svchost.exe

Supheli durum;
-Garip bir parent-child iliskisi
-Ornegin random.exe - explorer.exe baslatiyorsa

2.Dosya Konumu

Bir surece cift tiklayin ve Image sekmesine gelin. Su tarz seyleri kontrol edin;

Gercek sistem dosyalari C:\Windows\System32 veya C:\Windows\SysWow64 gibi Windows klasorlerinin icinde olur.

Supheli durum;

AppData / Temp icinde calisan system benzeri dosyalar. Ornegin svchost.exe System32 icinden degil de;

C:\Users\X\AppData\Roaming\svchost.exe gibi bir konumdan calisiyorsa bu cok yuksek ihtimalle zararlidir.

3.Dijital Imza
Eger "Verified" yaziyorsa imza gecerli. Fakat "Unable to verify" yaziyorsa dikkat etmelisiniz.

Not: Imzasiz olmasi %100 zararli oldugu anlamina gelmez, fakat kritik bir sistem sureci imzasizsa iste o zaman bu oldukca supheli bir durum.

4.CPU/GPU/Private Bytes

• Bosta yuksek CPU kullanan surec
• Surekli RAM tuketen surec
• Ani spike'lar

Bazi kripto miner zararlilari bu adimda yakalanabilir.

5.VirusTotal Entegrasyonu

Options - VirusTotal.com - Check VirusTotal.com (Checkleyin)

Artik sureclerin yaninda VirusTotal skoru goreceksiniz

0/77
1/70

gibi. 1-2 tane pozitif sonuc genelde false-positive oluyor. Ancak 5 ve ustu olursa artik supheli, 20+ olursa ise buyuk ihtimalle zararli.

Evet, Process Explorer kismi bu kadardi. Bu yazilim aktif olarak calisan zararlilari tespit etmenizi sagliyor anladiginiz uzere. Simdi de size baska bir malware tespiti konusunda cok yararli olan, persistence avcisi bir yazilimi anlatacagim;

Autoruns ILE TANISIN!
Nedir?

Autoruns, sistemde baslangicta calisan gercek anlamda her seyi gosterir. Klasik Gorev Yoneticisi sadece kucuk bir kismini gosterir. Autoruns ise;

• Registry Run
• Scheduled Tasks
• Services
• Drivers
• Explorer extensions
• Browser helper objects

gibi seyleri tek tek gosterir. Kisaca: Zararli yazilimin kalicilik noktasi burada yakalanir.

Nasil kullanilir?

1.Programi indirin ve yonetici olarak calistirin.

2.Filtreleri ayarlayin;

Options - Hide Microsoft Entries
Options - Hide Windows Entries

Boylece Microsoft'a ait seyler filtrelenir ve bos yere kalabalik yapmaz.

Nerelere bakmalisiniz, en cok hangi kisimlar onemli?
1.Logon sekmesi, yani kullanici girisinde calisanlar.

Bu asamada rastgele isimli yabanci bir exe, AppData'dan calisan dosyalar gorurseniz bu supheli bir durumdur.

2.Scheduled Tasks

Modern zararlilar burada da saklaniyor. Garip isimli task'ler, saat basi calisan gorevler gorurseniz bu suphelidir.

3.Services

Sistem servisi gibi davranan bir malware aramalisiniz burada. Fakat dikkatli olunmali, yanlis bir seyi silmemeli / devre disi birakmamalisiniz.

4.Diger 3'lu kadar onemli olmasa da Drivers sekmesi

Burada da aslinda malware olan supheli suruculere bakabilirsiniz. Ayni sekilde dikkatli olun, zararsiz ve onemli bir surucuyu silmek istemezsiniz.

Supheli entry nasil olur?

Su tarz supheli durumlara bakin;

• Imzasiz + bilinmeyen yayinci
• AppData / Temp konumu
• Rastgele isim (asdasd123.exe gibi)
• Google'da aratinca dogru duzgun hicbir sonuc cikmamasi

Ayrica dikkat!

Bir seyden suphelendiyseniz %100 emin olmadan direkt silmek yerine sadece checkbox'i kaldirin. Yanlis bir seyi disable etmenin / silmenin Windows'u bozabilecegini asla unutmayin.

DIGER BIR ARACA GECELIM: TCPView

Nedir bu meret?

Bilgisayarinizdaki tum anlik ag baglantilarini gercek zamanli gosteren bir aractir. Hangi program internete baglaniyor, nereye baglaniyor, baglanti acik mi yoksa beklemede mi; hepsini net sekilde gosterir.

Nasil kullanilir?

1.Programi indirin ve yonetici olarak calistirin

2.Arayuze goz atin ve iyice anlamaya calisin. Ana ekranda su sutunlari gorursunuz;

• Process - Baglantiyi yapan program
• PID - Surecin ID'si
• Local Addresss - Sizin IP adresiniz + port
• Remote Address - Baglandigi IP / domain
• State - Baglanti durumu

Baglanti durumlari (State) ne anlama gelir?

• ESTABLISHED - Aktif baglanti var
• LISTENING - Program baglanti bekliyor
• TIME_WAIT / CLOSE_WAIT - Kapanan baglantilar

En cok dikkat edilmesi gereken: ESTABLISHED baglantilar.

Nelere bakmalisin?
1.Hangi Program Internete Cikiyor?

Standart bir ornek;

chrome.exe - web siteleri
discord.exe - Discord sunuculari

Supheli bir ornek;

Tanimadiginiz bir .exe surekli baglanti kuruyorsa.

2.Nereye baglaniyor?

Remote Address kismi onemli burada.

Bilinen servisler/adresler normal, ama garip bir IP gorurseniz arastirmalisiniz.

3.Surekli trafik var mi?

Ayni surec surekli baglanti acip kapatiyorsa, bostayken bile aktif veri akisi varsa: Botnet tarzi seyler olabilir.

Not: Size az once de anlatmis oldugum Process Explorer araci ile birlikte bunu kullandiginizda oldukca faydali olur. TCPView'de supheli bir baglanti gorurseniz process adini alip Process Explorer ile inceleyebilirsiniz. Boylece dosya konumu, imza, davranis gibi seyleri gormus olursunuz.

Isin manuel kismi bu kadardi. Ozetle bu anlattigim uc yazilim da birlikte kullanildiginda cok iyi bir manuel analiz yapmis olursunuz. Simdi isin biraz daha otomatik tarafina gelelim;

Antivirusler ve on-demand scanner araclari
Antiviruslerin ne oldugunu anlatmaya gerek yok elbette, bu rehberi okuyacak olan kisilerin %99.9'u bilecektir. Ama bazi kisilerin bilmedigi kisma deginmek istiyorum, independent / on-demand tarama araclari. Bu araclar;

-Gercek zamanli koruma saglamaz
-Sistemde surekli calismaz
-Sadece siz manuel olarak calistirdiginizda tarama yaparlar.

Yani antivirusten bagimsiz bir ikinci gorus mantigindalar. Peki neden onemliler? Cunku hicbir antivirus %100 tespit yapamaz. Bir motorun kacirdigini baska bir motor yakalayabilir. Tek antiviruse guvenmek yerine birden fazla motorla tarama yapmak cok onemli.

Peki Hermione, hangi on-demand araclari onerirsin?

Cevap;

-Malwarebytes Free
-ESET Online Scanner
-HitmanPro
-Emsisoft Emergency Kit

Ozellikle Emsisoft Emergency Kit burada en cok begendigim, cok guclu bir aractir. Yeni, obfuscate edilmis malware'leri yakalama konusunda bile oldukca basarili. Mutlaka ama mutlaka sisteminizi Emsisoft EK kontrolunden de gecirmelisiniz. Fakat hizli tarama yapmak yetmez. Kendin tara kismindan tum secenekleri ve tum diskleri secerek tam tarama yapmalisiniz. Tek bir arac ile sinirli kalmak istemiyorsaniz HitmanPro, Malwarebytes, ESET Online Scanner da iyidir. Lakin dikkat etmeniz gereken bir durum var;

Ozellikle bu saydiklarim arasindan Malwarebytes cok fazla false-positive sonuc verebiliyor. Ayrica crack / keygen kullaniyorsaniz o zaman bircogu bir hayli fazla tespit yapabilir. O sebeple bu araclari kullanirken de dikkatli olmalisiniz. Merak etmeyin, bircogu siz talimat vermediginiz surece antivirus gibi otomatik olarak silmezler. Size "Boyle bir zararli buldum ne yapayim?" diye sorarlar.

Windows icinde calisan aracimiz disinda, bootable olarak calisan biraz daha ust seviye bir malware temizligi aracimiz var: Kaspersky Rescue Disk
Kaspersky Rescue Disk, bilgisayarinizi Windows'u acmadan, kendi guvenli ve izole ortaminda calistiran ve bu ortamda tarama yapmanizi saglayan bir kurtarma aracidir. Amaci virusu kendi ortaminda degil de disaridan avlamaktir. Oldukca komplike, karmasik ve Windows'u bir hayli bozan zararlilari temizlemek icin kullanilir. Orijinal ISO dosyasini indirin, Rufus ile USB'ye yazin ve bilgisayari kapatip, sonra geri acip Boot menusunden USB'yi secerek baslatin. Rescue ortami acilir ve size dil ve bazi basit ayarlari sorar. Daha sonra acilan mini isletim sisteminde, masaustunde duran "Kaspersky Virus Removal Tool" aracini acin ve tum diskleri, tum secenekleri secerek tarama baslatin. Inatci bir malware kurbani olduysaniz, Kaspersky bunlari yakalayip yok edecektir.

Ayrica, taramayi baslatmadan once eger guncel degilse veritabanlarini guncelleyin. Fakat siz Kaspersky'nin kendi sitesinden orijinal ve guncel ISO'yu indirirseniz muhtemelen veritabanlari zaten guncel olacak.

Ozetle Rescue Disk bir offline tarama aracidir, Windows'tan bagimsiz calisir ve basit malware'ler icin degil de komplike, ust duzey enfekte edilmis sistemler icin kullanilir.


Evet, benim anlatacaklarim bu kadardi. Yazim duzeni olarak biraz cirkin ve karisik olabilir. Simdiden kusura bakmayin. Fakat temel islevi gorduyse, size bir seyler kattiysa bu benim icin yeterli. Son olarak, guvenlikle alakali bazi ekstra oneriler verebilirim;

1. Isletim sisteminiz ve tarayicilariniz guncel olsun.
2. Tarayicinizda kaliteli bir reklam engelleyici bulundurun.
3. Ne idugu belirsiz kaynaklardan bilgisayariniza dosya indirmeyin / calistirmayin.
4. Hesaplarinizdaki parolalariniz benzersiz ve guclu olsun.
5. Mumkunse 2FA acik olsun.
6. Onemli verilerinizi hem offline hem de online bir sekilde duzenli ve guvenli bir sekilde yedekleyin.
7. Mumkunse modern, kaliteli ve guclu bir antivirus kullanin. Ucretsizde, temel koruma icin Windows Defender, veya biraz daha agir olan BitDefender Antivirus Free onerimdir. Modern ve kaliteli antivirusler sisteminizi bozmaz, yavaslatmaz, ozellikle guclu bir sisteminiz varsa farki hissetmezsiniz bile. False-positive konusunda da, bazi antiviruslerin cok fazla false-positive verdigi dogru. Ayrica antiviruslerin kesinlikle %100 koruyamadigi da dogru. Zaten neredeyse hicbir antivirus "Biz sizi %100 bir sekilde koruyacagiz ve guvenlik riskiniz %0 olacak" gibi bir iddiada bulunmaz. Sadece ek bir koruma katmanidir.
8. Eger temizlemesi inanilmaz zor bir virus kurbani olduysaniz, antivirusunuz tekrar tekrar zararli tespit ediyorsa, rootkit gibi oldukca derin ve karmasik saldirilarin kurbani olduysaniz, son care olarak onemli verilerinizi yedekleyerek guvenli bir sekilde sisteminize format atmak da bir secenek. Eger mumkunse bu tarz durumlarda format atin, temiz kurulum yapin.

Ayrica, rehber icinde bahsettigim yazilimlarin indirme baglantisini da sizinle paylasayim:


Sorularinizi ve elestirilerinizi yazmaktan cekinmeyin, guvenli gunler dilerim.