iKernel.exe virüsü

Merhaba arkadaşlar, bugün bir virüs sorunu çözdüm, virüsler ve virüsten korunma hakkında ne tecrübem ne de bilgim var, ancak bugün birçok şey öğrendim ve bu sorunu nasıl çözdüğümü sizlere anlatabilmek için buraya bu konuyu açmaya karar verdim umarım bunun gibi sorunlar yaşayan arkadaşlar faydalanabilirler.

Geçtiğimiz aylarda bilgisayarı açtığımda chrome arama çubuğundan bir arama yaptığım zaman err_cert_common_name_invalid hatası almıştım. Aynı zamanda birkaç defa InstallShield güncelleme gerektiriyor şeklinde pop-up lar masaüstümde belirmişti ancak bunun çok önemli olduğunu fark etmemiştim. İnternet hatasını çözmek adına internette çözüm aradım ancak doğru çözümü bulmam biraz zaman aldı. HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings konumunda bulunan ProxySettingsPerUser anahtarını ikili 1 e çevirerek bu hatayı çözebildim. Bunun dışında internette bulunan hiçbir çözüm o esnada işime yaramadı. Bilgisayarı o gün o şekilde kullandıktan sonra kapayıp tekrar açınca aynı err_cert_common_name_invalid hatasını aldım. Ne kadar araştırırsam araştırayım bu sorunu her seferinde kayıt defterinden aynı anahtarı 1 e çevirerek geçiştirdim. Birkaç ay boyunca bu şekilde devam ettim ancak bunun güvenli olmadığının farkındaydım, sadece vaktim yoktu. Format atarsam sorunun çözülebileceğini düşündüm ancak bilgisayarımdaki projelerim ve programlarımı tekrar eski düzene getirmek çok vakit alacağı için format atma taraftarı da değildim. Ancak bugün artık daha fazla dayanamadım ve bu sorunu çözmek için kolları sıvadım. Öncelikle şunu belirteyim, virüsler ve virüs koruması hakkında daha önce bir tecrübem olmadı, dolayısıyla her adımda bir şeyler öğrenerek ve deneyerek hareket ettim. İlk başta sorunun ne olduğunu daha iyi anlamalıydım. İnternete bağlanamama sebebim bilgisayarımda yüklü olan internet sertifikasının(kullanılması gereken) geçersiz kılınmasıydı. Ve ProxySettingsPerUser anahtarını 0 değerinden 1 değerine çevirmek bu sorunu çözüyordu. Ne kadar sertifika silip, sertifika yüklemeye çalışsam da soruna bir çözüm bulamamıştım. Ancak ilk başlarda bu bana çok vakit kaybettirdi, çünkü olayın tamamen sertifika sorunu olduğuna emindim. Tabii ki de sorun sertifikaların kendisinde değildi. Çünkü kayıt defterinde yapılan değişiklik anında etki gösteriyordu, sertifikaların bir anda değişip doğru sertifikaya bürünmeleri bana mantıklı gelmedi. İnternette yaptığım araştırmalarda bazı insanlar LAN ayarları hakkında bir şeylerden bahsediyorlardı, bunun üzerinde LAN ayarlarını değiştirmeye çalıştım. Ancak gördüm ki, LAN ayarları butonu griye dönmüş, ve "bazı ayarlar kuruluşunuz tarafından yönetilir" ibaresi bulunuyordu. Bu noktada fark ettim ki bu bir sertifika sorunu değil bu bir virüs idi. Bu kuruluş tarafından yönetilme problemini çözmek adına araştırmaya koyuldum, gördüğüm kadarıyla başka şekillerde bu ibareye denk gelen insanlar vardı ve LAN ayarlarına dair bulduğum sonuçlar oldukça azdı. Fakat fikir verecek niteliktelerdi. İnsanlar bir virüsten bahsediyordu. Anlatılana göre bahsi geçen virüs planlanmış vakitlerde çalışarak proxy ayarları kuruyor, ve insanların internet sitelerinde gördüğü reklamları değiştirerek tıklanıldığı zaman kendilerine para kazandıracak reklamlar koyuyorlarmış. Proxy 127.0 0.1 ayarlarında bu adres mevcutmuş (genelde gördüğüm buydu sanırım). Ancak proxy ayarlarıma erişemediğim için bu adresi kontrol edemiyordum. Tabi yine bunu çözmek için araştırma yapmam gerekiyordu. İnternette bulduğum bir video sayesinde HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Internet Explorer\Control Panel adresindeki ConnectionSettings anahtarını 1 den 0 a çevirerek LAN ayarlarına ulaştım. Burda karşılaştığım görüntü beni şaşkınlığa uğratmıştı, çünkü bir proxy ayarı yapılmamıştı. Bu arada bu gibi sorunlar anladığım kadarıyla grouppolicy problemleri. policyleri düzenleyerek de çözülebilecek şeylerdir belki. gpedit.msc ile çok çözmeyi denedim ancak bir çözüme ulaşamadım. Proxy ayarı yapılmamış, sadece bu seçenek kilitlenmişti, bu noktada kafam oldukça karıştı, ancak devam ettim. FRST denilen bir program vardı, bunu indirdim tarama yaptım ancak yine bir çözüme ulaşamadım, defalarca malwarebytes ile tarama yaptım fakat yine problem devam ediyordu. Bir süre yenilgiyi kabul ettikten sonra, tekrar motive olduktan sonra ProxySettingsPerUser anahatına odaklanmaya karar verdim. Bu anahtarı 0 dan 1 e çevirdiğim zaman sorunum çözülüyor 1 den 0 a çevirdiğim zaman ise sorunum tekrar başlıyordu. Ancak nedense ben 1 e çevirdikten sonra bilgisayarı açıp kapadığımda bu 1 değeri 0lanıp 0 a geri dönüyordu. Yani virüs bu anahtarı açılışta gözetliyor ve 1 olan değeri tekrar 0 a çeviriyordu. Bunu yapan işlemin ne olduğunu bulmam gerekiyordu. Burda yaptığım araştırmalarda sürekli gördüğüm Procmon programını kullanabileceğimi fark ettim. Procmon monitörü açıldığından itibaren yapılan işlemleri gözetleyip denetlemeye yarayan bir program. Bu programı indirip kurduktan sonra HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings adresindeki ProxySettingsPerUser anahtarında yapılan değişiklikler için bir filtre oluşturdum ve gözetlemeye başladım. Ancak bunun hiçbir faydası yoktu çünkü bilgisayar açıldığı anda anahtar 0 a çevriliyordu. Yine bilgisayarı yeniden başlatıp chromeda sorunun devam edip etmediğini denediğim bir vakit fark ettim ki, eğer çok hızlı davranırsam bazen anahtar değiştirilmeden hatasız bir şekilde arama yapabiliyordum. Bunun üzerine bilgisayarı yeniden başlatıp olabildiği kadar hızlı bir şekilde procmon açıp anahtarı gözetlemeye karar verdim. Ve işte o an sorunun kaynağını buldum. C:\Program Files (x86)\Common Files\installshield\engine\8\intel 32\iKernel.exe konumunda bulunan "iKernel.exe" uygulaması bilgisayar açıldığında çalışıyor, kayıt defterini kontrol ediyordu. Kayıt 1 ise kaydı değiştirip 0 yapıyordu. Hızlı davranmam sayesinde bunu yakalamıştım. Bu aynı zamanda arada sırada karşıma gelen InstallShield güncelleme pop-uplarını da açıklar nitelikteydi.Yine araştırmalarımda karşılaştığım üzere InstallShield hizmeti, bir yükleyici hizmetiymiş, bazen bu hizmeti kullanarak yüklenen uygulamaların yükleyicilerini çalıştırdığımızda kendileri ile beraber yüklenebiliyormuş. Bazı durumlarda bu InstalShield "exe"'si virüsler ile enjekte edilip sistemlere yükleniyor ve çeşitli saldırılarda kullanılabiliyormuş. Sorunun InstallShielddan kaynaklı olduğu kesinleştiğine göre tek yapmam gereken bu programı silmek diye düşünmüştüm. Ancak program ekle veya kaldır menüsünde gözükmüyordu. Bunun üzerinde nasıl silebileceğimi araştırdım, ve Microsoftun sağladığı bir program olan Autoruns for windows uygulaması ile sorunumu hem teyit edip hem de çözebileceğimi anladım. Bu program ise başlangıçta çalıştırılacak üzere kaydedilen tüm işlemleri gözler önüne seren oldukça kullanışlı bir program. Programı açtıktan sonra arama kısmına iKernel.exe yazdım ve anında sonuç verdi. iKernel.exe InstallShield ismi altında kendini çalıştırıyor ve her başlangıça bunu yapıyordu. Bu arada bu InstallShield görev yöneticisi -> başlangıç kısmında gözükmüyordu. Dolayısı ile başlangıçta çalışmak üzere kaydedilen bir program olduğunun görmenin yolu Autoruns kullanmaktı. Autoruns programında iKernel.exe'yi tespit ettikten sonra iKernel.exe'nin dosya konumuna girdim. Burada iKernel.exe'ye sağ tıklayarak önce izinlerinin hepsini kapattım. Daha sonra bilgisayarı yeniden başlattım. Ve sonunda sorunum çözülmüştü. Kalıcı olmasını tam olarak sağlamak adına C:\Program Files (x86)\Common Files\installshield dosyasını tamamen silmeye karar verdim. Sonuç olarak bir sorun yaşamadım henüz. Sanırım tam temiz bir yükleme için kayıt defteri temizliği de yapılırsa güzel olur. Eminim bulunan virüsü silmenin daha iyi yöntemleri vardır. Ancak benim aklıma gelen ilk şey direkt silmek oldu :) Görüldüğü üzere virüs bir InstallShield yüklemesi ile bilgisayarıma girmişti. Ancak ne kadar virüs taraması yaptıysam, ne kadar internette çözüm aradıysam direkt çözüme ulaşamamıştım. Çözebilmemin sebebi yaptığım araştırmalarda öğrendiğim şeyler oldu. Bu konuyu açmamın sebebi ise araştırma yapıp internette direkt tutorial şeklinde çözüm aramaktansa daha derin araştırarak sorunu kendimizin de çözebilmesinin mümkün olduğunu göstermekti. Umarım sizler de yaşadığınız sorunları çözersiniz.

Açıklama: arkadaşlar kimseye virüslü bilgisayar ile idare etmeyi tavsiye etmiyorum. bilgisayarınızda virüs olduğundan şüphelendiğiniz ilk anda bu sorunu çözmek için gerekli adımları atmanızı tavsiye ederim. Malwarebytes oldukça fazla önerilen bir program ve forumları inanılmaz aktif, insanların sorunları ile birebir ilgilenmişler günlerce uğraşmışlar. Konuları okurken tam "aha adam yapcak bi şey yok format atın çözemedim" diyecek sanıyorum, ama şaşırtıcı bir şekilde farklı bir çözümle geliyor.

Ayrıca bu sorunu çözerken kullandığım programlar ve yöntemlerden daha efektif seçenekler de olabilir. dediğim gibi bu konuda pek bilgim yok. Eğer bu konudan anlıyorsanız, yapacağınız yapıcı eleştirilere ve tavsiyelere açığım.

Hepinize iyi akşamlar dilerim arkadaşlar, sağlıcakla kalın.