Özlenen Rehber Dergisi

96.Sayı

Rvhost.exe Windows Tarafından Bulunamıyor Hatası...

Erol ŞEN (Moderatör) Özlenen Rehber Dergisi 96. Sayı
Kıymetli Özlenen Rehber Dergisi Okuyucularımız!

Bu sayımızdaki konumuz biraz farklı bir konu olacaktır. Bu konu hakkında siz okuyucularımızla gerekli bilgileri paylaşıp işlemi nasıl gerçekleştirebiliriz, bunu anlatmaya çalışacağım. Bilgisayarımız her başladığında "RVHOST. exe Windows tarafından bulunamıyor" diye bir uyarı alırız. Ne yapıp da bu uyarıdan kurtulabiliriz diyorsanız bu yazımızı iyi okuyup uygulamalısınız…

Şekil 1:



İlk Önce Virüs Hakkında kısa bilgiler verelim bu uyarı virüs müdür nedir, nasıl yayılır, nasıl çalışır bundan kurtulmak için neler yapmalıyız?..

Bu solucan, yerel diskler ve yazılabilir, ulaşılabilir çıkarılabilen diskler (usb flash bellekler) üzerine kendini kopyalayarak oluşur. Windows PE formatındaki exe uzantılı bir dosyadır ve upx ile pack edilmiştir. Virüsün efekte ettiği dosya 220 KB den 275 KB,462 KB arasında değişiyor.

Sisteme yerleştiği zaman, Windows sistem klasöründe ve açılış klasöründe aşağıdaki dosyaları oluşturur.

%WinDir%RVHOST.exe %System%RVHOST.exe

Sistem başlatıldığında otomatik olarak başlamak için, solucan kayıt defterinde çalıştırılabilir bir dosyaya aşağıdaki linki ekler.

[HKCUSoftwareMicrosoftWindowsCurrentVersionRun]
"Yahoo Messengger" = "%System%RVHOST.exe"

[HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWinlogon]

’Shell = "Explorer.exe RVHOST.exe"

Worm, tüm çıkarılabilir disklerin ve usb flash bellek te açılışlarında çalıştırılmak üzere aşağıda belirtilen dosyayı kopyalar.

New Folder.exe :

Ve birde çıkarılabilir disklere çalıştırılabilir bir dosyayı tüm klasörlere tekrarlayarak kopyalar. Her bir klasöre klasörün kendi adını kopyalar ve uzantısını da 462 KB olarak oluşturur. Wormun bu kopyalaması klasörlerle aynı adı taşıyan exe uzantılı bir dosya iledir.

Şekil 2:




Oluşturduğu Zararlar:
Worm, aynı zamanda da kayıt defterinde şu anahtar parametrelerini oluşturur.

[HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem]
DisableRegistryTools = 1 DisableTaskMgr = 1

Bu kayıttan sonra registry araçlarının çalışmasını ve görev yöneticisinin çalışmasını engelleyecektir. Gizli dosyaları kapatacaktır göstermeyecektir.

Temizleme Usulleri Nelerdir?

Sisteminizdeki antivirüs yazılımı varsa update yapın ya da KAV antivirüsü sisteminize kurun. Eğer herhangi bir yazılım yüklü değil ise manual olarak temizlemek için aşağıdaki işlemleri yapın.

1- Başlat >> Çalıştır >> cmd yazın ve komut satırına aşağıda belirtilen komutu yazın ve arka planda çalışan dosyanın çalışmasını durdurun.

taskkill /IM RVHOST. exe

2- Orijinal worm dosyasını silin.

3- Ve gene komut satırına aşağıdaki registry kayıtları ile ilgili komutları girin ve kayıt defterinden çalışması engellenen görev yöneticisi ve çalıştırılmayan registry araçlarının tekrar çalıştırılmasını sağlayın.

reg delete HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem/v
DisableTaskMgr
reg delete HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem /v
DisableRegistryTools

4- Gelen uyarıya ’Y’ tuşu ile onay verin.
5- Aşağıdaki registry kaydını silin.

[HKCUSoftwareMicrosoftWindowsCurrentVersionRun]
"Yahoo Messengger" = "%System%RVHOST.exe"


6- Aşağıdaki değiştirilmiş registry anahtarını aşağıdaki şekilde olan eski haline getirin.

[HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWinlogon]

Shell = "Explorer. exe"

7- Aşağıdaki dosyaları silin

%WinDir%RVHOST.exe
%System%RVHOST.exe

8- Çıkarılabilir disklerdeki worm tarafından oluşturulan tüm dosyaları silin.

9- Antivirüs yazılımınızı update yapın ve sistemi tekrar taratın.

10- En önemli ve sonuç alınan yöntemi ise ;

11- Başlat >> Çalıştır >> regedit yazın ve komut satırına RVHOST. exe komutu yazın ve arka planda registery de çalışan dosyayı durdurup silebilirsiniz.

Şekil 3:





Sevgili Özlenen Rehber Dergisi okuyucularım bir başka sayıda bir başka konuda görüşmek dileklerimle esen kalınız!..

yazımızı .pdf formatında görmek için tıklayınız

Bu içeriğe yorum yazabilirsiniz

  • betül

    güzel anlatmışsında.ben cmd yazıp enterlediğimde komut satırının başına gelemiyorum yani bilmiyorum çözümün an başında kaldım yardım lütfen

4 kişi yorum yazdı.