SCCM 2012 R2 Yazılımının Verimli Kullanımı – 1 : Russia.exe Solucanının Query ile Tespiti ve Temizlenmesi

SCCM 2012 R2 Yazılımının Verimli Kullanımı – 1

Russia.exe Solucanının Query ile Tespiti ve Temizlenmesi

Tekrar Merhaba Arkadaşlar.

Bu makalemde bir başlangıç yaparak; “Bu yazılımdan nasıl verim alabiliriz?” konusunda bilgiler vermeye çalışacağım. Bence bu programın yeteneği yalnızca program kurmak veya envanter toplamak olmamalı. Çünkü SCCM ile kendi yeteneklerimizi birleştirerek sistemin Toplu İşlem yeteneğini arttırabilir, sistemden daha fazla verim alabiliriz.

Bu makalede sizlere Russia.exe solucanını SCCM ile raporlayıp, bulaşan sistemden nasıl temizlenebileceğini anlatacağım.

Biliyorsunuz SCCM Administration/Default Client Settings’de belirtilmiş periyodlarda tüm client bilgisayarları tarayarak envanter bilgisi toplar.

SCCM’in bilgisayarlardan, yazılım ile ilgili olarak ne şekilde ve ne zaman envanter topladığını öğrenmek için Administration kısmındaki Client Settings altındaki Default Client Settings’e çift tıklayın.

Default Settings / Software Inventory tabına tıklayalım.

Burada hangi zamanlarda, hangi tür dosyaların ne şekilde filtrelenerek envanter oluşturulması gerektiği ile ilgili ayarlar yapılır. Ayrıca envanter toplama işleminin 7 günde bir yapıldığını da buradan görebilir, değiştirebilirsiniz.

Set Types butonuna tıkladığımızda EXE uzantılı dosyaların client üzerindeki tüm disklerden (buna taşınabilir diskler de dahil) envanterinin toplandığını görüyoruz.

Russia.exe solucanı EXE uzantılı olduğu için oluşturacağımız Query listemize gelecektir.

Query Oluşturma

Monitoring tabı altındaki Queries kısmında sağ tıklayarak Create Query diyoruz.

Query Name ve Comments yazdıktan sonra Edit Query Statement butonuna tıklıyoruz.

General tabı altındaki New butonuna tıklıyoruz.

Attribute seçmek için Select butonuna tıklıyoruz.

İlk olarak Russia.exe’nin hangi bilgisayarda barındığını anlamak için bilgisayar adını görebilmemiz gerekir. Attribute Class olarak System Resource altında bulunan NetBIOS Name attribute seçimini yapıyoruz ve ardından OK butonuna tıklıyoruz.

Tekrar OK butonuna tıklıyoruz.

Ardından isteğe bağlı olarak tekrar New butonuna tıklıyoruz. Ben burada son oturum açan kullanıcı bilgisini ve IP adresi bilgisini de sütunlarıma ekleyeceğim.

Kriterimizi belirlemek için Criteria tabına ve ardından New butonuna tıklıyoruz.

Dosya ismini belirtebilmemiz için Software Files altındaki File Name alanını seçiyoruz ve ardından OK butonuna tıklıyoruz.

Operatör olarak içerisinde bulunan yani is like seçeneğini seçiyoruz. Dosya ismi farklılık gösterebileceği için bu seçeneği seçmemizde fayda var. Ve ardından Value değeri olarak %Russia.exe% giriyoruz, OK butonuna tıklıyoruz.

Kriterimizi oluşturmuş olduk.

General tabına geri geliyoruz.  Bize Russia.exe’nin bulunduğu yolu (path) ve emin olmak için dosya adını (file name) listelemek için gerekli sütunları ekleyeceğiz. New butonuna tıklıyoruz.

Select butonuna tıklıyoruz.

Attribute Class olarak Software Files ve ardından Attribute olarak File Name seçimini yapıyoruz.

Aynı işlemleri tekrar yaparak şimdi de File Path sütununu ekleyeceğiz. New butonuna tıklıyoruz.

Select butonuna tıklıyoruz.

Attribute Class olarak yine Software Files ve Attribute olarak File Path seçimini yapıyoruz ve ardından OK butonuna tıklıyoruz.

OK butonuna tıklıyoruz.

Next butonuna tıklıyoruz.

Russia.exe dosyası için oluşturduğumuz Querymizin başarılı olduğuna dair aldığımız Success mesajını da gördükten sonra Close butonuna tıklayıp sihirbazı sonlandırıyoruz.

Oluşturduğumuz Querye çift tıklayarak çalışıp çalışmadığını görelim.

Şekilde de görüldüğü gibi bir bilgisayara bulaşmış görünüyor. Solucan kendini hem başlangıca, hem de ilgili kullanıcının Temp dizinine oluşturmuş.

Temizlik Aşaması

Şimdi gelelim bu solucanı temizleme aşamasına.

Biliyorsunuz ki aktif olarak çalışan bir program özel bir yöntem kullanmadığınız sürece silinemez.

İlk olarak solucan bulaşmış bilgisayarda bu programı sonlandırmamız gerekiyor.

Bunun için ben Microsoft ürününden bağımsız olarak yazılmış olan SCCM Client Center yazılımını kullanacağım. Kullanmak isterseniz bu programı;

http://sourceforge.net/projects/smsclictr/ adresinden indirebilirsiniz.

Programı çalıştırdıktan sonra Client kutucuğuna solucan bulaşmış olan bilgisayar adını ya da IP adresini yazıyoruz ve ardından Enter tuşuna basıyoruz. Kutucuğun yanında Connected yazıyor ise bağlantı başarılı demektir.

Ardından Running Executions tabına ve ardından Processes tabına tıklıyoruz.

Show Processes butonuna tıkladığımızda Russia.exe’nin aktif olarak çalıştığını görüyoruz. Üzerine sağ tıklayarak Kill process seçeneğini tıklıyoruz.

Liste kendini anlık yenileyemeyeceği için tekrar Show Processes butonuna tıklıyoruz. Bu işlemi bazı solucanlar için tekrar tekrar yapabiliriz. Çünkü bazı inatçı solucanlar kendini (programların OnClose işleminde) tekrar çalıştırabiliyor. Onun için farklı çözümler gerekebilir. Russia.exe’nin tekrar çalışıp çalışmadığından emin olmak için bu işlemi birkaç kez yapabiliriz.

Ve son olarak eğer direkt erişimimiz var ise Başlat/Çalıştır kısmından ilgili pathe giriş yaparak Russia.exe dosyasını siliyoruz.

Bilgisayarın başlangıcına kendini yazmış olsa bile dosyayı sildiğimiz için programı tekrar başlatamayacaktır.

Query kısmında tekrar aynı raporu aldığımızda listede aynı bilgisayar görülebilir. SCCM tekrar envanter topladığında listemizde olmadığını görebilirsiniz. Benim kullandığım SCCM’de bu işlem 7 gün içerisinde gerçekleşecektir.

Verimlilik ile ilgili hazırlamış olduğum ilk makalem burada sona eriyor.

Okuduğunuz için teşekkür ederim.

Kolay gelsin…