Temizlik sırasında yapmanız gereken bir takım islemler vardır. Daha az deneyimli kullanıcılar için, bu islemlerin neler oldugunu ve nasıl yapılacagını bir kez gözden geçirelim.
l PC'yi MS-DOS Kipinde Baslatma: Bunun için görev çubugunuzdan Baslat*Bilgisayarı Kapat komutuna tıklayın; ve karsınıza çıkacak menüde "MS-DOS Kipinde Baslat" seçenegini isaretleyerek Tamam tusuna basın.
l MS-DOS Komut İstemi Penceresi Açma: Yine görev çubugunuzdan Baslat*Çalıstır komutuna tıklayın; ve açılan pencereye COMMAND yazın.
l DOS Ortamında Dosya Silme: Komut satırındayken,
DEL "SilinecekDosyanınAdı"
komutunu kullanmalısınız. Örnek olarak, Acid Shivers trojan dosyasını silerken
DEL "C:Windowsmsgsvr16.exe"
komutunu kullanıyoruz. Tırnak isaretlerini koymayı unutmayın; bu sekilde DOS'un desteklemedigi uzun dosya isimleriyle karsı karsıya kaldıgınızda basınız derde girmez.
l Windows Ortamında Dosya Silme: Bunu yapmak, DOS ortamında komut yazmaktan daha kolaydır. Windows Gezgini'nde silmek istedigimiz dosyayı isaretleyerek sag fare tusuna tıklayın ve SİL komutunu seçin. PC'miz bize gerçekten silmek isteyip istemedigimizi sordugunda ise olumlu cevap verin.
l Registry Degeri Silme: Öncelikle Baslat*Çalıstır komutunu çalıstırarak REGEDIT yazın. Karsınıza çıkacak pencerenin sol tarafında silinecek degerin adresini bulun ve sag tarafta söz konusu degeri isaretleyip klavyedeki DELETE tusuna basın. Mesela BackDoor trojanı için HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentV ersionRun adresini açıp, sag tarafta belirecek olan "icqnuke.exe" degerinden kurtulmanız gerekiyor.
DİKKAT EDİLMESİ
GEREKEN NOKTALAR
l Trojan temizligine baslamadan önce, PC'nizdeki gizli ve sistem dosyalarınızın tümünü görünür hale getirin. Bunun için Windows Gezgini'nde Görünüm*Klasör Seçenekleri (View*Folder Options) menüsüne tıklayın; açılan pencerenin Görünüm (View) sekmesinde "Tüm Dosyaları Göster" (Show All Files) kutucugunun isaretli olduguna emin olun. Ayrıca altındaki "Bilinen Dosya Türlerinin Uzantılarını Gizle" kutucugunun isaretini kaldırmanız da yararınıza olacaktır.
l Bazı trojan'ların açıklamalarında aynı ada ve farklı dizine sahip birden fazla dosyanın silinmesi gerektigi yazmaktadır. Eger söz konusu dosya dizinlerden sadece birinde varsa, onu silmeniz de yeterli olacaktır.
l Unutmayın ki, trojanların isimlerini ve diger bilgilerini degistirmek pek zor degildir. Burada verdiklerimiz, tasıdıkları orijinal özelliklerdir. Adı degistirilmis bir trojan dosyasının yerini belirlemek biraz daha problemlidir; bu sorunun çözümüne örnek olarak NetBus ve SubSeven trojanını inceleyebilirsiniz.
l Dosya veya Registry degeri silme islemleri sırasında çok dikkatli olun. Özellikle Registry, Windows için hayati önem tasır. Yanlıs bir sey silmeniz sisteminizde aksaklıklara yol açabilir.
TEMİZLİK ZAMANI!
ACID SHIVERS
Port Numarası: 10520
Dosya Adı: "msgsvr16.exe"
Boyutu: 186 Kb
Dizini: C:Windows
1. Registy'nizdeki HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentV ersionRun "Explorer | msgsvr16.
exe" kaydını silin.
2. Registry'nizdeki HKEY_LOCAL_
MACHINESoftwareMicrosoftWindowsCurrentVersionRunSe rvices "Explorer | msgsvr16.exe" kaydını silin.
3. PC'nizi MS-DOS kipinde baslatın.
4. "C:Windowsmsgsvr16.exe" dosyasını silin.
5. PC'nizi yeniden baslatın.
BACK ORIFICE
Port Numarası: 31337
Dosya Adı: ".exe"
Boyutu: 122 Kb
Dizini: C:WindowsSystem
1. Registry'nizdeki HKEY_LOCAL_
MACHINESoftwareMicrosoftWindowsCurrentVersionRunSe rvices ".exe" kaydını silin.
2. PC'nizi yeniden baslatın.
3. Windows Explorer'ı baslatın. Görünüm*Klasör Seçenekleri menüsündeki Görünüm sekmesini açın ve Gizli Dosyalar bölümünde "Tüm Dosyaları Göster" seçeneginin isaretli oldugundan emin olun.
3. "C:WindowsSystem.exe" dosyasını silin.
4. PC'nizi yeniden baslatın.
BACKDOOR
Port Numarası: 1999
Dosya Adı: "icqnuke.exe"
Boyutu: 102 Kb
Dizini: C:Windows, C:WindowsSystem
1. Registry'nizdeki HKEY_LOCAL_
MACHINESoftwareMicrosoftWindowsCurrentVersionRun "icqnuke.exe" kaydını silin.
2. PC'nizi MS-DOS kipinde baslatın.
3. "C:Windowsicqnuke.exe" ve "C:WindowsSystemicqnuke.exe" dosyalarını silin.
4. PC'nizi yeniden baslatın.
BIG GLUCK
Port Numarası: 34324
Dosya Adı: "bg10.exe"
Boyutu: 100 Kb
Dizini: C:Windows, C:WindowsSystem
1. Registry'nizdeki HKEY_LOCAL_
MACHINESoftwareMicrosoftWindowsCurrentVersionRunSe rvices "bg10.exe" kaydını silin.
2. PC'nizi MS-DOS kipinde baslatın.
3. "C:Windowsbg10.exe" ve "C:
WindowsSystembg10.exe" dosyalarını silin.
4. PC'nizi yeniden baslatın.
BLADE RUNNER
Port Numarası: 21, 5400, 5401, 5402
Dosya Adı: "server.exe"
Boyutu: 323 Kb
Dizini: C:Windows, C:WindowsSystem
1. Registry'nizdeki HKEY_LOCAL_
MACHINESoftwareMicrosoftWindowsCurrentVersionRun "server.exe" kaydını silin.
2. PC'nizi MS-DOS kipinde baslatın.
3. "C:Windowsserver.exe" ve "C:
WindowsSystemserver.exe" dosyalarını silin.
4. PC'nizi yeniden baslatın.
BUGS
Port Numarası: 2115
Dosya Adı: "bugs.exe"
Boyutu: 78 Kb
Dizini: C:Windows, C:WindowsSystem
1. Registry'nizdeki HKEY_LOCAL_
MACHINESoftwareMicrosoftWindowsCurrentVersionRun "bugs.exe" kaydını silin.
2. PC'nizi MS-DOS kipinde baslatın.
3. "C:Windowsbugs.exe" ve "C:
WindowsSystembugs.exe" dosyalarını silin.
4. PC'nizi yeniden baslatın.
DEEP BACK ORIFICE
Port Numarası: 31338
Dosya Adı: ".exe"
Boyutu: 122 Kb
Dizini: C:Windows
1. Registry'nizdeki HKEY_LOCAL_
MACHINESoftwareMicrosoftWindowsCurrentVersionRunSe rvices ".exe" kaydını silin.
2. PC'nizi yeniden baslatın.
3. Windows Explorer'ı baslatın. Görünüm*Klasör Seçenekleri menüsündeki Görünüm sekmesini açın ve Gizli Dosyalar bölümünde "Tüm Dosyaları Göster" seçeneginin isaretli oldugundan emin olun.
4. "C:WindowsSystem.exe" dosyasını silin.
5. PC'nizi yeniden baslatın.
DEEP THROAT
Port Numarası: 2140, 3150
Dosya Adı: "systempatch.exe"
Boyutu: 255 Kb
Dizini: ?
1. Registry'nizdeki HKEY_LOCAL_
MACHINESoftwareMicrosoftWindowsCurrentVersionRun anahtarını açın. "systemDLL32 | systempatch.exe" kaydının isaret ettigi dizini bir kenara not aldıktan sonra söz konusu kaydı silin.
2. PC'nizi MS-DOS kipinde baslatın.
3. Not etmis oldugunuz dizin altındaki "systempatch.exe" dosyasını silin. MS-DOS kipinde adı 8 karakterden uzun dosyaların isimleri kısaltılacagı için, "system~1.exe" veya benzeri ada sahip bir dosyayı aramalısınız. Eger "system~" seklinde baslayan birden fazla EXE dosyası varsa hangisinin trojan dosyası oldugundan emin olmadan silme isine girismeyin.
4. PC'nizi yeniden baslatın.
DOLY TROJAN
Port Numarası: 1011, 21
Dosya Adı: "tesk.exe"
Boyutu: 169 Kb
Dizini: C:Wİndows , C:WindowsSystem
1. Registry'nizdeki HKEY_LOCAL_
MACHINESoftwareMicrosoftWindowsCurrentVersionRun "tesk.exe" kaydını silin.
2. PC'nizi MS-DOS kipinde baslatın.
3. "C:Windowstesk.exe" ve "C:WindowsSystemtesk.exe" dosyalarını silin.
4. PC'nizi yeniden baslatın.
GIRLFRIEND
Port Numarası: 21554
Dosya Adı: "windll.exe"
Boyutu: ?
Dizini: C:Windows
1. Registry'nizdeki HKEY_LOCAL_
MACHINESoftwareMicrosoftWindowsCurrentVersionRun "windll.exe" kaydını silin.
2. PC'nizi yeniden baslatın.
3. "C:Windowswindll.exe" dosyasını silin.
4. PC'nizi yeniden baslatın.
HACK A TACK
Port Numarası: 31785, 31787
Dosya Adı: "expl32.exe"
Boyutu: 236 Kb
Dizini: C:Windows
1. Registry'nizdeki HKEY_LOCAL_
MACHINESoftwareMicrosoftWindowsCurrentVersionRun "Explorer32 | C:Window***pl32.exe" kaydını silin.
2. PC'nizi MS-DOS kipinde baslatın.
3. "C:Window***pl32.exe" dosyasını silin.
4. PC'nizi yeniden baslatın.
IN***LLER
Port Numarası: 9989
Dosya Adı: "bad.exe"
Boyutu: ?
Dizini: C:Windows
1. Registry'nizdeki HKEY_LOCAL_
MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun "Explorer" kaydını silin.
2. PC'nizi yeniden baslatın.
3. "C:Windowsbad.exe" dosyasını silin.
4. PC'nizi yeniden baslatın.
MASTERS PARADISE
Port Numarası: 3129, 40421, 40422,40423,
40426
Dosya Adı: "sysedit.exe", "keyhook.dll"
Boyutu: ?
Dizini: C:Windows
1. Registry'nizdeki HKEY_LOCAL_
MACHINESoftwareMicrosoftWindowsCurrentVersionRun "sysedit.exe" kaydını silin.
2. PC'nizi yeniden baslatın.
3. "C:Windowssysedit.exe" ve "C:
Windowskeyhook.dll" dosyalarını silin.
4. PC'nizi yeniden baslatın.
5. Gerçek "sysedit.exe" dosyasını Windows CD'nizden veya güvendiginiz bir arkadasınızdan tekrar yükleyin.
NETBUS PRO
Port Numarası: 20034
Dosya Adı: "NBSvr.exe"
Boyutu: 599 Kb
Dizini: C:Windows , C:WindowsSystem
1. Registry'nizdeki HKEY_LOCAL_
MACHINESoftwareMicrosoftWindowsCurrentVersionRunSe rvices "NetBus Server Pro | nbsvr.exe" kaydını silin.
2. Registry'nizdeki HKEY_CURRENT_
USERNetBus Server anahtarını silin.
3. PC'nizi MS-DOS kipinde baslatın.
4. "C:WindowsNBSvr.exe" , "C:WindowsNBHelp.dll" , "C:WindowsLog.txt" dosyalarını silin. (Aynı dosyalar C:WindowsSystem dizininde de olabilir)
5. PC'nizi yeniden baslatın.
NETBUS
Port Numarası: 12345, 12346
Dosya Adı: "patch.exe"
Boyutu: 470 Kb
Dizini: C:WindowsSystem
1. Registry'nizdeki HKEY_LOCAL_
MACHINESoftwareMicrosoftWindowsCurrentVersionRun "patch.exe" kaydını arayın. Söz konusu kaydı bulamazsanız trojan'ın adı degistirilmis demektir. Bu durumda aynı Registry anahtarı altında yer alan tüm EXE kayıtlarını not alın ve C:WindowsSystem dizinindeki EXE dosyalarıyla karsılastırın. 470 KB boyutunda olan dosya, adı degistirilmis NetBus trojanıdır. Registry kaydını silin.
2. Bir MS-DOS Komut İstemi penceresi açın ve "C:WindowsSystempatch.
exe /remove" komutunu kullanın. (Trojanın adı degistirilmisse, patch.exe yerine PC'nizdeki adını yazın.)
3. "C:WindowsSystempatch.exe" dosyasını silin.
NETSPHERE
Port Numarası: 30100, 30101, 30102
Dosya Adı: "nssx.exe"
Boyutu: 640 Kb
Dizini: C:WindowsSystem
1. Registry'nizdeki HKEY_LOCAL_
MACHINESoftwareMicrosoftWindowsCurrentVersionRun "NSSX | C:WindowsSystemnssx.exe" kaydını silin.
2. PC'nizi MS-DOS kipinde baslatın.
3. "C:Windowsnssx.exe" dosyasını silin.
4. PC'nizi yeniden baslatın.
RAT
Port Numarası: 1095, 1097, 1098, 1099
Dosya Adı: " .exe", "mswinsck.ocx",
"wavestream.dll", "regsvr32.exe"
Boyutu: 298 KB, 99 Kb, 35 Kb, 20 Kb
Dizini: C:WindowsSystem
1. Registry'nizdeki su anahtarları silin:
HKEY_LOCAL_MACHINESOFTWAREClassesCLSID{925B0F6C-605D-11CF-BAEF-F89005C10000}
HKEY_LOCAL_MACHINESOFTWAREClassesCLSID{925B0F6C-605D-11CF-BAEF-F89005C10000} Implemented Categories
HKEY_LOCAL_MACHINESOFTWAREClassesCLSID{925B0F6C-605D-11CF-BAEF-F89005C10000}
Implemented Categories{40FC6ED5-2438-11CF-A3DB-080036F12502}
HKEY_LOCAL_MACHINESOFTWAREClassesCLSID{925B0F6C-605D-11CF-BAEF-F89005C10000}InprocServer32
HKEY_LOCAL_MACHINESOFTWAREClassesCLSID{925B0F6C-605D-11CF-BAEF-F89005C10000}ProgID
HKEY_LOCAL_MACHINESOFTWAREClassesCLSID{925B0F6C-605D-11CF-BAEF-F89005C10000}Programmable
HKEY_LOCAL_MACHINESOFTWAREClassesCLSID{925B0F6C-605D-11CF-BAEF-F89005C10000}TypeLib
HKEY_LOCAL_MACHINESOFTWAREClassesCLSID{925B0F6C-605D-11CF-BAEF-F89005C10000}Version
HKEY_LOCAL_MACHINESOFTWAREClassesInterface{925B0F6 B-605D-11CF-BAEF-F89005C10000}
HKEY_LOCAL_MACHINESOFTWAREClassesInterface{925B0F6 B-605D-11CF-BAEF-F89005C10000}ProxyStubClsid
HKEY_LOCAL_MACHINESOFTWAREClassesInterface{925B0F6 B-605D-11CF-BAEF-F89005C10000}ProxyStubClsid32
HKEY_LOCAL_MACHINESOFTWAREClassesInterface{925B0F6 B-605D-11CF-BAEF-F89005C10000}TypeLib
HKEY_LOCAL_MACHINESOFTWAREClassesTypeLib{925B0F6D-605D-11CF-BAEF-F89005C10000}
HKEY_LOCAL_MACHINESOFTWAREClassesTypeLib{925B0F6D-605D-11CF-BAEF-F89005C10000}1.0
HKEY_LOCAL_MACHINESOFTWAREClassesTypeLib{925B0F6D-605D-11CF-BAEF-F89005C10000}1.0
HKEY_LOCAL_MACHINESOFTWAREClassesTypeLib{925B0F6D-605D-11CF-BAEF-F89005C10000}1.0win32
HKEY_LOCAL_MACHINESOFTWAREClassesTypeLib{925B0F6D-605D-11CF-BAEF-F89005C10000}1.0FLAGS
HKEY_LOCAL_MACHINESOFTWAREClassesTypeLib{925B0F6D-605D-11CF-BAEF-F89005C10000}1.0HELPDIR
HKEY_LOCAL_MACHINESOFTWAREClassesWaveStreaming.Wav eStream
HKEY_LOCAL_MACHINESOFTWAREClassesWaveStreaming.Wav eStreamClsid
2) Registry'nizdeki su kayıtları silin:
HKEY_LOCAL_MACHINESOFTWAREClassesCLSID{925B0F6C-605D-11CF-BAEF-F89005C10000} @="WaveStreaming.WaveStream"
HKEY_LOCAL_MACHINESOFTWAREClassesCLSID{925B0F6C-605D-11CF-BAEF-F89005C10000} InprocServer32@="C:WINDOWSSYSTEMWAVESTREAM.DLL"
HKEY_LOCAL_MACHINESOFTWAREClassesCLSID{925B0F6C-605D-11CF-BAEF-F89005C10000} ProgID@="WaveStreaming.WaveStream"
HKEY_LOCAL_MACHINESOFTWAREClassesCLSID{925B0F6C-605D-11CF-BAEF-F89005C10000} TypeLib@="{925B0F6D-605D-11CF-BAEF-F89005C10000}"
HKEY_LOCAL_MACHINESOFTWAREClassesCLSID{925B0F6C-605D-11CF-BAEF-F89005C10000} Version@="1.0"
HKEY_LOCAL_MACHINESOFTWAREClassesInterface{925B0F6 B-605D-11CF-BAEF-F89005C10000} @="WaveStream"
HKEY_LOCAL_MACHINESOFTWAREClassesInterface{925B0F6 B-605D-11CF-BAEF-F89005C10000} ProxyStubClsid@="{00020424-0000-0000-C000-000000000046}"
HKEY_LOCAL_MACHINESOFTWAREClassesInterface{925B0F6 B-605D-11CF-BAEF-F89005C10000} ProxyStubClsid32@="{00020424-0000-0000-C000-000000000046}"
HKEY_LOCAL_MACHINESOFTWAREClassesInterface{925B0F6 B-605D-11CF-BAEF-F89005C10000} TypeLib@="{925B0F6D-605D-11CF-BAEF-F89005C10000}"
HKEY_LOCAL_MACHINESOFTWAREClassesInterface{925B0F6 B-605D-11CF-BAEF-F89005C10000} TypeLibVersion="1.0"
HKEY_LOCAL_MACHINESOFTWAREClassesTypeLib{925B0F6D-605D-11CF-BAEF-F89005C10000}1.0 @="MS Internet Audio Streaming Support"
HKEY_LOCAL_MACHINESOFTWAREClassesTypeLib{925B0F6D-605D-11CF-BAEF-F89005C10000}1.0win32 @="C:WINDOWSSYSTEMWAVESTREAM.DLL"
HKEY_LOCAL_MACHINESOFTWAREClassesTypeLib{925B0F6D-605D-11CF-BAEF-F89005C10000}1.0FLAGS @="0"
HKEY_LOCAL_MACHINESOFTWAREClassesTypeLib{925B0F6D-605D-11CF-BAEF-F89005C10000}1.0 HELPDIR@="C:WINDOWSSYSTEM"
HKEY_LOCAL_MACHINESOFTWAREClassesWa...eStreaming.W aveStream"
HKEY_LOCAL_MACHINESOFTWAREClassesWaveStreaming.Wav eStreamClsid @="{925B0F6C-605D-11CF-BAEF-F89005C10000}"
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentV ersionRun Explorer="C:WINDOWSsystem
MSGSVR16.EXE"
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentV ersionRunServicesDefault=" "
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentV ersionRunService***plorer=" "
3. PC'nizi MS-DOS kipinde baslatın.
4. "C:WindowsSystem .exe" , "C:WindowsSystemMSGSVR16.EXE" , "C:WindowsSystemwaveStream.dll" dosyalarını silin.
5. PC'nizi yeniden baslatın.
SUBSEVEN
Port Numarası: 1243, 1999, 6711, 6776
Dosya Adı:
1. Dosya: "server.exe", "rundll16.exe",
"systray.dl", "Task_bar.exe"
2. Dosya: "FAVPNMCFEE.dll",
""MVOKH_32.dll", "nodll.exe",
"watching.dll"
Boyutu: 328 Kb, 35 Kb
Dizini: C:Windows, C:WindowsSystem
1. "C:WindowsSystemSysEdit.exe" dosyasını çalıstırın. SYSTEM.INI dosyasının [boot] bölümündeki "sh*ll=Explorer.exe" satırını inceleyin. Satırın sagına yukarıda adı geçen dosya adlarından biri eklenmisse, dosya adını bir kenara not edin ve satırı "sh*ll=Explorer.exe" haline getirin.
2. Aynı penceredeki WIN.INI dosyasının [windows] bölümünde "run=" ve "load=" diye baslayan satırları inceleyin. Söz konusu satırlardan biri yukarıda adı geçen dosyalardan birine isaret ediyorsa, dosya adını not edin ve satırı silin.
3. Yapmıs oldugunuz degisiklikleri kaydedip SysEdit penceresini kapatın.
4. Registry'nizdeki HKEY_LOCAL_
MACHINESoftwareMicrosoftWindowsCurrentVersionRun anahtarını inceleyin ve yukarıda adı geçen dosyalara isaret eden kayıtları silin. Herhangi bir kayıt bulamazsanız trojanın adı degistirilmis demektir. Bu durumda aynı Registry anahtarı altında yer alan tüm EXE kayıtlarını not alın ve C:Windows dizinindeki EXE dosyalarıyla karsılastırın. 328 Kb boyutunda olan dosya, adı degistirilmis SubSeven trojanıdır. Registry kaydını silin.
5. PC'nizi yeniden baslatın.
6. C:Windows dizinindeki trojan dosyasını silin.
WHACK A MOLE
Port Numarası: 12361, 12362
Dosya Adı: "whack.exe"
Boyutu: ?
Dizini: C:Windows
1. Registry'nizdeki su kayıtları silin:
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentV ersionRun "NetBuster"
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentV ersionRun "SysCopy"
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentV ersionRunServices "RunDll"
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentV ersionRunServices "RunDll32"
2. Registry'nizdeki HKEY_CLASSES_
ROOT.dl_ anahtarını silin.
3. PC'nizi MS-DOS kipinde baslatın.
4. C:Windows dizini altındaki su dosyaları silin:
keyhook.dll
keyhook.dl_
nbsetup.reg
nb2setup.reg
ntsetup.reg
nt2setup.reg
rundll.dl_
whack.exe
5. PC'nizi yeniden baslatın.
WINCRASH
Port Numarası: 5742
Dosya Adı: "server.exe"
Boyutu: 290 Kb
Dizini: C:WindowsSystem
1. Registry'nizdeki HKEY_LOCAL_
MACHINESoftwareMicrosoftWindowsCurrentVersionRun "MsManager | SERVER.EXE" kaydını silin.
2. PC'nizi MS-DOS kipinde baslatın.
3. "C:WindowsSystemserver.exe" dosyasını silin.
4. PC'nizi yeniden baslatın
Virüsten korunma kodları
-
byrapor
- Byte1
- Mesajlar: 50
- Kayıt: 21 Eki 2007, 17:47