En son konular
» DNS Ayarları Nasıl Değiştirilir
START UP (BAŞLANGIÇ) PROGRAMLARI: EmptyÇarş. 27 Şub. 2013, 14:37 tarafından Admin

» Pc deki keyloggerı bulup imha etme
START UP (BAŞLANGIÇ) PROGRAMLARI: EmptyÇarş. 27 Şub. 2013, 14:22 tarafından Admin

» CMD çalıştır komutları
START UP (BAŞLANGIÇ) PROGRAMLARI: EmptyÇarş. 27 Şub. 2013, 14:19 tarafından Admin

» Adsl Modem Teknik Servis Numaraları
START UP (BAŞLANGIÇ) PROGRAMLARI: EmptyÇarş. 27 Şub. 2013, 14:15 tarafından Admin

» Program Ekle/Kaldır dan Silinemeyen Programların Silinmesi
START UP (BAŞLANGIÇ) PROGRAMLARI: EmptyÇarş. 27 Şub. 2013, 14:12 tarafından Admin

» Format Atmanın Faydaları Ve Zararları
START UP (BAŞLANGIÇ) PROGRAMLARI: EmptyÇarş. 27 Şub. 2013, 14:09 tarafından Admin

» deneme
START UP (BAŞLANGIÇ) PROGRAMLARI: EmptySalı 26 Şub. 2013, 15:17 tarafından Misafir

» şikayet ve öneri
START UP (BAŞLANGIÇ) PROGRAMLARI: EmptyC.tesi 08 Mayıs 2010, 06:59 tarafından Misafir

» OTOBÜS ŞOFÖRÜ SERKAN
START UP (BAŞLANGIÇ) PROGRAMLARI: EmptyPaz 12 Nis. 2009, 15:32 tarafından Admin

Kimler hatta?
Toplam 1 kullanıcı online :: 0 Kayıtlı, 0 Gizli ve 1 Misafir

Yok

Sitede bugüne kadar en çok 33 kişi Salı 01 Ağus. 2017, 13:32 tarihinde online oldu.

START UP (BAŞLANGIÇ) PROGRAMLARI:

Aşağa gitmek

START UP (BAŞLANGIÇ) PROGRAMLARI: Empty START UP (BAŞLANGIÇ) PROGRAMLARI:

Mesaj tarafından Admin Bir Çarş. 05 Mart 2008, 14:00


START UP (BAŞLANGIÇ) PROGRAMLARI:

Bilgisayarımız açılırken bazı programlar sistem ihtiyaçlarından bazılarıda kullanıcı ihtiyaçlarından dolayı otomatik olarak çalıştırılırlar. Örneğin bir virüs tarama programınız varsa başlangıçta bu program otomatik olarak sisteminize yüklenir. Başlangıç programlarının çalışma sistemini kavrayabilmek ve onları kontrol edebilmek trojanları ortadan kaldırmada en etkili yöntemdir. Start up
dosyaları bilgisayarınız açılırken çeşitli yollarla kendisini sisteme yükler.

1) Win.ini

Başlat a gelerek çalıştırda win.ini yazıp enter a
basarsanız aşağıdaki gibi bir metinle karşılaşırsınız.

[windows]

NullPort=None
Options=85663
load=
device=TRIO DATAFAX,DATAFAX,WINSERVE:
run=

[Desktop]
TileWallpaper=0
WallpaperStyle=0
Pattern=(None)
Wallpaper=C:\\WINDOWS\\WEBSHOTS.BMP


[intl]
iCountry=90
ICurrDigits=2
iCurrency=3
iDate=1
iDigits=2
iLZero=1
iMeasure=0
iNegCurr=8
iTime=1
iTLZero=1
s1159=
s2359=
sCountry=Turkey
sCurrency=TL
sDate=.
sDecimal=,
sLanguage=trk
sList=;
sLongDate=dd MMMM yyyy dddd
sShortDate=dd.MM.yyyy
sThousand=.
sTime=:
..................

...............

yukarıdaki [windows] başlığı altındaki "load= " ve "run= "ifadelerinden sonra gelecek olan dosya ismi bilgisayarınız tarafından açılışta otomatik olarak sisteminize yüklenir. Bilgisayarınız için gerekli bazı dosyalarda burada bulunarak başlangıçta çalıştırılabilir. Fakat aynı yeri bir trojan da kullanabilir. Bu durumda hangi dosyanın trojan hangisinin normal bir dosya olduğunu ayırt etmek sizin elinizde. Trojan olduğunu tahmin ettiğiniz dosya ismini silerseniz
trojanın açılışta çalışmasını önlemiş olursunuz. Ama trojan hala bilgisayarınızdadır. Sadece çalışması engellenmiştir.

2) System.ini

Başlat a gelerek çalıştır da system.ini yazıp enter a basarsanız karşınıza aşağıdaki gibi bir dosya çıkar.

[boot]
oemfonts.fon=vgaoem.fon
system.drv=system.drv
drivers=mmsystem.dll ctpnpscn.drv power.drv
shell=Explorer.exe
gdi.exe=gdi.exe
sound.drv=mmsound.drv
dibeng.drv=dibeng.dll
comm.drv=comm.drv
mouse.drv=mouse.drv
keyboard.drv=keyboard.drv
*DisplayFallback=0
fonts.fon=vgasys.fon
fixedfon.fon=vgafix.fon
386Grabber=vgafull.3gr
display.drv=pnpdrvr.drv
scrnsave.exe=
user.exe=user.exe

[keyboard]
keyboard.dll=
oemansi.bin=xlat857.bin
subtype=
type=4

[boot.description]
system.drv=Standart PC
keyboard.typ=Standart 101/102-Tuşlu veya Microsoft Natural Klavye
aspect=100,96,96
mouse.drv=Standart fare
display.drv=3D Artist PA50
.........................

.........................

yukarıdaki satırlar arasında yer alan(üstten 4. sırada) shell=Explorer.exe satırına dikkat etmeniz gerekir. Bu satır da yazan dosya isimleri bilgisayarınız açılırken sisteme yüklenir (bu dosyanın trojan veya normal bir program olup olmadığını ayıretmek sizin elinizde). örneğin:

shell=Explorer.exe Winlog.exe

şeklindeki bir satır tehlike işaretidir. Explorer.exe ve winlog.exe açılışta sisteminize yüklenmektedir. Explorer.exe sisteminizin kullandığı bir program olduğu biliniyor. Öyleyse winlog.exe muhtemelen bir trojandır. Bu satırda winlog.exe dosya ismini silerseniz

shell=Explorer.exe

şeklinde değişir satırımız. Artık açılışta bu program çalıştırılmayacak dolayısıyla portlarınız açılmayacaktır. Fakat bu ismi silmekle trojanı silmiş olmayız sadece çalıştırılmasını önlemiş olduk.

3) C:\\WIDOWS\\SYSTEM dizini

c:\\windows\\system dizini altında bilgisayarınızın kullanmış olduğu donanım sürücüleri ve daha pek program açılışta bilgisayarınız tarafından sisteme yüklenir. Bu dizini yerleştirilmiş bir trojan (örneğin schoolbus bu şekilde grcframe.exe adındaki trojanı buraya kopyalar) bilgisayar açılırken sisteme yüklenir. İşte bu dizin içinde yer alan dosyanın silinmesiyle trojandan kurtulmuş olursunuz. Fakat windows ortamında silmeye kalkarsanız. Program şu anda kullanımda silemezsiniz gibi bir hata mesajıyla karşılaşırsınız. Bu sorunu aşmak için başlat ta bilgisayarı kapat bölümünde Ms-Dos kipinde başlat seçeneği işaretli olarak kapatırsanız. Sistemininiz Ms-dos kipinde açılacaktır.

c:\\windows>

şeklinde bir satır karşınıza çıkacak.

c:\\windows>cd system

yazıp enter a basarsanız

c:\\windows\\system>

satırı oluşur. İşte burada silmek istediğimiz dosyanın
adını yazarak silebiliriz. Örneğin dosyamız winloger.exe ise

c:\\windows\\system>del winloger.exe

satırını yazıp enter a basarsak dosya sistemden silinmiş olur.

4)Registery

Başlat ta regedit yazıp enter a basarsanız registery ayarlarına ulaşmiş olursunuz. Aşağıda görüldüğü gibi




START UP (BAŞLANGIÇ) PROGRAMLARI: Reg1






buradan

HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/

bölümüne geçersek aşağıdakine benzer bir ekranla karşılaşmış oluruz




START UP (BAŞLANGIÇ) PROGRAMLARI: Reg2

Bu ekranda görülen Run, RunOnce, RunOnceEx, RunServices ve RunServicesOnce klasörleri bilgisayar açılırken sisteme yüklenecek programları belirtir. Mesela Run klasörünün içeriğine bakarsak aşağıdakine benzer bir ekran görürüz.




START UP (BAŞLANGIÇ) PROGRAMLARI: Reg3

burada görülen programlardan şayet trojan olduğunu düşündüğümüz varsa sağdaki bölümden program üzerine gelerek sağ tıkladığınızda çıkan menüden sil i seçerseniz dosya kayıttan silinmiş olur. Bu işlemi diğer bölümlerde de yapabilirsiniz(tabiki bu görüntüler benim bilgisayarımın yapılandırması sizin ki farklı olabilir. Yukarıda gösterilen programlardan LoadPowerProfil, ScanRegistry, SystemTray, TaskMonitor sistem tarafından kullanılan temel programlardan dır. Diğerleri kullanıcı tarafından eklenmiş olabilir(Sizin bilgisayarınız için de geçerli).

Start up programlarının kontrolü:

Bu programları kontrol edebilmek için windows ile birlikte gelen oldukça kullanışlı her bilgisayarda olan bir program var. Msconfig.exe adındaki bu program ile start up (başlangıç) dosyalarını kontrol edebilirsiniz. Dolayısıyla sizden habersiz hiçbir dosya bilgisayarınızda çalıştırılamaz.

Başlat ta çalıştır a gelerek msconfig yazıp enter a basarsanız aşağıdaki gibi bir ekranla karşılaşmış olursunuz.


START UP (BAŞLANGIÇ) PROGRAMLARI: Reg4


Görüldüğü gibi biraz önce bahsettiğimiz win.ini, system.ini ve registery ayarlarını buradan kontrol etmek de mümkün. Örneğin win.ini den tehlikeli gördüğümüz bir satırı kaldırmak istersek sadece yanındaki onay işaretini siliyoruz. Bilgisayar açılırken o satırı çalıştırmıyor. Fakat system.ini yi buradan düzeltmenizi tavsiye etmiyorum.

START UP (BAŞLANGIÇ) PROGRAMLARI: Reg6

Ayrıca yukarıda görülen başlangıç kartını aktif
yaparsanız aşağıdaki gibi bir ekranla karşılaşırsınız.


START UP (BAŞLANGIÇ) PROGRAMLARI: Reg5

yukarıda gördüğümüz programlar bilgisayar açılırken yüklenen (system.ini ve c:\\windows\\system dizini hariç) win.ini ve registery de bulunan dosyalardır. Bu dosyalardan herhangi birini yanındaki onay işaretini kaldırarak çalışmaz hale getirebilirsiniz. Çoğunlukla msconfig ile sisteminizde trojan olup olmadığını anlamak mümkün olur. Bilgisayarınızın kullandığı programları biliyorsanız. Geriye kalanlar tehlike işaretidir. Özellikle yukarıda da görüldüğü
gibi c:\\windows, c:\\windows\\system veya c:\\windows\\temp dizini
altındaki dosyalara dikkat edilmesi gereklidir.

Start up dosyalarını kontrol etmek için bir yol daha vardır. Başlat ta programlar-donatılar-sistem araçları-sitembilgisi çalıştırılırsa aşağıdakine benzer bir ekran çıkar.




START UP (BAŞLANGIÇ) PROGRAMLARI: Reg7


buradan Yazılım Ortamı aktif hale getirilirse bizim işimize yarayacak iki bölüm karşımıza çıkar; Başlangıç programları ve Çalışan Görevler. Başlangıç programını aktif hale getirirseniz msconfig den tanıdığımız programları görürüz. Bizim için asıl önemli olan yer Çalışan görevler bölümü, bu bölüm aktif yapılırsa


START UP (BAŞLANGIÇ) PROGRAMLARI: Reg8

bilgisayarınızda çalışan system dizini de dahil tüm programlar gösterilir. Fakat sadece seyredebilirsiniz, değişiklik buradan mümkün değil. Dikkat edilmesi gereken sürüm, üretici ve tanım kısımları boş olan programlardır. Yukarıda ki örnekte bu şartlara uyan üç program mevcut bunlardan grcframe.exe dosyası schoolbus tarafından system dizinine yerleştirilen trojandır. Diğerleri benim kontrolümde sisteme yüklenmiş olan
www.ntvmsnbc.com
haber uyarı programı ile homesite 4.0 site yapım
programıdır. Fakat yine de dikkat etmek gerekir tanımadık ama sistem tarafından kullanılan programlar olabilir. Fakat şüphe duyulan bir program bulunduğu dizine gidilerek incelenebilir. Örneğin boyutu oluşturulma tarihi gibi kriterler bizim için önemli. Yazımızda bahsettiğimiz ve yaygın olarak kullanılan trojanların boyutları işinize yarayabilir. Sisteminizde mevcut olan trojan adı, iconu, portu değiştirilmiş olabilir fakat bulunduğu yer ve boyut size bunun hangi tür trojan olduğu hakkında ip ucu verecektir. Örneğin sisteminizde
trojan olduğunu zannettiğiniz bir program var. Bu program c:\\windows
dizini altında ve yaptığınız araştırmalar onun hakkında pek de iyi şeyler söylemiyorsa, boyut ve oluşturulma tarihine bakabilirsiniz. Oluşturulma tarihi yakın ve boyutu 374 KB ise yakın zamanda sisteminize bir program yüklemediyseniz muhtemelen bir subseven trojanıdır. Çünkü subseven ın boyutu 374 KB dır.

_________________
VATANIN BAĞRINA DAYAMIŞ DÜŞMAN HANÇERİNİ
YOKMU KURTARACAK BAHTI KARA MADERİNİ?
Admin
Admin
Admin
Admin

Mesaj Sayısı : 245
Kayıt tarihi : 08/02/08

http://vatan.1forum.biz

Sayfa başına dön Aşağa gitmek

Sayfa başına dön


 
Bu forumun müsaadesi var:
Bu forumdaki mesajlara cevap veremezsiniz