|
Trojan Temizlik
Temizlik sırasında yapmanız gereken bir takım işlemler vardır. Daha az
deneyimli kullanıcılar için, bu işlemlerin neler olduğunu ve nasıl yapılacağını
bir kez gözden geçirelim.
l PC'yi MS-DOS Kipinde Başlatma: Bunun için görev çubuğunuzdan Başlat*Bilgisayarı
Kapat komutuna tıklayın; ve karşınıza çıkacak menüde "MS-DOS
Kipinde Başlat" seçeneğini işaretleyerek Tamam tuşuna basın.
l MS-DOS Komut İstemi Penceresi Açma: Yine görev çubuğunuzdan Başlat*Çalıştır
komutuna tıklayın; ve açılan pencereye COMMAND yazın.
l DOS Ortamında Dosya Silme: Komut satırındayken,
DEL "SilinecekDosyanınAdı"
komutunu kullanmalısınız. Örnek olarak, Acid Shivers trojan dosyasını
silerken
DEL "C:Windowsmsgsvr16.exe"
komutunu kullanıyoruz. Tırnak işaretlerini koymayı unutmayın; bu şekilde
DOS'un desteklemediği uzun dosya isimleriyle karşı karşıya kaldığınızda
başınız derde girmez.
l Windows Ortamında Dosya Silme: Bunu yapmak, DOS ortamında komut yazmaktan
daha kolaydır. Windows Gezgini'nde silmek istediğimiz dosyayı işaretleyerek
sağ fare tuşuna tıklayın ve SİL komutunu seçin. PC'miz bize gerçekten
silmek isteyip istemediğimizi sorduğunda ise olumlu cevap verin.
l Registry Değeri Silme: Öncelikle Başlat*Çalıştır komutunu çalıştırarak
REGEDIT yazın. Karşınıza çıkacak pencerenin sol tarafında silinecek değerin
adresini bulun ve sağ tarafta söz konusu değeri işaretleyip klavyedeki
DELETE tuşuna basın. Mesela BackDoor trojanı için HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
adresini açıp, sağ tarafta belirecek olan "icqnuke.exe" değerinden
kurtulmanız gerekiyor.
DİKKAT EDİLMESİ GEREKEN NOKTALAR
l Trojan temizliğine başlamadan önce, PC'nizdeki gizli ve sistem dosyalarınızın
tümünü görünür hale getirin. Bunun için Windows Gezgini'nde Görünüm*Klasör
Seçenekleri (View*Folder Options) menüsüne tıklayın; açılan pencerenin Görünüm
(View) sekmesinde "Tüm Dosyaları Göster" (Show All Files) kutucuğunun
işaretli olduğuna emin olun. Ayrıca altındaki "Bilinen Dosya Türlerinin
Uzantılarını Gizle" kutucuğunun işaretini kaldırmanız da yararınıza
olacaktır.
l Bazı trojan'ların açıklamalarında aynı ada ve farklı dizine sahip
birden fazla dosyanın silinmesi gerektiği yazmaktadır. Eğer söz konusu
dosya dizinlerden sadece birinde varsa, onu silmeniz de yeterli olacaktır.
l Unutmayın ki, trojanların isimlerini ve diğer bilgilerini değiştirmek pek
zor değildir. Burada verdiklerimiz, taşıdıkları orijinal özelliklerdir. Adı
değiştirilmiş bir trojan dosyasının yerini belirlemek biraz daha
problemlidir; bu sorunun çözümüne örnek olarak NetBus ve SubSeven trojanını
inceleyebilirsiniz.
l Dosya veya Registry değeri silme işlemleri sırasında çok dikkatli olun.
Özellikle Registry, Windows için hayati önem taşır. Yanlış bir şey
silmeniz sisteminizde aksaklıklara yol açabilir.
TEMİZLİK ZAMANI!
ACID SHIVERS
Port Numarası: 10520
Dosya Adı: "msgsvr16.exe"
Boyutu: 186 Kb
Dizini: C:Windows
1. Registy'nizdeki HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
"Explorer | msgsvr16.
exe" kaydını silin.
2. Registry'nizdeki HKEY_LOCAL_
MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices "Explorer |
msgsvr16.exe" kaydını silin.
3. PC'nizi MS-DOS kipinde başlatın.
4. "C:Windowsmsgsvr16.exe" dosyasını silin.
5. PC'nizi yeniden başlatın.
BACK ORIFICE
Port Numarası: 31337
Dosya Adı: ".exe"
Boyutu: 122 Kb
Dizini: C:WindowsSystem
1. Registry'nizdeki HKEY_LOCAL_
MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices ".exe" kaydını
silin.
2. PC'nizi yeniden başlatın.
3. Windows Explorer'ı başlatın. Görünüm*Klasör Seçenekleri menüsündeki
Görünüm sekmesini açın ve Gizli Dosyalar bölümünde "Tüm Dosyaları
Göster" seçeneğinin işaretli olduğundan emin olun.
3. "C:WindowsSystem.exe" dosyasını silin.
4. PC'nizi yeniden başlatın.
BACKDOOR
Port Numarası: 1999
Dosya Adı: "icqnuke.exe"
Boyutu: 102 Kb
Dizini: C:Windows, C:WindowsSystem
1. Registry'nizdeki HKEY_LOCAL_
MACHINESoftwareMicrosoftWindowsCurrentVersionRun "icqnuke.exe" kaydını
silin.
2. PC'nizi MS-DOS kipinde başlatın.
3. "C:Windowsicqnuke.exe" ve "C:WindowsSystemicqnuke.exe"
dosyalarını silin.
4. PC'nizi yeniden başlatın.
BIG GLUCK
Port Numarası: 34324
Dosya Adı: "bg10.exe"
Boyutu: 100 Kb
Dizini: C:Windows, C:WindowsSystem
1. Registry'nizdeki HKEY_LOCAL_
MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices "bg10.exe"
kaydını silin.
2. PC'nizi MS-DOS kipinde başlatın.
3. "C:Windowsbg10.exe" ve "C:
WindowsSystembg10.exe" dosyalarını silin.
4. PC'nizi yeniden başlatın.
BLADE RUNNER
Port Numarası: 21, 5400, 5401, 5402
Dosya Adı: "server.exe"
Boyutu: 323 Kb
Dizini: C:Windows, C:WindowsSystem
1. Registry'nizdeki HKEY_LOCAL_
MACHINESoftwareMicrosoftWindowsCurrentVersionRun "server.exe" kaydını
silin.
2. PC'nizi MS-DOS kipinde başlatın.
3. "C:Windowsserver.exe" ve "C:
WindowsSystemserver.exe" dosyalarını silin.
4. PC'nizi yeniden başlatın.
BUGS
Port Numarası: 2115
Dosya Adı: "bugs.exe"
Boyutu: 78 Kb
Dizini: C:Windows, C:WindowsSystem
1. Registry'nizdeki HKEY_LOCAL_
MACHINESoftwareMicrosoftWindowsCurrentVersionRun "bugs.exe" kaydını
silin.
2. PC'nizi MS-DOS kipinde başlatın.
3. "C:Windowsbugs.exe" ve "C:
WindowsSystembugs.exe" dosyalarını silin.
4. PC'nizi yeniden başlatın.
DEEP BACK ORIFICE
Port Numarası: 31338
Dosya Adı: ".exe"
Boyutu: 122 Kb
Dizini: C:Windows
1. Registry'nizdeki HKEY_LOCAL_
MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices ".exe" kaydını
silin.
2. PC'nizi yeniden başlatın.
3. Windows Explorer'ı başlatın. Görünüm*Klasör Seçenekleri menüsündeki
Görünüm sekmesini açın ve Gizli Dosyalar bölümünde "Tüm Dosyaları
Göster" seçeneğinin işaretli olduğundan emin olun.
4. "C:WindowsSystem.exe" dosyasını silin.
5. PC'nizi yeniden başlatın.
DEEP THROAT
Port Numarası: 2140, 3150
Dosya Adı: "systempatch.exe"
Boyutu: 255 Kb
Dizini: ?
1. Registry'nizdeki HKEY_LOCAL_
MACHINESoftwareMicrosoftWindowsCurrentVersionRun anahtarını açın.
"systemDLL32 | systempatch.exe" kaydının işaret ettiği dizini bir
kenara not aldıktan sonra söz konusu kaydı silin.
2. PC'nizi MS-DOS kipinde başlatın.
3. Not etmiş olduğunuz dizin altındaki "systempatch.exe" dosyasını
silin. MS-DOS kipinde adı 8 karakterden uzun dosyaların isimleri kısaltılacağı
için, "system~1.exe" veya benzeri ada sahip bir dosyayı aramalısınız.
Eğer "system~" şeklinde başlayan birden fazla EXE dosyası varsa
hangisinin trojan dosyası olduğundan emin olmadan silme işine girişmeyin.
4. PC'nizi yeniden başlatın.
DOLY TROJAN
Port Numarası: 1011, 21
Dosya Adı: "tesk.exe"
Boyutu: 169 Kb
Dizini: C:Wİndows , C:WindowsSystem
1. Registry'nizdeki HKEY_LOCAL_
MACHINESoftwareMicrosoftWindowsCurrentVersionRun "tesk.exe" kaydını
silin.
2. PC'nizi MS-DOS kipinde başlatın.
3. "C:Windowstesk.exe" ve "C:WindowsSystemtesk.exe" dosyalarını
silin.
4. PC'nizi yeniden başlatın.
GIRLFRIEND
Port Numarası: 21554
Dosya Adı: "windll.exe"
Boyutu: ?
Dizini: C:Windows
1. Registry'nizdeki HKEY_LOCAL_
MACHINESoftwareMicrosoftWindowsCurrentVersionRun "windll.exe" kaydını
silin.
2. PC'nizi yeniden başlatın.
3. "C:Windowswindll.exe" dosyasını silin.
4. PC'nizi yeniden başlatın.
HACK A TACK
Port Numarası: 31785, 31787
Dosya Adı: "expl32.exe"
Boyutu: 236 Kb
Dizini: C:Windows
1. Registry'nizdeki HKEY_LOCAL_
MACHINESoftwareMicrosoftWindowsCurrentVersionRun "Explorer32 |
C:Windowsexpl32.exe" kaydını silin.
2. PC'nizi MS-DOS kipinde başlatın.
3. "C:Windowsexpl32.exe" dosyasını silin.
4. PC'nizi yeniden başlatın.
INIKILLER
Port Numarası: 9989
Dosya Adı: "bad.exe"
Boyutu: ?
Dizini: C:Windows
1. Registry'nizdeki HKEY_LOCAL_
MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun "Explorer" kaydını
silin.
2. PC'nizi yeniden başlatın.
3. "C:Windowsbad.exe" dosyasını silin.
4. PC'nizi yeniden başlatın.
MASTERS PARADISE
Port Numarası: 3129, 40421,40422,40423,40426
Dosya Adı: "sysedit.exe", "keyhook.dll"
Boyutu: ?
Dizini: C:Windows
1. Registry'nizdeki HKEY_LOCAL_
MACHINESoftwareMicrosoftWindowsCurrentVersionRun "sysedit.exe" kaydını
silin.
2. PC'nizi yeniden başlatın.
3. "C:Windowssysedit.exe" ve "C:
Windowskeyhook.dll" dosyalarını silin.
4. PC'nizi yeniden başlatın.
5. Gerçek "sysedit.exe" dosyasını Windows CD'nizden veya güvendiğiniz
bir arkadaşınızdan tekrar yükleyin.
NETBUS PRO
Port Numarası: 20034
Dosya Adı: "NBSvr.exe"
Boyutu: 599 Kb
Dizini: C:Windows , C:WindowsSystem
1. Registry'nizdeki HKEY_LOCAL_
MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices "NetBus Server Pro
| nbsvr.exe" kaydını silin.
2. Registry'nizdeki HKEY_CURRENT_
USERNetBus Server anahtarını silin.
3. PC'nizi MS-DOS kipinde başlatın.
4. "C:WindowsNBSvr.exe" , "C:WindowsNBHelp.dll" , "C:WindowsLog.txt"
dosyalarını silin. (Aynı dosyalar C:WindowsSystem dizininde de olabilir)
5. PC'nizi yeniden başlatın.
NETBUS
Port Numarası: 12345, 12346
Dosya Adı: "patch.exe"
Boyutu: 470 Kb
Dizini: C:WindowsSystem
1. Registry'nizdeki HKEY_LOCAL_
MACHINESoftwareMicrosoftWindowsCurrentVersionRun "patch.exe" kaydını
arayın. Söz konusu kaydı bulamazsanız trojan'ın adı değiştirilmiş
demektir. Bu durumda aynı Registry anahtarı altında yer alan tüm EXE kayıtlarını
not alın ve C:WindowsSystem dizinindeki EXE dosyalarıyla karşılaştırın.
470 KB boyutunda olan dosya, adı değiştirilmiş NetBus trojanıdır. Registry
kaydını silin.
2. Bir MS-DOS Komut İstemi penceresi açın ve "C:WindowsSystempatch.
exe /remove" komutunu kullanın. (Trojanın adı değiştirilmişse, patch.exe
yerine PC'nizdeki adını yazın.)
3. "C:WindowsSystempatch.exe" dosyasını silin.
NETSPHERE
Port Numarası: 30100, 30101, 30102
Dosya Adı: "nssx.exe"
Boyutu: 640 Kb
Dizini: C:WindowsSystem
1. Registry'nizdeki HKEY_LOCAL_
MACHINESoftwareMicrosoftWindowsCurrentVersionRun "NSSX | C:WindowsSystemnssx.exe"
kaydını silin.
2. PC'nizi MS-DOS kipinde başlatın.
3. "C:Windowsnssx.exe" dosyasını silin.
4. PC'nizi yeniden başlatın.
RAT
Port Numarası: 1095, 1097, 1098, 1099
Dosya Adı: " .exe", "mswinsck.ocx",
"wavestream.dll", "regsvr32.exe"
Boyutu: 298 KB, 99 Kb, 35 Kb, 20 Kb
Dizini: C:WindowsSystem
1. Registry'nizdeki şu anahtarları silin:
HKEY_LOCAL_MACHINESOFTWAREClassesCLSID{925B0F6C-605D-11CF-BAEF-F89005C10000}
HKEY_LOCAL_MACHINESOFTWAREClassesCLSID{925B0F6C-605D-11CF-BAEF-F89005C10000}
Implemented Categories
HKEY_LOCAL_MACHINESOFTWAREClassesCLSID{925B0F6C-605D-11CF-BAEF-F89005C10000}
Implemented Categories{40FC6ED5-2438-11CF-A3DB-080036F12502}
HKEY_LOCAL_MACHINESOFTWAREClassesCLSID{925B0F6C-605D-11CF-BAEF-F89005C10000}InprocServer32
HKEY_LOCAL_MACHINESOFTWAREClassesCLSID{925B0F6C-605D-11CF-BAEF-F89005C10000}ProgID
HKEY_LOCAL_MACHINESOFTWAREClassesCLSID{925B0F6C-605D-11CF-BAEF-F89005C10000}Programmable
HKEY_LOCAL_MACHINESOFTWAREClassesCLSID{925B0F6C-605D-11CF-BAEF-F89005C10000}TypeLib
HKEY_LOCAL_MACHINESOFTWAREClassesCLSID{925B0F6C-605D-11CF-BAEF-F89005C10000}Version
HKEY_LOCAL_MACHINESOFTWAREClassesInterface{925B0F6B-605D-11CF-BAEF-F89005C10000}
HKEY_LOCAL_MACHINESOFTWAREClassesInterface{925B0F6B-605D-11CF-BAEF-F89005C10000}ProxyStubClsid
HKEY_LOCAL_MACHINESOFTWAREClassesInterface{925B0F6B-605D-11CF-BAEF-F89005C10000}ProxyStubClsid32
HKEY_LOCAL_MACHINESOFTWAREClassesInterface{925B0F6B-605D-11CF-BAEF-F89005C10000}TypeLib
HKEY_LOCAL_MACHINESOFTWAREClassesTypeLib{925B0F6D-605D-11CF-BAEF-F89005C10000}
HKEY_LOCAL_MACHINESOFTWAREClassesTypeLib{925B0F6D-605D-11CF-BAEF-F89005C10000}1.0
HKEY_LOCAL_MACHINESOFTWAREClassesTypeLib{925B0F6D-605D-11CF-BAEF-F89005C10000}1.0
HKEY_LOCAL_MACHINESOFTWAREClassesTypeLib{925B0F6D-605D-11CF-BAEF-F89005C10000}1.0win32
HKEY_LOCAL_MACHINESOFTWAREClassesTypeLib{925B0F6D-605D-11CF-BAEF-F89005C10000}1.0FLAGS
HKEY_LOCAL_MACHINESOFTWAREClassesTypeLib{925B0F6D-605D-11CF-BAEF-F89005C10000}1.0HELPDIR
HKEY_LOCAL_MACHINESOFTWAREClassesWaveStreaming.WaveStream
HKEY_LOCAL_MACHINESOFTWAREClassesWaveStreaming.WaveStreamClsid
2) Registry'nizdeki şu kayıtları silin:
HKEY_LOCAL_MACHINESOFTWAREClassesCLSID{925B0F6C-605D-11CF-BAEF-F89005C10000}
@="WaveStreaming.WaveStream"
HKEY_LOCAL_MACHINESOFTWAREClassesCLSID{925B0F6C-605D-11CF-BAEF-F89005C10000}
InprocServer32@="C:WINDOWSSYSTEMWAVESTREAM.DLL"
HKEY_LOCAL_MACHINESOFTWAREClassesCLSID{925B0F6C-605D-11CF-BAEF-F89005C10000}
ProgID@="WaveStreaming.WaveStream"
HKEY_LOCAL_MACHINESOFTWAREClassesCLSID{925B0F6C-605D-11CF-BAEF-F89005C10000}
TypeLib@="{925B0F6D-605D-11CF-BAEF-F89005C10000}"
HKEY_LOCAL_MACHINESOFTWAREClassesCLSID{925B0F6C-605D-11CF-BAEF-F89005C10000}
Version@="1.0"
HKEY_LOCAL_MACHINESOFTWAREClassesInterface{925B0F6B-605D-11CF-BAEF-F89005C10000}
@="WaveStream"
HKEY_LOCAL_MACHINESOFTWAREClassesInterface{925B0F6B-605D-11CF-BAEF-F89005C10000}
ProxyStubClsid@="{00020424-0000-0000-C000-000000000046}"
HKEY_LOCAL_MACHINESOFTWAREClassesInterface{925B0F6B-605D-11CF-BAEF-F89005C10000}
ProxyStubClsid32@="{00020424-0000-0000-C000-000000000046}"
HKEY_LOCAL_MACHINESOFTWAREClassesInterface{925B0F6B-605D-11CF-BAEF-F89005C10000}
TypeLib@="{925B0F6D-605D-11CF-BAEF-F89005C10000}"
HKEY_LOCAL_MACHINESOFTWAREClassesInterface{925B0F6B-605D-11CF-BAEF-F89005C10000}
TypeLibVersion="1.0"
HKEY_LOCAL_MACHINESOFTWAREClassesTypeLib{925B0F6D-605D-11CF-BAEF-F89005C10000}1.0
@="MS Internet Audio Streaming Support"
HKEY_LOCAL_MACHINESOFTWAREClassesTypeLib{925B0F6D-605D-11CF-BAEF-F89005C10000}1.0win32
@="C:WINDOWSSYSTEMWAVESTREAM.DLL"
HKEY_LOCAL_MACHINESOFTWAREClassesTypeLib{925B0F6D-605D-11CF-BAEF-F89005C10000}1.0FLAGS
@="0"
HKEY_LOCAL_MACHINESOFTWAREClassesTypeLib{925B0F6D-605D-11CF-BAEF-F89005C10000}1.0
HELPDIR@="C:WINDOWSSYSTEM"
HKEY_LOCAL_MACHINESOFTWAREClassesWaveStreaming.WaveStream@="WaveStreaming.WaveStream"
HKEY_LOCAL_MACHINESOFTWAREClassesWaveStreaming.WaveStreamClsid
@="{925B0F6C-605D-11CF-BAEF-F89005C10000}"
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun Explorer="C:WINDOWSsystem
MSGSVR16.EXE"
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServicesDefault="
"
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServicesExplorer="
"
3. PC'nizi MS-DOS kipinde başlatın.
4. "C:WindowsSystem .exe" , "C:WindowsSystemMSGSVR16.EXE" ,
"C:WindowsSystemwaveStream.dll" dosyalarını silin.
5. PC'nizi yeniden başlatın.
SUBSEVEN
Port Numarası: 1243, 1999, 6711, 6776
Dosya Adı:
1. Dosya: "server.exe", "rundll16.exe",
"systray.dl", "Task_bar.exe"
2. Dosya: "FAVPNMCFEE.dll",
""MVOKH_32.dll", "nodll.exe",
"watching.dll"
Boyutu: 328 Kb, 35 Kb
Dizini: C:Windows, C:WindowsSystem
1. "C:WindowsSystemSysEdit.exe" dosyasını çalıştırın.
SYSTEM.INI dosyasının [boot] bölümündeki "shell=Explorer.exe" satırını
inceleyin. Satırın sağına yukarıda adı geçen dosya adlarından biri
eklenmişse, dosya adını bir kenara not edin ve satırı
"shell=Explorer.exe" haline getirin.
2. Aynı penceredeki WIN.INI dosyasının [windows] bölümünde
"run=" ve "load=" diye başlayan satırları inceleyin. Söz
konusu satırlardan biri yukarıda adı geçen dosyalardan birine işaret
ediyorsa, dosya adını not edin ve satırı silin.
3. Yapmış olduğunuz değişiklikleri kaydedip SysEdit penceresini kapatın.
4. Registry'nizdeki HKEY_LOCAL_
MACHINESoftwareMicrosoftWindowsCurrentVersionRun anahtarını inceleyin ve yukarıda
adı geçen dosyalara işaret eden kayıtları silin. Herhangi bir kayıt
bulamazsanız trojanın adı değiştirilmiş demektir. Bu durumda aynı
Registry anahtarı altında yer alan tüm EXE kayıtlarını not alın ve
C:Windows dizinindeki EXE dosyalarıyla karşılaştırın. 328 Kb boyutunda
olan dosya, adı değiştirilmiş SubSeven trojanıdır. Registry kaydını
silin.
5. PC'nizi yeniden başlatın.
6. C:Windows dizinindeki trojan dosyasını silin.
WHACK A MOLE
Port Numarası: 12361, 12362
Dosya Adı: "whack.exe"
Boyutu: ?
Dizini: C:Windows
1. Registry'nizdeki şu kayıtları silin:
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
"NetBuster"
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun "SysCopy"
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices
"RunDll"
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices
"RunDll32"
2. Registry'nizdeki HKEY_CLASSES_
ROOT.dl_ anahtarını silin.
3. PC'nizi MS-DOS kipinde başlatın.
4. C:Windows dizini altındaki Şu dosyaları silin:
keyhook.dll
keyhook.dl_
nbsetup.reg
nb2setup.reg
ntsetup.reg
nt2setup.reg
rundll.dl_
whack.exe
5. PC'nizi yeniden başlatın.
WINCRASH
Port Numarası: 5742
Dosya Adı: "server.exe"
Boyutu: 290 Kb
Dizini: C:WindowsSystem
1. Registry'nizdeki HKEY_LOCAL_
MACHINESoftwareMicrosoftWindowsCurrentVersionRun "MsManager |
SERVER.EXE" kaydını silin.
2. PC'nizi MS-DOS kipinde başlatın.
3. "C:WindowsSystemserver.exe" dosyasını silin.
4. PC'nizi yeniden başlatın.
|