Hijack this programı
kullanışı ve log file izahı.
BleepingComputer.com, computercops.biz
, spywareinfo.com,
sitelerinden derlenmiştir.Bir çok programın içinden bu programın
seçilmesinin nedeni bir hijack olayının nasıl yapıldığını,
bilgisayarda nerelerde hangi değişiklikler yaparak hijack yaptığını
bu programın kullanılışının izahı ile anlaşılacağına inandığım
içindir.
Dikkat:
HijackThis programı; "spybot" ,
"Spybot - Search & Destroy", veya başka bir "Spyware/Hijacker remover"
programı kullanıp temizleme işlemi yaptıktan sonra sisteminizde hala
problemler varsa kullanılır. HijackThis ileri seviye bir program
olduğu için ileri seviyede bir bilgisayar ve windows
bilgisi ister. Bu programın belirttiği anahtarlardan birini
yanlışlıkla silmeniz halinde sistemi çökertebilir veya başka
problemlerin oluşmasına neden olursunuz. Bu nedenle siz
öncelikle Spyware/Hijacker/Trojans temizlemesini başka
temizleme programları ile yapmalısınız. Diğer metodların
(antivirüs programları, Ad-aware , Spybot -
Search & Destroy, CWShredder.hijack ve benzeri temizleme
programları) hepsini
kullandığınıza emin iseniz ve hala problemleriniz devam ediyorsa
bu programı kullanabilirsiniz ancak size verdiği bilgiler
üzerinde kesin bilgiye sahip değilseniz lütfen bir bilene
sorunuz, sadece hijackthis log dosyalarını sormak için
kurulmuş internet siteleri ve forumlar vardır. Buralara log
dosyanızı veriyorsunuz size hangi satırları silmeniz veya
değiştirmeniz gerektiğini yazıyorlar. (computercops.biz
, spywareinfo.com/forums gibi)
Bu programı
http://www.hijackthis.de/downloads/ adresinden download edebilirsiniz. Bu dosya sıkıştırılmış (zip fle) dosya
olduğu için dosyayı açıp rahatça kullanabileceğiniz bir director içine (hijackthis
adında bir direktor olabilir.) download edip açınız. Program backup
dosyalarını bu director içinde tutacaktır. Zipli olarak kullanırsanız
backup dosyası tutamaz. Burada bulunan hijackthis.exe dosyasına çift
tıkladığınızda program çalışacak ve görüntüsü şu şekilde olacaktır.
Sol üst tarafta bulunan "do
a system scan and save a log file" butonuna
tıklarsanız program çalışır. çalıma penceresinde sağ alt tarafta bulunan config butonuna
tıkladığınız zaman aşağıdaki görüntü ile karşılaşırsınız.
İyi bir performan ve kullanım için mavi
çerçeve ile çizdiğim yerdeki 4 adet kutucuğunu işaretli olduğuna emin
olunuz. Şimdi gerekli scan işlemi için sağ tarafta buluna back butonuna
tıklayın. Tekrar ilk açılış ekranına döneceksiniz. Sol tarafta bulunan scan
butonuna tıkladığınız zaman bilgisayarda scan işlemi yapılacak ve aşağıdaki
ekran ile karşılaşacaksınız.
Burada gördüğünüz gibi program bilgisayarınızı
inceleyerek açılış ve setup ayarlarından bizi ilgilendirenleri tek tek
sıralamıştır. Bu ayarların içinden bizim düşmanımızı bulmak ve silmek tamamen
bizim bilgimize bırakılmıştır. Senin makinanda görüntülen ayarlar bunlar senin
düşmanın kimse kendin bul ve bana yok etmemi bildir denmektedir. Takdir
edersinizki bilgisayar bilgisi yetersiz olanlara bu yazılar hiçbir şey ifade
etmez. Öncelikle bu ifadelerden yeteri kadar sonuç çıkartamayan arkadaşlar sol
tarafta buluna save log butonuna tıklayarak bu sonuçları bir txt dosyası olarak
kaydedeceklerdir.
Save işlemi tamamlandıktan sonra notepad
programı bu text dosyasını otomatik olarak açacaktır. Açmaz ise siz notepad ile
açıp bu dosyayı anlayan bir arkadaşınıza gösterir veya ilgili internet
sitelerine (computercops.biz
, spywareinfo.com/forums)
yazarak yardım istersiniz.
Şimdi burada her satırın ne anlama geldiğini
inceleyelim. Görüldüğü gibi satır başında bir numara ve yanında bilgisayarda o
bölüm için tesbit edilen programlar yazılıdır. Anlamını öğrenmek istediğiniz
satır üzerine klikleyiniz..
- R0, R1, R2, R3
- Internet
Explorer Start/Search (açılma/arama) sayfasının
adresleri.
- F0, F1 - Sistem
açılışında otomatik yüklenen programlar.
- N1, N2, N3, N4 -
Netscape/Mozilla Start/Search pages URLs
- O1 - Hosts file
redirection
- O2 - Browser Helper
Objects
- O3 - Internet Explorer toolbars
- O4 - Registry ve startup
grup tarafından otomatik yüklenen programlar
- O5 - IE
özelliklerinin gizlenmesi
- O6 - IE Options access
restricted by Administrator
- O7 - Regedit access
restricted by Administrator
- O8 - IE sağ tuş menu
ilaveleri.
- O9 - IE toolbar veya IE ‘Tools’ menu
içinde ilave butonlar
- O10 - Winsock hijacker
- O11 - IE
‘Advanced Options’ penceresinde ilave gruplar.
- O12 - IE plugins
- O13 - IE DefaultPrefix
hijack
- O14 - ‘Reset Web Settings’ hijack
- O15 - Trusted Zone içinde
istenmeyen siteler.
- O16 - ActiveX Objects
(aka Downloaded Program Files)
- O17 - Lop.com domain
hijackers
- O18 - Extra protocols
and protocol hijackers
- O19 - User style sheet
hijack
- O20 - AppInit_DLLs Registry value
autorun
- O21 - ShellServiceObjectDelayLoad
- O22 - SharedTaskScheduler
- O23 - Windows NT Services
| R0, R1, R2, R3 - IE Start & Search pages
|
R1 -
HKCU\Software\Microsoft\Internet Explorer\Main,Window Title =
Microsoft Internet Explorer provided by YAŞASIN CUMHURİYET VİVA
ZAPATA
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet
Settings,ProxyServer = 212.253.49.7:80
R1 -HKCU\Software\Microsoft\Internet
Explorer\SearchURL,(Default) = http://bestsearch.cc/1076/search.php?qq=
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
C:\WINDOWS\PCHEALTH\HELPCTR\System\panels\blank.htm
R2 - (R2
satırı herhangi bir hijack tarafından kullanılmadığı için boştur)
R3 - (
URLSearchHook adresi : Şayet siz explorer
adres barına herhangi bir protokolu olmayan (http:\\
veya ftp:\\ gibi) bir adres yazdığınız zaman explorer
bunu otomatik olarak tamamlayacaktır. Ancak bu atadığı protokol
ilede bulmaya başarılı olamaz ise yazılan adresi bulmak için R3
satırında belirtilen URLSearchHook
adresini kullanarak arama yapıp adresi bulmaya çalışacaktır.) |
Bu dosyaların registry deki yerleri aşağıdadır.
|
Registry Keys: |
HKCU\Software\Microsoft\Internet
Explorer\Main : Start Page |
| |
HKLM\Software\Microsoft\Internet Explorer\Main : Default_Page_URL |
Şayet R0 ve R1 satırlarında sizin seçmediğiniz bir
adres varsa arzu ederseniz bunu hijackthis programı ile
düzeltebilirsiniz. Nasıl düzelteceğiniz
sayfanın altında izah edilmiştir.
| en çok
karşılaşılan "bestsearch.cc" temizlenmesi
R1 -HKCU\Software\Microsoft\Internet
Explorer\SearchURL,(Default) =
http://bestsearch.cc/1076/search.php?qq=
1: http://www.zone-x.com/spybot.php
adresinden "SpyBot S&D (v.1.3)" programını indir ve install et.
3:
remove_bestsearch
uninstall programını download et.
4: bilgisayarı güvenli kipte açarak download ettiğin uninstall
programını çalıştır.
5: hijackthis çalıştırarak
R1- HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default)
=
http://bestsearch.cc/1076/search.php?qq=
satırını hala varsa işaretleyerek temizleyin.
5: yine güvenli kipte SpyBot S&D
(v.1.3) ile kontrol et ve temizle.
6: bilgisayarın temizlendiğine emin olmak için hijackthis çalıştır
ve ve R1 satırlarını kontrol et.bu satırlarda " bestsearch.cc"
gibi bir yazı görmemelisin. varsa aynı işlemleri baştan yap. |
R3 satırında sizin tesbit etmediğiniz bir
adres varsa daima düzeltin.
başa dön |
|
| F0, F1, F2, F3 - Autoloading programs from INI files |
Bu
bölümde sistemde bulunan ini dosyaları (system.ini , win.ini
gibi ) veya onların registry içindeki karşılıkları tarafından bilgisayar
açılırken otomatik yüklenen programları belirtilir.
F0 - system.ini:
Shell=Explorer.exe Openme.exe
F1 - win.ini: run=hpfsched
|
Dikkat bu bölümü izah
etmeden önce hijackthis version 1.97.7 programında olan bir bug'dan
bahsetmeliyim. Bu versiyonla F2 bölümünde bulunan userinit dosyasını
restore yapmaya çalıştığımızda hijackthis registry
üzerine yanlış dosya yazacak ve açılışta problemler çıkarabilecektir.
Bu bölümde restore yaparken lütfen dikkatli olunuz. Restore
konusu sayfanın alt tarafında izah edilmiştir.
F0 sistem.ini dosyası içinde "Shell="
ile başlayan kısımları gösterir. Windows 9x ve alt versiyonlarında
o program açılışta yüklenerek kullanılır.
Aynı shell satırında farklı program yüklenerek casus programramlar
maskelenebilir. "Shell=explorer.exe casusprogram.exe" gibi. Böylece
istenmeyen programlar açılışta yüklenecektir. Bu nedenden dolayı F0
satırını her zaman düzeltilmesi gereken bir satır olarak görebiliriz.
F1 satırı win.ini dosyasındaki load= veya
run= satırında belirtilen dosyalardır. Bu programlar windows
açılırken yüklenecektir. Run= satırındaki programlar
genelde windows 3.1 , 95 ve 98 ile uyumlu olan eski programlardır. Yeni
programların çoğu ve hardware driver dosyaları load= satırını
kullanırlar. Bu nedenle bu maddeyi genelde güvenli kabul edebiliriz.
Emin olmadığımız program için inceleme yaparak öğrenebiliriz. Bunun için
açılışta çalışan programlar ile ilgili birçok site vardır. Buralardan
dosya ismine göre bilgialabiliriz. (http://service1.symantec.com/SUPPORT/tsgeninfo.nsf/docid/2001052409420406
http://www.computercops.biz/forums.html
http://www.spywareguide.com/
http://www.liutilities.com/products/wintaskspro/processlibrary/
http://www.answersthatwork.com/Tasklist_pages/tasklist.htm
google, http://www.sysinfo.org/startuplist.php)
F2 satırı F0 ve F1 gibi açılışta yüklenen
programları gösterir ancak bu programlar windows XP ve NT
versiyonlarında recisty içinde belirtilen programlardır. Xp ve NT
genelde system.ini ve win.ini dosyalarını kullanmaz , geriye uyumlu bazı
programların başlaması için inifilemapping fonksiyonu kullanılır. Bu
fonksiyon ile ini dosyası içindeki bilgiler registry içine
yerleştirilir. Bu programlar için önce registry'deki HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\IniFileMapping anahtarı
kontrol edilecek ini dosyasına ait bilgiler varsa buradan okunacaktır.
F2 satırında bulunan bir başka bilgi ise userinit
bilgileridir. Bu bilgiler registry içinde HKLM\Software\Microsoft\Windows
NT\CurrentVersion\Winlogon\Userinit anahtarında
bulunur. Bu anahtar bilgisayarı kullanan kullanıcını hangi programları
kullanabileceğini belirtir. Bu iş için C:\windows\system32\userinit.exe
programını kullanır. Userinit.exe programı kullanıcı adına göre default
değerleri ( font, renk, ve diğer özellikler ) yükler. Bu satırda
HKLM\Software\Microsoft\Windows
NT\CurrentVersion\Winlogon\Userinit
=C:\windows\system32\userinit.exe,c:\windows\casusprogram.exe
gibi bir bilginin olması userinit.exe programının yanında casus ( trojans, hijackers, and spyware)
programında çalışacağı anlamına gelir.
Registry anahtarları:
| |
HKLM\Software\Microsoft\Windows
NT\CurrentVersion\Winlogon\Userinit |
| |
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\IniFileMapping, |
Dosyalar:
| |
c:\windows\system.ini |
| |
c:\windows\win.ini |
|
Örnek satır |
F0 - system.ini: Shell=Explorer.exe
Something.exe |
|
Örnek satır |
F2 - REG:system.ini:
UserInit=userinit,nddeagnt.exe |
|
Örnek satır |
F2 - REG:system.ini: Shell=explorer.exe
beta.exe |
F0 satırında örnekte olduğu gibi Shell=Explorer.exe
something.exe bir cümle görürseniz explorer ile beraber bir casus
program çalışacak anlamına gelir ki bu satırı kesinlikle iptal edip
düzeltmelisiniz.
F1 Bu satırda bilmediğiniz dosyaların ne olduğunu
anlamak için ilgili sitelerde inceleme yapmalısınız.(
google,
http://www.digitalriver.com/dr/ ,
http://www.liutilities.com/products/wintaskspro/processlibrary/
http://www.answersthatwork.com/Tasklist_pages/tasklist.htm
, http://www.spywareinfo.com/~merijn/cwschronicles.html
,
http://www.spywareguide.com/
,
http://www.computercops.biz/forums.html
,
http://www.sysinfo.org/startuplist.php? )
.
F2 satırında UserInit=userinit.exe
ifadesini nddeagnt.exe ile veya tek başına
görebilirsiniz.Bunu tek olarak kullanın. UserInit=userinit.exe
yazısındnn sonra ki işaretin ","(virgül) olmadığına
dikkat edin. Şayet daha sonra başka bir program ismi varsa bu bir
casus program olabilir , temizleyiniz. Yine F2 Shell =explorer.exe
satırı tek başına olmalı daha sonra olan program trojan veya malware
olabilir temizleyin.
başa dön |
|
| N1, N2, N3, N4 - Netscape/Mozilla Start & Search page |
| Bu
satırlar netscape , mozilla açılış sayfalarını ve default search
page sayfasını gösterir. Bu bilgiler C:\Documents and Settings\YourUserName\Application
Data folder. directorunda çeşitli yerlerde bulunan
prefs.js dosyasında saklanır.
Netscape 4 browserının bu konudaki bilgileri DriveLetter:\Program
Files\Netscape\Users\default\prefs.js. dosyasında
tutulur. Burada o dosyadaki bilgileri gösterir.
N1 : Netscape 4 Startup Page ve
default search page gösterir..
N2 Netscape 6 Startup Page ve
default search page gösterir.
N3 : Netscape 7 Startup Page
ve default
search page gösterir.
N4 :Mozilla Startup Page
ve default
search page gösterir.
N1 - Netscape 4:
user_pref("browser.startup.homepage", "www.google.com");
(C:\Program Files\Netscape\Users\default\prefs.js)
N2 - Netscape 6: user_pref("browser.startup.homepage", "http://www.google.com");
(C:\Documents and Settings\User\Application
Data\Mozilla\Profiles\defaulto9t1tfl.slt\prefs.js)
N2 - Netscape 6: user_pref("browser.search.defaultengine",
"engine://C%3A%5CProgram%20Files%5CNetscape%206%5Csearchplugins%5CSBWeb_02.src");
(C:\Documents and Settings\User\Application
Data\Mozilla\Profiles\defaulto9t1tfl.slt\prefs.js)
|
Çoğu spyware ve hijacker internet
explorer'a saldırmayı tercih ettiği için genelde bu satırlar
emniyetlidir. Bu browserları kullanmadığınız halde bu satırlar
görüntüleniyorsa temizleyiniz. Bu satırları kullanan en önemli site
lop.com dur. Lop.com hakkında bilgi ve
remove tool buradadır.
başa dön |
|
| O1 - Hostsfile yönlendirme adresini gösterir. |
| Bazı
hijacker'lar host dosyalarını kullanarak IP adres yönlendirmesini
yaparlar. Yani ben hostfile içine 127.0.0.1
www.timuroglu.com
şeklinde yazarsam; internette explorer adres barına
www.timuroglu.com yazarsam
explorer önce host file kontrol edecek ve beni burada yazan 127.0.0.1
adresine yönlendirecektir.Dolayısı ile istediğim sayfaya gidemiyeceğim.127.0.0.1
www.google.com
yazılı ise her google gitmeye çalıştığımda başka bir
sayfaya gideceğim demektir. 127.0.01 sizin kendi bilgisayarınızdır.
O1 - Hosts: 216.177.73.139
auto.search.msn.com
O1 - Hosts: 216.177.73.139 search.netscape.com
O1 - Hosts: 216.177.73.139 ieautosearch
O1 - Hosts file is located at
O1 - Hosts: 1123694712 auto.search.msn.com
O1 - Hosts: 1123694712 auto.search.msn.com
|
Aşağıda host file'ların bulunduğu
yerleri göreceksiniz. Herhangi bir text editor ( notepad, wordpad....)
ile bu dosyalarda değişiklik yapabilirsiniz.
|
Operating System |
Location |
|
Windows 3.1 |
C:\WINDOWS\HOSTS |
|
Windows 95 |
C:\WINDOWS\HOSTS |
|
Windows 98 |
C:\WINDOWS\HOSTS |
|
Windows ME |
C:\WINDOWS\HOSTS |
|
Windows XP |
C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS |
|
Windows NT |
C:\WINNT\SYSTEM32\DRIVERS\ETC\HOSTS |
|
Windows 2000 |
C:\WINNT\SYSTEM32\DRIVERS\ETC\HOSTS |
|
Windows 2003 |
C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS |
Bu satırda bir bilgi görürseniz hijack
çalışmaya başlamış demektir. Hemen bu satırı temizleyin. Yukarda
beyaz kutu içindeki son örnek
Coolwebsearch bulaşmış demektir. (O1 - Hosts file is located at C:\Windows\Help\hosts
)
CWShredder programı bunu temizler.
başa dön |
|
| O2 - Browser Helper Objects |
Bu
bölümde aşağıdaki örneklerde olduğu gibibrowser help objelerini
görebilirsiniz.
O2 - BHO: Yahoo! Companion
BHO - {13F537F0-AF09-11d6-9029-0002B31F9E59} -
C:\PROGRAM FILES\YAHOO!\COMPANION\YCOMP5_0_2_4.DLL
O2 - BHO: (no name) - {1A214F62-47A7-4CA3-9D00-95A3965A8B4A}
- C:\PROGRAM FILES\POPUP ELIMINATOR\AUTODISPLAY401.DLL (file
missing)
O2 - BHO: MediaLoads Enhanced -
{85A702BA-EA8F-4B83-AA07-07A5186ACD7E} - C:\PROGRAM
FILES\MEDIALOADS ENHANCED\ME1.DLL
O2 - BHO: NAV Helper -
{BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program
Files\Norton Antivirus\NavShExt.dll |
Bu bölümde bilmediğiniz bir şey olursa
http://www.sysinfo.org/bholist.php adresinden ne olduğunu
bulabilir zararlı ise temizlersiniz. Bu listede "X" zararlı dosya (spyware)
, "L" ise emniyetli güvenli dosya anlamındadır. Aşağıda bu sayfada
listenin görünüşü hakkında örnek vardır. Bahsettiğimiz "X" ve "L"
harfleri status sütunundadır.
başa dön |
|
| O3 - IE toolbars |
|
Bu bölümde internet explorer tarafından kullanılan toolbar'ları
görebilirsiniz. Bazen sizin istemediğiniz bir tool bar internet explorer
üzerinde görülür. Bunun yeri burda izah edilir. Aşağıdaki
örneklerde görüldüğü gibi toolbar'ın adı veharddisk üzerindeki yerini
görürsünüz. O3 satırı bu bilgileri HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar
registry anahtarından alır.
O3 - Toolbar: &Yahoo!
Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} -
C:\PROGRAM FILES\YAHOO!\COMPANION\YCOMP5_0_2_4.DLL
O3 - Toolbar: Popup Eliminator -
{86BCA93E-457B-4054-AFB0-E428DA1563E1} - C:\PROGRAM
FILES\POPUP ELIMINATOR\PETOOLBAR401.DLL (file missing)
O3 - Toolbar: Norton Antivirus -
{42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program
Files\Norton Antivirus\NavShExt.dll
O3 - Toolbar: rzillcgthjx -
{5996aaf3-5c08-44a9-ac12-1843fd03df0a} - C:\WINDOWS\APPLICATION
DATA\CKSTPRLLNQUL.DLL
|
IŞayet tanımadığınız bir toolbar var ise ne olduğunu "TonyK's
BHO &
Toolbar List" sayfasından bulabilirsiniz. Bu sayfada
bulmak için parantez içinde yazılı olan class ID numaralarını
kullanacaksınız. Daha önce belittiğim gibi bu sayfada "X" harfi spyware
"L" harfi güvenli dosya anlamına gelir.
Şayet yukarıda en alttaki örnekte olduğu gibi random karakterlerden
oluşan dosya ve director ismi var ise büyük olasalıkla "Lop.com"
bulaşmıştır. LOp.com hakkında bilgi ve
remove tool buradadır.
başa dön |
|
| O4 - Autoloading programs from Registry or Startup group |
Bu satırda aşağıda görüldüğü gibi açılışta registry ve startup grup
vasıtası ile otomatik yüklenen programlar görülür.
O4 - HKLM\..\Run: [ScanRegistry]
C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common
Files\Symantec Shared\ccApp.exe"
O4 - Startup: Microsoft Office.lnk = C:\Program
Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: winlogon.exe |
Örnekteki ilk üç satırda görüldüğü gibi bir registry anahtarı varsa o
program registry'den en alt iki satırda görüldüğü gibi startup veya
global startup ile başlıyorsa program "user's startup group" tarafında
çalıştırılıyordur.
Startup: Bu gruptaki programlar kullanıcı login
yaptığı zaman yüklenir.
Global Startup: Bu gruptaki programlar o bilgisayarı
kullanan bütün kullanıcılarda ayrım yapmaksızın yüklenir..
Startup Registry Keys:
| |
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce |
| |
HKCU\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce |
| |
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices |
| |
HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices |
| |
HKLM\Software\Microsoft\Windows\CurrentVersion\Run |
| |
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
|
| |
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce
|
| |
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce
|
| |
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnceEx
|
| |
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run |
| |
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run |
| |
HKLM\Software\Microsoft\Windows
NT\CurrentVersion\Winlogon\Userinit |
Burada bahsedilen startup locations hakkındaki teferruatlı bilgiyi
Windows
Program Automatic Startup Locations adresinde
bulabilirsiniz.
Starup
veya global startup direktör yeri aşağıdadır.:
| |
Startup: c:\documents
and settings\USERNAME\start menu\programs\startup |
| |
Global: c:\documents and
settings\All Users\start
menu\programs\startup |
Bilmediğiniz dosyaları (http://service1.symantec.com/SUPPORT/tsgeninfo.nsf/docid/2001052409420406
http://www.computercops.biz/forums.html
http://www.spywareguide.com/
http://www.liutilities.com/products/wintaskspro/processlibrary/
http://www.answersthatwork.com/Tasklist_pages/tasklist.htm
PacMan's Startup
Listgoogle,http://www.sysinfo.org/startuplist.php )
sayfalarında bulabilirsiniz
başa dön |
|
| O5 - IE özelliklerinin gizlenmesi |
Aşağıda görüldüğü gibi bu satırda İnternet explorer dosyasının
özelliklerini kontrol etme yetkisini control.ini dosyası vasıtası
ile disable ederek özelliklerrin değiştirilmesine engel olunur.
| O5 - control.ini:
inetcpl.cpl=no
|
Şayet O5 satırnda yukardaki ifadeyi görürseniz c:\windows\control.ini
dosyasındaki IE'ın bazı kontrol özellikleri görünmez yapılarak
kontrol edilmesinin önüne geçilmiştir.Bunun anlamı bu işlem
adminitrator tarafından isteyerek yapılmamışsa bir hijack olayı ile
karşı karşıyasınız demektir. Temizleyiniz.
başa dön |
|
| O6 - IE özelliklerinin Administrator
tarafından kısıtlanması |
| O6 -
HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions
present
|
Bu satır administrator IE özeliklerinde değişikliğe engel olmak için
bazı tahditler getirdi ise veyaSpybot S&D
option 'Lock homepage from changes' active yapıldı ise gözükür. Şayet
admin bu konuda bir ayarlama yapmadı ise ve bu satır görülüyorsa bir
hijack'tir temizleyiniz.başa dön |
|
| O7 - Regedit access restricted by Administrator |
| O7 -
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System,
DisableRegedit=1 |
Bu bölümü administrator kendi set etmemiş ise temizleyin.
başa dön |
|
| O8 - IE sağ tuş menu ilaveleri |
O8 - Extra context menu item:
&Google Search - res://C:\WINDOWS\DOWNLOADED PROGRAM
FILES\GOOGLETOOLBAR_EN_1.1.68-DELEON.DLL/cmsearch.html
O8 - Extra context menu item: Yahoo! Search -
file:///C:\Program Files\Yahoo!\Common/ycsrch.htm
O8 - Extra context menu item: Zoom &In -
C:\WINDOWS\WEB\zoomin.htm
O8 - Extra context menu item: Zoom O&ut -
C:\WINDOWS\WEB\zoomout.htm
|
Yukarıda görüldüğü gibi IE sağ tuş menüsüne yapılan ilaveleri gösterir.
Şayet bu ilaveleri siz yapmadı iseniz bi hijack'dir. Temizleyiniz. Bu
bilgiler HKEY_CURRENT_USER\Software\Microsoft\Internet
Explorer\MenuExt registry key'den alınır.başa dön |
|
| O9 - IE toolbar veya IE 'Tools'
menu içinde ilave butonlar |
O9 - Extra button:
Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O9 - Extra button: AIM (HKLM) |
Yukarıda görüldüğü gibi IE ana toolbar veya tools menü içinde default
olarak bulunmayan sonradan ilave edilen butonları gösterir. Bu bilgileri
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions
registry key'den alır.Şayet bu butonları siz koymadı iseniz
hijack'tir temizleyiniz.
başa dön |
|
| O10 - Winsock hijackers |
O10 - Hijacked Internet access
by New.Net
O10 - Broken Internet access because of LSP provider
'c:\progra~1\common~2\toolbar\cnmib.dll' missing
O10 - Unknown file in Winsock LSP: c:\program files\newton
knows\vmain.dll
|
BU bölüm Winsock
Hijackers veya
Winsock 2 implementation'nın LSP (Layered Service
Provider) gösterir. Winsock çalıştığı zaman data'lar zincirleme
olarak LSP'lere transfer edilir.Spyware and Hijacker'lar internet
üzerinde taransfer edilen bilgiyi görmek için LSP'leri kullanırlar.
Bazı virüs tarayıcılar arama işlemine Winsock level'dan başlarlar.
Bu bölümde çok dikkatli olmak gereklidir. Silinen bazı yanlış
LSP'lerden sonra doğru LSP tekrar yaratılamaz ve internet ulaşımı
sağlanamaz. Bu nedenle burada gerekli işlemler için tecrübeli birinden
yardım istemek veya
http://www.cexx.org/lspfix.htm adresinde LSPfix kullanmaktır.
azı zz
Spybot-S&D
programı genelde bu problemi temizler ancak önce
http://www.safer-networking.org/ adresinden güncel versiyonunu
bulmakta fayda var. Unutulmayacak bir konu LSP stack içinde
bulunan bilinmeyen dosyalar hijack this tarafından temizlenemez.
başa dön |
|
| O11 - IE 'Advanced Options' penceresinde
ilave gruplar |
| O11 - Options group:
[CommonName] CommonName |
Bu bölümde IE / Internet Options / Advanced Options kısmında
görülen default olarak konmamış grupları gösterir. Bu bilgileri HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet
Explorer\AdvancedOptions registry anahtarından alır. Merijn'e göre
bu bölümde yer alan ve bilinen bir adet hijacker vardır. bu satırda
yukarıda görüldüğü gibi "CommonName" ismi ile görülür. Bu ismi
görürseniz temizleyiniz.
başa dön |
|
| O12 - IE plugins |
O12 - Plugin for .spop:
C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O12 - Plugin for .PDF: C:\Program Files\Internet
Explorer\PLUGINS\nppdf32.dll
|
Bu bölümde Internet Explorer
Plugins gösterilir. Internet Explorer Plugin'ler bazı
programların internet explorer açılırken yüklenen mesela PDF
dosyalarının gösterilmesini sağlayan plugin gibi. Bu bilgileri HKEY_LOCAL_MACHINE\software\microsoft\internet explorer\plugins Registry key'den
alır. Çoğu plugin'ler zararsız ve kullanılan plugin'dir
bu nedenle bilmediklerimizi silmeden önce Google'da arayıp ne
olduğunu öğrenmekte fayda vardır. Bilinen istenmeyen plugin Onflow'dur
uzantısı ".ofb" şeklindedir bunu rahatça
temizleyebilirsiniz.
başa dön |
|
| O13 - IE DefaultPrefix hijack |
O13 - DefaultPrefix:
http://www.pixpox.com/cgi-bin/click.pl?url=
O13 - WWW Prefix: http://prolivation.com/cgi-bin/r.cgi?
O13 - WWW. Prefix: http://ehttp.cc/? |
burada hijack'in kullandığı IE DefaultPrefix'leri
görürsünüz. Burada görülen herşeyi zararlı kabul edip emniyetle
temizleyebilirsiniz.
default prefix anlamı; Biz internette http://, ftp://
ve benzerleri ile başlayan sitelere gitmek istediğimizde biz adrese
bunları yazmazsak bile IE bu ön eki kendisi tamalayarak oraya gidecektir
bu tamalamayı default prefix kullanarak yapar. Bu ön eki registry
kullanarak değiştirmek mümkündür. En bilinen hijacker olan "CoolWebSearch"
bu yöntemi kullanarak default prefix'i
http://ehttp.cc/?. şeklinde değiştirir. Bunun
anlamı siz adres barına www.google.com
yazdığınız zaman otomatik olarak ön ek konacağından yazılan adres http://ehttp.cc/?www.google.com
şeklinde algılanacak ve siz başka bir siteye (CoolWebSearche)
bağlanacaksınız.
Bu bilgiler HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\URL\DefaultPrefix\ Registry Key'den
alınır.
Şayet siz yukarda belittiğim örnekteki gibi "CoolWebSearche"
ile karşılaşırsanız CWShredder programını kullanın. Bu program
hakkındaki bilgiyive programı
http://www.bleepingcomputer.com/forums/index.php?showtutorial=47
http://www.spywareinfo.com/~merijn/cwschronicles.html
adrslerinden temin edebilirsiniz. Bazen buda temizleyebilir bu
zaman HijackThis programınıda kullanmakta faydalı olur
temizleme yöntemi aşağıdadır.
1: makinayı safe boot ile aç (msconfig de)
veya f8 ile güvenli kipte aç.
2: i. explorer başlangıç sayfalarını değiş.
3: hijack this dosyasını kullanarak scan yap. R0 ve sonraki
satırları incele şüphelendiğin bilmediğin her şeyi sil. Zaten
verdiğim adreste bu satırlarda trojan dosyalarını göreceksin bu
isimleri sil.
3: tekrar safe boot aç. Şimdi cwshredder çalıştır. Bazı dosyalar
bulacak sil. en önemlisi y.exe
4: tekrar safe boot , açılış sayfasını kontrol et değişmişmi.
değişmemişse problem yok ama işlem bitmedi.
5: tekrar cwshredder çalıştır. yine bir dll dosyası ve başka
dosyalar bulacak. sil.
6:hijack this dosyasını kullanarak tekrar scan yap.satırları
kontrol et değişen varmı şüphelileri sil.İexplorer açılış
sayfasını kontrol et.
7: tekrar safe boot ve cwshredder scan yap ,açılış sayfasını
kontrol et ,artık dayanacağını sanmam. Hala dayanıyorsa onu tebrik
et bükemediğin bileği öp.
hijack this satırında bilmediğin dosyaları kontrol edebileceğin
adresler aşağıda:
http://service1.symantec.com/SUPPORT/tsgeninfo.nsf/docid/2001052409420406
http://www.computercops.biz/forums.html
http://www.spywareguide.com/
http://www.liutilities.com/products/wintaskspro/processlibrary/
http://www.answersthatwork.com/Tasklist_pages/tasklist.htm
bu adreslerden bilmediğin dosyaların ne olduğunu bulabilirsiniz.
Bulamaz iseniz google bazen işe yarıyor. Bir dosyanın driver
olduğunu ordan buldum. |
başa dön |
|
| O14 - 'Reset Web Settings' hijack |
| O14 - IERESET.INF:
START_PAGE_URL=http://www.searchalot.com
|
Bilgisayarınızda c:\windows\inf\iereset.inf
adresinde Internet Explorer'ın default Windows ayarlarının
saklandığı dosya vardır. Siz ayarlarda default özelliklerine dön
işaretlediğiniz zaman default değerlere dönmek için bu dosyayı
kullanılır. Şayet hijacker bu dosyada ayarları değişmiş ise sizde doğal
olarak onun değiştiği ayarları kullanarak onun istediği sitelere
gideceksiniz. Şayet bu ayarlar administrator tarafından bilerek
değiştirilmemiş ise rahatça temizleyebilirsiniz.
başa dön |
|
| O15 -Trusted Zone içinde istenmeyen siteler |
O15 - Trusted Zone:
http://free.aol.com
O15 - Trusted Zone: *.coolwebsearch.com
O15 - Trusted Zone: *.msn.com
O15 - Trusted Zone:
http://www.bleepingcomputer.com |
BU bölümde IE Trusted Zone'da gözüken istenmiyen siteleri
görebilirsiniz.Thrusted zone içinde her bölüm değişik güvenlik
ayarlarına sahiptir.Bu ayarlara göre siteye ulaşmaya müsade eder.
Güvenlik testlerinden geçmiyen zararlı siteler buraya güvenli olarak
kaydedilirse hiçbir engelleme olmadan siteye ulaşılır. Bu nedenle bazı
hijacker'lar sitelerini buraya güvenli olarak yazarlar. Bunların
en bilineni "free.aol.com" adrsidir. Bunları rahatça
temizleyebilirsiniz.Bu satır bilgileri : HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet
Settings\ZoneMap\Domains Registry Key'den alır.
başa dön |
|
| O16 - ActiveX Objects (aka Downloaded Program Files) |
O16 - DPF: Yahoo! Chat
- http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/c381/chat.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave
Flash Object) -
http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF:
{11260943-421B-11D0-8EAC-0000C07D88CF} (iPix ActiveX Control)
- http://www.ipix.com/download/ipixx.cab |
Bu satırda ActiveX Objects başka bir ifade ile "Downloaded Program
Files" gösterilir. Bu programlar C:\windows\Downloaded Program Files
direktöründe bulunur. Bunların registry'de CLSID numaraları bulunur.
Bazı güvenli activex control bulunabilir (iPix viewer gibi) . Şayet
bilmediğiniz bir şey olursa CLSID numaraları ve malicious ActiveX objects
kontrol etmek için "Javacool's
SpywareBlaster" programı büyük bir database
sahiptir.Ücretsiz olan bu programı kurabilirsiniz. Şayet bu
satırlar 'dialer', 'casino', 'free_plugin' 'sex', 'porn', 'casino',
'adult' gibi kelimeler var ise rahatça temizleyebilirsiniz. Şayet
yine emin değilseniz bu dosyaların ne olduğunu Google'dan rahatça
bulabilirsiniz. .başa dön |
|
| O17 - Lop.com domain hijacks |
O17 - HKLM\System\CCS\Services\VxD\MSTCP:
Domain = aoldsl.net
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain =
W21944.find-quick.com
O17 - HKLM\Software\..\Telephony: DomainName =
W21944.find-quick.com
O17 -
HKLM\System\CCS\Services\Tcpip\..\{D196AB38-4D1F-45C1-9108-46D367F19F7E}:
Domain = W21944.find-quick.com
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList =
gla.ac.uk
O17 - HKLM\System\CS1\Services\VxD\MSTCP: NameServer =
69.57.146.14,69.57.147.175 |
Bu bölüm "Lop.com Domain Hacks" gösterir. Şayet burada sizin
kullandığınız ISP veya network adresi yoksa bir hijack ile
karşılaştınız demektir lütfen temizleyiniz. Normal olarak adres barına
IP no yazmadan adres yazarsanız önce 'NameServer' (DNS servers)
adreslerinden birine gidilerek bu adrese ait Ip no bulunarak
bilgisayar bu adrese yönlendirilir. DNS server IP no ya otomatik olarak
alınır yada sizin seçtiğiniz bir DNS server'a direk gidilir. Mesela siz
adres barına "www.bleepingcomputer.com"
yazarsanız Bilgisayarınız önce bir DNS server'a giderek bu adresi
inceleyip IP no bulup sizin bilgisayarınızı bulduğu 192.168.1.0
nolu IP'ye yönlendirecektir. Bilmediğiniz DNS server'ın kime ait
olduğunu
Arin
sitesinde whois sorgulaması ile bulabilirsiniz.
Burada bulunan DNS server adresini siz yazmadınız ve bilmiyorsanız
bir Hijack'tir. Bir adres yazdığınızda bilgisayarınız adresin IP no'sunu
bu DNS server'a soaracak ve onun yönlendirdiği yanlış adrese gidecektir.
.
DİKKAT If network üzerinde bir
bilgisayar kullanıyorsanız hijackthis programı bilgisayarınızın Windows NT Domain'ni
bu bölümde gösterecektir. BU satırı temizlerken dikkatli olun ve
hijacthis log file'ını yabancılara gösterirseniz network domain
bilgilerinizi elde ederler. Yabancılara göstermeden önce bu
satırları çıkartın. Zira bu bilgiler bilgisayarınızı hack etmek için
kullanılabilir.
lop.com uninstal etmek için bazı
metodlar:
1: Start Menu--Control Panel-'Add / Remove
Programs içinde 'Lop.com' veya 'LOP SEARCH' veya
'Window Searching' veya ‘'Window Active' veya "Browser Enhancer" veya "Ultimate
Browser Enhancer" programlarından hangisi varsa uninstal et hepside
lopcom değişik versiyonudur.
2 versiyona bağlı ıolarak ekranın sağ alt köşesinde
saatin yanında bulunan yeni ikona sağ tıklayıp menu seçip açılan ana
menüde sağ üst köşedeki help butonuna tıklayıp uninstall seçin.
- aşağıdaki programı lopcom'u uninstall etmek için kullanın
lop_com_uninstall.ZIP
başa dön |
|
| O18 - Extra protocols and protocol hijackers |
O18 - Protocol:
relatedlinks - {5AB65DD4-01FB-44D5-9537-3767AB80F790} - C:\PROGRA~1\COMMON~1\MSIETS\msielink.dll
O18 - Protocol: mctp -
{d7b95390-b1c5-11d0-b111-0080c712fe82}
O18 - Protocol hijack: http -
{66993893-61B8-47DC-B10D-21E0C86DD9C8}
|
Bu bölümde ilave protokollar ve bazı hijack protokoları görülür. Bu
bölümü birkaç hijacker kullanır en bilinenleri 'cn' (CommonName),
'ayb' (Lop.com) ve 'relatedlinks' (Huntbar)'dir. Bunları
temizleyebilirsiniz. Yine güvenliğini teyit edemediklerinizide
temizleyin.
Bu hijack metodu: bilgisayarın kullandığı standard protocol
drivers'lardan birinin hijacker tarafından değiştirilerek
kullanılmasıdır.
başa dön |
|
| O19 - User style sheet hijack |
| O19 - User style sheet: c:\WINDOWS\Java\my.css
|
Bazen bilgisayar yavaşlar ve istemediğiniz sayfalar açılır popup çıkar.
Bu bölümde bunlar gösterilir. Bu bölümü sadece
Coolwebsearch 'un kullandığı bilinmektedir. Herne kadar bunu
temizlemek için
CWShredder kullanılsada HijackThis ilede
temizleyebilirsiniz. Bilgileri HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Styles\: User Stylesheets Registry Key'den
alır.
başa dön |
|
| O20 - AppInit_DLLs Registry value autorun |
| O20 -
AppInit_DLLs: msconfd.dll
|
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows
anahtarında bulunanan registry değeri bir user login yaptığı zaman
memory'ye bir DLL dosyası yükler ve logoff oluncaya
kadar memory'de kalır. Bu değeri birkaç program kullanır. (Norton
CleanSweep programının burada APITRAP.DLL dosyasını
yüklediği gibi), çoğunlukla trojan ve saldırgan hijacker
tarafından kullanılır. Bu gizli "DLL" dosyası yüklendiği
registry'de sadece "edit binary data " menusü
kullanılarak görülebilir.Hijackthis log dosyasında
görülebilmesi için " | " dik çizgi ön eki alır.
başa dön |
|
| O21 - ShellServiceObjectDelayLoad |
| O21 -
SSODL - AUHOOK - {11566B38-955B-4549-930F-7B7482668782} -C:\WINDOWS\System\auhook.dll
|
Bu hakkında bilgi bulamayacağınız, birkaç windows bileşeni
tarafından kullanılan bir autorun metodudur. bu bileşenler HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
registry anahtarı ile windows başlarken explorer tarafından yüklenir.
Hijack this programı bu birkaç kullanılan SSODL bileşenini
tanıdığı için burada gösterilen bir bileşen olursa muhtemelen bilinmeyen
bir maliciousédur. Bu satırı görürseniz dikkatli olun.
başa dön |
|
| O22 - SharedTaskScheduler |
| O22 -
SharedTaskScheduler: (no name) -
{3F143C3A-1457-6CCA-03A7-7AA23B61E40F} - c:\windows\system32\mtwirl32.dll
|
bu satır sadece Windows NT/2000/XP tarafından nadiren kullanılan
ve hakkında ddokuman bulunmayan bir diğer autorun metodudur.sadece
CWS.Smartfinder
kullanır. Görürseniz dikkatli olun.başa dön |
|
| O23 - NT Services |
| O23 -
Service: Kerio Personal Firewall (PersFw) - Kerio
Technologies - C:\Program Files\Kerio\Personal Firewall\persfw.exe
|
Microsoft'a ait olmayan bir servistir. Msconfig utility'de
gördüğünüz listeye benzer. Birçok
trojan hijackers kendi yaptıkları programı çalıştırmak ve install
etmek için bu servisi kullanır. Tam ismi size önemli
bir programmış duygusu verir mesela kullandığı isimlerden bazıları Network Security Service', 'Workstation Logon Service' or 'Remote
Procedure Call Helper', olabilir ama gerçek ismi parantes içinde
görülür. bu problemin çözümü görülen servisin stop yapılması
ve disable edilmesi ile mümkündür. HijackThis programının
versiyon 1.99.1 ve üzerinde 'Delete NT Service' özelliği vardır.
kullanabilirsinizbaşa dön |
|
Yukarıda söylediğimiz gibi scan yaptıktan
sonra aldığımız log'da her satırı tek tek inceledik zararlı olduna karar
verdiğimiz satır üzerine gelip tıklarsak aşağıda görüldüğü gibi o satır
mavileşecektir.sola altta buluna kırmızı çerçeve içindeki "info selected
item" butonuna tıkladığımızda
Görüldüğü gibi o
satır hakkında teferruatlı bilgi alabiliriz. Bu pencerdeki "OK" butonuna
tıklayınca küçük info penceresi kaybolacaktır..
Bu satırı temizlemek
için sol tarafta buluna kutucuğu tıklayarak okey işareti koyun
Ve kırmızı çerçeve
içindeki éfix checked" butonuna tıklayarak temizleme işlemini tamalayın
Dikkat bu bölümü izah
etmeden önce hijackthis version 1.97.7 programında olan bir bug'dan
bahsetmeliyim. Bu versiyonla F2 bölümünde bulunan userinit dosyasını
restore yapmaya çalıştığımızda hijackthis registry
üzerine yanlış dosya yazacak ve açılışta problemler çıkarabilecektir.
Bu bölümde restore yaparken lütfen dikkatli olunuz.
Pencerenin sol alt tarafında gördüğünüz "config"
butonuna tıklarak yeni pencere açın.
Burada "backup"
butonuna tıkladığında aşağıda görülen backup penceresi açılacak. Geri almak
istediğiniz satırın sol tarafındaki kutucuğu okeyleyin ve restore butonuna
basın.
başa dön
Startup
programların listesini almak.
Sizin log dosyanızı bir
arkadaşınıza yardım istemek için gönderdiğinizde veya başka bir
nedenle startup esnasında çalışan programların listesi lazım
olabilir. Bu listeyi almak için "Misc tool" butonu altında "generate
sturtuplist log" butonunu tıklamak yeterlidir. Program
bu listeyi bir notepad TXT dosyasına yazacaktır. bu dosyayı
istediğiniz yere gönderebilirsiniz.
Hijack this konusunda burada
yazılmayan bilgiler veya deneyimler elde ettiğiniz zaman bildirirseniz
kaynağa teşekkür yazısı ile ilave edilecektir.
başa dön