BleepingComputer.com, computercops.biz , spywareinfo.com, sitelerinden derlenmiştir.Bir çok programın içinden bu programın seçilmesinin nedeni bir hijack olayının nasıl yapıldığını, bilgisayarda nerelerde hangi değişiklikler yaparak hijack yaptığını bu programın kullanılışının izahı ile anlaşılacağına inandığım içindir.
Dikkat:
HijackThis programı; "spybot" , "Spybot - Search & Destroy", veya başka bir "Spyware/Hijacker remover" programı kullanıp temizleme işlemi yaptıktan sonra sisteminizde hala problemler varsa kullanılır. HijackThis ileri seviye bir program olduğu için ileri seviyede bir bilgisayar ve windows bilgisi ister. Bu programın belirttiği anahtarlardan birini yanlışlıkla silmeniz halinde sistemi çökertebilir veya başka problemlerin oluşmasına neden olursunuz. Bu nedenle siz öncelikle Spyware/Hijacker/Trojans temizlemesini başka temizleme programları ile yapmalısınız. Diğer metodların (antivirüs programları, Ad-aware , Spybot - Search & Destroy, CWShredder.hijack ve benzeri temizleme programları) hepsini kullandığınıza emin iseniz ve hala problemleriniz devam ediyorsa bu programı kullanabilirsiniz ancak size verdiği bilgiler üzerinde kesin bilgiye sahip değilseniz lütfen bir bilene sorunuz, sadece hijackthis log dosyalarını sormak için kurulmuş internet siteleri ve forumlar vardır. Buralara log dosyanızı veriyorsunuz size hangi satırları silmeniz veya değiştirmeniz gerektiğini yazıyorlar. (computercops.biz , spywareinfo.com/forums gibi)
Bu programı https://tik.lat/C41yi adresinden ( 154 KB.) download edebilirsiniz. Bu dosya sıkıştırılmış (zip fle) dosya olduğu için dosyayı açıp rahatça kullanabileceğiniz bir director içine (hijackthis adında bir direktor olabilir.) download edip açınız. Program backup dosyalarını bu director içinde tutacaktır. Zipli olarak kullanırsanız backup dosyası tutamaz. Burada bulunan hijackthis.exe dosyasına çift tıkladığınızda program çalışacak ve görüntüsü şu şekilde olacaktır.
sağ tarafta buluna config butonuna tıkladığınız zaman aşağıdaki görüntü ile karşılaşırsınız.
İyi bir performan ve kullanım için mavi çerçeve ile çizdiğim yerdeki 4 adet kutucuğunu işaretli olduğuna emin olunuz. Şimdi gerekli scan işlemi için sağ tarafta buluna back butonuna tıklayın. Tekrar ilk açılış ekranına döneceksiniz. Sol tarafta bulunan scan butonuna tıkladığınız zaman bilgisayarda scan işlemi yapılacak ve aşağıdaki ekran ile karşılaşacaksınız.
Burada gördüğünüz gibi program bilgisayarınızı inceleyerek açılış ve setup ayarlarından bizi ilgilendirenleri tek tek sıralamıştır. Bu ayarların içinden bizim düşmanımızı bulmak ve silmek tamamen bizim bilgimize bırakılmıştır. Senin makinanda görüntülen ayarlar bunlar senin düşmanın kimse kendin bul ve bana yok etmemi bildir denmektedir. Takdir edersinizki bilgisayar bilgisi yetersiz olanlara bu yazılar hiçbir şey ifade etmez. Öncelikle bu ifadelerden yeteri kadar sonuç çıkartamayan arkadaşlar sol tarafta buluna save log butonuna tıklayarak bu sonuçları bir txt dosyası olarak kaydedeceklerdir.
Save işlemi tamamlandıktan sonra notepad programı bu text dosyasını otomatik olarak açacaktır. Açmaz ise siz notepad ile açıp bu dosyayı anlayan bir arkadaşınıza gösterir veya ilgili internet sitelerine (computercops.biz , spywareinfo.com/forums) yazarak yardım istersiniz.
Şimdi burada her satırın ne anlama geldiğini inceleyelim. Görüldüğü gibi satır başında bir numara ve yanında bilgisayarda o bölüm için tesbit edilen programlar yazılıdır. Anlamını öğrenmek istediğiniz satır üzerine klikleyiniz..
R0, R1, R2, R3 - Internet Explorer Start/Search (açılma/arama) sayfasının adresleri.
F0, F1 - Sistem açılışında otomatik yüklenen programlar.
N1, N2, N3, N4 - Netscape/Mozilla Start/Search pages URLs
O1 - Hosts file redirection
O2 - Browser Helper Objects
O3 - Internet Explorer toolbars
O4 - Registry ve startup grup tarafından otomatik yüklenen programlar
O5 - IE özelliklerinin gizlenmesi
O6 - IE Options access restricted by Administrator
O7 - Regedit access restricted by Administrator
O8 - IE sağ tuş menu ilaveleri.
O9 - IE toolbar veya IE ‘Tools’ menu içinde ilave butonlar
O10 - Winsock hijacker
O11 - IE ‘Advanced Options’ penceresinde ilave gruplar.
O12 - IE plugins
O13 - IE DefaultPrefix hijack
O14 - ‘Reset Web Settings’ hijack
O15 - Trusted Zone içinde istenmeyen siteler.
O16 - ActiveX Objects (aka Downloaded Program Files)
O17 - Lop.com domain hijackers
O18 - Extra protocols and protocol hijackers
O19 - User style sheet hijack
R0, R1, R2, R3 - IE Start & Search pages
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer provided by YAŞASIN CUMHURİYET VİVA ZAPATA
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 212.253.49.7:80
R1 -HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = https://tik.lat/IrqXy
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\PCHEALTH\HELPCTR\System\panels\blank.htm
R2 - (R2 satırı herhangi bir hijack tarafından kullanılmadığı için boştur)
R3 - ( URLSearchHook adresi : Şayet siz explorer adres barına herhangi bir protokolu olmayan (http:\\ veya ftp:\\ gibi) bir adres yazdığınız zaman explorer bunu otomatik olarak tamamlayacaktır. Ancak bu atadığı protokol ilede bulmaya başarılı olamaz ise yazılan adresi bulmak için R3 satırında belirtilen URLSearchHook adresini kullanarak arama yapıp adresi bulmaya çalışacaktır.)
Bu dosyaların registry deki yerleri aşağıdadır.
Registry Keys: HKCU\Software\Microsoft\Internet Explorer\Main : Start Page
HKLM\Software\Microsoft\Internet Explorer\Main : Default_Page_URL
Şayet R0 ve R1 satırlarında sizin seçmediğiniz bir adres varsa arzu ederseniz bunu hijackthis programı ile düzeltebilirsiniz. Nasıl düzelteceğiniz sayfanın altında izah edilmiştir.
en çok karşılaşılan "bestsearch.cc" temizlenmesi
R1 -HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = https://tik.lat/83c2S
1: https://tik.lat/5afoT adresinden "SpyBot S&D (v.1.3)" programını indir ve install et.
3: remove_bestsearch uninstall programını download et.
4: bilgisayarı güvenli kipte açarak download ettiğin uninstall programını çalıştır.
5: hijackthis çalıştırarak
R1- HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = https://tik.lat/1NJXp satırını hala varsa işaretleyerek temizleyin.
5: yine güvenli kipte SpyBot S&D (v.1.3) ile kontrol et ve temizle.
6: bilgisayarın temizlendiğine emin olmak için hijackthis çalıştır ve ve R1 satırlarını kontrol et.bu satırlarda " bestsearch.cc" gibi bir yazı görmemelisin. varsa aynı işlemleri baştan yap.
R3 satırında sizin tesbit etmediğiniz bir adres varsa daima düzeltin.
başa dön
F0, F1, F2, F3 - Autoloading programs from INI files
Bu bölümde sistemde bulunan ini dosyaları (system.ini , win.ini gibi ) veya onların registry içindeki karşılıkları tarafından bilgisayar açılırken otomatik yüklenen programları belirtilir.
F0 - system.ini: Shell=Explorer.exe Openme.exe
F1 - win.ini: run=hpfsched
Dikkat bu bölümü izah etmeden önce hijackthis version 1.97.7 programında olan bir bug'dan bahsetmeliyim. Bu versiyonla F2 bölümünde bulunan userinit dosyasını restore yapmaya çalıştığımızda hijackthis registry üzerine yanlış dosya yazacak ve açılışta problemler çıkarabilecektir. Bu bölümde restore yaparken lütfen dikkatli olunuz. Restore konusu sayfanın alt tarafında izah edilmiştir.
F0 sistem.ini dosyası içinde "Shell=" ile başlayan kısımları gösterir. Windows 9x ve alt versiyonlarında o program açılışta yüklenerek kullanılır. Aynı shell satırında farklı program yüklenerek casus programramlar maskelenebilir. "Shell=explorer.exe casusprogram.exe" gibi. Böylece istenmeyen programlar açılışta yüklenecektir. Bu nedenden dolayı F0 satırını her zaman düzeltilmesi gereken bir satır olarak görebiliriz.
F1 satırı win.ini dosyasındaki load= veya run= satırında belirtilen dosyalardır. Bu programlar windows açılırken yüklenecektir. Run= satırındaki programlar genelde windows 3.1 , 95 ve 98 ile uyumlu olan eski programlardır. Yeni programların çoğu ve hardware driver dosyaları load= satırını kullanırlar. Bu nedenle bu maddeyi genelde güvenli kabul edebiliriz. Emin olmadığımız program için inceleme yaparak öğrenebiliriz. Bunun için açılışta çalışan programlar ile ilgili birçok site vardır. Buralardan dosya ismine göre bilgialabiliriz. ( https://tik.lat/RCsbr
https://tik.lat/e82W7
https://tik.lat/BrmKp
https://tik.lat/1qNxp
https://tik.lat/PlArR
google, https://tik.lat/AhVRV )
F2 satırı F0 ve F1 gibi açılışta yüklenen programları gösterir ancak bu programlar windows XP ve NT versiyonlarında recisty içinde belirtilen programlardır. Xp ve NT genelde system.ini ve win.ini dosyalarını kullanmaz , geriye uyumlu bazı programların başlaması için inifilemapping fonksiyonu kullanılır. Bu fonksiyon ile ini dosyası içindeki bilgiler registry içine yerleştirilir. Bu programlar için önce registry'deki HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping anahtarı kontrol edilecek ini dosyasına ait bilgiler varsa buradan okunacaktır.
F2 satırında bulunan bir başka bilgi ise userinit bilgileridir. Bu bilgiler registry içinde HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit anahtarında bulunur. Bu anahtar bilgisayarı kullanan kullanıcını hangi programları kullanabileceğini belirtir. Bu iş için C:\windows\system32\userinit.exe programını kullanır. Userinit.exe programı kullanıcı adına göre default değerleri ( font, renk, ve diğer özellikler ) yükler. Bu satırda HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit =C:\windows\system32\userinit.exe,c:\windows\casusprogram.exe gibi bir bilginin olması userinit.exe programının yanında casus ( trojans, hijackers, and spyware) programında çalışacağı anlamına gelir.
Registry anahtarları:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping,
Dosyalar:
c:\windows\system.ini
c:\windows\win.ini
Örnek satır F0 - system.ini: Shell=Explorer.exe Something.exe
Örnek satır F2 - REG:system.ini: UserInit=userinit,nddeagnt.exe
Örnek satır F2 - REG:system.ini: Shell=explorer.exe beta.exe
F0 satırında örnekte olduğu gibi Shell=Explorer.exe something.exe bir cümle görürseniz explorer ile beraber bir casus program çalışacak anlamına gelir ki bu satırı kesinlikle iptal edip düzeltmelisiniz.
F1 Bu satırda bilmediğiniz dosyaların ne olduğunu anlamak için ilgili sitelerde inceleme yapmalısınız.( google, https://tik.lat/gvrdA , https://tik.lat/ci8dE https://tik.lat/gpKLQ , https://tik.lat/K94Sk , https://tik.lat/DKSwY , https://tik.lat/q8kI1 , https://tik.lat/zWLcw ) .
F2 satırında UserInit=userinit.exe ifadesini nddeagnt.exe ile veya tek başına görebilirsiniz.Bunu tek olarak kullanın. UserInit=userinit.exe yazısındnn sonra ki işaretin ","(virgül) olmadığına dikkat edin. Şayet daha sonra başka bir program ismi varsa bu bir casus program olabilir , temizleyiniz. Yine F2 Shell =explorer.exe satırı tek başına olmalı daha sonra olan program trojan veya malware olabilir temizleyin.
başa dön
N1, N2, N3, N4 - Netscape/Mozilla Start & Search page
Bu satırlar netscape , mozilla açılış sayfalarını ve default search page sayfasını gösterir. Bu bilgiler C:\********s and Settings\YourUserName\Application Data folder. directorunda çeşitli yerlerde bulunan prefs.js dosyasında saklanır. Netscape 4 browserının bu konudaki bilgileri DriveLetter:\Program Files\Netscape\Users\default\prefs.js. dosyasında tutulur. Burada o dosyadaki bilgileri gösterir.
N1 : Netscape 4 Startup Page ve default search page gösterir..
N2 Netscape 6 Startup Page ve default search page gösterir.
N3 : Netscape 7 Startup Page ve default search page gösterir.
N4 :Mozilla Startup Page ve default search page gösterir.
N1 - Netscape 4: user_pref("browser.startup.homepage", "www.google.com"); (C:\Program Files\Netscape\Users\default\prefs.js)
N2 - Netscape 6: user_pref("browser.startup.homepage", "http://www.google.com"); (C:\********s and Settings\User\Application Data\Mozilla\Profiles\defaulto9t1tfl.slt\prefs.js)
N2 - Netscape 6: user_pref("browser.search.defaultengine", "engine://C%3A%5CProgram%20Files%5CNetscape%206%5Csearchplugins%5CSBWeb_02.src"); (C:\********s and Settings\User\Application Data\Mozilla\Profiles\defaulto9t1tfl.slt\prefs.js)
Çoğu spyware ve hijacker internet explorer'a saldırmayı tercih ettiği için genelde bu satırlar emniyetlidir. Bu browserları kullanmadığınız halde bu satırlar görüntüleniyorsa temizleyiniz. Bu satırları kullanan en önemli site lop.com dur. Lop.com hakkında bilgi ve remove tool buradadır.
başa dön
O1 - Hostsfile yönlendirme adresini gösterir.
Bazı hijacker'lar host dosyalarını kullanarak IP adres yönlendirmesini yaparlar. Yani ben hostfile içine 127.0.0.1 https://tik.lat/avHZW şeklinde yazarsam; internette explorer adres barına https://tik.lat/zQvoK yazarsam explorer önce host file kontrol edecek ve beni burada yazan 127.0.0.1 adresine yönlendirecektir.Dolayısı ile istediğim sayfaya gidemiyeceğim.127.0.0.1 https://tik.lat/bFYrZ yazılı ise her google gitmeye çalıştığımda başka bir sayfaya gideceğim demektir. 127.0.01 sizin kendi bilgisayarınızdır.
O1 - Hosts: 216.177.73.139 auto.search.msn.com
O1 - Hosts: 216.177.73.139 search.netscape.com
O1 - Hosts: 216.177.73.139 ieautosearch
O1 - Hosts file is located at
O1 - Hosts: 1123694712 auto.search.msn.com
O1 - Hosts: 1123694712 auto.search.msn.com
Aşağıda host file'ların bulunduğu yerleri göreceksiniz. Herhangi bir text editor ( notepad, wordpad....) ile bu dosyalarda değişiklik yapabilirsiniz.
Operating System ********
Windows 3.1 C:\WINDOWS\HOSTS
Windows 95 C:\WINDOWS\HOSTS
Windows 98 C:\WINDOWS\HOSTS
Windows ME C:\WINDOWS\HOSTS
Windows XP C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS
Windows NT C:\WINNT\SYSTEM32\DRIVERS\ETC\HOSTS
Windows 2000 C:\WINNT\SYSTEM32\DRIVERS\ETC\HOSTS
Windows 2003 C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS
Bu satırda bir bilgi görürseniz hijack çalışmaya başlamış demektir. Hemen bu satırı temizleyin. Yukarda beyaz kutu içindeki son örnek Coolwebsearch bulaşmış demektir. (O1 - Hosts file is located at C:\Windows\Help\hosts ) CWShredder programı bunu temizler.
başa dön
O2 - Browser Helper Objects
Bu bölümde aşağıdaki örneklerde olduğu gibibrowser help objelerini görebilirsiniz.
O2 - BHO: Yahoo! Companion BHO - {13F537F0-AF09-11d6-9029-0002B31F9E59} - C:\PROGRAM FILES\YAHOO!\COMPANION\YCOMP5_0_2_4.DLL
O2 - BHO: (no name) - {1A214F62-47A7-4CA3-9D00-95A3965A8B4A} - C:\PROGRAM FILES\POPUP ELIMINATOR\AUTODISPLAY401.DLL (file missing)
O2 - BHO: MediaLoads Enhanced - {85A702BA-EA8F-4B83-AA07-07A5186ACD7E} - C:\PROGRAM FILES\MEDIALOADS ENHANCED\ME1.DLL
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton Antivirus\NavShExt.dll
Bu bölümde bilmediğiniz bir şey olursa https://tik.lat/WKO3X adresinden ne olduğunu bulabilir zararlı ise temizlersiniz. Bu listede "X" zararlı dosya (spyware) , "L" ise emniyetli güvenli dosya anlamındadır. Aşağıda bu sayfada listenin görünüşü hakkında örnek vardır. Bahsettiğimiz "X" ve "L" harfleri status sütunundadır.
GUID Status Filename Description
{00000000-0008-D357-0798-004401965D4A} X BHO TB apphelp32.dll "TX 4" BrowserAd adware
{00000000-0008-5041-4354-0020e48020af} L TB 12popup.dll 12Ghosts Popup Killer
{00000000-5eb9-11d5-9d45-009027c14662} X BHO ehelper.dll
VX2.dll VX2 Respondmiter, Blackstone Transponder
başa dön
O3 - IE toolbars
Bu bölümde internet explorer tarafından kullanılan toolbar'ları görebilirsiniz. Bazen sizin istemediğiniz bir tool bar internet explorer üzerinde görülür. Bunun yeri burda izah edilir.
Aşağıdaki örneklerde görüldüğü gibi toolbar'ın adı veharddisk üzerindeki yerini görürsünüz. O3 satırı bu bilgileri HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar registry anahtarından alır.
O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRAM FILES\YAHOO!\COMPANION\YCOMP5_0_2_4.DLL
O3 - Toolbar: Popup Eliminator - {86BCA93E-457B-4054-AFB0-E428DA1563E1} - C:\PROGRAM FILES\POPUP ELIMINATOR\PETOOLBAR401.DLL (file missing)
O3 - Toolbar: Norton Antivirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton Antivirus\NavShExt.dll
O3 - Toolbar: rzillcgthjx - {5996aaf3-5c08-44a9-ac12-1843fd03df0a} - C:\WINDOWS\APPLICATION DATA\CKSTPRLLNQUL.DLL
IŞayet tanımadığınız bir toolbar var ise ne olduğunu "TonyK's BHO & Toolbar List" sayfasından bulabilirsiniz. Bu sayfada bulmak için parantez içinde yazılı olan class ID numaralarını kullanacaksınız. Daha önce belittiğim gibi bu sayfada "X" harfi spyware "L" harfi güvenli dosya anlamına gelir.
Şayet yukarıda en alttaki örnekte olduğu gibi random karakterlerden oluşan dosya ve director ismi var ise büyük olasalıkla "Lop.com" bulaşmıştır. LOp.com hakkında bilgi ve remove tool buradadır.
başa dön
O4 - Autoloading programs from Registry or Startup group
Bu satırda aşağıda görüldüğü gibi açılışta registry ve startup grup vasıtası ile otomatik yüklenen programlar görülür.
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: winlogon.exe
Örnekteki ilk üç satırda görüldüğü gibi bir registry anahtarı varsa o program registry'den en alt iki satırda görüldüğü gibi startup veya global startup ile başlıyorsa program "user's startup group" tarafında çalıştırılıyordur.
Startup: Bu gruptaki programlar kullanıcı login yaptığı zaman yüklenir.
Global Startup: Bu gruptaki programlar o bilgisayarı kullanan bütün kullanıcılarda ayrım yapmaksızın yüklenir..
Startup Registry Keys:
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
HKCU\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnceEx
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
Burada bahsedilen startup ********s hakkındaki teferruatlı bilgiyi Windows Program Automatic Startup ********s adresinde bulabilirsiniz.
Starup veya global startup direktör yeri aşağıdadır.:
Startup: c:\********s and settings\USERNAME\start menu\programs\startup
Global: c:\********s and settings\All Users\start menu\programs\startup
Bilmediğiniz dosyaları ( https://tik.lat/xFCCh
https://tik.lat/1dzWp
https://tik.lat/l9AFT
https://tik.lat/Mn5o5
https://tik.lat/vbHTN
PacMan's Startup Listgoogle, https://tik.lat/rcdYj ) sayfalarında bulabilirsiniz
başa dön
O5 - IE özelliklerinin gizlenmesi
Aşağıda görüldüğü gibi bu satırda İnternet explorer dosyasının özelliklerini kontrol etme yetkisini control.ini dosyası vasıtası ile disable ederek özelliklerrin değiştirilmesine engel olunur.
O5 - control.ini: inetcpl.cpl=no
Şayet O5 satırnda yukardaki ifadeyi görürseniz c:\windows\control.ini dosyasındaki IE'ın bazı kontrol özellikleri görünmez yapılarak kontrol edilmesinin önüne geçilmiştir.Bunun anlamı bu işlem adminitrator tarafından isteyerek yapılmamışsa bir hijack olayı ile karşı karşıyasınız demektir. Temizleyiniz.
başa dön
O6 - IE özelliklerinin Administrator tarafından kısıtlanması
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
Bu satır administrator IE özeliklerinde değişikliğe engel olmak için bazı tahditler getirdi ise veyaSpybot S&D option 'Lock homepage from changes' active yapıldı ise gözükür. Şayet admin bu konuda bir ayarlama yapmadı ise ve bu satır görülüyorsa bir hijack'tir temizleyiniz.
başa dön
O7 - Regedit access restricted by Administrator
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
Bu bölümü administrator kendi set etmemiş ise temizleyin.
başa dön
O8 - IE sağ tuş menu ilaveleri
O8 - Extra context menu item: &Google Search - res://C:\WINDOWS\DOWNLOADED PROGRAM FILES\GOOGLETOOLBAR_EN_1.1.68-DELEON.DLL/cmsearch.html
O8 - Extra context menu item: Yahoo! Search - file:///C:\Program Files\Yahoo!\Common/ycsrch.htm
O8 - Extra context menu item: Zoom &In - C:\WINDOWS\WEB\zoomin.htm
O8 - Extra context menu item: Zoom O&ut - C:\WINDOWS\WEB\zoomout.htm
Yukarıda görüldüğü gibi IE sağ tuş menüsüne yapılan ilaveleri gösterir. Şayet bu ilaveleri siz yapmadı iseniz bi hijack'dir. Temizleyiniz. Bu bilgiler HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MenuExt registry key'den alınır.
başa dön
O9 - IE toolbar veya IE 'Tools' menu içinde ilave butonlar
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O9 - Extra button: AIM (HKLM)
Yukarıda görüldüğü gibi IE ana toolbar veya tools menü içinde default olarak bulunmayan sonradan ilave edilen butonları gösterir. Bu bilgileri HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions registry key'den alır.Şayet bu butonları siz koymadı iseniz hijack'tir temizleyiniz.
başa dön
O10 - Winsock hijackers
O10 - Hijacked Internet access by New.Net
O10 - Broken Internet access because of LSP provider 'c:\progra~1\common~2\toolbar\cnmib.dll' missing
O10 - Unknown file in Winsock LSP: c:\program files\newton knows\vmain.dll
BU bölüm Winsock Hijackers veya Winsock 2 implementation'nın LSP (Layered Service Provider) gösterir. Winsock çalıştığı zaman data'lar zincirleme olarak LSP'lere transfer edilir.Spyware and Hijacker'lar internet üzerinde taransfer edilen bilgiyi görmek için LSP'leri kullanırlar.
Bazı virüs tarayıcılar arama işlemine Winsock level'dan başlarlar.
Bu bölümde çok dikkatli olmak gereklidir. Silinen bazı yanlış LSP'lerden sonra doğru LSP tekrar yaratılamaz ve internet ulaşımı sağlanamaz. Bu nedenle burada gerekli işlemler için tecrübeli birinden yardım istemek veya https://tik.lat/b0tBH adresinde LSPfix kullanmaktır. azı zz
Spybot-S&D programı genelde bu problemi temizler ancak önce https://tik.lat/IUE4R adresinden güncel versiyonunu bulmakta fayda var. Unutulmayacak bir konu LSP stack içinde bulunan bilinmeyen dosyalar hijack this tarafından temizlenemez.
başa dön
O11 - IE 'Advanced Options' penceresinde ilave gruplar
O11 - Options group: [CommonName] CommonName
Bu bölümde IE / Internet Options / Advanced Options kısmında görülen default olarak konmamış grupları gösterir. Bu bilgileri HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\AdvancedOptions registry anahtarından alır. Merijn'e göre bu bölümde yer alan ve bilinen bir adet hijacker vardır. bu satırda yukarıda görüldüğü gibi "CommonName" ismi ile görülür. Bu ismi görürseniz temizleyiniz.
başa dön
O12 - IE plugins
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O12 - Plugin for .PDF: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll
Bu bölümde Internet Explorer Plugins gösterilir. Internet Explorer Plugin'ler bazı programların internet explorer açılırken yüklenen mesela PDF dosyalarının gösterilmesini sağlayan plugin gibi. Bu bilgileri HKEY_LOCAL_MACHINE\software\microsoft\internet explorer\plugins Registry key'den alır. Çoğu plugin'ler zararsız ve kullanılan plugin'dir bu nedenle bilmediklerimizi silmeden önce Google'da arayıp ne olduğunu öğrenmekte fayda vardır. Bilinen istenmeyen plugin Onflow'dur uzantısı ".ofb" şeklindedir bunu rahatça temizleyebilirsiniz.
başa dön
O13 - IE DefaultPrefix hijack
O13 - DefaultPrefix: https://tik.lat/RxiSG
O13 - WWW Prefix: https://tik.lat/tosD5
O13 - WWW. Prefix: https://tik.lat/dzvDw
burada hijack'in kullandığı IE DefaultPrefix'leri görürsünüz. Burada görülen herşeyi zararlı kabul edip emniyetle temizleyebilirsiniz.
default prefix anlamı; Biz internette http://, ftp:// ve benzerleri ile başlayan sitelere gitmek istediğimizde biz adrese bunları yazmazsak bile IE bu ön eki kendisi tamalayarak oraya gidecektir bu tamalamayı default prefix kullanarak yapar. Bu ön eki registry kullanarak değiştirmek mümkündür. En bilinen hijacker olan "CoolWebSearch" bu yöntemi kullanarak default prefix'i https://tik.lat/H4IUR . şeklinde değiştirir. Bunun anlamı siz adres barına www.google.com yazdığınız zaman otomatik olarak ön ek konacağından yazılan adres https://tik.lat/JJj1O şeklinde algılanacak ve siz başka bir siteye (CoolWebSearche) bağlanacaksınız.
Bu bilgiler HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\URL\DefaultPrefix\ Registry Key'den alınır.
Şayet siz yukarda belittiğim örnekteki gibi "CoolWebSearche" ile karşılaşırsanız CWShredder programını kullanın. Bu program hakkındaki bilgiyive programı https://tik.lat/Z4D9d https://tik.lat/jMtjk adrslerinden temin edebilirsiniz. Bazen buda temizleyebilir bu zaman HijackThis programınıda kullanmakta faydalı olur temizleme yöntemi aşağıdadır.
1: makinayı safe boot ile aç (msconfig de) veya f8 ile güvenli kipte aç.
2: i. explorer başlangıç sayfalarını değiş.
3: hijack this dosyasını kullanarak scan yap. R0 ve sonraki satırları incele şüphelendiğin bilmediğin her şeyi sil. Zaten verdiğim adreste bu satırlarda trojan dosyalarını göreceksin bu isimleri sil.
3: tekrar safe boot aç. Şimdi cwshredder çalıştır. Bazı dosyalar bulacak sil. en önemlisi y.exe
4: tekrar safe boot , açılış sayfasını kontrol et değişmişmi. değişmemişse problem yok ama işlem bitmedi.
5: tekrar cwshredder çalıştır. yine bir dll dosyası ve başka dosyalar bulacak. sil.
6:hijack this dosyasını kullanarak tekrar scan yap.satırları kontrol et değişen varmı şüphelileri sil.İexplorer açılış sayfasını kontrol et.
7: tekrar safe boot ve cwshredder scan yap ,açılış sayfasını kontrol et ,artık dayanacağını sanmam. Hala dayanıyorsa onu tebrik et bükemediğin bileği öp.
hijack this satırında bilmediğin dosyaları kontrol edebileceğin adresler aşağıda:
https://tik.lat/7s4d2
https://tik.lat/vScxj
https://tik.lat/0kjeO
https://tik.lat/CBQgK
https://tik.lat/jOqIs
bu adreslerden bilmediğin dosyaların ne olduğunu bulabilirsiniz. Bulamaz iseniz google bazen işe yarıyor. Bir dosyanın driver olduğunu ordan buldum.
başa dön
O14 - 'Reset Web Settings' hijack
O14 - IERESET.INF: START_PAGE_URL=http://www.searchalot.com
Bilgisayarınızda c:\windows\inf\iereset.inf adresinde Internet Explorer'ın default Windows ayarlarının saklandığı dosya vardır. Siz ayarlarda default özelliklerine dön işaretlediğiniz zaman default değerlere dönmek için bu dosyayı kullanılır. Şayet hijacker bu dosyada ayarları değişmiş ise sizde doğal olarak onun değiştiği ayarları kullanarak onun istediği sitelere gideceksiniz. Şayet bu ayarlar administrator tarafından bilerek değiştirilmemiş ise rahatça temizleyebilirsiniz.
başa dön
O15 -Trusted Zone içinde istenmeyen siteler
O15 - Trusted Zone: https://tik.lat/mYLNu
O15 - Trusted Zone: *.coolwebsearch.com
O15 - Trusted Zone: *.msn.com
O15 - Trusted Zone: https://tik.lat/dpfUr
BU bölümde IE Trusted Zone'da gözüken istenmiyen siteleri görebilirsiniz.Thrusted zone içinde her bölüm değişik güvenlik ayarlarına sahiptir.Bu ayarlara göre siteye ulaşmaya müsade eder. Güvenlik testlerinden geçmiyen zararlı siteler buraya güvenli olarak kaydedilirse hiçbir engelleme olmadan siteye ulaşılır. Bu nedenle bazı hijacker'lar sitelerini buraya güvenli olarak yazarlar. Bunların en bilineni "free.aol.com" adrsidir. Bunları rahatça temizleyebilirsiniz.
Bu satır bilgileri : HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains Registry Key'den alır.
başa dön
O16 - ActiveX Objects (aka Downloaded Program Files)
O16 - DPF: Yahoo! Chat - https://tik.lat/BGW8b
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://tik.lat/CKgQZ
O16 - DPF: {11260943-421B-11D0-8EAC-0000C07D88CF} (iPix ActiveX Control) - https://tik.lat/glm8w
Bu satırda ActiveX Objects başka bir ifade ile "Downloaded Program Files" gösterilir. Bu programlar C:\windows\Downloaded Program Files direktöründe bulunur. Bunların registry'de CLSID numaraları bulunur. Bazı güvenli activex control bulunabilir (iPix viewer gibi) . Şayet bilmediğiniz bir şey olursa CLSID numaraları ve malicious ActiveX objects kontrol etmek için "Javacool's SpywareBlaster" programı büyük bir database sahiptir.Ücretsiz olan bu programı kurabilirsiniz. Şayet bu satırlar 'dialer', 'casino', 'free_plugin' '***', 'porn', 'casino', 'adult' gibi kelimeler var ise rahatça temizleyebilirsiniz. Şayet yine emin değilseniz bu dosyaların ne olduğunu Google'dan rahatça bulabilirsiniz. .
başa dön
O17 - Lop.com domain hijacks
O17 - HKLM\System\CCS\Services\VxD\MSTCP: Domain = aoldsl.net
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = W21944.find-quick.com
O17 - HKLM\Software\..\Telephony: DomainName = W21944.find-quick.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{D196AB38-4D1F-45C1-9108-46D367F19F7E}: Domain = W21944.find-quick.com
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = gla.ac.uk
O17 - HKLM\System\CS1\Services\VxD\MSTCP: NameServer = 69.57.146.14,69.57.147.175
Bu bölüm "Lop.com Domain Hacks" gösterir. Şayet burada sizin kullandığınız ISP veya network adresi yoksa bir hijack ile karşılaştınız demektir lütfen temizleyiniz. Normal olarak adres barına IP no yazmadan adres yazarsanız önce 'NameServer' (DNS servers) adreslerinden birine gidilerek bu adrese ait Ip no bulunarak bilgisayar bu adrese yönlendirilir. DNS server IP no ya otomatik olarak alınır yada sizin seçtiğiniz bir DNS server'a direk gidilir. Mesela siz adres barına "http://www.bleepingcomputer.com/" yazarsanız Bilgisayarınız önce bir DNS server'a giderek bu adresi inceleyip IP no bulup sizin bilgisayarınızı bulduğu 192.168.1.0 nolu IP'ye yönlendirecektir. Bilmediğiniz DNS server'ın kime ait olduğunu Arin sitesinde whois sorgulaması ile bulabilirsiniz.
Burada bulunan DNS server adresini siz yazmadınız ve bilmiyorsanız bir Hijack'tir. Bir adres yazdığınızda bilgisayarınız adresin IP no'sunu bu DNS server'a soaracak ve onun yönlendirdiği yanlış adrese gidecektir. .
DİKKAT If network üzerinde bir bilgisayar kullanıyorsanız hijackthis programı bilgisayarınızın Windows NT Domain'ni bu bölümde gösterecektir. BU satırı temizlerken dikkatli olun ve hijacthis log file'ını yabancılara gösterirseniz network domain bilgilerinizi elde ederler. Yabancılara göstermeden önce bu satırları çıkartın. Zira bu bilgiler bilgisayarınızı hack etmek için kullanılabilir.
lop.com uninstal etmek için bazı metodlar:
1: Start Menu--Control Panel-'Add / Remove Programs içinde 'Lop.com' veya 'LOP SEARCH' veya 'Window Searching' veya ‘'Window Active' veya "Browser Enhancer" veya "Ultimate Browser Enhancer" programlarından hangisi varsa uninstal et hepside lopcom değişik versiyonudur.
2 versiyona bağlı ıolarak ekranın sağ alt köşesinde saatin yanında bulunan yeni ikona sağ tıklayıp menu seçip açılan ana menüde sağ üst köşedeki help butonuna tıklayıp uninstall seçin.
- aşağıdaki programı lopcom'u uninstall etmek için kullanın
lop_com_uninstall.ZIP
başa dön
O18 - Extra protocols and protocol hijackers
O18 - Protocol: relatedlinks - {5AB65DD4-01FB-44D5-9537-3767AB80F790} - C:\PROGRA~1\COMMON~1\MSIETS\msielink.dll
O18 - Protocol: mctp - {d7b95390-b1c5-11d0-b111-0080c712fe82}
O18 - Protocol hijack: http - {66993893-61B8-47DC-B10D-21E0C86DD9C8}
Bu bölümde ilave protokollar ve bazı hijack protokoları görülür. Bu bölümü birkaç hijacker kullanır en bilinenleri 'cn' (CommonName), 'ayb' (Lop.com) ve 'relatedlinks' (Huntbar)'dir. Bunları temizleyebilirsiniz. Yine güvenliğini teyit edemediklerinizide temizleyin.
Bu hijack metodu: bilgisayarın kullandığı standard protocol drivers'lardan birinin hijacker tarafından değiştirilerek kullanılmasıdır.
başa dön
O19 - User style sheet hijack
O19 - User style sheet: c:\WINDOWS\Java\my.css
Bazen bilgisayar yavaşlar ve istemediğiniz sayfalar açılır popup çıkar. Bu bölümde bunlar gösterilir. Bu bölümü sadece Coolwebsearch 'un kullandığı bilinmektedir. Herne kadar bunu temizlemek için CWShredder kullanılsada HijackThis ilede temizleyebilirsiniz. Bilgileri HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Styles\: User Stylesheets Registry Key'den alır.
başa dön
Hijackthis ile düzeltme işlemlerinin yapılması :
Yukarıda söylediğimiz gibi scan yaptıktan sonra aldığımız log'da her satırı tek tek inceledik zararlı olduna karar verdiğimiz satır üzerine gelip tıklarsak aşağıda görüldüğü gibi o satır mavileşecektir.sola altta buluna kırmızı çerçeve içindeki "info selected item" butonuna tıkladığımızda
Görüldüğü gibi o satır hakkında teferruatlı bilgi alabiliriz. Bu pencerdeki "OK" butonuna tıklayınca küçük info penceresi kaybolacaktır..
Bu satırı temizlemek için sol tarafta buluna kutucuğu tıklayarak okey işareti koyun
Ve kırmızı çerçeve içindeki éfix checked" butonuna tıklayarak temizleme işlemini tamalayın
Yanlışlıkla silinen bir maddenin geri alınması (restore)
Dikkat bu bölümü izah etmeden önce hijackthis version 1.97.7 programında olan bir bug'dan bahsetmeliyim. Bu versiyonla F2 bölümünde bulunan userinit dosyasını restore yapmaya çalıştığımızda hijackthis registry üzerine yanlış dosya yazacak ve açılışta problemler çıkarabilecektir. Bu bölümde restore yaparken lütfen dikkatli olunuz.
Pencerenin sol alt tarafında gördüğünüz "config" butonuna tıklarak yeni pencere açın.
Burada "backup" butonuna tıkladığında aşağıda görülen backup penceresi açılacak. Geri almak istediğiniz satırın sol tarafındaki kutucuğu okeyleyin ve restore butonuna basın.
başa dön
Startup programların listesini almak.
Sizin log dosyanızı bir arkadaşınıza yardım istemek için gönderdiğinizde veya başka bir nedenle startup esnasında çalışan programların listesi lazım olabilir. Bu listeyi almak için "Misc tool" butonu altında "generate sturtuplist log" butonunu tıklamak yeterlidir. Program bu listeyi bir notepad TXT dosyasına yazacaktır. bu dosyayı istediğiniz yere gönderebilirsiniz.
Dikkat:
HijackThis programı; "spybot" , "Spybot - Search & Destroy", veya başka bir "Spyware/Hijacker remover" programı kullanıp temizleme işlemi yaptıktan sonra sisteminizde hala problemler varsa kullanılır. HijackThis ileri seviye bir program olduğu için ileri seviyede bir bilgisayar ve windows bilgisi ister. Bu programın belirttiği anahtarlardan birini yanlışlıkla silmeniz halinde sistemi çökertebilir veya başka problemlerin oluşmasına neden olursunuz. Bu nedenle siz öncelikle Spyware/Hijacker/Trojans temizlemesini başka temizleme programları ile yapmalısınız. Diğer metodların (antivirüs programları, Ad-aware , Spybot - Search & Destroy, CWShredder.hijack ve benzeri temizleme programları) hepsini kullandığınıza emin iseniz ve hala problemleriniz devam ediyorsa bu programı kullanabilirsiniz ancak size verdiği bilgiler üzerinde kesin bilgiye sahip değilseniz lütfen bir bilene sorunuz, sadece hijackthis log dosyalarını sormak için kurulmuş internet siteleri ve forumlar vardır. Buralara log dosyanızı veriyorsunuz size hangi satırları silmeniz veya değiştirmeniz gerektiğini yazıyorlar. (computercops.biz , spywareinfo.com/forums gibi)
Bu programı https://tik.lat/C41yi adresinden ( 154 KB.) download edebilirsiniz. Bu dosya sıkıştırılmış (zip fle) dosya olduğu için dosyayı açıp rahatça kullanabileceğiniz bir director içine (hijackthis adında bir direktor olabilir.) download edip açınız. Program backup dosyalarını bu director içinde tutacaktır. Zipli olarak kullanırsanız backup dosyası tutamaz. Burada bulunan hijackthis.exe dosyasına çift tıkladığınızda program çalışacak ve görüntüsü şu şekilde olacaktır.
sağ tarafta buluna config butonuna tıkladığınız zaman aşağıdaki görüntü ile karşılaşırsınız.
İyi bir performan ve kullanım için mavi çerçeve ile çizdiğim yerdeki 4 adet kutucuğunu işaretli olduğuna emin olunuz. Şimdi gerekli scan işlemi için sağ tarafta buluna back butonuna tıklayın. Tekrar ilk açılış ekranına döneceksiniz. Sol tarafta bulunan scan butonuna tıkladığınız zaman bilgisayarda scan işlemi yapılacak ve aşağıdaki ekran ile karşılaşacaksınız.
Burada gördüğünüz gibi program bilgisayarınızı inceleyerek açılış ve setup ayarlarından bizi ilgilendirenleri tek tek sıralamıştır. Bu ayarların içinden bizim düşmanımızı bulmak ve silmek tamamen bizim bilgimize bırakılmıştır. Senin makinanda görüntülen ayarlar bunlar senin düşmanın kimse kendin bul ve bana yok etmemi bildir denmektedir. Takdir edersinizki bilgisayar bilgisi yetersiz olanlara bu yazılar hiçbir şey ifade etmez. Öncelikle bu ifadelerden yeteri kadar sonuç çıkartamayan arkadaşlar sol tarafta buluna save log butonuna tıklayarak bu sonuçları bir txt dosyası olarak kaydedeceklerdir.
Save işlemi tamamlandıktan sonra notepad programı bu text dosyasını otomatik olarak açacaktır. Açmaz ise siz notepad ile açıp bu dosyayı anlayan bir arkadaşınıza gösterir veya ilgili internet sitelerine (computercops.biz , spywareinfo.com/forums) yazarak yardım istersiniz.
Şimdi burada her satırın ne anlama geldiğini inceleyelim. Görüldüğü gibi satır başında bir numara ve yanında bilgisayarda o bölüm için tesbit edilen programlar yazılıdır. Anlamını öğrenmek istediğiniz satır üzerine klikleyiniz..
R0, R1, R2, R3 - Internet Explorer Start/Search (açılma/arama) sayfasının adresleri.
F0, F1 - Sistem açılışında otomatik yüklenen programlar.
N1, N2, N3, N4 - Netscape/Mozilla Start/Search pages URLs
O1 - Hosts file redirection
O2 - Browser Helper Objects
O3 - Internet Explorer toolbars
O4 - Registry ve startup grup tarafından otomatik yüklenen programlar
O5 - IE özelliklerinin gizlenmesi
O6 - IE Options access restricted by Administrator
O7 - Regedit access restricted by Administrator
O8 - IE sağ tuş menu ilaveleri.
O9 - IE toolbar veya IE ‘Tools’ menu içinde ilave butonlar
O10 - Winsock hijacker
O11 - IE ‘Advanced Options’ penceresinde ilave gruplar.
O12 - IE plugins
O13 - IE DefaultPrefix hijack
O14 - ‘Reset Web Settings’ hijack
O15 - Trusted Zone içinde istenmeyen siteler.
O16 - ActiveX Objects (aka Downloaded Program Files)
O17 - Lop.com domain hijackers
O18 - Extra protocols and protocol hijackers
O19 - User style sheet hijack
R0, R1, R2, R3 - IE Start & Search pages
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer provided by YAŞASIN CUMHURİYET VİVA ZAPATA
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 212.253.49.7:80
R1 -HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = https://tik.lat/IrqXy
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\PCHEALTH\HELPCTR\System\panels\blank.htm
R2 - (R2 satırı herhangi bir hijack tarafından kullanılmadığı için boştur)
R3 - ( URLSearchHook adresi : Şayet siz explorer adres barına herhangi bir protokolu olmayan (http:\\ veya ftp:\\ gibi) bir adres yazdığınız zaman explorer bunu otomatik olarak tamamlayacaktır. Ancak bu atadığı protokol ilede bulmaya başarılı olamaz ise yazılan adresi bulmak için R3 satırında belirtilen URLSearchHook adresini kullanarak arama yapıp adresi bulmaya çalışacaktır.)
Bu dosyaların registry deki yerleri aşağıdadır.
Registry Keys: HKCU\Software\Microsoft\Internet Explorer\Main : Start Page
HKLM\Software\Microsoft\Internet Explorer\Main : Default_Page_URL
Şayet R0 ve R1 satırlarında sizin seçmediğiniz bir adres varsa arzu ederseniz bunu hijackthis programı ile düzeltebilirsiniz. Nasıl düzelteceğiniz sayfanın altında izah edilmiştir.
en çok karşılaşılan "bestsearch.cc" temizlenmesi
R1 -HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = https://tik.lat/83c2S
1: https://tik.lat/5afoT adresinden "SpyBot S&D (v.1.3)" programını indir ve install et.
3: remove_bestsearch uninstall programını download et.
4: bilgisayarı güvenli kipte açarak download ettiğin uninstall programını çalıştır.
5: hijackthis çalıştırarak
R1- HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = https://tik.lat/1NJXp satırını hala varsa işaretleyerek temizleyin.
5: yine güvenli kipte SpyBot S&D (v.1.3) ile kontrol et ve temizle.
6: bilgisayarın temizlendiğine emin olmak için hijackthis çalıştır ve ve R1 satırlarını kontrol et.bu satırlarda " bestsearch.cc" gibi bir yazı görmemelisin. varsa aynı işlemleri baştan yap.
R3 satırında sizin tesbit etmediğiniz bir adres varsa daima düzeltin.
başa dön
F0, F1, F2, F3 - Autoloading programs from INI files
Bu bölümde sistemde bulunan ini dosyaları (system.ini , win.ini gibi ) veya onların registry içindeki karşılıkları tarafından bilgisayar açılırken otomatik yüklenen programları belirtilir.
F0 - system.ini: Shell=Explorer.exe Openme.exe
F1 - win.ini: run=hpfsched
Dikkat bu bölümü izah etmeden önce hijackthis version 1.97.7 programında olan bir bug'dan bahsetmeliyim. Bu versiyonla F2 bölümünde bulunan userinit dosyasını restore yapmaya çalıştığımızda hijackthis registry üzerine yanlış dosya yazacak ve açılışta problemler çıkarabilecektir. Bu bölümde restore yaparken lütfen dikkatli olunuz. Restore konusu sayfanın alt tarafında izah edilmiştir.
F0 sistem.ini dosyası içinde "Shell=" ile başlayan kısımları gösterir. Windows 9x ve alt versiyonlarında o program açılışta yüklenerek kullanılır. Aynı shell satırında farklı program yüklenerek casus programramlar maskelenebilir. "Shell=explorer.exe casusprogram.exe" gibi. Böylece istenmeyen programlar açılışta yüklenecektir. Bu nedenden dolayı F0 satırını her zaman düzeltilmesi gereken bir satır olarak görebiliriz.
F1 satırı win.ini dosyasındaki load= veya run= satırında belirtilen dosyalardır. Bu programlar windows açılırken yüklenecektir. Run= satırındaki programlar genelde windows 3.1 , 95 ve 98 ile uyumlu olan eski programlardır. Yeni programların çoğu ve hardware driver dosyaları load= satırını kullanırlar. Bu nedenle bu maddeyi genelde güvenli kabul edebiliriz. Emin olmadığımız program için inceleme yaparak öğrenebiliriz. Bunun için açılışta çalışan programlar ile ilgili birçok site vardır. Buralardan dosya ismine göre bilgialabiliriz. ( https://tik.lat/RCsbr
https://tik.lat/e82W7
https://tik.lat/BrmKp
https://tik.lat/1qNxp
https://tik.lat/PlArR
google, https://tik.lat/AhVRV )
F2 satırı F0 ve F1 gibi açılışta yüklenen programları gösterir ancak bu programlar windows XP ve NT versiyonlarında recisty içinde belirtilen programlardır. Xp ve NT genelde system.ini ve win.ini dosyalarını kullanmaz , geriye uyumlu bazı programların başlaması için inifilemapping fonksiyonu kullanılır. Bu fonksiyon ile ini dosyası içindeki bilgiler registry içine yerleştirilir. Bu programlar için önce registry'deki HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping anahtarı kontrol edilecek ini dosyasına ait bilgiler varsa buradan okunacaktır.
F2 satırında bulunan bir başka bilgi ise userinit bilgileridir. Bu bilgiler registry içinde HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit anahtarında bulunur. Bu anahtar bilgisayarı kullanan kullanıcını hangi programları kullanabileceğini belirtir. Bu iş için C:\windows\system32\userinit.exe programını kullanır. Userinit.exe programı kullanıcı adına göre default değerleri ( font, renk, ve diğer özellikler ) yükler. Bu satırda HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit =C:\windows\system32\userinit.exe,c:\windows\casusprogram.exe gibi bir bilginin olması userinit.exe programının yanında casus ( trojans, hijackers, and spyware) programında çalışacağı anlamına gelir.
Registry anahtarları:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping,
Dosyalar:
c:\windows\system.ini
c:\windows\win.ini
Örnek satır F0 - system.ini: Shell=Explorer.exe Something.exe
Örnek satır F2 - REG:system.ini: UserInit=userinit,nddeagnt.exe
Örnek satır F2 - REG:system.ini: Shell=explorer.exe beta.exe
F0 satırında örnekte olduğu gibi Shell=Explorer.exe something.exe bir cümle görürseniz explorer ile beraber bir casus program çalışacak anlamına gelir ki bu satırı kesinlikle iptal edip düzeltmelisiniz.
F1 Bu satırda bilmediğiniz dosyaların ne olduğunu anlamak için ilgili sitelerde inceleme yapmalısınız.( google, https://tik.lat/gvrdA , https://tik.lat/ci8dE https://tik.lat/gpKLQ , https://tik.lat/K94Sk , https://tik.lat/DKSwY , https://tik.lat/q8kI1 , https://tik.lat/zWLcw ) .
F2 satırında UserInit=userinit.exe ifadesini nddeagnt.exe ile veya tek başına görebilirsiniz.Bunu tek olarak kullanın. UserInit=userinit.exe yazısındnn sonra ki işaretin ","(virgül) olmadığına dikkat edin. Şayet daha sonra başka bir program ismi varsa bu bir casus program olabilir , temizleyiniz. Yine F2 Shell =explorer.exe satırı tek başına olmalı daha sonra olan program trojan veya malware olabilir temizleyin.
başa dön
N1, N2, N3, N4 - Netscape/Mozilla Start & Search page
Bu satırlar netscape , mozilla açılış sayfalarını ve default search page sayfasını gösterir. Bu bilgiler C:\********s and Settings\YourUserName\Application Data folder. directorunda çeşitli yerlerde bulunan prefs.js dosyasında saklanır. Netscape 4 browserının bu konudaki bilgileri DriveLetter:\Program Files\Netscape\Users\default\prefs.js. dosyasında tutulur. Burada o dosyadaki bilgileri gösterir.
N1 : Netscape 4 Startup Page ve default search page gösterir..
N2 Netscape 6 Startup Page ve default search page gösterir.
N3 : Netscape 7 Startup Page ve default search page gösterir.
N4 :Mozilla Startup Page ve default search page gösterir.
N1 - Netscape 4: user_pref("browser.startup.homepage", "www.google.com"); (C:\Program Files\Netscape\Users\default\prefs.js)
N2 - Netscape 6: user_pref("browser.startup.homepage", "http://www.google.com"); (C:\********s and Settings\User\Application Data\Mozilla\Profiles\defaulto9t1tfl.slt\prefs.js)
N2 - Netscape 6: user_pref("browser.search.defaultengine", "engine://C%3A%5CProgram%20Files%5CNetscape%206%5Csearchplugins%5CSBWeb_02.src"); (C:\********s and Settings\User\Application Data\Mozilla\Profiles\defaulto9t1tfl.slt\prefs.js)
Çoğu spyware ve hijacker internet explorer'a saldırmayı tercih ettiği için genelde bu satırlar emniyetlidir. Bu browserları kullanmadığınız halde bu satırlar görüntüleniyorsa temizleyiniz. Bu satırları kullanan en önemli site lop.com dur. Lop.com hakkında bilgi ve remove tool buradadır.
başa dön
O1 - Hostsfile yönlendirme adresini gösterir.
Bazı hijacker'lar host dosyalarını kullanarak IP adres yönlendirmesini yaparlar. Yani ben hostfile içine 127.0.0.1 https://tik.lat/avHZW şeklinde yazarsam; internette explorer adres barına https://tik.lat/zQvoK yazarsam explorer önce host file kontrol edecek ve beni burada yazan 127.0.0.1 adresine yönlendirecektir.Dolayısı ile istediğim sayfaya gidemiyeceğim.127.0.0.1 https://tik.lat/bFYrZ yazılı ise her google gitmeye çalıştığımda başka bir sayfaya gideceğim demektir. 127.0.01 sizin kendi bilgisayarınızdır.
O1 - Hosts: 216.177.73.139 auto.search.msn.com
O1 - Hosts: 216.177.73.139 search.netscape.com
O1 - Hosts: 216.177.73.139 ieautosearch
O1 - Hosts file is located at
O1 - Hosts: 1123694712 auto.search.msn.com
O1 - Hosts: 1123694712 auto.search.msn.com
Aşağıda host file'ların bulunduğu yerleri göreceksiniz. Herhangi bir text editor ( notepad, wordpad....) ile bu dosyalarda değişiklik yapabilirsiniz.
Operating System ********
Windows 3.1 C:\WINDOWS\HOSTS
Windows 95 C:\WINDOWS\HOSTS
Windows 98 C:\WINDOWS\HOSTS
Windows ME C:\WINDOWS\HOSTS
Windows XP C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS
Windows NT C:\WINNT\SYSTEM32\DRIVERS\ETC\HOSTS
Windows 2000 C:\WINNT\SYSTEM32\DRIVERS\ETC\HOSTS
Windows 2003 C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS
Bu satırda bir bilgi görürseniz hijack çalışmaya başlamış demektir. Hemen bu satırı temizleyin. Yukarda beyaz kutu içindeki son örnek Coolwebsearch bulaşmış demektir. (O1 - Hosts file is located at C:\Windows\Help\hosts ) CWShredder programı bunu temizler.
başa dön
O2 - Browser Helper Objects
Bu bölümde aşağıdaki örneklerde olduğu gibibrowser help objelerini görebilirsiniz.
O2 - BHO: Yahoo! Companion BHO - {13F537F0-AF09-11d6-9029-0002B31F9E59} - C:\PROGRAM FILES\YAHOO!\COMPANION\YCOMP5_0_2_4.DLL
O2 - BHO: (no name) - {1A214F62-47A7-4CA3-9D00-95A3965A8B4A} - C:\PROGRAM FILES\POPUP ELIMINATOR\AUTODISPLAY401.DLL (file missing)
O2 - BHO: MediaLoads Enhanced - {85A702BA-EA8F-4B83-AA07-07A5186ACD7E} - C:\PROGRAM FILES\MEDIALOADS ENHANCED\ME1.DLL
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton Antivirus\NavShExt.dll
Bu bölümde bilmediğiniz bir şey olursa https://tik.lat/WKO3X adresinden ne olduğunu bulabilir zararlı ise temizlersiniz. Bu listede "X" zararlı dosya (spyware) , "L" ise emniyetli güvenli dosya anlamındadır. Aşağıda bu sayfada listenin görünüşü hakkında örnek vardır. Bahsettiğimiz "X" ve "L" harfleri status sütunundadır.
GUID Status Filename Description
{00000000-0008-D357-0798-004401965D4A} X BHO TB apphelp32.dll "TX 4" BrowserAd adware
{00000000-0008-5041-4354-0020e48020af} L TB 12popup.dll 12Ghosts Popup Killer
{00000000-5eb9-11d5-9d45-009027c14662} X BHO ehelper.dll
VX2.dll VX2 Respondmiter, Blackstone Transponder
başa dön
O3 - IE toolbars
Bu bölümde internet explorer tarafından kullanılan toolbar'ları görebilirsiniz. Bazen sizin istemediğiniz bir tool bar internet explorer üzerinde görülür. Bunun yeri burda izah edilir.
Aşağıdaki örneklerde görüldüğü gibi toolbar'ın adı veharddisk üzerindeki yerini görürsünüz. O3 satırı bu bilgileri HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar registry anahtarından alır.
O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRAM FILES\YAHOO!\COMPANION\YCOMP5_0_2_4.DLL
O3 - Toolbar: Popup Eliminator - {86BCA93E-457B-4054-AFB0-E428DA1563E1} - C:\PROGRAM FILES\POPUP ELIMINATOR\PETOOLBAR401.DLL (file missing)
O3 - Toolbar: Norton Antivirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton Antivirus\NavShExt.dll
O3 - Toolbar: rzillcgthjx - {5996aaf3-5c08-44a9-ac12-1843fd03df0a} - C:\WINDOWS\APPLICATION DATA\CKSTPRLLNQUL.DLL
IŞayet tanımadığınız bir toolbar var ise ne olduğunu "TonyK's BHO & Toolbar List" sayfasından bulabilirsiniz. Bu sayfada bulmak için parantez içinde yazılı olan class ID numaralarını kullanacaksınız. Daha önce belittiğim gibi bu sayfada "X" harfi spyware "L" harfi güvenli dosya anlamına gelir.
Şayet yukarıda en alttaki örnekte olduğu gibi random karakterlerden oluşan dosya ve director ismi var ise büyük olasalıkla "Lop.com" bulaşmıştır. LOp.com hakkında bilgi ve remove tool buradadır.
başa dön
O4 - Autoloading programs from Registry or Startup group
Bu satırda aşağıda görüldüğü gibi açılışta registry ve startup grup vasıtası ile otomatik yüklenen programlar görülür.
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: winlogon.exe
Örnekteki ilk üç satırda görüldüğü gibi bir registry anahtarı varsa o program registry'den en alt iki satırda görüldüğü gibi startup veya global startup ile başlıyorsa program "user's startup group" tarafında çalıştırılıyordur.
Startup: Bu gruptaki programlar kullanıcı login yaptığı zaman yüklenir.
Global Startup: Bu gruptaki programlar o bilgisayarı kullanan bütün kullanıcılarda ayrım yapmaksızın yüklenir..
Startup Registry Keys:
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
HKCU\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnceEx
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
Burada bahsedilen startup ********s hakkındaki teferruatlı bilgiyi Windows Program Automatic Startup ********s adresinde bulabilirsiniz.
Starup veya global startup direktör yeri aşağıdadır.:
Startup: c:\********s and settings\USERNAME\start menu\programs\startup
Global: c:\********s and settings\All Users\start menu\programs\startup
Bilmediğiniz dosyaları ( https://tik.lat/xFCCh
https://tik.lat/1dzWp
https://tik.lat/l9AFT
https://tik.lat/Mn5o5
https://tik.lat/vbHTN
PacMan's Startup Listgoogle, https://tik.lat/rcdYj ) sayfalarında bulabilirsiniz
başa dön
O5 - IE özelliklerinin gizlenmesi
Aşağıda görüldüğü gibi bu satırda İnternet explorer dosyasının özelliklerini kontrol etme yetkisini control.ini dosyası vasıtası ile disable ederek özelliklerrin değiştirilmesine engel olunur.
O5 - control.ini: inetcpl.cpl=no
Şayet O5 satırnda yukardaki ifadeyi görürseniz c:\windows\control.ini dosyasındaki IE'ın bazı kontrol özellikleri görünmez yapılarak kontrol edilmesinin önüne geçilmiştir.Bunun anlamı bu işlem adminitrator tarafından isteyerek yapılmamışsa bir hijack olayı ile karşı karşıyasınız demektir. Temizleyiniz.
başa dön
O6 - IE özelliklerinin Administrator tarafından kısıtlanması
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
Bu satır administrator IE özeliklerinde değişikliğe engel olmak için bazı tahditler getirdi ise veyaSpybot S&D option 'Lock homepage from changes' active yapıldı ise gözükür. Şayet admin bu konuda bir ayarlama yapmadı ise ve bu satır görülüyorsa bir hijack'tir temizleyiniz.
başa dön
O7 - Regedit access restricted by Administrator
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
Bu bölümü administrator kendi set etmemiş ise temizleyin.
başa dön
O8 - IE sağ tuş menu ilaveleri
O8 - Extra context menu item: &Google Search - res://C:\WINDOWS\DOWNLOADED PROGRAM FILES\GOOGLETOOLBAR_EN_1.1.68-DELEON.DLL/cmsearch.html
O8 - Extra context menu item: Yahoo! Search - file:///C:\Program Files\Yahoo!\Common/ycsrch.htm
O8 - Extra context menu item: Zoom &In - C:\WINDOWS\WEB\zoomin.htm
O8 - Extra context menu item: Zoom O&ut - C:\WINDOWS\WEB\zoomout.htm
Yukarıda görüldüğü gibi IE sağ tuş menüsüne yapılan ilaveleri gösterir. Şayet bu ilaveleri siz yapmadı iseniz bi hijack'dir. Temizleyiniz. Bu bilgiler HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MenuExt registry key'den alınır.
başa dön
O9 - IE toolbar veya IE 'Tools' menu içinde ilave butonlar
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O9 - Extra button: AIM (HKLM)
Yukarıda görüldüğü gibi IE ana toolbar veya tools menü içinde default olarak bulunmayan sonradan ilave edilen butonları gösterir. Bu bilgileri HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions registry key'den alır.Şayet bu butonları siz koymadı iseniz hijack'tir temizleyiniz.
başa dön
O10 - Winsock hijackers
O10 - Hijacked Internet access by New.Net
O10 - Broken Internet access because of LSP provider 'c:\progra~1\common~2\toolbar\cnmib.dll' missing
O10 - Unknown file in Winsock LSP: c:\program files\newton knows\vmain.dll
BU bölüm Winsock Hijackers veya Winsock 2 implementation'nın LSP (Layered Service Provider) gösterir. Winsock çalıştığı zaman data'lar zincirleme olarak LSP'lere transfer edilir.Spyware and Hijacker'lar internet üzerinde taransfer edilen bilgiyi görmek için LSP'leri kullanırlar.
Bazı virüs tarayıcılar arama işlemine Winsock level'dan başlarlar.
Bu bölümde çok dikkatli olmak gereklidir. Silinen bazı yanlış LSP'lerden sonra doğru LSP tekrar yaratılamaz ve internet ulaşımı sağlanamaz. Bu nedenle burada gerekli işlemler için tecrübeli birinden yardım istemek veya https://tik.lat/b0tBH adresinde LSPfix kullanmaktır. azı zz
Spybot-S&D programı genelde bu problemi temizler ancak önce https://tik.lat/IUE4R adresinden güncel versiyonunu bulmakta fayda var. Unutulmayacak bir konu LSP stack içinde bulunan bilinmeyen dosyalar hijack this tarafından temizlenemez.
başa dön
O11 - IE 'Advanced Options' penceresinde ilave gruplar
O11 - Options group: [CommonName] CommonName
Bu bölümde IE / Internet Options / Advanced Options kısmında görülen default olarak konmamış grupları gösterir. Bu bilgileri HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\AdvancedOptions registry anahtarından alır. Merijn'e göre bu bölümde yer alan ve bilinen bir adet hijacker vardır. bu satırda yukarıda görüldüğü gibi "CommonName" ismi ile görülür. Bu ismi görürseniz temizleyiniz.
başa dön
O12 - IE plugins
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O12 - Plugin for .PDF: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll
Bu bölümde Internet Explorer Plugins gösterilir. Internet Explorer Plugin'ler bazı programların internet explorer açılırken yüklenen mesela PDF dosyalarının gösterilmesini sağlayan plugin gibi. Bu bilgileri HKEY_LOCAL_MACHINE\software\microsoft\internet explorer\plugins Registry key'den alır. Çoğu plugin'ler zararsız ve kullanılan plugin'dir bu nedenle bilmediklerimizi silmeden önce Google'da arayıp ne olduğunu öğrenmekte fayda vardır. Bilinen istenmeyen plugin Onflow'dur uzantısı ".ofb" şeklindedir bunu rahatça temizleyebilirsiniz.
başa dön
O13 - IE DefaultPrefix hijack
O13 - DefaultPrefix: https://tik.lat/RxiSG
O13 - WWW Prefix: https://tik.lat/tosD5
O13 - WWW. Prefix: https://tik.lat/dzvDw
burada hijack'in kullandığı IE DefaultPrefix'leri görürsünüz. Burada görülen herşeyi zararlı kabul edip emniyetle temizleyebilirsiniz.
default prefix anlamı; Biz internette http://, ftp:// ve benzerleri ile başlayan sitelere gitmek istediğimizde biz adrese bunları yazmazsak bile IE bu ön eki kendisi tamalayarak oraya gidecektir bu tamalamayı default prefix kullanarak yapar. Bu ön eki registry kullanarak değiştirmek mümkündür. En bilinen hijacker olan "CoolWebSearch" bu yöntemi kullanarak default prefix'i https://tik.lat/H4IUR . şeklinde değiştirir. Bunun anlamı siz adres barına www.google.com yazdığınız zaman otomatik olarak ön ek konacağından yazılan adres https://tik.lat/JJj1O şeklinde algılanacak ve siz başka bir siteye (CoolWebSearche) bağlanacaksınız.
Bu bilgiler HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\URL\DefaultPrefix\ Registry Key'den alınır.
Şayet siz yukarda belittiğim örnekteki gibi "CoolWebSearche" ile karşılaşırsanız CWShredder programını kullanın. Bu program hakkındaki bilgiyive programı https://tik.lat/Z4D9d https://tik.lat/jMtjk adrslerinden temin edebilirsiniz. Bazen buda temizleyebilir bu zaman HijackThis programınıda kullanmakta faydalı olur temizleme yöntemi aşağıdadır.
1: makinayı safe boot ile aç (msconfig de) veya f8 ile güvenli kipte aç.
2: i. explorer başlangıç sayfalarını değiş.
3: hijack this dosyasını kullanarak scan yap. R0 ve sonraki satırları incele şüphelendiğin bilmediğin her şeyi sil. Zaten verdiğim adreste bu satırlarda trojan dosyalarını göreceksin bu isimleri sil.
3: tekrar safe boot aç. Şimdi cwshredder çalıştır. Bazı dosyalar bulacak sil. en önemlisi y.exe
4: tekrar safe boot , açılış sayfasını kontrol et değişmişmi. değişmemişse problem yok ama işlem bitmedi.
5: tekrar cwshredder çalıştır. yine bir dll dosyası ve başka dosyalar bulacak. sil.
6:hijack this dosyasını kullanarak tekrar scan yap.satırları kontrol et değişen varmı şüphelileri sil.İexplorer açılış sayfasını kontrol et.
7: tekrar safe boot ve cwshredder scan yap ,açılış sayfasını kontrol et ,artık dayanacağını sanmam. Hala dayanıyorsa onu tebrik et bükemediğin bileği öp.
hijack this satırında bilmediğin dosyaları kontrol edebileceğin adresler aşağıda:
https://tik.lat/7s4d2
https://tik.lat/vScxj
https://tik.lat/0kjeO
https://tik.lat/CBQgK
https://tik.lat/jOqIs
bu adreslerden bilmediğin dosyaların ne olduğunu bulabilirsiniz. Bulamaz iseniz google bazen işe yarıyor. Bir dosyanın driver olduğunu ordan buldum.
başa dön
O14 - 'Reset Web Settings' hijack
O14 - IERESET.INF: START_PAGE_URL=http://www.searchalot.com
Bilgisayarınızda c:\windows\inf\iereset.inf adresinde Internet Explorer'ın default Windows ayarlarının saklandığı dosya vardır. Siz ayarlarda default özelliklerine dön işaretlediğiniz zaman default değerlere dönmek için bu dosyayı kullanılır. Şayet hijacker bu dosyada ayarları değişmiş ise sizde doğal olarak onun değiştiği ayarları kullanarak onun istediği sitelere gideceksiniz. Şayet bu ayarlar administrator tarafından bilerek değiştirilmemiş ise rahatça temizleyebilirsiniz.
başa dön
O15 -Trusted Zone içinde istenmeyen siteler
O15 - Trusted Zone: https://tik.lat/mYLNu
O15 - Trusted Zone: *.coolwebsearch.com
O15 - Trusted Zone: *.msn.com
O15 - Trusted Zone: https://tik.lat/dpfUr
BU bölümde IE Trusted Zone'da gözüken istenmiyen siteleri görebilirsiniz.Thrusted zone içinde her bölüm değişik güvenlik ayarlarına sahiptir.Bu ayarlara göre siteye ulaşmaya müsade eder. Güvenlik testlerinden geçmiyen zararlı siteler buraya güvenli olarak kaydedilirse hiçbir engelleme olmadan siteye ulaşılır. Bu nedenle bazı hijacker'lar sitelerini buraya güvenli olarak yazarlar. Bunların en bilineni "free.aol.com" adrsidir. Bunları rahatça temizleyebilirsiniz.
Bu satır bilgileri : HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains Registry Key'den alır.
başa dön
O16 - ActiveX Objects (aka Downloaded Program Files)
O16 - DPF: Yahoo! Chat - https://tik.lat/BGW8b
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://tik.lat/CKgQZ
O16 - DPF: {11260943-421B-11D0-8EAC-0000C07D88CF} (iPix ActiveX Control) - https://tik.lat/glm8w
Bu satırda ActiveX Objects başka bir ifade ile "Downloaded Program Files" gösterilir. Bu programlar C:\windows\Downloaded Program Files direktöründe bulunur. Bunların registry'de CLSID numaraları bulunur. Bazı güvenli activex control bulunabilir (iPix viewer gibi) . Şayet bilmediğiniz bir şey olursa CLSID numaraları ve malicious ActiveX objects kontrol etmek için "Javacool's SpywareBlaster" programı büyük bir database sahiptir.Ücretsiz olan bu programı kurabilirsiniz. Şayet bu satırlar 'dialer', 'casino', 'free_plugin' '***', 'porn', 'casino', 'adult' gibi kelimeler var ise rahatça temizleyebilirsiniz. Şayet yine emin değilseniz bu dosyaların ne olduğunu Google'dan rahatça bulabilirsiniz. .
başa dön
O17 - Lop.com domain hijacks
O17 - HKLM\System\CCS\Services\VxD\MSTCP: Domain = aoldsl.net
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = W21944.find-quick.com
O17 - HKLM\Software\..\Telephony: DomainName = W21944.find-quick.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{D196AB38-4D1F-45C1-9108-46D367F19F7E}: Domain = W21944.find-quick.com
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = gla.ac.uk
O17 - HKLM\System\CS1\Services\VxD\MSTCP: NameServer = 69.57.146.14,69.57.147.175
Bu bölüm "Lop.com Domain Hacks" gösterir. Şayet burada sizin kullandığınız ISP veya network adresi yoksa bir hijack ile karşılaştınız demektir lütfen temizleyiniz. Normal olarak adres barına IP no yazmadan adres yazarsanız önce 'NameServer' (DNS servers) adreslerinden birine gidilerek bu adrese ait Ip no bulunarak bilgisayar bu adrese yönlendirilir. DNS server IP no ya otomatik olarak alınır yada sizin seçtiğiniz bir DNS server'a direk gidilir. Mesela siz adres barına "http://www.bleepingcomputer.com/" yazarsanız Bilgisayarınız önce bir DNS server'a giderek bu adresi inceleyip IP no bulup sizin bilgisayarınızı bulduğu 192.168.1.0 nolu IP'ye yönlendirecektir. Bilmediğiniz DNS server'ın kime ait olduğunu Arin sitesinde whois sorgulaması ile bulabilirsiniz.
Burada bulunan DNS server adresini siz yazmadınız ve bilmiyorsanız bir Hijack'tir. Bir adres yazdığınızda bilgisayarınız adresin IP no'sunu bu DNS server'a soaracak ve onun yönlendirdiği yanlış adrese gidecektir. .
DİKKAT If network üzerinde bir bilgisayar kullanıyorsanız hijackthis programı bilgisayarınızın Windows NT Domain'ni bu bölümde gösterecektir. BU satırı temizlerken dikkatli olun ve hijacthis log file'ını yabancılara gösterirseniz network domain bilgilerinizi elde ederler. Yabancılara göstermeden önce bu satırları çıkartın. Zira bu bilgiler bilgisayarınızı hack etmek için kullanılabilir.
lop.com uninstal etmek için bazı metodlar:
1: Start Menu--Control Panel-'Add / Remove Programs içinde 'Lop.com' veya 'LOP SEARCH' veya 'Window Searching' veya ‘'Window Active' veya "Browser Enhancer" veya "Ultimate Browser Enhancer" programlarından hangisi varsa uninstal et hepside lopcom değişik versiyonudur.
2 versiyona bağlı ıolarak ekranın sağ alt köşesinde saatin yanında bulunan yeni ikona sağ tıklayıp menu seçip açılan ana menüde sağ üst köşedeki help butonuna tıklayıp uninstall seçin.
- aşağıdaki programı lopcom'u uninstall etmek için kullanın
lop_com_uninstall.ZIP
başa dön
O18 - Extra protocols and protocol hijackers
O18 - Protocol: relatedlinks - {5AB65DD4-01FB-44D5-9537-3767AB80F790} - C:\PROGRA~1\COMMON~1\MSIETS\msielink.dll
O18 - Protocol: mctp - {d7b95390-b1c5-11d0-b111-0080c712fe82}
O18 - Protocol hijack: http - {66993893-61B8-47DC-B10D-21E0C86DD9C8}
Bu bölümde ilave protokollar ve bazı hijack protokoları görülür. Bu bölümü birkaç hijacker kullanır en bilinenleri 'cn' (CommonName), 'ayb' (Lop.com) ve 'relatedlinks' (Huntbar)'dir. Bunları temizleyebilirsiniz. Yine güvenliğini teyit edemediklerinizide temizleyin.
Bu hijack metodu: bilgisayarın kullandığı standard protocol drivers'lardan birinin hijacker tarafından değiştirilerek kullanılmasıdır.
başa dön
O19 - User style sheet hijack
O19 - User style sheet: c:\WINDOWS\Java\my.css
Bazen bilgisayar yavaşlar ve istemediğiniz sayfalar açılır popup çıkar. Bu bölümde bunlar gösterilir. Bu bölümü sadece Coolwebsearch 'un kullandığı bilinmektedir. Herne kadar bunu temizlemek için CWShredder kullanılsada HijackThis ilede temizleyebilirsiniz. Bilgileri HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Styles\: User Stylesheets Registry Key'den alır.
başa dön
Hijackthis ile düzeltme işlemlerinin yapılması :
Yukarıda söylediğimiz gibi scan yaptıktan sonra aldığımız log'da her satırı tek tek inceledik zararlı olduna karar verdiğimiz satır üzerine gelip tıklarsak aşağıda görüldüğü gibi o satır mavileşecektir.sola altta buluna kırmızı çerçeve içindeki "info selected item" butonuna tıkladığımızda
Görüldüğü gibi o satır hakkında teferruatlı bilgi alabiliriz. Bu pencerdeki "OK" butonuna tıklayınca küçük info penceresi kaybolacaktır..
Bu satırı temizlemek için sol tarafta buluna kutucuğu tıklayarak okey işareti koyun
Ve kırmızı çerçeve içindeki éfix checked" butonuna tıklayarak temizleme işlemini tamalayın
Yanlışlıkla silinen bir maddenin geri alınması (restore)
Dikkat bu bölümü izah etmeden önce hijackthis version 1.97.7 programında olan bir bug'dan bahsetmeliyim. Bu versiyonla F2 bölümünde bulunan userinit dosyasını restore yapmaya çalıştığımızda hijackthis registry üzerine yanlış dosya yazacak ve açılışta problemler çıkarabilecektir. Bu bölümde restore yaparken lütfen dikkatli olunuz.
Pencerenin sol alt tarafında gördüğünüz "config" butonuna tıklarak yeni pencere açın.
Burada "backup" butonuna tıkladığında aşağıda görülen backup penceresi açılacak. Geri almak istediğiniz satırın sol tarafındaki kutucuğu okeyleyin ve restore butonuna basın.
başa dön
Startup programların listesini almak.
Sizin log dosyanızı bir arkadaşınıza yardım istemek için gönderdiğinizde veya başka bir nedenle startup esnasında çalışan programların listesi lazım olabilir. Bu listeyi almak için "Misc tool" butonu altında "generate sturtuplist log" butonunu tıklamak yeterlidir. Program bu listeyi bir notepad TXT dosyasına yazacaktır. bu dosyayı istediğiniz yere gönderebilirsiniz.
