Turkhackteam.net/org - Turkish Hacking & Security Platform...  
Geri git   Turkhackteam.net/org - Turkish Hacking & Security Platform... >
Turkhackteam Under Ground
> Web & Server Güvenliği

Web & Server Güvenliği Host, Web Server, Domain, Dns Server Açıkları Hakkında Herşey ...(Dökümanlar Tamamen Eğitim Amaçlıdır.)



Hijack this programı kullanışı ve log file izahı. Konusunu Okumaktasınız...

Web & Server Güvenliği Kategorisi


Yeni Konu aç Cevapla
 
Seçenekler Stil
Alt 23-12-2010   #1
  • Offline
  • Asteğmen
  • Genel Bilgiler
Üyelik tarihi
Mar 2009
Mesajlar
Konular
Ettiği Teşekkür
1
7 Mesajına
9Teşekkür Aldı
  
Hijack this programı kullanışı ve log file izahı.



BleepingComputer.com, computercops.biz , spywareinfo.com, sitelerinden derlenmiştir.Bir çok programın içinden bu programın seçilmesinin nedeni bir hijack olayının nasıl yapıldığını, bilgisayarda nerelerde hangi değişiklikler yaparak hijack yaptığını bu programın kullanılışının izahı ile anlaşılacağına inandığım içindir.



Dikkat:
HijackThis programı; "spybot" , "Spybot - Search & Destroy", veya başka bir "Spyware/Hijacker remover" programı kullanıp temizleme işlemi yaptıktan sonra sisteminizde hala problemler varsa kullanılır. HijackThis ileri seviye bir program olduğu için ileri seviyede bir bilgisayar ve windows bilgisi ister. Bu programın belirttiği anahtarlardan birini yanlışlıkla silmeniz halinde sistemi çökertebilir veya başka problemlerin oluşmasına neden olursunuz. Bu nedenle siz öncelikle Spyware/Hijacker/Trojans temizlemesini başka temizleme programları ile yapmalısınız. Diğer metodların (antivirüs programları, Ad-aware , Spybot - Search & Destroy, CWShredder.hijack ve benzeri temizleme programları) hepsini kullandığınıza emin iseniz ve hala problemleriniz devam ediyorsa bu programı kullanabilirsiniz ancak size verdiği bilgiler üzerinde kesin bilgiye sahip değilseniz lütfen bir bilene sorunuz, sadece hijackthis log dosyalarını sormak için kurulmuş internet siteleri ve forumlar vardır. Buralara log dosyanızı veriyorsunuz size hangi satırları silmeniz veya değiştirmeniz gerektiğini yazıyorlar. (computercops.biz , spywareinfo.com/forums gibi)



Bu programı http://www.spywareinfo.com/~merijn/files/hijackthis.zip adresinden ( 154 KB.) download edebilirsiniz. Bu dosya sıkıştırılmış (zip fle) dosya olduğu için dosyayı açıp rahatça kullanabileceğiniz bir director içine (hijackthis adında bir direktor olabilir.) download edip açınız. Program backup dosyalarını bu director içinde tutacaktır. Zipli olarak kullanırsanız backup dosyası tutamaz. Burada bulunan hijackthis.exe dosyasına çift tıkladığınızda program çalışacak ve görüntüsü şu şekilde olacaktır.



sağ tarafta buluna config butonuna tıkladığınız zaman aşağıdaki görüntü ile karşılaşırsınız.



İyi bir performan ve kullanım için mavi çerçeve ile çizdiğim yerdeki 4 adet kutucuğunu işaretli olduğuna emin olunuz. Şimdi gerekli scan işlemi için sağ tarafta buluna back butonuna tıklayın. Tekrar ilk açılış ekranına döneceksiniz. Sol tarafta bulunan scan butonuna tıkladığınız zaman bilgisayarda scan işlemi yapılacak ve aşağıdaki ekran ile karşılaşacaksınız.



Burada gördüğünüz gibi program bilgisayarınızı inceleyerek açılış ve setup ayarlarından bizi ilgilendirenleri tek tek sıralamıştır. Bu ayarların içinden bizim düşmanımızı bulmak ve silmek tamamen bizim bilgimize bırakılmıştır. Senin makinanda görüntülen ayarlar bunlar senin düşmanın kimse kendin bul ve bana yok etmemi bildir denmektedir. Takdir edersinizki bilgisayar bilgisi yetersiz olanlara bu yazılar hiçbir şey ifade etmez. Öncelikle bu ifadelerden yeteri kadar sonuç çıkartamayan arkadaşlar sol tarafta buluna save log butonuna tıklayarak bu sonuçları bir txt dosyası olarak kaydedeceklerdir.











Save işlemi tamamlandıktan sonra notepad programı bu text dosyasını otomatik olarak açacaktır. Açmaz ise siz notepad ile açıp bu dosyayı anlayan bir arkadaşınıza gösterir veya ilgili internet sitelerine (computercops.biz , spywareinfo.com/forums) yazarak yardım istersiniz.



Şimdi burada her satırın ne anlama geldiğini inceleyelim. Görüldüğü gibi satır başında bir numara ve yanında bilgisayarda o bölüm için tesbit edilen programlar yazılıdır. Anlamını öğrenmek istediğiniz satır üzerine klikleyiniz..

R0, R1, R2, R3 - Internet Explorer Start/Search (açılma/arama) sayfasının adresleri.
F0, F1 - Sistem açılışında otomatik yüklenen programlar.
N1, N2, N3, N4 - Netscape/Mozilla Start/Search pages URLs
O1 - Hosts file redirection
O2 - Browser Helper Objects
O3 - Internet Explorer toolbars
O4 - Registry ve startup grup tarafından otomatik yüklenen programlar
O5 - IE özelliklerinin gizlenmesi
O6 - IE Options access restricted by Administrator
O7 - Regedit access restricted by Administrator
O8 - IE sağ tuş menu ilaveleri.
O9 - IE toolbar veya IE ‘Tools’ menu içinde ilave butonlar
O10 - Winsock hijacker
O11 - IE ‘Advanced Options’ penceresinde ilave gruplar.
O12 - IE plugins
O13 - IE DefaultPrefix hijack
O14 - ‘Reset Web Settings’ hijack
O15 - Trusted Zone içinde istenmeyen siteler.
O16 - ActiveX Objects (aka Downloaded Program Files)
O17 - Lop.com domain hijackers
O18 - Extra protocols and protocol hijackers
O19 - User style sheet hijack

R0, R1, R2, R3 - IE Start & Search pages


R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer provided by YAŞASIN CUMHURİYET VİVA ZAPATA
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyServer = 212.253.49.7:80
R1 -HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://bestsearch.cc/1076/search.php?qq=

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\PCHEALTH\HELPCTR\System\panels\blank.ht m

R2 - (R2 satırı herhangi bir hijack tarafından kullanılmadığı için boştur)
R3 - ( URLSearchHook adresi : Şayet siz explorer adres barına herhangi bir protokolu olmayan (http:\\ veya ftp:\\ gibi) bir adres yazdığınız zaman explorer bunu otomatik olarak tamamlayacaktır. Ancak bu atadığı protokol ilede bulmaya başarılı olamaz ise yazılan adresi bulmak için R3 satırında belirtilen URLSearchHook adresini kullanarak arama yapıp adresi bulmaya çalışacaktır.)




Bu dosyaların registry deki yerleri aşağıdadır.

Registry Keys: HKCU\Software\Microsoft\Internet Explorer\Main : Start Page
HKLM\Software\Microsoft\Internet Explorer\Main : Default_Page_URL




Şayet R0 ve R1 satırlarında sizin seçmediğiniz bir adres varsa arzu ederseniz bunu hijackthis programı ile düzeltebilirsiniz. Nasıl düzelteceğiniz sayfanın altında izah edilmiştir.

en çok karşılaşılan "bestsearch.cc" temizlenmesi
R1 -HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://bestsearch.cc/1076/search.php?qq=

1: http://www.zone-x.com/spybot.php adresinden "SpyBot S&D (v.1.3)" programını indir ve install et.

3: remove_bestsearch uninstall programını download et.

4: bilgisayarı güvenli kipte açarak download ettiğin uninstall programını çalıştır.

5: hijackthis çalıştırarak
R1- HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://bestsearch.cc/1076/search.php?qq= satırını hala varsa işaretleyerek temizleyin.


5: yine güvenli kipte SpyBot S&D (v.1.3) ile kontrol et ve temizle.

6: bilgisayarın temizlendiğine emin olmak için hijackthis çalıştır ve ve R1 satırlarını kontrol et.bu satırlarda " bestsearch.cc" gibi bir yazı görmemelisin. varsa aynı işlemleri baştan yap.


R3 satırında sizin tesbit etmediğiniz bir adres varsa daima düzeltin.

başa dön



F0, F1, F2, F3 - Autoloading programs from INI files
Bu bölümde sistemde bulunan ini dosyaları (system.ini , win.ini gibi ) veya onların registry içindeki karşılıkları tarafından bilgisayar açılırken otomatik yüklenen programları belirtilir.
F0 - system.ini: Shell=Explorer.exe Openme.exe
F1 - win.ini: run=hpfsched


Dikkat bu bölümü izah etmeden önce hijackthis version 1.97.7 programında olan bir bug'dan bahsetmeliyim. Bu versiyonla F2 bölümünde bulunan userinit dosyasını restore yapmaya çalıştığımızda hijackthis registry üzerine yanlış dosya yazacak ve açılışta problemler çıkarabilecektir. Bu bölümde restore yaparken lütfen dikkatli olunuz. Restore konusu sayfanın alt tarafında izah edilmiştir.
F0 sistem.ini dosyası içinde "Shell=" ile başlayan kısımları gösterir. Windows 9x ve alt versiyonlarında o program açılışta yüklenerek kullanılır. Aynı shell satırında farklı program yüklenerek casus programramlar maskelenebilir. "Shell=explorer.exe casusprogram.exe" gibi. Böylece istenmeyen programlar açılışta yüklenecektir. Bu nedenden dolayı F0 satırını her zaman düzeltilmesi gereken bir satır olarak görebiliriz.

F1 satırı win.ini dosyasındaki load= veya run= satırında belirtilen dosyalardır. Bu programlar windows açılırken yüklenecektir. Run= satırındaki programlar genelde windows 3.1 , 95 ve 98 ile uyumlu olan eski programlardır. Yeni programların çoğu ve hardware driver dosyaları load= satırını kullanırlar. Bu nedenle bu maddeyi genelde güvenli kabul edebiliriz. Emin olmadığımız program için inceleme yaparak öğrenebiliriz. Bunun için açılışta çalışan programlar ile ilgili birçok site vardır. Buralardan dosya ismine göre bilgialabiliriz. (http://service1.symantec.com/SUPPORT...01052409420406
http://www.computercops.biz/forums.html
http://www.spywareguide.com/
http://www.liutilities.com/products/...rocesslibrary/
http://www.answersthatwork.com/Taskl...s/tasklist.htm
google, http://www.sysinfo.org/startuplist.php)

F2 satırı F0 ve F1 gibi açılışta yüklenen programları gösterir ancak bu programlar windows XP ve NT versiyonlarında recisty içinde belirtilen programlardır. Xp ve NT genelde system.ini ve win.ini dosyalarını kullanmaz , geriye uyumlu bazı programların başlaması için inifilemapping fonksiyonu kullanılır. Bu fonksiyon ile ini dosyası içindeki bilgiler registry içine yerleştirilir. Bu programlar için önce registry'deki HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping anahtarı kontrol edilecek ini dosyasına ait bilgiler varsa buradan okunacaktır.

F2 satırında bulunan bir başka bilgi ise userinit bilgileridir. Bu bilgiler registry içinde HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit anahtarında bulunur. Bu anahtar bilgisayarı kullanan kullanıcını hangi programları kullanabileceğini belirtir. Bu iş için C:\windows\system32\userinit.exe programını kullanır. Userinit.exe programı kullanıcı adına göre default değerleri ( font, renk, ve diğer özellikler ) yükler. Bu satırda HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit =C:\windows\system32\userinit.exe,c:\windows\casus program.exe gibi bir bilginin olması userinit.exe programının yanında casus ( trojans, hijackers, and spyware) programında çalışacağı anlamına gelir.

Registry anahtarları:

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping,




Dosyalar:

c:\windows\system.ini
c:\windows\win.ini




Örnek satır F0 - system.ini: Shell=Explorer.exe Something.exe
Örnek satır F2 - REG:system.ini: UserInit=userinit,nddeagnt.exe
Örnek satır F2 - REG:system.ini: Shell=explorer.exe beta.exe

F0 satırında örnekte olduğu gibi Shell=Explorer.exe something.exe bir cümle görürseniz explorer ile beraber bir casus program çalışacak anlamına gelir ki bu satırı kesinlikle iptal edip düzeltmelisiniz.

F1 Bu satırda bilmediğiniz dosyaların ne olduğunu anlamak için ilgili sitelerde inceleme yapmalısınız.( google, http://www.digitalriver.com/dr/ , http://www.liutilities.com/products/...rocesslibrary/ http://www.answersthatwork.com/Taskl...s/tasklist.htm , http://www.spywareinfo.com/~merijn/cwschronicles.html , http://www.spywareguide.com/ , http://www.computercops.biz/forums.html , http://www.sysinfo.org/startuplist.php? ) .

F2 satırında UserInit=userinit.exe ifadesini nddeagnt.exe ile veya tek başına görebilirsiniz.Bunu tek olarak kullanın. UserInit=userinit.exe yazısındnn sonra ki işaretin ","(virgül) olmadığına dikkat edin. Şayet daha sonra başka bir program ismi varsa bu bir casus program olabilir , temizleyiniz. Yine F2 Shell =explorer.exe satırı tek başına olmalı daha sonra olan program trojan veya malware olabilir temizleyin.

başa dön



N1, N2, N3, N4 - Netscape/Mozilla Start & Search page
Bu satırlar netscape , mozilla açılış sayfalarını ve default search page sayfasını gösterir. Bu bilgiler C:\********s and Settings\YourUserName\Application Data folder. directorunda çeşitli yerlerde bulunan prefs.js dosyasında saklanır. Netscape 4 browserının bu konudaki bilgileri DriveLetter:\Program Files\Netscape\Users\default\prefs.js. dosyasında tutulur. Burada o dosyadaki bilgileri gösterir.
N1 : Netscape 4 Startup Page ve default search page gösterir..

N2 Netscape 6 Startup Page ve default search page gösterir.

N3 : Netscape 7 Startup Page ve default search page gösterir.

N4 :Mozilla Startup Page ve default search page gösterir.





N1 - Netscape 4: user_pref("browser.startup.homepage", "www.google.com"); (C:\Program Files\Netscape\Users\default\prefs.js)

N2 - Netscape 6: user_pref("browser.startup.homepage", "http://www.google.com"); (C:\********s and Settings\User\Application Data\Mozilla\Profiles\defaulto9t1tfl.slt\prefs.js)

N2 - Netscape 6: user_pref("browser.search.defaultengine", "engine://C%3A%5CProgram%20Files%5CNetscape%206%5Csearchplug ins%5CSBWeb_02.src"); (C:\********s and Settings\User\Application Data\Mozilla\Profiles\defaulto9t1tfl.slt\prefs.js)

Çoğu spyware ve hijacker internet explorer'a saldırmayı tercih ettiği için genelde bu satırlar emniyetlidir. Bu browserları kullanmadığınız halde bu satırlar görüntüleniyorsa temizleyiniz. Bu satırları kullanan en önemli site lop.com dur. Lop.com hakkında bilgi ve remove tool buradadır.
başa dön



O1 - Hostsfile yönlendirme adresini gösterir.
Bazı hijacker'lar host dosyalarını kullanarak IP adres yönlendirmesini yaparlar. Yani ben hostfile içine 127.0.0.1 http://www.timuroglu.com/ şeklinde yazarsam; internette explorer adres barına http://www.timuroglu.com/ yazarsam explorer önce host file kontrol edecek ve beni burada yazan 127.0.0.1 adresine yönlendirecektir.Dolayısı ile istediğim sayfaya gidemiyeceğim.127.0.0.1 http://www.google.com/ yazılı ise her google gitmeye çalıştığımda başka bir sayfaya gideceğim demektir. 127.0.01 sizin kendi bilgisayarınızdır.


O1 - Hosts: 216.177.73.139 auto.search.msn.com
O1 - Hosts: 216.177.73.139 search.netscape.com
O1 - Hosts: 216.177.73.139 ieautosearch
O1 - Hosts file is located at
O1 - Hosts: 1123694712 auto.search.msn.com

O1 - Hosts: 1123694712 auto.search.msn.com




Aşağıda host file'ların bulunduğu yerleri göreceksiniz. Herhangi bir text editor ( notepad, wordpad....) ile bu dosyalarda değişiklik yapabilirsiniz.

Operating System ********
Windows 3.1 C:\WINDOWS\HOSTS
Windows 95 C:\WINDOWS\HOSTS
Windows 98 C:\WINDOWS\HOSTS
Windows ME C:\WINDOWS\HOSTS
Windows XP C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS
Windows NT C:\WINNT\SYSTEM32\DRIVERS\ETC\HOSTS
Windows 2000 C:\WINNT\SYSTEM32\DRIVERS\ETC\HOSTS
Windows 2003 C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS

Bu satırda bir bilgi görürseniz hijack çalışmaya başlamış demektir. Hemen bu satırı temizleyin. Yukarda beyaz kutu içindeki son örnek Coolwebsearch bulaşmış demektir. (O1 - Hosts file is located at C:\Windows\Help\hosts ) CWShredder programı bunu temizler.

başa dön



O2 - Browser Helper Objects
Bu bölümde aşağıdaki örneklerde olduğu gibibrowser help objelerini görebilirsiniz.
O2 - BHO: Yahoo! Companion BHO - {13F537F0-AF09-11d6-9029-0002B31F9E59} - C:\PROGRAM FILES\YAHOO!\COMPANION\YCOMP5_0_2_4.DLL

O2 - BHO: (no name) - {1A214F62-47A7-4CA3-9D00-95A3965A8B4A} - C:\PROGRAM FILES\POPUP ELIMINATOR\AUTODISPLAY401.DLL (file missing)

O2 - BHO: MediaLoads Enhanced - {85A702BA-EA8F-4B83-AA07-07A5186ACD7E} - C:\PROGRAM FILES\MEDIALOADS ENHANCED\ME1.DLL
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton Antivirus\NavShExt.dll




Bu bölümde bilmediğiniz bir şey olursa http://www.sysinfo.org/bholist.php adresinden ne olduğunu bulabilir zararlı ise temizlersiniz. Bu listede "X" zararlı dosya (spyware) , "L" ise emniyetli güvenli dosya anlamındadır. Aşağıda bu sayfada listenin görünüşü hakkında örnek vardır. Bahsettiğimiz "X" ve "L" harfleri status sütunundadır.

GUID Status Filename Description
{00000000-0008-D357-0798-004401965D4A} X BHO TB apphelp32.dll "TX 4" BrowserAd adware
{00000000-0008-5041-4354-0020e48020af} L TB 12popup.dll 12Ghosts Popup Killer
{00000000-5eb9-11d5-9d45-009027c14662} X BHO ehelper.dll
VX2.dll VX2 Respondmiter, Blackstone Transponder

başa dön



O3 - IE toolbars
Bu bölümde internet explorer tarafından kullanılan toolbar'ları görebilirsiniz. Bazen sizin istemediğiniz bir tool bar internet explorer üzerinde görülür. Bunun yeri burda izah edilir.
Aşağıdaki örneklerde görüldüğü gibi toolbar'ın adı veharddisk üzerindeki yerini görürsünüz. O3 satırı bu bilgileri HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar registry anahtarından alır.

O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRAM FILES\YAHOO!\COMPANION\YCOMP5_0_2_4.DLL

O3 - Toolbar: Popup Eliminator - {86BCA93E-457B-4054-AFB0-E428DA1563E1} - C:\PROGRAM FILES\POPUP ELIMINATOR\PETOOLBAR401.DLL (file missing)

O3 - Toolbar: Norton Antivirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton Antivirus\NavShExt.dll
O3 - Toolbar: rzillcgthjx - {5996aaf3-5c08-44a9-ac12-1843fd03df0a} - C:\WINDOWS\APPLICATION DATA\CKSTPRLLNQUL.DLL





IŞayet tanımadığınız bir toolbar var ise ne olduğunu "TonyK's BHO & Toolbar List" sayfasından bulabilirsiniz. Bu sayfada bulmak için parantez içinde yazılı olan class ID numaralarını kullanacaksınız. Daha önce belittiğim gibi bu sayfada "X" harfi spyware "L" harfi güvenli dosya anlamına gelir.

Şayet yukarıda en alttaki örnekte olduğu gibi random karakterlerden oluşan dosya ve director ismi var ise büyük olasalıkla "Lop.com" bulaşmıştır. LOp.com hakkında bilgi ve remove tool buradadır.

başa dön



O4 - Autoloading programs from Registry or Startup group
Bu satırda aşağıda görüldüğü gibi açılışta registry ve startup grup vasıtası ile otomatik yüklenen programlar görülür.
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: winlogon.exe


Örnekteki ilk üç satırda görüldüğü gibi bir registry anahtarı varsa o program registry'den en alt iki satırda görüldüğü gibi startup veya global startup ile başlıyorsa program "user's startup group" tarafında çalıştırılıyordur.

Startup: Bu gruptaki programlar kullanıcı login yaptığı zaman yüklenir.

Global Startup: Bu gruptaki programlar o bilgisayarı kullanan bütün kullanıcılarda ayrım yapmaksızın yüklenir..

Startup Registry Keys:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run ServicesOnce
HKCU\Software\Microsoft\Windows\CurrentVersion\Run ServicesOnce
HKLM\Software\Microsoft\Windows\CurrentVersion\Run Services
HKCU\Software\Microsoft\Windows\CurrentVersion\Run Services
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\Software\Microsoft\Windows\CurrentVersion\Run Once
HKCU\Software\Microsoft\Windows\CurrentVersion\Run Once
HKLM\Software\Microsoft\Windows\CurrentVersion\Run OnceEx
HKLM\Software\Microsoft\Windows\CurrentVersion\Pol icies\Explorer\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\Explorer\Run
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
Burada bahsedilen startup ********s hakkındaki teferruatlı bilgiyi Windows Program Automatic Startup ********s adresinde bulabilirsiniz.



Starup veya global startup direktör yeri aşağıdadır.:


Startup: c:\********s and settings\USERNAME\start menu\programs\startup
Global: c:\********s and settings\All Users\start menu\programs\startup




Bilmediğiniz dosyaları (http://service1.symantec.com/SUPPORT...01052409420406
http://www.computercops.biz/forums.html
http://www.spywareguide.com/
http://www.liutilities.com/products/...rocesslibrary/
http://www.answersthatwork.com/Taskl...s/tasklist.htm
PacMan's Startup Listgoogle,http://www.sysinfo.org/startuplist.php ) sayfalarında bulabilirsiniz

başa dön



O5 - IE özelliklerinin gizlenmesi
Aşağıda görüldüğü gibi bu satırda İnternet explorer dosyasının özelliklerini kontrol etme yetkisini control.ini dosyası vasıtası ile disable ederek özelliklerrin değiştirilmesine engel olunur.
O5 - control.ini: inetcpl.cpl=no

Şayet O5 satırnda yukardaki ifadeyi görürseniz c:\windows\control.ini dosyasındaki IE'ın bazı kontrol özellikleri görünmez yapılarak kontrol edilmesinin önüne geçilmiştir.Bunun anlamı bu işlem adminitrator tarafından isteyerek yapılmamışsa bir hijack olayı ile karşı karşıyasınız demektir. Temizleyiniz.

başa dön



O6 - IE özelliklerinin Administrator tarafından kısıtlanması
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present

Bu satır administrator IE özeliklerinde değişikliğe engel olmak için bazı tahditler getirdi ise veyaSpybot S&D option 'Lock homepage from changes' active yapıldı ise gözükür. Şayet admin bu konuda bir ayarlama yapmadı ise ve bu satır görülüyorsa bir hijack'tir temizleyiniz.
başa dön



O7 - Regedit access restricted by Administrator
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\System, DisableRegedit=1


Bu bölümü administrator kendi set etmemiş ise temizleyin.
başa dön



O8 - IE sağ tuş menu ilaveleri
O8 - Extra context menu item: &Google Search - res://C:\WINDOWS\DOWNLOADED PROGRAM FILES\GOOGLETOOLBAR_EN_1.1.68-DELEON.DLL/cmsearch.html
O8 - Extra context menu item: Yahoo! Search - file:///C:\Program Files\Yahoo!\Common/ycsrch.htm
O8 - Extra context menu item: Zoom &In - C:\WINDOWS\WEB\zoomin.htm
O8 - Extra context menu item: Zoom O&ut - C:\WINDOWS\WEB\zoomout.htm

Yukarıda görüldüğü gibi IE sağ tuş menüsüne yapılan ilaveleri gösterir. Şayet bu ilaveleri siz yapmadı iseniz bi hijack'dir. Temizleyiniz. Bu bilgiler HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MenuExt registry key'den alınır.
başa dön



O9 - IE toolbar veya IE 'Tools' menu içinde ilave butonlar

O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O9 - Extra button: AIM (HKLM)

Yukarıda görüldüğü gibi IE ana toolbar veya tools menü içinde default olarak bulunmayan sonradan ilave edilen butonları gösterir. Bu bilgileri HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions registry key'den alır.Şayet bu butonları siz koymadı iseniz hijack'tir temizleyiniz.
başa dön



O10 - Winsock hijackers

O10 - Hijacked Internet access by New.Net
O10 - Broken Internet access because of LSP provider 'c:\progra~1\common~2\toolbar\cnmib.dll' missing
O10 - Unknown file in Winsock LSP: c:\program files\newton knows\vmain.dll

BU bölüm Winsock Hijackers veya Winsock 2 implementation'nın LSP (Layered Service Provider) gösterir. Winsock çalıştığı zaman data'lar zincirleme olarak LSP'lere transfer edilir.Spyware and Hijacker'lar internet üzerinde taransfer edilen bilgiyi görmek için LSP'leri kullanırlar.
Bazı virüs tarayıcılar arama işlemine Winsock level'dan başlarlar.

Bu bölümde çok dikkatli olmak gereklidir. Silinen bazı yanlış LSP'lerden sonra doğru LSP tekrar yaratılamaz ve internet ulaşımı sağlanamaz. Bu nedenle burada gerekli işlemler için tecrübeli birinden yardım istemek veya http://www.cexx.org/lspfix.htm adresinde LSPfix kullanmaktır. azı zz

Spybot-S&D programı genelde bu problemi temizler ancak önce http://www.safer-networking.org/ adresinden güncel versiyonunu bulmakta fayda var. Unutulmayacak bir konu LSP stack içinde bulunan bilinmeyen dosyalar hijack this tarafından temizlenemez.

başa dön



O11 - IE 'Advanced Options' penceresinde ilave gruplar

O11 - Options group: [CommonName] CommonName

Bu bölümde IE / Internet Options / Advanced Options kısmında görülen default olarak konmamış grupları gösterir. Bu bilgileri HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\AdvancedOptions registry anahtarından alır. Merijn'e göre bu bölümde yer alan ve bilinen bir adet hijacker vardır. bu satırda yukarıda görüldüğü gibi "CommonName" ismi ile görülür. Bu ismi görürseniz temizleyiniz.
başa dön



O12 - IE plugins

O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O12 - Plugin for .PDF: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll

Bu bölümde Internet Explorer Plugins gösterilir. Internet Explorer Plugin'ler bazı programların internet explorer açılırken yüklenen mesela PDF dosyalarının gösterilmesini sağlayan plugin gibi. Bu bilgileri HKEY_LOCAL_MACHINE\software\microsoft\internet explorer\plugins Registry key'den alır. Çoğu plugin'ler zararsız ve kullanılan plugin'dir bu nedenle bilmediklerimizi silmeden önce Google'da arayıp ne olduğunu öğrenmekte fayda vardır. Bilinen istenmeyen plugin Onflow'dur uzantısı ".ofb" şeklindedir bunu rahatça temizleyebilirsiniz.

başa dön



O13 - IE DefaultPrefix hijack

O13 - DefaultPrefix: http://www.pixpox.com/cgi-bin/click.pl?url=
O13 - WWW Prefix: http://prolivation.com/cgi-bin/r.cgi?
O13 - WWW. Prefix: http://ehttp.cc/?

burada hijack'in kullandığı IE DefaultPrefix'leri görürsünüz. Burada görülen herşeyi zararlı kabul edip emniyetle temizleyebilirsiniz.

default prefix anlamı; Biz internette http://, ftp:// ve benzerleri ile başlayan sitelere gitmek istediğimizde biz adrese bunları yazmazsak bile IE bu ön eki kendisi tamalayarak oraya gidecektir bu tamalamayı default prefix kullanarak yapar. Bu ön eki registry kullanarak değiştirmek mümkündür. En bilinen hijacker olan "CoolWebSearch" bu yöntemi kullanarak default prefix'i http://ehttp.cc/?. şeklinde değiştirir. Bunun anlamı siz adres barına www.google.com yazdığınız zaman otomatik olarak ön ek konacağından yazılan adres http://ehttp.cc/?www.google.com şeklinde algılanacak ve siz başka bir siteye (CoolWebSearche) bağlanacaksınız.

Bu bilgiler HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\URL\DefaultPrefix\ Registry Key'den alınır.

Şayet siz yukarda belittiğim örnekteki gibi "CoolWebSearche" ile karşılaşırsanız CWShredder programını kullanın. Bu program hakkındaki bilgiyive programı http://www.bleepingcomputer.com/foru...howtutorial=47 http://www.spywareinfo.com/~merijn/cwschronicles.html adrslerinden temin edebilirsiniz. Bazen buda temizleyebilir bu zaman HijackThis programınıda kullanmakta faydalı olur temizleme yöntemi aşağıdadır.

1: makinayı safe boot ile aç (msconfig de) veya f8 ile güvenli kipte aç.
2: i. explorer başlangıç sayfalarını değiş.
3: hijack this dosyasını kullanarak scan yap. R0 ve sonraki satırları incele şüphelendiğin bilmediğin her şeyi sil. Zaten verdiğim adreste bu satırlarda trojan dosyalarını göreceksin bu isimleri sil.
3: tekrar safe boot aç. Şimdi cwshredder çalıştır. Bazı dosyalar bulacak sil. en önemlisi y.exe
4: tekrar safe boot , açılış sayfasını kontrol et değişmişmi. değişmemişse problem yok ama işlem bitmedi.
5: tekrar cwshredder çalıştır. yine bir dll dosyası ve başka dosyalar bulacak. sil.
6:hijack this dosyasını kullanarak tekrar scan yap.satırları kontrol et değişen varmı şüphelileri sil.İexplorer açılış sayfasını kontrol et.
7: tekrar safe boot ve cwshredder scan yap ,açılış sayfasını kontrol et ,artık dayanacağını sanmam. Hala dayanıyorsa onu tebrik et bükemediğin bileği öp.

hijack this satırında bilmediğin dosyaları kontrol edebileceğin adresler aşağıda:
http://service1.symantec.com/SUPPORT...01052409420406
http://www.computercops.biz/forums.html
http://www.spywareguide.com/
http://www.liutilities.com/products/...rocesslibrary/
http://www.answersthatwork.com/Taskl...s/tasklist.htm

bu adreslerden bilmediğin dosyaların ne olduğunu bulabilirsiniz. Bulamaz iseniz google bazen işe yarıyor. Bir dosyanın driver olduğunu ordan buldum.



başa dön



O14 - 'Reset Web Settings' hijack

O14 - IERESET.INF: START_PAGE_URL=http://www.searchalot.com


Bilgisayarınızda c:\windows\inf\iereset.inf adresinde Internet Explorer'ın default Windows ayarlarının saklandığı dosya vardır. Siz ayarlarda default özelliklerine dön işaretlediğiniz zaman default değerlere dönmek için bu dosyayı kullanılır. Şayet hijacker bu dosyada ayarları değişmiş ise sizde doğal olarak onun değiştiği ayarları kullanarak onun istediği sitelere gideceksiniz. Şayet bu ayarlar administrator tarafından bilerek değiştirilmemiş ise rahatça temizleyebilirsiniz.

başa dön



O15 -Trusted Zone içinde istenmeyen siteler

O15 - Trusted Zone: http://free.aol.com
O15 - Trusted Zone: *.coolwebsearch.com
O15 - Trusted Zone: *.msn.com
O15 - Trusted Zone: http://www.bleepingcomputer.com


BU bölümde IE Trusted Zone'da gözüken istenmiyen siteleri görebilirsiniz.Thrusted zone içinde her bölüm değişik güvenlik ayarlarına sahiptir.Bu ayarlara göre siteye ulaşmaya müsade eder. Güvenlik testlerinden geçmiyen zararlı siteler buraya güvenli olarak kaydedilirse hiçbir engelleme olmadan siteye ulaşılır. Bu nedenle bazı hijacker'lar sitelerini buraya güvenli olarak yazarlar. Bunların en bilineni "free.aol.com" adrsidir. Bunları rahatça temizleyebilirsiniz.
Bu satır bilgileri : HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Internet Settings\ZoneMap\Domains Registry Key'den alır.

başa dön



O16 - ActiveX Objects (aka Downloaded Program Files)

O16 - DPF: Yahoo! Chat - http://us.chat1.yimg.com/us.yimg.com.../c381/chat.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab
O16 - DPF: {11260943-421B-11D0-8EAC-0000C07D88CF} (iPix ActiveX Control) - http://www.ipix.com/download/ipixx.cab



Bu satırda ActiveX Objects başka bir ifade ile "Downloaded Program Files" gösterilir. Bu programlar C:\windows\Downloaded Program Files direktöründe bulunur. Bunların registry'de CLSID numaraları bulunur. Bazı güvenli activex control bulunabilir (iPix viewer gibi) . Şayet bilmediğiniz bir şey olursa CLSID numaraları ve malicious ActiveX objects kontrol etmek için "Javacool's SpywareBlaster" programı büyük bir database sahiptir.Ücretsiz olan bu programı kurabilirsiniz. Şayet bu satırlar 'dialer', 'casino', 'free_plugin' 'sex', 'porn', 'casino', 'adult' gibi kelimeler var ise rahatça temizleyebilirsiniz. Şayet yine emin değilseniz bu dosyaların ne olduğunu Google'dan rahatça bulabilirsiniz. .
başa dön



O17 - Lop.com domain hijacks
O17 - HKLM\System\CCS\Services\VxD\MSTCP: Domain = aoldsl.net

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = W21944.find-quick.com
O17 - HKLM\Software\..\Telephony: DomainName = W21944.find-quick.com

O17 - HKLM\System\CCS\Services\Tcpip\..\{D196AB38-4D1F-45C1-9108-46D367F19F7E}: Domain = W21944.find-quick.com

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = gla.ac.uk

O17 - HKLM\System\CS1\Services\VxD\MSTCP: NameServer = 69.57.146.14,69.57.147.175


Bu bölüm "Lop.com Domain Hacks" gösterir. Şayet burada sizin kullandığınız ISP veya network adresi yoksa bir hijack ile karşılaştınız demektir lütfen temizleyiniz. Normal olarak adres barına IP no yazmadan adres yazarsanız önce 'NameServer' (DNS servers) adreslerinden birine gidilerek bu adrese ait Ip no bulunarak bilgisayar bu adrese yönlendirilir. DNS server IP no ya otomatik olarak alınır yada sizin seçtiğiniz bir DNS server'a direk gidilir. Mesela siz adres barına "http://www.bleepingcomputer.com/" yazarsanız Bilgisayarınız önce bir DNS server'a giderek bu adresi inceleyip IP no bulup sizin bilgisayarınızı bulduğu 192.168.1.0 nolu IP'ye yönlendirecektir. Bilmediğiniz DNS server'ın kime ait olduğunu Arin sitesinde whois sorgulaması ile bulabilirsiniz.
Burada bulunan DNS server adresini siz yazmadınız ve bilmiyorsanız bir Hijack'tir. Bir adres yazdığınızda bilgisayarınız adresin IP no'sunu bu DNS server'a soaracak ve onun yönlendirdiği yanlış adrese gidecektir. .

DİKKAT If network üzerinde bir bilgisayar kullanıyorsanız hijackthis programı bilgisayarınızın Windows NT Domain'ni bu bölümde gösterecektir. BU satırı temizlerken dikkatli olun ve hijacthis log file'ını yabancılara gösterirseniz network domain bilgilerinizi elde ederler. Yabancılara göstermeden önce bu satırları çıkartın. Zira bu bilgiler bilgisayarınızı hack etmek için kullanılabilir.

lop.com uninstal etmek için bazı metodlar:

1: Start Menu--Control Panel-'Add / Remove Programs içinde 'Lop.com' veya 'LOP SEARCH' veya 'Window Searching' veya ‘'Window Active' veya "Browser Enhancer" veya "Ultimate Browser Enhancer" programlarından hangisi varsa uninstal et hepside lopcom değişik versiyonudur.
2 versiyona bağlı ıolarak ekranın sağ alt köşesinde saatin yanında bulunan yeni ikona sağ tıklayıp menu seçip açılan ana menüde sağ üst köşedeki help butonuna tıklayıp uninstall seçin.

- aşağıdaki programı lopcom'u uninstall etmek için kullanın
lop_com_uninstall.ZIP

başa dön



O18 - Extra protocols and protocol hijackers

O18 - Protocol: relatedlinks - {5AB65DD4-01FB-44D5-9537-3767AB80F790} - C:\PROGRA~1\COMMON~1\MSIETS\msielink.dll
O18 - Protocol: mctp - {d7b95390-b1c5-11d0-b111-0080c712fe82}
O18 - Protocol hijack: http - {66993893-61B8-47DC-B10D-21E0C86DD9C8}


Bu bölümde ilave protokollar ve bazı hijack protokoları görülür. Bu bölümü birkaç hijacker kullanır en bilinenleri 'cn' (CommonName), 'ayb' (Lop.com) ve 'relatedlinks' (Huntbar)'dir. Bunları temizleyebilirsiniz. Yine güvenliğini teyit edemediklerinizide temizleyin.
Bu hijack metodu: bilgisayarın kullandığı standard protocol drivers'lardan birinin hijacker tarafından değiştirilerek kullanılmasıdır.

başa dön



O19 - User style sheet hijack

O19 - User style sheet: c:\WINDOWS\Java\my.css


Bazen bilgisayar yavaşlar ve istemediğiniz sayfalar açılır popup çıkar. Bu bölümde bunlar gösterilir. Bu bölümü sadece Coolwebsearch 'un kullandığı bilinmektedir. Herne kadar bunu temizlemek için CWShredder kullanılsada HijackThis ilede temizleyebilirsiniz. Bilgileri HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Styles\: User Stylesheets Registry Key'den alır.
başa dön









Hijackthis ile düzeltme işlemlerinin yapılması :
Yukarıda söylediğimiz gibi scan yaptıktan sonra aldığımız log'da her satırı tek tek inceledik zararlı olduna karar verdiğimiz satır üzerine gelip tıklarsak aşağıda görüldüğü gibi o satır mavileşecektir.sola altta buluna kırmızı çerçeve içindeki "info selected item" butonuna tıkladığımızda









Görüldüğü gibi o satır hakkında teferruatlı bilgi alabiliriz. Bu pencerdeki "OK" butonuna tıklayınca küçük info penceresi kaybolacaktır..





Bu satırı temizlemek için sol tarafta buluna kutucuğu tıklayarak okey işareti koyun



Ve kırmızı çerçeve içindeki éfix checked" butonuna tıklayarak temizleme işlemini tamalayın


Yanlışlıkla silinen bir maddenin geri alınması (restore)
Dikkat bu bölümü izah etmeden önce hijackthis version 1.97.7 programında olan bir bug'dan bahsetmeliyim. Bu versiyonla F2 bölümünde bulunan userinit dosyasını restore yapmaya çalıştığımızda hijackthis registry üzerine yanlış dosya yazacak ve açılışta problemler çıkarabilecektir. Bu bölümde restore yaparken lütfen dikkatli olunuz.



Pencerenin sol alt tarafında gördüğünüz "config" butonuna tıklarak yeni pencere açın.







Burada "backup" butonuna tıkladığında aşağıda görülen backup penceresi açılacak. Geri almak istediğiniz satırın sol tarafındaki kutucuğu okeyleyin ve restore butonuna basın.





başa dön





Startup programların listesini almak.

Sizin log dosyanızı bir arkadaşınıza yardım istemek için gönderdiğinizde veya başka bir nedenle startup esnasında çalışan programların listesi lazım olabilir. Bu listeyi almak için "Misc tool" butonu altında "generate sturtuplist log" butonunu tıklamak yeterlidir. Program bu listeyi bir notepad TXT dosyasına yazacaktır. bu dosyayı istediğiniz yere gönderebilirsiniz.








Facebook sayfamızı beğenin.
    
Offline  
Alıntı ile Cevapla
Cevapla

Bookmarks

Seçenekler
Stil

Yetkileriniz
Sizin Yeni Konu Acma Yetkiniz var yok
You may not post replies
You may not post attachments
You may not edit your posts

BB code is Açık
Smileler Açık
[IMG] Kodları Açık
HTML-KodlarıKapalı
Trackbacks are Kapalı
Pingbacks are Kapalı
Refbacks are Kapalı


Bilgilendirme Turkhackteam.net/org
Sitemizde yer alan konular üyelerimiz tarafından açılmaktadır.
Bu konular yönetimimiz tarafından takip edilsede gözden kaçabilen telif hakkı olan veya mahkeme kararı çıkmış konular sitemizde bulunabilir. Bu tür konuları bize turkhackteamiletisim[at]gmail.com adresine mail atarak bildirdiğiniz takdirde en kısa sürede konular hakkında gerekli işlemler yapılacaktır.
Please Report Abuse, Harassment, Scamming, Warez, Crack, Divx, Mp3 or any Illegal Activity to turkhackteamiletisim[at]gmail.com


Hiçbir zafer amaç değildir. Zafer, ancak kendisinden daha büyük bir amacı elde etmek için belli başlı bir vasıtadır. (M.KEMAL ATATÜRK)

Sitemize reklam vermek için turkhackteamiletisim[at]gmail.com adresine mail gönderebilirsiniz.



Powered by vBulletin® Copyright ©2000 - 2013
Tema Desteği: www.tr-vBulletin.com
Altyapı Sponsoru: Uzman Çözümler İnt. Hiz. Sistem Yönetimi: Sunucuoptimizasyon.com
İletişim - Güvenlik & Hack & Bilgisayar Platformu - (2001-2013) - Arşiv - Yukarı git

Search Engine Friendly URLs by vBSEO 3.6.0 ©2011, Crawlability, Inc.