- Kayıt
- 6 Nisan 2007
- Mesajlar
- 1.327
- Beğeniler
- 0
Forumda birçok arkadaşımızın yaşadığı sistemlerinde var olan olası yavaşlama, kilitlenmeler, bazı uygulamaların çalışmaması, açılışta karşılaşılan hata mesajları ve uygulamalarda eksik dosya hataları gibi sorunlar ve sistemlerinde performans arttırmak isteyen arkadaşlar bu konuda yardımcı olmamız için Hijackthis programı ile sisteminizi taratmanız ve bu log dosyasını buraya eklemeniz yeterli olacaktır.
- Resim Silinmiş.
Çalışan programlarınızı kapatıyor ve Do a system scan and save a log file
(sistemi tara ve log dosyası oluştur) tıklıyoruz.
ve..
- Resim Silinmiş.
Bilgisayarınızda çalışan herşeyin tabir-i caizse röntgenini çekiyor
ve log dosyamızı oluşturuyor.
- Resim Silinmiş.
Oluşturulan log dosyasını ister kaydedin ister
[ctrl + a] tümünü seç, [ctrl + c] kopyala, [ctrl + v] yapıştır diyerek
http://www.hijackthis.de/ adresine gönderiyoruz
- Resim Silinmiş.
Sonuçlarda X işareti varsa kesinlikle bu anahtar fixlenmelidir ? işareti ve diğer anlamını bilmediklerinize dokunmayınız.
- Resim Silinmiş.
Log dosyasındaki fixlemenizi istediğimiz satırların yanındaki kutucukları işaretleyerek
Fix checked ’i tıklayın
Hijackthis bir virüs ya da spy bulma programı değildir, eğer program hakkında bilgi sahibi değilseniz tek yapacağınız log dosyasında yazanları buraya yollamak arkadaşlar..
Spyware ve malware gibi zararlı yazılımlardan başı dertte olan kişiler için en etkili ve basit olarak hazırlanmış bu yazılımdır HijackThis. Sisteminizde aktif halde gorev yapan ve sisteminizin calismasini dogrudan etkileyen tum programlari bularak (sistem dosyasi olsun olmasin) size bildiriyor. Bu programın kullanması kolay kolay olmasına ama birde şu varki, bu programda yapacağınız en ufak bir yanlış sistemde ciddi zararlara neden olacaktır. Porgramın nasıl kullanılacağı konusunda yukarda gerekli açıklamayı yaptım ama bizim için önemli olan husus tabiî ki programla sistemi tarattıktan sonra elde ettiğimiz log dosyasındaki hangi satırların fixleneceği konusudur.
Elde ettiğimiz log dosyasında ilk satır Kullandığımız programın hangi sürüm olduğunu bize verir
Logfile of Trend Micro HijackThis v2.0.0
Sonra gelen 3 satırda sistemimizi tarattığımız saat ve tarih, sistemde kurulu olan işletim sistemi, hangi moda sistem açılıp taratma yapıldığı anlatılır
Scan saved at 23:43:24, on 19.07.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
Boot mode: Normal
Daha sonraki satırlar sistemde o an çalışan hizmetlerin ve programların verildiği uzunca bir liste şeklinde olan asıl bizi ilgilendiren satırların bulunduğu kısımlardır.
İlk satırlarda system32 klasörü içinde çalışan sistem dosyalarının açıklandığı satırlardır.
C:\WINDOWS\System32\smss.exe
Bu dosya smss.exe isimli windows işletim sisteminin "Session Manager Subsystem" olarak adlandırılan bir parçasıdır ve bu parça asla fixlenmemlidir. Eğer sistemde çalışan iki tane smss.exe dosyası bulunuyorsa zararlı yazılım olan smss.exe’si ile kullandığı bellek miktarı ile ayrılabilir. "Session Manager Subsystem" olan smss.exe dosyası genellikle 100-300 KB civarında hafıza kullanırken zararlı yazılım olan smss.exe çalışma zamanına bağlı olarak çok daha fazla miktarda bellek kullanmaktadır.
C:\WINDOWS\system32\winlogon.exe
Windows NT Oturum Açma Uygulamasıdır.
C:\WINDOWS\system32\services.exe
Hizmetler ve Denetleyici uygulamasıdır.
C:\WINDOWS\system32\lsass.exe
Bu dosya Local Security Authority Service anlamına gelirki bu da güvenlik mekanizmalarını kontrol eder. şimdi burdaki başlangıç harfi çok önemli. eğer bu başlangıçtaki harf L ise (yani dosya Lsass.exe ise) o zaman bu dosya büyük ihtimalle bir trojandır.
C:\WINDOWS\System32\svchost.exe
Svchost.exe dosyası System32 klasöründe bulunur. Başlangıçta, Svchost.exe yüklemesi gereken hizmetlerin listesini oluşturmak için kayıt defterinin hizmetler bölümünü denetler. Svchost.exe’nin birden çok örneği aynı anda çalışabilir. Her Svchost.exe oturumu bir hizmet grubu içerebilir, böylece Svchost.exe’nin nasıl ve nerede başlatıldığına bağlı olarak farklı hizmetler çalışabilir. Bu durum, daha iyi denetim ve daha kolay hata ayıklama olanağı sağlar.
C:\WINDOWS\Explorer.EXE
Windows gezgini uygulamasıdır.
C:\WINDOWS\system32\spoolsv.exe
Spoolsv.exe normalde Printer kontrolu yapan XP sistem dosyasıdır. internete bağlanıyorsa virüs olma ihtimalide vardır.
C:\Program Files…..
olarak geçen satırlarda sistemde çalışan kurulu olan programların dosyalarının satırlarıdır.
Tanımadığınız ve çalışmasına gerek görmediğiniz dosyaların çalışmasını görev yöneticisinden sonlandırabilirsiniz. Yanlız dikkat etmeniz gereken güvenlik yazılımları ile ilgili çalışan dosyaları ve uygulamaları kaldırmamanız.
R1, R0, R3 İnternet Explorer için başlangıç ve arama sayfalarının gösterildiği satırlardır.
R1 - HKLM\Software\Microsoft\Internet Explorer\
R0 - HKLM\Software\Microsoft\Internet Explorer\
Bu satırlardan R1, R0 sizin belirlediğiniz yada ayarlanmasında sorun olmadığı düşündüğünüz bağlantıları içeriyorsa öylece bırakabilirsiniz. Ama R3 satırı varsa logunuzda mutlaka fixleyin.
F0, F1, F2, F3 satırları ise sistemdeki ini dosyalarından otomatik olarak sisteme yüklenen programlardır.
F0 - system.ini: Shell=Explorer.exe Openit.exe
F1 - win.ini: run=hptasks……….gibi
F0 lar zararlı dosyalardır mutlaka satırların fixlenmesi gerekir.
F1 satırları genele olarak güvenli dosyalardır, ama bu satırlarda da sorun olabilir tabi mutlaka satırlar araştırılıp ona göre fixlenmelidir.
N1, N2, N3, N4 dosyaları
Mozilla Firefox borowseri için ayarlanan arama sayfaları yada ana sayfalardır. Mozilla ve Netscape programlari genelde Hijack edilmesi cok zor programlar oldugundan bunlari gormemeniz olasi. Fakat varsa ve eger aderleri tanimiyorsaniz fix etmelisiniz.
O1 - Host Dosyasi Yonlendirmeleri
O1 - Hosts: 127.0.0.1 google.com.tr
O1 - Hosts: 127.0.0.1 donanimhaber.com
O1 - Hosts: 127.0.0.1 mynet.com
Hosts dosyası genelde virüslerin içeriğinde değişiklik yaptığı dosyadır.
Bu satırlarla karşılaştığınızda verilen site adresleri ile ip adresleri birbirleri ile uymuyorsa mutlaka fixlemeniz gerekir.
O2 - Tarayici Yardim Ogeleridir.
O2 - BHO: btorbit.com - {000123B4-9B42-4900-B3F7-F4B073EFC214} - C:\Program Files\Orbitdownloader\orbitcth.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
Genelde bu tür öğeler işe yaramazlar rahatlıkla fixleyebilirsiniz.
O3 - IE Arac Cubuklari
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
Bu tür araç çubukları İnternet Explorer in düzenli ve hızlı çalışmasını engelleyen yazılımlardır ve çoğu kez işe yaramazlar fixlenebilir.
O4 - Baslangic klasorunden yada Registry’den otomatik yuklenen programlar
O4 - HKLM\..\Run: [SunJavaupdateSched] "C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [BigDogPath] C:\WINDOWS\VM_STI.EXE Vimicro USB PC Camera (ZC0301PL)
O4 - HKLM\..\Run: [eTrust PestPatrol Active Protection] "C:\Program Files\CA\eTrust PestPatrol\PPActiveDetection.exe"
Bilmediğiniz ve şüphelendiğiniz program yada dosyalar mevcut ise mutlaka fixleyin.
Bazı programlar sistemde hala çalışır durumda olabilirler bu programları fixleseniz bile fixlenmeyecektir. Eğer mutlaka sonlandırmak istiyorsanız görev yöneticisinden sonlandırmanız gerekebilir.
O5 - IE nin Denetim Masasinda olmayan ayarları
O5 - control.ini: inetcl.cpl=no
Mutlaka fixleyin.
O6 - IE Sistem Yoneticisi Tarafindan Devre Disi Birakilmis ayarları
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
Mutlaka fixleyin.
O7 - Regeditin Sistem Yoneticisi Tarafindan Devre Disi Birakilmis ayarları
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
Mutlaka fixleyin
O8 - IE sag tuş menusunde ekstra secenekleri
O8 - Extra context menu item: &Download by Orbit - res://C:\Program Files\Orbitdownloader\orbitmxt.dll/201
O8 - Extra context menu item: &Grab video by Orbit - res://C:\Program Files\Orbitdownloader\orbitmxt.dll/204
Genelde çok fazla işe yaramazlar, fixlenmesinde sakınca yoktur.
O9 - IE arac cubugundaki ekstra butonlar
İnternet Explorer sayfasında üst kısımda bulunan msn, araştır, yada kurduğunuz program tarafından otomatik olarak eklenen yardım öğeleridir.
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra ’Tools’ menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
Bilmediklerinizi fixleyin.
O13 - IE DefaultPrefix Hijack
O13 - DefaultPrefix: http://www.coolwebsearch.com/cgi-bin/click.pl?url=
Mutlaka fixlenmesi gerekir.
O14 - ’Web Ayarlarini Sifirla’ Hijack
O14 - IERESET.INF: START_PAGE_URL=http://www.coolwebsearch.com
Eger urldeki adres ISP’nizin degilse mutlaka fix edin.
O15 - Guvenilir Sitelerde istenmeyen adresler
O15 - Trusted Zone: http://toolbar.imageshack.us
İstemediğiniz ve tanımadığınız adresler varsa fixleyebilirsiniz.
O16- update yapılan uygulamaların bağlandıkları site adreslerini verir.
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1178199593062
Bilmediğiniz adreslere bağlantılar içeriyorsa bu adresleri fixleyin.
O17 - Lop.com Alanadi Hijack
Eğer urldeki adres ISP’niz değilse mutlaka fixleyin.
022 - sistemdeki update leri hangi dll dosyası üzerinden yapılacak belirtir.
O22 - SharedTaskScheduler: Browseui önceden yükleyicisi - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Bileşen Katergorileri önbellek daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
browseui.dll dosyası ise fixlenmesine gerek yok.
023- Sistemde çalışan uygulamaların listelendiği satırlardır
(no name)
(unkown owner) terimlerinin bulunduğu satırlar fixlenmeli.
Gerektiği yerde sorun yaşayan arkadaşlarımızı bu başlığa yönlendireceğim ve sizlerinde bu konuda bana yardımcı olacağınızı umuyorum.
UYARI: Yanlış girişleri silmenizden doğacak sistem çökmeleri ve program hatalarından extraloob.com sorumlu tutlamaz.
Loglarınızı başlık altına gönderebilirsiniz..
Son düzenleme yönetici tarafından yapıldı:
sonra diyorum hep yoksa pc donuyor.
