Sahte Windows Bileşenleri - Güvenlik- Zamansız Tartışma Platform

The.`KinG · 07-10-06, 08:49 Çevrimdışı

Ne zaman “Ctrl+Alt+Delete” yapıp, Windows görev yöneticisini açsak, karşımıza hemen aşağıda sıralanan “exe” uzantılı dosyalar çıkar. Aslında birer Windows bileşeni olması gereken bu dosyalar, aynı adla gizlenmiş birer kötücül yazılım da olabilirler.

Kötücüller ile koruma yazılımları arasındaki şavaşımda, kötücüllerin sık sık korumaları atlatıp, sisteme sızdıklarını bilirsiniz; o yüzden, bizim de sık sık sisteme sızma olup olmadığını araştırmamız ve varsa, yerini saptayıp yok etmemiz gerekir.

Aşağıda sıralanan Windows servislerinin varsayılan yeri “(Etkin sürücü):\WINDOWS\system32” klasörüdür; aynı adlara bu klasör dışında da rastlarsak, çağrısız bir konuğumuz var demektir ve hemen kolları sıvamamız gerekir…:

WINDOWS SERVİSLERİNİN SAHTELERİ:

winlogon.exe : “W32.Netsky” türevi bir kötücüldür;

wmplayer.exe : “W32.Gaobot” yada “W32.Kelvir” türevidir;

svchost.exe : Kötücüldür; çok değişik türlerde karşımıza çıkabilir;

services.exe : “W32.Akhor”, “W32.Netsky”, “W32.Neveg” ve “W32.Conycspa” türevleri olabilir;

smss.exe : “W32.Sober” türevi bir kötücüldür;

lsass.exe : W32.Nimos.Worm yada benzeri bir kötücüldür;

IEXPLORE.EXE : “Backdoor.Aphexdoor” türündendir;

explorer.exe : Trojan.Kility adlı kötücüldür;

csrss.exe : W.32.Netsky türevi bir kötücüldür;

ctfmon.exe : W32.Mydoom türevidir.

NOT:

1) Gerçek IEXPLORE.EXE: “(Etkin sürücü):\Program Files\Internet Explorer” klasöründedir;

2) Gerçek explorer.exe : “(Etkin sürücü):\WINDOWS” klasöründedir;

3) Gerçek wmplayer.exe : "(etkin sürücü):\Program Files\Windows Media Player" klasöründedir

4) Yine Windows bileşeni olup da görev yöneticisinde yukardakiler gibi her zaman değil arasıra kullanıldığında gözüken Windows servislerinin de sahteleri vardır; konunun altına ekleyerek sahteciler listesi zenginleştirilebilir…

Yukarda da belirttiğim gibi Windows servislerinin sahtesiyle gerçeği aynı adı taşıyor;

"Not"ta belirttiğim üçü dışındaki gerçek Windows servislerinin yeri:
"(Etkin sürücü):\WINDOWS\system32" klasörüdür;

"Acaba bende gözükenler gerçek mi?" diyorsak (ve kimi belirtiler nedeniyle sistemden kuşku da duyuyorsak) yapacağımız ilk iş: arama kutusuna servisin adını yazıp aramak olmalıdır;

A) Arama sonuçlarına baktığımızda servisin yeri olarak:

- "(Etkin sürücü):\WINDOWS\system32"
- "(Etkin sürücü):\WINDOWS\system32\dllcache"(*)
- "(Etkin sürücü):\WINDOWS\prefetch"(**) görünüyorsa, sorun (pek)(***) yok demektir;

B) Başka yerlerde de gözüküyorsa, sahtecilik olayıyla karşıkarşıyayız demektir; sistemimizde varolan koruma yazılımlarını askıya alıp, yeni markalarla ve güvenli kipte arama-tarama-temizlik yapmak gerekir...

(*) "dllcache" klasörü Windows'un, servis dosyalarında hasar oluştuğunda onarım ve değiştirme için başvurduğu kaynaktır;

(**) "Prefetch" klasörü ise yine Windows işletim tekniğiyle ilgili olup -önsıralama, öndepolama- diyebileceğimiz ve de sistemi rahatlatmak için içi sık sık boşaltılması gereken bir klasör;

(***) Aynı adı kullanan sahtecilerin -ender de olsa- "system32" klasörüne bile sızdıkları söyleniyor; dolayısiyle, "salt korunma" diye birşey yok; ne çok kuşkucu olmak ne de "boş ver" dememek, bilinçli olmak ve avast gibi kaliteli ancak yetersiz yerine Kaspersky , Mcafe , MKS gibi programlar kullanıp güncellemeleri Rutin olarak yapıp davetsiz misafirlere hazırlıklı olmak gerekiyor...

mechatronic · 07-10-06, 13:04 Çevrimdışı

yaa arkadas biri bana yardım ettsın yaa ben de HengTong DVR2000 var ama programı calıstırdıgım zaman bılgısayar kendıne restart atıyor nolur bana yardım etsin

The.`KinG · 08-10-06, 00:16 Çevrimdışı

amd işlemcilerde via chipsetli , intel 915 chipsetli pclerde ortak sorun bu konunun derinliklerine inmek isterdim ama yeterince bilgiye sahip değilim çalışma arkadaşlarımdan biri aracılığıyla yarın yardımcı olmaya çalışıcam iyi forumlar ayrıca yardım bölümüne açmalısın bu konuyu

sniper elite · 25-11-06, 23:36 Çevrimdışı

selam arkadaslar KiNG öncelikle konu icin tesekürler. bende gecende w32 ve Trojan isimli virüsler musallat oldular avira antivir kullaniyorum buldu ve sildim ama sürekli baska virüsler cikmaya basladi ve 3 gündür tarama yapiyorum,sürekli cins cins virüs ler cikiyor bundan nasil kurtulabilirim.ilginize tesekür ederim...

The.`KinG · 26-11-06, 06:23 Çevrimdışı

Bence Yapacagın İlk Şey En Basit Yöntem Olun Sistemini Virüs Süz Oldugu Bir Döneme Geri Yüklemek Olmalı Mesela Ay Basından Bir Gün Olabilir

Bunu Yapmak İçin Başlat - Tüm Programlar - Donaltılar - Sistem Geri Yükleme Yolunu İzleyebilirsin

Sorunun Kaynagı Avira Anti Virüsün Tanımadığı Farklı Özelliklere Sahip Bir Virüs Trojen vs Gibi Bişey Olabilir . Yukarıdaki Çözüm Sorununu % 75 Çözecektir ancak , Eski Antivirüs Programını Kaldırıp Kaspersky , Mcafe Gibi Daha Gelişmiş Bir Virüs Programı Kullanmanı ve İlk Tarama Sonrası Mcafe Freewall Tarzında Kaliteli Birde Freewall Kullanmanı Tavsiye Ederim . Sorunun Kırmızı Olarak Tanımlanmış Bölgedeki Anlatımla Çözülmez İse , Daha Fazla Çözüm Yolu Bulabilmemiz İçin Bilgilendirmeni veya edanayardim@gmail.com adresinden Direk Bana Ulaşmanı Rica Eder iyi Forumlar Dilerim .

baho_17 · 06-01-07, 16:05 Çevrimdışı

bnm system32 de bu bahsettin dllcache yada prefetch yoq...yardımcı olur musunuz acaba?

antalya · 11-11-07, 09:58 Çevrimdışı

gizli klasorlerdir onlar normalde gorunmezler.

07-10-06, 08:49 Çevrimdışı	#1
Doçent The.`KinG Genel Mesajlar: 3.397 Teşekkür etti: 1.599 Teşekkür edildi: 1.605 RepForum Gücü: 40 Forum Puanı:11996	Sahte Windows Bileşenleri Ne zaman “Ctrl+Alt+Delete” yapıp, Windows görev yöneticisini açsak, karşımıza hemen aşağıda sıralanan “exe” uzantılı dosyalar çıkar. Aslında birer Windows bileşeni olması gereken bu dosyalar, aynı adla gizlenmiş birer kötücül yazılım da olabilirler. Kötücüller ile koruma yazılımları arasındaki şavaşımda, kötücüllerin sık sık korumaları atlatıp, sisteme sızdıklarını bilirsiniz; o yüzden, bizim de sık sık sisteme sızma olup olmadığını araştırmamız ve varsa, yerini saptayıp yok etmemiz gerekir. Aşağıda sıralanan Windows servislerinin varsayılan yeri “(Etkin sürücü):\WINDOWS\system32” klasörüdür; aynı adlara bu klasör dışında da rastlarsak, çağrısız bir konuğumuz var demektir ve hemen kolları sıvamamız gerekir…: WINDOWS SERVİSLERİNİN SAHTELERİ: winlogon.exe : “W32.Netsky” türevi bir kötücüldür; wmplayer.exe : “W32.Gaobot” yada “W32.Kelvir” türevidir; svchost.exe : Kötücüldür; çok değişik türlerde karşımıza çıkabilir; services.exe : “W32.Akhor”, “W32.Netsky”, “W32.Neveg” ve “W32.Conycspa” türevleri olabilir; smss.exe : “W32.Sober” türevi bir kötücüldür; lsass.exe : W32.Nimos.Worm yada benzeri bir kötücüldür; IEXPLORE.EXE : “Backdoor.Aphexdoor” türündendir; explorer.exe : Trojan.Kility adlı kötücüldür; csrss.exe : W.32.Netsky türevi bir kötücüldür; ctfmon.exe : W32.Mydoom türevidir. NOT: 1) Gerçek IEXPLORE.EXE: “(Etkin sürücü):\Program Files\Internet Explorer” klasöründedir; 2) Gerçek explorer.exe : “(Etkin sürücü):\WINDOWS” klasöründedir; 3) Gerçek wmplayer.exe : "(etkin sürücü):\Program Files\Windows Media Player" klasöründedir 4) Yine Windows bileşeni olup da görev yöneticisinde yukardakiler gibi her zaman değil arasıra kullanıldığında gözüken Windows servislerinin de sahteleri vardır; konunun altına ekleyerek sahteciler listesi zenginleştirilebilir… Yukarda da belirttiğim gibi Windows servislerinin sahtesiyle gerçeği aynı adı taşıyor; "Not"ta belirttiğim üçü dışındaki gerçek Windows servislerinin yeri: "(Etkin sürücü):\WINDOWS\system32" klasörüdür; "Acaba bende gözükenler gerçek mi?" diyorsak (ve kimi belirtiler nedeniyle sistemden kuşku da duyuyorsak) yapacağımız ilk iş: arama kutusuna servisin adını yazıp aramak olmalıdır; A) Arama sonuçlarına baktığımızda servisin yeri olarak: - "(Etkin sürücü):\WINDOWS\system32" - "(Etkin sürücü):\WINDOWS\system32\dllcache"() - "(Etkin sürücü):\WINDOWS\prefetch"() görünüyorsa, sorun (pek)(*) yok demektir; B) Başka yerlerde de gözüküyorsa, sahtecilik olayıyla karşıkarşıyayız demektir; sistemimizde varolan koruma yazılımlarını askıya alıp, yeni markalarla ve güvenli kipte arama-tarama-temizlik yapmak gerekir... () "dllcache" klasörü Windows'un, servis dosyalarında hasar oluştuğunda onarım ve değiştirme için başvurduğu kaynaktır; () "Prefetch" klasörü ise yine Windows işletim tekniğiyle ilgili olup -önsıralama, öndepolama- diyebileceğimiz ve de sistemi rahatlatmak için içi sık sık boşaltılması gereken bir klasör; () Aynı adı kullanan sahtecilerin -ender de olsa- "system32" klasörüne bile sızdıkları söyleniyor; dolayısiyle, "salt korunma" diye birşey yok; ne çok kuşkucu olmak ne de "boş ver" dememek, bilinçli olmak ve avast gibi kaliteli ancak yetersiz yerine Kaspersky , Mcafe , MKS gibi programlar kullanıp güncellemeleri Rutin olarak yapıp davetsiz misafirlere hazırlıklı olmak gerekiyor... Gözlerim , Sende Kaldı Sevdalım , Hiçkimseleri Göremiyorum ...*

08-10-06, 00:16 Çevrimdışı	#3
Doçent The.`KinG Genel Mesajlar: 3.397 Teşekkür etti: 1.599 Teşekkür edildi: 1.605 RepForum Gücü: 40 Forum Puanı:11996	amd işlemcilerde via chipsetli , intel 915 chipsetli pclerde ortak sorun bu konunun derinliklerine inmek isterdim ama yeterince bilgiye sahip değilim çalışma arkadaşlarımdan biri aracılığıyla yarın yardımcı olmaya çalışıcam iyi forumlar ayrıca yardım bölümüne açmalısın bu konuyu Gözlerim , Sende Kaldı Sevdalım , Hiçkimseleri Göremiyorum ...

26-11-06, 06:23 Çevrimdışı	#5
Doçent The.`KinG Genel Mesajlar: 3.397 Teşekkür etti: 1.599 Teşekkür edildi: 1.605 RepForum Gücü: 40 Forum Puanı:11996	Bence Yapacagın İlk Şey En Basit Yöntem Olun Sistemini Virüs Süz Oldugu Bir Döneme Geri Yüklemek Olmalı Mesela Ay Basından Bir Gün Olabilir Bunu Yapmak İçin Başlat - Tüm Programlar - Donaltılar - Sistem Geri Yükleme Yolunu İzleyebilirsin Sorunun Kaynagı Avira Anti Virüsün Tanımadığı Farklı Özelliklere Sahip Bir Virüs Trojen vs Gibi Bişey Olabilir . Yukarıdaki Çözüm Sorununu % 75 Çözecektir ancak , Eski Antivirüs Programını Kaldırıp Kaspersky , Mcafe Gibi Daha Gelişmiş Bir Virüs Programı Kullanmanı ve İlk Tarama Sonrası Mcafe Freewall Tarzında Kaliteli Birde Freewall Kullanmanı Tavsiye Ederim . Sorunun Kırmızı Olarak Tanımlanmış Bölgedeki Anlatımla Çözülmez İse , Daha Fazla Çözüm Yolu Bulabilmemiz İçin Bilgilendirmeni veya edanayardim@gmail.com adresinden Direk Bana Ulaşmanı Rica Eder iyi Forumlar Dilerim . Gözlerim , Sende Kaldı Sevdalım , Hiçkimseleri Göremiyorum ...

06-01-07, 16:05 Çevrimdışı	#6
Yard. Doçent baho_17 Kemalistler Genel Mesajlar: 1.480 Teşekkür etti: 545 Teşekkür edildi: 1.091 RepForum Gücü: 18 Forum Puanı:4038	bnm system32 de bu bahsettin dllcache yada prefetch yoq...yardımcı olur musunuz acaba? İktidara sahip olanlar gaflet ve dalâlet ve hattâ hıyanet içinde bulunabilirler. Mustafa Kemal ATATÜRK

07-10-06, 13:04 Çevrimdışı	#2
Öğrenci mechatronic Genel Mesajlar: 6 Teşekkür etti: 0 Teşekkür edildi: 2 RepForum Gücü: 0 Forum Puanı:1	yaa arkadas biri bana yardım ettsın yaa ben de HengTong DVR2000 var ama programı calıstırdıgım zaman bılgısayar kendıne restart atıyor nolur bana yardım etsin

25-11-06, 23:36 Çevrimdışı	#4
Stajyer sniper elite Genel Mesajlar: 147 Teşekkür etti: 245 Teşekkür edildi: 47 RepForum Gücü: 5 Forum Puanı:164	selam arkadaslar KiNG öncelikle konu icin tesekürler. bende gecende w32 ve Trojan isimli virüsler musallat oldular avira antivir kullaniyorum buldu ve sildim ama sürekli baska virüsler cikmaya basladi ve 3 gündür tarama yapiyorum,sürekli cins cins virüs ler cikiyor bundan nasil kurtulabilirim.ilginize tesekür ederim...

11-11-07, 09:58 Çevrimdışı	#7
Öğrenci antalya Genel Mesajlar: 8 Teşekkür etti: 0 Teşekkür edildi: 0 RepForum Gücü: 0 Forum Puanı:3	gizli klasorlerdir onlar normalde gorunmezler.

Konu Seçenekleri
Yazdırılabilir Sümü Göster Sayfayı E-Mail'le gönder