Mersin Böcek İlaçlama - 0532 132 91 97 - Mersin Haşere İlaçlama

Mersin Böcek İlaçlama - Sağlıklı Günler Sunuyoruz - 0532 132 91 97
Mersin Böcek İlaçlama - 0532 132 91 97 - Mersin Haşere İlaçlama

SGS Böcek İlaçlama (Sağlıklı Günler Sunuyoruz)


    BİLGİSAYAR GÜVENLİĞİ (2)

    Paylaş
    avatar
    MersinLee
    Admin

    Mesaj Sayısı : 178
    Usta : 545
    Kayıt tarihi : 29/01/08
    Yaş : 30
    Nerden : Mersin

    BİLGİSAYAR GÜVENLİĞİ (2)

    Mesaj tarafından MersinLee Bir 24th Temmuz 2009, 16:24

    Temizlenmesi:

    Bilgisayarı kapat bölümünde Ms-dos kipinde başlat seçeneğini işaretleyerek bilgisayarı kapatın. Ekrana çıkan dos ekranında sırasıyla aşağıda söylenenleri yapın

    C:\windows> cd system

    C:\windows\system>attrib -h -r grcframe.exe (aradaki boşluklara dikkat ediniz)

    C:\windows\system>del grcframe.exe

    C:\windows\system>del runonce.exe

    Trojandan bu şekilde kurtulmuş olursunuz. Sisteminizi yeniden başlatın.

    BO (BACK ORİFİCE)(BO2K 2000):

    Adı: bo2k.exe

    Boyutu: 112 KB

    Yerleştiği yer: Çalıştırıldığı dizin.

    Start up yöntemi: TCP/IP yapılandırmasında kullanılan bir dosyaya enfekte olarak sisteme bu sürücünün çalıştırılmasıyla yüklenir.

    En önemli özelliği: Sistemde bir sürücüye enfekte olarak çalışır. Dolayısıyla bulunması zordur.

    Özellikleri:

    Yaygın olarak kullanılan trojanlardan birisidir. En önemli özelliği kendisini TCP yapılandırmasında kullanılan sürücülerden birine enfekte ederek görülemez hale getirmektir. Bu sebeple bu yazıda bahsedilen start up yöntemlerinin hiç birisiyle tesbit edilemez. Çünkü kendisi direkt olarak çalışıyor görünmez. Bilgisayarın kullanmak zorunda olduğu sürücülerden birisine kendisini yerleştirir ve o sürücü sisteme yüklenince otomatik olarak sisteme yerleşir; .com ve .exe virüslerinin mantığına sahip. Bu pek de bilinmeyen özelliği dışında, kurbana gönderilen server programı istenildiği gibi ayarlanabiliyor(port, dosya adı değişebiliyor). Bağlantı kurulan makiye yönelik çok zengin bir kullanım seçeneği mevcut. Default olarak 31337 numaralı (ya da 54321) portu kullanır. server programının ismi bo2k.exe(config programı ile bu isim değiştirilebilir), boyutu 112 KB dır. Bu dosya herhangi özel bir dizine kendisini kopyalamaz. Çalıştırıldığı dizin içerisinde kalır. Zaten çalıştırıldıktan sonra silmeye kalkarsanız windows tarafından kullanıldığı için silinemez mesajını alırsınız.

    Temizlenmesi:

    Diğer trojanlar gibi sistemde direkt çalışmadığı için temizlenmesi için de farklı bir yöntem takip edilir. Kendisini TCP yapılandırmasında kullanılan sürücülere enfekte ederek sisteme yüklediği için, bozulmuş olan bu sürücülerin yenilenmesi ile sistemde çalışamaz hale gelir. Bunun için de o an mevcut olan TCP yapılandırmasının kaldırılarak sisteme yeniden kurulması gerekir. Bunun için başlat-ayarlar-denetim masasına gelmeliyiz. Burada Ağ adıyla belirtilen icona tıkladığımızda karşımıza ağ yapılandırmamız gelecek.

    Burada TCP/IP ile gösterilen seçeneği işaretleyerek kaldır butonuna basarsak TCP/IP yapılandırmamızı kaldırmış oluruz.

    Buradan Tamam butonuna basarak çıkıyoruz. Bize bilgisayarı yeniden başlatma ile ilgili bir ekran çıkacak tamam diyerek bilgisayarı yeniden başlatın.

    Bilgisayarınız yeniden başladığında biraz önce kaldırdığımız TCP/IP yapılandırmasını tekrar kuracağız. Bunun için başlat-ayarlar-denetim masası buradan ağa tıkladığımızda karşımıza çıkan ekranda ekle butonuna basıyoruz. Buradan çıkan menüden iletişim kurallarını tıkladığımızda çıkan ekranda sol tarafta microsoft seçili iken sağ tarafta TCP/IP yi seçerek tamam larla menülerden çıkıyoruz.

    Artık TCP/IP tekrar kurulmuş oldu. Son olarak bilgisayarı tekrar kapatıp açtığımızda TCP/IP yüklenmiş ve BO trojanından kurtulmuş oluruz.(Tabi bu işlemler sırasında gerekli dosyaları kopyalayabilmek için sizden win98 cd si istenebilir.)

    START UP (BAŞLANGIÇ) PROGRAMLARI:

    Bilgisayarımız açılırken bazı programlar sistem ihtiyaçlarından bazılarıda kullanıcı ihtiyaçlarından dolayı otomatik olarak çalıştırılırlar. Örneğin bir virüs tarama programınız varsa başlangıçta bu program otomatik olarak sisteminize yüklenir. Başlangıç programlarının çalışma sistemini kavrayabilmek ve onları kontrol edebilmek trojanları ortadan kaldırmada en etkili yöntemdir. Start up dosyaları bilgisayarınız açılırken çeşitli yollarla kendisini sisteme yükler.

    1) Win.ini

    Başlat a gelerek çalıştırda win.ini yazıp enter a basarsanız aşağıdaki gibi bir metinle karşılaşırsınız.

    [windows]

    NullPort=None
    Options=85663
    load=
    device=TRIO DATAFAX,DATAFAX,WINSERVE:
    run=

    [Desktop]
    TileWallpaper=0
    WallpaperStyle=0
    Pattern=(None)
    Wallpaper=C:\WINDOWS\WEBSHOTS.BMP

    [intl]
    iCountry=90
    ICurrDigits=2
    iCurrency=3
    iDate=1
    iDigits=2
    iLZero=1
    iMeasure=0
    iNegCurr=8
    iTime=1
    iTLZero=1
    s1159=
    s2359=
    sCountry=Turkey
    sCurrency=TL
    sDate=.
    sDecimal=,
    sLanguage=trk
    sList=;
    sLongDate=dd MMMM yyyy dddd
    sShortDate=dd.MM.yyyy
    sThousand=.
    sTime=:

    yukarıdaki [windows] başlığı altındaki "load= " ve "run= "ifadelerinden sonra gelecek olan dosya ismi bilgisayarınız tarafından açılışta otomatik olarak sisteminize yüklenir. Bilgisayarınız için gerekli bazı dosyalarda burada bulunarak başlangıçta çalıştırılabilir. Fakat aynı yeri bir trojan da kullanabilir. Bu durumda hangi dosyanın trojan hangisinin normal bir dosya olduğunu ayırt etmek sizin elinizde. Trojan olduğunu tahmin ettiğiniz dosya ismini silerseniz trojanın açılışta çalışmasını önlemiş olursunuz. Ama trojan hala bilgisayarınızdadır. Sadece çalışması engellenmiştir.

    2) System.ini

    Başlat a gelerek çalıştır da system.ini yazıp enter a basarsanız karşınıza aşağıdaki gibi bir dosya çıkar.

    [boot]
    oemfonts.fon=vgaoem.fon
    system.drv=system.drv
    drivers=mmsystem.dll ctpnpscn.drv power.drv
    shell=Explorer.exe
    gdi.exe=gdi.exe
    sound.drv=mmsound.drv
    dibeng.drv=dibeng.dll
    comm.drv=comm.drv
    mouse.drv=mouse.drv
    keyboard.drv=keyboard.drv
    *DisplayFallback=0
    fonts.fon=vgasys.fon
    fixedfon.fon=vgafix.fon
    386Grabber=vgafull.3gr
    display.drv=pnpdrvr.drv
    scrnsave.exe=
    user.exe=user.exe

    [keyboard]
    keyboard.dll=
    oemansi.bin=xlat857.bin
    subtype=
    type=4

    [boot.description]
    system.drv=Standart PC
    keyboard.typ=Standart 101/102-Tuşlu veya Microsoft Natural Klavye
    aspect=100,96,96
    mouse.drv=Standart fare
    display.drv=3D Artist PA50

    yukarıdaki satırlar arasında yer alan(üstten 4. sırada) shell=Explorer.exe satırına dikkat etmeniz gerekir. Bu satır da yazan dosya isimleri bilgisayarınız açılırken sisteme yüklenir (bu dosyanın trojan veya normal bir program olup olmadığını ayıretmek sizin elinizde). örneğin:

    shell=Explorer.exe Winlog.exe

    şeklindeki bir satır tehlike işaretidir. Explorer.exe ve winlog.exe açılışta sisteminize yüklenmektedir. Explorer.exe sisteminizin kullandığı bir program olduğu biliniyor. Öyleyse winlog.exe muhtemelen bir trojandır. Bu satırda winlog.exe dosya ismini silerseniz

    shell=Explorer.exe

    şeklinde değişir satırımız. Artık açılışta bu program çalıştırılmayacak dolayısıyla portlarınız açılmayacaktır. Fakat bu ismi silmekle trojanı silmiş olmayız sadece çalıştırılmasını önlemiş olduk.

      Forum Saati 24th Eylül 2017, 10:09