Adım adım trojen silimi 2.bölüm

Konu: Adım adım trojen silimi 2.bölüm Cuma Ara. 11, 2009 10:00 pm

Adım adım trojen silimi 2.bölüm
.Port Numarası: 31785, 31787

Dosya Adı: "expl32.exe"

Boyutu: 236 Kb

Dizini: C:Windows

1. Registry'nizdeki HKEY_LOCAL_

MACHINESoftwareMicrosoftWindowsCurrentVersionRun "Explorer32 | C:Windowsexpl32.exe" kaydını silin.

2. PC'nizi MS-DOS kipinde başlatın.

3. "C:Windowsexpl32.exe" dosyasını silin.

4. PC'nizi yeniden başlatın.

INIKILLER

Port Numarası: 9989

Dosya Adı: "bad.exe"

Boyutu: ?

Dizini: C:Windows

1. Registry'nizdeki HKEY_LOCAL_

MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun "Explorer" kaydını silin.

2. PC'nizi yeniden başlatın.

3. "C:Windowsbad.exe" dosyasını silin.

4. PC'nizi yeniden başlatın.

MASTERS PARADISE

Port Numarası: 3129, 40421, 40422,40423,

40426

Dosya Adı: "sysedit.exe", "keyhook.dll"

Boyutu: ?

Dizini: C:Windows

1. Registry'nizdeki HKEY_LOCAL_

MACHINESoftwareMicrosoftWindowsCurrentVersionRun "sysedit.exe" kaydını silin.

2. PC'nizi yeniden başlatın.

3. "C:Windowssysedit.exe" ve "C:

Windowskeyhook.dll" dosyalarını silin.

4. PC'nizi yeniden başlatın.

5. Gerçek "sysedit.exe" dosyasını Windows CD'nizden veya güvendiğiniz bir arkadaşınızdan tekrar yükleyin.

NETBUS PRO

Port Numarası: 20034

Dosya Adı: "NBSvr.exe"

Boyutu: 599 Kb

Dizini: C:Windows , C:WindowsSystem

1. Registry'nizdeki HKEY_LOCAL_

MACHINESoftwareMicrosoftWindowsCurrentVersionRunSe rvices "NetBus Server Pro | nbsvr.exe" kaydını silin.

2. Registry'nizdeki HKEY_CURRENT_

USERNetBus Server anahtarını silin.

3. PC'nizi MS-DOS kipinde başlatın.

4. "C:WindowsNBSvr.exe" , "C:WindowsNBHelp.dll" , "C:WindowsLog.txt" dosyalarını silin. (Aynı dosyalar C:WindowsSystem dizininde de olabilir)

5. PC'nizi yeniden başlatın.

NETBUS

Port Numarası: 12345, 12346

Dosya Adı: "patch.exe"

Boyutu: 470 Kb

Dizini: C:WindowsSystem

1. Registry'nizdeki HKEY_LOCAL_

MACHINESoftwareMicrosoftWindowsCurrentVersionRun "patch.exe" kaydını arayın. Söz konusu kaydı bulamazsanız trojan'ın adı değiştirilmiş demektir. Bu durumda aynı Registry anahtarı altında yer alan tüm EXE kayıtlarını not alın ve C:WindowsSystem dizinindeki EXE dosyalarıyla karşılaştırın. 470 KB boyutunda olan dosya, adı değiştirilmiş NetBus trojanıdır. Registry kaydını silin.

2. Bir MS-DOS Komut İstemi penceresi açın ve "C:WindowsSystempatch.

exe /remove" komutunu kullanın. (Trojanın adı değiştirilmişse, patch.exe yerine PC'nizdeki adını yazın.)

3. "C:WindowsSystempatch.exe" dosyasını silin.

NETSPHERE

Port Numarası: 30100, 30101, 30102

Dosya Adı: "nssx.exe"

Boyutu: 640 Kb

Dizini: C:WindowsSystem

1. Registry'nizdeki HKEY_LOCAL_

MACHINESoftwareMicrosoftWindowsCurrentVersionRun "NSSX | C:WindowsSystemnssx.exe" kaydını silin.

2. PC'nizi MS-DOS kipinde başlatın.

3. "C:Windowsnssx.exe" dosyasını silin.

4. PC'nizi yeniden başlatın.

RAT

Port Numarası: 1095, 1097, 1098, 1099

Dosya Adı: " .exe", "mswinsck.ocx",

"wavestream.dll", "regsvr32.exe"

Boyutu: 298 KB, 99 Kb, 35 Kb, 20 Kb

Dizini: C:WindowsSystem

1. Registry'nizdeki şu anahtarları silin:

HKEY_LOCAL_MACHINESOFTWAREClassesCLSID{925B0F6C-605D-11CF-BAEF-F89005C10000}

HKEY_LOCAL_MACHINESOFTWAREClassesCLSID{925B0F6C-605D-11CF-BAEF-F89005C10000} Implemented Categories

HKEY_LOCAL_MACHINESOFTWAREClassesCLSID{925B0F6C-605D-11CF-BAEF-F89005C10000}

Implemented Categories{40FC6ED5-2438-11CF-A3DB-080036F12502}

HKEY_LOCAL_MACHINESOFTWAREClassesCLSID{925B0F6C-605D-11CF-BAEF-F89005C10000}InprocServer32

HKEY_LOCAL_MACHINESOFTWAREClassesCLSID{925B0F6C-605D-11CF-BAEF-F89005C10000}ProgID

HKEY_LOCAL_MACHINESOFTWAREClassesCLSID{925B0F6C-605D-11CF-BAEF-F89005C10000}Programmable

HKEY_LOCAL_MACHINESOFTWAREClassesCLSID{925B0F6C-605D-11CF-BAEF-F89005C10000}TypeLib

HKEY_LOCAL_MACHINESOFTWAREClassesCLSID{925B0F6C-605D-11CF-BAEF-F89005C10000}Version

HKEY_LOCAL_MACHINESOFTWAREClassesInterface{925B0F6 B-605D-11CF-BAEF-F89005C10000}

HKEY_LOCAL_MACHINESOFTWAREClassesInterface{925B0F6 B-605D-11CF-BAEF-F89005C10000}ProxyStubClsid

HKEY_LOCAL_MACHINESOFTWAREClassesInterface{925B0F6 B-605D-11CF-BAEF-F89005C10000}ProxyStubClsid32

HKEY_LOCAL_MACHINESOFTWAREClassesInterface{925B0F6 B-605D-11CF-BAEF-F89005C10000}TypeLib

HKEY_LOCAL_MACHINESOFTWAREClassesTypeLib{925B0F6D-605D-11CF-BAEF-F89005C10000}

HKEY_LOCAL_MACHINESOFTWAREClassesTypeLib{925B0F6D-605D-11CF-BAEF-F89005C10000}1.0

HKEY_LOCAL_MACHINESOFTWAREClassesTypeLib{925B0F6D-605D-11CF-BAEF-F89005C10000}1.0

HKEY_LOCAL_MACHINESOFTWAREClassesTypeLib{925B0F6D-605D-11CF-BAEF-F89005C10000}1.0win32

HKEY_LOCAL_MACHINESOFTWAREClassesTypeLib{925B0F6D-605D-11CF-BAEF-F89005C10000}1.0FLAGS

HKEY_LOCAL_MACHINESOFTWAREClassesTypeLib{925B0F6D-605D-11CF-BAEF-F89005C10000}1.0HELPDIR

HKEY_LOCAL_MACHINESOFTWAREClassesWaveStreaming.Wav eStream

HKEY_LOCAL_MACHINESOFTWAREClassesWaveStreaming.Wav eStreamClsid

2) Registry'nizdeki şu kayıtları silin:

HKEY_LOCAL_MACHINESOFTWAREClassesCLSID{925B0F6C-605D-11CF-BAEF-F89005C10000} @="WaveStreaming.WaveStream"

HKEY_LOCAL_MACHINESOFTWAREClassesCLSID{925B0F6C-605D-11CF-BAEF-F89005C10000} InprocServer32@="C:WINDOWSSYSTEMWAVESTREAM.DLL"

HKEY_LOCAL_MACHINESOFTWAREClassesCLSID{925B0F6C-605D-11CF-BAEF-F89005C10000} ProgID@="WaveStreaming.WaveStream"

HKEY_LOCAL_MACHINESOFTWAREClassesCLSID{925B0F6C-605D-11CF-BAEF-F89005C10000} TypeLib@="{925B0F6D-605D-11CF-BAEF-F89005C10000}"

HKEY_LOCAL_MACHINESOFTWAREClassesCLSID{925B0F6C-605D-11CF-BAEF-F89005C10000} Version@="1.0"

HKEY_LOCAL_MACHINESOFTWAREClassesInterface{925B0F6 B-605D-11CF-BAEF-F89005C10000} @="WaveStream"

HKEY_LOCAL_MACHINESOFTWAREClassesInterface{925B0F6 B-605D-11CF-BAEF-F89005C10000} ProxyStubClsid@="{00020424-0000-0000-C000-000000000046}"

HKEY_LOCAL_MACHINESOFTWAREClassesInterface{925B0F6 B-605D-11CF-BAEF-F89005C10000} ProxyStubClsid32@="{00020424-0000-0000-C000-000000000046}"

HKEY_LOCAL_MACHINESOFTWAREClassesInterface{925B0F6 B-605D-11CF-BAEF-F89005C10000} TypeLib@="{925B0F6D-605D-11CF-BAEF-F89005C10000}"

HKEY_LOCAL_MACHINESOFTWAREClassesInterface{925B0F6 B-605D-11CF-BAEF-F89005C10000} TypeLibVersion="1.0"

HKEY_LOCAL_MACHINESOFTWAREClassesTypeLib{925B0F6D-605D-11CF-BAEF-F89005C10000}1.0 @="MS Internet Audio Streaming Support"

HKEY_LOCAL_MACHINESOFTWAREClassesTypeLib{925B0F6D-605D-11CF-BAEF-F89005C10000}1.0win32 @="C:WINDOWSSYSTEMWAVESTREAM.DLL"

HKEY_LOCAL_MACHINESOFTWAREClassesTypeLib{925B0F6D-605D-11CF-BAEF-F89005C10000}1.0FLAGS @="0"

HKEY_LOCAL_MACHINESOFTWAREClassesTypeLib{925B0F6D-605D-11CF-BAEF-F89005C10000}1.0 HELPDIR@="C:WINDOWSSYSTEM"

HKEY_LOCAL_MACHINESOFTWAREClassesWa...eStreaming.W aveStream"

HKEY_LOCAL_MACHINESOFTWAREClassesWaveStreaming.Wav eStreamClsid @="{925B0F6C-605D-11CF-BAEF-F89005C10000}"

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentV ersionRun Explorer="C:WINDOWSsystem

MSGSVR16.EXE"

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentV ersionRunServicesDefault=" "

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentV ersionRunServicesExplorer=" "

3. PC'nizi MS-DOS kipinde başlatın.

4. "C:WindowsSystem .exe" , "C:WindowsSystemMSGSVR16.EXE" , "C:WindowsSystemwaveStream.dll" dosyalarını silin.

5. PC'nizi yeniden başlatın.

SUBSEVEN

Port Numarası: 1243, 1999, 6711, 6776

Dosya Adı:

1. Dosya: "server.exe", "rundll16.exe",

"systray.dl", "Task_bar.exe"

2. Dosya: "FAVPNMCFEE.dll",

""MVOKH_32.dll", "nodll.exe",

"watching.dll"

Boyutu: 328 Kb, 35 Kb

Dizini: C:Windows, C:WindowsSystem

1. "C:WindowsSystemSysEdit.exe" dosyasını çalıştırın. SYSTEM.INI dosyasının [boot] bölümündeki "shell=Explorer.exe" satırını inceleyin. Satırın sağına yukarıda adı geçen dosya adlarından biri eklenmişse, dosya adını bir kenara not edin ve satırı "shell=Explorer.exe" haline getirin.

2. Aynı penceredeki WIN.INI dosyasının [windows] bölümünde "run=" ve "load=" diye başlayan satırları inceleyin. Söz konusu satırlardan biri yukarıda adı geçen dosyalardan birine işaret ediyorsa, dosya adını not edin ve satırı silin.

3. Yapmış olduğunuz değişiklikleri kaydedip SysEdit penceresini kapatın.

4. Registry'nizdeki HKEY_LOCAL_

MACHINESoftwareMicrosoftWindowsCurrentVersionRun anahtarını inceleyin ve yukarıda adı geçen dosyalara işaret eden kayıtları silin. Herhangi bir kayıt bulamazsanız trojanın adı değiştirilmiş demektir. Bu durumda aynı Registry anahtarı altında yer alan tüm EXE kayıtlarını not alın ve C:Windows dizinindeki EXE dosyalarıyla karşılaştırın. 328 Kb boyutunda olan dosya, adı değiştirilmiş SubSeven trojanıdır. Registry kaydını silin.

5. PC'nizi yeniden başlatın.

6. C:Windows dizinindeki trojan dosyasını silin.

WHACK A MOLE

Port Numarası: 12361, 12362

Dosya Adı: "whack.exe"

Boyutu: ?

Dizini: C:Windows

1. Registry'nizdeki şu kayıtları silin:

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentV ersionRun "NetBuster"

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentV ersionRun "SysCopy"

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentV ersionRunServices "RunDll"

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentV ersionRunServices "RunDll32"

2. Registry'nizdeki HKEY_CLASSES_

ROOT.dl_ anahtarını silin.

3. PC'nizi MS-DOS kipinde başlatın.

4. C:Windows dizini altındaki Şu dosyaları silin:

keyhook.dll

keyhook.dl_

nbsetup.reg

nb2setup.reg

ntsetup.reg

nt2setup.reg

rundll.dl_

whack.exe

5. PC'nizi yeniden başlatın.

WINCRASH

Port Numarası: 5742

Dosya Adı: "server.exe"

Boyutu: 290 Kb

Dizini: C:WindowsSystem

1. Registry'nizdeki HKEY_LOCAL_

MACHINESoftwareMicrosoftWindowsCurrentVersionRun "MsManager | SERVER.EXE" kaydını silin.

2. PC'nizi MS-DOS kipinde başlatın.

3. "C:WindowsSystemserver.exe" dosyasını silin.

4. PC'nizi yeniden başlatın.

» Adım Adım Trojen silimi 1. bölüm
» Trojen isimleri