THT DUYURU

Bilgisayar Güvenliği Bilgisayar Güvenlik Sistemleri makaleleri, virüs korumasından, güvenlik duvarlarına kadar her şeyin nasıl çalıştığı hakkında bilgilere buradan ulaşabilirsiniz.

chat
Seçenekler

Prorat'ın işleyişi...

OnLy - ait Kullanıcı Resmi (Avatar)
Emektar
Üyelik tarihi:
12/2005
Nereden:
Ötüken
Mesajlar:
823
Konular:
257
Teşekkür (Etti):
279
Teşekkür (Aldı):
1132
Ticaret:
(0) %
02-03-2009 20:51
#1
Prorat'ın işleyişi...
prorat varmi önce onu anlayin bilgisayariniz acildiginda C:\Windows\System32\fservice.exe diye bi hata veriyorsa ozaman prorat vardir.. kurtulmak icin :

Teknik Detaylar

Prorat bulaştığında aşağıdaki işlemleri sırayla gerçekleştirir:

1. Kendini %System% veya %Windir% klasörüne kopyalar. Aşağıdaki isimlerde görülürler, fakat farklı varyasyonları da olabilir:

* %System%\Main.exe
* %System%\Loader.exe
* %System%\Msmsg.exe
* %System%\Winserv.dll
* %System%\Fservice.exe
* %System%\Sservice.exe
* %Windir%\Winlogon.exe

Notlar:

o %Windir% klasörü değişkendir. Prorat kendine Windows kurulum klasörünü seçer. (genelde, bu C:\Windows veya C:\Winnt’dir.) ve kendini burada kopyalar.

o %System% klasörü de değişkendir. Prorat kendine System klasörünü seçer. [genelde, bu C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000), veya C:\Windows\System32 (Windows XP)].


2. %System% klasörüne .dll ler bırakır. Genellikle şu adlarla görülür:
* %System%\wininv.dll
* %System%\winkey.dll

3. Kayıt Defterinde bu bölgelere kayıtlar ekler:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\
Policies\Explorer\Run

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{5Y99AE78-58TT-11dW-BE53-Y67078979Y}

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run


Kayıt değerleri şunlardır:

"MSNMESENGER"="%System%\Main.exe"

"DirectX for Microsoft Windows"="%System%\Fservice.exe"

"DirectX for Microsoft Windows"="%System%\Sservice.exe"

"StubPath"="C:\Windows\system\Sservice.exe"

4. Bu değerleri de değiştirirler:

Shell

Kayıt değerinde:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon

Bu halden:

"explorer.exe"

Şu hale:

"explorer.exe %System%\Fservice.exe"

sokarlar ve windows NT/2000/XP açıldığında işleme başlarlar.

5. Dinleme Portları açarlar. Port aralığı 50000 - 60000 arasıdır.

6. Truva atının versiyon numarasını, PC nin Ip adresi ve Port aralıklarıyla birlikte, saldırganın e-posta adresine veya ICQ’ya gönderir.

7. Prorat’ın kullandığı .dll ler PC nin güvenlik araçlarını devre dışı bırakır (Antivirüs, Firewall gibi).


Öneriler

Prorat zararlısından kurtulmak için:

* Gereksiz servisleri kapatın ve silin. Bir çok sistem, gerekli olmasa bile işe yarayabilecek FTP server, telnet, Web server gibi hizmetlerle kurulur. Gereksiz hizmetlerin kaldırılması, virüsün kendini güncellemesini önleyecektir.
* Virüs bulaşan PC ler le bağlantınızı kesin.
* Güvenlik programlarınızı ve Windows u güncel tutun.
* Güvenli parolalar kullanın.
* E-postanıza gelen .vbs, .bat, .exe, .pif ve .scr uzantılı dosyaları kabul etmeyin.
* İnternetten gelen dosyaları antivirüsünüz le taratın.

Prorat tan Kurtulma

Aşağıdaki adımları alttaki açıklamalarıyla birlikte sırayla uygulayın.

1. Sistem Geri Yükleme’yi devre dışı bırakın. (Windows Me/XP).
2. Antivirüs’lerinizi güncelleyin.
3. PC’yi güvenli modda başlatın. (Windows 95/98/Me/2000/XP)
4. Kayıt defterini düzenleyin.
5. Pc’yi Güvenli Mod’da tekrar açın (Windows Me/XP).
6. Antivüs’le sistemi taratın.

*Ayrıntılı Açıklama

1. Sistem Geri Yükleme’yi devre dışı bırakma

Sistem Geri Yükleme’yi kapatmak, zararlıların tekrar oluşmasına engel olacaktır.
Virüsü temizledikten sonra tekrar açmanızı önerilir.
Eğer nasıl devre dışı bırakılacağını bilmiyorsanız, Microsoft Knowledge Base’de , "Antivirus Tools Cannot Clean Infected Files in the _Restore Folder," Article ID: Q263455 konusuna bakın.

2. Antivirüs’ü güncelleme

Antivirüs’ünüzü güncellemek PC’nizdeki yapacağınız temizlemeye yardımcı olur.


4. Kayıt defteri’ni düzenleme

UYARI: KAYIT DEFTERİNDE DEĞİŞİKLİK YAPMADAN ÖNCE YEDEKLEME YAPMANIZ TAVSİYE EDİLİR.

1. Aşağıdakileri uygulayın:
* Windows 2000/XP/95/98/Me. Başlat > Çalıştır’ı açın.

2. Boşluğa:

regedit yazın

3. Uygulayın:
*Enter’a basın

4. Aşağıdaki değerleri gözdfen geçirin:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\
Policies\Explorer\Run

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{5Y99AE78-58TT-11dW-BE53-Y67078979Y}

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run

5. Her bir değerin içinde aşağıdaki kayıtlara rastlarsanız silin.

"MSNMESENGER"="%System%\Main.exe"

"DirectX for Microsoft Windows"="%System%\Fservice.exe"

"DirectX for Microsoft Windows"="%System%\Sservice.exe"

"StubPath"="C:\Windows\system\Sservice.exe"


7. Şimdi alttaki kaydı açın:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon

8. Sağ panelden alttaki değeri aşağıdaki gibi yapın:

"Shell"="explorer.exe %System%\Fservice.exe"

bu şekle gelecek:

"Shell"="explorer.exe"

9. Kayıt defterinden çıkın.


5. Güvenli modda tekrar başlatma

Pc’yi güvenli modda açın

6. Antivirüs

Taramayı başlatın. Bulunan dosyaları silin.
ChAtLaKjOcUk Teşekkür etti.
Lupus. - ait Kullanıcı Resmi (Avatar)
Üye
Üyelik tarihi:
03/2009
Nereden:
Nerden geldiğimiz değil nereye gideceğimiz önemli..
Mesajlar:
227
Konular:
17
Teşekkür (Etti):
17
Teşekkür (Aldı):
33
Ticaret:
(0) %
04-03-2009 21:06
#2
paylaşım için saol
--------------------- Aynanın karşısına geçtiğinde yüzünün geneline değil, gözlerinin içine bakıyorsan mutsuzsun demektir.

ℓυρυs
_xxx - ait Kullanıcı Resmi (Avatar)
Forumdan Uzaklaştırıldı
Üyelik tarihi:
04/2009
Mesajlar:
161
Konular:
32
Teşekkür (Etti):
7
Teşekkür (Aldı):
101
Ticaret:
(0) %
27-06-2009 11:22
#3
paylaşımın için teşekkürler

Bookmarks


« Önceki Konu | Sonraki Konu »
Seçenekler