THT DUYURU

chat
Trojan ve Virüsler Trojan ve Virüsler Hakkında Bilgiler.

takipci
Seçenekler

Virüsler Başlangıç Sırasında Gizlendiği Yerler\\REYNMEN

REYNMEN - ait Kullanıcı Resmi (Avatar)
Yeni Üye
Üyelik tarihi:
08/2017
Nereden:
127.0.0.1
Mesajlar:
366
Konular:
75
Teşekkür (Etti):
39
Teşekkür (Aldı):
81
Ticaret:
(0) %
8
768
31-01-2018 20:53
#1
1) Başlangıç Klasörü:Windows, Başlat Menüsü’nün Başlangıç Klasörü’ndeki her öğeyi açmaktadır. Bu dosya, Başlat Menüsü’nün Programlar kısmındaki dikkati çeken bir klasördür.

Windows’un Başlangıç Klasörü’nde bulunan her programı çalıştırdığını söylemediğime dikkat edin. Windows buradaki her öğeyi açmaktadır. Burada önemli bir fark vardır.

Başlangıç Klasöründeki programlar tabii ki çalışacaktır. Ama Başlangıç Klasörü’nde kısayol olarak program değil de dökümanlar da bulundurabilirsiniz.

Örneğin, Eğer Başlangıç Klasörü’ne Microsoft Word belgesi koyarsanız, Word, bu dökümanı makineniz açıldıktan sonra otomatik olarak çalıştıracaktır. Eğer oraya bir Wav dosyası koyarsanız, audio yazılımınız otomatik olarak çalışacaktır ve eğer favori web sitenizi koyarsanız, Internet Explorer veya seçtiğiniz tarayıcı, bilgisayarınızı başlattığınızda otomatik olarak bu web sayfasını açacaktır.


2) Registry: Windows, registrydeki Çalıştır bölümünde bulunan tüm yönergeleri çalıştırır. Çalıştır bölümünde(ve aşağıda sıralanan diğer registry bölümlerinde) bulunan öğeler program veya başka programların açtığı herhangi bir dosya olabilir.

3) Registry: Windows, registrydeki “RunServices” bölümünde bulunan tüm yönergeleri çalıştırır.

4) Registry: Windows, registrydeki “RunOnce” bölümünde bulunan tüm yönergeleri çalıştırır.

5) Registry: Windows, registrydeki ” RunServicesOnce” bölümünde bulunan tüm yönergeleri çalıştırır.(Windows, programları çalıştırmak için 2 tane “RunOnce” bölümü kullanır.)

6) Registry: Windows, registrydeki HKEY_CLASSES_ROOT\\\\exefile\\\\shell\\\\open\\\\c ommand “%1″ %* bölümünde bulunan yönergeleri çalıştırır. Herhangi bir exe dosyası çalıştırılacağı zaman komutlar buraya yerleştirilir.

Diğer Olasılıklar:

[HKEY_CLASSES_ROOT\\\\exefile\\\\shell\\\\open\\\\c ommand] =”\\\\”%1\\\\” %*”

[HKEY_CLASSES_ROOT\\\\comfile\\\\shell\\\\open\\\\c ommand] =”\\\\”%1\\\\” %*”

[HKEY_CLASSES_ROOT\\\\batfile\\\\shell\\\\open\\\\c ommand] =”\\\\”%1\\\\” %*”

[HKEY_CLASSES_ROOT\\\\htafile\\\\Shell\\\\Open\\\\C ommand] =”\\\\”%1\\\\” %*”

[HKEY_CLASSES_ROOT\\\\piffile\\\\shell\\\\open\\\\c ommand] =”\\\\”%1\\\\” %*”

[HKEY_LOCAL_MACHINE\\\\Software\\\\CLASSES\\\\batfi le\\\\shell\\\\open\\\\command]
=”\\\\”%1\\\\” %*”

[HKEY_LOCAL_MACHINE\\\\Software\\\\CLASSES\\\\comfi le\\\\shell\\\\open\\\\command] =”\\\\”%1\\\\” %*”

[HKEY_LOCAL_MACHINE\\\\Software\\\\CLASSES\\\\exefi le\\\\shell\\\\open\\\\command] =”\\\\”%1\\\\” %*”

[HKEY_LOCAL_MACHINE\\\\Software\\\\CLASSES\\\\htafi le\\\\Shell\\\\Open\\\\Command] =”\\\\”%1\\\\” %*”

[HKEY_LOCAL_MACHINE\\\\Software\\\\CLASSES\\\\piffi le\\\\shell\\\\open\\\\command] =”\\\\”%1\\\\” %*”

Eğer anahtar, gösterildiği gibi “\\\\”%1\\\\” %*” değerine sahip değilse ve “\\\\”başkabirdosya.exe %1\\\\” %*” gibi farklılık gösteriyorsa, otomatik olarak o belirlenmiş dosyayı çağırıyordur.



7) Toplu Dosya: Windows, Windows dosyasında bulunan Winstart toplu dosyasındaki tüm yönergeleri çalıştırır.(Bu dosya neredeyse tüm Windows kullanıcıları ve birçok Windows uzmanı tarafından bilinemez ve sisteminizde de olmayabilir. Ama çok kolay bir şekilde oluşturabilirsiniz. Windows’un bazı versiyonlarında Windows klasörünün “WinNT” adıyla bulunduğunu unutmayalım.) Dosyanın tam ismi “WINSTART.BAT” dır.

8 ) Biçimlendirme Dosyası: Windows; Windows veya WinNT klasöründe bulunan WIN.INI dosyasındaki “RUN=” satırında bulunan tüm yönergeleri çalıştırır.

9) Biçimlendirme Dosyası: Windows; Windows veya WinNT klasöründe bulunan WIN.INI dosyasındaki “LOAD=” satırında bulunan tüm yönergeleri çalıştırır.

Windows aynı zamanda System.ini veya c:\\\\windows\\\\system.ini deki “shell=” satırında bulunan yönergeleri de çalıştırır.

[boot]
shell=explorer.exe C:\\\\windows\\\\dosyaismi

Windows her ne zaman başlar ise, explorer.exe yi takip eden dosya ismi de başlayacaktır.

Win.ini’de olduğu gibi, dosya isimleri birbirinden önce bulunabilir. Normal olarak dosyaların tüm yolu, bu girişte bulunacak. Eğer bulunmuyorsa Windows dizinini kontrol edin.


10) Yeniden Başlatma: Windows, bir uygulama yürütülürken o uygulamayı kapatırsa, yeniden o uygulamayı çalıştırır. Windows, Microsoft’a ait olmayan programlarda yeniden çalıştırma işlemini gerçekleştiremez. Ama Internet Explorer ve Windows Explorer ile bunu kolay bir şekilde yapacaktır. Eğer Internet Explorer’a sahipseniz; Windows’u sonlandırırken I.E’yi açın. Bilgisayarı yeniden başlattığınızda Windows, aynı sayfalarla Internet Explorer’ı yeniden açacaktır.(Eğer Windows makinenizde bu işlem gerçekleşmezse, bu özellik kapatılmış demektir. Microsoft Windows kullanıcı arayüz yönetim programı olan Tweak UI programını kullanın ve “Explorer Ayarlarını Hatırla” veya Windows versiyonunuzda nasıl isimlendirilmişse o özelliği aktif hale getirin.

11) Görev Zamanlayıcısı: Windows, Windows Görev Zamanlayıcısında(veya Görev Zamanlayıcısının yerine veya ona eklenen diğer Zamanlayıcılarda) bulunan autorun yönergeleri çalıştırır. Görev Zamanlayıcısı, ilk versiyon olan Windows 95 haricinde Windows’un tüm versiyonlarında resmi bir bölümdür ama eğer Windows 95’te Microsoft Plus Pack yüklüyse burada da bulunmaktadır.

12) İkincil Yönergeler: Windows başlarken çalışan programlar, birbirinden bağımsız olarak çalışan ayrı programlardır. Teknik olarak bunlar Windows’un çalıştırdığı programlar değillerdir; ama temel programların hemen ardından çalışan sıradan programlarla sıklıkla karıştırılmaktadırlar.


13) C:\\\\EXPLORER.EXE Metodu

C:\\\\Explorer.exe

Windows; ön yükleme yani açılış sırasında (genel olarak Windows dizininde bulunan) Explorer.exe’yi yükler. Ama eğer c:\\\\explorer.exe varsa, bu uygulama Windows explorer.exe yerine çalıştırılacaktır. Eğer c:\\\\explorer.exe bozuksa; kullanıcı, sisteminden dışarıda bırakılacaktır.

Eğer c:\\\\explorer.exe bir trojan ise, çalıştırılacaktır. Birbirinden farklı diğer autostart metodları, herhangi bir dosyaya veya registry değişikliklerine ihtiyaç duymayacaktır. Dosya basit bir şekilde yalnızca c:\\\\explorer.exe olarak isimlendirilmelidir.

14) İlave Metodlar

İlave autostart metodları. İlk ikisi Trojan SubSeven 2.2 tarafından kullanılmaktadır.

HKEY_LOCAL_MACHINE\\\\Software\\\\Microsoft\\\\Act ive Setup\\\\Installed Components HKEY_LOCAL_MACHINE\\\\Software\\\\Microsoft\\\\Win dows\\\\Currentversion\\\\explorer\\\\Usershell folders

Icq Inet

[HKEY_CURRENT_USER\\\\Software\\\\Mirabilis\\\\ICQ\ \\\Agent\\\\Apps\\\\test]

“Path”=”test.exe”
“Startup”=”c:\\\\\\\\test”
“Parameters”=”"
“Enable”=”Yes”

[HKEY_CURRENT_USER\\\\Software\\\\Mirabilis\\\\ICQ\ \\\Agent\\\\Apps\\\\]

Bu anahtar; eğer ICQNET herhangi bir internet bağlantısını saptarsa, tüm uygulamaların çalıştırılacağını belirler.

[HKEY_LOCAL_MACHINE\\\\Software\\\\CLASSES\\\\Shell Scrap] =”Scrap object” “NeverShowExt”=”"

Bu anahtar, dosyaların belirlenmiş uzantılarını değiştirir.


Saygılar.
---------------------
Güvenlikte En Zayıf Halka İnsandır.
Konu REYNMEN tarafından (31-01-2018 21:01 Saat 21:01 ) değiştirilmiştir.
cled Teşekkür etti.
ByKertenkele - ait Kullanıcı Resmi (Avatar)
Üye
Üyelik tarihi:
07/2017
Yaş:
99
Mesajlar:
1.169
Konular:
290
Teşekkür (Etti):
105
Teşekkür (Aldı):
165
Ticaret:
(0) %
31-01-2018 20:54
#2
Trojan virüs değilmi ?
--------------------- 𐰤𐰀 𐰢𐰆𐱃𐰞𐰆 𐱅𐰇𐰼𐰚𐰇𐰢 𐰓𐰃𐰘𐰀𐰤𐰀
𐰲𐰀𐰽𐰀𐰼𐰀𐱅𐰃𐰘𐰠𐰀 𐰖𐰀𐱁𐰀𐰢𐰀𐰖𐰀𐰣 𐰀𐰽𐰀𐰼𐰀𐱅𐰃𐰘𐰠𐰀 𐰇𐰠𐰇𐰼
𐱃𐰆𐰺𐰀𐰣 𐰀𐰠𐰠𐰀𐰼 𐰉𐰀𐰺 𐰆𐰞𐰽𐰆𐰣 𐰀𐰞𐰞𐰀𐰴 𐱅𐰇𐰼𐰚𐰀 𐰖𐰀𐰺 𐰆𐰞𐰽𐰆𐰣
BAMSIBEY - ait Kullanıcı Resmi (Avatar)
Yeni Üye
Üyelik tarihi:
03/2017
Nereden:
root@Yakuza
Mesajlar:
546
Konular:
37
Teşekkür (Etti):
294
Teşekkür (Aldı):
62
Ticaret:
(0) %
31-01-2018 20:54
#3
Eline sağık
--------------------- YAPILAN HER ŞEY YAKALANMADIĞIN SÜRECE YASALDIR
byproblack - ait Kullanıcı Resmi (Avatar)
Yeni Üye
Üyelik tarihi:
07/2017
Nereden:
-Bilinmiyor-
Mesajlar:
702
Konular:
108
Teşekkür (Etti):
77
Teşekkür (Aldı):
78
Ticaret:
(0) %
31-01-2018 20:55
#4
Eline sağlık dostm
---------------------
--Peşinden gidecek cesaretin varsa, bütün hayaller gerçek olabilir…--

**CHE GUEVARA**
Mocean - ait Kullanıcı Resmi (Avatar)
Yeni Üye
Üyelik tarihi:
07/2016
Nereden:
Sarmatia
Yaş:
19
Mesajlar:
992
Konular:
109
Teşekkür (Etti):
30
Teşekkür (Aldı):
99
Ticaret:
(0) %
31-01-2018 20:58
#5
Alıntı:
ByKertenkele´isimli üyeden Alıntı Mesajı göster
Trojan virüs değilmi ?
evet, virüs kategorisinde fakat sanırım yanlış bir anlaşılma olmuş
---------------------
The Master Algorithm
Ego primum tollo, nominor quoniam leo
iHaSaHi - ait Kullanıcı Resmi (Avatar)
Üye
Üyelik tarihi:
06/2017
Nereden:
Ğ‚¬ºÙ
Mesajlar:
1.493
Konular:
124
Teşekkür (Etti):
46
Teşekkür (Aldı):
219
Ticaret:
(0) %
31-01-2018 20:59
#6
Sağolun hocam işime yarar bu
---------------------
.
────────────

⠀⠀⢠⡤⢺⣿⣿⣿⣿⣿⣶⣄
⠀⠀⠉⠀⠘⠛⠉⣽⣿⣿⣿⣿⡇
⠀⠀⠀⠀⠀⠀⠀⢉⣿⣿⣿⣿⡗
⠀⢀⣀⡀⢀⣀⣤⣤⣽⣿⣼⣿⢇⡄
⠀⠀⠙⠗⢸⣿⠁⠈⠋⢨⣏⡉⣳
⠀⠀⠀⠀⢸⣿⡄⢠⣴⣿⣿⣿
⠀⠀⠀⠀⠉⣻⣿⣿⣿⣿⣿⡟⡀
⠀⠀⠀⠀⠐⠘⣿⣶⡿⠟⠁⣴⣿⣄
⠀⠀⠀⠀⠀⠘⠛⠉⣠⣴⣾⣿⣿⣿⡦
⠀⠀⢀⣴⣠⣄⠸⠿⣻⣿⣿⣿⣿⠏
⠀⣠⣿⣿⠟⠁
────────────

.

REYNMEN - ait Kullanıcı Resmi (Avatar)
Yeni Üye
Üyelik tarihi:
08/2017
Nereden:
127.0.0.1
Mesajlar:
366
Konular:
75
Teşekkür (Etti):
39
Teşekkür (Aldı):
81
Ticaret:
(0) %
31-01-2018 21:04
#7
Teşekkürler.

Alıntı:
ByKertenkele´isimli üyeden Alıntı Mesajı göster
Trojan virüs değilmi ?
Aynen hocam yanlışlık olmuş hemen düzelteyim

Son zamanlarda artarak çoğalan cryptolocker fidye virüslerinin genel konumları aşağıdadır.

Admin Yetkili Pc HKLM\Software\Microsoft\Windows\CurrentVersion\Run ya da \RunOnce

Data : C:\Windows\asdfasd.exe


Kısıtlı Pc HKCU\Software\Microsoft\Windows\CurrentVersion\Run ya da \RunOnce

Data : C:\ProgramData\asdfasd.exe
---------------------
Güvenlikte En Zayıf Halka İnsandır.
Konu M4K4R tarafından (06-02-2018 15:56 Saat 15:56 ) değiştirilmiştir.
iHaSaHi - ait Kullanıcı Resmi (Avatar)
Üye
Üyelik tarihi:
06/2017
Nereden:
Ğ‚¬ºÙ
Mesajlar:
1.493
Konular:
124
Teşekkür (Etti):
46
Teşekkür (Aldı):
219
Ticaret:
(0) %
31-01-2018 21:07
#8
Alıntı:
REYNMEN´isimli üyeden Alıntı Mesajı göster
Son zamanlarda artarak çoğalan cryptolocker fidye virüslerinin genel konumları aşağıdadır.

Admin Yetkili Pc HKLM\Software\Microsoft\Windows\CurrentVersion\Run ya da \RunOnce

Data : C:\Windows\asdfasd.exe


Kısıtlı Pc HKCU\Software\Microsoft\Windows\CurrentVersion\Run ya da \RunOnce

Data : C:\ProgramData\asdfasd.exe
Bu virüslerin amacı başlangıçta başlamaktır.Çoğunun bulunduğu yol %temp%'dür
---------------------
.
────────────

⠀⠀⢠⡤⢺⣿⣿⣿⣿⣿⣶⣄
⠀⠀⠉⠀⠘⠛⠉⣽⣿⣿⣿⣿⡇
⠀⠀⠀⠀⠀⠀⠀⢉⣿⣿⣿⣿⡗
⠀⢀⣀⡀⢀⣀⣤⣤⣽⣿⣼⣿⢇⡄
⠀⠀⠙⠗⢸⣿⠁⠈⠋⢨⣏⡉⣳
⠀⠀⠀⠀⢸⣿⡄⢠⣴⣿⣿⣿
⠀⠀⠀⠀⠉⣻⣿⣿⣿⣿⣿⡟⡀
⠀⠀⠀⠀⠐⠘⣿⣶⡿⠟⠁⣴⣿⣄
⠀⠀⠀⠀⠀⠘⠛⠉⣠⣴⣾⣿⣿⣿⡦
⠀⠀⢀⣴⣠⣄⠸⠿⣻⣿⣿⣿⣿⠏
⠀⣠⣿⣿⠟⠁
────────────

.

Erenester - ait Kullanıcı Resmi (Avatar)
Yeni Üye
Üyelik tarihi:
01/2018
Nereden:
Dünya
Yaş:
16
Mesajlar:
355
Konular:
38
Teşekkür (Etti):
20
Teşekkür (Aldı):
181
Ticaret:
(0) %
01-02-2018 15:00
#9
EMeğine SAğlk
--------------------- ░░░░░░░░░▄░░░░░░░░░░░░░░▄░
░░░░░░░░▌▒█░░░░░░░░░░░▄▀▒▌░░░
░░░░░░░░▌▒▒█░░░░░░░░▄▀▒▒▒▐░░░
░░░░░░░▐▄▀▒▒▀▀▀▀▄▄▄▀▒▒▒▒▒▐░░░
░░░░░▄▄▀▒░▒▒▒▒▒▒▒▒▒█▒▒▄█▒▐░░░
░░░▄▀▒▒▒░░░▒▒▒░░░▒▒▒▀██▀▒▌░░░
░░▐▒▒▒▄▄▒▒▒▒░░░▒▒▒▒▒▒▒▀▄▒▒▌░░
░░▌░░▌█▀▒▒▒▒▒▄▀█▄▒▒▒▒▒▒▒█▒▐░░
░▐░░░▒▒▒▒▒▒▒▒▌██▀▒▒░░░▒▒▒▀▄▌░
░▌░▒▄██▄▒▒▒▒▒▒▒▒▒░░░░░░▒▒▒▒▌░
▀▒▀▐▄█▄█▌▄░▀▒▒░░░░░░░░░░▒▒▒▐░

Bookmarks


« Önceki Konu | Sonraki Konu »
Seçenekler