İPUCU

Trojan ve Virüsler Trojan ve Virüsler Hakkında Bilgiler.

Seçenekler

Virüsler Başlangıç Sırasında Gizlendiği Yerler\\REYNMEN

31-01-2018 20:53
#1
REYNMEN - ait Kullanıcı Resmi (Avatar)
Üye
Üyelik tarihi:
08/2017
Nereden:
127.0.0.1
Mesajlar:
359
Teşekkür (Etti):
39
Teşekkür (Aldı):
74
Konular:
71
Ticaret:
(0) %
1) Başlangıç Klasörü:Windows, Başlat Menüsü’nün Başlangıç Klasörü’ndeki her öğeyi açmaktadır. Bu dosya, Başlat Menüsü’nün Programlar kısmındaki dikkati çeken bir klasördür.

Windows’un Başlangıç Klasörü’nde bulunan her programı çalıştırdığını söylemediğime dikkat edin. Windows buradaki her öğeyi açmaktadır. Burada önemli bir fark vardır.

Başlangıç Klasöründeki programlar tabii ki çalışacaktır. Ama Başlangıç Klasörü’nde kısayol olarak program değil de dökümanlar da bulundurabilirsiniz.

Örneğin, Eğer Başlangıç Klasörü’ne Microsoft Word belgesi koyarsanız, Word, bu dökümanı makineniz açıldıktan sonra otomatik olarak çalıştıracaktır. Eğer oraya bir Wav dosyası koyarsanız, audio yazılımınız otomatik olarak çalışacaktır ve eğer favori web sitenizi koyarsanız, Internet Explorer veya seçtiğiniz tarayıcı, bilgisayarınızı başlattığınızda otomatik olarak bu web sayfasını açacaktır.


2) Registry: Windows, registrydeki Çalıştır bölümünde bulunan tüm yönergeleri çalıştırır. Çalıştır bölümünde(ve aşağıda sıralanan diğer registry bölümlerinde) bulunan öğeler program veya başka programların açtığı herhangi bir dosya olabilir.

3) Registry: Windows, registrydeki “RunServices” bölümünde bulunan tüm yönergeleri çalıştırır.

4) Registry: Windows, registrydeki “RunOnce” bölümünde bulunan tüm yönergeleri çalıştırır.

5) Registry: Windows, registrydeki ” RunServicesOnce” bölümünde bulunan tüm yönergeleri çalıştırır.(Windows, programları çalıştırmak için 2 tane “RunOnce” bölümü kullanır.)

6) Registry: Windows, registrydeki HKEY_CLASSES_ROOT\\\\exefile\\\\shell\\\\open\\\\c ommand “%1″ %* bölümünde bulunan yönergeleri çalıştırır. Herhangi bir exe dosyası çalıştırılacağı zaman komutlar buraya yerleştirilir.

Diğer Olasılıklar:

[HKEY_CLASSES_ROOT\\\\exefile\\\\shell\\\\open\\\\c ommand] =”\\\\”%1\\\\” %*”

[HKEY_CLASSES_ROOT\\\\comfile\\\\shell\\\\open\\\\c ommand] =”\\\\”%1\\\\” %*”

[HKEY_CLASSES_ROOT\\\\batfile\\\\shell\\\\open\\\\c ommand] =”\\\\”%1\\\\” %*”

[HKEY_CLASSES_ROOT\\\\htafile\\\\Shell\\\\Open\\\\C ommand] =”\\\\”%1\\\\” %*”

[HKEY_CLASSES_ROOT\\\\piffile\\\\shell\\\\open\\\\c ommand] =”\\\\”%1\\\\” %*”

[HKEY_LOCAL_MACHINE\\\\Software\\\\CLASSES\\\\batfi le\\\\shell\\\\open\\\\command]
=”\\\\”%1\\\\” %*”

[HKEY_LOCAL_MACHINE\\\\Software\\\\CLASSES\\\\comfi le\\\\shell\\\\open\\\\command] =”\\\\”%1\\\\” %*”

[HKEY_LOCAL_MACHINE\\\\Software\\\\CLASSES\\\\exefi le\\\\shell\\\\open\\\\command] =”\\\\”%1\\\\” %*”

[HKEY_LOCAL_MACHINE\\\\Software\\\\CLASSES\\\\htafi le\\\\Shell\\\\Open\\\\Command] =”\\\\”%1\\\\” %*”

[HKEY_LOCAL_MACHINE\\\\Software\\\\CLASSES\\\\piffi le\\\\shell\\\\open\\\\command] =”\\\\”%1\\\\” %*”

Eğer anahtar, gösterildiği gibi “\\\\”%1\\\\” %*” değerine sahip değilse ve “\\\\”başkabirdosya.exe %1\\\\” %*” gibi farklılık gösteriyorsa, otomatik olarak o belirlenmiş dosyayı çağırıyordur.



7) Toplu Dosya: Windows, Windows dosyasında bulunan Winstart toplu dosyasındaki tüm yönergeleri çalıştırır.(Bu dosya neredeyse tüm Windows kullanıcıları ve birçok Windows uzmanı tarafından bilinemez ve sisteminizde de olmayabilir. Ama çok kolay bir şekilde oluşturabilirsiniz. Windows’un bazı versiyonlarında Windows klasörünün “WinNT” adıyla bulunduğunu unutmayalım.) Dosyanın tam ismi “WINSTART.BAT” dır.

8 ) Biçimlendirme Dosyası: Windows; Windows veya WinNT klasöründe bulunan WIN.INI dosyasındaki “RUN=” satırında bulunan tüm yönergeleri çalıştırır.

9) Biçimlendirme Dosyası: Windows; Windows veya WinNT klasöründe bulunan WIN.INI dosyasındaki “LOAD=” satırında bulunan tüm yönergeleri çalıştırır.

Windows aynı zamanda System.ini veya c:\\\\windows\\\\system.ini deki “shell=” satırında bulunan yönergeleri de çalıştırır.

[boot]
shell=explorer.exe C:\\\\windows\\\\dosyaismi

Windows her ne zaman başlar ise, explorer.exe yi takip eden dosya ismi de başlayacaktır.

Win.ini’de olduğu gibi, dosya isimleri birbirinden önce bulunabilir. Normal olarak dosyaların tüm yolu, bu girişte bulunacak. Eğer bulunmuyorsa Windows dizinini kontrol edin.


10) Yeniden Başlatma: Windows, bir uygulama yürütülürken o uygulamayı kapatırsa, yeniden o uygulamayı çalıştırır. Windows, Microsoft’a ait olmayan programlarda yeniden çalıştırma işlemini gerçekleştiremez. Ama Internet Explorer ve Windows Explorer ile bunu kolay bir şekilde yapacaktır. Eğer Internet Explorer’a sahipseniz; Windows’u sonlandırırken I.E’yi açın. Bilgisayarı yeniden başlattığınızda Windows, aynı sayfalarla Internet Explorer’ı yeniden açacaktır.(Eğer Windows makinenizde bu işlem gerçekleşmezse, bu özellik kapatılmış demektir. Microsoft Windows kullanıcı arayüz yönetim programı olan Tweak UI programını kullanın ve “Explorer Ayarlarını Hatırla” veya Windows versiyonunuzda nasıl isimlendirilmişse o özelliği aktif hale getirin.

11) Görev Zamanlayıcısı: Windows, Windows Görev Zamanlayıcısında(veya Görev Zamanlayıcısının yerine veya ona eklenen diğer Zamanlayıcılarda) bulunan autorun yönergeleri çalıştırır. Görev Zamanlayıcısı, ilk versiyon olan Windows 95 haricinde Windows’un tüm versiyonlarında resmi bir bölümdür ama eğer Windows 95’te Microsoft Plus Pack yüklüyse burada da bulunmaktadır.

12) İkincil Yönergeler: Windows başlarken çalışan programlar, birbirinden bağımsız olarak çalışan ayrı programlardır. Teknik olarak bunlar Windows’un çalıştırdığı programlar değillerdir; ama temel programların hemen ardından çalışan sıradan programlarla sıklıkla karıştırılmaktadırlar.


13) C:\\\\EXPLORER.EXE Metodu

C:\\\\Explorer.exe

Windows; ön yükleme yani açılış sırasında (genel olarak Windows dizininde bulunan) Explorer.exe’yi yükler. Ama eğer c:\\\\explorer.exe varsa, bu uygulama Windows explorer.exe yerine çalıştırılacaktır. Eğer c:\\\\explorer.exe bozuksa; kullanıcı, sisteminden dışarıda bırakılacaktır.

Eğer c:\\\\explorer.exe bir trojan ise, çalıştırılacaktır. Birbirinden farklı diğer autostart metodları, herhangi bir dosyaya veya registry değişikliklerine ihtiyaç duymayacaktır. Dosya basit bir şekilde yalnızca c:\\\\explorer.exe olarak isimlendirilmelidir.

14) İlave Metodlar

İlave autostart metodları. İlk ikisi Trojan SubSeven 2.2 tarafından kullanılmaktadır.

HKEY_LOCAL_MACHINE\\\\Software\\\\Microsoft\\\\Act ive Setup\\\\Installed Components HKEY_LOCAL_MACHINE\\\\Software\\\\Microsoft\\\\Win dows\\\\Currentversion\\\\explorer\\\\Usershell folders

Icq Inet

[HKEY_CURRENT_USER\\\\Software\\\\Mirabilis\\\\ICQ\ \\\Agent\\\\Apps\\\\test]

“Path”=”test.exe”
“Startup”=”c:\\\\\\\\test”
“Parameters”=”"
“Enable”=”Yes”

[HKEY_CURRENT_USER\\\\Software\\\\Mirabilis\\\\ICQ\ \\\Agent\\\\Apps\\\\]

Bu anahtar; eğer ICQNET herhangi bir internet bağlantısını saptarsa, tüm uygulamaların çalıştırılacağını belirler.

[HKEY_LOCAL_MACHINE\\\\Software\\\\CLASSES\\\\Shell Scrap] =”Scrap object” “NeverShowExt”=”"

Bu anahtar, dosyaların belirlenmiş uzantılarını değiştirir.


Saygılar.
Kullanıcı İmzası
Hayatın Adına
Bügün
Ne Yaptın?
Konu REYNMEN tarafından (31-01-2018 21:01 Saat 21:01 ) değiştirilmiştir.
cled Teşekkür etti.

31-01-2018 20:54
#2
Üyelik tarihi:
07/2017
Yaş:
98
Mesajlar:
1.170
Teşekkür (Etti):
105
Teşekkür (Aldı):
166
Konular:
290
Ticaret:
(0) %
Trojan virüs değilmi ?
Kullanıcı İmzası
𐰤𐰀 𐰢𐰆𐱃𐰞𐰆 𐱅𐰇𐰼𐰚𐰇𐰢 𐰓𐰃𐰘𐰀𐰤𐰀
𐰲𐰀𐰽𐰀𐰼𐰀𐱅𐰃𐰘𐰠𐰀 𐰖𐰀𐱁𐰀𐰢𐰀𐰖𐰀𐰣 𐰀𐰽𐰀𐰼𐰀𐱅𐰃𐰘𐰠𐰀 𐰇𐰠𐰇𐰼
𐱃𐰆𐰺𐰀𐰣 𐰀𐰠𐰠𐰀𐰼 𐰉𐰀𐰺 𐰆𐰞𐰽𐰆𐰣 𐰀𐰞𐰞𐰀𐰴 𐱅𐰇𐰼𐰚𐰀 𐰖𐰀𐰺 𐰆𐰞𐰽𐰆𐰣
31-01-2018 20:54
#3
BAMSIBEY - ait Kullanıcı Resmi (Avatar)
Üye
Üyelik tarihi:
03/2017
Nereden:
------
Mesajlar:
522
Teşekkür (Etti):
296
Teşekkür (Aldı):
61
Konular:
32
Ticaret:
(0) %
Eline sağık
Kullanıcı İmzası
.
.

YAPILAN HERŞEY YAKALANMADIĞIN SÜRECE YASALDIR
.
.
31-01-2018 20:55
#4
byproblack - ait Kullanıcı Resmi (Avatar)
Üye
Üyelik tarihi:
07/2017
Nereden:
-Bilinmiyor-
Mesajlar:
690
Teşekkür (Etti):
74
Teşekkür (Aldı):
80
Konular:
102
Ticaret:
(0) %
Eline sağlık dostm
Kullanıcı İmzası
--Peşinden gidecek cesaretin varsa, bütün hayaller gerçek olabilir…--

**CHE GUEVARA**
31-01-2018 20:58
#5
Mocean - ait Kullanıcı Resmi (Avatar)
Üye
Üyelik tarihi:
07/2016
Nereden:
Sarmatia
Yaş:
18
Mesajlar:
990
Teşekkür (Etti):
29
Teşekkür (Aldı):
99
Konular:
108
Ticaret:
(0) %
Alıntı:
ByKertenkele´isimli üyeden Alıntı Mesajı göster
Trojan virüs değilmi ?
evet, virüs kategorisinde fakat sanırım yanlış bir anlaşılma olmuş
Kullanıcı İmzası
The Master Algorithm
Ego primum tollo, nominor quoniam leo
31-01-2018 20:59
#6
iHaSaHi - ait Kullanıcı Resmi (Avatar)
Üye
Üyelik tarihi:
06/2017
Nereden:
Ğ‚¬ºÙ
Mesajlar:
1.491
Teşekkür (Etti):
47
Teşekkür (Aldı):
215
Konular:
122
Ticaret:
(0) %
Sağolun hocam işime yarar bu
Kullanıcı İmzası
.
────────────

⠀⠀⢠⡤⢺⣿⣿⣿⣿⣿⣶⣄
⠀⠀⠉⠀⠘⠛⠉⣽⣿⣿⣿⣿⡇
⠀⠀⠀⠀⠀⠀⠀⢉⣿⣿⣿⣿⡗
⠀⢀⣀⡀⢀⣀⣤⣤⣽⣿⣼⣿⢇⡄
⠀⠀⠙⠗⢸⣿⠁⠈⠋⢨⣏⡉⣳
⠀⠀⠀⠀⢸⣿⡄⢠⣴⣿⣿⣿
⠀⠀⠀⠀⠉⣻⣿⣿⣿⣿⣿⡟⡀
⠀⠀⠀⠀⠐⠘⣿⣶⡿⠟⠁⣴⣿⣄
⠀⠀⠀⠀⠀⠘⠛⠉⣠⣴⣾⣿⣿⣿⡦
⠀⠀⢀⣴⣠⣄⠸⠿⣻⣿⣿⣿⣿⠏
⠀⣠⣿⣿⠟⠁
────────────

.

31-01-2018 21:04
#7
REYNMEN - ait Kullanıcı Resmi (Avatar)
Üye
Üyelik tarihi:
08/2017
Nereden:
127.0.0.1
Mesajlar:
359
Teşekkür (Etti):
39
Teşekkür (Aldı):
74
Konular:
71
Ticaret:
(0) %
Teşekkürler.

Alıntı:
ByKertenkele´isimli üyeden Alıntı Mesajı göster
Trojan virüs değilmi ?
Aynen hocam yanlışlık olmuş hemen düzelteyim

Son zamanlarda artarak çoğalan cryptolocker fidye virüslerinin genel konumları aşağıdadır.

Admin Yetkili Pc HKLM\Software\Microsoft\Windows\CurrentVersion\Run ya da \RunOnce

Data : C:\Windows\asdfasd.exe


Kısıtlı Pc HKCU\Software\Microsoft\Windows\CurrentVersion\Run ya da \RunOnce

Data : C:\ProgramData\asdfasd.exe
Kullanıcı İmzası
Hayatın Adına
Bügün
Ne Yaptın?
Konu M4K4R tarafından (06-02-2018 15:56 Saat 15:56 ) değiştirilmiştir.
31-01-2018 21:07
#8
iHaSaHi - ait Kullanıcı Resmi (Avatar)
Üye
Üyelik tarihi:
06/2017
Nereden:
Ğ‚¬ºÙ
Mesajlar:
1.491
Teşekkür (Etti):
47
Teşekkür (Aldı):
215
Konular:
122
Ticaret:
(0) %
Alıntı:
REYNMEN´isimli üyeden Alıntı Mesajı göster
Son zamanlarda artarak çoğalan cryptolocker fidye virüslerinin genel konumları aşağıdadır.

Admin Yetkili Pc HKLM\Software\Microsoft\Windows\CurrentVersion\Run ya da \RunOnce

Data : C:\Windows\asdfasd.exe


Kısıtlı Pc HKCU\Software\Microsoft\Windows\CurrentVersion\Run ya da \RunOnce

Data : C:\ProgramData\asdfasd.exe
Bu virüslerin amacı başlangıçta başlamaktır.Çoğunun bulunduğu yol %temp%'dür
Kullanıcı İmzası
.
────────────

⠀⠀⢠⡤⢺⣿⣿⣿⣿⣿⣶⣄
⠀⠀⠉⠀⠘⠛⠉⣽⣿⣿⣿⣿⡇
⠀⠀⠀⠀⠀⠀⠀⢉⣿⣿⣿⣿⡗
⠀⢀⣀⡀⢀⣀⣤⣤⣽⣿⣼⣿⢇⡄
⠀⠀⠙⠗⢸⣿⠁⠈⠋⢨⣏⡉⣳
⠀⠀⠀⠀⢸⣿⡄⢠⣴⣿⣿⣿
⠀⠀⠀⠀⠉⣻⣿⣿⣿⣿⣿⡟⡀
⠀⠀⠀⠀⠐⠘⣿⣶⡿⠟⠁⣴⣿⣄
⠀⠀⠀⠀⠀⠘⠛⠉⣠⣴⣾⣿⣿⣿⡦
⠀⠀⢀⣴⣠⣄⠸⠿⣻⣿⣿⣿⣿⠏
⠀⣠⣿⣿⠟⠁
────────────

.

01-02-2018 15:00
#9
Erenester - ait Kullanıcı Resmi (Avatar)
Üye
Üyelik tarihi:
01/2018
Nereden:
Dünya
Yaş:
15
Mesajlar:
355
Teşekkür (Etti):
20
Teşekkür (Aldı):
186
Konular:
38
Ticaret:
(0) %
EMeğine SAğlk
Kullanıcı İmzası
░░░░░░░░░▄░░░░░░░░░░░░░░▄░
░░░░░░░░▌▒█░░░░░░░░░░░▄▀▒▌░░░
░░░░░░░░▌▒▒█░░░░░░░░▄▀▒▒▒▐░░░
░░░░░░░▐▄▀▒▒▀▀▀▀▄▄▄▀▒▒▒▒▒▐░░░
░░░░░▄▄▀▒░▒▒▒▒▒▒▒▒▒█▒▒▄█▒▐░░░
░░░▄▀▒▒▒░░░▒▒▒░░░▒▒▒▀██▀▒▌░░░
░░▐▒▒▒▄▄▒▒▒▒░░░▒▒▒▒▒▒▒▀▄▒▒▌░░
░░▌░░▌█▀▒▒▒▒▒▄▀█▄▒▒▒▒▒▒▒█▒▐░░
░▐░░░▒▒▒▒▒▒▒▒▌██▀▒▒░░░▒▒▒▀▄▌░
░▌░▒▄██▄▒▒▒▒▒▒▒▒▒░░░░░░▒▒▒▒▌░
▀▒▀▐▄█▄█▌▄░▀▒▒░░░░░░░░░░▒▒▒▐░

Bookmarks


« Önceki Konu | Sonraki Konu »
Seçenekler

Yetkileriniz
Sizin Yeni Konu Acma Yetkiniz var yok
You may not post replies
Sizin eklenti yükleme yetkiniz yok
You may not edit your posts

BB code is Açık
Smileler Açık
[IMG] Kodları Açık
HTML-Kodları Kapalı
Trackbacks are Kapalı
Pingbacks are Kapalı
Refbacks are Kapalı