Yazılım Merijn Bellekom adlı bir yazılım gelişitiricisi tarafından yazılmış, 2006 yılında Trend Micro firması tarafından satın alınmıştır. Yazılım, zararlı temizliğinde imza veritabanı kullanmadan sezgisel tespite dayalı bir yöntemle kullanılabilir. Çok hızlı bir tarama ile, zararlı bulaşmamış bir sistemden farklı olarak çalışan işlemlerin bir listesini çıkartır. Bu işlemlerin tamamı zararlı anlamına gelmez ve bilinçsiz kullanımda sisteme büyük zarar verebilir.
Hijackthis tarama sonucunda salt metin belgesinden oluşan bir liste çıkartır. Bu listede sistemde çalışan ve Hijackthis tarafından silinebilen işlemler bulunur. Hijackthis listelerini otomatik yorumlama siteleri vardır ancak ne yaptığını tam olarak bilmeyen kullanıcıların çevrimiçi yardım alabilecekleri bir ortamda, bir uzman eşliğinde temizleme yapmaları gereklidir.
HijackThis, gelişmiş bir araçtır. Bu aracı yorumlayabilmek için, genel olarak Windows işletim sistemleri hakkında temel düzeyde bilgi gerektirir HijackThis’e tarama yaptırmadan önce adını değiştirmek (Ör : Bilişimplatformu.exe) yararlı olabilir; Çünkü, HijackThis.exe adını görünce doğrudan saldıran ya da gizlenen kötücüller ( zararlılar ) vardır…
HijackThis, bir kötücül yazılımları arama-bulma-silme aracı değildir. Yani,aktif koruması devre dışı bırakılmış bir antivirüs bir antispyware değildir. Eğer, bu gözle bakarsak, yarar yerine zarar getirir. Şöyle ki; HijackThis, sisteminizdeki kötücül olmayan yazılımları olduğu gibi, kötücülleri de saptayan, onların yerlerini, kayıtlarını nerede ve nasıl çalıştıklarını gösteren ve boyutu, 1 MB bile olmayan küçücük bir yazılımdır… Evet, silme özelliği de vardır; “Sil” derseniz kötücül olmayanı da siler kötücülü de siler.
HijackThis bir “Kötücül Silme Aracı" değil, kötücülü saptama aracıdır; saptanan kötücülün – yazılımla veya elle silme eylemlerinden sonra- silinip silinmediğini denetleme aracıdır…
Hijackthis kullanımı sırasında çok çok dikkatli olmanız gerekmektedir. Yanlış kullanımı dahilinde sisteminizde kalıcı hasarlara yol açabilirsiniz.Kötü amaçlı yazılımlar tarafından bırakılan izleri tespit etmek için kullanılır. Bu sonuçları görüntüledikten sonra hangisin yararlı ya da hangisinin zararlı olduğunu tespit etmeniz bu uygulamayı daha önceden kullanmış olmanıza ve Windows Kayıt Defteri ile ilgili temel düzey bilgiye sahip olmanıza dayanır.
Sisteminizde kötücül yazılım sorunu varsa, öncelikle güncel güvenlik yazılımları ile sisteminizi taratmanız gerekmektedir. Eğer, sorununuz hala devam ediyorsa '' HijackThis Tr Kullanım Kılavuzu '' nu uygulayarak HijackThis TR Yardım (Kötücül Yazılım Temizliği) bölümüne konu açınız.
2. Giriş
Hijackthis kayıt defterini ya da bazı dizinleri Kötü amaçlı yazılımlar tarafından bırakılan izleri tespit etmek için kullanılır.Bu sonuçları görüntüledikten sonra hangisin yararlı ya da hangisinin zararlı olduğunu tespit etmeniz bu uygulamayı daha önceden kullanmış olmanıza ve Windows Kayıt Defteri ile ilgili temel düzey bilgiye sahip olmanıza dayanır. HijackThis ile dilerseniz kayıt defteri, bazı zararlı bilgileri, host dosyası bilgileri, sistem başlangıcı bilgileri vb. gibi bazı bilgilerin raporlarını almak mümkündür. Bu rapor sonuçlarının yorumlanması zor olabilir. HijackThis yazılımını bu sorunların çözümünde son derece dikkatlice kullanmak gerekir.
Burada, HijackThis yazılımının nasıl kullanılacağı, raporların nasıl alınacağı ve rapor bilgilerinin kısaca ne anlama geldiği konularında bilgilendirmelerde bulunulacaktır.
3. HijackThis nasıl kullanılır ?
Hijackthis direk çalıştırılabilir bir uygulama ya da bir kurulum dosyası olarak indirilebilmektedir. Tek başına çalıştırılabilir olan uygulamayı istediğinz lokasyona indiirp direk oradan çalıştırabilir ya da kurulum dosyasını indiirp, sisteme kurarsınız ve masaüstünden kısayollarından uygulamyı açabilirsiniz. Direk çalıştırılabilir dosyayı asla Geçici Dosya klasörüne indirmemeniz gerekir, hijackthis kullanımı sonrasında silmiş olduğunuz anahtarlar yedeklenmektedir ve bu anahtarlar %temp% altında bulunurlarsa silinebilirler. Kurulum dosyasını kullanıp hijackthis'i kullanmadan önce sisteminize kurmanız en uygun kullanım şeklidir.
Yazılımı aşağıdaki linklerden indirebilirsiniz. zararlı kaynaklı indirme sorunu yaşayabilirsiniz. Böyle bir durum oluştuğu anlaşıldığında özellikle
Bilişimplatformu.exe olan linktekini indirmelisiniz.
Bilişimplatformu.exe ( Hazırlanacak)
HijackThis.zip
HijackThis.exe
HijackThis.msi ( Kurulum gerektirir.)
HijackThis yazılımı ile aşağıdaki kılavuzları uygulayarak çeşitli rapor sonuçlarına ulaşabilirsiniz. Daha önce de belirttiğimiz gibi, sonuçları yorumlayıp bazı uygulamalar yapabilmek için iyi bir düzeyde windows ve sistem bilgisine gereksinim vardır. Bu birikime sahip olmadan yapılacak işlemler, sistem sorunlarına yolaçabilir.
HijackThis Raporu Göndermek Kullanım Kılavuzu
HijackThis ile Host File Dosyasının Çıktısını Almak
HijackThis ile Başlangıç Yazılımları Raporu Almak
HijackThis ile Program Ekle-Kaldır Menüsünün Çıktısını Almak
HijackThis ile Satır Fixlemek
HijackThis ile Fix'lenen Verilerin Geri Yüklenmesi
HijackThis ile ayrıca aşağıdaki işlemi de yapabiliriz.
Yeniden başlatırken sil aracı nasıl kullanılır? (How to use the Delete on Reboot tool )
Hijackthis ile gelen bu seçenekte silemediğiniz dosyaları daha yüklenmeden önceki halleriyle silebilirsiniz. Bu seçeneğe erişmek için Congfig> Misc Tools> Delete a file on reboot butonuna tıklayın ve silmek istediği bir dosyayı seçin.
4. HijackThis Satırlarındaki Kısaltmaların Anlamları
* R0, R1, R2, R3 - Internet Explorer Başlat/Arama sayfaları adresleri.
* F0, F1 - Otomatik Yüklenen Yazılımlar
* N1, N2, N3, N4 - Netscape / Mozilla Başlat / Arama sayfa adresleri.
* 01 - Hosts Dosyası Yönlendirme
* 02 - Browser Helper Objects (Tarayıcı Yardım Objeleri)
* 03 - Internet Explorer Toolbarları
* 04 - Registry 'den Otomatik Yüklenen Yazılımlar
* 05 - Denetim Masasındaki IE Seçenekleri İkonunun Görülmemesi
* 06 - IE Seçenekleri erişimi admin (yönetici) tarafından kısıtlı
* 07 - Regedit Erişimi Admin Tarafından kısıtlı
* 08 - IE Sağ Tuş Menüsü Bileşenleri
* 09 - IE Buton toolbarında ekstra butonlar veya IE Araçlar menüsünde ekstra bileşenler
* 010 - Winsock Hijacker
* 011 - IE Gelişmiş Seçenekler Penceresinde Ekstra Grup
* 012 - IE Pluginleri
* 013 - IE DefaultPrefix Hijack
* 014 - 'Web Seçeneklerini Sıfırla' Hijack
* 015 - Güvenilir Site ( Trusted zone ) Listesinde İstenmeyen Adres
* 016 - ActiveX Objeleri
* 017 - Lop.com Domain Hijackers
* 018 - Ekstra Protokoller ve Protokol Hijackerları
* 019 - Kullanıcı Stil Hijack
* 020 - AppInit_DLLs Registry Değeri (Otomatik Çalışan)
* 021 - ShellServiceObjectDelayLoad
* 022 - SharedTaskScheduler
* 023 - Windows NT Serviceleri
* 024 - ActiveX Desktop Components
Buradaki satırlarda tesbit ettiğimiz dikkat çeken bilgileri aşağıdaki adreslerden araştırabiliriz.
Bleeping Computer Startup Database
Answers that work
Greatis Startup Application Database
Pacman's Startup Programs List
Kephyr File Database
Wintasks Process Library
Ayrıca buradaki adreslerde araştırmalar yapabiliriz.
R0,R1,R2,R3 Satırları
Bu bölüm Internet Explorer başlangıç, ana sayfa ve adres bilgilerini gösterir.
R0 İnternet Explorers başlangıç sayfası ve arama yöneticisi içindir.
R1 İnternet Explorer'in Arama işlevleri ve diğer özellikleri.
R2 Henüz kullanılmamaktadır.
R3 Bir adres arama kanca içindir. Bir adres arama kancası, tarayıcının konum alanına bir adres yazdığınızda kullanılır, ancak adresini http:// veya ftp:// gibi bir protokol yoktur. Eğer böyle bir adres girdiğinizde, tarayıcı kendi doğru protokolü anlamaya çalışır, ve bunu yapmak için başarısız olursa, Girdiğiniz yerini bulmak için R3 satırında ipucunu bulabilirsiniz.
Bu satırlarda istenmeyen bir bilgi veya site gördüğümüzde öncelikle tarayıcıları varsayılan ayarlarına getirmek gerekir. Ayrıca SmitfraudFix güvenli mod'da kullanılabilir. Ayrıca bakınız.
Bazı Kayıt Anahtarları:
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page
HKCU\Software\Microsoft\Internet Explorer\Main: Start Page
HKLM\Software\Microsoft\Internet Explorer\Main: Default_Page_URL
HKCU\Software\Microsoft\Internet Explorer\Main: Default_Page_URL
HKLM\Software\Microsoft\Internet Explorer\Main: Search Page
HKCU\Software\Microsoft\Internet Explorer\Main: Search Page
HKCU\Software\Microsoft\Internet Explorer\SearchURL: (Default)
HKCU\Software\Microsoft\Internet Explorer\Main: Window Title
HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch
HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: ProxyOverride
HKCU\Software\Microsoft\Internet Connection Wizard: ShellNext
HKCU\Software\Microsoft\Internet Explorer\Main: Search Bar
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks
Örnek:
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com/
Aşağıdaki türden bilgi satırlarını rahatlıkla sildirebiliriz.
R3 - URLSearchHook: (no name) - {CFBFAE00-17A6-11D0-99CB-00C04FD64497}_ - (no file)
F0, F1 Satırları.
Bu bölümler, Windows ME. INI dosyaları, system.ini ve win.ini ve altında veya Windows NT tabanlı sürümleri için kayıt defteri -kayıt defteri- içindeki karşılıkları tarafından bilgisayar açılırken otomatik yüklenen programları belirtilir. Windows NT tabanlı sürümleri XP, 2000, 2003 , Vista ve Win7.
F0 sistem.ini dosyası içinde "Shell=" ile başlayan kısımları gösterir.Burada shell satırında farklı program yüklenerek casus programramlar maskelenebilir. "Shell=explorer.exe casusprogram.exe" gibi. Böylece istenmeyen programlar açılışta yüklenebilmektedir.
F1 satırı win.ini dosyasındaki load= veya run= satırında belirtilen dosyalardır. Bu programlar windows açılırken yüklenecektir
Dikkatimizi çeken bilgileri araştırıp bulmamız grekmektedir.
N1, N2, N3, N4 Satırları
Netscape / Mozilla Başlat / Arama sayfa adresleri.
Bu satırların artık bir önemi kalmamıştır.
01 Satırları
Hosts Dosyası Yönlendirme bilgilerini gösterir. Kullanıcı yönlendirme şikayeti var ise, host dosyalarının ele geçirilmiş olduğunu buradaki satırlarda görebiliriz.
Hosts dosyası, her işletim sistemi için aşağıdaki adreslerde varsayılan olarak saklanır.
Windows 3.1 C:\WINDOWS\HOSTS
Windows 95 C:\WINDOWS\HOSTS
Windows 98 C:\WINDOWS\HOSTS
Windows ME C:\WINDOWS\HOSTS
Windows XP C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS
Windows NT C:\WINNT\SYSTEM32\DRIVERS\ETC\HOSTS
Windows 2000 C:\WINNT\SYSTEM32\DRIVERS\ETC\HOSTS
Windows 2003 C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS
Hosts dosyasının konumu, Windows NT/2000/XP için aşağıdaki kayıt defteri anahtarını değiştirerek değiştirilebilir.
Kayıt Defteri Anahtarı: HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Services \ Tcpip \ Parameters \ DatabasePath
DDS ve OTL yazılım raporlarında yönlendirilmiş hosts bilgileri tesbit edilebilir. OTL ve ComboFix hosts komutları ile rahatlıkla problemleri çözebiliriz.
Yine HostsXpert yazılımı yardımı ile de varsayılan hosts dosyaları yüklenerek sorun çözülebilir. ( XP için )
Hosts dosyası içeriğinde bilmediğiniz bir sitenin ip'si tanımlıysa ya da oraya eklemediğiniz bir satır varsa silebilirsiniz.
02 Satırları
Bu satırlar, Browser Helper Objects'e (Tarayıcı Yardımcı Nesneleri) karşılık gelir. Bazı casus yazılımlar genelde buraya, yasal programlar kılığında yerleşebilirler. Bu satırları iyice araştırmak gerekir.
Kayıt defteri nahtarları:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Explorer \ Browser Helper Objects
Örnek bir satır:
O2 - BHO: NAV Yardımcısı - {BDF3E430-B101-42AD-A544-FADC6B084872} - C: \ Program Files \ Norton AntiVirus \ NavShExt.dll
Bu bölümde aşağıdaki örneklerde olduğu gibi tarayıcı yardım objelerini görebilirsiniz.
O2 - BHO: Yahoo! Companion BHO - {13F537F0-AF09-11d6-9029-0002B31F9E59} - C:\PROGRAM FILES\YAHOO!\COMPANION\YCOMP5_0_2_4.DLL
O2 - BHO: MediaLoads Enhanced - {85A702BA-EA8F-4B83-AA07-07A5186ACD7E} - C:\PROGRAM FILES\MEDIALOADS ENHANCED\ME1.DLL
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton Antivirus\NavShExt.dll
O2 - BHO: (no name) - {1A214F62-47A7-4CA3-9D00-95A3965A8B4A} -
C:\PROGRAM FILES\POPUP ELIMINATOR\AUTODISPLAY401.DLL (file missing)
Bu satırlarda, eğer bir zararlı tesbit etmişsek onları elle veya ilgili yazılım ve komutlar aracılığı ile önce temizlemeliyiz. Sonra da HijacktHis ile ilgili satırı fix'lemeliyiz.
Hijackthis ile silmeye çalıştığınız BHO eğer silenemiyorsa sisteminizi güvenli modda açıp silmeyi denemelisiniz. Zararlı BHO'lar Internet Explorer kapalıyken bile sisteminize müdahale edebilir.
03 Satırları
Bu bölüm Internet Explorer araç çubukları (toolbars) karşılık gelir. Bunlar Internet Explorer gezinti çubuğu ve menü altında araç çubuklarıdır.
Hijackthis ile silmiş olduğunuz bu girişlerin asıl uygulamaları sistemden silinmemektedir. Uygulamaları kaldırmak için sistemi güvenli modda açıp silmeniz gerekmektedir.
Aşağıdaki örneklerde görüldüğü gibi toolbar'ın adı ve harddisk üzerindeki yerini görürsünüz. O3 satırı bu bilgileri HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar registry anahtarından alır.
O3 - Toolbar: &Yahoo!
Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRAM
FILES\YAHOO!\COMPANION\YCOMP5_0_2_4.DLL
O3 - Toolbar: Popup Eliminator - {86BCA93E-457B-4054-AFB0-E428DA1563E1} -
C:\PROGRAM FILES\POPUP ELIMINATOR\PETOOLBAR401.DLL (file missing)
O3 - Toolbar: Norton Antivirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton Antivirus\NavShExt.dll
O3 - Toolbar: rzillcgthjx - {5996aaf3-5c08-44a9-ac12-1843fd03df0a} - C:\WINDOWS\APPLICATION DATA\CKSTPRLLNQUL.DLL
Şayet tanımadığınız bir toolbar var ise ne olduğunu "TonyK's BHO & Toolbar List" sayfasından bulabilirsiniz. Bu sayfada bulmak için parantez içinde yazılı olan class ID numaralarını kullanacaksınız. Daha önce belittiğim gibi bu sayfada "X" harfi spyware "L" harfi güvenli dosya anlamına gelir.
Şayet random karakterlerden oluşan dosya ve director ismi var ise büyük olasalıkla "Lop.com" bulaşmıştır. Bakınız: Lop.com - Enfeksiyon Veritabanı
04 Satırları
Bu bölümde, bazı kayıt defteri anahtarları ve Windows başladığında otomatik olarak bir uygulamayı başlatmak için kullanılan başlangıç klasörlerine karşılık gelir. 04 satırında görülen bilgiler, kullandığımız bazı yazılımlara ait HJT girdileridir.Bu nedenle özellikle dikkatli olunmalıdır.O4 kayıt defteri anahtarlarını ve dizin yerleri aşağıda listelenmiştir ve tüm Windows sürümleri için geçerlidir.
Kullanıcının Başlangıç Klasörü:
Başlat Menüsü Başlangıç klasöründe bulunan tüm dosyalar listelenir. Bu konum, Windows'un yeni sürümleri için;
C: \ Documents and Settings \ Kullanıcı Adı \ Start Menu \ Programlar \ Başlangıç
C: \ Kullanıcı \ USERNAME \ Vista.
Bu girdiler, belirli bir kullanıcı bilgisayarda oturum açtığında yürütülür.
Tüm Kullanıcılar Başlangıç Klasörü:
Tüm Kullanıcılar profilinde Başlat Menüsü başlangıç klasörü olan ve O4 olarak sıralanabilir
C:\ Documents and Settings \ All Users \ Start Menu \ Programlar \ Başlangıç
veya C altında: Bu konum, Windows'un yeni sürümleri için
C:\ Kullanıcı \ All Users \ Vista.
C:\ Kullanıcı \ All Users \ Win7
Bu girdiler, herhangi bir kullanıcı bilgisayarda oturum açtığında yürütülür.
Run anahtarları:
Bir kullanıcı, ya da tüm kullanıcılar, makineyi açtığında otomatik olarak bir programı başlatmak için kullanılır.
HKLM \ Software \ Microsoft \ Windows \ CurrentVersion \ Run
HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Run
RunOnce anahtarları:
Bir kullanıcı, ya da tüm kullanıcılar bilgisayarda oturum açtığında bir hizmet ya da arka plan işlemi başlatmak için kullanılır. Program başarılı bir şekilde sonraki oturumlarda tekrar çalıştırmamak için kayıt silinecektir.
HKLM \ Software \ Microsoft \ Windows \ CurrentVersion \ RunOnce
HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ RunOnce
RunServices anahtarları:
Bir kullanıcı, ya da tüm kullanıcılar bilgisayarda oturum açtığında bir hizmet veya arka plan sürecini başlatmak için kullanılır.
HKLM \ Software \ Microsoft \ Windows \ CurrentVersion \ RunServices
HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ RunServices
RunServicesOnce anahtarları:
Bir kullanıcı, ya da tüm kullanıcılar bilgisayarda oturum açtığında bir hizmet ya da arka plan işlemi başlatmak için kullanılır. Sonraki oturumlarda tekrar çalıştırmak değil, RunServicesOnce anahtar bir program başlattıktan sonraki açılış oturumlarında tekrar çalıtırma ihtiyacı duymaz. RunServices anahtarlarından kayıt silinecektir.
HKLM \ Software \ Microsoft \ Windows \ CurrentVersion \ RunServicesOnce
HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ RunServicesOnce
RunOnceEx anahtarları:
Bir kez program başlatmak ve sonra kayıt defteri girdisini kaldırmak için kullanılır. Bu özel anahtarı tipik olarak yükleme veya güncelleme programları tarafından kullanılır.
HKLM \ Software \ Microsoft \ Windows \ CurrentVersion \ RunOnceEx
Policies\Explorer\Run anahtarları:
Bu anahtarlar bir ağ yöneticisinin oturum açan kullanıcıların sistemine otomatik bir şekilde program yüklenmesi amacıyla oluşturulmuş group policy'ler ayarları için kullanılır.
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
Örnek satır:
04 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - Global Startup: Adobe Reader Speed Launch.lnk = D:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - HKLM\..\Policies\Explorer\Run: [user32.dll] C:\Program Files\Video ActiveX Access\iesmn.exe
O4 - S-1-5-21-1222272861-2000431354-1005 Startup: numlock.vbs (User Admin)
O4 - HKUS\S-1-5-21-1229272821-2000478354--1005\..\Run: [Windows
Defender] "C:\Program Files\Windows Defender\MSASCui.exe" -hide (User
Admin)
Yukarıda gördüğünüz 5 farklı giriş bulunmaktadır. Bunlardan 2'si arka planda oturum açmış kullanıcılar içindir. Eğer bir girişin başında uzun sayılardan oluşan bir küme varsa ev sonunda da parantez içinde bir kullanıcı ismi yazıyorsa o giriş o an oturum açmış kullanıcı için geçerlidir.
04 - HKLM\..\Run: [nwiz] nwiz.exe /install: Bu kayıt oturum açmış bir kullanıcıya ait HKLM\Software\Microsoft\Windows\CurrentVersion\Run altında yer alan bir başlangıç'a cevap verir. Kaydın adı nwiz'dir ve başladığından nwiz.exe /install komutunu çalıştıracaktır.
O4 - Global Startup: Adobe Reader Speed Launch.lnk = D:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe: Bu giriş C:\Documents and Settings\All Users\Start Menu\Programs\Startup lokasyonunda bulunan tüm kullanıcıların başlangıç dosyasına cevap vermektedir.
O4 - HKLM\..\Policies\Explorer\Run: [user32.dll] C:\Program Files\Video ActiveX Access\iesmn.exe: Bu giriş HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run lokasyonu altında yer alan bir değere cevap vermektedir. Değerin adı user32.dll'dir ve C:\Program Files\Video ActiveX Access\iesmn.exe lokasyonunda bulunmaktadır. Bu örnekte kötü amaçlı yazılıma işaret eder.
O4 - S-1-5-21-1222272861-2000431354-1005 Startup: numlock.vbs (User Admin): Bu giriş diğerlerinden biraz daha farklıdır. Başında sayılardan oluşan uzun bir giriş vardır ve sonunda hangi kullanıcıya ait olduğu yazar. Girişin başındaki numaralar SID'dir. SID yani security identifier her bir kullanıcı için benzersiz olarak tanımlanan numaralardır. SID numarası girişin sonundaki ismi çevirir, ve girişinin içinde yer alan diğer verileri ise yine girişin başlangıç klasöründen numlock.vbs dosyasını çalıştıracağını ifade eder.
O4 - HKUS\S-1-5-21-1222272861-2000431354-1005\..\Run: [Windows Defender] "C:\Program Files\Windows Defender\MSASCui.exe" -hide (User Admin): Bu giriş bir öncekine göre biraz daha farklıdır. Bu giriş direk olarak Admin kullanıcısına aittir.
O4 girişleriyle ilgili olarak bilinmesi gereken önemli bir nokta vardır. Hijackthis ile bu girişleri kaldırdığınızda sadece girişleri silmiş olursunuz. Bu girişlerin işaret ettiği dosyalarıda sistemi güvenli modda başlatıp elle silmeniz gerekmektedir.
05 Satırları
Bu satırlar denetim masasında yer alan Internet Explorer seçeneklerine cevap vermektedir.
Denetim masasında yer alan bir seçeneğin görünmemesi için C:\Windows\lokasyonu altında control.ini dosyasının içerisine giriş eklemeniz yeterlidir.
Örnek liste:
O5 - control.ini: inetcpl.cpl=no
06 Satırları
Bu satırlar Internet Explorer seçenekleri içerisinde bulunan bazı ayarların Yönetici tarafından devre dışı bırakılmış olmasını sağlayan anahtarlara cevap verir.
Kayıt anahtarı:
HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions
Örnek liste:
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions
07 Satırları
Bu satırlar kayıt defteri içerisinde yer alan bir ayarın kayıt defterinin kitlenmesine ve çalıştırılamamasına sebep olacak bir değerine cevap verir.
Kayıt anahtarı:
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System
Örnek liste:
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System: DisableRegedit=1
08 Satırları
Bu satırlar Internet Explorer içerisinde yer alan içerik menüsünde sonradak eklenmiş ayarlara cevap verir.
Kayıt anahtarı:
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MenuExt
Örnek liste:
O8 - Extra context menu item: &Google Search - res://c:\windows\GoogleToolbar1.dll/cmsearch.html
09 Satırları
Bu satırlar Internet Explorer ile varsayılan olarak gelmeyen, araç çubuğuna eklenen eklentilere cevap verir.
Kayıt anahtarı:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions registry key.
Örnek liste:
O9 - Extra Button: AIM (HKLM)
010 Satırları
Bu satırlar, LSP (Layered Service Provider) olarakta bilinen Winsock saldırılarına cevap verir.
Örnek liste:
O10 - Broken Internet access because of LSP provider 'spsublsp.dll' missing
011 Satırları
Bu satırlar Interenet Explorer seçeneklerinde bulunan gelişmiş IE seçenekleri tabına sonrada eklenmiş olan yani varsayılan olarak gelmeyen bir gruba cevap verir.
Kayıt anahtarı:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\AdvancedOptions
Örnek liste:
O11 - Options group: [CommonName] CommonName
012 Satırları
Bu satırlar Internet Explorer eklentilerine cevap verir.
Kayıt anahtarı:
HKEY_LOCAL_MACHINE\software\microsoft\internet explorer\plugins
Örnek liste:
Plugin for .PDF:
C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll
013 Satırları
Bu bölge saldırıya uğramış IE DefaultPrefix'e cevap verir.
Default Prefix, Windows'da http://, ftp:// başlıklarını kullanmadan URL'ları girdiğinizde sistemin nasıl tepki vereceğini belirleyen bir ayardır. Varsayılan olarak Windows http:// ekler. Varsayılan prefix'i tercihinize göre değiştirmek mümkündür. Sisteminizde bu bölgeyle ilgili bir saldırı doğrultusunda varsayılan prefix'in http://ehttp.cc/? olarak değiştirildiğini düşünürsek, http://www.bing.com adresini ziyaret etmeye kalktığınızda http://ehttp.cc/?www.bing.com adresine yönlendirileceksinizdir.
Kayıt anahtarı:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\URL\DefaultPrefix\
Örnek liste:
O13 - WWW. Prefix: http://ehttp.cc/?
014 Satırları
Bu satırlar "Internet ayarlarını sıfırla" saldırısına ait bilgilendirmelerde bulunur.
Sisteminizde, Internet Explorer'ın varsayılan ayarlarına dönebilmesi için kullandığı bir dosya bulunmaktadır. O dosya C:\Windows\inf\iereset.inf lokasyonunda tutulmaktadır ve içerisinde kullanılan tüm varsayılan ayarlar mevcuttur. Bir ayarı değiştirdiğinizde, dosya'nın içerisinde o ayarı gösteren satır kontrol edilir ve ayar değiştirilir. Eğer o saldırıya uğramışsa, Internet Explorer'ı varsayılan ayarlarına çektiğinizde, Internet Explorer bozulmuş iereset.inf'e bakacağı için, problemlerle karşılaşmaya devam edeceksiniz.
Örnek satır:
O14 - IERESET.INF: START_PAGE_URL=http://www.searchalot.com
015 Satırları
Bu satırlar Interenet Explorer'da yer alan Güvenli bölgelerin ip adreslerine ve Protokol varsayılanlarına karşılık gelir.
Güvenli Bölge: Internet Explorer'ın güvenliği bir takım bölgeler üzerine inşa edilmiştir. Her bir bölgenin kendine ait güvenlik koşulları vardır ve bu koşullara göre hangi bölgede, hangi kodların çalıştırılacağı, hangi uygulamaların yürütülebileceği belirlenmiştir. Bu bölgeler arasında Güvenli Bölge diye bir bölge bulunmaktadır. Bu bölge en düşük güvenlik kısıtlamalarına sahiptir ve erişilen sitelerden kod ve uygulamaların, kullanıcının bilgisi olmadan yürütülmesine izin verilir. Saldırganların bu bölgeyi çok sık kullandığı bilinmektedir.
Kayıt anahtarları:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges
Örnek satırlar:
O15 - Trusted Zone: http://www.msattack.com
O15 - Trusted IP range: 188.132.129.15
O15 - Trusted IP range: 188.132.129.15 (HKLM)
Protokol Varsayılanları:
My Computer = 0
Intranet = 1
Trusted = 2
Internet = 3
Restricted = 4
Bir site'ye bağlandığınızda http, ftp, https gibi protokollerin her biri aşağıda belirtilen bölgelerle eşleştirilir.
HTTP = 3
HTTPS = 3
FTP = 3
@ivt = 1
shell = 1
Eğer bir siteye http:// protokolünü kullanarak bağlanırsanız varsayılan olarak Internet bölgesinin bir parçası olur. Bunun sebebiyse http için varsayılan bölgenin Internet bölgesine cevap vermesindendir. Problemler ortaya çıkması, saldırı durumunda bu bölgelerin varsayılanlarının değiştirilmesiyle alakalıdır. Örneğin eğer zararlı bir yazılım Http protokolünü 2'ye çevirirse, http kullanarak ziyaret ettiğiniz tüm siteler Güvenli bölgenin bir parçası olacaktır.
Kayıt anahtarları:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\ProtocolDefaults
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\ProtocolDefaults
Örneksatır:
O15 - ProtocolDefaults: 'http' protocol is in Trusted Zone, should be Internet Zone (HKLM)
016 Satırları
Bu bölge ActiveX objelerine yani bilinen diğer adıyla Downloaded Program Files'a ait bilgiler verir.
ActiveX objeleri ziyaret ettiğiniz web sitelerinden bilgisayarınıza indirilen programlardır. Interenet Explorer açıldığında bu programlar eksktra fonksiyonellik katmak adına başlatılırlar. Bu objeler C:\Windows\Downloaded Program Files klasörü altında depolanırlar.
Kayıt anahtarları:
HEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\
Örnek satır:
O16 - DPF: {11260943-421B-11D0-8EAC-0000C07D88CF} (iPix ActiveX Control) - http://www.ipix.com/download/ipixx.cab
017 Satırları
Bu bölge Lop.com domain saldırılarına cevap verir.
Bir siteyi ziyaret ederken Ip yerine http://www.msattack.com gibi bir host ismi kullanırız. Sisteminiz bu host ismini çözümlemek için bir Dns sunucu'ya danışır. Burada karşılaşılan saldırılarda, sistemden yapılacak olan sorguların saldırganın dns sunucusuna yönlendirilmesi durumunda saldırgan tarafından belirlenen lokasyona yönlendirilir.
Örnek satır:
017 - HKLM\System\CS1\Services\VxD\MSTCP: NameServer = 69.57.146.14,69.57.147.175
018 Satırı
Bu satırlar, ekstra protokollere ve protokol saldırıları hakkında bilgi verir.
Saldırganlar; kullanıcıların sıklıkla kullandığı standart protokol sürücülerini kendi geliştirdiklerikleriyle değiştirirler. Bu sayede sistemin bilgi alış verişini denetim altında tutmuş olurlar.
Kayıt anahtarları:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Handler
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Filter
Örnek satır:
O18 - Protocol: relatedlinks - {5AB65DD4-01FB-44D5-9537-3767AB80F790} - C:\PROGRA~1\COMMON~1\MSIETS\msielink.dll
019 Satırı
Bu satır User Style Sheet saldırılarına cevap vermektedir.
Sytle Sheet; html tabanlı bir sayfa için renkleri, fontları ve sayfa yapısı tutan bir taslaktır. Sytle sheet saldırıları genelde varsayılan taslağın yeni kötü amaçla kullanılmak üzere tasarlanmış sistemle olur.
Kayıt anahtarı:
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Styles\: User Stylesheets
020 Satırı
Bu satırlar AppInit_DLLs kayıt değerlerinden yüklenen Winlogon Notify alt anahtarlarına karşılık gelir..
User32.dll yüklendiğinde AppInit_DLLs kaydı içerisinde yüklenmesi gereken bir takım dll'lerin listesi bulunmaktadır. Çoğu uygulamalar user32.dll'i kullandıkları için AppInit_DLLs listesinde yer alan tüm dll'lerde yüklenir. Birçok işlemle aynı anda kullanılan bazı dll'leri devre dışı bırakmak bu yüzden çok zordur. User32.dll dosyası bir kullanıcı oturum açtığı sırada sistemle birlikte otomatik bir şekilde açılan uygulamalar tarafındanda kullanılmaktadır.
Kayıt anahtarı:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\\AppInit_DLLs
Örnek satır:
O20 - AppInit_DLLs: C:\WINDOWS\System32\winifhi.dll
Winlogon Notify
Winlogon Notify anahtarı genelde Look2ME saldırılarında kullanılmakatdır.
Kayıt anahtarları:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify
Örnek satır:
O20 - Winlogon Notify: Extensions - C:\WINDOWS\system32\i042laho1d4c.dll
021 Satırı
Bu bölge ShellServiceObjectDelayLoad kayıt anahtarından yüklenen dosyalara ait bilgileri gösterir.
Örnek satır
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = C:\WINDOWS\secure.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = C:\WINDOWS\secure.html
O21 - SSODL: System - {3CE8EED5-112D-4E37-B671-74326D12971E} - C:\WINDOWS\system32\system32.dll
Kayıt anahtarı:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
022 Satırı
Bu satır SharedTaskScheduler kayıt değerine cevap verir.
Kayıt anahtarı:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler
Örnek satır
O22 - SharedTaskScheduler: (no name) - {3F143C3A-1457-6CCA-03A7-7AA23B61E40F} - c:\windows\system32\mtwirl32.dll
023 Satırı
Bu satırlar XP, Nt, 2003 ve 2003 servislerine yanıt vermektedir.
Legimate servis satırı:
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
Home Search Assistant satırı:
O23 - Service: Workstation NetLogon Service - Unknown - C:\WINDOWS\system32\crxu.exe
Bargain Buddy satırı:
O23 - Service: ZESOFT - Unknown - C:\WINDOWS\zeta.exe
O23 - Service: ISEXEng - Unknown - C:\WINDOWS\System32\angelex.exe
Bir O23 girişini hijackthis ile sildiğinizde, servis devre dışı bırakılır, durdurulur ve sistemin yeniden başlatılması için kullanıcı uyarılır. Kayıt defteri altından servis silinmez. Servisin silinmesi için ismini bilmeniz gerekmektedir. HKLM> System> CurrentControlSet> Services altından elle silmeniz mümkündür. Eğer kayıt defteri içinden silemezseniz komut satırından sc delete servicename komutuyla silme denenebilir..
024 Satırı
Bu satırlar, Windows Aktive Desktop bileşenlerine cevap verir.
Aktive Desktop bileşenleri yerel olarak ya da uzaktan bağlantı kurularak masaüstünüze arka plan resmi olarak gömülen html dosyalarıdır.
Kayıt anahtarları:
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components
Her bir bileşen, spesifik olarak 0 ile başlayan anahtarın altında sıralanır.
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0\
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\1\
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\2\
Örnek satır:
24 - Desktop Component 0: (Security) - %windir%\index.html
O24 - Desktop Component 1: (no name) - %Windir%\warnhp.html
Hiç yorum yok:
Yorum Gönder