| Trojan
Nedir?
Trojan (Truva atı); iki kısımdan olusan ve
bilgisayarları uzaktan kumanda etme amaçıyla yazılmış programlardır.Bu
program sayesinde windows kullanmaya yeni baslayan bir insan bile bilgisayarınızda
bir cok yetkiye sahip olabilir.(Bilgisayranızı formatlamak,accountunuzu
calmak...vs ).Bu tip programlar genelde kendini hacker sanan insanlar tarafından
kullanılıyor ancak gercek hacker olupta bu trojanları kullanan insanlarda var
fakat bu noktada olayın boyutu biraz degisiyor ornegin hackerlar internetteki
trojan bulasmıs tum bilgisayarları (online olan) kullanarak buyuk sitelere D.O.S
attack yapıyorlar boylece bu sitelere erisimi uzun bir sure engelleyerek
siteleri buyuk zarara sokuyorlar. Bu programların birinci kısmı uzaktaki
bilgisayarı kontrol etmeye yararken diger kısmı ise uzaktan yonetilecek
bilgisayarla kontrol kısmı arasında bağlantı kurmasını saglayacak açıklık
yaratır.Yani bizim problemimiz trojan programının bilgisayarımızda acık port
bırakan kısmıyla ilgili olacak ve bunu nasıl egarte edecegimizi bu yazımızda
isleyeceğiz.
Trojanların Bilgisayarımıza Bulasmasını Engellemek:
Oncelikle hiç bir
trojan siz izin vermediginiz takdirde sizin bilgisayarınızda çalışmaz yani
sizin tanımadıgınız kisilerden gelen hic bir dosyayı almayin boylece
trojanlardan kurtulmus olursunuz.Fakat genelde trojan programları istenilen
herhangi bir programın icerisine bulastırılabildigi icin siz farkında olmadan
herhengi bir yerden yuklediginiz program icinde bilgisayarınıza trojan almış
olabilirsiniz bunu engellemenin en iyi yolu antivirus programları kullanmaktan
geciyor.Ornegin AVP programıyla bilgisayarınıza bulasan hem virusleri hemde
trojanları engelleyebilirsiniz. Ozet olarak tanımadıgınız
kisilerden (genlde irc ortamında ) herhengi bir dosya almayarak (ozellikle sonu ve
.ini ve .exe olarak biten dosyaları) vede kaliteli bir antivirus programı ve
firewall programı kurarak trojan tehlikesini buyuk olcude atlasmıs olursunuz.
NOT: Antivirus programları genelde yeni cıkan trojan ve
virusleri
tanımazlar.Bu yuzden kurdugunuz antivirus programını web sayfasına duzenli
olarak ziyaret edip programınızı update etmeyi unutmayın.
Bilgisayarda Trojan olup olmadıgını nasıl anlarız:
Bunu anlamanın bir cok yolu var ornegin:
Bilgisayarmızda Kontrolumuz Dısında Calısmalar Oluyorsa: Internetteyken siz
herhangi bir islem yapmamanıza ragmen bilgisayarınız bir seyler yuklemeye
devam ediyor ,cd kapagınız acılıp kapanıyor , mouseunuzun isteginizin
dısında hareket ediyor ,ekranınıza resim veya yazılar geliyorsa ..yani
bilgisayrınızda sizin kontrolunuz dısında herhangi bir olay gerveklesiyorsa
bilgisayranızda trojan vardır diyebiliriz ama yinede bu kesindir diye bir
yargı verilemez
Anti Trojan Programı kullanmak: Bir anti trojan programıyla bilgisayarınızı
scan ederek bilgisayarımızdaki trojanları bulabiliriz ancak genelde yeni
cıkan trojanlar genelde bu tip programlarla bulunamıyor bu yuzden surekli
olarak programı resmi web sayfasından update etmekte yarar var.
Bilgisayarımızda baslat (start) tusundan programlar (programs) ordanda
baslangıc (startup) tusuna bastıgımız zaman bilgisayarımızın acılısıyla
birlikte calısan programları goruruz eger burda bizim kurmadıgımız herhangi
ibr program varsa bu program bir trojan olabilir.
Diger ve en kesin yontemlerden birisi ise dos moduna dusup komut satırında
ntstat -a yazmaktır bu komut sizin bilgisayarınız internette kimlerle hangi
porta baglı oldugunu gosterir eger bu program bilgisayarınızda calısmıyorsa
herhangi bir problem yok eger ornegin 0.0.0.0:12345 gibi bir sonuc veriyorsa
bilgisayarınızda netbus isimli bir trojan vardır.Bunu nerden anladın
diyorsanız trojanlar bilgisayarımıza baglanmak icin bilgisayarımızda ki
portları kullanırlar trojanlar arasından netbus ise bilgisayraımıza
baglanmak icin 12345 portunu kullanır
Bilgisayara Bulasmıs Trojanı Temizlemek:
Bilgisayarımıza bulasmis trojanı ik farklı yontemle temizleyebilriz :
1. TrojanCleaner Programı kullanarak bir cok trojanu bilgisayarımızdan
temizleyebiliriz.Programı
kullanımı cok basit biraz karıstırmayla kolayca kullanabilirisiniz
2.Yontem ise trojanları elle silmek diye tabir edebilicegimiz bir yontem bu
yontemde trojanın eger biz bilgisayraımızdaki ismini ve regeditteki yerini
biliyorsak kolayca ortadan kaldırabiliriz.Simdi bunu nasıl yapacagımızı ve
yaparken nelere dikkat edecegimizi adım adım gorelim:
Trojan temizliğine başlamadan önce, PC'nizdeki gizli ve sistem
dosyalarınızın tümünü görünür hale getirin.Bunun için Windows Gezgini'nde
Görünüm Klasör seçenekleri (View Folder Options) menüsüne tıklayın;
açılan
pencerenin Görünüm (View) sekmesinde "Tüm Dosyaları Göster" (Show
All
Filles) kutucuğunun işaretli olduğuna emin olun.Ayrıca altındaki "Bilinen
Dosya Türlerinin Uzantılarını Gizle" kutucuğunun işaretini kaldırmanız
da
yararınıza olacaktır.
Bazı trojan'ların açıklamalarında aynı ada ve farklı dizine sahip birden
fazla dosyanın silinmesi gerektiği yazmaktadır.Eğer söz konusu dosya
dizinlerden sadece birinde varsa, onu silmeniz de yeterli olacaktır.
Unutmayın ki, trojanların isimlerini ve diğer bilgilerini değiştirmek pek
zor değildir.Burada verdiklerimiz, taşıdıkları orjinal özelliklerdir.Adı
değiştirilmiş bir trojan dosyasının yerini belirlemek biraz daha
problemlidir; bu sorunun çözümüne örnek olarak NetBus ve SubSeven trojanını
inceleyebilirsiniz.
Dosya veya Registry değeri silme işlemleri sırasında çok dikkatli
olun.Özellikle Registry, Windows için hayati önem taşır.Yanlış bir şey
silmeniz sisteminizde aksıklıklara yol açabilir.
TEMİZLİK ZAMANI
ACID SHIVERS
Port Numarası: 10520
Dosya Adı: "msgsvr16.exe"
Boyutu: 186 kb
Dizini: C:\Windows
1. Registry'nizdeki
HKEY_LOKAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
"Explorer | msgsvr16.exe" kaydını sil.
2. Registry'nizdeki
HKEY_LOKAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
"Explorervmsgsvr16.exe" kaydını sil
3. PC'nizi MS-DOS kipinde başlatın.
4. C:\Windows\msgsvr16.exe" dosyasını silin.
5. PC'nizi yeniden başlatın.
BACK ORIFICE
Port Numarası: 31337
Dosya Adı: ".exe"
Boyutu: 126 kb
Dizini: C:\Windows\system
1. Registry'nizdeki
HKEY_LOKAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
".exe" kaydını silin
2. PC'nizi yeniden başlatın.
3. Windows Explorer'ı başlatın.Görünüm Klasör Seçenekleri menüsündeki
Görünüm sekmesini açın ve Gizli Dosyalar bölümünde "Tüm Dosyaları
Göster"
seçeneğinin işaretli olduğundan emin olun.
4. "C:\Windows\System\.exe" dosyasını silin.
5. PC'nizi yeniden başlatın.
BACKDOOR
Port Numarası: 1999
Dosya Adı: "icqnuke.exe"
Boyutu: 102 Kb
Dizini: C:\Windows, C:\Windows\system
1. Registry'nizdeki
HKEY_LOKAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
"icqnuke.exe." kaydını silin
2. PC'nizi MS-DOS kipinde başlatın.
3. "C:\Windows\icqnuke.exe" ve "C:\Windows\System\icqnuke.exe"
dosyalarını
silin.
4. PC'nizi yeniden başlatın.
BIG GLUCK
Port Numarası: 34324
Dosya Adı: "bg10.exe"
Boyutu: 100 Kb
Dizini: C:\Windows, C:\Windows\system
1. Registry'nizdeki
HKEY_LOKAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
"bg10.exe." kaydını silin.
2. PC'nizi MS-DOS kipinde başlatın.
3. "C:\Windows\bg10.exe" ve "C:\Windows\System\bg10.exe" dosyalarını
silin.
4. PC'nizi yeniden başlatın.
BRADE RUNNER
Port Numarası: 21,5400,5401,5402
Dosya Adı: "server.exe"
Boyutu: 323 Kb
Dizini: C:\Windows, C:\Windows\system
1. Registry'nizdeki
HKEY_LOKAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
"server.exe." kaydını silin.
2. PC'nizi MS-DOS kipinde başlatın.
3. "C:\Windows\server.exe" ve "C:\Windows\System\server.exe"
dosyalarını
silin.
4. PC'nizi yeniden başlatın.
BUGS
Port Numarası: 2115
Dosya Adı: "bugs.exe"
Boyutu: 78 Kb
Dizini: C:\Windows, C:\Windows\system
1. Registry'nizdeki
HKEY_LOKAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
"bugs.exe."
kaydını silin.
2. PC'nizi MS-DOS kipinde başlatın.
3. "C:\Windows\bugs.exe" ve "C:\Windows\System\bugs.exe" dosyalarını
silin.
4. PC'nizi yeniden başlatın.
DEEP BACK ORIFICE
Port Numarası: 31338
Dosya Adı: ".exe"
Boyutu: 122 Kb
Dizini: C:\Windows\system
1. Registry'nizdeki
HKEY_LOKAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
".exe" kaydını silin
2. PC'nizi yeniden başlatın.
3. Windows Explorer'ı başlatın.Görünüm Klasör Seçenekleri menüsündeki
Görünüm sekmesini açın ve Gizli Dosyalar bölümünde "Tüm Dosyaları
Göster"
seçeneğinin işaretli olduğundan emin olun.
4. "C:\Windows\System\.exe" dosyasını silin.
5. PC'nizi yeniden başlatın.
DEEP THROAT
Port Numarası: 2140, 3150
Dosya Adı: "systempatch.exe"
Boyutu: 255 Kb
Dizini: ?
1. Registry'nizdeki
HKEY_LOKAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run anahtarını
açın. "systemDLL32 | systempatch.exe" kaydının işaret ettiği dizini
bir
kenara not aldıktan sonra söz konusu kaydı silin.
2. PC'nizi MS-DOS kipinde başlatın.
3. Not etmiş olduğunuz dizin altındaki "systempatch.exe" dosyasını
silin.MS-DOS kipinde adı 8 karakterden uzun dosyaların isimleri
kısaltılacağı için, "system~1.exe" veya benzeri ada sahip bir
dosyayı
aramalısınız.Eğer "system~" şeklinde başlayan birden fazla EXE dosyası
varsa
hangisinin trojan dosyası olduğundan emin olmadan silme işine girişmeyin.
4. PC'nizi yeniden başlatın.
GIRLFRIEND
Port Numarası: 21554
Dosya Adı: "windll.exe"
Boyutu: ?
Dizini: C:\Windows
1. Registry'nizdeki
HKEY_LOKAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
"windll.exe" kaydını silin
2. PC'nizi yeniden başlatın.
3. "C:\Windows\System\windll.exe" dosyasını silin.
4. PC'nizi yeniden başlatın.
HACK A TACK
Port Numarası: 31785, 31787
Dosya Adı: "expl32.exe"
Boyutu: 236 Kb
Dizini: C:\Windows
1. Registry'nizdeki
HKEY_LOKAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run"Explorer32.exe
| C:\Windows\expl32.exe" kaydını silin.
2. PC'nizi MS-DOS kipinde başlatın.
3. "C:\Windows\expl32.exe" dosyasını silin.
4. PC'nizi yeniden başlatın.
INIKILLER
Port Numarası: 9989
Dosya Adı: "bad.exe"
Boyutu: ?
Dizini: C:\Windows
1. Registry'nizdeki
HKEY_LOKAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
"Explorer"
kaydını silin.
2.PC'nizi yeniden başlatın.
3. "C:\Windows\bad.exe" dosyasını silin.
4. PC'nizi yeniden başlatın.
MASTERS PARADISE
Port Numarası: 3129, 40421, 40422,40423, 40426
Dosya Adı: "sysedit.exe", "keyhook.dll"
Boyutu: ?
Dizini: C:\Windows
Port Numarası: 20034
Dosya Adı: "NBSvr.exe"
Boyutu: 599
Dizini: C:\Windows, "C:\Windows\System2.PC'nizi yeniden başlatın.
3. "C:\Windows\sysedit.exe" ve "C:\Windows\keyhook.dll" dosyalarını
silin.
4. PC'nizi yeniden başlatın.
5. Gerçek "sysedit.exe" dosyasını Windows CD'nizden veya güvendiğiniz
bir
arkadaşınızdan tekrar yükleyin.
NETBUS PRO
Port Numarası: 20034
Dosya Adı: "NBSvr.exe"
Boyutu: 599
Dizini: C:\Windows, "C:\Windows\System
1. Registry'nizdeki
HKEY_LOKAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
"NetBus Server Pro | nbsvr.exe" kaydını silin.
2. Registry'nizdeki HKEY_CURRENT_USER\NetBus Server anahtarını silin.
3. PC'nizi MS-DOS kipinde başlatın.
4. "C:\Windows\NBHelp.exe" , "C:\Windows\NBHelp.dll",
"C:\Windows\Log.txt"
dosyalarını silin.(Aynı dosyalar "C:\Windows\System dizininde de olabilir.)
5. PC'nizi yeniden başlatın.
Bunları yanınızda iyi bilgisayar bilen kişi varken denemeniz tavsiye
ederim. Ama siz ben iyi biliyorum diyorsanız kolay gelsinn :)))
|
