Bazı trojenleri temizleme yöntemleri

BAZI TROJENLERİ TEMİZLEME YÖNTEMLERİ

Bazı trojanlar ve temizleme yöntemleri

CID SHIVERS
Port Numarası: 10520
Dosya Adı: "msgsvr16.exe"
Boyutu: 186 kb
Dizini: C:\Windows
1. Registry'nizdeki
HKEY_LOKAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
"Explorer | msgsvr16.exe" kaydını sil.
2. Registry'nizdeki
HKEY_LOKAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
"Explorervmsgsvr16.exe" kaydını sil.
3. PC'nizi MS-DOS kipinde başlatın.
4. C:\Windows\msgsvr16.exe" dosyasını silin.
5. PC'nizi yeniden başlatın.

BACK ORIFICE
Port Numarası: 31337
Dosya Adı: ".exe"
Boyutu: 126 kb
Dizini: C:\Windows\system
1. Registry'nizdeki
HKEY_LOKAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
".exe" kaydını silin
2. PC'nizi yeniden başlatın.
3. Windows Explorer'ı başlatın.Görünüm Klasör Seçenekleri menüsündeki
Görünüm sekmesini açın ve Gizli Dosyalar bölümünde "Tüm Dosyaları
Göster" seçeneğinin işaretli olduğundan emin olun.
4. "C:\Windows\System\.exe" dosyasını silin.
5. PC'nizi yeniden başlatın.

BACKDOOR
Port Numarası: 1999
Dosya Adı: "icqnuke.exe"
Boyutu: 102 Kb
Dizini: C:\Windows, C:\Windows\system
1. Registry'nizdeki
HKEY_LOKAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
"icqnuke.exe." kaydını silin.
2. PC'nizi MS-DOS kipinde başlatın.
3. "C:\Windows\icqnuke.exe" ve "C:\Windows\System\icqnuke.exe"
dosyalarını silin.
4. PC'nizi yeniden başlatın.

BIG GLUCK
Port Numarası: 34324
Dosya Adı: "bg10.exe"
Boyutu: 100 Kb
Dizini: C:\Windows, C:\Windows\system
1. Registry'nizdeki
HKEY_LOKAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
"bg10.exe." kaydını silin.
2. PC'nizi MS-DOS kipinde başlatın.
3. "C:\Windows\bg10.exe" ve "C:\Windows\System\bg10.exe" dosyalarını
silin.
4. PC'nizi yeniden başlatın.

BRADE RUNNER
Port Numarası: 21,5400,5401,5402
Dosya Adı: "server.exe"
Boyutu: 323 Kb
Dizini: C:\Windows, C:\Windows\system
1. Registry'nizdeki
HKEY_LOKAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
"server.exe." kaydını silin.
2. PC'nizi MS-DOS kipinde başlatın.
3. "C:\Windows\server.exe" ve "C:\Windows\System\server.exe"
dosyalarını silin.
4. PC'nizi yeniden başlatın.

BUGS
Port Numarası: 2115
Dosya Adı: "bugs.exe"
Boyutu: 78 Kb
Dizini: C:\Windows, C:\Windows\system
1. Registry'nizdeki
HKEY_LOKAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
"bugs.exe."
kaydını silin.
2. PC'nizi MS-DOS kipinde başlatın.
3. "C:\Windows\bugs.exe" ve "C:\Windows\System\bugs.exe" dosyalarını
silin.
4. PC'nizi yeniden başlatın.

DEEP BACK ORIFICE
Port Numarası: 31338
Dosya Adı: ".exe"
Boyutu: 122 Kb
Dizini: C:\Windows\system
1. Registry'nizdeki
HKEY_LOKAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
".exe" kaydını silin
2. PC'nizi yeniden başlatın.
3. Windows Explorer'ı başlatın.Görünüm Klasör Seçenekleri menüsündeki
Görünüm sekmesini açın ve Gizli Dosyalar bölümünde "Tüm Dosyaları
Göster" seçeneğinin işaretli olduğundan emin olun.
4. "C:\Windows\System\.exe" dosyasını silin.
5. PC'nizi yeniden başlatın.

DEEP THROAT
Port Numarası: 2140, 3150
Dosya Adı: "systempatch.exe"
Boyutu: 255 Kb
Dizini: ?
1. Registry'nizdeki
HKEY_LOKAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
anahtarını açın. "systemDLL32 | systempatch.exe" kaydının işaret ettiği
dizini bir kenara not aldıktan sonra söz konusu kaydı silin.
2. PC'nizi MS-DOS kipinde başlatın.
3. Not etmiş olduğunuz dizin altındaki "systempatch.exe" dosyasını
silin.MS-DOS kipinde adı 8 karakterden uzun dosyaların isimleri
kısaltılacağı için, "system~1.exe" veya benzeri ada sahip bir dosyayı
aramalısınız.Eğer "system~" şeklinde başlayan birden fazla EXE dosyası varsa
hangisinin trojan dosyası olduğundan emin olmadan silme işine girişmeyin.
4. PC'nizi yeniden başlatın.

GIRLFRIEND
Port Numarası: 21554
Dosya Adı: "windll.exe"
Boyutu: ?
Dizini: C:\Windows
1. Registry'nizdeki
HKEY_LOKAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
"windll.exe" kaydını silin
2. PC'nizi yeniden başlatın.
3. "C:\Windows\System\windll.exe" dosyasını silin.
4. PC'nizi yeniden başlatın.

HACK A TACK
Port Numarası: 31785, 31787
Dosya Adı: "expl32.exe"
Boyutu: 236 Kb
Dizini: C:\Windows
1. Registry'nizdeki
HKEY_LOKAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
"Explorer32.exe | C:\Windows\expl32.exe" kaydını silin.
2. PC'nizi MS-DOS kipinde başlatın.
3. "C:\Windows\expl32.exe" dosyasını silin.
4. PC'nizi yeniden başlatın.

INIKILLER
Port Numarası: 9989
Dosya Adı: "bad.exe"
Boyutu: ?
Dizini: C:\Windows
1. Registry'nizdeki
HKEY_LOKAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
"Explorer" kaydını silin.
2.PC'nizi yeniden başlatın.
3. "C:\Windows\bad.exe" dosyasını silin.
4. PC'nizi yeniden başlatın.

MASTERS PARADISE
Port Numarası: 3129, 40421, 40422,40423, 40426
Dosya Adı: "sysedit.exe", "keyhook.dll"
Boyutu: ?
Dizini: C:\Windows
Port Numarası: 20034
Dosya Adı: "NBSvr.exe"
Boyutu: 599
Dizini: C:\Windows, "C:\Windows\System2.PC'nizi yeniden başlatın.
3. "C:\Windows\sysedit.exe" ve "C:\Windows\keyhook.dll" dosyalarını
silin.
4. PC'nizi yeniden başlatın.
5. Gerçek "sysedit.exe" dosyasını Windows CD'nizden veya güvendiğiniz
bir arkadaşınızdan tekrar yükleyin.

NETBUS PRO
Port Numarası: 20034
Dosya Adı: "NBSvr.exe"
Boyutu: 599
Dizini: C:\Windows, "C:\Windows\System
1. Registry'nizdeki
HKEY_LOKAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
"NetBus Server Pro | nbsvr.exe" kaydını silin.
2. Registry'nizdeki HKEY_CURRENT_USER\NetBus Server anahtarını silin.
3. PC'nizi MS-DOS kipinde başlatın.
4. "C:\Windows\NBHelp.exe" , "C:\Windows\NBHelp.dll",
"C:\Windows\Log.txt" dosyalarını silin.(Aynı dosyalar "C:\Windows\System dizininde de
olabilir.)
5. PC'nizi yeniden başlatın.

NETBUS
Port Numarası: 12345, 12346
Dosya Adı: "patch.exe"
Boyutu: 470 Kb
Dizini: "C:\Windows\System
1. Registry'nizdeki
HKEY_LOKAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
"patch.exe." kaydını arayın.Söz konusu kaydı bulamazsanız trojan'ın adı
değiştirilmiş demektir.Bu durumda aynı Registry anahtarı altında yer
alan tüm EXE kayıtlarını not alın ve "C:\Windows\System dizinindeki EXE
dosyalarıyla karşılaştırın.470 KB boyutunda olan dosya, adı
değiştirilmiş NetBus trojanıdır.Registry kaydını silin.
2. Bir MS-DOS Komut İstemi penceresi açın ve
"C:\Windows\System\patch.exe/remove" komutunu kullanın.(Trojanın adı değiştirilmişse, patch.exe
yerine PC'nizdeki adını yazın.)
3. "C:\Windows\System\patch.exe" dosyasını silin.

NETSPHERE
Port Numarası: 30100, 30101, 30102
Dosya Adı: "nssx.exe"
Boyutu: 640 Kb
Dizini: "C:\Windows\System
1. Registry'nizdeki
HKEY_LOKAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
"NSSX | "C:\Windows\System\nssx.exe" kaydını silin.
2. PC'nizi MS-DOS kipinde başlatın.
3. "C:\Windows\nssx.exe" dosyasını silin.
4. PC'nizi yeniden başlatın.

SUBSEVEN
Port Numarası: 1243, 1999,6711, 6776
Dosya Adı:
1. Dosya: "server.exe", "rundll16.exe", "systray.dl", "Task_bar.exe"
2. Dosya: "FAVPNMCFEE.dll", "MVOKH_32.dll", "nodll.exe", "watching.dll"
Boyutu: 328 Kb, 35 Kb
Dizini: C:\Windows, C:\Windows\System
1. C:\Windows\System\SysEdit.exe" dosyasını çalıştırın.SYSTEM.INI
dosyasının [boot] bölümündeki "sheel=Explorer.exe" satırını
inceleyin.Satırın sagına yukarıda adı gecen dosya adlarından biri eklenmisse,dosya
adını bir kenara not edin ve satırı "shell=Explorer.exe" haline getirin.
2. Aynı penceredeki WIN.INI dosyasını [windows] bolumunde "run=" ve
"load=" diye baslayan satırları inceleyin.Soz konusu satırlardan biri
yukardaki adı geçen dosyalardan birini işaret ediyorsa, dosya adını ot edin
ve silin.
3. Yapmıs oldugunuz degisiklikleri kaydetip "sysedit" penceresini acın.
4. Registiey'deki
HKEY_LOKAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
anahtarını inceleyin ve yukarıda adı gecen dosyalara isaret eden
kayıtları silin.Herhangi bir kayıt bulamazsanız trojanın adı değiştirilmiş
demektir.Bu durumda aynı Registry anahtarı altında yer alan tüm EXE
kayıtlarını not alın ve C:\Windows dizinindeki EXE dosyalarıyla
karşılaştırın.328 Kb boyutunda olan dosya, adı değiştirilmiş SubSeven
trojanıdır.Registry kaydını silin.
5. PC'nizi yeniden başlatın.
6. C:\Windows dizinindeki trojan dosyasını silin.

WINCRASH
Port Numarası: 5742
Dosya Adı: "server.exe"
Boyutu: 290 Kb
Dizini: "C:\Windows\System
1. Registry'nizdeki
HKEY_LOKAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
"MsManager | SERVER.EXE" kaydını silin.
2. PC'nizi MS-DOS kipinde başlatın.
3. "C:\Windows\System\server.exe" dosyasını silin.
4. PC'nizi yeniden başlatın.