Trend Micro HijackThis’i nasıl kullanırım?
Trend Micro HijackThis’in en son sürümünü indirip yükledikten sonra dosyayı açın. Bilgisayarınız programı açamıyorsa, dosyayı başka bir adla (örneğin, sniper.exe) yeniden adlandırmayı ve yeniden çalıştırmayı deneyin. Açıldıktan sonra, aşağıdaki resimdeki örneğe benzer bir ekran göreceksiniz.
“Yukarıdakilerin hiçbiri, sadece programı başlatın” son düğmesini tıklayın ve “Yapılandır..” düğmesini seçin. Aşağıdakiler için onay kutularının işaretlendiğinden emin olun.
- Öğeleri düzeltmeden önce yedekleme yapın
- Öğelerin sabitlenmesini ve yoksayılmasını onaylayın
- IE’de standart olmayan ancak güvenli etki alanlarını yoksay
- Çalışan işlemlerin listesini günlük dosyalarına dahil et
Kontrol edildikten veya doğrulandıktan sonra Ana Menü düğmesine tıklayın.
Ardından, sistem taramasını başlatmak için ilk sistem taraması yap düğmesini seçin ve bir günlük dosyası kaydedin. Tamamlandığında, aşağıda gösterilen örneğe benzer bir ekran ve yeni HijackThis günlüğünü gösteren yeni bir Not Defteri penceresi göreceksiniz.
Bu günlüğü çevrimiçi olarak analiz edilmek üzere oluşturuyorsanız, tüm günlüğü, düğmesine basarak panoya kopyalayın. Ctrl+A Tüm metni seçmek için Vurgulandıktan sonra Düzenle ve Kopyala’yı tıklayın. Bir kez yapıldığında, bu bir forum sayfasına veya Computer Hope Windows işlem aracı gibi bir HijackThis aracına yapıştırılabilir.
HijackThis günlük dosyası ayrıca bilgisayarınızda “C:program filesTrend MicroHijackThis” varsayılan dizinine kaydedilir ve bir forum gönderisine eklenebilir veya analiz edilmek üzere başka bir kullanıcıya bir e-postayla gönderilebilir.
Sonuçları anlamak
İlk bakışta, sonuçlar çok zor görünebilir, ancak günlük, kötü amaçlı yazılımın bilgisayarınıza saldırabileceği tüm bilgileri ve olası konumları içerir. Aşağıda, ne olduklarına dair genel bir anlayış için bu bölümlerin her birinin kısa bir açıklaması bulunmaktadır.
HijackThis, gelişmiş bir yardımcı programdır ve Kayıt Defterinde ve bilgisayar sorunlarına neden olan diğer sistem dosyalarında değişiklikler yapabilir. Yukarıdaki yönergeleri izlediğinizden, yedekleme yaptığınızdan ve kontrol edilen herhangi bir öğeyi düzeltmeden önce nelerin düzeltildiğini bildiğinizden emin olun.
R0 – R3 bölümleri
Microsoft Internet Explorer tarayıcınızla ilgili oluşturulan ve değiştirilen Windows Kayıt Defteri değerleri. Kötü amaçlı yazılımlar genellikle varsayılan ana sayfanızı, arama sayfanızı vb. değiştirmek için bu Kayıt Defteri değerlerine saldırır. Aşağıda bir R0 değeri örneği verilmiştir.
R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = https://www.computerhope.com/
F0 – F3 bölümleri
system.ini veya win.ini dosyalarından yüklenen herhangi bir şeye genel bakış.
N1 – N4 bölümleri
R0-R3 bölümlerine benzer şekilde, bu bölümler Netscape ve Mozilla Firefox tarayıcılarıyla ilgili prefs.js dosyasının bir parçasıdır. Varsayılan ana sayfayı, arama sayfasını vb. değiştirmek için N1-N4 bölümlerine saldırılabilir.
O1 bölümü
Bu bölüm, Windows ana bilgisayar dosyasına yapılan tüm ana bilgisayar dosyası yeniden yönlendirmelerini içerir. Yönlendirmeler, bir alan adını farklı bir IP adresine yönlendiren başka bir saldırı türüdür. Örneğin, bir saldırı, oturum açma bilgilerini çalmak için bankacılık URL’nizi başka bir siteye yönlendirmek için bunu kullanabilir. Aşağıda bir O1 hattı örneği verilmiştir.
O1 - Hosts: ::1 localhost
O2 bölümü
Bu bölüm, bilgisayarda yüklü CLSID ({} ile birlikte verilir) olan tüm İnternet BHO’larını (Tarayıcı Yardımcı Nesnesi) içerir. Aşağıda bir O2 hattı örneği verilmiştir.
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:Program FilesCommon FilesAdobeAcrobatActiveXAcroIEHelper.dll
O3 bölümü
Bu bölüm, bilgisayarda yüklü olan tüm Microsoft Internet Explorer araç çubuklarını gösterir. Çok sayıda meşru tarayıcı araç çubuğu olmasına rağmen, istemeyebileceğiniz diğer programlar tarafından yüklenen çok sayıda kötü amaçlı araç çubuğu ve araç çubuğu da vardır. Aşağıda bir O3 hattı örneği verilmiştir.
O3 - Toolbar: StumbleUpon Toolbar - {5093EB4C-3E93-40AB-9266-B607BA87BDC8} - C:Program FilesStumbleUponStumbleUponIEBar.dll
O4 bölümü
En sık bakılan bölümlerden biri olan O4 bölümü, bilgisayar her başlatıldığında Windows Kayıt Defteri’ne otomatik olarak yüklenen programları içerir. Aşağıda bu satırın bir örneği bulunmaktadır.
O4 - HKLM..Run: [NvCplDaemon] RUNDLL32.EXE C:WINDOWSsystem32NvCpl.dll,NvStartup
O5 bölümü
Bu bölüm, gösterilmesi devre dışı bırakılan tüm Windows Denetim Masası simgelerini görüntüler. Bazı kötü amaçlı yazılımlar, programın neden olduğu sorunları gidermenize yardımcı olmak için Windows Denetim Masası’nı devre dışı bırakabilir.
O6 bölümü
İlkeler tarafından herhangi bir Microsoft Internet Explorer seçeneği devre dışı bırakılırsa, bunların düzeltilmesi gerekir.
O7 bölümü
Bu bölüm, Kayıt Defteri Düzenleyicisi’ne (regedit) erişim devre dışı bırakılmışsa görüntülenir. Varsa sabitlenmelidir.
O8 bölümü
Microsoft Internet Explorer sağ tıklama menüsüne eklenen tüm ek özellikler bu bölümde gösterilir. Aşağıda bu satırın bir örneği bulunmaktadır.
O8 - Extra context menu item: &Windows Live Search - res://C:Program FilesWindows Live Toolbarmsntb.dll/search.htm.
O9 bölümü
Microsoft Internet Explorer’a eklenen tüm ek düğmeler veya menü öğeleri burada gösterilir. Aşağıda bu satırın bir örneği bulunmaktadır.
O9 - Extra button: StumbleUpon - {75C9223A-409A-4795-A3CA-08DE6B075B4B} - C:Program FilesStumbleUponStumbleUponIEBar.dll.
O10 bölümü
Bu bölüm, herhangi bir Windows Winsock korsanını görüntüler. Winsock’un çalışma şekli nedeniyle bu satırlar HijackThis’den düzeltilebilse de, bulunursa bu bölümü düzeltmek için tasarlanmış alternatif bir araç olan LSP-Fix’i kullanmanızı öneririz. Aşağıda bu satırın bir örneği bulunmaktadır.
O10 - Unknown file in Winsock LSP: c:windowssystem32nwprovau.dll
O11 bölümü
Microsoft Internet Explorer Gelişmiş Seçenekler bölümüne eklenen tüm ekstra grupları görüntüler.
O12 bölümü
Bu bölüm, bilgisayarda yüklü olan tüm Microsoft Internet Explorer eklentilerini görüntüler.
O13 bölümü
Microsoft Internet Explorer’ın varsayılan http:/\/önekinde yapılan değişiklikleri görüntüler. Bir kullanıcı bir URL adresi yazdığında ancak önüne “http://” eklemediğinde kullanılır.
O14 bölümü
Bu bölüm, herhangi bir değişikliği gösterir. iereset.inf dosyası yapılmıştır. Bu dosya, Microsoft Internet Explorer ayarlarını varsayılan ayarlara geri yüklerken kullanılır.
O15 bölümü
Tüm Microsoft Internet Explorer Güvenilen Bölge değişikliklerini görüntüler. Bu bölümü eklemediyseniz veya tanımadıysanız, HijackThis aracılığıyla düzeltmenizi öneririz. Aşağıda bir O15 hattı örneği bulunmaktadır.
O15 - Trusted Zone: http://www.partypoker.com
O16 bölümü
Tüm Microsoft Internet Explorer ActiveX nesnelerini görüntüler. Aşağıda bu satırın bir örneği bulunmaktadır.
O16 - DPF: {0CCA191D-13A6-4E29-B746-314DEE697D83} (Facebook Photo Uploader 5) - http://upload.facebook.com/controls/FacebookPhotoUploader5.cab.
O17 bölümü
Bu bölüm, olası DNS ve Etki Alanı ele geçirmelerini görüntüler. Aşağıda bu satırın bir örneği bulunmaktadır.
O17 - HKLMSystemCCSServicesTcpip..{F30B90D7-A542-4DAD-A7EF-4FF23D23587B}: Nameserver = 203.23.236.66 203.23.236.69.
O18 bölümü
Herhangi bir protokol korsanı burada gösterilir. Bu bölüm görülürse HijackThis ile düzeltilmesini öneririz.
O18 - Protocol: sacore - {5513F07E-936B-4E52-9B00-067394E91CC5} - c:PROGRA~1mcafeeSITEAD~1mcieplg.dll.
O19 bölümü
Bu bölüm, yapılan CSS stil sayfası değişikliklerini görüntüler. Özel bir stil sayfası kullanmıyorsanız, bu bölümü düzeltmek için HijackThis’i kullanmanızı öneririz.
O20 bölümü
Bu bölümde, APPInit_DLL veya Winlogon aracılığıyla yüklenen her şey bu bölümde gösterilir. Aşağıda bu satırların her birine bir örnek verilmiştir.
O20 - AppInit_DLLs: avgrsstx.dll
O20 - Winlogon Notify: !SASWinLogon - C:Program FilesSUPERAntiSpywareSASWINLO.DLL.
O21 bölümü
SSODL (ShellServiceObjectDelayLoad) Windows kayıt defteri anahtarına yüklenen her şey bu bölümde gösterilir.
O22 bölümü
Bu bölüm, herhangi bir SharedTaskScheduler otomatik çalıştırma Windows kayıt defteri anahtarını gösterir. Aşağıda bu satırın bir örneği bulunmaktadır.
O22 - SharedTaskScheduler: Windows DreamScene - {E31004D1-A431-41B8-826F-E902F9D95C81} - C:WindowsSystem32DreamScene.dll.
O23 bölümü
Bu bölümde, herhangi bir Windows XP, NT, 2000, 2003 ve Vista başlatma hizmetleri bu bölümde gösterilir. Aşağıda bu satırın bir örneği bulunmaktadır.
O23 - Service: AVG8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - C:PROGRA~1AVGAVG8avgemc.exe.
O24 bölümü
Son olarak, O24 bölümü, bilgisayarda yüklü olan herhangi bir Microsoft Windows Active Desktop bileşenidir. Active Desktop kullanmıyorsanız veya adı bilmiyorsanız, bunları da düzeltmenizi öneririz. Aşağıda bu satırın bir örneği bulunmaktadır.
O24 - Desktop Component 1: (no name) - http://mbox.personals.yahoo.com/mbox/mboxlist.