görev yöneticisi hakkında önemli bilgiler

Question

Casusların yeni silahı (spylara karşı koruma)

Casustan kastımı hepiniz biliyorsunuz
bazıları cin diyor bazıları trojan/trogen horse diyor bazıları orijinal adıyla, spy diyor.. Adı her ne ise, sistemimizden izinsiz olarak bilgi kaçıran, sistemi bozan ve daha nice tehlikeleri olan bu hacker araçlarının yeni, veya benim yeni olduğunu düşündüğüm bir silahı var.
Başıma gelince çok şaşırmadım aslında, kaynağını tahmin ettim ve buldum.
Bildiğiniz gibi windows programları/hizmetler/servisleri genelde System32 klasöründe bulunur. Bunlardan bazıları windowsun çalışması için gereklidirler, onlar olmazsa windows da olmaz. Lsass, csrss gibi
Yine bunlardan svchost hariç hepsi sadece tek işlem şeklinde çalışır.
Yani görev yöneticisini açarsınız ve sadece bir tane LSASS.EXE görürsünüz, dediğim gibi svchost hariç- ki o 5 adet olur, diğerleri hep tektir.
Eğer birden fazlaysa bu durumda sisteminizde bir casus var, ve görev yöneticisinden kapatamıyorsunuz. Çünkü kapatmaya çalıştığınızda şu uyarıyı veriyor: "Bu, kritik bir sistem işlemidir, görev yöneticisi bu işlemi sonlandıramaz"sırf isminden dolayı böylece casus kendini sonlandırma işleminden koruyor.
kastettiğim yeni silah da işte bu... Bu bence windows için önemli bir açık anlamına geliyor.
Şansınız varsa bu casus sadece başlangıçta çalışan programlara yerleşmiştir kolaylıkla temizlersiniz. Windows servislerine de eklenmiş olabilir, ki bunu da servisler bölümünen veya gpedit kullanarak kapatabilirsiniz. Ya da çok kötümser olarak, sürekli kullandığınız ve güvendiğiniz bir programa exe joiner ile entegre edilmiş olabilir
Bu durumda ne yaparsınız? Tabi ki windowsun kritik işlemlerini yapan servislerle aynı ada sahip o casusu bulup silersiniz. Peki nasıl?Şimdi windowsun bu kritik sistem dosyaları nerede bulunur onları yazalım.

sisteminizden dosya silmeden önce bu yazının tamamını okuyun

SVCHOST.EXE normal işlem sayısı: 5 yeri: C:\Windows\System32 ve Prefetch
LSASS.EXE normal işlem sayısı: 1 yeri: C:\Windows\System32 ve Prefetch
CSRSS.EXE normal işlem sayısı: 1 yeri: C:\Windows\System32
SERVICES.EXE normal işlem sayısı: 1 yeri: C:\Windows\System32 ve Prefetch
WINLOGON.EXE normal işlem sayısı: 1 yeri: C:\Windows\System32 ve Prefetch
SMSS.EXE normal işlem sayısı: 1 yeri: C:\Windows\System32
TASKMGR.EXE (görev yöneticisi) normal işlem sayısı: kaç tane çalıştırdıysanız Yeri : C:\Windows\System32
EXPLORER.EXE yeri: C:\Windows işlem sayısı için aşağıdaki açıklamayı okuyun.
ALG.EXE normal işlem sayısı: 1 yeri: C:\Windows\System32 ve Prefetch
IEXPLORE.EXE işlem sayısı: kaç tane çalıştırdıysanız yeri: C:\Program Files\Internet Explorer\

Bu listelediğimiz exelerin normal işlem sayısından fazla çalıştığını görüyorsanız onlardan kurtulmanız gerekir. Bunun için dosyaların yerlerine bakıp bu klasörlerden başka aynı isimde başka bir dosya varsa silin.
Başıma geldi. Örneğin CSRSS.EXE system32 klasöründe bulunur. Sonlandırılamaz. Ama ben bir ara görev yöneticisinde iki tane CSRSS.EXE gördüm, ikisi de sonlandırılamıyor. Halbuki bir tane olması gerekirdi. Hemen aradım ve C:\Windows klasöründe, orada olmaması gereken bir CSRSS.EXE dosyası buldum. O anda çalıştığı için de silinemiyordu. Alternatifleri vardır, ben dostan girip sildim.

NOTLAR: Yanına yer olarak system32 ve prefetch yazdığım dosyaların iki klasörde de exe si yok.
System32 de exe var C:\Windows\Prefetch klasöründe pf uzantılı uzun isimlisi var. Atıyorum LSASS-F45256.pf gibi
ama benim bildiğim prefetch klasörü geçicidir ve temizlenebilir.
EXPLORER.EXE bildiğiniz gibi windows explorerdır.
hiç bir klasörü görüntülemiyor da olsanız görev yöneticisinde bir explorer.exe olur çünkü masaüstünüz hala görüntüleniyor. Eğer o explorer.exe işlemini sonlandırırsanız görev yöneticisi ve masaüstü resmi hariç herşey yokolur (kapanmaz, sadece görüntülenmezler)
Dolayısıyla, ayarlarıyla oynanmamış bir windows xp'de sadece bir adet explorer.exe olur. Eğer klasör seçeneklerinden, explorerı her seferinde ayrı bir işlem olarak çalışacak şekilde ayarladıysanız, o zaman kaç klasör görüntülüyorsanız, o anda görev yöneticinizde, klasör sayısı+1 (masaüstü için) explorer.exe çalışıyor görünür.
ALG.EXE kritik bir işlem değildir, yani görev yöneticisi kullanılarak sonlandırılabilir. FTP sitelerine girmeyi sağlar. Kapatırsanız ftplere giremezsiniz.
Hatta kapatırsanız tekrar açamazsınız da ancak bilgisayarı yeniden başlatmanız gerekir.

Tekrar ediyorum, yukarıda listelediğimiz exe lerden başka yerlerde aynı isimde varsa mutlaka silin!!! (isterseniz bir backup alabilirsiniz tabi)

< Bu mesaj bu kişi tarafından değiştirildi nihat1551 -- 3 Ocak 2006 15:08:53 >

Answer

Ellerine sağlık gerçekten bilinmesi gereken çok önemli bilgiler, özellikle online çalışanlar için ...

Answer

Bilgiler için teşekkürler.

Answer

quote: Orjinalden alıntı: mabel2000  Bilgiler için teşekkürler.    eyvallah saolun

Answer

Benim görev yöneticisinde bellek kullanımı 220 mb civarı internette olmadığım zaman 175 mb normalmidir?  Ayrıca işlemler kısmında ki kısaltmaların açıklamaları nedir ?

görev yöneticisi hakkında önemli bilgiler

Benzer içerikler