HIJACKThis Ile Guvenliginizi Saglayin (3. sayfa)

quote:

Orjinalden alıntı: greenflash

@öcüüü

Arkadaşım Common Files klasöründe bulunan bu tür dosyalar yanılmıyorsam Windows kullanıcılarının ortak olarak kullandığı servis ya da programları barındırıyor.

Bu arada TBMon.exe antivirüs programının Error Reporting Service (Hata Bildirim Servisi) olarak çalışıyor ve herşey normal gözüküyor.

quote:

Orjinalden alıntı: greenflash

browser olarak ne kullanıyorsun? eğer internet explorer kullanıyorsan sadece giriş sayfanda bir problem oluşmuş olabilir.Şu an dediğim gibi sistemin temiz gözüküyor.Eğer problem olursa tekrar danışırsın yardımcı olmaya çalışırım

quote:

Hacktool.Rootkit

Tür : Trojen

Alias (Takma ad) : Yok

Tehlikeli : Evet

Yıkıcı Etki : Hayır

Dil : İngilizce

Platform : Windows 2000, XP, Server 2003

Şifreli : Hayır

Risk : Düşük Seviye

Açıklama : TROJ_ROOTKIT varyantı genellikle başka tehlikeli uygulamalarla birlikte kullanılarak çalışan işlemleri saklar.Trojenin kopyaları Windows klasörü içinde .SYS dosyalarıyla birlikte çeşitli adlarla bulunabilir ve kendisini bir sistem servisiymiş gibi gösterebilir.
Sisteminiz için tehlikeli olabilecek işlemleri gizler.NT tabanlı sistemlerde NTOSKRNL.EXE'yi etkiler. NTOSKRNL.EXE basit Windows fonksiyonlarını gerçekleştirmek amacıyla sistem tarafından kullanılır.Bu nedenle varsayılan yapısı etkilenen bir sistem dosyası sistem bütünlüğünü bozacak ve Windows işletim sisteminize zarar verecektir.
Bu Trojen'den etkilenen sistemler genellikle WORM_RBOT ve/veya WORM_SDBOT varyasyonlarıyla da etkilenmiş olabilir.Çünkü bu varyasyonlar ile sisteminiz için tehlikeli olan bu dosyalar birbirlerini gizleme görevini paylaşırlar.



Rootkit problemi yaşayıp yaşamadığınızı tespit edebilecek bir program için : Rootkit Revealer

Rootkit Revealer'ı indirmek için tıklayın
http://www.sysinternals.com/utilities/rootkitrevealer.html


Enteresan bir şekilde NAV/NORTON/SYMANTEC ürünlerini kullanan kullanıcılar bu problemle daha çok karşılaşıyor.
Dürüst olmak gerekirse:

HiJackThis Hacktool.Rootkit'e karşı etkili bir çözüm değildir!

HiJackThis SADECE basit semptomların çözümlenmesine yardımcı olur.Bu durumda biz de zor görünen semptomu kolaya indirgemeliyiz.
HJT remon.sys, orans.sys, msdirectx.sys ya da benzeri diğer sistem dosyalarını göstermez.

Eğer HJT ile tarama yapmak isterseniz.;

Öncelikle HijackThis'i C:\Program Files\HJT lokasyonuna yerleştirin.(Kesinlikle Masaüstü ya da Temp klasörüne atmayın)

Aşağıdaki dosya/dosyaları bulun.Bunun için: \WINDOWS\ ya da \WINNT\. Klasörlerini kontrol edin.

(Çalışan İşlemler)Running processes:
C:\WINDOWS\javapanel.exe
C:\WINDOWS\taskcntr.exe
C:\WINDOWS\System32\xpjava.exe

O23 - Service: ECA (cpanel) - Unknown owner - C:\WINDOWS\javapanel.exe
O23 - Service: TASKESV (TESV) - Unknown owner - C:\WINDOWS\taskcntr.exe
O23 - Service: SystemManager - Unknown owner - C:\WINDOWS\sysmanager.exe

Kurtulmak için:

Bilgisayarınızı Güvenli kip (SAFE MODE)'te başlatın.
(ME/XP) System Geri Yükleme(SYSTEM RESTORE)'yi kapatın.
Windows Explorer'da "tüm dosya ve klasörleri (gizliler dahil) göster" seçeneğini aktifleştirin.
Daha sonra CTRL+ALT+DELETE kombinasyonu ile Görev Yöneticisi (Windows Task Manager)'ı açın.
Eğer İşlemler (Processes) menüsünde aşağıdaki dosyaları görüyorsanız her birine sağ tıklayıp işlemi sonlandır(End Process) seçeniğine tıklayın.

javapanel.exe
taskcntr.exe
xpjava.exe
sysmanager.exe

Bir sonraki adımda Başlat/Çalıştır'a tıklayın ve services.msc yazın.Servisler listesinden aşağıdaki servisleri bulun.

javapanel.exe
taskcntr.exe
xpjava.exe
sysmanager.exe

Herbirine çift tıklayın.Eğer bu servisler o anda çalışıyorsa servisi durdurun ve başlangıç türünü (Startup type) Deaktif (Disabled) yapın.

Daha sonra HJT ile tarama yapın.(Eğer hala oradaysa) Aşağıdaki dosya ve servislerden önce gelen küçük kareleri (tik ile) işaretleyin.
..................................................................... .............................
C:\WINDOWS\javapanel.exe
C:\WINDOWS\taskcntr.exe
C:\WINDOWS\System32\xpjava.exe

O23 - Service: ECA (cpanel) - Unknown owner - C:\WINDOWS\javapanel.exe
O23 - Service: TASKESV (TESV) - Unknown owner - C:\WINDOWS\taskcntr.exe
O23 - Service: SystemManager - Unknown owner - C:\WINDOWS\sysmanager.exe
...................................................................... .............................

Şimdi Fix Checked (İşaretli olanları onar) butonuna tıklayın ve HJT'yi kapatın.

Bu adımı tamamladığınızda yukarıdaki bölümde koyu harflerle belirttiğim dosyaları silin.

C:\Documents and Settings\[username]\Local Settings\Temp lokasyonunda bulunan tüm dosya ve klasörleri silin.Bu adımı sistemdeki diğer kullanıcılar için de uygulayın.
Masaüstünde Internet Explorer'a sağ tıklayın.Özellikler>Cookie diye tabir ettiğimiz çerezleri ve dosyaları silin(Delete Files and Delete Cookies)
C:\WINDOWS\Temp lokasyonunda ne kadar dosya ya da altklasör varsa hepsini silin.(Bugün oluşturulan dosya ve klasörler dahil.
(Sadece XP için) C:\WINDOWS\Prefetch lokasyonundaki tüm dosyaları silin.
Bilgisayarınızı Normal modda açın.
(ME/XP için) Herşey düzeldiyse Sistem Geri Yükleme'yi tekrar aktifleştirebilirsiniz