RootKit Nedir? - Dini ilimler, Eğitim ve Kişisel gelişim siteniz

**Tunaltay** · 12-14-2006, 01:18

Hacktool.Rootkit

Tür : Trojen

Alias (Takma ad) : Yok

Tehlikeli : Evet

Yıkıcı Etki : Hayır

Dil : İngilizce

Platform : Windows 2000, XP, Server 2003

Şifreli : Hayır

Risk : Düşük Seviye

Açıklama : TROJ_ROOTKIT varyantı genellikle başka tehlikeli uygulamalarla birlikte kullanılarak çalışan işlemleri saklar.Trojenin kopyaları Windows klasörü içinde . SYS dosyalarıyla birlikte çeşitli adlarla bulunabilir ve kendisini bir sistem servisiymiş gibi gösterebilir.
Sisteminiz için tehlikeli olabilecek işlemleri gizler. NT tabanlı sistemlerde NTOSKRNL.EXE'yi etkiler. NTOSKRNL.EXE basit Windows fonksiyonlarını gerçekleştirmek amacıyla sistem tarafından kullanılır.Bu nedenle varsayılan yapısı etkilenen bir sistem dosyası sistem bütünlüğünü bozacak ve Windows işletim sisteminize zarar verecektir.
Bu Trojen'den etkilenen sistemler genellikle WORM_RBOT ve/veya WORM_SDBOT varyasyonlarıyla da etkilenmiş olabilir.Çünkü bu varyasyonlar ile sisteminiz için tehlikeli olan bu dosyalar birbirlerini gizleme görevini paylaşırlar.

Rootkit problemi yaşayıp yaşamadığınızı tespit edebilecek bir program için : Rootkit Revealer

Rootkit Revealer'ı indirmek için tıklayın
http://www.sysinternals.com/utilities/rootkitrevealer.html

Enteresan bir şekilde NAV/NORTON/SYMANTEC ürünlerini kullanan kullanıcılar bu problemle daha çok karşılaşıyor.
Dürüst olmak gerekirse:

HiJackThis Hacktool.Rootkit'e karşı etkili bir çözüm değildir!

HiJackThis SADECE basit semptomların çözümlenmesine yardımcı olur.Bu durumda biz de zor görünen semptomu kolaya indirgemeliyiz.
HJT remon.sys, orans.sys, msdirectx.sys ya da benzeri diğer sistem dosyalarını göstermez.

Eğer HJT ile tarama yapmak isterseniz.;

Öncelikle HijackThis'i C:\Program Files\HJT lokasyonuna yerleştirin.(Kesinlikle Masaüstü ya da Temp klasörüne atmayın)

Aşağıdaki dosya/dosyaları bulun.Bunun için: \WINDOWS\ ya da \WINNT\. Klasörlerini kontrol edin.

(Çalışan İşlemler)Running processes:
C:\WINDOWS\javapanel.exe
C:\WINDOWS\taskcntr.exe
C:\WINDOWS\System32\xpjava.exe

O23 - Service: ECA (cpanel) - Unknown owner - C:\WINDOWS\javapanel.exe
O23 - Service: TASKESV (TESV) - Unknown owner - C:\WINDOWS\taskcntr.exe
O23 - Service: SystemManager - Unknown owner - C:\WINDOWS\sysmanager.exe

Kurtulmak için:

Bilgisayarınızı Güvenli kip (SAFE MODE)'te başlatın.
(ME/XP) System Geri Yükleme(SYSTEM RESTORE)'yi kapatın.
Windows Explorer'da "tüm dosya ve klasörleri (gizliler dahil) göster" seçeneğini aktifleştirin.
Daha sonra CTRL+ALT+DELETE kombinasyonu ile Görev Yöneticisi (Windows Task Manager)'ı açın.
Eğer İşlemler (Processes) menüsünde aşağıdaki dosyaları görüyorsanız her birine sağ tıklayıp işlemi sonlandır(End Process) seçeniğine tıklayın.

javapanel.exe
taskcntr.exe
xpjava.exe
sysmanager.exe

Bir sonraki adımda Başlat/Çalıştır'a tıklayın ve services.msc yazın.Servisler listesinden aşağıdaki servisleri bulun.

javapanel.exe
taskcntr.exe
xpjava.exe
sysmanager.exe

Herbirine çift tıklayın.Eğer bu servisler o anda çalışıyorsa servisi durdurun ve başlangıç türünü ( Startup type) Deaktif ( Disabled) yapın.

Daha sonra HJT ile tarama yapın.(Eğer hala oradaysa) Aşağıdaki dosya ve servislerden önce gelen küçük kareleri (tik ile) işaretleyin.
.................................................. ................... .............................
C:\WINDOWS\javapanel.exe
C:\WINDOWS\taskcntr.exe
C:\WINDOWS\System32\ xpjava.exe

O23 - Service: ECA (cpanel) - Unknown owner - C:\WINDOWS\ javapanel.exe
O23 - Service: TASKESV (TESV) - Unknown owner - C:\WINDOWS\ taskcntr.exe
O23 - Service: SystemManager - Unknown owner - C:\WINDOWS\ sysmanager.exe
.................................................. .................... .............................

Şimdi Fix Checked (İşaretli olanları onar) butonuna tıklayın ve HJT'yi kapatın.

Bu adımı tamamladığınızda yukarıdaki bölümde koyu harflerle belirttiğim dosyaları silin.

C:\Documents and Settings\[username]\Local Settings\Temp lokasyonunda bulunan tüm dosya ve klasörleri silin.Bu adımı sistemdeki diğer kullanıcılar için de uygulayın.
Masaüstünde Internet Explorer'a sağ tıklayın.Özellikler>Cookie diye tabir ettiğimiz çerezleri ve dosyaları silin(Delete Files and Delete Cookies)
C:\WINDOWS\Temp lokasyonunda ne kadar dosya ya da altklasör varsa hepsini silin.(Bugün oluşturulan dosya ve klasörler dahil.
(Sadece XP için) C:\WINDOWS\Prefetch lokasyonundaki tüm dosyaları silin.
Bilgisayarınızı Normal modda açın.
(ME/XP için) Herşey düzeldiyse Sistem Geri Yükleme'yi tekrar aktifleştirebilirsiniz

12-14-2006, 01:18	#1 (permalink)
Tunaltay Sahip :p Giriş: Nov 2006 Konum: Fildişi Kule/Onuncu Köy Mesaj: 10,991 Tecrübe Puanı: 100 Rep Puanı: 13548 Rep Derecesi:	RootKit Nedir? Hacktool.Rootkit Tür : Trojen Alias (Takma ad) : Yok Tehlikeli : Evet Yıkıcı Etki : Hayır Dil : İngilizce Platform : Windows 2000, XP, Server 2003 Şifreli : Hayır Risk : Düşük Seviye Açıklama : TROJ_ROOTKIT varyantı genellikle başka tehlikeli uygulamalarla birlikte kullanılarak çalışan işlemleri saklar.Trojenin kopyaları Windows klasörü içinde . SYS dosyalarıyla birlikte çeşitli adlarla bulunabilir ve kendisini bir sistem servisiymiş gibi gösterebilir. Sisteminiz için tehlikeli olabilecek işlemleri gizler. NT tabanlı sistemlerde NTOSKRNL.EXE'yi etkiler. NTOSKRNL.EXE basit Windows fonksiyonlarını gerçekleştirmek amacıyla sistem tarafından kullanılır.Bu nedenle varsayılan yapısı etkilenen bir sistem dosyası sistem bütünlüğünü bozacak ve Windows işletim sisteminize zarar verecektir. Bu Trojen'den etkilenen sistemler genellikle WORM_RBOT ve/veya WORM_SDBOT varyasyonlarıyla da etkilenmiş olabilir.Çünkü bu varyasyonlar ile sisteminiz için tehlikeli olan bu dosyalar birbirlerini gizleme görevini paylaşırlar. Rootkit problemi yaşayıp yaşamadığınızı tespit edebilecek bir program için : Rootkit Revealer Rootkit Revealer'ı indirmek için tıklayın http://www.sysinternals.com/utilities/rootkitrevealer.html Enteresan bir şekilde NAV/NORTON/SYMANTEC ürünlerini kullanan kullanıcılar bu problemle daha çok karşılaşıyor. Dürüst olmak gerekirse: HiJackThis Hacktool.Rootkit'e karşı etkili bir çözüm değildir! HiJackThis SADECE basit semptomların çözümlenmesine yardımcı olur.Bu durumda biz de zor görünen semptomu kolaya indirgemeliyiz. HJT remon.sys, orans.sys, msdirectx.sys ya da benzeri diğer sistem dosyalarını göstermez. Eğer HJT ile tarama yapmak isterseniz.; Öncelikle HijackThis'i C:\Program Files\HJT lokasyonuna yerleştirin.(Kesinlikle Masaüstü ya da Temp klasörüne atmayın) Aşağıdaki dosya/dosyaları bulun.Bunun için: \WINDOWS\ ya da \WINNT\. Klasörlerini kontrol edin. (Çalışan İşlemler)Running processes: C:\WINDOWS\javapanel.exe C:\WINDOWS\taskcntr.exe C:\WINDOWS\System32\xpjava.exe O23 - Service: ECA (cpanel) - Unknown owner - C:\WINDOWS\javapanel.exe O23 - Service: TASKESV (TESV) - Unknown owner - C:\WINDOWS\taskcntr.exe O23 - Service: SystemManager - Unknown owner - C:\WINDOWS\sysmanager.exe Kurtulmak için: Bilgisayarınızı Güvenli kip (SAFE MODE)'te başlatın. (ME/XP) System Geri Yükleme(SYSTEM RESTORE)'yi kapatın. Windows Explorer'da "tüm dosya ve klasörleri (gizliler dahil) göster" seçeneğini aktifleştirin. Daha sonra CTRL+ALT+DELETE kombinasyonu ile Görev Yöneticisi (Windows Task Manager)'ı açın. Eğer İşlemler (Processes) menüsünde aşağıdaki dosyaları görüyorsanız her birine sağ tıklayıp işlemi sonlandır(End Process) seçeniğine tıklayın. javapanel.exe taskcntr.exe xpjava.exe sysmanager.exe Bir sonraki adımda Başlat/Çalıştır'a tıklayın ve services.msc yazın.Servisler listesinden aşağıdaki servisleri bulun. javapanel.exe taskcntr.exe xpjava.exe sysmanager.exe Herbirine çift tıklayın.Eğer bu servisler o anda çalışıyorsa servisi durdurun ve başlangıç türünü ( Startup type) Deaktif ( Disabled) yapın. Daha sonra HJT ile tarama yapın.(Eğer hala oradaysa) Aşağıdaki dosya ve servislerden önce gelen küçük kareleri (tik ile) işaretleyin. .................................................. ................... ............................. C:\WINDOWS\javapanel.exe C:\WINDOWS\taskcntr.exe C:\WINDOWS\System32\ xpjava.exe O23 - Service: ECA (cpanel) - Unknown owner - C:\WINDOWS\ javapanel.exe O23 - Service: TASKESV (TESV) - Unknown owner - C:\WINDOWS\ taskcntr.exe O23 - Service: SystemManager - Unknown owner - C:\WINDOWS\ sysmanager.exe .................................................. .................... ............................. Şimdi Fix Checked (İşaretli olanları onar) butonuna tıklayın ve HJT'yi kapatın. Bu adımı tamamladığınızda yukarıdaki bölümde koyu harflerle belirttiğim dosyaları silin. C:\Documents and Settings\[username]\Local Settings\Temp lokasyonunda bulunan tüm dosya ve klasörleri silin.Bu adımı sistemdeki diğer kullanıcılar için de uygulayın. Masaüstünde Internet Explorer'a sağ tıklayın.Özellikler>Cookie diye tabir ettiğimiz çerezleri ve dosyaları silin(Delete Files and Delete Cookies) C:\WINDOWS\Temp lokasyonunda ne kadar dosya ya da altklasör varsa hepsini silin.(Bugün oluşturulan dosya ve klasörler dahil. (Sadece XP için) C:\WINDOWS\Prefetch lokasyonundaki tüm dosyaları silin. Bilgisayarınızı Normal modda açın. (ME/XP için) Herşey düzeldiyse Sistem Geri Yükleme'yi tekrar aktifleştirebilirsiniz __________________ Herşeyi bilirim mi diyor gençlik? Herşeyi yaparım mı diyor ihtiyarlık?

Konu Araçları
Yazıcı Çıktısını Göster Sayfayı E-posta ile Yolla
Görünüm Modları
Düzenli Mod Karışık Moda Geç Konu Moduna Geç

Şu an bu konuyu görüntüleyen kullanıcı sayısı: 1 (0 üye ve 1 misafir)