ABYSS

TROJAN NEDİR?
Trojan (Truva atı); iki kısımdan oluşan ve bilgisayarları uzaktan kumanda etme amacıyla yazılmış programlardır.

Bu program sayesinde windows kullanmaya yeni başlayan bir insan bile bilgisayarınızda bir çok yetkiye sahip olabilir. Bu tip programlar genelde kendini hacker sanan insanlar tarafından kullanılıyor ancak gerçek hacker olupta bu trojanları kullanan insanlarda var fakat bu noktada olayın boyutu biraz değişiyor örneğin hackerlar Internetteki trojan bulaşmış tüm bilgisayarları (online olan) kullanarak büyük sitelere D.O.S attack yapıyorlar böylece bu sitelere erişimi uzun bir süre engelleyerek siteleri büyük zarara sokuyorlar.

Bu programların birinci kısmı uzaktaki bilgisayarı kontrol etmeye yararken diger kısmı ise uzaktan yönetilecek bilgisayarla kontrol kısmı arasında bağlantı kurmasını sağlayacak açıklık yaratır.Yani bizim problemimiz trojan programının bilgisayarımızda açık port bırakan kısmıyla ilgilidir.

TROJANLARIN BİLGİSAYARIMIZA BULAŞMASINI ENGELLEMEK
Öncelikle hiç bir trojan siz izin vermediğiniz takdirde sizin bilgisayarınızda çalışmaz yani sizin tanımadığınız kişilerden gelen hiç bir dosyayı almayın böylece trojanlardan kurtulmuş olursunuz. Fakat genelde trojan programları istenilen herhangi bir programın içerisine bulaştırılabildiği için siz farkında olmadan herhangi bir yerden yüklediğiniz program içinde bilgisayarınıza trojan almış olabilirsiniz bunu engellemenin en iyi yolu antivirus programları kullanmaktan geçiyor.
Örneğin AVP programıyla bilgisayarınıza bulaşan hem virusleri hemde trojanları engelleyebilirsiniz. Özet olarak tanımadığınız kişilerden (genelde irc ortamında) herhangi bir dosya almayarak (özellikle sonu .ini ve .exe olarak biten dosyaları) ve de kaliteli bir antivirus programı ve firewall programı kurarak trojan tehlikesini büyük ölçüde atlatmış olursunuz. NOT: Antivirus programları genelde yeni çıkan trojan ve virusleri tanımazlar.Bu yüzden kurduğunuz antivirus programının web sayfasını düzenli olarak ziyaret edip programınızı update etmeyi unutmayın.

BİLGİSAYARDA TROJAN OLUP OLMADIĞINI ANLAMAK
Bunu anlamanın bir çok yolu var. Örneğin: Bilgisayarmızda Kontrolumuz Dışında Çalışmalar Oluyorsa: Internetteyken siz herhangi bir işlem yapmamanıza rağmen bilgisayarınız bir şeyler yüklemeye devam ediyor cd kapağınız açılıp kapanıyor mouseunuzun isteğinizin dışında hareket ediyor ekranınıza resim veya yazılar geliyorsa.. Yani bilgisayarınızda sizin kontrolünüz dışında herhangi bir olay gerçekleşiyorsa bilgisayranızda trojan vardır diyebiliriz ama yinede bu kesindir diye bir yargı verilemez. Anti Trojan Programı kullanmak: Bir anti trojan programıyla bilgisayarınızı scan ederek bilgisayarımızdaki trojanları bulabiliriz ancak genelde yeni çıkan trojanlar genelde bu tip programlarla bulunamıyor bu yüzden sürekli olarak programı resmi web sayfasından update etmekte yarar var. Bilgisayarımızda başlat (start) tuşundan programlar (programs) oradanda başlangıç (startup) tuşuna bastığımız zaman bilgisayarımızın açılışıyla birlikte çalısan programları görürüz eğer burda bizim kurmadığımız herhangi bir program varsa bu program bir trojan olabilir. Diğer ve en kesin yöntemlerden birisi ise dos moduna geçip komut satırında ntstat -a yazmaktır bu komut sizin bilgisayarınız internette kimlerle hangi porta bağlı olduğunu gösterir eğer bu program bilgisayarınızda çalışmıyorsa herhangi bir problem yok eğer örneğin 0.0.0.0:12345 gibi bir sonuç veriyorsa bilgisayarınızda netbus isimli bir trojan vardır. Bunu nerden anladın diyorsanız trojanlar bilgisayarımıza bağlanmak için bilgisayarımızda ki portları kullanırlar trojanlar arasından netbus ise bilgisayraımıza bağlanmak için 12345 portunu kullanır. Bunun gibi daha birçok port üzerinden çalışan trojanlarla karşılaşmak mümkündür.

BAZI TROJANLAR VE TEMİZLEME YÖNTEMLERİ
Temizlik sırasında yapmanız gereken bir takım işlemler vardır. Daha az deneyimli kullanıcılar için bu işlemlerin neler olduğunu ve nasıl yapılacağını bir kez gözden geçirelim.
l PC'yi MS-DOS Kipinde Başlatma: Bunun için görev çubuğunuzdan Başlat*Bilgisayarı Kapat komutuna tıklayın; ve karşınıza çıkacak menüde "MS-DOS Kipinde Başlat" seçeneğini işaretleyerek Tamam tuşuna basın.
l MS-DOS Komut İstemi Penceresi Açma: Yine görev çubuğunuzdan Başlat*Çalıştır komutuna tıklayın; ve açılan pencereye COMMAND yazın.
l DOS Ortamında Dosya Silme: Komut satırındayken
DEL "SilinecekDosyanınAdı"
komutunu kullanmalısınız. Örnek olarak Acid Shivers trojan dosyasını silerken
DEL "C:Windowsmsgsvr16.exe"
komutunu kullanıyoruz. Tırnak işaretlerini koymayı unutmayın; bu şekilde DOS'un desteklemediği uzun dosya isimleriyle karşı karşıya kaldığınızda başınız derde girmez.
l Windows Ortamında Dosya Silme: Bunu yapmak DOS ortamında komut yazmaktan daha kolaydır. Windows Gezgini'nde silmek istediğimiz dosyayı işaretleyerek sağ fare tuşuna tıklayın ve SİL komutunu seçin. PC'miz bize gerçekten silmek isteyip istemediğimizi sorduğunda ise olumlu cevap verin.
l Registry Değeri Silme: Öncelikle Başlat*Çalıştır komutunu çalıştırarak REGEDIT yazın. Karşınıza çıkacak pencerenin sol tarafında silinecek değerin adresini bulun ve sağ tarafta söz konusu değeri işaretleyip klavyedeki DELETE tuşuna basın. Mesela BackDoor trojanı için Haaa_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentV ersionRun adresini açıp sağ tarafta belirecek olan "icqnuke.exe" değerinden kurtulmanız gerekiyor.

DİKKAT EDİLMESİ GEREKEN NOKTALAR
l Trojan temizliğine başlamadan önce PC'nizdeki gizli ve sistem dosyalarınızın tümünü görünür hale getirin. Bunun için Windows Gezgini'nde Görünüm*Klasör Seçenekleri (View*Folder Options) menüsüne tıklayın; açılan pencerenin Görünüm (View) sekmesinde "Tüm Dosyaları Göster" (Show All Files) kutucuğunun işaretli olduğuna emin olun. Ayrıca altındaki "Bilinen Dosya Türlerinin Uzantılarını Gizle" kutucuğunun işaretini kaldırmanız da yararınıza olacaktır.
l Bazı trojan'ların açıklamalarında aynı ada ve farklı dizine sahip birden fazla dosyanın silinmesi gerektiği yazmaktadır. Eğer söz konusu dosya dizinlerden sadece birinde varsa onu silmeniz de yeterli olacaktır.
l Unutmayın ki trojanların isimlerini ve diğer bilgilerini değiştirmek pek zor değildir. Burada verdiklerimiz taşıdıkları orijinal özelliklerdir. Adı değiştirilmiş bir trojan dosyasının yerini belirlemek biraz daha problemlidir; bu sorunun çözümüne örnek olarak NetBus ve SubSeven trojanını inceleyebilirsiniz.
l Dosya veya Registry değeri silme işlemleri sırasında çok dikkatli olun. Özellikle Registry Windows için hayati önem taşır. Yanlış bir şey silmeniz sisteminizde aksaklıklara yol açabilir.

TEMİZLİK ZAMANI!

ACID SHIVERS
Port Numarası: 10520
Dosya Adı: "msgsvr16.exe"
Boyutu: 186 Kb
Dizini: C:Windows
1. Registy'nizdeki Haaa_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentV ersionRun "Explorer | msgsvr16.
exe" kaydını silin.
2. Registry'nizdeki Haaa_LOCAL_
MACHINESoftwareMicrosoftWindowsCurrentVersionRunSe rvices "Explorer | msgsvr16.exe" kaydını silin.
3. PC'nizi MS-DOS kipinde başlatın.
4. "C:Windowsmsgsvr16.exe" dosyasını silin.
5. PC'nizi yeniden başlatın.

BACK ORIFICE
Port Numarası: 31337
Dosya Adı: ".exe"
Boyutu: 122 Kb
Dizini: C:WindowsSystem
1. Registry'nizdeki Haaa_LOCAL_
MACHINESoftwareMicrosoftWindowsCurrentVersionRunSe rvices ".exe" kaydını silin.
2. PC'nizi yeniden başlatın.
3. Windows Explorer'ı başlatın. Görünüm*Klasör Seçenekleri menüsündeki Görünüm sekmesini açın ve Gizli Dosyalar bölümünde "Tüm Dosyaları Göster" seçeneğinin işaretli olduğundan emin olun.
3. "C:WindowsSystem.exe" dosyasını silin.
4. PC'nizi yeniden başlatın.

BACKDOOR
Port Numarası: 1999
Dosya Adı: "icqnuke.exe"
Boyutu: 102 Kb
Dizini: C:Windows C:WindowsSystem
1. Registry'nizdeki Haaa_LOCAL_
MACHINESoftwareMicrosoftWindowsCurrentVersionRun "icqnuke.exe" kaydını silin.
2. PC'nizi MS-DOS kipinde başlatın.
3. "C:Windowsicqnuke.exe" ve "C:WindowsSystemicqnuke.exe" dosyalarını silin.
4. PC'nizi yeniden başlatın.

BIG GLUCK
Port Numarası: 34324
Dosya Adı: "bg10.exe"
Boyutu: 100 Kb
Dizini: C:Windows C:WindowsSystem
1. Registry'nizdeki Haaa_LOCAL_
MACHINESoftwareMicrosoftWindowsCurrentVersionRunSe rvices "bg10.exe" kaydını silin.
2. PC'nizi MS-DOS kipinde başlatın.
3. "C:Windowsbg10.exe" ve "C:
WindowsSystembg10.exe" dosyalarını silin.
4. PC'nizi yeniden başlatın.

BLADE RUNNER
Port Numarası: 21 5400 5401 5402
Dosya Adı: "server.exe"
Boyutu: 323 Kb
Dizini: C:Windows C:WindowsSystem
1. Registry'nizdeki Haaa_LOCAL_
MACHINESoftwareMicrosoftWindowsCurrentVersionRun "server.exe" kaydını silin.
2. PC'nizi MS-DOS kipinde başlatın.
3. "C:Windowsserver.exe" ve "C:
WindowsSystemserver.exe" dosyalarını silin.
4. PC'nizi yeniden başlatın.

BUGS
Port Numarası: 2115
Dosya Adı: "bugs.exe"
Boyutu: 78 Kb
Dizini: C:Windows C:WindowsSystem
1. Registry'nizdeki Haaa_LOCAL_
MACHINESoftwareMicrosoftWindowsCurrentVersionRun "bugs.exe" kaydını silin.
2. PC'nizi MS-DOS kipinde başlatın.
3. "C:Windowsbugs.exe" ve "C:
WindowsSystembugs.exe" dosyalarını silin.
4. PC'nizi yeniden başlatın.

DEEP BACK ORIFICE
Port Numarası: 31338
Dosya Adı: ".exe"
Boyutu: 122 Kb
Dizini: C:Windows
1. Registry'nizdeki Haaa_LOCAL_
MACHINESoftwareMicrosoftWindowsCurrentVersionRunSe rvices ".exe" kaydını silin.
2. PC'nizi yeniden başlatın.
3. Windows Explorer'ı başlatın. Görünüm*Klasör Seçenekleri menüsündeki Görünüm sekmesini açın ve Gizli Dosyalar bölümünde "Tüm Dosyaları Göster" seçeneğinin işaretli olduğundan emin olun.
4. "C:WindowsSystem.exe" dosyasını silin.
5. PC'nizi yeniden başlatın.

DEEP THROAT
Port Numarası: 2140 3150
Dosya Adı: "systemaaaaa.exe"
Boyutu: 255 Kb
Dizini: ?
1. Registry'nizdeki Haaa_LOCAL_
MACHINESoftwareMicrosoftWindowsCurrentVersionRun anahtarını açın. "systemDLL32 | systemaaaaa.exe" kaydının işaret ettiği dizini bir kenara not aldıktan sonra söz konusu kaydı silin.
2. PC'nizi MS-DOS kipinde başlatın.
3. Not etmiş olduğunuz dizin altındaki "systemaaaaa.exe" dosyasını silin. MS-DOS kipinde adı 8 karakterden uzun dosyaların isimleri kısaltılacağı için "system~1.exe" veya benzeri ada sahip bir dosyayı aramalısınız. Eğer "system~" şeklinde başlayan birden fazla EXE dosyası varsa hangisinin trojan dosyası olduğundan emin olmadan silme işine girişmeyin.
4. PC'nizi yeniden başlatın.

CID SHIVERS
Port Numarası: 10520
Dosya Adı: "msgsvr16.exe"
Boyutu: 186 kb Dizini:
C:\Windows
1. Registry'nizdeki Haaa_LOKAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\RunServices "Explorer | msgsvr16.exe"
kaydını sil.
2. Registry'nizdeki Haaa_LOKAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\RunServices "Explorervmsgsvr16.exe" kaydını sil.
3. PC'nizi MS-DOS kipinde başlatın.
4. C:\Windows\msgsvr16.exe" dosyasını silin.
5. PC'nizi yeniden başlatın.

DOLY TROJAN
Port Numarası: 1011 21
Dosya Adı: "tesk.exe"
Boyutu: 169 Kb
Dizini: C:Wİndows C:WindowsSystem
1. Registry'nizdeki Haaa_LOCAL_
MACHINESoftwareMicrosoftWindowsCurrentVersionRun "tesk.exe" kaydını silin.
2. PC'nizi MS-DOS kipinde başlatın.
3. "C:Windowstesk.exe" ve "C:WindowsSystemtesk.exe" dosyalarını silin.
4. PC'nizi yeniden başlatın.

GIRLFRIEND
Port Numarası: 21554
Dosya Adı: "windll.exe"
Boyutu: ?
Dizini: C:Windows
1. Registry'nizdeki Haaa_LOCAL_
MACHINESoftwareMicrosoftWindowsCurrentVersionRun "windll.exe" kaydını silin.
2. PC'nizi yeniden başlatın.
3. "C:Windowswindll.exe" dosyasını silin.
4. PC'nizi yeniden başlatın.

HACK A TACK
Port Numarası: 31785 31787
Dosya Adı: "expl32.exe"
Boyutu: 236 Kb
Dizini: C:Windows
1. Registry'nizdeki Haaa_LOCAL_
MACHINESoftwareMicrosoftWindowsCurrentVersionRun "Explorer32 | C:Windowaaapl32.exe" kaydını silin.
2. PC'nizi MS-DOS kipinde başlatın.
3. "C:Windowaaapl32.exe" dosyasını silin.
4. PC'nizi yeniden başlatın.

INIKILLER
Port Numarası: 9989
Dosya Adı: "bad.exe"
Boyutu: ?
Dizini: C:Windows
1. Registry'nizdeki Haaa_LOCAL_
MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun "Explorer" kaydını silin.
2. PC'nizi yeniden başlatın.
3. "C:Windowsbad.exe" dosyasını silin.
4. PC'nizi yeniden başlatın.

MASTERS PARADISE
Port Numarası: 3129 40421 4042240423
40426
Dosya Adı: "sysedit.exe" "aaahook.dll"
Boyutu: ?
Dizini: C:Windows
1. Registry'nizdeki Haaa_LOCAL_
MACHINESoftwareMicrosoftWindowsCurrentVersionRun "sysedit.exe" kaydını silin.
2. PC'nizi yeniden başlatın.
3. "C:Windowssysedit.exe" ve "C:
Windowsaaahook.dll" dosyalarını silin.
4. PC'nizi yeniden başlatın.
5. Gerçek "sysedit.exe" dosyasını Windows CD'nizden veya güvendiğiniz bir arkadaşınızdan tekrar yükleyin.

NETBUS PRO
Port Numarası: 20034
Dosya Adı: "NBSvr.exe"
Boyutu: 599 Kb
Dizini: C:Windows C:WindowsSystem
1. Registry'nizdeki Haaa_LOCAL_
MACHINESoftwareMicrosoftWindowsCurrentVersionRunSe rvices "NetBus Server Pro | nbsvr.exe" kaydını silin.
2. Registry'nizdeki Haaa_CURRENT_
USERNetBus Server anahtarını silin.
3. PC'nizi MS-DOS kipinde başlatın.
4."C:WindowsNBSvr.exe" "C:WindowsNBHelp.dll" "C:WindowsLog.txt" dosyalarını silin. (Aynı dosyalar C:WindowsSystem dizininde de olabilir)
5. PC'nizi yeniden başlatın.

NETBUS
Port Numarası: 12345 12346
Dosya Adı: "aaaaa.exe"
Boyutu: 470 Kb
Dizini: C:WindowsSystem
1. Registry'nizdeki Haaa_LOCAL_
MACHINESoftwareMicrosoftWindowsCurrentVersionRun "aaaaa.exe" kaydını arayın. Söz konusu kaydı bulamazsanız trojan'ın adı değiştirilmiş demektir. Bu durumda aynı Registry anahtarı altında yer alan tüm EXE kayıtlarını not alın ve C:WindowsSystem dizinindeki EXE dosyalarıyla karşılaştırın. 470 KB boyutunda olan dosya adı değiştirilmiş NetBus trojanıdır. Registry kaydını silin.
2. Bir MS-DOS Komut İstemi penceresi açın ve "C:WindowsSystemaaaaa.
exe /remove" komutunu kullanın. (Trojanın adı değiştirilmişse aaaaa.exe yerine PC'nizdeki adını yazın.)
3. "C:WindowsSystemaaaaa.exe" dosyasını silin.

NETSPHERE
Port Numarası: 30100 30101 30102
Dosya Adı: "nssx.exe"
Boyutu: 640 Kb
Dizini: C:WindowsSystem
1. Registry'nizdeki Haaa_LOCAL_
MACHINESoftwareMicrosoftWindowsCurrentVersionRun "NSSX | C:WindowsSystemnssx.exe" kaydını silin.
2. PC'nizi MS-DOS kipinde başlatın.
3. "C:Windowsnssx.exe" dosyasını silin.
4. PC'nizi yeniden başlatın.

RAT
Port Numarası: 1095 1097 1098 1099
Dosya Adı: " .exe" "mswinsck.ocx"
"wavestream.dll" "regsvr32.exe"
Boyutu: 298 KB 99 Kb 35 Kb 20 Kb
Dizini: C:WindowsSystem
1. Registry'nizdeki şu anahtarları silin:
Haaa_LOCAL_MACHINESOFTWAREClassesCLSID{925B0F6C-605D-11CF-BAEF-F89005C10000}
Haaa_LOCAL_MACHINESOFTWAREClassesCLSID{925B0F6C-605D-11CF-BAEF-F89005C10000} Implemented Categories
Haaa_LOCAL_MACHINESOFTWAREClassesCLSID{925B0F6C-605D-11CF-BAEF-F89005C10000}
Implemented Categories{40FC6ED5-2438-11CF-A3DB-080036F12502}
Haaa_LOCAL_MACHINESOFTWAREClassesCLSID{925B0F6C-605D-11CF-BAEF-F89005C10000}InprocServer32
Haaa_LOCAL_MACHINESOFTWAREClassesCLSID{925B0F6C-605D-11CF-BAEF-F89005C10000}ProgID
Haaa_LOCAL_MACHINESOFTWAREClassesCLSID{925B0F6C-605D-11CF-BAEF-F89005C10000}Programmable
Haaa_LOCAL_MACHINESOFTWAREClassesCLSID{925B0F6C-605D-11CF-BAEF-F89005C10000}TypeLib
Haaa_LOCAL_MACHINESOFTWAREClassesCLSID{925B0F6C-605D-11CF-BAEF-F89005C10000}Version
Haaa_LOCAL_MACHINESOFTWAREClassesInterface{925B0F6 B-605D-11CF-BAEF-F89005C10000}
Haaa_LOCAL_MACHINESOFTWAREClassesInterface{925B0F6 B-605D-11CF-BAEF-F89005C10000}ProxyStubClsid
Haaa_LOCAL_MACHINESOFTWAREClassesInterface{925B0F6 B-605D-11CF-BAEF-F89005C10000}ProxyStubClsid32
Haaa_LOCAL_MACHINESOFTWAREClassesInterface{ 925B0F6B-605D- 11CF-BAEF-F89005C10000}TypeLib
Haaa_LOCAL_MACHINESOFTWAREClassesTypeLib{ 925B0F6D-605D-11CF-BAEF-F89005C10000}
Haaa_LOCAL_MACHINESOFTWAREClassesTypeLib{ 925B0F6D-605D-11CF-BAEF-F89005C10000}1.0
Haaa_LOCAL_MACHINESOFTWAREClassesTypeLib{ 925B0F6D-605D-11CF-BAEF-F89005C10000}1.0
Haaa_LOCAL_MACHINESOFTWAREClassesTypeLib{ 925B0F6D-605D-11CF-BAEF-F89005C10000}1.0win32
Haaa_LOCAL_MACHINESOFTWAREClassesTypeLib{ 925B0F6D-605D-11CF-BAEF-F89005C10000}1.0FLAGS
Haaa_LOCAL_MACHINESOFTWAREClassesTypeLib{925B0F6D-605D-11CF-BAEF-F89005C10000}1.0HELPDIR
Haaa_LOCAL_MACHINESOFTWAREClassesWaveStreaming.Wav eStream
Haaa_LOCAL_MACHINESOFTWAREClassesWaveStreaming.Wav eStreamClsid
2) Registry'nizdeki şu kayıtları silin:
Haaa_LOCAL_MACHINESOFTWAREClassesCLSID{925B0F6C-605D-11CF-BAEF-F89005C10000} @="WaveStreaming.WaveStream"
Haaa_LOCAL_MACHINESOFTWAREClassesCLSID{925B0F6C-605D-11CF-BAEF-F89005C10000} "
Haaa_LOCAL_MACHINESOFTWAREClassesCLSID{925B0F6C-605D-11CF-BAEF-F89005C10000} Stream"
Haaa_LOCAL_MACHINESOFTWAREClassesCLSID{925B0F6C-605D-11CF-BAEF-F89005C10000} TypeLib@="{925B0F6D-605D-11CF-BAEF-F89005C10000}"
Haaa_LOCAL_MACHINESOFTWAREClassesCLSID{925B0F6C-605D-11CF-BAEF-F89005C10000} Version@="1.0"
Haaa_LOCAL_MACHINESOFTWAREClassesInterface{925B0F6 B-605D-11CF-BAEF-F89005C10000} @="WaveStream"
Haaa_LOCAL_MACHINESOFTWAREClassesInterface{925B0F6 B-605D-11CF-BAEF-F89005C10000} ProxyStubClsid@="{00020424-0000-0000-C000-000000000046}"
Haaa_LOCAL_MACHINESOFTWAREClassesInterface{925B0F6 B-605D-11CF-BAEF-F89005C10000} ProxyStubClsid32@="{00020424-0000-0000-C000-000000000046}"
Haaa_LOCAL_MACHINESOFTWAREClassesInterface{925B0F6 B-605D-11CF-BAEF-F89005C10000} TypeLib@="{925B0F6D-605D-11CF-BAEF-F89005C10000}"
Haaa_LOCAL_MACHINESOFTWAREClassesInterface{925B0F6 B-605D-11CF-BAEF-F89005C10000} TypeLibVersion="1.0"
Haaa_LOCAL_MACHINESOFTWAREClassesTypeLib{925B0F6D-605D-11CF-BAEF-F89005C10000}1.0 @="MS Internet Audio Streaming Support"
Haaa_LOCAL_MACHINESOFTWAREClassesTypeLib {925B0F6D-605D-11CF-BAEF-F89005C10000}1.0win32 @="C:WINDOWSSYSTEMWAVESTREAM.DLL"
Haaa_LOCAL_MACHINESOFTWAREClassesTypeLib {925B0F6D-605D-11CF-BAEF-F89005C10000}1.0FLAGS @="0"
Haaa_LOCAL_MACHINESOFTWAREClassesTypeLib {925B0F6D-605D-11CF-BAEF-F89005C10000}1.0 HELPDIR@="C:WINDOWSSYSTEM"
Haaa_LOCAL_MACHINESOFTWAREClassesWaveSt Stream"
Haaa_LOCAL_MACHINESOFTWAREClassesWaveSt reaming.WaveStreamClsid @="{925B0F6C-605D-11CF-BAEF-F89005C10000}"
Haaa_LOCAL_MACHINESOFTWAREMicrosoftWindo wsCurrentVersionRun Explorer="C:WINDOWSsystem
MSGSVR16.EXE"
Haaa_LOCAL_MACHINESOFTWAREMicrosof tWindowsCurrentVersionRunServicesDefault=" "
Haaa_LOCAL_MACHINESOFTWAREMicrosoft WindowsCurrentVersionRunServiceaaaplorer=" "
3. PC'nizi MS-DOS kipinde başlatın.
4. "C:WindowsSystem .exe" "C:WindowsSystemMSGSVR16.EXE" "C:WindowsSystemwaveStream.dll" dosyalarını silin.
5. PC'nizi yeniden başlatın.

SUBSEVEN
Port Numarası: 1243 1999 6711 6776
Dosya Adı: [/b]
1. Dosya: "server.exe" "rundll16.exe"
"systray.dl" "Task_bar.exe"
2. Dosya: "FAVPNMCFEE.dll"
""MVOKH_32.dll" "nodll.exe"
"watching.dll"
Boyutu: [/b]328 Kb 35 Kb
Dizini:[/b] C:Windows C:WindowsSystem
1. "C:WindowsSystemSysEdit.exe" dosyasını çalıştırın. SYSTEM.INI dosyasının [boot] bölümündeki "shell=Explorer.exe" satırını inceleyin. Satırın sağına yukarıda adı geçen dosya adlarından biri eklenmişse dosya adını bir kenara not edin ve satırı "shell=Explorer.exe" haline getirin.
2. Aynı penceredeki WIN.INI dosyasının [windows] bölümünde "run=" ve "load=" diye başlayan satırları inceleyin. Söz konusu satırlardan biri yukarıda adı geçen dosyalardan birine işaret ediyorsa dosya adını not edin ve satırı silin.
3. Yapmış olduğunuz değişiklikleri kaydedip SysEdit penceresini kapatın.
4. Registry'nizdeki Haaa_LOCAL_
MACHINESoftwareMicrosoftWindowsCurrentVersionRun anahtarını inceleyin ve yukarıda adı geçen dosyalara işaret eden kayıtları silin. Herhangi bir kayıt bulamazsanız trojanın adı değiştirilmiş demektir. Bu durumda aynı Registry anahtarı altında yer alan tüm EXE kayıtlarını not alın ve C:Windows dizinindeki EXE dosyalarıyla karşılaştırın. 328 Kb boyutunda olan dosya adı değiştirilmiş SubSeven trojanıdır. Registry kaydını silin.
5. PC'nizi yeniden başlatın.
6. C:Windows dizinindeki trojan dosyasını silin.

WHACK A MOLE
Port Numarası: 12361 12362
Dosya Adı: "whack.exe"
Boyutu: ?
Dizini: C:Windows
1. Registry'nizdeki şu kayıtları silin:
Haaa_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentV ersionRun "NetBuster"
Haaa_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentV ersionRun "SysCopy"
Haaa_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentV ersionRunServices "RunDll"
Haaa_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentV ersionRunServices "RunDll32"
2. Registry'nizdeki Haaa_CLASSES_
ROOT.dl_ anahtarını silin.
3. PC'nizi MS-DOS kipinde başlatın.
4. C:Windows dizini altındaki Şu dosyaları silin:
aaahook.dll
aaahook.dl_
nbsetup.reg
nb2setup.reg
ntsetup.reg
nt2setup.reg
rundll.dl_
whack.exe
5. PC'nizi yeniden başlatın.

WINCRASH
Port Numarası: 5742
Dosya Adı: "server.exe"
Boyutu: 290 Kb
Dizini: C:WindowsSystem
1. Registry'nizdeki Haaa_LOCAL_
MACHINESoftwareMicrosoftWindowsCurrentVersionRun "MsManager | SERVER.EXE" kaydını silin.
2. PC'nizi MS-DOS kipinde başlatın.
3. "C:WindowsSystemserver.exe" dosyasını silin.
4. PC'nizi yeniden başlatın


Kim uğraşacak kardeşim bu kadar zımbırtıyla diyorsanız ; güncel bir antivirüs veya Trojan Remover programı kullanmanız yeterlidir

BoDyGuArD

bilgiler güzel eline sağlık