dialer (bol sıfırlı telefon faturalarına) ve spywarelere son

Sisteminiz açıldığında modeminiz kendi kendine arama yapıyor. Telefon faturalarınız bol sıfırlı geliyor. Türk Telekom itiraz kabul etmiyor. İnternet başlangıç sayfanız değişmiyor. www yazıyorsunuz otamatik istenmeyen yerlere gidiyor internet exploreriniz. click me diye bir yazı var bilgisayarınızda ***** sitelerinin pencerelerinden reklamlardan geçilmiyor. Hepsine çözüm var aşağıdaki yazımı gözden geçirin. Anlattıklarım xp için geçerli olup win98,win95 ve winme kullanıcıları da faydalanabilir. Onların registry kayıtları da muhtemelen benziyordur.

Spyware-Dialer Temizleme (winxp için)

Önce temp ve cookies klasörlerindeki dosyaları silin. (İnternet seçenekleri: tanımla bilgisi, dosya sil (tüm
çevrimdışı içeriği sil'i de işaretleyin.),geçmişi silin. Ayrıca c:\documents and settings\kullanıcı adı\cookies
klasörünü açın index.dat dışındaki tüm içeriği işaretleyip silin. Yine c:\documents and settings\kullanıcı adı\
temp klasörünü açın içindekilerin tümünü silin.C:\Documents and Settings\fyildirim\Local Settings\Temporary
Internet Files klasörünü açın tüm içeriği silin.C:\Documents and Settings\fyildirim\Templates klasörünü açıp tüm
içeriği silin.

1. Sisteminizi spybot ve norton antivirus ile temizleyin. ad-aware, spy sweeper, bps spy remover tam temizleme sağlamıyor.

2.Internet başlangıç sayfasını değiştiremiyorsanız registrydeki HKEY_CURRENT_USER\Software\Policies\Microsoft\
Internet Explorer\Control Panel anahtarını açın. Sağ tarafta bulunan HomePage REG_DWORD 0X00000001(1) değerin-
deki parantez içindeki (1) değerini (0) olarak değiştirin.

3.HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main!i açın sağ tarafta bulunan start page ve search page
deki yazan sayfa adreslerini kontrol edin. Çift tıklayarak dilediğiniz sayfa adreslerini girebilirsiniz. Start_page
_bak ve search_page_bak gibi uzantısı bak olan değerler varsa silin.

4.HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\TypedURLs anahtarını açın. sağ tarafta yazan url1 ile
başlayan yerledeki spyware sayfalar veya istemediğiniz sayfalar varsa silin.

5.HKEY_CURRENT_USER\Software\Microsoft\Windows\Cur rentVersion\Run,RunOnce anahtarlarını açın. Sağ tarafta bulu-
nan değerler sistem her açılışında otamatik yüklenir. Spyware değerler genellikle uzantısı exe olan sex.exe, sex2.
exe,winupdate, windowsupdate, winupgrade, windows upgrade gibi değerler varsa silin. Sıfır service pack1 yüklü
bir xpde run anahtarında [(varsayılan) RG_SZ (Değer Atanmamış), CTFMON.EXE REG_SZ C:\Windows\System32\Ctfmon.Exe
msnmsgr RG_SZ C:\Program Files\MSN Messenger\Msnmsgr.exe/background (msn yüklü) dizeleri olur. Başka değerlerde
görüyorsanız sisteminizde yüklü olan programlarla karşılaştırın. Muhtemelen olabilecek değerler antivirus prog-
ramlarının anahtarları, spyware remover programlarının değerleri winamp.exe gibi değerler olabilir.RunOnce anah-
tarında genellikler bir değer olmaz.

6.HKEY_CURRENT_USER\Software\Microsoft\Windows\Cur rentVersion\Internet Settings\ZoneMap\Domains anahtarını açın
sağ tarafta bulunan değerleri kontrol edin. Normalde (Varsayılan) RG_SZ dışında değer olmaz. Spyware girdiler
burada anahtar yazarlar (cool\Metasearch Search Engine - Search.com ve xxtoolbar.com gibi)

7. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main anahtarını açın sağ tarafta bulunan start page ve
search page deki yazan sayfa adreslerini kontrol edin. Çift tıklayarak dilediğiniz sayfa adreslerini girebilirsiniz.
start_page_bak ve search_page_bak gibi uzantısı bak olan değerler varsa silin.

8.HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Cu rrentVersion\Run ve RunOnce anahtarlarını açın.Yazılı girdilerin
sisteminizle uyuşup uyuşmadığını kontrol edin. Yukarıdaki run ve runonce anahtarlarında anlatılanları uygulayın.
Burda RunOnceEx anahtarı bulunur genellikle bir değer olmaz [(varsayılan) RG_dışında.]

9.İnternet sayfanızı açtığınızda www veya http yazdığınızda direk olarak istemediğiniz bir sayfa açılıyorsa ki
spyware dir.HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ CurrentVersion\URL\Prefixes ve DefaultPrefix anahtarlarını
açın. sağ tarafta yazan girdileri kontrol edin. Muhtelemen www ile başlayan yerde http:// kısmında bir sayfa adresi
yazıyordur bunu silin. Veya sık girdiğiniz bir sayfayı yazıp www yazıp sayfanın gelmesini sağlayabilirsiniz. Default
olarak www REG_SZ http:// şeklindedir. Bir sayfa girilmemiştir.

10.HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\C urrentVersion\Internet Settings\ZoneMap\Domains anahtarını kont-
rol edin. Yukarıda anlatıları uygulayın.

11.HKEY_USERS\S-1-5-21-2052111302-616249376-682003330-1116\Software\Microsoft\Internet Explorer\Main'kontrol edin.
start_page_bak search_page_bak gibi sahte girdiler muhtemeln burdadır. Normal start_page ve search pageleri kontrol
edin. Yukarıda anlatınları uygulayın.

12.HKEY_USERS\S-1-5-21-2052111302-616249376-682003330-1116\Software\Microsoft\Internet Explorer\TypedURL anahtarını
kontrol edin. Yukarıda anlatılanları uygulayın.

13.HKEY_USERS\S-1-5-21-2052111302-616249376-682003330-1116\Software\Microsoft\Windows\CurrentVersion\Run ve RunOnce
anahtarlarını yukarıda anlatılanlara göre kontrol edin. Genelde RunOnce değerinde (varsayılan değer) RG_SZ dir. Run
anahtarını yukarıda anlatılanlarla karşılaştırın.

14.HKEY_USERS\S-1-5-21-2052111302-616249376-682003330-1116\Software\Microsoft\Windows\CurrentVersion\Int ernet
Settings\ZoneMap\Domains anahtarını yukarıda anlatılara göre kontrol edin.


Registryde manuel olarak düzeltilecek anahtarlar bu kadar. Sisteminizi kapatıp açın aşağıda anlatılanları uygulayın.

Harddisk içinde sex.exe, sex2.exe, winupgrade.exe, winupgrade.exe, winupdate.exe, windowsupdate.exe, cydoor, 00*.
exe (yıldız yerine bir çok numara gelebiliyor),win32.exe., svvhost.exe, khooker.exe, alg.exe gibi dosyaları silin.
Bunlar dialer (milyonlarca lira internet faturasına sebeb progr*****lar.

system32\adcache
system32\adcache\temp dosyaları da silinecek dosyalarıdır.
system\khooker.exe
system\svvhost.exe
DİKKAT:!!! HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\WindowsUpdate anahtarı gerçek update anahtarıdır. svchost.exe ile svvhost.exeyi birbirine karıştırmayın. svchost.exe sistemin kullandığı programdır. Diğeri dialerdır. Silmeyin.

©2004 splinter tarafından yazılmıştır.