Regedit engellendiyse, ne yapayım???
Bazı zararlılar, bilgisayarda REGEDIT , KOMUT KONSOLU, TASK MANAGER gibi araçları engelleyerek, kullanıcının müdahalesini engellemeyi arzularlar.
Bunun için, daha önce karşılaştığım zararlılarda kullandığım birkaç temel komuttan bahsedeceğim.
Komut konsolunu kullanarak REGISTRY’ye ulaşma:
Aşağıdaki komutları kullanarak komut konsolundan registry’ye ulaşabilirsiniz:
REG QUERY
REG ADD
REG DELETE
REG COPY
REG SAVE
REG RESTORE
REG LOAD
REG UNLOAD
REG COMPARE
REG EXPORT
REG IMPORT (Tüm komutların yanına /? yazarak detaylara bakmanızı tavsiye ederim)
Genel olarak kullandığım yöntem,
1. Kayıtları bir dosyaya kaydetmek.
2. Kayıtlarda zararlı izlerini aramak ve silmek
3. Dosyayı tekrar REGISTRY’ye aktarmaktır. Bunun için öncelikle,
C:\> REG EXPORT HKLM DOSYA_ADI.reg ya da REG EXPORT HKCU DOSYA_ADI.reg
komutunu vererek, C:\ yoluna LOKAL.reg adında bir dosya oluşturursunuz. (HKLM -> Local Machine, HKCU -> Current User anlamına geliyor) Daha sonra bu dosyayı notepad ile açarak aşağıdaki iki değeri ya da diğer değerleri (Örn: Otomatik başlatma, DLL enjeksiyon vs.) silersiniz.
TaskManager için:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr]
Regedit için:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools]
Bu anahtarı silmeye müteakip, dosyayı kaydedip, kapatın. Daha sonra da C:\>REG IMPORT DOSYA_ADI.reg komutunu vererek dosyadaki değerlerin kayıt defterine yeniden alınmasını sağlayın.
İşte bu kadar…
Bunun için, daha önce karşılaştığım zararlılarda kullandığım birkaç temel komuttan bahsedeceğim.
Komut konsolunu kullanarak REGISTRY’ye ulaşma:
Aşağıdaki komutları kullanarak komut konsolundan registry’ye ulaşabilirsiniz:
REG QUERY
REG ADD
REG DELETE
REG COPY
REG SAVE
REG RESTORE
REG LOAD
REG UNLOAD
REG COMPARE
REG EXPORT
REG IMPORT (Tüm komutların yanına /? yazarak detaylara bakmanızı tavsiye ederim)
Genel olarak kullandığım yöntem,
1. Kayıtları bir dosyaya kaydetmek.
2. Kayıtlarda zararlı izlerini aramak ve silmek
3. Dosyayı tekrar REGISTRY’ye aktarmaktır. Bunun için öncelikle,
C:\> REG EXPORT HKLM DOSYA_ADI.reg ya da REG EXPORT HKCU DOSYA_ADI.reg
komutunu vererek, C:\ yoluna LOKAL.reg adında bir dosya oluşturursunuz. (HKLM -> Local Machine, HKCU -> Current User anlamına geliyor) Daha sonra bu dosyayı notepad ile açarak aşağıdaki iki değeri ya da diğer değerleri (Örn: Otomatik başlatma, DLL enjeksiyon vs.) silersiniz.
TaskManager için:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr]
Regedit için:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools]
Bu anahtarı silmeye müteakip, dosyayı kaydedip, kapatın. Daha sonra da C:\>REG IMPORT DOSYA_ADI.reg komutunu vererek dosyadaki değerlerin kayıt defterine yeniden alınmasını sağlayın.
İşte bu kadar…
Yorumlar