- Konum
- BERTUNA
-
- Üyelik Tarihi
- 2 Haz 2020
-
- Mesajlar
- 5,363
-
- MFC Puanı
- 16,500
Windows İşletim Sistemlerinde Otomatik Başlat (AutoRun) özelliğinin Çıkarılabilir Medyalar(Flash bellek,Usb'den çalıaşan HDD'ler gibi....) Bakımından devreye sokulması veya devreye çıkarılması bir tercih meselesi olup mesela bilgisayarınıza sizden habersiz bir kişinin(örneğin en tipik örnek aklı bir karış havada olan kardeşiniz) veya ofiste sizden habersiz Notebookunuzdan bilgi belge resim veya video aşırmaya çalışan arkadaşınız(benim başıma geldi ben bir özel şirkette Maden Mühendisi olarak saha mühendisi olarak görev yapıyordum ve günü 7-8 saati Krom(CR2O3.3H2O) sahasında olmam gerekiyordu.
Tabii kafamda bir düşünce dalgınım sen tut Notebook Pc'yi açık unut ...! Geldiğmde sistem çökmüş bütün raporlar hepsi kül oldu(sonradan anladım ki ayağımı kaydırdılar Patrona beni asılsız itamlarla şikayet ettiler Rapor tutmuyor diye tabii işimden oldum o gündür bugündür işim yok.. Her neyse bilgisayar üzerinde yaptığım incelemede BİR USB FLASH bellek takılmış(nasıl inceliyorum biliyor musunuz? Türk Polis Teşkilatı Bilişim Suçları Masasının kulandığı bir yazılım var işte bu yazılımla adli (CİNAYET VEYA ONUN GİBİ) MAHALİNDE bulunan bilgisayar sistemlerin(masaüstü/dzüstü pcler) HDD yerinden sökmeden imajlarını alıp Emniyette Bu yazılımla inceliyorlar) İşte bende bunla kendi bilgisayarımı(çökmüş açılmayan) inceledim demin belirtiğim üzere sisteme bir 8 GB büyüklüğünde disk takılmış Belgelerim\XXXX MADENCİLİK SAHA RAPORLARI adlı klasör buraya kopyalanmış ve bu klasör silinmiş bütün bunlar olurken flash bellekteki autorun.inf dosyasındaki bir WORM+TROJAN karışımı HiBRİT virüs sistemin C:\Windows \System32 klasörü içindeki tüm herşeyi delete C:\Windows\*.* KOMUTU ile silmiş ve bilgisayar kopyalama yaparken aniden resetlemiş tabii adamın flash yanmış.Sizde bilgisayarda ne olup bittiiğni öğrenmek için bu pahalı ve ender bulunan yazılıma bağlı değilsiniz
Yapacacağınz çok basit aşağıdaki adımları sırasıyla uygulayınız.
1.Başalt Menüsünden DenetimMasasını tıklatınız
2.Denetim Masasınada Sistem ve Güvenlik Sekmesine Tıklatınız
3.Sistem ve Güvenlik Sekmesinde Yönetimsel Araçları Tıklatınız.
4.Şimdi karşınıza gelen Olay Günlükleri penceresinde Sol konsoldaki Windows Günlüklerine Tıklatınz.
5.Windows Günlükleri konsolunun sağ kesiminde Sisteme Tıklatınız ve Burada ''i'' (informasyon ingiliz kelimesinin baş hafi) 'ler sistemle ilgili işleyiçlerin normal.üzeinde sarı üçgenli ! işareti olanlar genellikel çevre birim üniteleri(fare usb yada klavye9 hakkında bilgi verme açmalı olup sisteme eklenen veya çıkartılan birimler ve diğer windows iç hizmetlerle ilgili mesala 11.scvhost.exe nin sistemde %2 'lik kaynak önceliği alarak sistemden 40.000 kb üzerinde ram yemesi(Worm veya Trojan belirtisi) sonucu bilgilendirme notları gibi...Kırmızı daire içinde X olanlar sistem üzeinde aksayan debugsel işlemleri ifade eder.
DAHA BİTMEDİ....
Bütün bunları incelendikten sonra bunlar ilgili çözümlerin bulunduğu Kısım yine Windows Günlükleri konsolunun sol tarafında bulunan Uygulama ve Hizmet Günlükleri sekmesi altında Microsoft>Windows sekmesine tıklatınız açılan uzun klasör ağacında Diagnostics-Performance sekmesini tıklatınız ve daha önce ! işaretli olan kısımların olaay kodundan (bir kağıda not almış iseniz) buradan o kodu bularak sorunun çözümünü ve sistemin neden takıldığını(tökezlediğni) bulabilirsiniz eğer olay kodu burada yoksa intermet www.google.com aratabilir sorunu çözenilirsiniz.
Konuyu iyice dağıttlk şimdi toparlama zamanı ...İşte yukarıdaki olumsuz durum(benim başıma helen) olmaması için yapmanız gereken adımlar aşağıda anlatılmıştır.
1. Windows Logosu + R Tuş kombinasyonu ile Çalıştır Kutusuna regedit yazınız ve enter basınız.
2.Açılan Windows Kayıt Defterinden
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ Explorer
anahtarını bulunuz.
3.Explorer alt anahtar klasörüne bir kez tılalatınz.
4.Açılan sağ tarafta iki tane değer var 1 tane dize diğeri(üzerinde 010 sayılarından oluşan alttan yırtık simgeli ) 32 BİTLİK DWORD değeri olan NoDriveTypeAutoRun isminde bir değer var buna çift tıklatınız.(Normalde sistem tarafından atanan değer 145(ondalık işaretli olacak)
5.ŞİMDİ SIKI DURUN.....! Bu değeri değiştirebilyoruz
İşte değerler
Olası değerler (içinde ondalık notasyon):
1 veya 128 - bilinmeyen türde sürücüler devre dışı autorun.
4 - taşınabilir medya autorun devre dışı
8 - sabit diskler üzerinde autorun devre dışı
16 - ağ sürücüleri devre dışı autorun devre dışı
32 - CD-ROM autorun devre dışı
64 - RAM disk üzerinde autorun devre dışı
255 - Tüm medya devre dışı bırakmak için autorun devre dışı
ŞİMDİ SIKI DURUN_2:
1,4,8,16,32,64 (255 HARİÇ) birbirleri ile cebirsel toplamı asla ve asla 255 geçemez.Geçerse Windows
Bir daha ki başlatmada endüşük değer olan 1 kendiğininden atar....!
NoDriveTypeAutoRun çift tıkatınız ve değer verisine ondalık işaretlerek mesela bendeniz trwe 4+128=132 sayısını atamakla ben windows'a diyorum ki ARKADAŞ....! HEMEN FLASH BELLEKLER VE BİLİNMEYEN UYGULAMALARIN(msela Deamond sana sürücüleri) BAŞLATMASINI ENGELLE.... (bazı yazıalrı büyük yazdım amacım bağırmak değil dikkat çekerek vurgulamaktır aman yanlış anlaşılmasın) Sonra sistem yeniden başlatınız.
Tabii kafamda bir düşünce dalgınım sen tut Notebook Pc'yi açık unut ...! Geldiğmde sistem çökmüş bütün raporlar hepsi kül oldu(sonradan anladım ki ayağımı kaydırdılar Patrona beni asılsız itamlarla şikayet ettiler Rapor tutmuyor diye tabii işimden oldum o gündür bugündür işim yok.. Her neyse bilgisayar üzerinde yaptığım incelemede BİR USB FLASH bellek takılmış(nasıl inceliyorum biliyor musunuz? Türk Polis Teşkilatı Bilişim Suçları Masasının kulandığı bir yazılım var işte bu yazılımla adli (CİNAYET VEYA ONUN GİBİ) MAHALİNDE bulunan bilgisayar sistemlerin(masaüstü/dzüstü pcler) HDD yerinden sökmeden imajlarını alıp Emniyette Bu yazılımla inceliyorlar) İşte bende bunla kendi bilgisayarımı(çökmüş açılmayan) inceledim demin belirtiğim üzere sisteme bir 8 GB büyüklüğünde disk takılmış Belgelerim\XXXX MADENCİLİK SAHA RAPORLARI adlı klasör buraya kopyalanmış ve bu klasör silinmiş bütün bunlar olurken flash bellekteki autorun.inf dosyasındaki bir WORM+TROJAN karışımı HiBRİT virüs sistemin C:\Windows \System32 klasörü içindeki tüm herşeyi delete C:\Windows\*.* KOMUTU ile silmiş ve bilgisayar kopyalama yaparken aniden resetlemiş tabii adamın flash yanmış.Sizde bilgisayarda ne olup bittiiğni öğrenmek için bu pahalı ve ender bulunan yazılıma bağlı değilsiniz
Yapacacağınz çok basit aşağıdaki adımları sırasıyla uygulayınız.
1.Başalt Menüsünden DenetimMasasını tıklatınız
2.Denetim Masasınada Sistem ve Güvenlik Sekmesine Tıklatınız
3.Sistem ve Güvenlik Sekmesinde Yönetimsel Araçları Tıklatınız.
4.Şimdi karşınıza gelen Olay Günlükleri penceresinde Sol konsoldaki Windows Günlüklerine Tıklatınz.
5.Windows Günlükleri konsolunun sağ kesiminde Sisteme Tıklatınız ve Burada ''i'' (informasyon ingiliz kelimesinin baş hafi) 'ler sistemle ilgili işleyiçlerin normal.üzeinde sarı üçgenli ! işareti olanlar genellikel çevre birim üniteleri(fare usb yada klavye9 hakkında bilgi verme açmalı olup sisteme eklenen veya çıkartılan birimler ve diğer windows iç hizmetlerle ilgili mesala 11.scvhost.exe nin sistemde %2 'lik kaynak önceliği alarak sistemden 40.000 kb üzerinde ram yemesi(Worm veya Trojan belirtisi) sonucu bilgilendirme notları gibi...Kırmızı daire içinde X olanlar sistem üzeinde aksayan debugsel işlemleri ifade eder.
DAHA BİTMEDİ....
Bütün bunları incelendikten sonra bunlar ilgili çözümlerin bulunduğu Kısım yine Windows Günlükleri konsolunun sol tarafında bulunan Uygulama ve Hizmet Günlükleri sekmesi altında Microsoft>Windows sekmesine tıklatınız açılan uzun klasör ağacında Diagnostics-Performance sekmesini tıklatınız ve daha önce ! işaretli olan kısımların olaay kodundan (bir kağıda not almış iseniz) buradan o kodu bularak sorunun çözümünü ve sistemin neden takıldığını(tökezlediğni) bulabilirsiniz eğer olay kodu burada yoksa intermet www.google.com aratabilir sorunu çözenilirsiniz.
Konuyu iyice dağıttlk şimdi toparlama zamanı ...İşte yukarıdaki olumsuz durum(benim başıma helen) olmaması için yapmanız gereken adımlar aşağıda anlatılmıştır.
1. Windows Logosu + R Tuş kombinasyonu ile Çalıştır Kutusuna regedit yazınız ve enter basınız.
2.Açılan Windows Kayıt Defterinden
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ Explorer
anahtarını bulunuz.
3.Explorer alt anahtar klasörüne bir kez tılalatınz.
4.Açılan sağ tarafta iki tane değer var 1 tane dize diğeri(üzerinde 010 sayılarından oluşan alttan yırtık simgeli ) 32 BİTLİK DWORD değeri olan NoDriveTypeAutoRun isminde bir değer var buna çift tıklatınız.(Normalde sistem tarafından atanan değer 145(ondalık işaretli olacak)
5.ŞİMDİ SIKI DURUN.....! Bu değeri değiştirebilyoruz
İşte değerler
Olası değerler (içinde ondalık notasyon):
1 veya 128 - bilinmeyen türde sürücüler devre dışı autorun.
4 - taşınabilir medya autorun devre dışı
8 - sabit diskler üzerinde autorun devre dışı
16 - ağ sürücüleri devre dışı autorun devre dışı
32 - CD-ROM autorun devre dışı
64 - RAM disk üzerinde autorun devre dışı
255 - Tüm medya devre dışı bırakmak için autorun devre dışı
ŞİMDİ SIKI DURUN_2:
1,4,8,16,32,64 (255 HARİÇ) birbirleri ile cebirsel toplamı asla ve asla 255 geçemez.Geçerse Windows
Bir daha ki başlatmada endüşük değer olan 1 kendiğininden atar....!
NoDriveTypeAutoRun çift tıkatınız ve değer verisine ondalık işaretlerek mesela bendeniz trwe 4+128=132 sayısını atamakla ben windows'a diyorum ki ARKADAŞ....! HEMEN FLASH BELLEKLER VE BİLİNMEYEN UYGULAMALARIN(msela Deamond sana sürücüleri) BAŞLATMASINI ENGELLE.... (bazı yazıalrı büyük yazdım amacım bağırmak değil dikkat çekerek vurgulamaktır aman yanlış anlaşılmasın) Sonra sistem yeniden başlatınız.