Autoruns for Windows nasıl kullanılır?

Posted by

Autoruns for Windows nasıl kullanılır?

Merhaba Arkadaşlar

Bu makalemde size Autoruns for Windows adlı Microsoft programını anlatacağım.Öncelikle bu programla neler yapılır bundan biraz bahsedelim.

Bu program bizlere birçok programın bir arada sunulmuş hali gibi. Hijackthis , Dian-aFix – Msconfig gibi araçların bir arada bulunan ve arayüzü olan hali.

Bu programı indirdiğimizde içinde iki adet seçenek çıkacak, autoruns ve autorunsc. Aralarında bir fark yok tamamen aynı şeyler, fakat birisi arayüz üzerinden diğeri ise CMD üzerinden çalıştırılıyor. Ben arayüz üzerinden devam edeceğim,

Öncelikle buradaki sayfa üzerinden Autorun adlı programı indirelim ve zip dosyasını bir klasöre çıkartalım.

Ardından klasöre çıkan programlardan autoruns adlı programa sağ tıklayıp yönetici olarak çalıştıralım. Eğer yönetici olarak çalıştırmazsanız bazı işlemleri yaparken 0x80070005 adlı erişim hatasını alırsınız.

Kullanmadan önce yapılması gerekenler;

      • Birşeyi devredışı bırakmak veya silmek için bulduğunuz programa/servise sağ tıklayıp işlem yapabilirsiniz.
      • Üst tabda bulunan Options üzerinden Hide Microsoft Entries seçeneğini işaretleyelim ki İşletim sistemine zarar vermeyelim ( Office kaldıracaksanız işaretlemeyin)
      • Jump to… sekmesini tıklarsanız programa veya programın kayıtlarına gidersiniz.
      • Search Online program hakkında internette araştırma yapar ( varsayılan tarayıcı üzerinden varsayılan arama motorunu kullanır)

Renklerin Anlamları:

      • Sarı: Üzeri sarı olarak işaretli herhangi bir şey görürseniz , bu objenin kayıt defteri anahtarı var olduğunu fakat objenin olmadığını gösterir.
      • Pembe: Üzeri pembe olarak işaretliler ise obje ile ilgili bilgiye erişilemediğini gösterir. Yani doğrulanmamış bir sürücü veya yeni bir şey olabilir. Çok bir önemi yok.
      • Yeşil: Bu renk daha önce burada yer almayan eski autorun datalarını karşılaştırmak için kullanıldı

Karşımıza çıkan programda üst kısımda başlıklar göreceksiniz bunları açıklayalım;

Everything:

Autoruns’u ilk açtığınızda karşınıza bu sekme gelecektir. Adından da anlaşılacağı üzere ” herşey ” bu sekme üzerinde toplanmış olarak duruyor. Burada sadece Winsock kısmını göremiyorsunuz.

Winlogon, Winsock Provides, Print Monitors, LSA providers, Network Providers

Bu alanlarla ilgili fazla endişe duymanızı gerektirecek bir şey olmaz. Burada sadece Windows’un çeşitli yönleri ile ilgili eklentiler bulunur.

Winlogon ve LSA providers : bilgisayarın açılışında kullanıcı kimlik doğrulaması ve oturum açma ile ilgili bilgiler bulunur.

Winsock Providers ve Network Providers : Bu alanda Windows’u network handle etmesi ile ilgili bilgiler bulunur.

Print Monitors : Bu alanda ise bilgisayarınızda 3.party bir yazıcı varsa bu yazıcının sürücüleri ve yazıcı ile ilgili bilgiler bulunur.

WMI

Windows Management Instrumentation, yani Windows işletim sistemi içerisindeki hemen hemen herşeyi bağlı olduğu alan. Neredeyse herşeyi buradan kontrol edebilirsiniz. Bu alanı fazla kurcalamamakta fayda var. Çok ileri düzey WMI bilmiyorsanız birşeyleri bozabilirsiniz ve sıkıntı büyük olur. 🙂

Sidebar Gadgets

Eğer Windows 7 veya Vista kullanıyorsanız ve ekranda bulunan araçlarınız varsa burada bu araçlarla ilgili bilgileri görebilirsiniz.

Office

Bu bölümde Microsoft Office ürününe ait bilgilere ulaşabilirsiniz.

Logon

Bu sekmede bilgisayarınızı ilk açtığınızda çalışan programları görüyoruz. Otomatik olarak çalışan programlar bilgisayarınızın açılışını yavaşlatacağı gibi normal kullanımda da arka planda olmaya devam edeceğinden dolayı performansını düşürecektir. Virüslerinde burayı çekici bulmasının sebebi sanırım bu. Virüslerin burada bulunma ihtimali yüksektir.

Peki bu bilgiler nereden geliyor? Dediğinizi duyar gibiyim, bu bilgileri HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun altındandan çekiyor. Bizim bu programı kullanırken yapacağımız işlemse bunları bulup, zararlı olanları tespit ettikten sonra silmek veya devredışı bırakmak olacak.

Explorer:

      • Sağ tık menüsünde antivirüs olması
      • Klasör açtığınızda barların değişik gelmesi
      • Araç çubuklarındaki özellikler
      • Büyütme küçültme ile ilgili eklentiler vb.

Mesela benim bilgisayarımde Explorer için TeraCopy ve WinRAR örneklerini görüyoruz ve ikiside kullandığım özellik olduğu için dokunmuyorum.

Eğer Explorer ile ilgili sorunlar yaşıyorsanız bu sekmeye bakmanızda fayda var. Unutmamanızda fayda gördüğüm diğer bir şey ise bu sadece Explorer değil bütün bilgisayar performansı ile de ilgilidir. Eğer bu sekmede çok fazla şey görüyor ve çoğu özelliği kullanmıyorsanız kaldırın. Fakat kaldırmadan önce detaylı olarak bakın ki kullandıklarınızı da kapatmayın. Örneğin en çok kullanılan yazılım olan WinRAR’ı kaldırarak sağ tık menüsünü değiştirebilir veya bunun gibi kullandığınız özellikleri de silebilirsiniz. Burada yaptığnıız değişiklikler restart gerektirebilir.

Internet Explorer:

Son yıllarda sürekli düşüşte olan tarayıcı olan Internet Explorer’in eklentilerini, ayarlarını ve bunun gibi özelliklerini kontrol edeceğiniz alan. Bu alan da yine Explorer gibi kullandığınız ve kullanmadığınız programlara dikkat edilerek temizlenmesi gerek. Eğer Internet Explorer’i hiç kullanmıyorum diyorsanız gördüğünüz herşeyi silebilirsiniz. Ama unutmayın sildikten sonra tekrar geri eklemek gibi bir butonu yok, eğer biliyorsanız veya yedeğiniz varsa kendiniz tekrar eklersiniz ama bunlar elinizde yoksa o eklentiyi veya özelliği veren program veya servisi tekrar kurmanız gerekir.

Örneğin ;

Ben fazla Internet Explorer kullanmıyorum ve bende eklenti veya bunun gibi bir şey yok. Olsaydı temizleyebilirdim.

Scheduled Tasks

Sheduled Task yani türkçe olarak Görev Zamanlayıcı. Burası da bilgisayar içerisinde bulunan zamanlanmış görevleri görebileceğimiz alan. Eğer bir performans sorunu veya virüs sorununuz varsa Logon’dan sonra ikinci bakmanız gereken yerdir. Neden diye soracak olursak , virüslerin eskiden çok kullandığı yöntem olan zamanlanmış görevler şu şekilde olabiliyordu ,

Bir görev oluşturuluyor ve komutların şu şekilde olduğunu varsayın.

Bilgisayar her açıldığında C:userscangunesdocumentsvirustarayicivirusu.exe adlı programı çalıştır.

Bu yol üzerinde de bir virüs bulunuyor ve her başladığında çalışıyor. Doğal olarak kurtulmanın imkanı yok gibi görünüyor tabii silmezsek. 🙂

Örneğin benim bilgisayarımda bu kadar zamanlanmış görev bulunuyor. Sırası ile ;

Adobe Flas Player güncelleştirmesi için her başlangıçta çalışan program

K-Litecodec pack adlı programın güncelleştirilmesi için ara sıra başladığında çalışa program

Microsoft’un tahminimce arkaplan resimlerini çektiği script

Ve sarı olanlar ile şuanda bozuk durumda. Aslında görevi oluşturulmuş ama sağ tarafta gördüğünüz file not found yazısının yanında bulunan programlar olmadığı için çalışmıyor.

Her başlangıçta çalışma klavye setim için yüklediğim sürücüyü arıyor fakat bulamıyor. Bu da gereksiz bir performans düşüşü yaşatıyor. Bunun için bu sarı olanlara sağ tıklıyorum ve delete diyorum. Zamanlanmış görevi siliyor. Bunun dışında sağ tıklayıp jump to entry’i seçip ilgili alana gidebiliriz.

Bu alanda gördüğümüz biraz daha fazla olacaktır çünkü Microsoft’a ait olanları gizle seçeneğini işaretlemiştik. Microsoft Hardware için olanları da sağ tıklayıp sil diyorum ve kaldırıyorum. Seçim size ait 🙂

Services

Bu alanda bilgisayarınızda kurulu olan hizmetleri göreceksiniz. Yine Micosoft’a ait olanları gizle dediğim için bende bir şey çıkmadı fakat sizin bilgisayarınızda burada birşeyler çıkabilir. Kısaca özetlemek gerekirse bazı programlar aktif olarak çalıştığı için bir hizmete gereksinim duyar. Örneğin NVDIA ekran kartını çalıştırmak için NVIDIA display driver service ve yanında birkaç tane daha servis kurulur ya da Office kurulumunu yaptığınızda Office source engine veya bunun gibi bir hizmet gelecektir. Burada görünen hizmetler eğer kullanım dışıysa kaldırın çünkü her servis gereksiz performans düşüşü yaşatır ve en az virüs kadar bilgisayarınızı üzer :). Bozuk olanlar zaten sarı olarka çıkacaktır.

Ayrıca bütün servisleri görmek için Windows+R tuşlarına aynı anda basıp çalıştırı açın ve içine services.msc yazıp enter’a basın. Burada tamamını görebilirsiniz.

Drivers

Drivers sekmesi ise adından da anlaşılacağı üzere bilgisayarınızda bulunan donanımlara ait sürücüler.Genellikle System32 altında bulunan dll’ler fakat bazıları programın kurulu olduğu klasörde de olabilir. Bunlar ne olabilir ? Yazıcı, ekran kartı , ses kartı , chipset veya bunun gibi bir donanıma ait herhangi bir şey olabilir. Burada kontol etmeniz gereken şey bilgisayarınızda gerçekten o ürünün var olup olmadığı. Çünkü bazen eski sürücülerinizi de burada görebilirsiniz ki bu çok farklı sorunlara yol açabilir. Örneğin yazıcıyı kurarken hata alıyorsunuzdur, burada eski birşeyler varsa kaldırıp tekrar deneyin ya da bunun gibi aklınıza gelecek herhangi bir ürünle ilgili sorun yaşıyorsanız buradan da kaldırıp tekrar kurabilirsiniz.

,

Bu alan bilgisayarımızda bulunan codec’leri gösterir. Bu codecler bilgisayarımızda Windows’un desteklemediği veya desteklediği ama performansını beğenmediğinizden dolayı kurduğunuz Müzik veya Video programlarına ait dll’lerin bütünü. Mesela benim bilgisayarımda K-lite codec pack kurulu. Windows’un desteklemediği bazı video türlerini seyretmem için gerekli bir program ayrıca Windows Media player’de alt yazı göremediğim için de kullanıyorum ve bunun gibi özellikleri var. Windows’un desteklemediği bir şey olduğu için kendisi bir özellik ekliyor ve bunu da bu dll’ler sayesinde yapıyor. Siz eğer bu programlarla ilgili sorun yaşıyorsanız burayı gözden geçirebilirsiniz. Bozulmuş, silinmiş olabilir. Herşey normalse programı kaldırıp burayı tamamen temizler ve tekrar kurarsınız. Bunlar alternatifler arasında.

Boot Execute

    • Bilgisayarını her açılışta veya belirli aralıklarla disk taraması (chkdsk) yapıyorsa burayı kontrol edebilirsiniz. Çünkü bu alan aşağıdaki kayıt defteri anahtarını kontrol ediyor. Bu anahtar üzerinde bootexecute değerini siler ve açılışta chkdsk yapmasını engeller.

      • HKLMSystemCurrentControlSetControlSession ManagerBootExecute

Image Hijacks

Burada potansiyal olarak hijacks programlarını görebilirsiniz. Bu konu çok dallı budaklıdır ama çok kısa bir özetle şunu söyleyebilirim. Size görünen ve yaptığınız şeyin farklı olmasını sağlar. İki örnek vermek gerekirse.

Siz bilgisayarınızda bir ekran görürsünüz ve bu ekranda tamam butonuna tıklarsınız ama aslında orayı tıkladığınızda işleme alınan şey iptal et olabilir. Bunu genellikle kurulmasını istemediğiniz virüsümsü programlar yapar ki yıllardır gördüğümü de söyleyemem. XP döneminde çok meşhurdu.

DNS Hijacks diye bir olay var ki bu da aynı olayın network tarafında olanıdır. Siz aslında www.cangunes.com yazarsınız ama bilgisayarınız www.cangunesinrakibi.com yönlendirmesi yapar. Bunu hayal gücünüzle sınırlandırmayın. 🙂 TürkTelekom’un da kullandığı taktiklerden birisidir.

AppInit

Winlogon bilgilendirmeleri alt anahtarı adına işlem yapar. Winlogon Notify anahtarı genelde look2meConduit gibi virüslerin türediği yerdir. Bilgisayarın açılışında (genellikle tarayıcıların anasayfasını değiştirmke için kullanılır.) çalışır ve bilgisayarınızda o appinit’in yapmak istediği neyse onu yapar. Artık dll’i kullanarak ne yapıyorsa, virüs veya program yazılımcısının hayal gücüne kalmış. 🙂 Çok detaylı araştırmanızda fayda var.

KnownDLLs

Bu anahtar, Windows’un bir DLL dosyasının belirli bir versiyonunu kullandığından emin olmayı sağlar. Bu liste virüsten etkilenmemişse, çoğunlukla endişelenmenize gerek kalmayacaktır – bu tabı kullanmanın birincil amacı, listelenen her şeyin gerçekten doğrulanmış bir Windows bileşeni olduğundan emin olmaktır.

Bu sekmede Explorer ile ilgili alanları görüyoruz. Bu Explorer’in ne kadar büyük olduğunu biliyorsak örneklendirmelerin bile sınırsız olabileceğini anlayabilirsiniz ama birkaç örnek vermek gerekirse;

Leave a Reply

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir