Rehber Autoruns nasıl kullanılır?

Windows Görev Yöneticisi veya benzeri araçlarda "Program” adını taşıyan ya da isimsiz olarak görünen hizmetlerle karşılaşıldığı zaman bu ögeleri genellikle virüs veya tehdit olarak algılayabiliyoruz. İnternette bu başlıkta yapılan birçok yorum, kullanıcıyı daha da endişelendirecek şekilde "tehlikeli yazılım” vurguları içeriyor. Ancak bu yorumların büyük kısmı yanıltıcı olabiliyor.

"Program" adlı hizmetler gerçekten tehdit mi?​

Hayır. Bu tarz hizmetler genellikle daha önce sisteminden kaldırılan yazılımlara ait başlangıç kalıntıları oluyor. Özellikle yazılımları Denetim Masası üzerinden kaldırdığınızda, geride kalan bu kalıntılar sistemde "Program” veya isimsiz girişler olarak görünebiliyor.

Bu hizmetlerin konumları artık sistem tarafından bilinmediği için sağ tıkladığınızda "Dosya konumunu aç” seçeneği pasif hâle geliyor bu da kullanıcıların aklında şüphe uyandırıyor. Ancak bu bir güvenlik tehdidi değil.

Bu hizmetler nasıl temizlenir?​

Bu tür kalıntı hizmetleri silmek ve başlangıç ögelerini düzenlemek için Microsoft’un resmî Autoruns aracı kullanılabiliyor. Bu aracın da nasıl kullanılacağını bu rehberde anlatmış olacağım.

Autoruns'u indirmek ve açmak​

Dilerseniz Microsoft'un kendi sitesinden dilerseniz bizim sitemizden direkt indirebilirsiniz.


Sisteminizin mimarisine (64 Bit veya 32 Bit) uygun dosyayı masaüstüne çıkarmalısınız. Dosyaya sağ tıklayıp yönetici olarak çalıştırın aksi takdirde sistemdeki tüm öğelere erişemeyebilir.

Autoruns'taki sekmeler nedir?​

Daha sonra sekmeleri tanımamız gerek, Autoruns içerisinde birçok sekme yer alıyor ve hepsinin farklı bir amacı var. Hepsini şöyle özetleyelim:

• Logon: Kullanıcı oturumu açıldığında otomatik olarak çalışan programları gösterir. Başlangıçta çalışan uygulamaları kontrol etmek ve istenmeyen yazılımları devre dışı bırakmak için kullanılır.
• Explorer: Windows Gezgini (Explorer.exe) içine yerleşmiş uzantıları gösterir. Windows arayüzüne entegre olan eklentileri analiz edip kaldırmak için kullanılır.
• Internet Explorer: Internet Explorer'a yüklenen eklentileri ve BHO (Browser Helper Objects) bileşenlerini gösterir. Tarayıcı korsanları ve istenmeyen reklam eklentilerini tespit etmekte faydalıdır.
• Scheduled Tasks: Windows Görev Zamanlayıcısı’nda ayarlanmış görevleri listeler. Zamanlanmış zararlı görevleri veya gereksiz hizmetleri tespit etmek için kullanılır.
• Services: Windows servisleri içinde otomatik olarak başlayanları listeler. Gereksiz veya zararlı servisleri devre dışı bırakmak için kullanılır.
• Drivers: Sisteme yüklenmiş kernel-mode sürücüleri gösterir. Rootkit gibi gizlenmiş sürücüleri ya da sistemin açılışında yüklenen şüpheli sürücüleri tespit eder.
• Codecs: Sisteme yüklü ses/video codec'lerini gösterir. Sistem çökmesine ya da medya oynatma sorunlarına yol açabilecek codec sorunlarını analiz etmek için kullanılır.
• Boot Execute: Sistem açılırken, Windows yüklendiğinde ilk çalıştırılan işlemleri listeler. Özellikle autocheck autochk * dışında bir şey varsa dikkat gerektirir; kötü amaçlı yazılımlar buraya gizlenebilir.
• Image Hijacks: Sistem dosyalarının çalıştırılması engellenip başka bir uygulamaya yönlendirildiği yolları gösterir. Özellikle antivirüs programlarının çalıştırılmasının engellenip sahte uygulamalara yönlendirilmesini tespit etmekte kullanılır.
• AppInit: AppInit_DLLs yoluyla her program başlatıldığında yüklenen DLL dosyalarını listeler. Sistem genelinde her uygulamaya yüklenen DLL’ler virüs bulaştırmada kullanıldığı için önemli bir kontrol noktasıdır.
• KnownDLLs: Windows tarafından "önceden tanımlanmış" DLL’lerin listelendiği yerdir. Burada yapılan değişiklikler sistem geneli için kritik olabilir; kötü amaçlı yazılımlar sistem DLL’lerini burada taklit edebilir.
• Winlogon: Kullanıcı oturumu açıldığında çalıştırılan bileşenleri (örn. userinit.exe, shell) gösterir. Oturum açma işlemlerine gizlenmiş kötü amaçlı yazılımları tespit etmekte kullanılır.
• Winsock Providers: Ağ bağlantılarında kullanılan LSP (Layered Service Provider) katmanlarını listeler. Ağ trafiğini izleyen veya değiştiren kötü niyetli yazılımları tespit etmekte faydalıdır.
• Print Monitors: Yazdırma sırasında çalışan özel DLL dosyalarını gösterir. Yazıcıya özel izleme yazılımları burada yer alır. Sahte yazıcı sürücüleri kötü amaçlı olabilir.
• LSA Providers: Kimlik doğrulama sağlayıcılarını (Security Packages) gösterir. Oturum açma sırasında şifre bilgilerini yakalayabilen kötü amaçlı DLL dosyaları buraya eklenebilir.
• Network Providers: Dosya paylaşımı veya ağ üzerinden kimlik doğrulama gibi işlemleri yöneten bileşenleri gösterir. Bilgi sızdırmak amacıyla eklenen sahte ağ sağlayıcılarını tespit etmeye yarar.
• WMI (Windows Management Instrumentation): WMI altyapısını kullanan sürekli çalışan olay tüketicilerini gösterir. Kalıcılık sağlayan zararlı yazılımlar genellikle WMI üzerinde saklanır. Burayı temiz tutmak önemlidir.
• Office: Microsoft Office eklentilerini ve otomatik çalışan bileşenleri listeler. Office makroları veya eklentilerle bulaşmış zararlıları burada görmek mümkündür.
• Everything: AutoRuns’taki tüm sekmelerin (Logon, Services, Drivers vb.) birleşimini tek ekranda topluca gösterir.

"Program" adlı kalıntılar nasıl bulunur?​

Yazılım açıldığı zaman bu ekran ile karşılaşacaksınız:



Sarı renkle işaretlenmiş ögeler, sistemde konumu olmayan (kaldırılmış yazılım kalıntısı) hizmetlerdir. (Bende bulunmuyor çünkü temizlemiştim.)

Bu ögelerin yanlarında "File not found” gibi ifadeler yer alır. Bu tür ögelere sağ tıklayıp "Delete” diyerek güvenle silebilirsiniz.

Yani özetle:

• Sarı renk: Silinebilir kalıntı başlangıç ögesi
• Kırmızı renk: Microsoft tarafından imzalanmamış ama çalışabilir öge (dikkatli olunmalıdır)

​

Kırmızı renkteki öğelere dikkat edilmeli​

Kırmızı renkli hizmetler her zaman zararlı anlamına gelmez. Örneğin:

• LightStudioHelper
• GoodByeDPI

LightStudioHelper, benim sistemimde Omen Gaming Hub bulunduğu için ona ait bir yazılım. GoodByeDPI ise Discord gibi yasaklı sitelere/yazılımlara girerken kullanmak adına otomatik başlatmasını aktif ettiğim bir yazılım. Bunlar gibi diğer benzer uygulamalar da bu şekilde görünebilir. Yani bu tür hizmetleri kaldırmadan önce uygulamanın gerçekten sistemde gerekli olup olmadığını kontrol etmeniz gerekiyor.

Kalıntı oluşumu nasıl engellenebilir?​

Yazılımları kaldırırken Denetim Masası yerine daha gelişmiş araçları kullanmanızı tavsiye edebilirim. Örneğin:




Bu tür araçlar yazılımları kaldırırken bağlı hizmetleri ve kayıt defteri girdilerini de silerek sistemde kalıntı bırakmayabilir. Ancak hepsi çok iyi sonuç veriyor diyemeyiz, illaki sistemde kalıntı dosya kalabilir bunu da aramak için Everything adlı yazılımdan yararlanabilirsiniz.


Tüm bunlar dışında Autoruns veya diğer yazılımlar ile ilgili sorularınız için Techolay Sosyal'e konu açmaktan çekinmeyiniz.