Bilginin Adresi Ana Sayfa
Forum Anasayfası Forum Anasayfası > Bilgisayar Güvenliği / Computer Security > Güvenlik Programları, Güvenlik ve Güvenlik açıkları
  Aktif Konular Aktif Konular RSS - msnmsgr.exe, dllhost.exe (Dikkat)
  SSS SSS  Forumu Ara   Events   Kayıt Ol Kayıt Ol  GiriÅŸ GiriÅŸ

msnmsgr.exe, dllhost.exe (Dikkat)

 Yanıt Yaz Yanıt Yaz Sayfa  123 5>
Yazar
Mesaj
invertor Açılır Kutu Gör
Security Professional
Security Professional
Simge
İnventor

Kayıt Tarihi: 18-01-2008
Status: Aktif DeÄŸil
Points: 3365
Mesaj Seçenekleri Mesaj Seçenekleri   Thanks (0) Thanks(0)   Alıntı invertor Alıntı  Yanıt YazCevapla Mesajın Direkt Linki Konu: msnmsgr.exe, dllhost.exe (Dikkat)
    Gönderim Zamanı: 26-08-2009 Saat 18:53
msnmsgr.exe adı ile gizlenen yeni nesil keyloger'a dikkat
 
dllhost.exe adı ile gizlenen yeni nesil keyloger'a dikkat
 

msnmsgr.exe veya dllhost.exe adı ile gizlenen yeni nesil keyloger Hakkında:
 
msnmsgr.exe  Yeni nesil Türk Yapımı   Güzel bir Keyloger client'i  dir.  Ticari amaçlı yapılmıştır ve kötü amaçlarda  kullanılmaktadır. Buradaki  msnmsgr.exe  ismini   yapımcı istediği zaman değişebilmektedir.   örnek: aa.exe  gibi, msnmsgr.exe  adı  keyloger clientini oluşturan program ile standart olarak gelmektedir. 

Bu keyloger  Şifrelerinizin  ve kişisel bilgilerinizin  çalınması amacı ile kullanılır.

Daha önce svchost.exe, SVCHOST.EXE adı altında bulaşan versiyonunun temizleme yöntemini aşağıdaki adreste açıklamıştık.

Burdan

http://www.bilgineferi.com/forum/forum_posts.asp?TID=7620

 

 

Şimdi ise standart olarak  msnmsgr.exe adı altında gizlenip çalışan bu keyloger'ın temizleme yöntemini anlatacağım.

Şuan standart olarak dllhost.exe  adı altında bulaşmaktadır.
 
Bulaştığı yerler  ve temizleme yöntemi burda anlatıldığı gibidir.


Eğer pc nize bulaşmış ise ;

1: Bulaştığı zaman  hemen aktif olur görev yöneticisinde gözükür.
 
    Pc nizde girmiş olduğunuz internet adresleri, Girmiş olduğunuz bütün  kullanıcı adı ve  şifreler, yazmış olduğunuz ve kopyala yapıştır  yaptığınız bütün yazılar, pc nizin ekran görüntüsü,…vs   periyodik bir şekilde belirtilen zaman aralıklarında   yapımcının belirtmiş olduğu  adrese  yollamaktadır.
 
 
2: Bulaştığı zaman hemen aktif olmaz bundan dolayı görev yöneticisinde gözükmez ve dikkatinizi çekmez. 
 
   Fakat Pc nizi aç  kapa yaptıktan sonra veya herhangi bir programı açmanız ile    aktif hale gelip Görev yöneticisinde gözükür   bu andan itibaren   Pc nizde girmiş olduğunuz internet adresleri, Girmiş olduğunuz bütün  kullanıcı adı ve  şifreler, yazmış olduğunuz ve kopyala yapıştır  yaptığınız bütün yazılar, pc nizin ekran görüntüsü,…vs   periyodik bir şekilde belirtilen zaman aralıklarında   yapımcının belirtmiş olduğu  adrese  yollamaktadır.


Şimdi diyeceksiniz   msnmsgr.exe  windows messenger programının dosyasıdır.

Evet msnmsgr.exe  windows messenger programının dosyasıdır  fakat keyloger bulaşmışsa  kendini msnmsgr.exe  adı altında çalıştırır.

 

 

Sistemde  çalışan msnmsgr.exe nin  veya msnmsgr.exe lerin  keyloger olduğunu nasıl anlayacağız.

Hemen açıklık getirelim "standart olarak msnmsgr.exe den bahsedeceğiz";

Ctrl + Alt+ Del tuşlarına basarak  Görev yöneticisini çalıştırın
 
                  
 
Sisteminizde msn yüklü ise msnmsgr.exe bu şekilde tek olarak gözüküyorsa problem yok diyebiliriz.
 

Eger yukarıdaki gibi bir görüntü var ise veya daha fazla msnmsgr.exe mevcut ise uyarımızı dikkate almanızı tavsiye ederiz

 
Bu yazıyı okurken belki içinizden diyorsunuzdur burda bulunan msnmsgr.exe lerin hangisi keyloger.
 
Dosya konumundan bunu tesbit edebilirsiniz.  
Tespiti zor olduğundan bu gibi durumlarda  Process explorer programını  "Gelişmiş görevyöneticisi"   kullanmanızı tavsiye ederim.
 
Burdan indirebilirsiniz.
 
 
 
 
Process explorer programını çalıştırarak  sistemde çalışan uygulamaların konumunu rahatlıkla tesbit edebilirsiniz.
 
Process explorer'i çalıştırdıktan sonra çalışan uygulmaların üzerine mause ile gelerek dosyanın konumumu tespit edebilir isterseniz sonlandırabilirsiniz.
 
 
 
 
Dosyanın simgesi  farklı olabilir  basit bir örnek verecek olursak   gönderen kişi dosyanın simgesini  "mp3" müzik dosyası gibi ayarlarlıyabilir  içine de  bir müzik dosyası gömüp bulaştırmak istediği kişiye gönderir  ve   dosyayı  alan kişi müzik dinlemek için  o dosyayı çalıştırdığında   keyloger bulaşmış olur.

Not: Bu tür durumlarda   şüphe duyuyorsanız dosya uzantısını kontrol ediniz. Yukarıda bahsttiğim örnekteki  mp3 dosyasının  uzantısı .mp3 değil .exe dir. Ama .exe uzantılı bir dosyanın  içerisine gömülmüştür.


Anti virüs yazılımlarına yakalanmamaktadır   son zamanlarda kaspersky internetsecurity  yazılımına “Backdoor.Win32.Delf.osq” olarak  yakalanmaktadır. Fakat yapımcı tarafından keyloger’in güncellemesi yapıldığı için   anti virüs yazılımlarına  yakalanmama ihtimali yüksektir. Şuan itibari ile  anti virüs yazılımlarına yakalanmamaktadır.


msnmsgr.exe veya dllhost.exe adı altında bulaşan  bu  keyloger  eğer pc nize bulaşmış ise aşağıda  bahsettiğim yöntemi kullanarak temizleye bilirsiniz. Keyloger  bizzat tarafımdan test edilmiştir.

  
 
 
Dikkat :
 
Son zamanlarda farklı isimlerde bulaştığını tesbit ettik
 
Bunun üzerine  Yeni Nesil Keyloger Tespit Etme Sistemi v1.4 programını hazırladık  kullanmanızı tavsiye ederim.
 
 
 
Gerekli açıklamalar içerisinde mevcuttur.
 
Burdan indirebilirsiniz.
 
 
 
 
 
Manuel olarak İsim ve Konum Tespiti Yamak  için:
 
 
1. Yöntem 
 
Başlat  - Çalıştır'a msconfig yazıp açılan ekrandan başlangıca gelin 
 
"Buradan bilgisayar açıldıgında başlangıçta çalıştırılan programları kontrol edebilir şüphelendiğiniz   programları devre dışı bırakabilirsiniz."
 
Başlangıçta çalışan programları Kontrol edin;
 
 
Xp  için  C:\Documents and Settings\sizin otorum açma adınız\Application Data  klasörü içerisisinde,
 
Vista ve windows 7 için; C:\Users\sizin otorum açma adınız\AppData\Roaming
 
içerisinde çalışan işlem  varsa  orda bulunan isimden keylogerin ismini tesbit edebilirsiniz.
 
 
Örnek:
 
C:\Documents and Settings\sizin otorum açma adınız\Application Data\xxx.exe 
 
Keylogerin ismi xxx.exe dir
Bulunduğu konum: C:\Documents and Settings\sizin otorum açma adınız\Application Data\ klasörünün içidir.
 
 
 
 
2.Yöntem  
 
 
Processexplorer ile çalışan tüm işlemleri  kontrol etmenizi tavsiye ederiz.
 
Processexplorer dan çalışan işlemleri  kontrol ederken;
 
Xp  için; C:\Documents and Settings\sizin otorum açma adınız\Application Data 
 
Vista ve windows 7 için; C:\Users\sizin otorum açma adınız\AppData\Roaming  klasörü  içerisinde çalışan programa rastlarsanız o keylogerdir.
 
 
 
 
 
3. Yöntem
 
Bahsettiğimiz bu keyloger'in başlangıçta  çalışan programlar arasında gizlenme  özelliği olduğundan böyle bir durum söz konusu ise  Keylogerin adını ve konumunu tesbit etmek için;
 
Registry den

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon Da bulunan shell değerini kontrol edin.

 
Örnek:
 
Burdaki shell degeri herzaman standart olarak
Shell      Explorer.exe  dir.
 
Eğer shell değeri bu şekil ise
Shell     explorer.exe "C:\Documents and Settings\ sizin otorum açma adınız \Application Data\xxx.exe"
 
 
Keylogerin ismi: xxx.exe dir
Bulunduğu konum: C:\Documents and Settings\sizin otorum açma adınız\Application Data\ klasörünün içidir.
 
 
 
 
 
Bahsettiğimiz bu keyloger'in  sisteminize farklı isimde  bulaştığını tesbit ettiyseniz;
 
Temizleme işlemi  burda anlattığımız gibi   geçerlidir yani aşağıdaki anlatımlarda bulunan  msnmsgr.exe yerine  tesbit ettiğiniz dosya ismini baza alarak temizleme işlemini yapacaksınız .
 
 
 
 
 
 
 
 
****************************

Bulaştığı zaman
 
Vindows işletim sistemlerine bulaşır...
 
Bulaşan bu keyloger kendine ait dosyaları aşağıdaki klasörlerden birine kopyalıyabilir;

C:\Documents and Settings\sizin otorum açma adınız\Application Data
C:\Users\sizin otorum açma adınız\AppData\Roaming
C:\WINDOWS\system
C:\WINDOWS
C:\Documents and Settings\Kullanıcı adınız\temp
C:\Program Files
c:\winnt\profiles\username\start menu\programs\startup
 
 
 
Standart olarak :
 
Xp' de C:\Documents and Settings\sizin otorum açma adınız\Application Data     içerisine  msnmsgr.exe,  ntlog.sys,  ntcom.dll  olarak 3 dosya şeklinde bulaşır.
 

Güncel

Xp' de C:\Documents and Settings\sizin otorum açma adınız\Application Data     içerisine  dllhost.exe,  ntlog.sys,  ntcom.dll  olarak 3 dosya şeklinde bulaşır.
 
 
********************************************
Vista' da C:\Users\sizin otorum açma adınız\AppData\Roaming   içerisine  msnmsgr.exe,  ntlog.sys,  ntcom.dll  olarak 3 dosya şeklinde bulaşır. 
 
Güncel
Vista' da C:\Users\sizin otorum açma adınız\AppData\Roaming   içerisine  dllhost.exe,  ntlog.sys,  ntcom.dll  olarak 3 dosya şeklinde bulaşır. 
 
 
********************************************
Windows 7' de C:\Users\sizin otorum açma adınız\AppData\Roaming     içerisine  msnmsgr.exe,  ntlog.sys,  ntcom.dll  olarak 3 dosya şeklinde bulaşır.
 
 
Güncel
Windows 7' de C:\Users\sizin otorum açma adınız\AppData\Roaming     içerisine  dllhost.exe,  ntlog.sys,  ntcom.dll  olarak 3 dosya şeklinde bulaşır.
  
 
Not: Gizli dosya ve klasörler seçeneğini aktif hale getirmeden belirtilen dizini göremezsiniz.
 
********************************************
 
 
 
 
 
 
 
---------------------------------------------------------------------------------------------
 
 
Teknik bir detay: (Keyloger'i Bulaştıran kişinin kullanıcı adını bulma)
 
 
 
 
İlk etapta görev yöneticisi işlemlerden keylogera ait olan dosyayı sonlandırın
 
Keyloger sistemizinize bulaştığında  keyloger'i oluşturanın kullanıcı adı  Registry' de   RegisteredOrganization  değerine kaydediliyordu eğer iptal edilmediyse 
 
  
 
Başlat-çalışr'a regedit yazıp Kayıt defteri düzenleyicisini açın  Düzen-Bul menüsünden RegisteredOrganization diye aratın.
 
Bulduğunuz değerin üzerine çift tıklayarak  keylogerin hangi kullanıcıya ait olduğunu görebilirsiniz.
 
 
 
 
Keyloger'i Bulaştıranın kullanıcı adı registry'de kayıtlı değil ise;
 
 
İlk etapta görev yöneticisi işlemlerden keylogera ait olan dosyayı sonlandırın
 
Ardından Kullanıcı adını  Bulmanız için izlemeniz gereken yol aşağıdaki gibidir.
 
 
C:\Documents and Settings\sizin otorum açma adınız\Application Data veya
C:\Users\sizin otorum açma adınız\AppData\Roaming 
 klasöründe bulunan keyloger a ait  xxx.exe dosyasını aşağıda belirttiğim programlardan birini kullanarak  açın.  Özetle videoda anlatılan  işlemleri uygulayarak  keylogeri oluşturan kullanıcının adına ulaşabilirsiniz.
 
Not: Kullanıcı adları farklıdır  videoda gözüken sadece  1 tanesidir...
 
 
 
Ben kaynak kod görüntülemek için Resource Hacker 3.4.0 programını kullandım
 
Bu işlemi Hex editör  programı kullanarakta yapabilirsiniz.
 
 
Resource Hacker 3.4.0 Download
 
 
 
 
 
 
Keyloger'i oluşturan kullanıcının adını bulma  videolu  anlatım
 
 
 
 
 
 
 
 
Not: Keylogeri temizleme "Birdaha Çalışmamak üzere devre dışı bırakma" yöntemi aşağıda anlatıldığı gibidir    vermiş olduğum ek bilgi teknik bir detaydır.
----------------------------------------------------------------------------------------------
 
 
 
 İşletim sisteminden Temizlemek için
 
Aşağıda   örnek temizleme yöntemleri anlatılmıştır sisteminize bu isimler harici farklı isimlerde  bahsettiğimiz yeni nesil keyloger dan  bulaşmış ise temizleme yöntemi yine aynıdır sadece keyloger isimleri farklıdır.
 
 
 
 
Xp işletim sisteminden Temizlemek için;

Gizli dosya ve klasörler seçeneğini aktif hale getirin


Processexplorer' açın msnmsgr.exe dosyalarını kontrol edin C:\Documents and Settings\sizin otorum açma adınız\Application Data içerisinde bulunan msnmsgr.exe yi sonlandırın

Güncel
Processexplorer'ı ve ya görev yöneticisini açıp işlemlerden dllhost.exe yi sonlandırın
 
 
***********************************************************
C:\Documents and Settings\sizin otorum açma adınız\Application Data  klasörünü açıp msnmsgr.exe,  ntlog.sys,  ntcom.dll  dosyalarını silin
 
Güncel
C:\Documents and Settings\sizin otorum açma adınız\Application Data  klasörünü açıp dllhost.exe,  ntlog.sys,  ntcom.dll  dosyalarını silin
 
  
Akabinde;
 
Başlat-çalışr'a regedit yazıp Kayıt defteri düzenleyicisini açın ve aşağıdaki işlemleri yapın.
 
***********************************************************
 
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 
Bu değeri silin
Messenger     "C:\Documents and Settings\ sizin otorum açma adınız \Application Data\msnmsgr.exe"
 
Güncel
Dllhost     "C:\Documents and Settings\ sizin otorum açma adınız \Application Data\dllhost.exe"
 
 
 
***********************************************************

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

Burdaki shell degeri herzaman standart olarak
Shell      Explorer.exe  dir.
 
Eğer shell değeri bu şekil
Shell     explorer.exe "C:\Documents and Settings\ sizin otorum açma adınız \Application Data\msnmsgr.exe"
 
veya bu şekil ise
 
Güncel
Shell     explorer.exe "C:\Documents and Settings\ sizin otorum açma adınız \Application Data\dllhost.exe"
 
Bu şekil değiştirin
Shell      Explorer.exe 
 
*********************************************************** 
 
Daha sonra  var ise aşagıdaki kayıtlarıda siliniz.
 
 
HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache
C:\Documents and Settings\sizin otorum açma adınız \Application Data\msnmsgr.exe     msnmsgr
 
 
Güncel
 
HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache
C:\Documents and Settings\sizin otorum açma adınız \Application Data\dllhost.exe     dllhost
 

 
 
Bunları yaptıktan sonra:  Kontrol etmek için  Kayıt defteri düzenleyicisin den  Application Data\msnmsgr.exe  'yi
 
Güncel
Application Data\dllhost.exe  'yi aratın eğer bu kelimeler  bulunuyorsa ilgili girdileri silin bulunmuyorsa keyloger  temizlenmiş demektir.
 
 

Bilgisayarınızı yeniden başlatın   işlem tamamdır.  Artık   Sisteminizi  sorunsuz kullanabilirsiniz. 

 
 
 
 
Vista işletim sisteminden Temizlemek için; 

 Gizli dosya ve klasörler seçeneğini aktif hale getirin

Gizli dosyaları ve klasörleri görüntülemek için aşağıdaki adımları izleyin.
1.  Başlat düğmesi , Denetim Masası, Görünüm ve Kişiselleştirme ve ardından Klasör Seçenekleri'ni tıklatarak Klasör Seçenekleri'ni açın.
2.  Görünüm sekmesini tıklatın.
3.  Gelişmiş ayarlar altından Gizli dosya ve klasörleri göster'i ve ardından Tamam'ı tıklatın.
 
 
 
 

Ctrl + Alt+ Del tuşlarına basarak  Görev yöneticisini çalıştırın msnmsgr.exe dosyalarının üzerine sağtıklayıp özelliklerden   kontrol edin C:\Users\sizin otorum açma adınız\AppData\Roaming  içerisinde bulunan msnmsgr.exe yi sonlandırın

 
Güncel

Ctrl + Alt+ Del tuşlarına basarak  Görev yöneticisini çalıştırın msnmsgr.exe dosyalarının üzerine sağtıklayıp özelliklerden   kontrol edin C:\Users\sizin otorum açma adınız\AppData\Roaming  içerisinde bulunan dllhost.exe yi sonlandırın

***********************************************************
C:\Users\sizin otorum açma adınız\AppData\Roaming     klasörünü açıp  msnmsgr.exe,  ntlog.sys,  ntcom.dll  dosyalarını silin
 
 
Güncel
C:\Users\sizin otorum açma adınız\AppData\Roaming     klasörünü açıp  dllhost.exe,  ntlog.sys,  ntcom.dll  dosyalarını silin
  
Akabinde;
 
Başlat-çalışr'a regedit yazıp Kayıt defteri düzenleyicisini açın ve aşağıdaki işlemleri yapın.
 
 
 
***********************************************************
 
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 
Bu değeri silin
Messenger         "C:\Users\sizin otorum açma adınız\AppData\Roaming\msnmsgr.exe"
 
Güncel 
Bu değeri silin
Dllhost        "C:\Users\sizin otorum açma adınız\AppData\Roaming\dllhost.exe"
 
 
 
***********************************************************
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
 
Burdaki shell degeri herzaman standart olarak
Shell      Explorer.exe  dir.
 
 
Eğer shell değeri bu şekil ise
Shell         explorer.exe "C:\Users\sizin otorum açma adınız\AppData\Roaming\msnmsgr.exe"
 
 
Güncel
Shell         explorer.exe "C:\Users\sizin otorum açma adınız\AppData\Roaming\dllhost.exe"
 
 
Bu şekil değiştirin
Shell         explorer.exe  
 
*********************************************************** 
 
 
Daha sonra  var ise aşagıdaki kayıtlarıda siliniz.
 
HKEY_CLASSES_ROOT\Local Settings\Software\Microsoft\Windows\Shell\MuiCache
 C:\Users\sizin otorum açma adınız\AppData\Roaming\msnmsgr.exe     msnmsgr
 
Güncel
Settings\Software\Microsoft\Windows\Shell\MuiCache
 C:\Users\sizin otorum açma adınız\AppData\Roaming\dllhost.exe     dllhost
 

 
 
 
Bunları yaptıktan sonra;   Kontrol etmek için  Kayıt defteri düzenleyicisin Roaming\msnmsgr.exe 'yi
 
Güncel
Roaming\dllhost.exe 'yi aratın  eğer bu kelimeler  bulunuyorsa ilgili girdileri silin bulunmuyorsa keyloger  temizlenmiş demektir.
 
 

 Bilgisayarınızı yeniden başlatın   işlem tamamdır.  Artık   Sisteminizi  sorunsuz kullanabilirsiniz. 

 
 
 
 
Windows 7  işletim sisteminden Temizlemek için; 

 Gizli dosya ve klasörler seçeneğini aktif hale getirin

Gizli dosyaları ve klasörleri görüntülemek için aşağıdaki adımları izleyin.
1.  Başlat düğmesi , Denetim Masası, Görünüm ve Kişiselleştirme ve ardından Klasör Seçenekleri'ni tıklatarak Klasör Seçenekleri'ni açın.
2.  Görünüm sekmesini tıklatın.
3.  Gelişmiş ayarlar altından Gizli dosya ve klasörleri göster'i ve ardından Tamam'ı tıklatın.
 
 

Ctrl + Alt+ Del tuşlarına basarak  Görev yöneticisini çalıştırın msnmsgr.exe dosyalarının üzerine sağtıklayıp özelliklerden   kontrol edin C:\Users\sizin otorum açma adınız\AppData\Roaming  içerisinde bulunan msnmsgr.exe yi sonlandırın

 
Güncel

Ctrl + Alt+ Del tuşlarına basarak  Görev yöneticisini çalıştırın msnmsgr.exe dosyalarının üzerine sağtıklayıp özelliklerden   kontrol edin C:\Users\sizin otorum açma adınız\AppData\Roaming  içerisinde bulunan dllhost.exe yi sonlandırın

*********************************************************** 
C:\Users\sizin otorum açma adınız\AppData\Roaming     klasörünü açıp  msnmsgr.exe,  ntlog.sys,  ntcom.dll  dosyalarını silin
 
 
Güncel
C:\Users\sizin otorum açma adınız\AppData\Roaming     klasörünü açıp  dllhost.exe,  ntlog.sys,  ntcom.dll  dosyalarını silin
  
Akabinde;
 
Başlat-çalışr'a regedit yazıp Kayıt defteri düzenleyicisini açın ve aşağıdaki işlemleri yapın.
 
 
 
***********************************************************
 
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 
Bu değeri silin
Messenger         "C:\Users\sizin otorum açma adınız\AppData\Roaming\msnmsgr.exe"
 
Güncel 
Bu değeri silin
Dllhost        "C:\Users\sizin otorum açma adınız\AppData\Roaming\dllhost.exe"
 
 
 
***********************************************************
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
 
Burdaki shell degeri herzaman standart olarak
Shell      Explorer.exe  dir.
 
 
Eğer shell değeri bu şekil ise
Shell         explorer.exe "C:\Users\sizin otorum açma adınız\AppData\Roaming\msnmsgr.exe"
 
 
Güncel
Shell         explorer.exe "C:\Users\sizin otorum açma adınız\AppData\Roaming\dllhost.exe"
 
 
Bu şekil değiştirin
Shell         explorer.exe  
 
*********************************************************** 
 
 
Daha sonra  var ise aşagıdaki kayıtlarıda siliniz.
 
HKEY_CLASSES_ROOT\Local Settings\Software\Microsoft\Windows\Shell\MuiCache
 C:\Users\sizin otorum açma adınız\AppData\Roaming\msnmsgr.exe     msnmsgr
 
Güncel
Settings\Software\Microsoft\Windows\Shell\MuiCache
 C:\Users\sizin otorum açma adınız\AppData\Roaming\dllhost.exe     dllhost
 

 
 
 
Bunları yaptıktan sonra;   Kontrol etmek için  Kayıt defteri düzenleyicisin Roaming\msnmsgr.exe 'yi
 
Güncel
Roaming\dllhost.exe 'yi aratın  eğer bu kelimeler  bulunuyorsa ilgili girdileri silin bulunmuyorsa keyloger  temizlenmiş demektir.
 
 
 

Bilgisayarınızı yeniden başlatın   işlem tamamdır.  Artık   Sisteminizi  sorunsuz kullanabilirsiniz.  

 
**********************************************************
 
 
 
 
 
 
Yapamayanlar Xp ,  VİSTA  ve Windows 7 den   temizlemek için hazırlamış olduğum bu temsili videoyu  örnek alarak temizleyebilirler
 
 
 
 
 
 
Standart olarak  yaygın olan bu  keylogger'in  temizliği yukarıdakigibidir.
 
 
 
 
 
Önemli:  msnmsgr.exe yerine farklı isimler olabilir.
 
Benim analizime göre ismi ne olursa olsun  bu keylogger'ın registry de bulaştığı yerler bellidir.
 
Bu gibi durumda  en temiz yöntem Başlat çalıştır regedit ' ten kontrol etmektir.
 
 
 Tesbit için:
 
Hazırlamış olduğumuz Yeni Nesil Keyloger Tespit Etme Sistemi v1.4 programını kullanmanızı tavsiye ederim.
 
 
Gerekli açıklamalar içerisinde mevcuttur.
 
Devamlı güncel versiyonunu Burdan indirebilirsiniz.
 
 
Manuel olarak kontrol etmek isterseniz aşağıdaki yöntemleri kullanarak sisteminizi kontrol edebilirsiniz.
 
 
1.Yöntem
 
Farklı isimlerde  bulaştığını varsayarsak  izlenmeniz  gereken yol "en sağlam tebit yöntemi"  ilk etapta  shell değeridir.
 
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
 
standart  olarak shell  değeri
 
Shell         explorer.exe    dir  ve değerin standart olması gerekir. 
 
Eğer farklı ise keylogger dosyasının konumu orda mevcuttur.
 
Örnek verecek olursak ;
 
Shell     explorer.exe "C:\Documents and Settings\ sizin otorum açma adınız \xx klasoru\xxx.exe" diye bir değer olsun
 
Yukarıdaki değeri
 
Shell         explorer.exe olarak değiştirmeniz gerekir +  Belirtilen konumdaki xxx.exe dosyasını silmeniz gerekir.
 
 
 
2.Yöntem
 
- Başlat  - Çalıştır'a msconfig yazıp açılan ekrandan başlangıç ta çalışan programları ve konumunu kontrol ederek ederek bulabilirsiniz.
 
veya registry den aşağıdaki konumu kontrol ederek
 
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run   da bulunan değerleri  kontrol etmekte  fayda vardır
 
 
 
3.Yöntem
 
Process explorer programını  "Gelişmiş görevyöneticisi" kullanarak çalışan işlemleri kontrol edebilirsiniz.
 
 
 
Teknik olarak gerekli anlatımları detaylı bir şekilde yaptık sanırım.
Çok sıkıntı olursa ki sanmam olacağını  ilerleyen zamanlarda  tesbit ve temizliği için basit bir  program geliştirebiliriz.
 
 
Edit: Son zamanlarda Keyloger'in farklı isimlerde bulaştığını tesbit ettik.   Tesbit ve temizlik için güncelleme yapılmıştır.
 
Edit: Keylogerin kendine ait dosyaları hangi klasörlere kopyalıyabileceği eklenmiştir.
 
Edit: Yeni Nesil Keyloger Tesbit Etme Sistemi v1.4 programı sitemize eklenmiştir.
 
Edit: Yeni nesil keyloger'in taskmgr.exe adı ilede bulaştığını tespit ettik  temizliği için aşağıdaki adresi takip ediniz...
 
Not: Güncel temizleme yöntemlerini aşağıdaki linkten takip edebilirsiniz 
 
 
 
Not: Aşağıdaki konuyuda inceleyiniz
 
 
Yeni Nesil Keyloger Tespit Etme Sistemi Hakkında hazırlamış olduğumuz diğer  konulara aşağıdaki linkten  ulaşabilirsiniz
 
 
 
Saygılarımla
invertor


Düzenleyen invertor - 15-06-2010 Saat 12:11
Yukarı Dön
wolf Açılır Kutu Gör
Üye
Üye
Simge

Kayıt Tarihi: 30-07-2009
Status: Aktif DeÄŸil
Points: 0
Mesaj Seçenekleri Mesaj Seçenekleri   Thanks (0) Thanks(0)   Alıntı wolf Alıntı  Yanıt YazCevapla Mesajın Direkt Linki Gönderim Zamanı: 26-08-2009 Saat 22:22
Çok detaylı ve güzel anlatım olmuş ellerinize sağlık. Ama çok şükür virüsün benim pc me bulaşmadığını anlamaktan başka bi yardımı olmadı bana şimdilik inşallah da olmaz

Msn çoklu oturum açma programlarıyla aynı anda 1 den fazla oturum açan arkadaşlar görev yöneticisinde 1 den fazla msnmsgr.exe görünce paniğe kapılmasın ama dimi sayın invertor?
Yukarı Dön
invertor Açılır Kutu Gör
Security Professional
Security Professional
Simge
İnventor

Kayıt Tarihi: 18-01-2008
Status: Aktif DeÄŸil
Points: 3365
Mesaj Seçenekleri Mesaj Seçenekleri   Thanks (0) Thanks(0)   Alıntı invertor Alıntı  Yanıt YazCevapla Mesajın Direkt Linki Gönderim Zamanı: 26-08-2009 Saat 22:34
Güzel bir noktaya değindin wolf +
 
Çoklu oturum açma yaması kullananlar eğer 1 msn açmış iseler görev yöneticisinde 1 tane msnmsgr.exe olur  2 tane açmışlar iseler  2 tane gözükür.
 
Şunu unutmamak gerekirki 1 msn açılmış ise 1 tane  2 msn açılmış ise görev yöneticisinde  2 tane msnmsgr.exe gözükmesi gerekir. Fazla gözükmemelidir.
 
 
Görev yöneticisinde çalışan msnmsgr.exe lerin  konumu  standart olarak "C:\Program Files\Windows Live\Messenger\msnmsgr.exe"  dir.
 
Bu kontrolü Process explorer programı ile basit bir şekilde yapabilirsiniz.
 
Process explorer 'i çalıştırdıktan sonra çalışan uygulmaların üzerine mause ile gelerek  konumumu rahatlıkla görebilirsiniz.
 
Resimdeki örnekte  1 msn açık iken 2 msn uygulamasının çalıştığı gözükmektedir
 
 
Bu şekil olmaması gerekir.
 
 


Düzenleyen invertor - 28-08-2009 Saat 22:05
Yukarı Dön
wolf Açılır Kutu Gör
Üye
Üye
Simge

Kayıt Tarihi: 30-07-2009
Status: Aktif DeÄŸil
Points: 0
Mesaj Seçenekleri Mesaj Seçenekleri   Thanks (0) Thanks(0)   Alıntı wolf Alıntı  Yanıt YazCevapla Mesajın Direkt Linki Gönderim Zamanı: 26-08-2009 Saat 22:42
Teşekkürler invertor bu noktada aydınlatılmış oldu kimsenin kafası karışmasın
+ rep
Yukarı Dön
S3Z3R Açılır Kutu Gör
Moderator
Moderator
Simge

Kayıt Tarihi: 31-03-2007
Status: Aktif DeÄŸil
Points: 820
Mesaj Seçenekleri Mesaj Seçenekleri   Thanks (0) Thanks(0)   Alıntı S3Z3R Alıntı  Yanıt YazCevapla Mesajın Direkt Linki Gönderim Zamanı: 27-08-2009 Saat 10:51
Güvenlik paylaşımların üst düzeyde vede sürekli güncel çalışmalarından dolayı seni kutluyorum.
Yukarı Dön
invertor Açılır Kutu Gör
Security Professional
Security Professional
Simge
İnventor

Kayıt Tarihi: 18-01-2008
Status: Aktif DeÄŸil
Points: 3365
Mesaj Seçenekleri Mesaj Seçenekleri   Thanks (0) Thanks(0)   Alıntı invertor Alıntı  Yanıt YazCevapla Mesajın Direkt Linki Gönderim Zamanı: 01-09-2009 Saat 01:17
Ek olarak Vista   ve Windows 7 için;   Temizleme yöntemini içeren videolu anlatımlar eklenmiştir.

Yukarı Dön
wolf Açılır Kutu Gör
Üye
Üye
Simge

Kayıt Tarihi: 30-07-2009
Status: Aktif DeÄŸil
Points: 0
Mesaj Seçenekleri Mesaj Seçenekleri   Thanks (0) Thanks(0)   Alıntı wolf Alıntı  Yanıt YazCevapla Mesajın Direkt Linki Gönderim Zamanı: 01-09-2009 Saat 01:35
videolar çok iyi olmuş invertor. Bilmeyenler için makale okumaktansa videodan izleyip yapmak büyük nimet. Ellerine Sağlık
Yukarı Dön
tehlike724 Açılır Kutu Gör
Yeni Üye
Yeni Üye


Kayıt Tarihi: 26-07-2009
Status: Aktif DeÄŸil
Points: 0
Mesaj Seçenekleri Mesaj Seçenekleri   Thanks (0) Thanks(0)   Alıntı tehlike724 Alıntı  Yanıt YazCevapla Mesajın Direkt Linki Gönderim Zamanı: 01-09-2009 Saat 20:54
saol. millet niyeti  bozmuş ramazan günü bile utanmadan yapıyolar.

Düzenleyen tehlike724 - 01-09-2009 Saat 20:55
Yukarı Dön
invertor Açılır Kutu Gör
Security Professional
Security Professional
Simge
İnventor

Kayıt Tarihi: 18-01-2008
Status: Aktif DeÄŸil
Points: 3365
Mesaj Seçenekleri Mesaj Seçenekleri   Thanks (0) Thanks(0)   Alıntı invertor Alıntı  Yanıt YazCevapla Mesajın Direkt Linki Gönderim Zamanı: 01-09-2009 Saat 21:53
Teşekküler akadaşlar  ilerleyen zamanlarda  regeditteki teknik detaylara brazdaha deyineceğim.
 
Mesela bir örnek vereyim
 
Sisteminize bu keyloger bulaşmış ise  keylogeri oluşturanın  kullanıcı adını tespit edebilileceksiniz.
 
Regeditteki  RegisteredOrganization  Değerinde  isim mevcut.
Yukarı Dön
zelzele Açılır Kutu Gör
Yeni Üye
Yeni Üye
Simge

Kayıt Tarihi: 04-09-2009
Status: Aktif DeÄŸil
Points: 0
Mesaj Seçenekleri Mesaj Seçenekleri   Thanks (0) Thanks(0)   Alıntı zelzele Alıntı  Yanıt YazCevapla Mesajın Direkt Linki Gönderim Zamanı: 04-09-2009 Saat 10:48
hocam derdime çare oldun teşekkürler ben pc imden şüphelendim.pc mi temizleyeyeim dedim advenced care ile oda bana trojen diye msnmgr.exe de sorun olduğunu söyledi bende internette araştırdım senin yazını gördüm derslik bir yazı tebrik ediyorum. bu sayede çözdüm
Yukarı Dön
yaramasjojuk Açılır Kutu Gör
Yeni Üye
Yeni Üye


Kayıt Tarihi: 04-09-2009
Konum: Turkey
Status: Aktif DeÄŸil
Points: 0
Mesaj Seçenekleri Mesaj Seçenekleri   Thanks (0) Thanks(0)   Alıntı yaramasjojuk Alıntı  Yanıt YazCevapla Mesajın Direkt Linki Gönderim Zamanı: 04-09-2009 Saat 18:20
gercekten tesekkür kaç kere format attım düzelmedi anlamıstım bır sey oldugnu emegınize saqlık tekrar tesekkür ederımSmile
Yukarı Dön
xsamuraix9 Açılır Kutu Gör
Yeni Üye
Yeni Üye


Kayıt Tarihi: 05-09-2009
Konum: Turkey
Status: Aktif DeÄŸil
Points: 0
Mesaj Seçenekleri Mesaj Seçenekleri   Thanks (0) Thanks(0)   Alıntı xsamuraix9 Alıntı  Yanıt YazCevapla Mesajın Direkt Linki Gönderim Zamanı: 05-09-2009 Saat 02:18
Benim pc de varmış :( Hangi programdan geldiğini çğrenme şansımız varmı ? O Sildiğim yerlerde şüpheli 1 programın ismi vardı. O olabilrmi acaba?
Çok Mükemmel bir paylaşım olmuş. Çok Teşekkür ederim.

Yukarı Dön
invertor Açılır Kutu Gör
Security Professional
Security Professional
Simge
İnventor

Kayıt Tarihi: 18-01-2008
Status: Aktif DeÄŸil
Points: 3365
Mesaj Seçenekleri Mesaj Seçenekleri   Thanks (0) Thanks(0)   Alıntı invertor Alıntı  Yanıt YazCevapla Mesajın Direkt Linki Gönderim Zamanı: 05-09-2009 Saat 17:11
Orjinalini yazan: xsamuraix9 xsamuraix9 Yazdı:

Benim pc de varmış :( Hangi programdan geldiğini çğrenme şansımız varmı ? O Sildiğim yerlerde şüpheli 1 programın ismi vardı. O olabilrmi acaba?
Çok Mükemmel bir paylaşım olmuş. Çok Teşekkür ederim.

 
Rica ederim
İndirmiş olduğunuz dosyalara dikkat ediniz. 
 
Yukarı Dön
mcray Açılır Kutu Gör
Yeni Üye
Yeni Üye


Kayıt Tarihi: 05-09-2009
Konum: United Kingdom
Status: Aktif DeÄŸil
Points: 0
Mesaj Seçenekleri Mesaj Seçenekleri   Thanks (0) Thanks(0)   Alıntı mcray Alıntı  Yanıt YazCevapla Mesajın Direkt Linki Gönderim Zamanı: 05-09-2009 Saat 21:13
HOCAM ELINE EMEGINE KOLUNA SAGLIK ALLAH RAZI OLSUN SANIRIM BNDEDE VARDI MILLETIN GOZUNDE ARTIK EMEG SAYISI HIC BISE KALMAMIS SIMDI GITIM INTERNET KAFA DE DEGISTIRDIM HERSEYIN SIFRESINI GELDIM PC TEMIZLICEM EYW     + REPP 
Yukarı Dön
omerutku23 Açılır Kutu Gör
Yeni Üye
Yeni Üye


Kayıt Tarihi: 05-09-2009
Status: Aktif DeÄŸil
Points: 0
Mesaj Seçenekleri Mesaj Seçenekleri   Thanks (0) Thanks(0)   Alıntı omerutku23 Alıntı  Yanıt YazCevapla Mesajın Direkt Linki Gönderim Zamanı: 06-09-2009 Saat 04:13
aga ben ntcom.dll yı sılemedım program kullanılıor felan dıor aga onlınesın cewap yazar msısın sıledım o dllyı:Cry

Yukarı Dön
 Yanıt Yaz Yanıt Yaz Sayfa  123 5>

Forum Atla Forum İzinleri Açılır Kutu Gör



Bu Sayfa 0.225 Saniyede Yüklendi.