msnmsgr.exe, dllhost.exe (Dikkat)

   msnmsgr.exe adı ile gizlenen yeni nesil keyloger'a dikkat

dllhost.exe adı ile gizlenen yeni nesil keyloger'a dikkat

msnmsgr.exe veya dllhost.exe adı ile gizlenen yeni nesil keyloger Hakkında:

msnmsgr.exe  Yeni nesil Türk Yapımı   Güzel bir Keyloger client'i  dir.  Ticari amaçlı yapılmıştır ve kötü amaçlarda  kullanılmaktadır. Buradaki  msnmsgr.exe  ismini   yapımcı istediği zaman değişebilmektedir.   örnek: aa.exe  gibi, msnmsgr.exe  adı  keyloger clientini oluşturan program ile standart olarak gelmektedir.  
Bu keyloger  Şifrelerinizin  ve kişisel bilgilerinizin  çalınması amacı ile kullanılır. 

Daha önce svchost.exe, SVCHOST.EXE adı altında bulaşan versiyonunun temizleme yöntemini aşağıdaki adreste açıklamıştık.
Burdan

http://www.bilgineferi.com/forum/forum_posts.asp?TID=7620

Şimdi ise standart olarak  msnmsgr.exe adı altında gizlenip çalışan bu keyloger'ın temizleme yöntemini anlatacağım.

Şuan standart olarak dllhost.exe  adı altında bulaşmaktadır.

Bulaştığı yerler  ve temizleme yöntemi burda anlatıldığı gibidir.

Eğer pc nize bulaşmış ise ;

1: Bulaştığı zaman  hemen aktif olur görev yöneticisinde gözükür.

    Pc nizde girmiş olduğunuz internet adresleri, Girmiş olduğunuz bütün  kullanıcı adı ve  şifreler, yazmış olduğunuz ve kopyala yapıştır  yaptığınız bütün yazılar, pc nizin ekran görüntüsü,…vs   periyodik bir şekilde belirtilen zaman aralıklarında   yapımcının belirtmiş olduğu  adrese  yollamaktadır.

2: Bulaştığı zaman hemen aktif olmaz bundan dolayı görev yöneticisinde gözükmez ve dikkatinizi çekmez. 

   Fakat Pc nizi aç  kapa yaptıktan sonra veya herhangi bir programı açmanız ile    aktif hale gelip Görev yöneticisinde gözükür   bu andan itibaren   Pc nizde girmiş olduğunuz internet adresleri, Girmiş olduğunuz bütün  kullanıcı adı ve  şifreler, yazmış olduğunuz ve kopyala yapıştır  yaptığınız bütün yazılar, pc nizin ekran görüntüsü,…vs   periyodik bir şekilde belirtilen zaman aralıklarında   yapımcının belirtmiş olduğu  adrese  yollamaktadır.

Şimdi diyeceksiniz   msnmsgr.exe  windows messenger programının dosyasıdır.

Evet msnmsgr.exe  windows messenger programının dosyasıdır  fakat keyloger bulaşmışsa  kendini msnmsgr.exe  adı altında çalıştırır. 

Sistemde  çalışan msnmsgr.exe nin  veya msnmsgr.exe lerin  keyloger olduğunu nasıl anlayacağız.
Hemen açıklık getirelim "standart olarak msnmsgr.exe den bahsedeceğiz";
Ctrl + Alt+ Del tuşlarına basarak  Görev yöneticisini çalıştırın

Sisteminizde msn yüklü ise msnmsgr.exe bu şekilde tek olarak gözüküyorsa problem yok diyebiliriz.

Eger yukarıdaki gibi bir görüntü var ise veya daha fazla msnmsgr.exe mevcut ise uyarımızı dikkate almanızı tavsiye ederiz

Bu yazıyı okurken belki içinizden diyorsunuzdur burda bulunan msnmsgr.exe lerin hangisi keyloger.

Dosya konumundan bunu tesbit edebilirsiniz.  
Tespiti zor olduğundan bu gibi durumlarda  Process explorer programını  "Gelişmiş görevyöneticisi"   kullanmanızı tavsiye ederim.

Burdan indirebilirsiniz. 

http://www.bilgineferi.com/forum/forum_posts.asp?TID=7860

Process explorer programını çalıştırarak  sistemde çalışan uygulamaların konumunu rahatlıkla tesbit edebilirsiniz.

Process explorer'i çalıştırdıktan sonra çalışan uygulmaların üzerine mause ile gelerek dosyanın konumumu tespit edebilir isterseniz sonlandırabilirsiniz.

Dosyanın simgesi  farklı olabilir  basit bir örnek verecek olursak   gönderen kişi dosyanın simgesini  "mp3" müzik dosyası gibi ayarlarlıyabilir  içine de  bir müzik dosyası gömüp bulaştırmak istediği kişiye gönderir  ve   dosyayı  alan kişi müzik dinlemek için  o dosyayı çalıştırdığında   keyloger bulaşmış olur.
Not: Bu tür durumlarda   şüphe duyuyorsanız dosya uzantısını kontrol ediniz. Yukarıda bahsttiğim örnekteki  mp3 dosyasının  uzantısı .mp3 değil .exe dir. Ama .exe uzantılı bir dosyanın  içerisine gömülmüştür.

Anti virüs yazılımlarına yakalanmamaktadır   son zamanlarda kaspersky internetsecurity  yazılımına “Backdoor.Win32.Delf.osq” olarak  yakalanmaktadır. Fakat yapımcı tarafından keyloger’in güncellemesi yapıldığı için   anti virüs yazılımlarına  yakalanmama ihtimali yüksektir. Şuan itibari ile  anti virüs yazılımlarına yakalanmamaktadır.

msnmsgr.exe veya dllhost.exe adı altında bulaşan  bu  keyloger  eğer pc nize bulaşmış ise aşağıda  bahsettiğim yöntemi kullanarak temizleye bilirsiniz. Keyloger  bizzat tarafımdan test edilmiştir.

Dikkat : 

Son zamanlarda farklı isimlerde bulaştığını tesbit ettik

Bunun üzerine  Yeni Nesil Keyloger Tespit Etme Sistemi v1.4 programını hazırladık  kullanmanızı tavsiye ederim. 

Gerekli açıklamalar içerisinde mevcuttur.

Burdan indirebilirsiniz.

http://www.bilgineferi.com/forum/forum_posts.asp?TID=8111&PID=13742

Manuel olarak İsim ve Konum Tespiti Yamak  için:

1. Yöntem 

Başlat  - Çalıştır'a msconfig yazıp açılan ekrandan başlangıca gelin 

"Buradan bilgisayar açıldıgında başlangıçta çalıştırılan programları kontrol edebilir şüphelendiğiniz   programları devre dışı bırakabilirsiniz."

Başlangıçta çalışan programları Kontrol edin;

Xp  için  C:\Documents and Settings\sizin otorum açma adınız\Application Data  klasörü içerisisinde,

Vista ve windows 7 için; C:\Users\sizin otorum açma adınız\AppData\Roaming

içerisinde çalışan işlem  varsa  orda bulunan isimden keylogerin ismini tesbit edebilirsiniz.

Örnek:

C:\Documents and Settings\sizin otorum açma adınız\Application Data\xxx.exe  

Keylogerin ismi xxx.exe dir
Bulunduğu konum: C:\Documents and Settings\sizin otorum açma adınız\Application Data\ klasörünün içidir.

2.Yöntem   

Processexplorer ile çalışan tüm işlemleri  kontrol etmenizi tavsiye ederiz.

Processexplorer dan çalışan işlemleri  kontrol ederken; 

Xp  için; C:\Documents and Settings\sizin otorum açma adınız\Application Data 

Vista ve windows 7 için; C:\Users\sizin otorum açma adınız\AppData\Roaming  klasörü  içerisinde çalışan programa rastlarsanız o keylogerdir.

3. Yöntem

Bahsettiğimiz bu keyloger'in başlangıçta  çalışan programlar arasında gizlenme  özelliği olduğundan böyle bir durum söz konusu ise  Keylogerin adını ve konumunu tesbit etmek için;

Registry den 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon Da bulunan shell değerini kontrol edin.

Örnek:

Burdaki shell degeri herzaman standart olarak 
Shell      Explorer.exe  dir.

Eğer shell değeri bu şekil ise

Shell     explorer.exe "C:\Documents and Settings\ sizin otorum açma adınız \Application Data\xxx.exe"

Keylogerin ismi: xxx.exe dir
Bulunduğu konum: C:\Documents and Settings\sizin otorum açma adınız\Application Data\ klasörünün içidir.

Bahsettiğimiz bu keyloger'in  sisteminize farklı isimde  bulaştığını tesbit ettiyseniz;

Temizleme işlemi  burda anlattığımız gibi   geçerlidir yani aşağıdaki anlatımlarda bulunan  msnmsgr.exe yerine  tesbit ettiğiniz dosya ismini baza alarak temizleme işlemini yapacaksınız . 

****************************

Bulaştığı zaman

Vindows işletim sistemlerine bulaşır...

Bulaşan bu keyloger kendine ait dosyaları aşağıdaki klasörlerden birine kopyalıyabilir;

C:\Documents and Settings\sizin otorum açma adınız\Application Data
C:\Users\sizin otorum açma adınız\AppData\Roaming

C:\WINDOWS\system
C:\WINDOWS
C:\Documents and Settings\Kullanıcı adınız\temp
C:\Program Files
c:\winnt\profiles\username\start menu\programs\startup 

Standart olarak : 

Xp' de C:\Documents and Settings\sizin otorum açma adınız\Application Data     içerisine  msnmsgr.exe,  ntlog.sys,  ntcom.dll  olarak 3 dosya şeklinde bulaşır.

Güncel
Xp' de C:\Documents and Settings\sizin otorum açma adınız\Application Data     içerisine  dllhost.exe,  ntlog.sys,  ntcom.dll  olarak 3 dosya şeklinde bulaşır.

********************************************
Vista' da C:\Users\sizin otorum açma adınız\AppData\Roaming   içerisine  msnmsgr.exe,  ntlog.sys,  ntcom.dll  olarak 3 dosya şeklinde bulaşır. 

Güncel

Vista' da C:\Users\sizin otorum açma adınız\AppData\Roaming   içerisine  dllhost.exe,  ntlog.sys,  ntcom.dll  olarak 3 dosya şeklinde bulaşır. 

********************************************

Windows 7' de C:\Users\sizin otorum açma adınız\AppData\Roaming     içerisine  msnmsgr.exe,  ntlog.sys,  ntcom.dll  olarak 3 dosya şeklinde bulaşır.

Güncel
Windows 7' de C:\Users\sizin otorum açma adınız\AppData\Roaming     içerisine  dllhost.exe,  ntlog.sys,  ntcom.dll  olarak 3 dosya şeklinde bulaşır.

Not: Gizli dosya ve klasörler seçeneğini aktif hale getirmeden belirtilen dizini göremezsiniz.

********************************************

---------------------------------------------------------------------------------------------

Teknik bir detay: (Keyloger'i Bulaştıran kişinin kullanıcı adını bulma)

İlk etapta görev yöneticisi işlemlerden keylogera ait olan dosyayı sonlandırın

Keyloger sistemizinize bulaştığında  keyloger'i oluşturanın kullanıcı adı  Registry' de   RegisteredOrganization  değerine kaydediliyordu eğer iptal edilmediyse 

Başlat-çalışr'a regedit yazıp Kayıt defteri düzenleyicisini açın  Düzen-Bul menüsünden RegisteredOrganization diye aratın.

Bulduğunuz değerin üzerine çift tıklayarak  keylogerin hangi kullanıcıya ait olduğunu görebilirsiniz.

Keyloger'i Bulaştıranın kullanıcı adı registry'de kayıtlı değil ise;

İlk etapta görev yöneticisi işlemlerden keylogera ait olan dosyayı sonlandırın

Ardından Kullanıcı adını  Bulmanız için izlemeniz gereken yol aşağıdaki gibidir.

C:\Documents and Settings\sizin otorum açma adınız\Application Data veya 
C:\Users\sizin otorum açma adınız\AppData\Roaming   klasöründe bulunan keyloger a ait  xxx.exe dosyasını aşağıda belirttiğim programlardan birini kullanarak  açın.  Özetle videoda anlatılan  işlemleri uygulayarak  keylogeri oluşturan kullanıcının adına ulaşabilirsiniz. 

Not: Kullanıcı adları farklıdır  videoda gözüken sadece  1 tanesidir...

Ben kaynak kod görüntülemek için Resource Hacker 3.4.0 programını kullandım

Bu işlemi Hex editör  programı kullanarakta yapabilirsiniz.

Resource Hacker 3.4.0 Download

http://delphi.icm.edu.pl/ftp/tools/ResHack.zip

Keyloger'i oluşturan kullanıcının adını bulma  videolu  anlatım

Not: Keylogeri temizleme "Birdaha Çalışmamak üzere devre dışı bırakma" yöntemi aşağıda anlatıldığı gibidir    vermiş olduğum ek bilgi teknik bir detaydır.
----------------------------------------------------------------------------------------------

 İşletim sisteminden Temizlemek için

Aşağıda   örnek temizleme yöntemleri anlatılmıştır sisteminize bu isimler harici farklı isimlerde  bahsettiğimiz yeni nesil keyloger dan  bulaşmış ise temizleme yöntemi yine aynıdır sadece keyloger isimleri farklıdır.

Xp işletim sisteminden Temizlemek için;
Gizli dosya ve klasörler seçeneğini aktif hale getirin

Processexplorer' açın msnmsgr.exe dosyalarını kontrol edin C:\Documents and Settings\sizin otorum açma adınız\Application Data içerisinde bulunan msnmsgr.exe yi sonlandırın

Güncel 
Processexplorer'ı ve ya görev yöneticisini açıp işlemlerden dllhost.exe yi sonlandırın

***********************************************************
C:\Documents and Settings\sizin otorum açma adınız\Application Data  klasörünü açıp msnmsgr.exe,  ntlog.sys,  ntcom.dll  dosyalarını silin

Güncel
C:\Documents and Settings\sizin otorum açma adınız\Application Data  klasörünü açıp dllhost.exe,  ntlog.sys,  ntcom.dll  dosyalarını silin

Akabinde;

Başlat-çalışr'a regedit yazıp Kayıt defteri düzenleyicisini açın ve aşağıdaki işlemleri yapın. 

***********************************************************

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

Bu değeri silin
Messenger     "C:\Documents and Settings\ sizin otorum açma adınız \Application Data\msnmsgr.exe"

Güncel
Dllhost     "C:\Documents and Settings\ sizin otorum açma adınız \Application Data\dllhost.exe"

***********************************************************
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

Burdaki shell degeri herzaman standart olarak 
Shell      Explorer.exe  dir.

Eğer shell değeri bu şekil
Shell     explorer.exe "C:\Documents and Settings\ sizin otorum açma adınız \Application Data\msnmsgr.exe"

veya bu şekil ise

Güncel
Shell     explorer.exe "C:\Documents and Settings\ sizin otorum açma adınız \Application Data\dllhost.exe"

Bu şekil değiştirin
Shell      Explorer.exe 

*********************************************************** 

Daha sonra  var ise aşagıdaki kayıtlarıda siliniz.

HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache
C:\Documents and Settings\sizin otorum açma adınız \Application Data\msnmsgr.exe     msnmsgr 

Güncel

HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache
C:\Documents and Settings\sizin otorum açma adınız \Application Data\dllhost.exe     dllhost 

Bunları yaptıktan sonra:  Kontrol etmek için  Kayıt defteri düzenleyicisin den  Application Data\msnmsgr.exe  'yi 

Güncel
Application Data\dllhost.exe  'yi aratın eğer bu kelimeler  bulunuyorsa ilgili girdileri silin bulunmuyorsa keyloger  temizlenmiş demektir.

Bilgisayarınızı yeniden başlatın   işlem tamamdır.  Artık   Sisteminizi  sorunsuz kullanabilirsiniz. 

Vista işletim sisteminden Temizlemek için; 

 Gizli dosya ve klasörler seçeneğini aktif hale getirin
Gizli dosyaları ve klasörleri görüntülemek için aşağıdaki adımları izleyin.
1.  Başlat düğmesi , Denetim Masası, Görünüm ve Kişiselleştirme ve ardından Klasör Seçenekleri'ni tıklatarak Klasör Seçenekleri'ni açın.
2.  Görünüm sekmesini tıklatın.
3.  Gelişmiş ayarlar altından Gizli dosya ve klasörleri göster'i ve ardından Tamam'ı tıklatın.

Ctrl + Alt+ Del tuşlarına basarak  Görev yöneticisini çalıştırın msnmsgr.exe dosyalarının üzerine sağtıklayıp özelliklerden   kontrol edin C:\Users\sizin otorum açma adınız\AppData\Roaming  içerisinde bulunan msnmsgr.exe yi sonlandırın

Güncel

Ctrl + Alt+ Del tuşlarına basarak  Görev yöneticisini çalıştırın msnmsgr.exe dosyalarının üzerine sağtıklayıp özelliklerden   kontrol edin C:\Users\sizin otorum açma adınız\AppData\Roaming  içerisinde bulunan dllhost.exe yi sonlandırın

***********************************************************
C:\Users\sizin otorum açma adınız\AppData\Roaming     klasörünü açıp  msnmsgr.exe,  ntlog.sys,  ntcom.dll  dosyalarını silin

Güncel
C:\Users\sizin otorum açma adınız\AppData\Roaming     klasörünü açıp  dllhost.exe,  ntlog.sys,  ntcom.dll  dosyalarını silin

Akabinde;

Başlat-çalışr'a regedit yazıp Kayıt defteri düzenleyicisini açın ve aşağıdaki işlemleri yapın. 

***********************************************************

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

Bu değeri silin
Messenger         "C:\Users\sizin otorum açma adınız\AppData\Roaming\msnmsgr.exe"

Güncel 

Bu değeri silin
Dllhost        "C:\Users\sizin otorum açma adınız\AppData\Roaming\dllhost.exe"

***********************************************************
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

Burdaki shell degeri herzaman standart olarak 
Shell      Explorer.exe  dir.

Eğer shell değeri bu şekil ise
Shell         explorer.exe "C:\Users\sizin otorum açma adınız\AppData\Roaming\msnmsgr.exe"

Güncel
Shell         explorer.exe "C:\Users\sizin otorum açma adınız\AppData\Roaming\dllhost.exe"

Bu şekil değiştirin
Shell         explorer.exe   

*********************************************************** 

Daha sonra  var ise aşagıdaki kayıtlarıda siliniz.

HKEY_CLASSES_ROOT\Local Settings\Software\Microsoft\Windows\Shell\MuiCache
 C:\Users\sizin otorum açma adınız\AppData\Roaming\msnmsgr.exe     msnmsgr

Güncel
Settings\Software\Microsoft\Windows\Shell\MuiCache
 C:\Users\sizin otorum açma adınız\AppData\Roaming\dllhost.exe     dllhost

Bunları yaptıktan sonra;   Kontrol etmek için  Kayıt defteri düzenleyicisin Roaming\msnmsgr.exe 'yi 

Güncel
Roaming\dllhost.exe 'yi aratın  eğer bu kelimeler  bulunuyorsa ilgili girdileri silin bulunmuyorsa keyloger  temizlenmiş demektir.

 Bilgisayarınızı yeniden başlatın   işlem tamamdır.  Artık   Sisteminizi  sorunsuz kullanabilirsiniz. 

Windows 7  işletim sisteminden Temizlemek için; 

 Gizli dosya ve klasörler seçeneğini aktif hale getirin
Gizli dosyaları ve klasörleri görüntülemek için aşağıdaki adımları izleyin.
1.  Başlat düğmesi , Denetim Masası, Görünüm ve Kişiselleştirme ve ardından Klasör Seçenekleri'ni tıklatarak Klasör Seçenekleri'ni açın.
2.  Görünüm sekmesini tıklatın.
3.  Gelişmiş ayarlar altından Gizli dosya ve klasörleri göster'i ve ardından Tamam'ı tıklatın.

Ctrl + Alt+ Del tuşlarına basarak  Görev yöneticisini çalıştırın msnmsgr.exe dosyalarının üzerine sağtıklayıp özelliklerden   kontrol edin C:\Users\sizin otorum açma adınız\AppData\Roaming  içerisinde bulunan msnmsgr.exe yi sonlandırın

Güncel

Ctrl + Alt+ Del tuşlarına basarak  Görev yöneticisini çalıştırın msnmsgr.exe dosyalarının üzerine sağtıklayıp özelliklerden   kontrol edin C:\Users\sizin otorum açma adınız\AppData\Roaming  içerisinde bulunan dllhost.exe yi sonlandırın

*********************************************************** 
C:\Users\sizin otorum açma adınız\AppData\Roaming     klasörünü açıp  msnmsgr.exe,  ntlog.sys,  ntcom.dll  dosyalarını silin

Güncel
C:\Users\sizin otorum açma adınız\AppData\Roaming     klasörünü açıp  dllhost.exe,  ntlog.sys,  ntcom.dll  dosyalarını silin

Akabinde;

Başlat-çalışr'a regedit yazıp Kayıt defteri düzenleyicisini açın ve aşağıdaki işlemleri yapın. 

***********************************************************

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

Bu değeri silin
Messenger         "C:\Users\sizin otorum açma adınız\AppData\Roaming\msnmsgr.exe"

Güncel 

Bu değeri silin
Dllhost        "C:\Users\sizin otorum açma adınız\AppData\Roaming\dllhost.exe"

***********************************************************
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

Burdaki shell degeri herzaman standart olarak 
Shell      Explorer.exe  dir.

Eğer shell değeri bu şekil ise
Shell         explorer.exe "C:\Users\sizin otorum açma adınız\AppData\Roaming\msnmsgr.exe"

Güncel
Shell         explorer.exe "C:\Users\sizin otorum açma adınız\AppData\Roaming\dllhost.exe"

Bu şekil değiştirin
Shell         explorer.exe   

*********************************************************** 

Daha sonra  var ise aşagıdaki kayıtlarıda siliniz.

HKEY_CLASSES_ROOT\Local Settings\Software\Microsoft\Windows\Shell\MuiCache
 C:\Users\sizin otorum açma adınız\AppData\Roaming\msnmsgr.exe     msnmsgr

Güncel
Settings\Software\Microsoft\Windows\Shell\MuiCache
 C:\Users\sizin otorum açma adınız\AppData\Roaming\dllhost.exe     dllhost

Bunları yaptıktan sonra;   Kontrol etmek için  Kayıt defteri düzenleyicisin Roaming\msnmsgr.exe 'yi 

Güncel
Roaming\dllhost.exe 'yi aratın  eğer bu kelimeler  bulunuyorsa ilgili girdileri silin bulunmuyorsa keyloger  temizlenmiş demektir.

Bilgisayarınızı yeniden başlatın   işlem tamamdır.  Artık   Sisteminizi  sorunsuz kullanabilirsiniz.  

**********************************************************

Yapamayanlar Xp ,  VİSTA  ve Windows 7 den   temizlemek için hazırlamış olduğum bu temsili videoyu  örnek alarak temizleyebilirler

Standart olarak  yaygın olan bu  keylogger'in  temizliği yukarıdakigibidir. 

Önemli:  msnmsgr.exe yerine farklı isimler olabilir. 

Benim analizime göre ismi ne olursa olsun  bu keylogger'ın registry de bulaştığı yerler bellidir. 

Bu gibi durumda  en temiz yöntem Başlat çalıştır regedit ' ten kontrol etmektir.

 Tesbit için:

Hazırlamış olduğumuz Yeni Nesil Keyloger Tespit Etme Sistemi v1.4 programını kullanmanızı tavsiye ederim.

Gerekli açıklamalar içerisinde mevcuttur.

Devamlı güncel versiyonunu Burdan indirebilirsiniz.

http://www.bilgineferi.com/forum/forum_posts.asp?TID=8111&PID=13742

Manuel olarak kontrol etmek isterseniz aşağıdaki yöntemleri kullanarak sisteminizi kontrol edebilirsiniz.

1.Yöntem

Farklı isimlerde  bulaştığını varsayarsak  izlenmeniz  gereken yol "en sağlam tebit yöntemi"  ilk etapta  shell değeridir.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon 

standart  olarak shell  değeri

Shell         explorer.exe    dir  ve değerin standart olması gerekir. 

Eğer farklı ise keylogger dosyasının konumu orda mevcuttur.

Örnek verecek olursak ;

Shell     explorer.exe "C:\Documents and Settings\ sizin otorum açma adınız \xx klasoru\xxx.exe" diye bir değer olsun

Yukarıdaki değeri

Shell         explorer.exe olarak değiştirmeniz gerekir +  Belirtilen konumdaki xxx.exe dosyasını silmeniz gerekir.

2.Yöntem

- Başlat  - Çalıştır'a msconfig yazıp açılan ekrandan başlangıç ta çalışan programları ve konumunu kontrol ederek ederek bulabilirsiniz.

veya registry den aşağıdaki konumu kontrol ederek

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run   da bulunan değerleri  kontrol etmekte  fayda vardır

3.Yöntem

Process explorer programını  "Gelişmiş görevyöneticisi" kullanarak çalışan işlemleri kontrol edebilirsiniz.

Teknik olarak gerekli anlatımları detaylı bir şekilde yaptık sanırım.
Çok sıkıntı olursa ki sanmam olacağını  ilerleyen zamanlarda  tesbit ve temizliği için basit bir  program geliştirebiliriz.

Edit: Son zamanlarda Keyloger'in farklı isimlerde bulaştığını tesbit ettik.   Tesbit ve temizlik için güncelleme yapılmıştır.

Edit: Keylogerin kendine ait dosyaları hangi klasörlere kopyalıyabileceği eklenmiştir.

Edit: Yeni Nesil Keyloger Tesbit Etme Sistemi v1.4 programı sitemize eklenmiştir. 

Edit: Yeni nesil keyloger'in taskmgr.exe adı ilede bulaştığını tespit ettik  temizliği için aşağıdaki adresi takip ediniz... 

Not: Güncel temizleme yöntemlerini aşağıdaki linkten takip edebilirsiniz 

http://www.bilgineferi.com/forum/forum_posts.asp?TID=8137

Not: Aşağıdaki konuyuda inceleyiniz

Yeni Nesil Keyloger Tespit Etme Sistemi Hakkında hazırlamış olduğumuz diğer  konulara aşağıdaki linkten  ulaşabilirsiniz

http://www.bilgineferi.com/forum/forum_posts.asp?TID=8373

Saygılarımla
invertor

DÃ¼zenleyen invertor - 15-06-2010 Saat 12:11