msnmsgr.exe, dllhost.exe (Dikkat)

Hazırlamış olduğum Video' yu izlemenizi tavsiye ederim

Diğer işlemleri yapmışsınız Shell değeri Explorer.exe ise o kısımda problem yok demektir.

Hash Kontrolü yapma ( MD5, SHA-1, CRC32,... vb)

Ustam ellerin dert görmesin. Allah razı olsun bizi bi dertten kurtardın. Knight'ı bırakalı uzun zaman olmuştu tekrar başlayayım dedim koxp indirdim sürekli tetikteyimdir o konularda şansa gördüm indirmeden önce msnmsgr.exe diye. az bi bilgim de var görev yöneticisini sürekli kullanırım. sayende kurtulduk. tekrar teşekkürler :)

ilkayy12 YazdÄ±:

Gsl anlatmıssın ama bulmanın daha klay bi yolu'da war aslında

bukeyloger ne olursa olsun msnmsgr.exe veya svchost veya kightexe

sonucta logları göndermek için aynı klaösrde ntlog die bi sistem dosyası hazırlıyor ve belirtilen aralıklarla bu logları gönderiyor

pcnize bulastıgını düşünüyorsanız Baslat/Ara/ntlog yazmanız yeter die düşünüyorum xD

paylasım İçin ty..

exe ne olursa olsun mecburen ntlog olusturuyor o ism şaşmıyor ..

Merak etmeyin sisteme bulaştırdığı dosyaların ne işe yaradığından haber darız fazla teknik detaylara değinmedik.

Tabi tespit açısından şimdilik buda güzel bir yöntem.

Temizlik içinde konuda anlatılanların yapılması gerekir

Hash Kontrolü yapma ( MD5, SHA-1, CRC32,... vb)

koxper20 YazdÄ±:

kardes soyledıklerını yaptım ama 2 .kez gırdı bu sefer pek okumadan iş yaptım regedit dekı explorer.exe yazılı kalsın yazıyo orda ben sıldım kökten explorer.exe yı sımdı pc ye her defasında explorer.exe yazıp gırıorum

Dikkatli olmanızı tavsiye ederiz.

Sorununuzun çözümü :

Başlat- Çalıştır -Regedit

Registry Kayıt defteri düzenleyicisinden aşağıdaki konuma gelin

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

Sağtaraftaki alan üzerine mause ile sağtıklayın açılan "yeni" menüsünden "Dize Değerini tıklayın" oluşturmuş olduğunuz dize değerini shell olarak değiştirin

Akabinde oluşan shell 'in üzerine çift tıklayın Değer Verisi Kısmına Explorer.exe yazın sorununuz düzelecektir

Hash Kontrolü yapma ( MD5, SHA-1, CRC32,... vb)

shell i Shell olarak değiştirin S harfi büyük olacak

Yine olmaz ise

Başlat - Çalıştıra %SystemRoot%\system32\restore\rstrui.exe Yazıp çalıştırın Sisteminizi önceki bir tarihe geri yükleyin sorununuz düzelecektir

Hash Kontrolü yapma ( MD5, SHA-1, CRC32,... vb)

koxper20 YazdÄ±:

rstrui.exe bulunamadı dıo Shell yaptım yıne olmadı Geri yükleme noktasıda yok :S

Konuyu dagıttık konu hakkında farklı bir konu açarsanız bu mesajları oraya taşıyacağım

Sanırım vista işletim sistemi kullanıyorsunuz

Çalıştıra msconfig yazıp çalıştırın başlangıçta çalışan programları devre dışı bırakıp yeniden başlatın bakalım yine aynı sorun olacakmı

Aynı sorun devam ediyorsa

Çalıştıra %systemroot%\system32\mstsc.exe yazıp çalıştırın sisteminizi geri bir tarihe yüklemeyi deneyin

Yine olmuyor ise vista dvd si ile sisteminizi onarmayı deneyiniz.

DÃ¼zenleyen invertor - 23-09-2009 Saat 12:41

Hash Kontrolü yapma ( MD5, SHA-1, CRC32,... vb)

Oncelikle selamlar. Hocam anlattıgınız islemleri tek tek uyguladım. Bahsettiginiz klasorler icerisinde herhangi bir anormal dosya yok, 3 kere ust uste format atmama ragmen pc'de suanda keylogger oldugunu hissedebiliyorum. Yaptıgımın islemler yavas ilerliyor v.s pc'de bulunan keylogger'in hangisi oldugunda tam bir fikrim yok fakat N-Keylogger tipi sanırım. Pc'den mail gonderilen sahıs ile 2 3 kere gorustum ekran goruntumu v.s gosterdi bana daha oncesinde basıma bole birsey gelmedigi icin cok şaşırdım. Format attıgımda kurtulabilecegimi sanıyodum fakat yanılmısım. N-Keylogger hakkında onerileriniz var ise onuda test etmek isterim.

Dipnot; MS-DOS uzerinde bir hata penceresi geliyor Windows\Temp klasoru icerisinde keklik.exe hata verdi diye bir uyarı geliyor. N-Keylogger tanımını okurken karsıdaki kullanıcıya sahte uyarı verme penceresi diye birsey gordum. Bu yuzden N-Keylogger tipi oldugundan supheleniyorum.

Simdiden tesekkur ederim.