msnmsgr.exe, dllhost.exe (Dikkat)
Nereden Yazdırıldığı: Bilginin Adresi
Kategori: Bilgisayar Güvenliği / Computer Security
Forum Adı: Güvenlik Programları, Güvenlik ve Güvenlik açıkları
Forum Tanımlaması: Bilgisayarınızı Her Türlü Saldırılardan Koruyun
URL: https://www.bilgineferi.com/forum/forum_posts.asp?TID=8005
Tarih: 21-11-2024 Saat 19:46
Konu: msnmsgr.exe, dllhost.exe (Dikkat)
Mesajı Yazan: invertor
Konu: msnmsgr.exe, dllhost.exe (Dikkat)
Mesaj Tarihi: 26-08-2009 Saat 18:53
|
msnmsgr.exe adı ile gizlenen yeni nesil keyloger'a dikkat
dllhost.exe adı ile gizlenen yeni nesil keyloger'a dikkat
msnmsgr.exe veya dllhost.exe adı ile gizlenen yeni nesil keyloger Hakkında:
msnmsgr.exe Yeni nesil Türk Yapımı Güzel bir Keyloger client'i dir. Ticari amaçlı yapılmıştır ve kötü amaçlarda kullanılmaktadır. Buradaki msnmsgr.exe ismini yapımcı istediği zaman değişebilmektedir. örnek: aa.exe gibi, msnmsgr.exe adı keyloger clientini oluşturan program ile standart olarak gelmektedir.
Bu keyloger Şifrelerinizin ve kişisel bilgilerinizin çalınması amacı ile kullanılır. Daha önce svchost.exe, SVCHOST.EXE adı altında bulaşan versiyonunun temizleme yöntemini aşağıdaki adreste açıklamıştık. Burdan http://www.bilgineferi.com/forum/url.asp?url=http://www.bilgineferi.com/forum/forum_posts.asp?TID=7620 - http://www.bilgineferi.com/forum/forum_posts.asp?TID=7620 Şimdi ise standart olarak msnmsgr.exe adı altında gizlenip çalışan bu keyloger'ın temizleme yöntemini anlatacağım. Şuan standart olarak dllhost.exe adı altında bulaşmaktadır.
Bulaştığı yerler ve temizleme yöntemi burda anlatıldığı gibidir.
Eğer pc nize bulaşmış ise ; 1: Bulaştığı zaman hemen aktif olur görev yöneticisinde gözükür. Pc nizde girmiş olduğunuz internet adresleri, Girmiş olduğunuz bütün kullanıcı adı ve şifreler, yazmış olduğunuz ve kopyala yapıştır yaptığınız bütün yazılar, pc nizin ekran görüntüsü,…vs periyodik bir şekilde belirtilen zaman aralıklarında yapımcının belirtmiş olduğu adrese yollamaktadır.
2: Bulaştığı zaman hemen aktif olmaz bundan dolayı görev yöneticisinde gözükmez ve dikkatinizi çekmez.
Fakat Pc nizi aç kapa yaptıktan sonra veya herhangi bir programı açmanız ile aktif hale gelip Görev yöneticisinde gözükür bu andan itibaren Pc nizde girmiş olduğunuz internet adresleri, Girmiş olduğunuz bütün kullanıcı adı ve şifreler, yazmış olduğunuz ve kopyala yapıştır yaptığınız bütün yazılar, pc nizin ekran görüntüsü,…vs periyodik bir şekilde belirtilen zaman aralıklarında yapımcının belirtmiş olduğu adrese yollamaktadır.
Şimdi diyeceksiniz msnmsgr.exe windows messenger programının dosyasıdır. Evet msnmsgr.exe windows messenger programının dosyasıdır fakat keyloger bulaşmışsa kendini msnmsgr.exe adı altında çalıştırır.
Sistemde çalışan msnmsgr.exe nin veya msnmsgr.exe lerin keyloger olduğunu nasıl anlayacağız. Hemen açıklık getirelim "standart olarak msnmsgr.exe den bahsedeceğiz"; Ctrl + Alt+ Del tuşlarına basarak Görev yöneticisini çalıştırın
 Sisteminizde msn yüklü ise msnmsgr.exe bu şekilde tek olarak gözüküyorsa problem yok diyebiliriz.
Eger yukarıdaki gibi bir görüntü var ise veya daha fazla msnmsgr.exe mevcut ise uyarımızı dikkate almanızı tavsiye ederiz
Bu yazıyı okurken belki içinizden diyorsunuzdur burda bulunan msnmsgr.exe lerin hangisi keyloger.
Dosya konumundan bunu tesbit edebilirsiniz.
Tespiti zor olduğundan bu gibi durumlarda Process explorer programını "Gelişmiş görevyöneticisi" kullanmanızı tavsiye ederim.
Burdan indirebilirsiniz.
http://www.bilgineferi.com/forum/url.asp?url=http://www.bilgineferi.com/forum/forum_posts.asp?TID=7860 - http://www.bilgineferi.com/forum/forum_posts.asp?TID=7860 http://www.bilgineferi.com/forum/url.asp?url=http://www.bilgineferi.com/forum/forum_posts.asp?TID=7860&KW=Process+Explorer -
Process explorer programını çalıştırarak sistemde çalışan uygulamaların konumunu rahatlıkla tesbit edebilirsiniz.
Process explorer'i çalıştırdıktan sonra çalışan uygulmaların üzerine mause ile gelerek dosyanın konumumu tespit edebilir isterseniz sonlandırabilirsiniz.
  Dosyanın simgesi farklı olabilir basit bir örnek verecek olursak gönderen kişi dosyanın simgesini "mp3" müzik dosyası gibi ayarlarlıyabilir içine de bir müzik dosyası gömüp bulaştırmak istediği kişiye gönderir ve dosyayı alan kişi müzik dinlemek için o dosyayı çalıştırdığında keyloger bulaşmış olur.
Not: Bu tür durumlarda şüphe duyuyorsanız dosya uzantısını kontrol ediniz. Yukarıda bahsttiğim örnekteki mp3 dosyasının uzantısı .mp3 değil .exe dir. Ama .exe uzantılı bir dosyanın içerisine gömülmüştür. Anti virüs yazılımlarına yakalanmamaktadır son zamanlarda kaspersky internetsecurity yazılımına “Backdoor.Win32.Delf.osq” olarak yakalanmaktadır. Fakat yapımcı tarafından keyloger’in güncellemesi yapıldığı için anti virüs yazılımlarına yakalanmama ihtimali yüksektir. Şuan itibari ile anti virüs yazılımlarına yakalanmamaktadır.
Dikkat :
Son zamanlarda farklı isimlerde bulaştığını tesbit ettik
Bunun üzerine Yeni Nesil Keyloger Tespit Etme Sistemi v1.4 programını hazırladık kullanmanızı tavsiye ederim.
 Gerekli açıklamalar içerisinde mevcuttur.
Burdan indirebilirsiniz.
http://www.bilgineferi.com/forum/forum_posts.asp?TID=8111&PID=13742 - http://www.bilgineferi.com/forum/forum_posts.asp?TID=8111&PID=13742 http://www.bilgineferi.com/forum/url.asp?url=http://www.bilgineferi.com//forum/uploads/invertor/bilgineferi-Keyloger_Tesbit_Etme_Sistemi_v1.0.zip - Manuel olarak İsim ve Konum Tespiti Yamak için:
1. Yöntem
Başlat - Çalıştır'a msconfig yazıp açılan ekrandan başlangıca gelin
"Buradan bilgisayar açıldıgında başlangıçta çalıştırılan programları kontrol edebilir şüphelendiğiniz programları devre dışı bırakabilirsiniz."
Başlangıçta çalışan programları Kontrol edin;
Xp için C:\Documents and Settings\sizin otorum açma adınız\Application Data klasörü içerisisinde,
Vista ve windows 7 için; C:\Users\sizin otorum açma adınız\AppData\Roaming
içerisinde çalışan işlem varsa orda bulunan isimden keylogerin ismini tesbit edebilirsiniz.
Örnek:
C:\Documents and Settings\sizin otorum açma adınız\Application Data\xxx.exe
Keylogerin ismi xxx.exe dir
Bulunduğu konum: C:\Documents and Settings\sizin otorum açma adınız\Application Data\ klasörünün içidir.
2.Yöntem
Processexplorer ile çalışan tüm işlemleri kontrol etmenizi tavsiye ederiz.
Processexplorer dan çalışan işlemleri kontrol ederken;
Xp için; C:\Documents and Settings\sizin otorum açma adınız\Application Data
Vista ve windows 7 için; C:\Users\sizin otorum açma adınız\AppData\Roaming klasörü içerisinde çalışan programa rastlarsanız o keylogerdir.
3. Yöntem
Bahsettiğimiz bu keyloger'in başlangıçta çalışan programlar arasında gizlenme özelliği olduğundan böyle bir durum söz konusu ise Keylogerin adını ve konumunu tesbit etmek için;
Registry den
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon Da bulunan shell değerini kontrol edin. Örnek:
Burdaki shell degeri herzaman standart olarak
Shell Explorer.exe dir. Eğer shell değeri bu şekil ise
Shell explorer.exe "C:\Documents and Settings\ sizin otorum açma adınız \Application Data\xxx.exe"
Keylogerin ismi: xxx.exe dir
Bulunduğu konum: C:\Documents and Settings\sizin otorum açma adınız\Application Data\ klasörünün içidir.
Bahsettiğimiz bu keyloger'in sisteminize farklı isimde bulaştığını tesbit ettiyseniz;
Temizleme işlemi burda anlattığımız gibi geçerlidir yani aşağıdaki anlatımlarda bulunan msnmsgr.exe yerine tesbit ettiğiniz dosya ismini baza alarak temizleme işlemini yapacaksınız .
**************************** Bulaştığı zaman Vindows işletim sistemlerine bulaşır...
Bulaşan bu keyloger kendine ait dosyaları aşağıdaki klasörlerden birine kopyalıyabilir;
C:\Documents and Settings\sizin otorum açma adınız\Application Data C:\Users\sizin otorum açma adınız\AppData\Roaming C:\WINDOWS\system
C:\WINDOWS C:\Documents and Settings\Kullanıcı adınız\temp C:\Program Files c:\winnt\profiles\username\start menu\programs\startup Standart olarak :
Xp' de C:\Documents and Settings\sizin otorum açma adınız\Application Data içerisine msnmsgr.exe, ntlog.sys, ntcom.dll olarak 3 dosya şeklinde bulaşır.
Güncel Xp' de C:\Documents and Settings\sizin otorum açma adınız\Application Data içerisine dllhost.exe, ntlog.sys, ntcom.dll olarak 3 dosya şeklinde bulaşır.
********************************************
Vista' da C:\Users\sizin otorum açma adınız\AppData\Roaming içerisine msnmsgr.exe, ntlog.sys, ntcom.dll olarak 3 dosya şeklinde bulaşır. Güncel
Vista' da C:\Users\sizin otorum açma adınız\AppData\Roaming içerisine dllhost.exe, ntlog.sys, ntcom.dll olarak 3 dosya şeklinde bulaşır.
********************************************
Windows 7' de C:\Users\sizin otorum açma adınız\AppData\Roaming içerisine msnmsgr.exe, ntlog.sys, ntcom.dll olarak 3 dosya şeklinde bulaşır. Güncel
Windows 7' de C:\Users\sizin otorum açma adınız\AppData\Roaming içerisine dllhost.exe, ntlog.sys, ntcom.dll olarak 3 dosya şeklinde bulaşır.
Not: Gizli dosya ve klasörler seçeneğini aktif hale getirmeden belirtilen dizini göremezsiniz.
********************************************
---------------------------------------------------------------------------------------------
Teknik bir detay: (Keyloger'i Bulaştıran kişinin kullanıcı adını bulma)
İlk etapta görev yöneticisi işlemlerden keylogera ait olan dosyayı sonlandırın
Keyloger sistemizinize bulaştığında keyloger'i oluşturanın kullanıcı adı Registry' de RegisteredOrganization değerine kaydediliyordu eğer iptal edilmediyse
Başlat-çalışr'a regedit yazıp Kayıt defteri düzenleyicisini açın Düzen-Bul menüsünden RegisteredOrganization diye aratın.
Bulduğunuz değerin üzerine çift tıklayarak keylogerin hangi kullanıcıya ait olduğunu görebilirsiniz.
Keyloger'i Bulaştıranın kullanıcı adı registry'de kayıtlı değil ise;
İlk etapta görev yöneticisi işlemlerden keylogera ait olan dosyayı sonlandırın
Ardından Kullanıcı adını Bulmanız için izlemeniz gereken yol aşağıdaki gibidir.
C:\Documents and Settings\sizin otorum açma adınız\Application Data veya
C:\Users\sizin otorum açma adınız\AppData\Roaming klasöründe bulunan keyloger a ait xxx.exe dosyasını aşağıda belirttiğim programlardan birini kullanarak açın. Özetle videoda anlatılan işlemleri uygulayarak keylogeri oluşturan kullanıcının adına ulaşabilirsiniz. Not: Kullanıcı adları farklıdır videoda gözüken sadece 1 tanesidir...
Ben kaynak kod görüntülemek için Resource Hacker 3.4.0 programını kullandım
Bu işlemi Hex editör programı kullanarakta yapabilirsiniz.
Resource Hacker 3.4.0 Download
http://delphi.icm.edu.pl/ftp/tools/ResHack.zip - http://delphi.icm.edu.pl/ftp/tools/ResHack.zip
Keyloger'i oluşturan kullanıcının adını bulma videolu anlatım
Not: Keylogeri temizleme "Birdaha Çalışmamak üzere devre dışı bırakma" yöntemi aşağıda anlatıldığı gibidir vermiş olduğum ek bilgi teknik bir detaydır.
----------------------------------------------------------------------------------------------
İşletim sisteminden Temizlemek için
Aşağıda örnek temizleme yöntemleri anlatılmıştır sisteminize bu isimler harici farklı isimlerde bahsettiğimiz yeni nesil keyloger dan bulaşmış ise temizleme yöntemi yine aynıdır sadece keyloger isimleri farklıdır.
Xp işletim sisteminden Temizlemek için;
Gizli dosya ve klasörler seçeneğini aktif hale getirin
Güncel
Processexplorer'ı ve ya görev yöneticisini açıp işlemlerden dllhost.exe yi sonlandırın
***********************************************************
C:\Documents and Settings\sizin otorum açma adınız\Application Data klasörünü açıp msnmsgr.exe, ntlog.sys, ntcom.dll dosyalarını silin
Güncel
C:\Documents and Settings\sizin otorum açma adınız\Application Data klasörünü açıp dllhost.exe, ntlog.sys, ntcom.dll dosyalarını silin
Akabinde;
Başlat-çalışr'a regedit yazıp Kayıt defteri düzenleyicisini açın ve aşağıdaki işlemleri yapın. ***********************************************************
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Bu değeri silin
Messenger "C:\Documents and Settings\ sizin otorum açma adınız \Application Data\msnmsgr.exe"
Güncel
Dllhost "C:\Documents and Settings\ sizin otorum açma adınız \Application Data\dllhost.exe"
***********************************************************
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon Burdaki shell degeri herzaman standart olarak
Shell Explorer.exe dir. Eğer shell değeri bu şekil
Shell explorer.exe "C:\Documents and Settings\ sizin otorum açma adınız \Application Data\msnmsgr.exe" veya bu şekil ise
Güncel
Shell explorer.exe "C:\Documents and Settings\ sizin otorum açma adınız \Application Data\dllhost.exe"
Bu şekil değiştirin
Shell Explorer.exe
***********************************************************
Daha sonra var ise aşagıdaki kayıtlarıda siliniz.
HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache
C:\Documents and Settings\sizin otorum açma adınız \Application Data\msnmsgr.exe msnmsgr Güncel
HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache
C:\Documents and Settings\sizin otorum açma adınız \Application Data\dllhost.exe dllhost Bunları yaptıktan sonra: Kontrol etmek için Kayıt defteri düzenleyicisin den Application Data\msnmsgr.exe 'yi
Güncel
Application Data\dllhost.exe 'yi aratın eğer bu kelimeler bulunuyorsa ilgili girdileri silin bulunmuyorsa keyloger temizlenmiş demektir.
Bilgisayarınızı yeniden başlatın işlem tamamdır. Artık Sisteminizi sorunsuz kullanabilirsiniz. Vista işletim sisteminden Temizlemek için;
Gizli dosya ve klasörler seçeneğini aktif hale getirin Gizli dosyaları ve klasörleri görüntülemek için aşağıdaki adımları izleyin.
1. Başlat düğmesi , Denetim Masası, Görünüm ve Kişiselleştirme ve ardından Klasör Seçenekleri'ni tıklatarak Klasör Seçenekleri'ni açın.
2. Görünüm sekmesini tıklatın. 3. Gelişmiş ayarlar altından Gizli dosya ve klasörleri göster'i ve ardından Tamam'ı tıklatın. Ctrl + Alt+ Del tuşlarına basarak Görev yöneticisini çalıştırın msnmsgr.exe dosyalarının üzerine sağtıklayıp özelliklerden kontrol edin C:\Users\sizin otorum açma adınız\AppData\Roaming içerisinde bulunan msnmsgr.exe yi sonlandırın Güncel
Ctrl + Alt+ Del tuşlarına basarak Görev yöneticisini çalıştırın msnmsgr.exe dosyalarının üzerine sağtıklayıp özelliklerden kontrol edin C:\Users\sizin otorum açma adınız\AppData\Roaming içerisinde bulunan dllhost.exe yi sonlandırın *********************************************************** C:\Users\sizin otorum açma adınız\AppData\Roaming klasörünü açıp msnmsgr.exe, ntlog.sys, ntcom.dll dosyalarını silin
Güncel
C:\Users\sizin otorum açma adınız\AppData\Roaming klasörünü açıp dllhost.exe, ntlog.sys, ntcom.dll dosyalarını silin
Akabinde;
Başlat-çalışr'a regedit yazıp Kayıt defteri düzenleyicisini açın ve aşağıdaki işlemleri yapın.
*********************************************************** HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Bu değeri silin
Messenger "C:\Users\sizin otorum açma adınız\AppData\Roaming\msnmsgr.exe"
Güncel
Bu değeri silin
Dllhost "C:\Users\sizin otorum açma adınız\AppData\Roaming\dllhost.exe" ***********************************************************
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Burdaki shell degeri herzaman standart olarak
Shell Explorer.exe dir. Eğer shell değeri bu şekil ise Shell explorer.exe "C:\Users\sizin otorum açma adınız\AppData\Roaming\msnmsgr.exe"
Güncel
Shell explorer.exe "C:\Users\sizin otorum açma adınız\AppData\Roaming\dllhost.exe"
Bu şekil değiştirin
Shell explorer.exe
*********************************************************** Daha sonra var ise aşagıdaki kayıtlarıda siliniz.
HKEY_CLASSES_ROOT\Local Settings\Software\Microsoft\Windows\Shell\MuiCache
C:\Users\sizin otorum açma adınız\AppData\Roaming\msnmsgr.exe msnmsgr Güncel
Settings\Software\Microsoft\Windows\Shell\MuiCache
C:\Users\sizin otorum açma adınız\AppData\Roaming\dllhost.exe dllhost Bunları yaptıktan sonra; Kontrol etmek için Kayıt defteri düzenleyicisin Roaming\msnmsgr.exe 'yi
Güncel
Roaming\dllhost.exe 'yi aratın eğer bu kelimeler bulunuyorsa ilgili girdileri silin bulunmuyorsa keyloger temizlenmiş demektir.
Bilgisayarınızı yeniden başlatın işlem tamamdır. Artık Sisteminizi sorunsuz kullanabilirsiniz. Windows 7 işletim sisteminden Temizlemek için;
Gizli dosya ve klasörler seçeneğini aktif hale getirin Gizli dosyaları ve klasörleri görüntülemek için aşağıdaki adımları izleyin.
1. Başlat düğmesi , Denetim Masası, Görünüm ve Kişiselleştirme ve ardından Klasör Seçenekleri'ni tıklatarak Klasör Seçenekleri'ni açın.
2. Görünüm sekmesini tıklatın. 3. Gelişmiş ayarlar altından Gizli dosya ve klasörleri göster'i ve ardından Tamam'ı tıklatın. Ctrl + Alt+ Del tuşlarına basarak Görev yöneticisini çalıştırın msnmsgr.exe dosyalarının üzerine sağtıklayıp özelliklerden kontrol edin C:\Users\sizin otorum açma adınız\AppData\Roaming içerisinde bulunan msnmsgr.exe yi sonlandırın Güncel
Ctrl + Alt+ Del tuşlarına basarak Görev yöneticisini çalıştırın msnmsgr.exe dosyalarının üzerine sağtıklayıp özelliklerden kontrol edin C:\Users\sizin otorum açma adınız\AppData\Roaming içerisinde bulunan dllhost.exe yi sonlandırın ***********************************************************
C:\Users\sizin otorum açma adınız\AppData\Roaming klasörünü açıp msnmsgr.exe, ntlog.sys, ntcom.dll dosyalarını silin
Güncel
C:\Users\sizin otorum açma adınız\AppData\Roaming klasörünü açıp dllhost.exe, ntlog.sys, ntcom.dll dosyalarını silin
Akabinde;
Başlat-çalışr'a regedit yazıp Kayıt defteri düzenleyicisini açın ve aşağıdaki işlemleri yapın.
*********************************************************** HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Bu değeri silin
Messenger "C:\Users\sizin otorum açma adınız\AppData\Roaming\msnmsgr.exe"
Güncel
Bu değeri silin
Dllhost "C:\Users\sizin otorum açma adınız\AppData\Roaming\dllhost.exe" ***********************************************************
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Burdaki shell degeri herzaman standart olarak
Shell Explorer.exe dir. Eğer shell değeri bu şekil ise Shell explorer.exe "C:\Users\sizin otorum açma adınız\AppData\Roaming\msnmsgr.exe"
Güncel
Shell explorer.exe "C:\Users\sizin otorum açma adınız\AppData\Roaming\dllhost.exe"
Bu şekil değiştirin
Shell explorer.exe
*********************************************************** Daha sonra var ise aşagıdaki kayıtlarıda siliniz.
HKEY_CLASSES_ROOT\Local Settings\Software\Microsoft\Windows\Shell\MuiCache
C:\Users\sizin otorum açma adınız\AppData\Roaming\msnmsgr.exe msnmsgr Güncel
Settings\Software\Microsoft\Windows\Shell\MuiCache
C:\Users\sizin otorum açma adınız\AppData\Roaming\dllhost.exe dllhost Bunları yaptıktan sonra; Kontrol etmek için Kayıt defteri düzenleyicisin Roaming\msnmsgr.exe 'yi
Güncel
Roaming\dllhost.exe 'yi aratın eğer bu kelimeler bulunuyorsa ilgili girdileri silin bulunmuyorsa keyloger temizlenmiş demektir.
Bilgisayarınızı yeniden başlatın işlem tamamdır. Artık Sisteminizi sorunsuz kullanabilirsiniz. **********************************************************
Yapamayanlar Xp , VİSTA ve Windows 7 den temizlemek için hazırlamış olduğum bu temsili videoyu örnek alarak temizleyebilirler Standart olarak yaygın olan bu keylogger'in temizliği yukarıdakigibidir.
Önemli: msnmsgr.exe yerine farklı isimler olabilir.
Benim analizime göre ismi ne olursa olsun bu keylogger'ın registry de bulaştığı yerler bellidir.
Bu gibi durumda en temiz yöntem Başlat çalıştır regedit ' ten kontrol etmektir.
Tesbit için:
Hazırlamış olduğumuz Yeni Nesil Keyloger Tespit Etme Sistemi v1.4 programını kullanmanızı tavsiye ederim.
Gerekli açıklamalar içerisinde mevcuttur.
Devamlı güncel versiyonunu Burdan indirebilirsiniz.
http://www.bilgineferi.com/forum/forum_posts.asp?TID=8111&PID=13742 - http://www.bilgineferi.com/forum/forum_posts.asp?TID=8111&PID=13742
Manuel olarak kontrol etmek isterseniz aşağıdaki yöntemleri kullanarak sisteminizi kontrol edebilirsiniz.
1.Yöntem
Farklı isimlerde bulaştığını varsayarsak izlenmeniz gereken yol "en sağlam tebit yöntemi" ilk etapta shell değeridir.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
standart olarak shell değeri
Shell explorer.exe dir ve değerin standart olması gerekir.
Eğer farklı ise keylogger dosyasının konumu orda mevcuttur.
Örnek verecek olursak ;
Shell explorer.exe "C:\Documents and Settings\ sizin otorum açma adınız \xx klasoru\xxx.exe" diye bir değer olsun
Yukarıdaki değeri
Shell explorer.exe olarak değiştirmeniz gerekir + Belirtilen konumdaki xxx.exe dosyasını silmeniz gerekir.
2.Yöntem
- Başlat - Çalıştır'a msconfig yazıp açılan ekrandan başlangıç ta çalışan programları ve konumunu kontrol ederek ederek bulabilirsiniz.
veya registry den aşağıdaki konumu kontrol ederek
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run da bulunan değerleri kontrol etmekte fayda vardır
3.Yöntem
Process explorer programını "Gelişmiş görevyöneticisi" kullanarak çalışan işlemleri kontrol edebilirsiniz.
Teknik olarak gerekli anlatımları detaylı bir şekilde yaptık sanırım.
Çok sıkıntı olursa ki sanmam olacağını ilerleyen zamanlarda tesbit ve temizliği için basit bir program geliştirebiliriz.
Edit: Son zamanlarda Keyloger'in farklı isimlerde bulaştığını tesbit ettik. Tesbit ve temizlik için güncelleme yapılmıştır.
Edit: Keylogerin kendine ait dosyaları hangi klasörlere kopyalıyabileceği eklenmiştir.
Edit: Yeni Nesil Keyloger Tesbit Etme Sistemi v1.4 programı sitemize eklenmiştir.
Edit: Yeni nesil keyloger'in taskmgr.exe adı ilede bulaştığını tespit ettik temizliği için aşağıdaki adresi takip ediniz...
Not: Güncel temizleme yöntemlerini aşağıdaki linkten takip edebilirsiniz http://www.bilgineferi.com/forum/forum_posts.asp?TID=8137 - http://www.bilgineferi.com/forum/forum_posts.asp?TID=8137
Not: Aşağıdaki konuyuda inceleyiniz
Yeni Nesil Keyloger Tespit Etme Sistemi Hakkında hazırlamış olduğumuz diğer konulara aşağıdaki linkten ulaşabilirsiniz
http://www.bilgineferi.com/forum/forum_posts.asp?TID=8373 - http://www.bilgineferi.com/forum/forum_posts.asp?TID=8373
http://www.bilgineferi.com/forum/forum_posts.asp?TID=7378 -
http://www.bilgineferi.com/forum/forum_posts.asp?TID=8137 - Saygılarımla
invertor -------------  http://www.bilgineferi.com/forum/forum_posts.asp?TID=8328" rel="nofollow - Hash Kontrolü yapma ( MD5, SHA-1, CRC32,... vb)
|
Cevaplar:
Mesajı Yazan: wolf
Mesaj Tarihi: 26-08-2009 Saat 22:22
Çok detaylı ve güzel anlatım olmuş ellerinize sağlık. Ama çok şükür virüsün benim pc me bulaşmadığını anlamaktan başka bi yardımı olmadı bana şimdilik inşallah da olmaz 
Msn çoklu oturum açma programlarıyla aynı anda 1 den fazla oturum açan arkadaşlar görev yöneticisinde 1 den fazla msnmsgr.exe görünce paniğe kapılmasın ama dimi sayın invertor? |
Mesajı Yazan: invertor
Mesaj Tarihi: 26-08-2009 Saat 22:34
|
Güzel bir noktaya değindin wolf +
Çoklu oturum açma yaması kullananlar eğer 1 msn açmış iseler görev yöneticisinde 1 tane msnmsgr.exe olur 2 tane açmışlar iseler 2 tane gözükür.
Görev yöneticisinde çalışan msnmsgr.exe lerin konumu standart olarak "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" dir.
Bu kontrolü Process explorer programı ile basit bir şekilde yapabilirsiniz.
Process explorer 'i çalıştırdıktan sonra çalışan uygulmaların üzerine mause ile gelerek konumumu rahatlıkla görebilirsiniz.
Resimdeki örnekte 1 msn açık iken 2 msn uygulamasının çalıştığı gözükmektedir
Bu şekil olmaması gerekir.
------------- http://www.bilgineferi.com/forum/forum_posts.asp?TID=8328" rel="nofollow - Hash Kontrolü yapma ( MD5, SHA-1, CRC32,... vb)
|
Mesajı Yazan: wolf
Mesaj Tarihi: 26-08-2009 Saat 22:42
Teşekkürler invertor bu noktada aydınlatılmış oldu kimsenin kafası karışmasın 
+ rep |
Mesajı Yazan: S3Z3R
Mesaj Tarihi: 27-08-2009 Saat 10:51
|
Güvenlik paylaşımların üst düzeyde vede sürekli güncel çalışmalarından dolayı seni kutluyorum. ------------- 
|
Mesajı Yazan: invertor
Mesaj Tarihi: 01-09-2009 Saat 01:17
|
Ek olarak Vista ve Windows 7 için; Temizleme yöntemini içeren videolu anlatımlar eklenmiştir. ------------- http://www.bilgineferi.com/forum/forum_posts.asp?TID=8328" rel="nofollow - Hash Kontrolü yapma ( MD5, SHA-1, CRC32,... vb)
|
Mesajı Yazan: wolf
Mesaj Tarihi: 01-09-2009 Saat 01:35
videolar çok iyi olmuş invertor. Bilmeyenler için makale okumaktansa videodan izleyip yapmak büyük nimet. Ellerine Sağlık 
|
Mesajı Yazan: tehlike724
Mesaj Tarihi: 01-09-2009 Saat 20:54
| saol. millet niyeti bozmuş ramazan günü bile utanmadan yapıyolar. |
Mesajı Yazan: invertor
Mesaj Tarihi: 01-09-2009 Saat 21:53
|
Teşekküler akadaşlar ilerleyen zamanlarda regeditteki teknik detaylara brazdaha deyineceğim.
Mesela bir örnek vereyim
Sisteminize bu keyloger bulaşmış ise keylogeri oluşturanın kullanıcı adını tespit edebilileceksiniz.
Regeditteki RegisteredOrganization Değerinde isim mevcut. ------------- http://www.bilgineferi.com/forum/forum_posts.asp?TID=8328" rel="nofollow - Hash Kontrolü yapma ( MD5, SHA-1, CRC32,... vb)
|
Mesajı Yazan: zelzele
Mesaj Tarihi: 04-09-2009 Saat 10:48
| hocam derdime çare oldun teşekkürler ben pc imden şüphelendim.pc mi temizleyeyeim dedim advenced care ile oda bana trojen diye msnmgr.exe de sorun olduğunu söyledi bende internette araştırdım senin yazını gördüm derslik bir yazı tebrik ediyorum. bu sayede çözdüm |
Mesajı Yazan: yaramasjojuk
Mesaj Tarihi: 04-09-2009 Saat 18:20
gercekten tesekkür kaç kere format attım düzelmedi anlamıstım bır sey oldugnu emegınize saqlık tekrar tesekkür ederım
|
Mesajı Yazan: xsamuraix9
Mesaj Tarihi: 05-09-2009 Saat 02:18
|
Benim pc de varmış :( Hangi programdan geldiğini çğrenme şansımız varmı ? O Sildiğim yerlerde şüpheli 1 programın ismi vardı. O olabilrmi acaba? Çok Mükemmel bir paylaşım olmuş. Çok Teşekkür ederim. |
Mesajı Yazan: invertor
Mesaj Tarihi: 05-09-2009 Saat 17:11
Rica ederim
İndirmiş olduğunuz dosyalara dikkat ediniz.
------------- http://www.bilgineferi.com/forum/forum_posts.asp?TID=8328" rel="nofollow - Hash Kontrolü yapma ( MD5, SHA-1, CRC32,... vb)
|
xsamuraix9 Yazdı:Mesajı Yazan: mcray
Mesaj Tarihi: 05-09-2009 Saat 21:13
| HOCAM ELINE EMEGINE KOLUNA SAGLIK ALLAH RAZI OLSUN SANIRIM BNDEDE VARDI MILLETIN GOZUNDE ARTIK EMEG SAYISI HIC BISE KALMAMIS SIMDI GITIM INTERNET KAFA DE DEGISTIRDIM HERSEYIN SIFRESINI GELDIM PC TEMIZLICEM EYW + REPP |
Mesajı Yazan: omerutku23
Mesaj Tarihi: 06-09-2009 Saat 04:13
aga ben ntcom.dll yı sılemedım program kullanılıor felan dıor aga onlınesın cewap yazar msısın sıledım o dllyı: |
Mesajı Yazan: invertor
Mesaj Tarihi: 06-09-2009 Saat 04:53
Registry temizliğinizi yaptıktan sonra
Bilgisayarınızı aç kapa yapıp ntcom.dll dosyasını silebilirsiniz bu şekil silerseniz problem teşkil etmez
saygılarımla ------------- http://www.bilgineferi.com/forum/forum_posts.asp?TID=8328" rel="nofollow - Hash Kontrolü yapma ( MD5, SHA-1, CRC32,... vb)
|
Mesajı Yazan: creyk van
Mesaj Tarihi: 06-09-2009 Saat 08:45
| Ben son sürüm msn i kullanmıyorum bi eskisini kullanıyorum. Msn kapalıyken görev yöneticisinde 1 tane msn gözüküyor. 1 msn açıtıgımda 2 tane gözüküyor. Gelişmiş görev yöneticisini indirdim. Orda 2 tane msn gözüküyor. Bi tanesi normal kullandıgım msn. Bi taneside windowsun içinden çıkan msn. Yani sizin dediğiniz gibi bi virüs gözükmüyor. Ama msn kapalıyken görev yöneticisinde 1 tane msn gözüküyor. Bu konu hakkında bi yardımcı olursanız çok iyi olur. :) |
Mesajı Yazan: invertor
Mesaj Tarihi: 06-09-2009 Saat 10:19
Normalde yazdığımız makaleye göre Process explorer Programi ile keyloger olup olmadığını anlayabilirsiniz.
Yine şüpheniz var ise tavsiyem;
Regitry den aşağıdaki değeri kontrol ediniz
********************************************
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
standart olarak shell değeri
Shell explorer.exe dir ve değerin standart olması gerekir.
Eğer farklı ise keylogger dosyasının konumu orda mevcuttur. Değer standart ise problem yok demektir.
Örnek verecek olursak ;
Shell explorer.exe "C:\Documents and Settings\ sizin otorum açma adınız \xx klasoru\xxx.exe" diye bir değer olsun
Yukarıdaki değeri
Shell explorer.exe olarak değiştirmeniz gerekir + Belirtilen konumdaki xxx.exe dosyasını silmeniz gerekir akabinde geri kalan registry temizliğini anlattığımız gibi yapabilirsiniz.
Ek olarak videoları izleyebilirsiniz.
------------- http://www.bilgineferi.com/forum/forum_posts.asp?TID=8328" rel="nofollow - Hash Kontrolü yapma ( MD5, SHA-1, CRC32,... vb)
|
Mesajı Yazan: creyk van
Mesaj Tarihi: 07-09-2009 Saat 07:42
|
İnvertor yardım ettiğin için çok teşekkür ederim. Süper birisin. :) |
Mesajı Yazan: invertor
Mesaj Tarihi: 09-09-2009 Saat 21:43
|
Ben teşekkür ederim saygılarımla ------------- http://www.bilgineferi.com/forum/forum_posts.asp?TID=8328" rel="nofollow - Hash Kontrolü yapma ( MD5, SHA-1, CRC32,... vb)
|
Mesajı Yazan: utkuyum
Mesaj Tarihi: 10-09-2009 Saat 20:26
|
Teşekkürler Bende Varmış Kurtuldum Gerçekten Çok Sağol Atan Kişinin Adı da: APPaLLoSa |
Mesajı Yazan: esklya
Mesaj Tarihi: 10-09-2009 Saat 23:33
| Abicim eyvallah yaa cok işime yaradı serefsizLer 2 tane keyloqer atmıs pc me ! |
Mesajı Yazan: invertor
Mesaj Tarihi: 15-09-2009 Saat 16:50
|
Bilgineferi.com Yeni Nesil Keyloger Tesbit Etme Sistemi 1.0 Luzumu uzerine "Bu tarz yeni nesil keylog’er ların sisteminize bulaşıp bulaşmadığını bulaşmış ise keyloger’i yayan kullanıcının adını ve keyloger’in bulaştığı konumun tesbitini yapabileceğiniz" bir program hazırladık. Bu program sayesinde sisteminize bulaşmış olan yeni nesil keylogerların temizleme yöntemine anında ulaşacaksınız. İlerleyen günlerde duruma göre Bilgineferi.com Yeni Nesil Keyloger Tesbit Etme Sistemi 1.0 programını ekleyeceğim. Saygılarımla ------------- http://www.bilgineferi.com/forum/forum_posts.asp?TID=8328" rel="nofollow - Hash Kontrolü yapma ( MD5, SHA-1, CRC32,... vb)
|
Mesajı Yazan: skattanrules
Mesaj Tarihi: 16-09-2009 Saat 16:50
Size çok teşekkür ederim.Böyle birşeyin olup olmadığından emin degildim ama dediklerinizi yapımca gözle fark edilir bir hız aldı Nedeni bu mu bilmiyorum ama hız artışı fark edilmeyecek gibi degil
------------- Tek bir şeye ihtiyacımız var o da çalışmak! |
Mesajı Yazan: samet123
Mesaj Tarihi: 17-09-2009 Saat 01:43
|
Yha Kardes Benım Kayır Defterı Acılmıyor Soyle Bi Uyarı Cıkıyor Kayıt Defteri Duzenleme Yonetıcınız Tarafından devreden cıkartırılmıstır Diyo Nabmam Lasım Bı YardımCı Olurmusun Ekle Konusalım
Edit:
msn adresi silinmiştir genel kuralları okuyunuz.
invertor
|
Mesajı Yazan: invertor
Mesaj Tarihi: 17-09-2009 Saat 10:19
Konu hakkında resimli anlatım hazırladım.
Aşağıdaki konuda anlatılanları uygulayın sorununuz düzelecektir.
http://www.bilgineferi.com/forum/forum_posts.asp?TID=8025 - http://www.bilgineferi.com/forum/forum_posts.asp?TID=8025 ------------- http://www.bilgineferi.com/forum/forum_posts.asp?TID=8328" rel="nofollow - Hash Kontrolü yapma ( MD5, SHA-1, CRC32,... vb)
|
Mesajı Yazan: yusuf31t
Mesaj Tarihi: 18-09-2009 Saat 10:00
| bende REG_SZ die bi şey war o silinmio napıcam ? |
Mesajı Yazan: invertor
Mesaj Tarihi: 18-09-2009 Saat 10:46
Dediğiniz bizim burda bahsettiğimizden farklı sanırım buraya screen shot (ekran gürüntüsü resmi) koyarsanız inceleyebiliriz ------------- http://www.bilgineferi.com/forum/forum_posts.asp?TID=8328" rel="nofollow - Hash Kontrolü yapma ( MD5, SHA-1, CRC32,... vb)
|
Mesajı Yazan: H1RBO
Mesaj Tarihi: 18-09-2009 Saat 18:51
| eyw saol kardesim dediklerini bir bir uyguladım ve dediklerin tek tek cıktı ve hepsini sildim ve adlarını dediğin gibi değiştirdim inş silinmiştir.ama bazı arkadaşlarım formatsız silinmez dediler bence silindi ty for paylaşım. |
Mesajı Yazan: invertor
Mesaj Tarihi: 18-09-2009 Saat 21:15
Rica ederim
Formatsız silinmez diyenler halt etmiş :)
Bahsettiğim bu keylogeri silmek için konuda anlatılanları yapmanız yeterlidir.
Zaten yapmışsınız :) ------------- http://www.bilgineferi.com/forum/forum_posts.asp?TID=8328" rel="nofollow - Hash Kontrolü yapma ( MD5, SHA-1, CRC32,... vb)
|
Mesajı Yazan: yohum
Mesaj Tarihi: 18-09-2009 Saat 23:54
|
kaardesim ço saol ama s kısmı anlamadım HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon Bu değeri
Shell explorer.exe "C:\Documents and Settings\ sizin otorum açma adınız \Application Data\msnmsgr.exe" Bu şekil değiştirin
Shell Explorer.exe birazdaha açık söylermisin çünkü ede zaten explorer.exe yazıyodu:Sama dier herseyi yaptım |
Mesajı Yazan: invertor
Mesaj Tarihi: 19-09-2009 Saat 00:08
|
Hazırlamış olduğum Video' yu izlemenizi tavsiye ederim Diğer işlemleri yapmışsınız Shell değeri Explorer.exe ise o kısımda problem yok demektir.------------- http://www.bilgineferi.com/forum/forum_posts.asp?TID=8328" rel="nofollow - Hash Kontrolü yapma ( MD5, SHA-1, CRC32,... vb)
|
Mesajı Yazan: yohum
Mesaj Tarihi: 19-09-2009 Saat 00:29
| GERCEKTEN ÇOK TESEKÜR EDERİM bintane +versem bile az internetpislik dolu |
Mesajı Yazan: FilanFalan
Mesaj Tarihi: 19-09-2009 Saat 01:08
| Ustam ellerin dert görmesin. Allah razı olsun bizi bi dertten kurtardın. Knight'ı bırakalı uzun zaman olmuştu tekrar başlayayım dedim koxp indirdim sürekli tetikteyimdir o konularda şansa gördüm indirmeden önce msnmsgr.exe diye. az bi bilgim de var görev yöneticisini sürekli kullanırım. sayende kurtulduk. tekrar teşekkürler :) |
Mesajı Yazan: ilkayy12
Mesaj Tarihi: 22-09-2009 Saat 08:33
|
Gsl anlatmıssın ama bulmanın daha klay bi yolu'da war aslında
bukeyloger ne olursa olsun msnmsgr.exe veya svchost veya kightexe
sonucta logları göndermek için aynı klaösrde ntlog die bi sistem dosyası hazırlıyor ve belirtilen aralıklarla bu logları gönderiyor
pcnize bulastıgını düşünüyorsanız Baslat/Ara/ntlog yazmanız yeter die düşünüyorum xD
paylasım İçin ty..
exe ne olursa olsun mecburen ntlog olusturuyor o ism şaşmıyor ..
|
Mesajı Yazan: invertor
Mesaj Tarihi: 22-09-2009 Saat 11:48
Merak etmeyin sisteme bulaştırdığı dosyaların ne işe yaradığından haber darız fazla teknik detaylara değinmedik.
Tabi tespit açısından şimdilik buda güzel bir yöntem.
Temizlik içinde konuda anlatılanların yapılması gerekir
------------- http://www.bilgineferi.com/forum/forum_posts.asp?TID=8328" rel="nofollow - Hash Kontrolü yapma ( MD5, SHA-1, CRC32,... vb)
|
Mesajı Yazan: koxper20
Mesaj Tarihi: 22-09-2009 Saat 21:39
| kardes soyledıklerını yaptım ama 2 .kez gırdı bu sefer pek okumadan iş yaptım regedit dekı explorer.exe yazılı kalsın yazıyo orda ben sıldım kökten explorer.exe yı sımdı pc ye her defasında explorer.exe yazıp gırıorum |
Mesajı Yazan: invertor
Mesaj Tarihi: 22-09-2009 Saat 23:49
Dikkatli olmanızı tavsiye ederiz.
Sorununuzun çözümü :
Başlat- Çalıştır -Regedit Registry Kayıt defteri düzenleyicisinden aşağıdaki konuma gelin
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Sağtaraftaki alan üzerine mause ile sağtıklayın açılan "yeni" menüsünden "Dize Değerini tıklayın" oluşturmuş olduğunuz dize değerini shell olarak değiştirin
Akabinde oluşan shell 'in üzerine çift tıklayın Değer Verisi Kısmına Explorer.exe yazın sorununuz düzelecektir
------------- http://www.bilgineferi.com/forum/forum_posts.asp?TID=8328" rel="nofollow - Hash Kontrolü yapma ( MD5, SHA-1, CRC32,... vb)
|
Mesajı Yazan: koxper20
Mesaj Tarihi: 23-09-2009 Saat 01:29
|
dediğinizi yaptım ama malesef yıne pc actıgımda gozukmedı masaustu . gorev yonetıcısını acıyıorum yenı gorev explorer.exe yazıp gırıoyrum her defasında ve masaustunde exper belgelerım acılıo hemen onun nedenını de anlamadım Sımdıden tesekkurler |
Mesajı Yazan: invertor
Mesaj Tarihi: 23-09-2009 Saat 10:59
|
shell i Shell olarak değiştirin S harfi büyük olacak
Yine olmaz ise
Başlat - Çalıştıra %SystemRoot%\system32\restore\rstrui.exe Yazıp çalıştırın Sisteminizi önceki bir tarihe geri yükleyin sorununuz düzelecektir ------------- http://www.bilgineferi.com/forum/forum_posts.asp?TID=8328" rel="nofollow - Hash Kontrolü yapma ( MD5, SHA-1, CRC32,... vb)
|
Mesajı Yazan: koxper20
Mesaj Tarihi: 23-09-2009 Saat 11:28
| rstrui.exe bulunamadı dıo Shell yaptım yıne olmadı Geri yükleme noktasıda yok :S |
Mesajı Yazan: invertor
Mesaj Tarihi: 23-09-2009 Saat 12:40
Konuyu dagıttık konu hakkında farklı bir konu açarsanız bu mesajları oraya taşıyacağım
Sanırım vista işletim sistemi kullanıyorsunuz
Çalıştıra msconfig yazıp çalıştırın başlangıçta çalışan programları devre dışı bırakıp yeniden başlatın bakalım yine aynı sorun olacakmı
Aynı sorun devam ediyorsa
Çalıştıra %systemroot%\system32\mstsc.exe yazıp çalıştırın sisteminizi geri bir tarihe yüklemeyi deneyin
Yine olmuyor ise vista dvd si ile sisteminizi onarmayı deneyiniz. ------------- http://www.bilgineferi.com/forum/forum_posts.asp?TID=8328" rel="nofollow - Hash Kontrolü yapma ( MD5, SHA-1, CRC32,... vb)
|
Mesajı Yazan: invertor
Mesaj Tarihi: 13-10-2009 Saat 10:22
|
Konuda güncelleme yapılmıştır. ------------- http://www.bilgineferi.com/forum/forum_posts.asp?TID=8328" rel="nofollow - Hash Kontrolü yapma ( MD5, SHA-1, CRC32,... vb)
|
Mesajı Yazan: heya__
Mesaj Tarihi: 18-10-2009 Saat 17:53
|
Oncelikle selamlar. Hocam anlattıgınız islemleri tek tek uyguladım. Bahsettiginiz klasorler icerisinde herhangi bir anormal dosya yok, 3 kere ust uste format atmama ragmen pc'de suanda keylogger oldugunu hissedebiliyorum. Yaptıgımın islemler yavas ilerliyor v.s pc'de bulunan keylogger'in hangisi oldugunda tam bir fikrim yok fakat N-Keylogger tipi sanırım. Pc'den mail gonderilen sahıs ile 2 3 kere gorustum ekran goruntumu v.s gosterdi bana daha oncesinde basıma bole birsey gelmedigi icin cok şaşırdım. Format attıgımda kurtulabilecegimi sanıyodum fakat yanılmısım. N-Keylogger hakkında onerileriniz var ise onuda test etmek isterim.
Dipnot; MS-DOS uzerinde bir hata penceresi geliyor Windows\Temp klasoru icerisinde keklik.exe hata verdi diye bir uyarı geliyor. N-Keylogger tanımını okurken karsıdaki kullanıcıya sahte uyarı verme penceresi diye birsey gordum. Bu yuzden N-Keylogger tipi oldugundan supheleniyorum.
Simdiden tesekkur ederim.
|
Mesajı Yazan: invertor
Mesaj Tarihi: 20-10-2009 Saat 00:06
1: Burda anlatılan keyloger sisteminizde yok anlaşılan farklı bir trojan pc nize bulaşmış incelemeden anlamamız braz zor.
2: Tavsiyem format atarken hdd nin bir bölümüne değil tamamına format atınız. Bu bağlamda keylogerin K sinden eser kalmaz rahat olun :)
------------- http://www.bilgineferi.com/forum/forum_posts.asp?TID=8328" rel="nofollow - Hash Kontrolü yapma ( MD5, SHA-1, CRC32,... vb)
|
Mesajı Yazan: zübeyde
Mesaj Tarihi: 31-10-2009 Saat 14:06
|
kesinlikle temizlendi bravo helal olsun! ------------- 33333 |
Mesajı Yazan: invertor
Mesaj Tarihi: 14-11-2009 Saat 13:31
|
Standart olarak scvhost.exe, svchost.exe, SVCHOST.EXE, msnmsgr.exe, dllhost.exe adı ile bulaşan Yeni nesil keyloger’in son zamanlarda farklı isimlerde bulaştığını tespit ettik.
Bunun üzerine Bilgineferi.com olarak Yeni Nesil Keyloger Tespit Etme Sistemi v1.2 programını hazırladık hazırlamış olduğumuz bu program ile yukarıda bahsetmiş olduğumuz keyloger bilgisayarınıza bulaşmış ise bulaşan bu keyloger’in adını ve konumunu tespit edebilirsiniz eğer sisteminize bulaşmış ise sizler için hazırlamış olduğumuz yazılı ve videolu anlatımı takip ederek bilgisayarınıza bulaşmış olan bu keyloger’ı bilgisayarınıza format atmadan sorunsuz bir şekilde temizleyebilirsiniz.
Programa Buradan ulaşabilirsiniz.
http://www.bilgineferi.com/forum/forum_posts.asp?TID=8111 - http://www.bilgineferi.com/forum/forum_posts.asp?TID=8111
------------- http://www.bilgineferi.com/forum/forum_posts.asp?TID=8328" rel="nofollow - Hash Kontrolü yapma ( MD5, SHA-1, CRC32,... vb)
|
Mesajı Yazan: xdeletex
Mesaj Tarihi: 25-11-2009 Saat 17:38
Hocam sagolasinda bir sorunum olacak.Ben Vista kullanıyorum.Hem yönetici hemde yönetici olmadan çalıstır dedim.Yönetici olmadan çalıstırınca keylogger buldu.Yönetici olarak calıstırdıgımda bulmadı.  Ayrica yönetici modunda açınca buldugu virüsün konumuda Roaming klasörü hocam. Gizli klasörler gözükürkende o dediginiz dosyalar orada yok..Ne olacak benim halim ? Yönetici olarak çalısınca bir şey bulamıyor,normal çift tıkla açınca buluyor ve konum bul deyince roaming klasörünü açıyor. Bahsettiginiz o .sys yada msnmgr.exe dosyaları orada mevcut degil.Haa,bir şey daha var. Gelişmiş görev yöneticisini açtıgımda dllhost.exe kırmızı yanıyor sonra hemen sönüveriyor.Bütün yolları denedim fakat hiçbir virüse rastlamadım. Vistaya lanetler yagdıracagım artık  Yardım ederseniz teşekkür ederim .
NOT: AYRICA SYSTEM 32 ICINDE DLLHOST.EXE VAR FAKAT SİLİNMİYOR.KİLL PROCESS DİYORUM PARAMETRE HATASI DİYOR.KLASÖRE GİDİP SİLMEYİ DENEDİGİMDE YETKİNİZ YOK DİYOR. ------------- PARMAK BASSAM ? |
Mesajı Yazan: invertor
Mesaj Tarihi: 25-11-2009 Saat 21:05
|
Zaten not olarak eklemiştim Yönetici olarak çalıştıracaksınız sorun yok diyorsa problem yoktur.
Başlat çalıştır a msconfig yazarak başlangıçta çalışan programlar listesindende kontrol edebilirsiniz.
Saygılarımla
Edit: Belirttiğimiz konumlar haricinde başka yere bu keylogger bulaşmaz devamlı güncel temizleme yöntemini sizlere sunmaya çalışıyoruz. ------------- http://www.bilgineferi.com/forum/forum_posts.asp?TID=8328" rel="nofollow - Hash Kontrolü yapma ( MD5, SHA-1, CRC32,... vb)
|
Mesajı Yazan: marvel
Mesaj Tarihi: 06-12-2009 Saat 22:47
| slm dediğiniz yöntemleri denedim ama halan dllhost.exe silemedim bir program açınca görev yöneticisinde gözüküyor nasıl silebilirim şimdiden tşk. |
Mesajı Yazan: invertor
Mesaj Tarihi: 08-12-2009 Saat 11:05
A. selam
Bu programı kullanın bakalım bahsettiğiniz dllhost.exe nin keyloger olup olmadığını gösterir.
Son zamanlarda farklı isimlerde bulaştığını tesbit ettik
Bunun üzerine Yeni Nesil Keyloger Tespit Etme Sistemi v1.2 programını hazırladık kullanmanızı tavsiye ederim.
 Download
http://www.bilgineferi.com/forum/forum_posts.asp?TID=8111&PID=13742 - http://www.bilgineferi.com/forum/forum_posts.asp?TID=8111&PID=13742
sistem sosyası olarakta dllhost.exe mevcuttur fakat bizim burda bahsettiğimizin konumları bellidir.
Bir önceki mesajımdada belirttim burda belirtilen konumlar haricinde bulaşmaz diye bulaşsa bile başlangıçta konumunu bellieder
Saygılarımla
------------- http://www.bilgineferi.com/forum/forum_posts.asp?TID=8328" rel="nofollow - Hash Kontrolü yapma ( MD5, SHA-1, CRC32,... vb)
|
Mesajı Yazan: invertor
Mesaj Tarihi: 15-12-2009 Saat 21:58
|
Konuda güncelleme yapılmıştır
Standart olarak taskmgr.exe adı altındada bulaştığını tespit ettik
Not:
Buradaki taskmgr.exe yi görev yöneticisi ile karıştıracak olanlar çıkacaktır onun için ufak bir açıklama yapayım
Burda bahsettiğimiz taskmgr.exe yi açıklayalım;
Başlattan Çalıştıra msconfig yazıp başlangıç ta çalışan programları kontrol edebilirsiniz orda taskmgr veya konum kısmını genişlettiğinizde Application Data klasörü içerisinde çalışan " C:\Documents and Settings\Kullanıcı adınız\Application Data\taskmgr.exe gibi " program yer alıyorsa bu bir keylogerdir.
Örnek:
 Zaten bu kontrolleri Yeni Nesil Keyloger Tespit Etme Sistemi v1.4 programı yapmaktadır kafalarda soru işareti kalmasın diye açıklama gereksiniminde bulundum
Saygılarımla
invertor ------------- http://www.bilgineferi.com/forum/forum_posts.asp?TID=8328" rel="nofollow - Hash Kontrolü yapma ( MD5, SHA-1, CRC32,... vb)
|
Mesajı Yazan: stron
Mesaj Tarihi: 21-01-2010 Saat 13:11
|
Merhabalar,anlatımınız gerçekten çok güzel.Anlatılanları uyguladım. hem scvhost hemde taskmgr olarak bulaşmış pc me..temizledim sayılır..fakat bir noktada takıldım.. winlogon da shell değeri kısmı bende yok. vede yine kayıt defterinde scvhost.exe diye arattığımda aşağıdaki resimlerde gösterilen ve sizin bahsetmediğiniz yerlerdeki değerler çıkıyor...bunlara ne yapmam gerekli.? http://img707.imageshack.us/img707/86/33462210.jpg http://img94.imageshack.us/img94/1909/56052948.jpg |
Mesajı Yazan: alperemre
Mesaj Tarihi: 21-01-2010 Saat 15:45
| Benim pc me dllhost bulaşmış gösteriyor birde ntcheck.dll diye bişi war "C:\Documents and Settings\TSXP\Local Settings\Application Data da ama silemiyorum lütfen yardım |
Mesajı Yazan: invertor
Mesaj Tarihi: 21-01-2010 Saat 16:34
İki degeride silin konumda bulunan scvhost.exe yide sildiğinizden emin olu
Bilgisayarınızı yeniden başlatın sorun yoksa problem yok demektir.
Not eğer silmediyseniz shel değerinin olması gerekir
Bilgisayarınızı yeniden başlat yapın açıldıktan sonra silemediğiniz dosyayı silmeye çalışın silinecektir
Saygılarımla ------------- http://www.bilgineferi.com/forum/forum_posts.asp?TID=8328" rel="nofollow - Hash Kontrolü yapma ( MD5, SHA-1, CRC32,... vb)
|
Mesajı Yazan: stron
Mesaj Tarihi: 21-01-2010 Saat 20:40
|
invertor, malesef shell değeri görünmüyordu.. ayrıca aşağıdaki resimde gösterdiğim hatalar oluştu bahsedilenleri yaptıktan sonra..ve pc açılırken Hoşgeldiniz ekranında çok uzun süre beklemeye başladı.
|
Mesajı Yazan: invertor
Mesaj Tarihi: 21-01-2010 Saat 20:58
|
1. uyarının çıkmaması için Bu iletiyi gözderme kutusunu işaretlerseniz
Bilgisayar açıldıgında keyloger dosyası çalışmadığından dolayı o hatayı alıyorsunuz.
Regedit ten temizlik yapmanız gerekir. Not:
Burda anlatılanlar bilgisayarı ne hızlandırır nede yavaşlatır yani sadece bahsedilen keylogeri sistemizden temizleyebilirsiniz...
Ozaman şöyle yapacaksınız regedit'i açıp düzen bul menüsünden \Application Data\scvhost.exe yi
aratın Böylelikle kolayca Shell değerine ulaşabilirsiniz
Örnek:
Shell değerinde bulunan
explorer.exe "C:\Documents and Settings\ sizin otorum açma adınız \Application Data\scvhost.exe" yi
Bu şekil değiştireceksiniz
explorer.exe ------------- http://www.bilgineferi.com/forum/forum_posts.asp?TID=8328" rel="nofollow - Hash Kontrolü yapma ( MD5, SHA-1, CRC32,... vb)
|
Mesajı Yazan: nokihan
Mesaj Tarihi: 07-06-2010 Saat 19:18
| yönetici olarak programı çalıştırdım keylogger yok diyor ama bazen pc de bi yavaşlama olunca görev yöneticisinde dllhost.exe var diğer dediğiniz yerde yok bu exe uzantısı ordan sadece görevi sonlandırıyorum |
Mesajı Yazan: invertor
Mesaj Tarihi: 08-06-2010 Saat 09:44
|
dllhost.exe nin çalıştığı konumu yazarsanız yardımcı olurum
saygılarımla ------------- http://www.bilgineferi.com/forum/forum_posts.asp?TID=8328" rel="nofollow - Hash Kontrolü yapma ( MD5, SHA-1, CRC32,... vb)
|
Mesajı Yazan: caner55
Mesaj Tarihi: 22-02-2011 Saat 20:12
| bilgiler için çok saolun emeğinize sağlık |
Mesajı Yazan: tolga1907
Mesaj Tarihi: 26-06-2011 Saat 17:03
| Harikasınnnnnnnn 100000 tane rep versem tek sferde hepsini verirdim çok teşekkürler +rep |
Mesajı Yazan: moodyman
Mesaj Tarihi: 20-02-2012 Saat 16:02
|
selam benim sistemimde dllhost.exe problemi var !
acaba para karsiligi bana hizmet verebilcek biri varmi ? ben etilerde oturuyorum . |
Mesajı Yazan: moodyman
Mesaj Tarihi: 27-02-2012 Saat 22:55
|
selam benim sistemimde dllhost.exe problemi var !
acaba para karsiligi bana hizmet verebilcek biri varmi ? ben etilerde oturuyorum . |