Bu makalemde sizlere  mstwain32.exe   adı altında bulaşan yeni nesil  Keylogger / Trojan'ın tespit ve temizleme yönteminden bahsedeceğim Windows Görev yöneticisi işlemler kısmında gözükmez...

http://www.bilgineferi.com/forum/forum_posts.asp?TID=8373 - http://www.bilgineferi.com/forum/forum_posts.asp?TID=8373

Bu Keyloger / Trojan  Bilgisayarınıza bulaşmış ise:  Şifrelerinizin ve kişisel bilgilerinizin  çalınması ile kullanılır. Aynı zamanda sizin haberiniz olmadan Trojan'ı yayan kişi   bilgisayarınızı yönetebilir, kameradan görüntü alabilir, Mikrofondan ortam ses kaydını alabilir... vb işleri sizin haberiniz olmadan yapabilme yetkisine sahiptir

 

 

Process explorer Hakkında:

 

Process explorer programını çalıştırarak  sistemde çalışan uygulamaların konumunu rahatlıkla tesbit edebilirsiniz.

 

 

Process explorer'i çalıştırdıktan sonra çalışan uygulmaların üzerine mause ile gelerek dosyanın konumumu tespit edebilir isterseniz sonlandırabilirsiniz.

 

Not : Bazı Trojan ve Keylogger lar sonlanmaz mstwain32.exe de bunlardan biridir ama sıkmayın canınızı yazının devamında  bu engeli nasıl aşacağınız mevcuttur

 

mstwain32.exe  adı altında bulaşan  bu  Trojan eğer pc nize bulaşmış ise aşağıda  bahsettiğim yöntemi kullanarak tespit edip temizleye bilirsiniz. Bizzat tarafımdan test edilmiştir.

 

Görev yöneticisinden kendini gizlediği için dikkat çekmez bundan dolayı Processexplorer programı ile  çalışan tüm işlemleri  kontrol etmenizi tavsiye ederim.

 

Processexplorer dan çalışan işlemleri  kontrol ederken system değil explorer.exe altında çalışan işlemleri  inceleyiniz;

 

 

Görüldüğü üzere C:\windows  klasörüne mstwain32.exe  adında trojan  bu  exe dosyasını buradan sonlandıramazsınız siz sonlandırdıkça tekrar geri gelir

Bunun için aşağıda anlatılan admıları dikkatlice uygulayınız.

 

 

Bulaştığı zaman

Xp, Windows 7 ve Vista da Standart olarak c:\windows  klasörü içerisine  mstwain32.exe, cmsetac.dll, ntdtcstp.dll ve KB8888239.txt adı altında 4 dosya olarak bulaşır.

 

Dikkat: mstwain32.exe yi procces explorer  görebilirsiniz fakat  sonlandıramazsınız siz sonlandırdıkça o çalışır. C:\WINDOWS içerisinde mstwain32.exe, cmsetac.dll, ntdtcstp.dll ve KB8888239.txt adı altında bulaşan dosyalarıda göremezsiniz sebebi ise mstwain32.exe çalıştığı anda bahsetmiş olduğum bu dosyaları ve registryde olan kaydını  bu Trojan gizler bundan dolayı geri kalan işlemleri  işletim sistemini  güvenli modda açıp devam edeceğiz.

 

 

Xp, Windows 7 ve Vista işletim sistemlerinden Temizleme

 

Öncelikle işletim sisteminizi güvenli modda açınız Sonra  C:\windows Klasörünü açınız Görüldüğü üzere gözükmeyen dosyalar güvenli modda açılan işletim sisteminde  gözükmektedir  kırmızı ile işaretledim

 

mstwain32.exe, cmsetac.dll, ntdtcstp.dll ve KB8888239.txt Dosyalarını silin

 

Sonra başlat çalıştıra regedit yazıp registry kayıt defterini açın.

 

*************************************************************************

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run da bulunan

Bu değeri silin

mstwain32   C:\Windows\mstwain32.exe

*************************************************************************

 

 

Bu işlemi  yaptıktan sonra:  Kontrol etmek için  Kayıt defteri düzenleyicisin den  C:\WINDOWS\mstwain32.exe  'yi aratın  varsa  ilgili girdi  değeri sadece C:\WINDOWS\mstwain32.exe yi içeriyorsa silin eğer  ilgili girdi de çift değer mevcutsa değer kısmından  sadece  C:\WINDOWS\mstwain32.exe kısmını silin. Arama işlemine devam edin     birşey bulunmuyorsa Trojan   temizlenmiş demektir.

 

 

Bilgisayarınızı yeniden başlatın   işlem tamamdır.  Artık   Sisteminizi  sorunsuz kullanabilirsiniz. 

 

 

 

Not: Tespit için dilerseniz hazırlamış olduğumuz Yeni Nesil Keyloger Tespit Etme Sistemi Programını kullanabilirsiniz

http://www.bilgineferi.com/forum/forum_posts.asp?TID=8111

 

 

 

Saygılarımla

invertor