csrss.exe   Adı altında bulaşan; Yeni nesil Türk Yapımı   Güzel bir Trojan client'i  dir.  Ticari amaçlı yapılmıştır ve kötü amaçlarda  kullanılmaktadır. Buradaki  csrss.exe ismini   yapımcı veya kullanıcı istediği zaman değişebilmektedir.   örnek: aa.exe bb.exe  gibi, csrss.exe  ismi  keylogger clientini oluşturan program ile standart olarak gelmektedir. 

Bu makalemde sizlere  csrss.exe   adı altında bulaşan yeni nesil  Keylogger'in tespit ve temizleme yönteminden bahsedeceğim Windows Görev yöneticisi işlemler kısmında gözükür fakat sonlandırılmak istendiğinde sonlanmaz...

http://www.bilgineferi.com/forum/forum_posts.asp?TID=8373 - http://www.bilgineferi.com/forum/forum_posts.asp?TID=8373

Bu Keyloger  Bilgisayarınıza bulaşmış ise:  Şifrelerinizin ve kişisel bilgilerinizin  çalınması ile kullanılır.

Dosyanın simgesi  farklı olabilir  basit bir örnek verecek olursak   gönderen kişi dosyanın simgesini  "mp3" müzik dosyası gibi ayarlarlıyabilir  içine de  bir müzik dosyası gömüp bulaştırmak istediği kişiye gönderir  ve   dosyayı  alan kişi müzik dinlemek için  o dosyayı çalıştırdığında   keyloger bulaşmış olur.

 

 

Not: Bu tür durumlarda   şüphe duyuyorsanız dosya uzantısını kontrol ediniz. Yukarıda bahsettiğim örnekteki  mp3 dosyasının  uzantısı .mp3 değil .exe dir. Ama .exe uzantılı bir dosyanın  içerisine gömülmüştür.

 

 

Anti virüs yazılımlarına yakalanmamaktadır   son zamanlarda kaspersky internetsecurity  yazılımına “MSIL/Spy.Keylogger.W” olarak  yakalanmaktadır. Fakat yapımcı tarafından  güncellemesi yapıldığı için   anti virüs yazılımlarına  yakalanmama ihtimali yüksektir. Şuan itibari ile  anti virüs yazılımlarına yakalanmamaktadır.

 

 

Bazı Keylogger ve Trojan  ler  Windows Görev Yöneticisi -  Çalışan İşlemler kısmında gözükmez  Gözükseler bile sonlanmazlar.  Bunun için windows görev yöneticisi yerine   Process explorer programını  "Gelişmiş görev yöneticisini"   kullanmanızı tavsiye ederim .  Affı yoktur  gizli olarak çalışan Keylogger veya Trojan varsa   Process explorer  ile konumunu tespit edip inceleyebilirsiniz.

 

Process explorer'i  aşağıdaki linkten indirebilirsiniz

 

http://www.bilgineferi.com/forum/forum_posts.asp?TID=7860 - http://www.bilgineferi.com/forum/forum_posts.asp?TID=7860

 

 

 

Process explorer Hakkında:

 

Process explorer programını çalıştırarak  sistemde çalışan uygulamaların konumunu rahatlıkla tesbit edebilirsiniz.

 

 

Process explorer'i çalıştırdıktan sonra çalışan uygulmaların üzerine mause ile gelerek dosyanın konumumu tespit edebilir isterseniz sonlandırabilirsiniz.

 

Not : Bazı Trojan ve Keylogger lar sonlanmaz csrss.exe de bunlardan biridir ama sıkmayın canınızı yazının devamında  bu engeli nasıl aşacağınız mevcuttur

 

csrss.exe  adı altında bulaşan  bu  keylogger eğer pc nize bulaşmış ise aşağıda  bahsettiğim yöntemi kullanarak tespit edip temizleye bilirsiniz. Bizzat tarafımdan test edilmiştir.

Bazılarınız diye bilir csrss.exe sistem dosyası  değilmidir diye.  Evet normalde sistem dosyasıdır  ve C:\WINDOWS\system32\csrss.exe  konumunda csrss.exe olarak bulunur. Fakat biz farklı konumlarda bulunan  csrss.exe  den bahsediyoruz.

 

 

Dikkat: Peki nasıl anlayacağız csrss.exe nin zararlı bir yazılım olduğunu

windows görev yönetivisini açın

 

 

csrss.exe SYSTEM adı altında çalışır  kullanıcı adı ile çalışıyorsa keylogger veya trojandır.

Kırmızı ile işaretlemiş olduğum alandaki  csrss.exe bir keyloggerdir  temizlenmesi gerekir temizlenmesi gerekir, bu keyloggeri görev yöneticisinden kapatmak istediğinizde  yukarıdaki uyarı ile karşılaşırsınız ve sonlandıramazsınız.. Sonlandırabilmek için process explorer programını kullanmanızı tavsiye ederim 

 

Görüldüğü üzere dikkat çekmemek için kendisini C:\WINDOWS\Config\ klasörüde csrss.exe olarak bulunuyor

 

Bulaştığı zaman

Xp, Windows 7 ve Vista da Standart olarak C:\WINDOWS\Config\ klasörüde csrss.exe olarak bulur

 

Xp Windows 7 ve Vista işletim sistemlerinden Temizleme

Proccess explorer programı yardımı ile tespit etmiş olduğunuz kullanıcı adınız ile  çalışan csrss.exe yi sonlandırın

 

 Sonra

C:\WINDOWS\Config\ klasörüde  bulunan  csrss.exe yi silin

 

Sonra  başlat çalıştıra regedir yazıp çalıştırın

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run da bulunan

Bu değeri silin

winlogon      C:\WINDOWS\Config\csrss.exe

 

Akabinde;

Bu işlemleri  yaptıktan sonra:  Kontrol etmek için  Kayıt defteri düzenleyicisin den  Config\csrss.exe 'yi aratın  varsa  ilgili girdi  değeri  silin eğer  Arama işlemine devam edin     birşey bulunmuyorsa keylogger   temizlenmiş demektir.

 

Not: Tespit için dilerseniz hazırlamış olduğumuz Yeni Nesil Keyloger Tespit Etme Sistemi Programını kullanabilirsiniz

http://www.bilgineferi.com/forum/forum_posts.asp?TID=8111 - http://www.bilgineferi.com/forum/forum_posts.asp?TID=8111

 

Saygılarımla

invertor