spoolsv.exe adı ile gizlenen yeni nesil keyloger a dikkat

spoolsv.exe adı ile gizlenen yeni nesil keyloger Hakkında:

spoolsv.exe  Yeni nesil Türk Yapımı   Güzel bir Keyloger client'i  dir.  Ticari amaçlı yapılmıştır ve kötü amaçlarda  kullanılmaktadır. Buradaki  spoolsv.exe  ismini   yapımcı veya kullanıcı istediği zaman değişebilmektedir.   örnek: aa.exe  gibi, spoolsv.exe adı  keyloger clientini oluşturan program ile standart olarak gelmektedir.  
Bu keyloger  Şifrelerinizin  ve kişisel bilgilerinizin  çalınması amacı ile kullanılır.

Daha önce  standart olarak svchost.exe, SVCHOST.EXE, rundll.exe, taskmgr.exe, msnmsgr.exe, dllhost.exe  adı altında bulaşan dosyaların  temizleme yönteminini aşağıdaki adreste açıklamıştık.
Aşağıdaki adresten ulaşabilirsiniz
http://www.bilgineferi.com/forum/forum_posts.asp?TID=8373

Şimdi ise standart olarak  spoolsv.exe adı altında gizlenip çalışan bu keyloger'ın temizleme yöntemini anlatacağım.

Şuan standart olarak spoolsv.exe  adı altında bulaşmaktadır.

Bulaştığı yerler  ve temizleme yöntemi burda anlatıldığı gibidir.

Eğer pc nize bulaşmış ise ;

1: Bulaştığı zaman  hemen aktif olur görev yöneticisinde gözükür.

    Pc nizde girmiş olduğunuz internet adresleri, Girmiş olduğunuz bütün  kullanıcı adı ve  şifreler, yazmış olduğunuz ve kopyala yapıştır  yaptığınız bütün yazılar, pc nizin ekran görüntüsü,…vs   periyodik bir şekilde belirtilen zaman aralıklarında   yapımcının belirtmiş olduğu  adrese  yollamaktadır.

2: Bulaştığı zaman hemen aktif olmaz bundan dolayı görev yöneticisinde gözükmez ve dikkatinizi çekmez. 

   Fakat Pc nizi aç  kapa yaptıktan sonra veya herhangi bir programı açmanız ile    aktif hale gelip Görev yöneticisinde gözükür   bu andan itibaren   Pc nizde girmiş olduğunuz internet adresleri, Girmiş olduğunuz bütün  kullanıcı adı ve  şifreler, yazmış olduğunuz ve kopyala yapıştır  yaptığınız bütün yazılar, pc nizin ekran görüntüsü,…vs   periyodik bir şekilde belirtilen zaman aralıklarında   yapımcının belirtmiş olduğu  adrese  yollamaktadır. 

Şimdi diyeceksiniz   spoolsv.exe sistem  dosyası değilmidir. 

Evet bir sistem dosyasıdır.  Bilgisayar ilk açıldığında bir yazıcı arar  bulur ve kendini beklemeye alır.  

C:\WINDOWS\system32\spoolsv.exe  Konumunda bulunur.

Sistemde çalışan spoolsv.exe nin   keyloger  olup olmadığını nasıl anlayacağız.

Hemen açıklık getirelim "standart olarak spoolsv.exe den bahsedeceğiz";
Ctrl + Alt+ Del tuşlarına basarak  Görev yöneticisini çalıştırın

Sisteminizde  spoolsv.exe  bu şekilde tek olarak gözüküyorsa ve kullanıcı adı kısmında   bilgisayar daki kullanıcı adınız yazmıyorsa  problem yok diyebiliriz.

Velevki  sisteminizde  spoolsv.exe Kullanıcı adınız ile devamlı çalışır vaziyette ise; Aşağıdada görüldüğü gibi bilgisayarınıza keyloger bulaşmış demektir

Yukarıdaki 
Dosya konumundanda  bunu tesbit edebilirsiniz.  

Process explorer programını  "Gelişmiş görevyöneticisi"   kullanmanızı tavsiye ederim.

Burdan indirebilirsiniz. 

http://www.bilgineferi.com/forum/forum_posts.asp?TID=7860

Process explorer programını çalıştırarak  sistemde çalışan uygulamaların konumunu rahatlıkla tesbit edebilirsiniz.

Process explorer'i çalıştırdıktan sonra çalışan uygulmaların üzerine mause ile gelerek dosyanın konumumu tespit edebilir isterseniz sonlandırabilirsiniz.

Dosyanın simgesi  farklı olabilir  basit bir örnek verecek olursak   gönderen kişi dosyanın simgesini  "mp3" müzik dosyası gibi ayarlarlıyabilir  içine de  bir müzik dosyası gömüp bulaştırmak istediği kişiye gönderir  ve   dosyayı  alan kişi müzik dinlemek için  o dosyayı çalıştırdığında   keyloger bulaşmış olur.
Not: Bu tür durumlarda   şüphe duyuyorsanız dosya uzantısını kontrol ediniz. Yukarıda bahsttiğim örnekteki  mp3 dosyasının  uzantısı .mp3 değil .exe dir. Ama .exe uzantılı bir dosyanın  içerisine gömülmüştür.

Anti virüs yazılımlarına yakalanmamaktadır   son zamanlarda kaspersky internetsecurity  yazılımına “Backdoor.Win32.Delf.osq” olarak  yakalanmaktadır. Fakat yapımcı tarafından keyloger’in güncellemesi yapıldığı için   anti virüs yazılımlarına  yakalanmama ihtimali yüksektir. Şuan itibari ile  anti virüs yazılımlarına yakalanmamaktadır.

spoolsv.exe  adı altında bulaşan  bu  keyloger  eğer pc nize bulaşmış ise aşağıda  bahsettiğim yöntemi kullanarak temizleye bilirsiniz. Keyloger  bizzat tarafımdan test edilmiştir.

Dikkat : 

Son zamanlarda farklı isimlerde bulaştığını tesbit ettik

Bunun üzerine  Yeni Nesil Keyloger Tespit Etme Sistemi v1.5 programını hazırladık  isteyen bunu da kullanabilir. 

Gerekli açıklamalar içerisinde mevcuttur.

Buradan indirebilirsiniz sadece tespit için kullanılır.

http://www.bilgineferi.com/forum/forum_posts.asp?TID=8111&PID=13742

Manuel olarak İsim ve Konum Tespiti Yamak  için:

1. Yöntem 

Başlat  - Çalıştır'a msconfig yazıp açılan ekrandan başlangıca gelin 

"Buradan bilgisayar açıldıgında başlangıçta çalıştırılan programları kontrol edebilir şüphelendiğiniz   programları devre dışı bırakabilirsiniz."

Başlangıçta çalışan programları Kontrol edin;

Xp  için  C:\Documents and Settings\sizin otorum açma adınız\Application Data  klasörü içerisisinde,

Vista ve windows 7 için; C:\Users\sizin otorum açma adınız\AppData\Roaming

içerisinde çalışan işlem  varsa  orda bulunan isimden keylogerin ismini tesbit edebilirsiniz.

Örnek:

C:\Documents and Settings\sizin otorum açma adınız\Application Data\xxx.exe  

Keylogerin ismi xxx.exe dir
Bulunduğu konum: C:\Documents and Settings\sizin otorum açma adınız\Application Data\ klasörünün içidir.

Temsili resimli örnek

2.Yöntem   

Processexplorer ile çalışan tüm işlemleri  kontrol etmenizi tavsiye ederiz.

Processexplorer dan çalışan işlemleri  kontrol ederken; 

Xp  için; C:\Documents and Settings\sizin otorum açma adınız\Application Data 

Vista ve windows 7 için; C:\Users\sizin otorum açma adınız\AppData\Roaming  klasörü  içerisinde çalışan programa rastlarsanız o keylogerdir.

3. Yöntem

Bahsettiğimiz bu keyloger'in başlangıçta  çalışan programlar arasında gizlenme  özelliği olduğundan böyle bir durum söz konusu ise  Keylogerin adını ve konumunu tesbit etmek için;

Registry den 
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon Da bulunan shell değerini kontrol edin. 

Örnek:

Burdaki shell degeri herzaman standart olarak 
Shell      Explorer.exe  dir.

Eğer shell değeri bu şekil ise

Shell     explorer.exe "C:\Documents and Settings\ sizin otorum açma adınız \Application Data\xxx.exe"

Keylogerin ismi: xxx.exe dir
Bulunduğu konum: C:\Documents and Settings\sizin otorum açma adınız\Application Data\ klasörünün içidir.

Bahsettiğimiz bu keyloger'in  sisteminize farklı isimde  bulaştığını tesbit ettiyseniz;

Temizleme işlemi  burda anlattığımız gibi   geçerlidir yani aşağıdaki anlatımlarda bulunan  spoolsv.exe   yerine  tesbit ettiğiniz dosya ismini baza alarak temizleme işlemini yapacaksınız . 

****************************

Bulaştığı zaman

Vindows işletim sistemlerine bulaşır...

Bulaşan bu keyloger kendine ait dosyaları aşağıdaki klasörlerden birine kopyalıyabilir;

C:\Documents and Settings\sizin otorum açma adınız\Application Data
C:\Users\sizin otorum açma adınız\AppData\Roaming

C:\WINDOWS\system
C:\WINDOWS
C:\Documents and Settings\Kullanıcı adınız\temp
C:\Program Files
c:\winnt\profiles\username\start menu\programs\startup 

Standart olarak : 

Xp' de C:\Documents and Settings\sizin otorum açma adınız\Application Data     içerisine  spoolsv.exe, pagefile.dat, ntldr.dll  olarak 3 dosya şeklinde bulaşır.

********************************************
Vista' da C:\Users\sizin otorum açma adınız\AppData\Roaming  içerisine  spoolsv.exe, pagefile.dat, ntldr.dll  olarak 3 dosya şeklinde bulaşır. 

********************************************

Windows 7' de C:\Users\sizin otorum açma adınız\AppData\Roaming içerisine  spoolsv.exe, pagefile.dat, ntldr.dll  olarak 3 dosya şeklinde bulaşır.

Not: Gizli dosya ve klasörler seçeneğini aktif hale getirmeden belirtilen dizini göremezsiniz.

********************************************

---------------------------------------------------------------------------------------------

Teknik bir detay: (Keyloger'i Bulaştıran kişinin kullanıcı adını bulma)
Aşağıdaki konudan gerekli içeriğe ulaşabilirsiniz
http://www.bilgineferi.com/forum/forum_posts.asp?TID=8005
---------------------------------------------------------------------------------------------- 

İşletim sisteminden Bulaşan Keyloggeri  Temizlemek için

Aşağıda   örnek temizleme yöntemleri anlatılmıştır sisteminize bu isimler harici farklı isimlerde  bahsettiğimiz yeni nesil keyloger dan  bulaşmış ise temizleme yöntemi yine aynıdır sadece keyloger isimleri farklıdır.

Xp işletim sisteminden Temizlemek için;
Gizli dosya ve klasörler seçeneğini aktif hale getirin

CTRL+ALT+DEL Tuşlarına basarak görev yöneticisini açın işlemler menusunden 
spoolsv.exe nin karşısında  yani kullanıcı adı kısmında  oturum açma adınız yazıyorsa   o spoolsv.exe  işlemini sonlandırın  
sonra 
C:\Documents and Settings\sizin otorum açma adınız\Application Data  klasörünü açıp  spoolsv.exe, pagefile.dat, ntldr.dll    dosyalarını silin

Akabinde;

Başlat-çalışr'a regedit yazıp Kayıt defteri düzenleyicisini açın ve aşağıdaki işlemleri yapın. 

***********************************************************

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

Bu değeri silin
spoolsv      "C:\Documents and Settings\ sizin otorum açma adınız \Application Data\spoolsv.exe"

*********************************************************** 
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

Eğer Böyle bir kayıt var ise Bu değeri de 
Shell     explorer.exe "C:\Documents and Settings\ sizin otorum açma adınız \Application Data\spoolsv.exe"

Bu şekil değiştirin
Shell      Explorer.exe 

***********************************************************

Bunları yaptıktan sonra:  Kontrol etmek için  Kayıt defteri düzenleyicisin den  Application Data\spoolsv.exe  'yi aratın  eğer bu kelimeler  bulunuyorsa ilgili girdileri silin bulunmuyorsa keylogger  temizlenmiş demektir.

Bilgisayarınızı yeniden başlatın   işlem tamamdır.  Artık   Sisteminizi  sorunsuz kullanabilirsiniz. 

Vista işletim sisteminden Temizlemek için; 

Gizli dosya ve klasörler seçeneğini aktif hale getirin

Gizli dosyaları ve klasörleri görüntülemek için aşağıdaki adımları izleyin.
1.  Başlat düğmesi , Denetim Masası, Görünüm ve Kişiselleştirme ve ardından Klasör Seçenekleri'ni tıklatarak Klasör Seçenekleri'ni açın.
2.  Görünüm sekmesini tıklatın.
3.  Gelişmiş ayarlar altından Gizli dosya ve klasörleri göster'i ve ardından Tamam'ı tıklatın.

CTRL+ALT+DEL Tuşlarına basarak görev yöneticisi başlatın  işlemler menusunden 

spoolsv.exe nin karşısında  yani kullanıcı adı kısmında  oturum açma adınız yazıyorsa   o spoolsv.exe  işlemini sonlandırın  

Sonra 

C:\Users\sizin otorum açma adınız\AppData\Roaming     klasörünü açıp  spoolsv.exe, pagefile.dat, ntldr.dll   dosyalarını silin

Akabinde;

Başlat-çalışr'a regedit yazıp Kayıt defteri düzenleyicisini açın ve aşağıdaki işlemleri yapın. 

*********************************************************** 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

 Kaynak: http://www.bilgineferi.com/forum/forum_posts.asp?TID=8638
Bu değeri silin
spoolsv         "C:\Users\sizin otorum açma adınız\AppData\Roaming\spoolsv.exe"

 *********************************************************** 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

Eğer Böyle bir kayıt var ise Bu değeri de 
Shell         explorer.exe "C:\Users\sizin otorum açma adınız\AppData\Roaming\spoolsv .exe"

Bu şekil değiştirin
Shell         explorer.exe   

***********************************************************

Bunları yaptıktan sonra;   Kontrol etmek için  Kayıt defteri düzenleyicisin den   Roaming\spoolsv.exe 'yi aratın  eğer bu kelimeler  bulunuyorsa ilgili girdileri silin bulunmuyorsa keyloger  temizlenmiş demektir.

 Bilgisayarınızı yeniden başlatın   işlem tamamdır.  Artık   Sisteminizi  sorunsuz kullanabilirsiniz. 

Windows 7  işletim sisteminden Temizlemek için; 

Gizli dosya ve klasörler seçeneğini aktif hale getirin

Gizli dosyaları ve klasörleri görüntülemek için aşağıdaki adımları izleyin.
1.  Başlat düğmesi , Denetim Masası, Görünüm ve Kişiselleştirme ve ardından Klasör Seçenekleri'ni tıklatarak Klasör Seçenekleri'ni açın.
2.  Görünüm sekmesini tıklatın.
3.  Gelişmiş ayarlar altından Gizli dosya ve klasörleri göster'i ve ardından Tamam'ı tıklatın.

CTRL+ALT+DEL Tuşlarına basarak görev yöneticisi başlatın  işlemler menusunden 

spoolsv.exe nin karşısında  yani kullanıcı adı kısmında  oturum açma adınız yazıyorsa   o spoolsv.exe  işlemini sonlandırın  

Sonra 

C:\Users\sizin otorum açma adınız\AppData\Roaming     klasörünü açıp  spoolsv.exe, pagefile.dat, ntldr.dll   dosyalarını silin

Akabinde;

Başlat-çalışr'a regedit yazıp Kayıt defteri düzenleyicisini açın ve aşağıdaki işlemleri yapın. 

*********************************************************** 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

Bu değeri silin
spoolsv         "C:\Users\sizin otorum açma adınız\AppData\Roaming\spoolsv.exe"

 *********************************************************** 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

Eğer Böyle bir kayıt var ise Bu değeri de 
Shell         explorer.exe "C:\Users\sizin otorum açma adınız\AppData\Roaming\spoolsv .exe"

Bu şekil değiştirin
Shell         explorer.exe   

***********************************************************

Bunları yaptıktan sonra;   Kontrol etmek için  Kayıt defteri düzenleyicisin den   Roaming\spoolsv.exe 'yi aratın  eğer bu kelimeler  bulunuyorsa ilgili girdileri silin bulunmuyorsa keyloger  temizlenmiş demektir.

 Bilgisayarınızı yeniden başlatın   işlem tamamdır.  Artık   Sisteminizi  sorunsuz kullanabilirsiniz. 

Yapamayanlar Xp ,  VİSTA  ve Windows 7 den   temizlemek için hazırlamış olduğum bu temsili videoyu  örnek alarak temizleyebilirler

Standart olarak  yaygın olan bu  keylogger'in  temizliği yukarıdakigibidir. 

Önemli:  spoolsv .exe yerine farklı isimler olabilir. 

Benim analizime göre ismi ne olursa olsun  bu keylogger'ın registry de bulaştığı yerler bellidir. 

Bu gibi durumda  en temiz yöntem Başlat çalıştır regedit ' ten başlangıçta çalışan programları kontrol etmektir.

Konu hakkındaki yorumlarınızı beklerim

Saygılarımla

invertor

DÃ¼zenleyen invertor - 15-06-2010 Saat 13:53

Yazar	Mesaj Konu Arama Konu SeÃ§enekleri YanÄ±t Yaz Yeni Konu OluÅŸtur Konuyu YazdÄ±r Translate Konu
invertor Ãœye Profili Ã–zel Mesaj Yolla Ãœyenin MesajlarÄ±nÄ± Bul ArkadaÅŸ Listeme Ekle Security Professional İnventor KayÄ±t Tarihi: 18-01-2008 Status: Aktif DeÄŸil Points: 3365	Mesaj SeÃ§enekleri YanÄ±t Yaz AlÄ±ntÄ± invertor Bu mesaj kurallara aykÄ±rÄ±ysa buradan yÃ¶neticileri bilgilendirebilirsiniz. Thanks(0) AlÄ±ntÄ± Cevapla Konu: spoolsv.exe adı ile gizlenen yeni nesil keyloger a dikkat GÃ¶nderim ZamanÄ±: 15-06-2010 Saat 12:12
	spoolsv.exe adı ile gizlenen yeni nesil keyloger Hakkında: spoolsv.exe Yeni nesil Türk Yapımı Güzel bir Keyloger client'i dir. Ticari amaçlı yapılmıştır ve kötü amaçlarda kullanılmaktadır. Buradaki spoolsv.exe ismini yapımcı veya kullanıcı istediği zaman değişebilmektedir. örnek: aa.exe gibi, spoolsv.exe adı keyloger clientini oluşturan program ile standart olarak gelmektedir. Bu keyloger Şifrelerinizin ve kişisel bilgilerinizin çalınması amacı ile kullanılır. Daha önce standart olarak svchost.exe, SVCHOST.EXE, rundll.exe, taskmgr.exe, msnmsgr.exe, dllhost.exe adı altında bulaşan dosyaların temizleme yönteminini aşağıdaki adreste açıklamıştık. Aşağıdaki adresten ulaşabilirsiniz http://www.bilgineferi.com/forum/forum_posts.asp?TID=8373 Şimdi ise standart olarak spoolsv.exe adı altında gizlenip çalışan bu keyloger'ın temizleme yöntemini anlatacağım. Şuan standart olarak spoolsv.exe adı altında bulaşmaktadır. Bulaştığı yerler ve temizleme yöntemi burda anlatıldığı gibidir. Eğer pc nize bulaşmış ise ; 1: Bulaştığı zaman hemen aktif olur görev yöneticisinde gözükür. Pc nizde girmiş olduğunuz internet adresleri, Girmiş olduğunuz bütün kullanıcı adı ve şifreler, yazmış olduğunuz ve kopyala yapıştır yaptığınız bütün yazılar, pc nizin ekran görüntüsü,…vs periyodik bir şekilde belirtilen zaman aralıklarında yapımcının belirtmiş olduğu adrese yollamaktadır. 2: Bulaştığı zaman hemen aktif olmaz bundan dolayı görev yöneticisinde gözükmez ve dikkatinizi çekmez. Fakat Pc nizi aç kapa yaptıktan sonra veya herhangi bir programı açmanız ile aktif hale gelip Görev yöneticisinde gözükür bu andan itibaren Pc nizde girmiş olduğunuz internet adresleri, Girmiş olduğunuz bütün kullanıcı adı ve şifreler, yazmış olduğunuz ve kopyala yapıştır yaptığınız bütün yazılar, pc nizin ekran görüntüsü,…vs periyodik bir şekilde belirtilen zaman aralıklarında yapımcının belirtmiş olduğu adrese yollamaktadır. Şimdi diyeceksiniz spoolsv.exe sistem dosyası değilmidir. Evet bir sistem dosyasıdır. Bilgisayar ilk açıldığında bir yazıcı arar bulur ve kendini beklemeye alır. C:\WINDOWS\system32\spoolsv.exe Konumunda bulunur. Sistemde çalışan spoolsv.exe nin keyloger olup olmadığını nasıl anlayacağız. Hemen açıklık getirelim "standart olarak spoolsv.exe den bahsedeceğiz"; Ctrl + Alt+ Del tuşlarına basarak Görev yöneticisini çalıştırın Sisteminizde spoolsv.exe bu şekilde tek olarak gözüküyorsa ve kullanıcı adı kısmında bilgisayar daki kullanıcı adınız yazmıyorsa problem yok diyebiliriz. Velevki sisteminizde spoolsv.exe Kullanıcı adınız ile devamlı çalışır vaziyette ise; Aşağıdada görüldüğü gibi bilgisayarınıza keyloger bulaşmış demektir Yukarıdaki Dosya konumundanda bunu tesbit edebilirsiniz. Process explorer programını "Gelişmiş görevyöneticisi" kullanmanızı tavsiye ederim. Burdan indirebilirsiniz. http://www.bilgineferi.com/forum/forum_posts.asp?TID=7860 Process explorer programını çalıştırarak sistemde çalışan uygulamaların konumunu rahatlıkla tesbit edebilirsiniz. Process explorer'i çalıştırdıktan sonra çalışan uygulmaların üzerine mause ile gelerek dosyanın konumumu tespit edebilir isterseniz sonlandırabilirsiniz. Dosyanın simgesi farklı olabilir basit bir örnek verecek olursak gönderen kişi dosyanın simgesini "mp3" müzik dosyası gibi ayarlarlıyabilir içine de bir müzik dosyası gömüp bulaştırmak istediği kişiye gönderir ve dosyayı alan kişi müzik dinlemek için o dosyayı çalıştırdığında keyloger bulaşmış olur. Not: Bu tür durumlarda şüphe duyuyorsanız dosya uzantısını kontrol ediniz. Yukarıda bahsttiğim örnekteki mp3 dosyasının uzantısı .mp3 değil .exe dir. Ama .exe uzantılı bir dosyanın içerisine gömülmüştür. Anti virüs yazılımlarına yakalanmamaktadır son zamanlarda kaspersky internetsecurity yazılımına “Backdoor.Win32.Delf.osq” olarak yakalanmaktadır. Fakat yapımcı tarafından keyloger’in güncellemesi yapıldığı için anti virüs yazılımlarına yakalanmama ihtimali yüksektir. Şuan itibari ile anti virüs yazılımlarına yakalanmamaktadır. spoolsv.exe adı altında bulaşan bu keyloger eğer pc nize bulaşmış ise aşağıda bahsettiğim yöntemi kullanarak temizleye bilirsiniz. Keyloger bizzat tarafımdan test edilmiştir. Dikkat : Son zamanlarda farklı isimlerde bulaştığını tesbit ettik Bunun üzerine Yeni Nesil Keyloger Tespit Etme Sistemi v1.5 programını hazırladık isteyen bunu da kullanabilir. Gerekli açıklamalar içerisinde mevcuttur. Buradan indirebilirsiniz sadece tespit için kullanılır. http://www.bilgineferi.com/forum/forum_posts.asp?TID=8111&PID=13742 Manuel olarak İsim ve Konum Tespiti Yamak için: 1. Yöntem Başlat - Çalıştır'a msconfig yazıp açılan ekrandan başlangıca gelin "Buradan bilgisayar açıldıgında başlangıçta çalıştırılan programları kontrol edebilir şüphelendiğiniz programları devre dışı bırakabilirsiniz." Başlangıçta çalışan programları Kontrol edin; Xp için C:\Documents and Settings\sizin otorum açma adınız\Application Data klasörü içerisisinde, Vista ve windows 7 için; C:\Users\sizin otorum açma adınız\AppData\Roaming içerisinde çalışan işlem varsa orda bulunan isimden keylogerin ismini tesbit edebilirsiniz. Örnek: C:\Documents and Settings\sizin otorum açma adınız\Application Data\xxx.exe Keylogerin ismi xxx.exe dir Bulunduğu konum: C:\Documents and Settings\sizin otorum açma adınız\Application Data\ klasörünün içidir. Temsili resimli örnek 2.Yöntem Processexplorer ile çalışan tüm işlemleri kontrol etmenizi tavsiye ederiz. Processexplorer dan çalışan işlemleri kontrol ederken; Xp için; C:\Documents and Settings\sizin otorum açma adınız\Application Data Vista ve windows 7 için; C:\Users\sizin otorum açma adınız\AppData\Roaming klasörü içerisinde çalışan programa rastlarsanız o keylogerdir. 3. Yöntem Bahsettiğimiz bu keyloger'in başlangıçta çalışan programlar arasında gizlenme özelliği olduğundan böyle bir durum söz konusu ise Keylogerin adını ve konumunu tesbit etmek için; Registry den HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon Da bulunan shell değerini kontrol edin. Örnek: Burdaki shell degeri herzaman standart olarak Shell Explorer.exe dir. Eğer shell değeri bu şekil ise Shell explorer.exe "C:\Documents and Settings\ sizin otorum açma adınız \Application Data\xxx.exe" Keylogerin ismi: xxx.exe dir Bulunduğu konum: C:\Documents and Settings\sizin otorum açma adınız\Application Data\ klasörünün içidir. Bahsettiğimiz bu keyloger'in sisteminize farklı isimde bulaştığını tesbit ettiyseniz; Temizleme işlemi burda anlattığımız gibi geçerlidir yani aşağıdaki anlatımlarda bulunan spoolsv.exe yerine tesbit ettiğiniz dosya ismini baza alarak temizleme işlemini yapacaksınız . ************************** Bulaştığı zaman Vindows işletim sistemlerine bulaşır... Bulaşan bu keyloger kendine ait dosyaları aşağıdaki klasörlerden birine kopyalıyabilir; C:\Documents and Settings\sizin otorum açma adınız\Application Data C:\Users\sizin otorum açma adınız\AppData\Roaming C:\WINDOWS\system C:\WINDOWS C:\Documents and Settings\Kullanıcı adınız\temp C:\Program Files c:\winnt\profiles\username\start menu\programs\startup Standart olarak : Xp' de C:\Documents and Settings\sizin otorum açma adınız\Application Data içerisine spoolsv.exe, pagefile.dat, ntldr.dll olarak 3 dosya şeklinde bulaşır. **************************************** Vista' da C:\Users\sizin otorum açma adınız\AppData\Roaming içerisine spoolsv.exe, pagefile.dat, ntldr.dll olarak 3 dosya şeklinde bulaşır. **************************************** Windows 7' de C:\Users\sizin otorum açma adınız\AppData\Roaming içerisine spoolsv.exe, pagefile.dat, ntldr.dll olarak 3 dosya şeklinde bulaşır. Not: Gizli dosya ve klasörler seçeneğini aktif hale getirmeden belirtilen dizini göremezsiniz. **************************************** --------------------------------------------------------------------------------------------- Teknik bir detay: (Keyloger'i Bulaştıran kişinin kullanıcı adını bulma) Aşağıdaki konudan gerekli içeriğe ulaşabilirsiniz http://www.bilgineferi.com/forum/forum_posts.asp?TID=8005 ---------------------------------------------------------------------------------------------- İşletim sisteminden Bulaşan Keyloggeri Temizlemek için Aşağıda örnek temizleme yöntemleri anlatılmıştır sisteminize bu isimler harici farklı isimlerde bahsettiğimiz yeni nesil keyloger dan bulaşmış ise temizleme yöntemi yine aynıdır sadece keyloger isimleri farklıdır. Xp işletim sisteminden Temizlemek için; Gizli dosya ve klasörler seçeneğini aktif hale getirin CTRL+ALT+DEL Tuşlarına basarak görev yöneticisini açın işlemler menusunden spoolsv.exe nin karşısında yani kullanıcı adı kısmında oturum açma adınız yazıyorsa o spoolsv.exe işlemini sonlandırın sonra C:\Documents and Settings\sizin otorum açma adınız\Application Data klasörünü açıp spoolsv.exe, pagefile.dat, ntldr.dll dosyalarını silin Akabinde; Başlat-çalışr'a regedit yazıp Kayıt defteri düzenleyicisini açın ve aşağıdaki işlemleri yapın. ******************************************************* HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run Bu değeri silin spoolsv "C:\Documents and Settings\ sizin otorum açma adınız \Application Data\spoolsv.exe" ******************************************************* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon Eğer Böyle bir kayıt var ise Bu değeri de Shell explorer.exe "C:\Documents and Settings\ sizin otorum açma adınız \Application Data\spoolsv.exe" Bu şekil değiştirin Shell Explorer.exe ******************************************************* Bunları yaptıktan sonra: Kontrol etmek için Kayıt defteri düzenleyicisin den Application Data\spoolsv.exe 'yi aratın eğer bu kelimeler bulunuyorsa ilgili girdileri silin bulunmuyorsa keylogger temizlenmiş demektir. Bilgisayarınızı yeniden başlatın işlem tamamdır. Artık Sisteminizi sorunsuz kullanabilirsiniz. Vista işletim sisteminden Temizlemek için; Gizli dosya ve klasörler seçeneğini aktif hale getirin Gizli dosyaları ve klasörleri görüntülemek için aşağıdaki adımları izleyin. 1. Başlat düğmesi , Denetim Masası, Görünüm ve Kişiselleştirme ve ardından Klasör Seçenekleri'ni tıklatarak Klasör Seçenekleri'ni açın. 2. Görünüm sekmesini tıklatın. 3. Gelişmiş ayarlar altından Gizli dosya ve klasörleri göster'i ve ardından Tamam'ı tıklatın. CTRL+ALT+DEL Tuşlarına basarak görev yöneticisi başlatın işlemler menusunden spoolsv.exe nin karşısında yani kullanıcı adı kısmında oturum açma adınız yazıyorsa o spoolsv.exe işlemini sonlandırın Sonra C:\Users\sizin otorum açma adınız\AppData\Roaming klasörünü açıp spoolsv.exe, pagefile.dat, ntldr.dll dosyalarını silin Akabinde; Başlat-çalışr'a regedit yazıp Kayıt defteri düzenleyicisini açın ve aşağıdaki işlemleri yapın. ******************************************************* HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run Kaynak: http://www.bilgineferi.com/forum/forum_posts.asp?TID=8638 Bu değeri silin spoolsv "C:\Users\sizin otorum açma adınız\AppData\Roaming\spoolsv.exe" ******************************************************* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon Eğer Böyle bir kayıt var ise Bu değeri de Shell explorer.exe "C:\Users\sizin otorum açma adınız\AppData\Roaming\spoolsv .exe" Bu şekil değiştirin Shell explorer.exe ******************************************************* Bunları yaptıktan sonra; Kontrol etmek için Kayıt defteri düzenleyicisin den Roaming\spoolsv.exe 'yi aratın eğer bu kelimeler bulunuyorsa ilgili girdileri silin bulunmuyorsa keyloger temizlenmiş demektir. Bilgisayarınızı yeniden başlatın işlem tamamdır. Artık Sisteminizi sorunsuz kullanabilirsiniz. Windows 7 işletim sisteminden Temizlemek için; Gizli dosya ve klasörler seçeneğini aktif hale getirin Gizli dosyaları ve klasörleri görüntülemek için aşağıdaki adımları izleyin. 1. Başlat düğmesi , Denetim Masası, Görünüm ve Kişiselleştirme ve ardından Klasör Seçenekleri'ni tıklatarak Klasör Seçenekleri'ni açın. 2. Görünüm sekmesini tıklatın. 3. Gelişmiş ayarlar altından Gizli dosya ve klasörleri göster'i ve ardından Tamam'ı tıklatın. CTRL+ALT+DEL Tuşlarına basarak görev yöneticisi başlatın işlemler menusunden spoolsv.exe nin karşısında yani kullanıcı adı kısmında oturum açma adınız yazıyorsa o spoolsv.exe işlemini sonlandırın Sonra C:\Users\sizin otorum açma adınız\AppData\Roaming klasörünü açıp spoolsv.exe, pagefile.dat, ntldr.dll dosyalarını silin Akabinde; Başlat-çalışr'a regedit yazıp Kayıt defteri düzenleyicisini açın ve aşağıdaki işlemleri yapın. ******************************************************* HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run Bu değeri silin spoolsv "C:\Users\sizin otorum açma adınız\AppData\Roaming\spoolsv.exe" ******************************************************* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon Eğer Böyle bir kayıt var ise Bu değeri de Shell explorer.exe "C:\Users\sizin otorum açma adınız\AppData\Roaming\spoolsv .exe" Bu şekil değiştirin Shell explorer.exe ******************************************************* Bunları yaptıktan sonra; Kontrol etmek için Kayıt defteri düzenleyicisin den Roaming\spoolsv.exe 'yi aratın eğer bu kelimeler bulunuyorsa ilgili girdileri silin bulunmuyorsa keyloger temizlenmiş demektir. Bilgisayarınızı yeniden başlatın işlem tamamdır. Artık Sisteminizi sorunsuz kullanabilirsiniz. Yapamayanlar Xp , VİSTA ve Windows 7 den temizlemek için hazırlamış olduğum bu temsili videoyu örnek alarak temizleyebilirler Standart olarak yaygın olan bu keylogger'in temizliği yukarıdakigibidir. Önemli:** spoolsv .exe yerine farklı isimler olabilir. Benim analizime göre ismi ne olursa olsun bu keylogger'ın registry de bulaştığı yerler bellidir. Bu gibi durumda en temiz yöntem Başlat çalıştır regedit ' ten başlangıçta çalışan programları kontrol etmektir. Konu hakkındaki yorumlarınızı beklerim Saygılarımla invertor DÃ¼zenleyen invertor - 15-06-2010 Saat 13:53
	Hash Kontrolü yapma ( MD5, SHA-1, CRC32,... vb)

S3Z3R Ãœye Profili Ã–zel Mesaj Yolla Ãœyenin MesajlarÄ±nÄ± Bul ArkadaÅŸ Listeme Ekle Moderator KayÄ±t Tarihi: 31-03-2007 Status: Aktif DeÄŸil Points: 820	Mesaj SeÃ§enekleri YanÄ±t Yaz AlÄ±ntÄ± S3Z3R Bu mesaj kurallara aykÄ±rÄ±ysa buradan yÃ¶neticileri bilgilendirebilirsiniz. Thanks(0) AlÄ±ntÄ± Cevapla GÃ¶nderim ZamanÄ±: 15-06-2010 Saat 13:48
	Yine her zamanki gibi profesyonel bir anlatım teşekkürler.


wolf Ãœye Profili Ã–zel Mesaj Yolla Ãœyenin MesajlarÄ±nÄ± Bul ArkadaÅŸ Listeme Ekle Üye KayÄ±t Tarihi: 30-07-2009 Status: Aktif DeÄŸil Points: 0	Mesaj SeÃ§enekleri YanÄ±t Yaz AlÄ±ntÄ± wolf Bu mesaj kurallara aykÄ±rÄ±ysa buradan yÃ¶neticileri bilgilendirebilirsiniz. Thanks(0) AlÄ±ntÄ± Cevapla GÃ¶nderim ZamanÄ±: 17-06-2010 Saat 18:20
	Detaylı ve profesyonel bir anlatım olmuş teşekkürler.

cakycey Ãœye Profili Ã–zel Mesaj Yolla Ãœyenin MesajlarÄ±nÄ± Bul ArkadaÅŸ Listeme Ekle Yeni Üye KayÄ±t Tarihi: 18-06-2010 Konum: Turkey Status: Aktif DeÄŸil Points: 0	Mesaj SeÃ§enekleri YanÄ±t Yaz AlÄ±ntÄ± cakycey Bu mesaj kurallara aykÄ±rÄ±ysa buradan yÃ¶neticileri bilgilendirebilirsiniz. Thanks(0) AlÄ±ntÄ± Cevapla GÃ¶nderim ZamanÄ±: 19-06-2010 Saat 08:26
	yeni nesil keyloger sistemi bana şu keylogeri gösterdi nasıl silebilirm "C:\Documents and Settings\PERFECT\Application Data\spoolsv.exe " ama görev yöneticisindede system olarak gorunuyor keyloger varmi yoqmu solermsin varsa nasıl silebilirm DÃ¼zenleyen cakycey - 19-06-2010 Saat 08:29
	dsa

invertor Ãœye Profili Ã–zel Mesaj Yolla Ãœyenin MesajlarÄ±nÄ± Bul ArkadaÅŸ Listeme Ekle Security Professional İnventor KayÄ±t Tarihi: 18-01-2008 Status: Aktif DeÄŸil Points: 3365	Mesaj SeÃ§enekleri YanÄ±t Yaz AlÄ±ntÄ± invertor Bu mesaj kurallara aykÄ±rÄ±ysa buradan yÃ¶neticileri bilgilendirebilirsiniz. Thanks(0) AlÄ±ntÄ± Cevapla GÃ¶nderim ZamanÄ±: 19-06-2010 Saat 12:31
	Bulaşmış demekki birdaha çalışmamış olabilir C:\Documents and Settings\PERFECT\Application Data klasörü içerisinde bulunan spoolsv.exe, pagefile.dat, ntldr.dll dosyalarını silin Not: Bu konumda bulunan pagefile.dat dosyasını not defteri ile açarak keylogerin bilgisayarınızda kaydettiği bilgilerin bir kısmını görebilirsiniz. Saygılarımla
	Hash Kontrolü yapma ( MD5, SHA-1, CRC32,... vb)