msnmsgr.exe, dllhost.exe (Dikkat)
Gönderilme zamanı: Çrş Ağu 26, 2009 9:53 am
msnmsgr.exe adı ile gizlenen yeni nesil keyloger'a dikkat
dllhost.exe adı ile gizlenen yeni nesil keyloger'a dikkat
msnmsgr.exe veya dllhost.exe adı ile gizlenen yeni nesil keyloger Hakkında:
msnmsgr.exe Yeni nesil Türk Yapımı Güzel bir Keyloger client'i dir. Ticari amaçlı yapılmıştır ve kötü amaçlarda kullanılmaktadır. Buradaki msnmsgr.exe ismini yapımcı istediği zaman değişebilmektedir. örnek: aa.exe gibi, msnmsgr.exe adı keyloger clientini oluşturan program ile standart olarak gelmektedir.
Bu keyloger Şifrelerinizin ve kişisel bilgilerinizin çalınması amacı ile kullanılır.
Daha önce svchost.exe, SVCHOST.EXE adı altında bulaşan versiyonunun temizleme yöntemini aşağıdaki adreste açıklamıştık.
Burdan
http://www.bilgineferi.com/forum/forum_posts.asp?TID=7620
Şimdi ise standart olarak msnmsgr.exe adı altında gizlenip çalışan bu keyloger'ın temizleme yöntemini anlatacağım.
Şuan standart olarak dllhost.exe adı altında bulaşmaktadır.
Bulaştığı yerler ve temizleme yöntemi burda anlatıldığı gibidir.
Eğer pc nize bulaşmış ise ;
1: Bulaştığı zaman hemen aktif olur görev yöneticisinde gözükür.
Pc nizde girmiş olduğunuz internet adresleri, Girmiş olduğunuz bütün kullanıcı adı ve şifreler, yazmış olduğunuz ve kopyala yapıştır yaptığınız bütün yazılar, pc nizin ekran görüntüsü,…vs periyodik bir şekilde belirtilen zaman aralıklarında yapımcının belirtmiş olduğu adrese yollamaktadır.
2: Bulaştığı zaman hemen aktif olmaz bundan dolayı görev yöneticisinde gözükmez ve dikkatinizi çekmez.
Fakat Pc nizi aç kapa yaptıktan sonra veya herhangi bir programı açmanız ile aktif hale gelip Görev yöneticisinde gözükür bu andan itibaren Pc nizde girmiş olduğunuz internet adresleri, Girmiş olduğunuz bütün kullanıcı adı ve şifreler, yazmış olduğunuz ve kopyala yapıştır yaptığınız bütün yazılar, pc nizin ekran görüntüsü,…vs periyodik bir şekilde belirtilen zaman aralıklarında yapımcının belirtmiş olduğu adrese yollamaktadır.
Şimdi diyeceksiniz msnmsgr.exe windows messenger programının dosyasıdır.
Evet msnmsgr.exe windows messenger programının dosyasıdır fakat keyloger bulaşmışsa kendini msnmsgr.exe adı altında çalıştırır.
Sistemde çalışan msnmsgr.exe nin veya msnmsgr.exe lerin keyloger olduğunu nasıl anlayacağız.
Hemen açıklık getirelim "standart olarak msnmsgr.exe den bahsedeceğiz";
Ctrl + Alt+ Del tuşlarına basarak Görev yöneticisini çalıştırın
http://www.bilgineferi.com/forum/uploads/20090826_101530_1edited.JPG
Sisteminizde msn yüklü ise msnmsgr.exe bu şekilde tek olarak gözüküyorsa problem yok diyebiliriz.
http://www.bilgineferi.com/forum/uploads/20090826_101604_2edited.JPG
Eger yukarıdaki gibi bir görüntü var ise veya daha fazla msnmsgr.exe mevcut ise uyarımızı dikkate almanızı tavsiye ederiz
Bu yazıyı okurken belki içinizden diyorsunuzdur burda bulunan msnmsgr.exe lerin hangisi keyloger.
Dosya konumundan bunu tesbit edebilirsiniz.
Tespiti zor olduğundan bu gibi durumlarda Process explorer programını "Gelişmiş görevyöneticisi" kullanmanızı tavsiye ederim.
Burdan indirebilirsiniz.
http://www.bilgineferi.com/forum/forum_posts.asp?TID=7860
Process explorer programını çalıştırarak sistemde çalışan uygulamaların konumunu rahatlıkla tesbit edebilirsiniz.
Process explorer'i çalıştırdıktan sonra çalışan uygulmaların üzerine mause ile gelerek dosyanın konumumu tespit edebilir isterseniz sonlandırabilirsiniz.
http://www.bilgineferi.com/forum/uploads/20090826_101644_3edited.JPG
http://www.bilgineferi.com/forum/uploads/20090826_101805_4edited.JPG
Dosyanın simgesi farklı olabilir basit bir örnek verecek olursak gönderen kişi dosyanın simgesini "mp3" müzik dosyası gibi ayarlarlıyabilir içine de bir müzik dosyası gömüp bulaştırmak istediği kişiye gönderir ve dosyayı alan kişi müzik dinlemek için o dosyayı çalıştırdığında keyloger bulaşmış olur.
Not: Bu tür durumlarda şüphe duyuyorsanız dosya uzantısını kontrol ediniz. Yukarıda bahsttiğim örnekteki mp3 dosyasının uzantısı .mp3 değil .exe dir. Ama .exe uzantılı bir dosyanın içerisine gömülmüştür.
Anti virüs yazılımlarına yakalanmamaktadır son zamanlarda kaspersky internetsecurity yazılımına “Backdoor.Win32.Delf.osq” olarak yakalanmaktadır. Fakat yapımcı tarafından keyloger’in güncellemesi yapıldığı için anti virüs yazılımlarına yakalanmama ihtimali yüksektir. Şuan itibari ile anti virüs yazılımlarına yakalanmamaktadır.
msnmsgr.exe veya dllhost.exe adı altında bulaşan bu keyloger eğer pc nize bulaşmış ise aşağıda bahsettiğim yöntemi kullanarak temizleye bilirsiniz. Keyloger bizzat tarafımdan test edilmiştir.
Dikkat :
Son zamanlarda farklı isimlerde bulaştığını tesbit ettik
Bunun üzerine Yeni Nesil Keyloger Tespit Etme Sistemi v1.4 programını hazırladık kullanmanızı tavsiye ederim.
http://www.bilgineferi.com/forum/uploads/20091215_113444_i1.JPG
Gerekli açıklamalar içerisinde mevcuttur.
Burdan indirebilirsiniz.
http://www.bilgineferi.com/forum/forum_posts.asp?TID=8111&PID=13742
Manuel olarak İsim ve Konum Tespiti Yamak için:
1. Yöntem
Başlat - Çalıştır'a msconfig yazıp açılan ekrandan başlangıca gelin
"Buradan bilgisayar açıldıgında başlangıçta çalıştırılan programları kontrol edebilir şüphelendiğiniz programları devre dışı bırakabilirsiniz."
Başlangıçta çalışan programları Kontrol edin;
Xp için C:\Documents and Settings\sizin otorum açma adınız\Application Data klasörü içerisisinde,
Vista ve windows 7 için; C:\Users\sizin otorum açma adınız\AppData\Roaming
içerisinde çalışan işlem varsa orda bulunan isimden keylogerin ismini tesbit edebilirsiniz.
Örnek:
C:\Documents and Settings\sizin otorum açma adınız\Application Data\xxx.exe
Keylogerin ismi xxx.exe dir
Bulunduğu konum: C:\Documents and Settings\sizin otorum açma adınız\Application Data\ klasörünün içidir.
2.Yöntem
Processexplorer ile çalışan tüm işlemleri kontrol etmenizi tavsiye ederiz.
Processexplorer dan çalışan işlemleri kontrol ederken;
Xp için; C:\Documents and Settings\sizin otorum açma adınız\Application Data
Vista ve windows 7 için; C:\Users\sizin otorum açma adınız\AppData\Roaming klasörü içerisinde çalışan programa rastlarsanız o keylogerdir.
3. Yöntem
Bahsettiğimiz bu keyloger'in başlangıçta çalışan programlar arasında gizlenme özelliği olduğundan böyle bir durum söz konusu ise Keylogerin adını ve konumunu tesbit etmek için;
Registry den
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon Da bulunan shell değerini kontrol edin.
Örnek:
Burdaki shell degeri herzaman standart olarak
Shell Explorer.exe dir.
Eğer shell değeri bu şekil ise
Shell explorer.exe "C:\Documents and Settings\ sizin otorum açma adınız \Application Data\xxx.exe"
Keylogerin ismi: xxx.exe dir
Bulunduğu konum: C:\Documents and Settings\sizin otorum açma adınız\Application Data\ klasörünün içidir.
Bahsettiğimiz bu keyloger'in sisteminize farklı isimde bulaştığını tesbit ettiyseniz;
Temizleme işlemi burda anlattığımız gibi geçerlidir yani aşağıdaki anlatımlarda bulunan msnmsgr.exe yerine tesbit ettiğiniz dosya ismini baza alarak temizleme işlemini yapacaksınız .
****************************
Bulaştığı zaman
Vindows işletim sistemlerine bulaşır...
Bulaşan bu keyloger kendine ait dosyaları aşağıdaki klasörlerden birine kopyalıyabilir;
C:\Documents and Settings\sizin otorum açma adınız\Application Data
C:\Users\sizin otorum açma adınız\AppData\Roaming
C:\WINDOWS\system
C:\WINDOWS
C:\Documents and Settings\Kullanıcı adınız\temp
C:\Program Files
c:\winnt\profiles\username\start menu\programs\startup
Standart olarak :
Xp' de C:\Documents and Settings\sizin otorum açma adınız\Application Data içerisine msnmsgr.exe, ntlog.sys, ntcom.dll olarak 3 dosya şeklinde bulaşır.
Güncel
Xp' de C:\Documents and Settings\sizin otorum açma adınız\Application Data içerisine dllhost.exe, ntlog.sys, ntcom.dll olarak 3 dosya şeklinde bulaşır.
********************************************
Vista' da C:\Users\sizin otorum açma adınız\AppData\Roaming içerisine msnmsgr.exe, ntlog.sys, ntcom.dll olarak 3 dosya şeklinde bulaşır.
Güncel
Vista' da C:\Users\sizin otorum açma adınız\AppData\Roaming içerisine dllhost.exe, ntlog.sys, ntcom.dll olarak 3 dosya şeklinde bulaşır.
********************************************
Windows 7' de C:\Users\sizin otorum açma adınız\AppData\Roaming içerisine msnmsgr.exe, ntlog.sys, ntcom.dll olarak 3 dosya şeklinde bulaşır.
Güncel
Windows 7' de C:\Users\sizin otorum açma adınız\AppData\Roaming içerisine dllhost.exe, ntlog.sys, ntcom.dll olarak 3 dosya şeklinde bulaşır.
Not: Gizli dosya ve klasörler seçeneğini aktif hale getirmeden belirtilen dizini göremezsiniz.
********************************************
---------------------------------------------------------------------------------------------
Teknik bir detay: (Keyloger'i Bulaştıran kişinin kullanıcı adını bulma)
İlk etapta görev yöneticisi işlemlerden keylogera ait olan dosyayı sonlandırın
Keyloger sistemizinize bulaştığında keyloger'i oluşturanın kullanıcı adı Registry' de RegisteredOrganization değerine kaydediliyordu eğer iptal edilmediyse
Başlat-çalışr'a regedit yazıp Kayıt defteri düzenleyicisini açın Düzen-Bul menüsünden RegisteredOrganization diye aratın.
Bulduğunuz değerin üzerine çift tıklayarak keylogerin hangi kullanıcıya ait olduğunu görebilirsiniz.
Keyloger'i Bulaştıranın kullanıcı adı registry'de kayıtlı değil ise;
İlk etapta görev yöneticisi işlemlerden keylogera ait olan dosyayı sonlandırın
Ardından Kullanıcı adını Bulmanız için izlemeniz gereken yol aşağıdaki gibidir.
C:\Documents and Settings\sizin otorum açma adınız\Application Data veya
C:\Users\sizin otorum açma adınız\AppData\Roaming klasöründe bulunan keyloger a ait xxx.exe dosyasını aşağıda belirttiğim programlardan birini kullanarak açın. Özetle videoda anlatılan işlemleri uygulayarak keylogeri oluşturan kullanıcının adına ulaşabilirsiniz.
Not: Kullanıcı adları farklıdır videoda gözüken sadece 1 tanesidir...
Ben kaynak kod görüntülemek için Resource Hacker 3.4.0 programını kullandım
Bu işlemi Hex editör programı kullanarakta yapabilirsiniz.
Resource Hacker 3.4.0 Download
http://delphi.icm.edu.pl/ftp/tools/ResHack.zip
Keyloger'i oluşturan kullanıcının adını bulma videolu anlatım
[FLASH WIDTH=633 HEIGHT=541]http://www.bilgineferi.com/forum/uploads/invertor/keyloger-kullanıci_adi_tesbit/mwplayer.swf[/FLASH]
Not: Keylogeri temizleme "Birdaha Çalışmamak üzere devre dışı bırakma" yöntemi aşağıda anlatıldığı gibidir vermiş olduğum ek bilgi teknik bir detaydır.
----------------------------------------------------------------------------------------------
İşletim sisteminden Temizlemek için
Aşağıda örnek temizleme yöntemleri anlatılmıştır sisteminize bu isimler harici farklı isimlerde bahsettiğimiz yeni nesil keyloger dan bulaşmış ise temizleme yöntemi yine aynıdır sadece keyloger isimleri farklıdır.
Xp işletim sisteminden Temizlemek için;
Gizli dosya ve klasörler seçeneğini aktif hale getirin
Processexplorer' açın msnmsgr.exe dosyalarını kontrol edin C:\Documents and Settings\sizin otorum açma adınız\Application Data içerisinde bulunan msnmsgr.exe yi sonlandırın
Güncel
Processexplorer'ı ve ya görev yöneticisini açıp işlemlerden dllhost.exe yi sonlandırın
***********************************************************
C:\Documents and Settings\sizin otorum açma adınız\Application Data klasörünü açıp msnmsgr.exe, ntlog.sys, ntcom.dll dosyalarını silin
Güncel
C:\Documents and Settings\sizin otorum açma adınız\Application Data klasörünü açıp dllhost.exe, ntlog.sys, ntcom.dll dosyalarını silin
Akabinde;
Başlat-çalışr'a regedit yazıp Kayıt defteri düzenleyicisini açın ve aşağıdaki işlemleri yapın.
***********************************************************
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Bu değeri silin
Messenger "C:\Documents and Settings\ sizin otorum açma adınız \Application Data\msnmsgr.exe"
Güncel
Dllhost "C:\Documents and Settings\ sizin otorum açma adınız \Application Data\dllhost.exe"
***********************************************************
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Burdaki shell degeri herzaman standart olarak
Shell Explorer.exe dir.
Eğer shell değeri bu şekil
Shell explorer.exe "C:\Documents and Settings\ sizin otorum açma adınız \Application Data\msnmsgr.exe"
veya bu şekil ise
Güncel
Shell explorer.exe "C:\Documents and Settings\ sizin otorum açma adınız \Application Data\dllhost.exe"
Bu şekil değiştirin
Shell Explorer.exe
***********************************************************
Daha sonra var ise aşagıdaki kayıtlarıda siliniz.
HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache
C:\Documents and Settings\sizin otorum açma adınız \Application Data\msnmsgr.exe msnmsgr
Güncel
HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache
C:\Documents and Settings\sizin otorum açma adınız \Application Data\dllhost.exe dllhost
Bunları yaptıktan sonra: Kontrol etmek için Kayıt defteri düzenleyicisin den Application Data\msnmsgr.exe 'yi
Güncel
Application Data\dllhost.exe 'yi aratın eğer bu kelimeler bulunuyorsa ilgili girdileri silin bulunmuyorsa keyloger temizlenmiş demektir.
Bilgisayarınızı yeniden başlatın işlem tamamdır. Artık Sisteminizi sorunsuz kullanabilirsiniz.
Vista işletim sisteminden Temizlemek için;
Gizli dosya ve klasörler seçeneğini aktif hale getirin
Gizli dosyaları ve klasörleri görüntülemek için aşağıdaki adımları izleyin.
1. Başlat düğmesi , Denetim Masası, Görünüm ve Kişiselleştirme ve ardından Klasör Seçenekleri'ni tıklatarak Klasör Seçenekleri'ni açın.
2. Görünüm sekmesini tıklatın.
3. Gelişmiş ayarlar altından Gizli dosya ve klasörleri göster'i ve ardından Tamam'ı tıklatın.
Ctrl + Alt+ Del tuşlarına basarak Görev yöneticisini çalıştırın msnmsgr.exe dosyalarının üzerine sağtıklayıp özelliklerden kontrol edin C:\Users\sizin otorum açma adınız\AppData\Roaming içerisinde bulunan msnmsgr.exe yi sonlandırın
Güncel
Ctrl + Alt+ Del tuşlarına basarak Görev yöneticisini çalıştırın msnmsgr.exe dosyalarının üzerine sağtıklayıp özelliklerden kontrol edin C:\Users\sizin otorum açma adınız\AppData\Roaming içerisinde bulunan dllhost.exe yi sonlandırın
***********************************************************
C:\Users\sizin otorum açma adınız\AppData\Roaming klasörünü açıp msnmsgr.exe, ntlog.sys, ntcom.dll dosyalarını silin
Güncel
C:\Users\sizin otorum açma adınız\AppData\Roaming klasörünü açıp dllhost.exe, ntlog.sys, ntcom.dll dosyalarını silin
Akabinde;
Başlat-çalışr'a regedit yazıp Kayıt defteri düzenleyicisini açın ve aşağıdaki işlemleri yapın.
***********************************************************
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Bu değeri silin
Messenger "C:\Users\sizin otorum açma adınız\AppData\Roaming\msnmsgr.exe"
Güncel
Bu değeri silin
Dllhost "C:\Users\sizin otorum açma adınız\AppData\Roaming\dllhost.exe"
***********************************************************
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Burdaki shell degeri herzaman standart olarak
Shell Explorer.exe dir.
Eğer shell değeri bu şekil ise
Shell explorer.exe "C:\Users\sizin otorum açma adınız\AppData\Roaming\msnmsgr.exe"
Güncel
Shell explorer.exe "C:\Users\sizin otorum açma adınız\AppData\Roaming\dllhost.exe"
Bu şekil değiştirin
Shell explorer.exe
***********************************************************
Daha sonra var ise aşagıdaki kayıtlarıda siliniz.
HKEY_CLASSES_ROOT\Local Settings\Software\Microsoft\Windows\Shell\MuiCache
C:\Users\sizin otorum açma adınız\AppData\Roaming\msnmsgr.exe msnmsgr
Güncel
Settings\Software\Microsoft\Windows\Shell\MuiCache
C:\Users\sizin otorum açma adınız\AppData\Roaming\dllhost.exe dllhost
Bunları yaptıktan sonra; Kontrol etmek için Kayıt defteri düzenleyicisin Roaming\msnmsgr.exe 'yi
Güncel
Roaming\dllhost.exe 'yi aratın eğer bu kelimeler bulunuyorsa ilgili girdileri silin bulunmuyorsa keyloger temizlenmiş demektir.
Bilgisayarınızı yeniden başlatın işlem tamamdır. Artık Sisteminizi sorunsuz kullanabilirsiniz.
Windows 7 işletim sisteminden Temizlemek için;
Gizli dosya ve klasörler seçeneğini aktif hale getirin
Gizli dosyaları ve klasörleri görüntülemek için aşağıdaki adımları izleyin.
1. Başlat düğmesi , Denetim Masası, Görünüm ve Kişiselleştirme ve ardından Klasör Seçenekleri'ni tıklatarak Klasör Seçenekleri'ni açın.
2. Görünüm sekmesini tıklatın.
3. Gelişmiş ayarlar altından Gizli dosya ve klasörleri göster'i ve ardından Tamam'ı tıklatın.
Ctrl + Alt+ Del tuşlarına basarak Görev yöneticisini çalıştırın msnmsgr.exe dosyalarının üzerine sağtıklayıp özelliklerden kontrol edin C:\Users\sizin otorum açma adınız\AppData\Roaming içerisinde bulunan msnmsgr.exe yi sonlandırın
Güncel
Ctrl + Alt+ Del tuşlarına basarak Görev yöneticisini çalıştırın msnmsgr.exe dosyalarının üzerine sağtıklayıp özelliklerden kontrol edin C:\Users\sizin otorum açma adınız\AppData\Roaming içerisinde bulunan dllhost.exe yi sonlandırın
***********************************************************
C:\Users\sizin otorum açma adınız\AppData\Roaming klasörünü açıp msnmsgr.exe, ntlog.sys, ntcom.dll dosyalarını silin
Güncel
C:\Users\sizin otorum açma adınız\AppData\Roaming klasörünü açıp dllhost.exe, ntlog.sys, ntcom.dll dosyalarını silin
Akabinde;
Başlat-çalışr'a regedit yazıp Kayıt defteri düzenleyicisini açın ve aşağıdaki işlemleri yapın.
***********************************************************
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Bu değeri silin
Messenger "C:\Users\sizin otorum açma adınız\AppData\Roaming\msnmsgr.exe"
Güncel
Bu değeri silin
Dllhost "C:\Users\sizin otorum açma adınız\AppData\Roaming\dllhost.exe"
***********************************************************
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Burdaki shell degeri herzaman standart olarak
Shell Explorer.exe dir.
Eğer shell değeri bu şekil ise
Shell explorer.exe "C:\Users\sizin otorum açma adınız\AppData\Roaming\msnmsgr.exe"
Güncel
Shell explorer.exe "C:\Users\sizin otorum açma adınız\AppData\Roaming\dllhost.exe"
Bu şekil değiştirin
Shell explorer.exe
***********************************************************
Daha sonra var ise aşagıdaki kayıtlarıda siliniz.
HKEY_CLASSES_ROOT\Local Settings\Software\Microsoft\Windows\Shell\MuiCache
C:\Users\sizin otorum açma adınız\AppData\Roaming\msnmsgr.exe msnmsgr
Güncel
Settings\Software\Microsoft\Windows\Shell\MuiCache
C:\Users\sizin otorum açma adınız\AppData\Roaming\dllhost.exe dllhost
Bunları yaptıktan sonra; Kontrol etmek için Kayıt defteri düzenleyicisin Roaming\msnmsgr.exe 'yi
Güncel
Roaming\dllhost.exe 'yi aratın eğer bu kelimeler bulunuyorsa ilgili girdileri silin bulunmuyorsa keyloger temizlenmiş demektir.
Bilgisayarınızı yeniden başlatın işlem tamamdır. Artık Sisteminizi sorunsuz kullanabilirsiniz.
**********************************************************
Yapamayanlar Xp , VİSTA ve Windows 7 den temizlemek için hazırlamış olduğum bu temsili videoyu örnek alarak temizleyebilirler
[FLASH WIDTH=633 HEIGHT=541]http://www.bilgineferi.com/forum/uploads/invertor/msnmsgr/mwplayer.swf[/FLASH]
Standart olarak yaygın olan bu keylogger'in temizliği yukarıdakigibidir.
Önemli: msnmsgr.exe yerine farklı isimler olabilir.
Benim analizime göre ismi ne olursa olsun bu keylogger'ın registry de bulaştığı yerler bellidir.
Bu gibi durumda en temiz yöntem Başlat çalıştır regedit ' ten kontrol etmektir.
Tesbit için:
Hazırlamış olduğumuz Yeni Nesil Keyloger Tespit Etme Sistemi v1.4 programını kullanmanızı tavsiye ederim.
http://www.bilgineferi.com/forum/uploads/20091215_113444_i1.JPG
Gerekli açıklamalar içerisinde mevcuttur.
Devamlı güncel versiyonunu Burdan indirebilirsiniz.
http://www.bilgineferi.com/forum/forum_posts.asp?TID=8111&PID=13742
Manuel olarak kontrol etmek isterseniz aşağıdaki yöntemleri kullanarak sisteminizi kontrol edebilirsiniz.
1.Yöntem
Farklı isimlerde bulaştığını varsayarsak izlenmeniz gereken yol "en sağlam tebit yöntemi" ilk etapta shell değeridir.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
standart olarak shell değeri
Shell explorer.exe dir ve değerin standart olması gerekir.
Eğer farklı ise keylogger dosyasının konumu orda mevcuttur.
Örnek verecek olursak ;
Shell explorer.exe "C:\Documents and Settings\ sizin otorum açma adınız \xx klasoru\xxx.exe" diye bir değer olsun
Yukarıdaki değeri
Shell explorer.exe olarak değiştirmeniz gerekir + Belirtilen konumdaki xxx.exe dosyasını silmeniz gerekir.
2.Yöntem
- Başlat - Çalıştır'a msconfig yazıp açılan ekrandan başlangıç ta çalışan programları ve konumunu kontrol ederek ederek bulabilirsiniz.
veya registry den aşağıdaki konumu kontrol ederek
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run da bulunan değerleri kontrol etmekte fayda vardır
3.Yöntem
Process explorer programını "Gelişmiş görevyöneticisi" kullanarak çalışan işlemleri kontrol edebilirsiniz.
Teknik olarak gerekli anlatımları detaylı bir şekilde yaptık sanırım.
Çok sıkıntı olursa ki sanmam olacağını ilerleyen zamanlarda tesbit ve temizliği için basit bir program geliştirebiliriz.
Edit: Son zamanlarda Keyloger'in farklı isimlerde bulaştığını tesbit ettik. Tesbit ve temizlik için güncelleme yapılmıştır.
Edit: Keylogerin kendine ait dosyaları hangi klasörlere kopyalıyabileceği eklenmiştir.
Edit: Yeni Nesil Keyloger Tesbit Etme Sistemi v1.4 programı sitemize eklenmiştir.
Edit: Yeni nesil keyloger'in taskmgr.exe adı ilede bulaştığını tespit ettik temizliği için aşağıdaki adresi takip ediniz...
Not: Güncel temizleme yöntemlerini aşağıdaki linkten takip edebilirsiniz
http://www.bilgineferi.com/forum/forum_posts.asp?TID=8137
Not: Aşağıdaki konuyuda inceleyiniz
Yeni Nesil Keyloger Tespit Etme Sistemi Hakkında hazırlamış olduğumuz diğer konulara aşağıdaki linkten ulaşabilirsiniz
http://www.bilgineferi.com/forum/forum_posts.asp?TID=8373
Saygılarımla
invertor
invertor2010-06-15 03:11:10
dllhost.exe adı ile gizlenen yeni nesil keyloger'a dikkat
msnmsgr.exe veya dllhost.exe adı ile gizlenen yeni nesil keyloger Hakkında:
msnmsgr.exe Yeni nesil Türk Yapımı Güzel bir Keyloger client'i dir. Ticari amaçlı yapılmıştır ve kötü amaçlarda kullanılmaktadır. Buradaki msnmsgr.exe ismini yapımcı istediği zaman değişebilmektedir. örnek: aa.exe gibi, msnmsgr.exe adı keyloger clientini oluşturan program ile standart olarak gelmektedir.
Bu keyloger Şifrelerinizin ve kişisel bilgilerinizin çalınması amacı ile kullanılır.
Daha önce svchost.exe, SVCHOST.EXE adı altında bulaşan versiyonunun temizleme yöntemini aşağıdaki adreste açıklamıştık.
Burdan
http://www.bilgineferi.com/forum/forum_posts.asp?TID=7620
Şimdi ise standart olarak msnmsgr.exe adı altında gizlenip çalışan bu keyloger'ın temizleme yöntemini anlatacağım.
Şuan standart olarak dllhost.exe adı altında bulaşmaktadır.
Bulaştığı yerler ve temizleme yöntemi burda anlatıldığı gibidir.
Eğer pc nize bulaşmış ise ;
1: Bulaştığı zaman hemen aktif olur görev yöneticisinde gözükür.
Pc nizde girmiş olduğunuz internet adresleri, Girmiş olduğunuz bütün kullanıcı adı ve şifreler, yazmış olduğunuz ve kopyala yapıştır yaptığınız bütün yazılar, pc nizin ekran görüntüsü,…vs periyodik bir şekilde belirtilen zaman aralıklarında yapımcının belirtmiş olduğu adrese yollamaktadır.
2: Bulaştığı zaman hemen aktif olmaz bundan dolayı görev yöneticisinde gözükmez ve dikkatinizi çekmez.
Fakat Pc nizi aç kapa yaptıktan sonra veya herhangi bir programı açmanız ile aktif hale gelip Görev yöneticisinde gözükür bu andan itibaren Pc nizde girmiş olduğunuz internet adresleri, Girmiş olduğunuz bütün kullanıcı adı ve şifreler, yazmış olduğunuz ve kopyala yapıştır yaptığınız bütün yazılar, pc nizin ekran görüntüsü,…vs periyodik bir şekilde belirtilen zaman aralıklarında yapımcının belirtmiş olduğu adrese yollamaktadır.
Şimdi diyeceksiniz msnmsgr.exe windows messenger programının dosyasıdır.
Evet msnmsgr.exe windows messenger programının dosyasıdır fakat keyloger bulaşmışsa kendini msnmsgr.exe adı altında çalıştırır.
Sistemde çalışan msnmsgr.exe nin veya msnmsgr.exe lerin keyloger olduğunu nasıl anlayacağız.
Hemen açıklık getirelim "standart olarak msnmsgr.exe den bahsedeceğiz";
Ctrl + Alt+ Del tuşlarına basarak Görev yöneticisini çalıştırın
http://www.bilgineferi.com/forum/uploads/20090826_101530_1edited.JPG
Sisteminizde msn yüklü ise msnmsgr.exe bu şekilde tek olarak gözüküyorsa problem yok diyebiliriz.
http://www.bilgineferi.com/forum/uploads/20090826_101604_2edited.JPG
Eger yukarıdaki gibi bir görüntü var ise veya daha fazla msnmsgr.exe mevcut ise uyarımızı dikkate almanızı tavsiye ederiz
Bu yazıyı okurken belki içinizden diyorsunuzdur burda bulunan msnmsgr.exe lerin hangisi keyloger.
Dosya konumundan bunu tesbit edebilirsiniz.
Tespiti zor olduğundan bu gibi durumlarda Process explorer programını "Gelişmiş görevyöneticisi" kullanmanızı tavsiye ederim.
Burdan indirebilirsiniz.
http://www.bilgineferi.com/forum/forum_posts.asp?TID=7860
Process explorer programını çalıştırarak sistemde çalışan uygulamaların konumunu rahatlıkla tesbit edebilirsiniz.
Process explorer'i çalıştırdıktan sonra çalışan uygulmaların üzerine mause ile gelerek dosyanın konumumu tespit edebilir isterseniz sonlandırabilirsiniz.
http://www.bilgineferi.com/forum/uploads/20090826_101644_3edited.JPG
http://www.bilgineferi.com/forum/uploads/20090826_101805_4edited.JPG
Dosyanın simgesi farklı olabilir basit bir örnek verecek olursak gönderen kişi dosyanın simgesini "mp3" müzik dosyası gibi ayarlarlıyabilir içine de bir müzik dosyası gömüp bulaştırmak istediği kişiye gönderir ve dosyayı alan kişi müzik dinlemek için o dosyayı çalıştırdığında keyloger bulaşmış olur.
Not: Bu tür durumlarda şüphe duyuyorsanız dosya uzantısını kontrol ediniz. Yukarıda bahsttiğim örnekteki mp3 dosyasının uzantısı .mp3 değil .exe dir. Ama .exe uzantılı bir dosyanın içerisine gömülmüştür.
Anti virüs yazılımlarına yakalanmamaktadır son zamanlarda kaspersky internetsecurity yazılımına “Backdoor.Win32.Delf.osq” olarak yakalanmaktadır. Fakat yapımcı tarafından keyloger’in güncellemesi yapıldığı için anti virüs yazılımlarına yakalanmama ihtimali yüksektir. Şuan itibari ile anti virüs yazılımlarına yakalanmamaktadır.
msnmsgr.exe veya dllhost.exe adı altında bulaşan bu keyloger eğer pc nize bulaşmış ise aşağıda bahsettiğim yöntemi kullanarak temizleye bilirsiniz. Keyloger bizzat tarafımdan test edilmiştir.
Dikkat :
Son zamanlarda farklı isimlerde bulaştığını tesbit ettik
Bunun üzerine Yeni Nesil Keyloger Tespit Etme Sistemi v1.4 programını hazırladık kullanmanızı tavsiye ederim.
http://www.bilgineferi.com/forum/uploads/20091215_113444_i1.JPG
Gerekli açıklamalar içerisinde mevcuttur.
Burdan indirebilirsiniz.
http://www.bilgineferi.com/forum/forum_posts.asp?TID=8111&PID=13742
Manuel olarak İsim ve Konum Tespiti Yamak için:
1. Yöntem
Başlat - Çalıştır'a msconfig yazıp açılan ekrandan başlangıca gelin
"Buradan bilgisayar açıldıgında başlangıçta çalıştırılan programları kontrol edebilir şüphelendiğiniz programları devre dışı bırakabilirsiniz."
Başlangıçta çalışan programları Kontrol edin;
Xp için C:\Documents and Settings\sizin otorum açma adınız\Application Data klasörü içerisisinde,
Vista ve windows 7 için; C:\Users\sizin otorum açma adınız\AppData\Roaming
içerisinde çalışan işlem varsa orda bulunan isimden keylogerin ismini tesbit edebilirsiniz.
Örnek:
C:\Documents and Settings\sizin otorum açma adınız\Application Data\xxx.exe
Keylogerin ismi xxx.exe dir
Bulunduğu konum: C:\Documents and Settings\sizin otorum açma adınız\Application Data\ klasörünün içidir.
2.Yöntem
Processexplorer ile çalışan tüm işlemleri kontrol etmenizi tavsiye ederiz.
Processexplorer dan çalışan işlemleri kontrol ederken;
Xp için; C:\Documents and Settings\sizin otorum açma adınız\Application Data
Vista ve windows 7 için; C:\Users\sizin otorum açma adınız\AppData\Roaming klasörü içerisinde çalışan programa rastlarsanız o keylogerdir.
3. Yöntem
Bahsettiğimiz bu keyloger'in başlangıçta çalışan programlar arasında gizlenme özelliği olduğundan böyle bir durum söz konusu ise Keylogerin adını ve konumunu tesbit etmek için;
Registry den
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon Da bulunan shell değerini kontrol edin.
Örnek:
Burdaki shell degeri herzaman standart olarak
Shell Explorer.exe dir.
Eğer shell değeri bu şekil ise
Shell explorer.exe "C:\Documents and Settings\ sizin otorum açma adınız \Application Data\xxx.exe"
Keylogerin ismi: xxx.exe dir
Bulunduğu konum: C:\Documents and Settings\sizin otorum açma adınız\Application Data\ klasörünün içidir.
Bahsettiğimiz bu keyloger'in sisteminize farklı isimde bulaştığını tesbit ettiyseniz;
Temizleme işlemi burda anlattığımız gibi geçerlidir yani aşağıdaki anlatımlarda bulunan msnmsgr.exe yerine tesbit ettiğiniz dosya ismini baza alarak temizleme işlemini yapacaksınız .
****************************
Bulaştığı zaman
Vindows işletim sistemlerine bulaşır...
Bulaşan bu keyloger kendine ait dosyaları aşağıdaki klasörlerden birine kopyalıyabilir;
C:\Documents and Settings\sizin otorum açma adınız\Application Data
C:\Users\sizin otorum açma adınız\AppData\Roaming
C:\WINDOWS\system
C:\WINDOWS
C:\Documents and Settings\Kullanıcı adınız\temp
C:\Program Files
c:\winnt\profiles\username\start menu\programs\startup
Standart olarak :
Xp' de C:\Documents and Settings\sizin otorum açma adınız\Application Data içerisine msnmsgr.exe, ntlog.sys, ntcom.dll olarak 3 dosya şeklinde bulaşır.
Güncel
Xp' de C:\Documents and Settings\sizin otorum açma adınız\Application Data içerisine dllhost.exe, ntlog.sys, ntcom.dll olarak 3 dosya şeklinde bulaşır.
********************************************
Vista' da C:\Users\sizin otorum açma adınız\AppData\Roaming içerisine msnmsgr.exe, ntlog.sys, ntcom.dll olarak 3 dosya şeklinde bulaşır.
Güncel
Vista' da C:\Users\sizin otorum açma adınız\AppData\Roaming içerisine dllhost.exe, ntlog.sys, ntcom.dll olarak 3 dosya şeklinde bulaşır.
********************************************
Windows 7' de C:\Users\sizin otorum açma adınız\AppData\Roaming içerisine msnmsgr.exe, ntlog.sys, ntcom.dll olarak 3 dosya şeklinde bulaşır.
Güncel
Windows 7' de C:\Users\sizin otorum açma adınız\AppData\Roaming içerisine dllhost.exe, ntlog.sys, ntcom.dll olarak 3 dosya şeklinde bulaşır.
Not: Gizli dosya ve klasörler seçeneğini aktif hale getirmeden belirtilen dizini göremezsiniz.
********************************************
---------------------------------------------------------------------------------------------
Teknik bir detay: (Keyloger'i Bulaştıran kişinin kullanıcı adını bulma)
İlk etapta görev yöneticisi işlemlerden keylogera ait olan dosyayı sonlandırın
Keyloger sistemizinize bulaştığında keyloger'i oluşturanın kullanıcı adı Registry' de RegisteredOrganization değerine kaydediliyordu eğer iptal edilmediyse
Başlat-çalışr'a regedit yazıp Kayıt defteri düzenleyicisini açın Düzen-Bul menüsünden RegisteredOrganization diye aratın.
Bulduğunuz değerin üzerine çift tıklayarak keylogerin hangi kullanıcıya ait olduğunu görebilirsiniz.
Keyloger'i Bulaştıranın kullanıcı adı registry'de kayıtlı değil ise;
İlk etapta görev yöneticisi işlemlerden keylogera ait olan dosyayı sonlandırın
Ardından Kullanıcı adını Bulmanız için izlemeniz gereken yol aşağıdaki gibidir.
C:\Documents and Settings\sizin otorum açma adınız\Application Data veya
C:\Users\sizin otorum açma adınız\AppData\Roaming klasöründe bulunan keyloger a ait xxx.exe dosyasını aşağıda belirttiğim programlardan birini kullanarak açın. Özetle videoda anlatılan işlemleri uygulayarak keylogeri oluşturan kullanıcının adına ulaşabilirsiniz.
Not: Kullanıcı adları farklıdır videoda gözüken sadece 1 tanesidir...
Ben kaynak kod görüntülemek için Resource Hacker 3.4.0 programını kullandım
Bu işlemi Hex editör programı kullanarakta yapabilirsiniz.
Resource Hacker 3.4.0 Download
http://delphi.icm.edu.pl/ftp/tools/ResHack.zip
Keyloger'i oluşturan kullanıcının adını bulma videolu anlatım
[FLASH WIDTH=633 HEIGHT=541]http://www.bilgineferi.com/forum/uploads/invertor/keyloger-kullanıci_adi_tesbit/mwplayer.swf[/FLASH]
Not: Keylogeri temizleme "Birdaha Çalışmamak üzere devre dışı bırakma" yöntemi aşağıda anlatıldığı gibidir vermiş olduğum ek bilgi teknik bir detaydır.
----------------------------------------------------------------------------------------------
İşletim sisteminden Temizlemek için
Aşağıda örnek temizleme yöntemleri anlatılmıştır sisteminize bu isimler harici farklı isimlerde bahsettiğimiz yeni nesil keyloger dan bulaşmış ise temizleme yöntemi yine aynıdır sadece keyloger isimleri farklıdır.
Xp işletim sisteminden Temizlemek için;
Gizli dosya ve klasörler seçeneğini aktif hale getirin
Processexplorer' açın msnmsgr.exe dosyalarını kontrol edin C:\Documents and Settings\sizin otorum açma adınız\Application Data içerisinde bulunan msnmsgr.exe yi sonlandırın
Güncel
Processexplorer'ı ve ya görev yöneticisini açıp işlemlerden dllhost.exe yi sonlandırın
***********************************************************
C:\Documents and Settings\sizin otorum açma adınız\Application Data klasörünü açıp msnmsgr.exe, ntlog.sys, ntcom.dll dosyalarını silin
Güncel
C:\Documents and Settings\sizin otorum açma adınız\Application Data klasörünü açıp dllhost.exe, ntlog.sys, ntcom.dll dosyalarını silin
Akabinde;
Başlat-çalışr'a regedit yazıp Kayıt defteri düzenleyicisini açın ve aşağıdaki işlemleri yapın.
***********************************************************
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Bu değeri silin
Messenger "C:\Documents and Settings\ sizin otorum açma adınız \Application Data\msnmsgr.exe"
Güncel
Dllhost "C:\Documents and Settings\ sizin otorum açma adınız \Application Data\dllhost.exe"
***********************************************************
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Burdaki shell degeri herzaman standart olarak
Shell Explorer.exe dir.
Eğer shell değeri bu şekil
Shell explorer.exe "C:\Documents and Settings\ sizin otorum açma adınız \Application Data\msnmsgr.exe"
veya bu şekil ise
Güncel
Shell explorer.exe "C:\Documents and Settings\ sizin otorum açma adınız \Application Data\dllhost.exe"
Bu şekil değiştirin
Shell Explorer.exe
***********************************************************
Daha sonra var ise aşagıdaki kayıtlarıda siliniz.
HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache
C:\Documents and Settings\sizin otorum açma adınız \Application Data\msnmsgr.exe msnmsgr
Güncel
HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache
C:\Documents and Settings\sizin otorum açma adınız \Application Data\dllhost.exe dllhost
Bunları yaptıktan sonra: Kontrol etmek için Kayıt defteri düzenleyicisin den Application Data\msnmsgr.exe 'yi
Güncel
Application Data\dllhost.exe 'yi aratın eğer bu kelimeler bulunuyorsa ilgili girdileri silin bulunmuyorsa keyloger temizlenmiş demektir.
Bilgisayarınızı yeniden başlatın işlem tamamdır. Artık Sisteminizi sorunsuz kullanabilirsiniz.
Vista işletim sisteminden Temizlemek için;
Gizli dosya ve klasörler seçeneğini aktif hale getirin
Gizli dosyaları ve klasörleri görüntülemek için aşağıdaki adımları izleyin.
1. Başlat düğmesi , Denetim Masası, Görünüm ve Kişiselleştirme ve ardından Klasör Seçenekleri'ni tıklatarak Klasör Seçenekleri'ni açın.
2. Görünüm sekmesini tıklatın.
3. Gelişmiş ayarlar altından Gizli dosya ve klasörleri göster'i ve ardından Tamam'ı tıklatın.
Ctrl + Alt+ Del tuşlarına basarak Görev yöneticisini çalıştırın msnmsgr.exe dosyalarının üzerine sağtıklayıp özelliklerden kontrol edin C:\Users\sizin otorum açma adınız\AppData\Roaming içerisinde bulunan msnmsgr.exe yi sonlandırın
Güncel
Ctrl + Alt+ Del tuşlarına basarak Görev yöneticisini çalıştırın msnmsgr.exe dosyalarının üzerine sağtıklayıp özelliklerden kontrol edin C:\Users\sizin otorum açma adınız\AppData\Roaming içerisinde bulunan dllhost.exe yi sonlandırın
***********************************************************
C:\Users\sizin otorum açma adınız\AppData\Roaming klasörünü açıp msnmsgr.exe, ntlog.sys, ntcom.dll dosyalarını silin
Güncel
C:\Users\sizin otorum açma adınız\AppData\Roaming klasörünü açıp dllhost.exe, ntlog.sys, ntcom.dll dosyalarını silin
Akabinde;
Başlat-çalışr'a regedit yazıp Kayıt defteri düzenleyicisini açın ve aşağıdaki işlemleri yapın.
***********************************************************
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Bu değeri silin
Messenger "C:\Users\sizin otorum açma adınız\AppData\Roaming\msnmsgr.exe"
Güncel
Bu değeri silin
Dllhost "C:\Users\sizin otorum açma adınız\AppData\Roaming\dllhost.exe"
***********************************************************
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Burdaki shell degeri herzaman standart olarak
Shell Explorer.exe dir.
Eğer shell değeri bu şekil ise
Shell explorer.exe "C:\Users\sizin otorum açma adınız\AppData\Roaming\msnmsgr.exe"
Güncel
Shell explorer.exe "C:\Users\sizin otorum açma adınız\AppData\Roaming\dllhost.exe"
Bu şekil değiştirin
Shell explorer.exe
***********************************************************
Daha sonra var ise aşagıdaki kayıtlarıda siliniz.
HKEY_CLASSES_ROOT\Local Settings\Software\Microsoft\Windows\Shell\MuiCache
C:\Users\sizin otorum açma adınız\AppData\Roaming\msnmsgr.exe msnmsgr
Güncel
Settings\Software\Microsoft\Windows\Shell\MuiCache
C:\Users\sizin otorum açma adınız\AppData\Roaming\dllhost.exe dllhost
Bunları yaptıktan sonra; Kontrol etmek için Kayıt defteri düzenleyicisin Roaming\msnmsgr.exe 'yi
Güncel
Roaming\dllhost.exe 'yi aratın eğer bu kelimeler bulunuyorsa ilgili girdileri silin bulunmuyorsa keyloger temizlenmiş demektir.
Bilgisayarınızı yeniden başlatın işlem tamamdır. Artık Sisteminizi sorunsuz kullanabilirsiniz.
Windows 7 işletim sisteminden Temizlemek için;
Gizli dosya ve klasörler seçeneğini aktif hale getirin
Gizli dosyaları ve klasörleri görüntülemek için aşağıdaki adımları izleyin.
1. Başlat düğmesi , Denetim Masası, Görünüm ve Kişiselleştirme ve ardından Klasör Seçenekleri'ni tıklatarak Klasör Seçenekleri'ni açın.
2. Görünüm sekmesini tıklatın.
3. Gelişmiş ayarlar altından Gizli dosya ve klasörleri göster'i ve ardından Tamam'ı tıklatın.
Ctrl + Alt+ Del tuşlarına basarak Görev yöneticisini çalıştırın msnmsgr.exe dosyalarının üzerine sağtıklayıp özelliklerden kontrol edin C:\Users\sizin otorum açma adınız\AppData\Roaming içerisinde bulunan msnmsgr.exe yi sonlandırın
Güncel
Ctrl + Alt+ Del tuşlarına basarak Görev yöneticisini çalıştırın msnmsgr.exe dosyalarının üzerine sağtıklayıp özelliklerden kontrol edin C:\Users\sizin otorum açma adınız\AppData\Roaming içerisinde bulunan dllhost.exe yi sonlandırın
***********************************************************
C:\Users\sizin otorum açma adınız\AppData\Roaming klasörünü açıp msnmsgr.exe, ntlog.sys, ntcom.dll dosyalarını silin
Güncel
C:\Users\sizin otorum açma adınız\AppData\Roaming klasörünü açıp dllhost.exe, ntlog.sys, ntcom.dll dosyalarını silin
Akabinde;
Başlat-çalışr'a regedit yazıp Kayıt defteri düzenleyicisini açın ve aşağıdaki işlemleri yapın.
***********************************************************
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Bu değeri silin
Messenger "C:\Users\sizin otorum açma adınız\AppData\Roaming\msnmsgr.exe"
Güncel
Bu değeri silin
Dllhost "C:\Users\sizin otorum açma adınız\AppData\Roaming\dllhost.exe"
***********************************************************
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Burdaki shell degeri herzaman standart olarak
Shell Explorer.exe dir.
Eğer shell değeri bu şekil ise
Shell explorer.exe "C:\Users\sizin otorum açma adınız\AppData\Roaming\msnmsgr.exe"
Güncel
Shell explorer.exe "C:\Users\sizin otorum açma adınız\AppData\Roaming\dllhost.exe"
Bu şekil değiştirin
Shell explorer.exe
***********************************************************
Daha sonra var ise aşagıdaki kayıtlarıda siliniz.
HKEY_CLASSES_ROOT\Local Settings\Software\Microsoft\Windows\Shell\MuiCache
C:\Users\sizin otorum açma adınız\AppData\Roaming\msnmsgr.exe msnmsgr
Güncel
Settings\Software\Microsoft\Windows\Shell\MuiCache
C:\Users\sizin otorum açma adınız\AppData\Roaming\dllhost.exe dllhost
Bunları yaptıktan sonra; Kontrol etmek için Kayıt defteri düzenleyicisin Roaming\msnmsgr.exe 'yi
Güncel
Roaming\dllhost.exe 'yi aratın eğer bu kelimeler bulunuyorsa ilgili girdileri silin bulunmuyorsa keyloger temizlenmiş demektir.
Bilgisayarınızı yeniden başlatın işlem tamamdır. Artık Sisteminizi sorunsuz kullanabilirsiniz.
**********************************************************
Yapamayanlar Xp , VİSTA ve Windows 7 den temizlemek için hazırlamış olduğum bu temsili videoyu örnek alarak temizleyebilirler
[FLASH WIDTH=633 HEIGHT=541]http://www.bilgineferi.com/forum/uploads/invertor/msnmsgr/mwplayer.swf[/FLASH]
Standart olarak yaygın olan bu keylogger'in temizliği yukarıdakigibidir.
Önemli: msnmsgr.exe yerine farklı isimler olabilir.
Benim analizime göre ismi ne olursa olsun bu keylogger'ın registry de bulaştığı yerler bellidir.
Bu gibi durumda en temiz yöntem Başlat çalıştır regedit ' ten kontrol etmektir.
Tesbit için:
Hazırlamış olduğumuz Yeni Nesil Keyloger Tespit Etme Sistemi v1.4 programını kullanmanızı tavsiye ederim.
http://www.bilgineferi.com/forum/uploads/20091215_113444_i1.JPG
Gerekli açıklamalar içerisinde mevcuttur.
Devamlı güncel versiyonunu Burdan indirebilirsiniz.
http://www.bilgineferi.com/forum/forum_posts.asp?TID=8111&PID=13742
Manuel olarak kontrol etmek isterseniz aşağıdaki yöntemleri kullanarak sisteminizi kontrol edebilirsiniz.
1.Yöntem
Farklı isimlerde bulaştığını varsayarsak izlenmeniz gereken yol "en sağlam tebit yöntemi" ilk etapta shell değeridir.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
standart olarak shell değeri
Shell explorer.exe dir ve değerin standart olması gerekir.
Eğer farklı ise keylogger dosyasının konumu orda mevcuttur.
Örnek verecek olursak ;
Shell explorer.exe "C:\Documents and Settings\ sizin otorum açma adınız \xx klasoru\xxx.exe" diye bir değer olsun
Yukarıdaki değeri
Shell explorer.exe olarak değiştirmeniz gerekir + Belirtilen konumdaki xxx.exe dosyasını silmeniz gerekir.
2.Yöntem
- Başlat - Çalıştır'a msconfig yazıp açılan ekrandan başlangıç ta çalışan programları ve konumunu kontrol ederek ederek bulabilirsiniz.
veya registry den aşağıdaki konumu kontrol ederek
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run da bulunan değerleri kontrol etmekte fayda vardır
3.Yöntem
Process explorer programını "Gelişmiş görevyöneticisi" kullanarak çalışan işlemleri kontrol edebilirsiniz.
Teknik olarak gerekli anlatımları detaylı bir şekilde yaptık sanırım.
Çok sıkıntı olursa ki sanmam olacağını ilerleyen zamanlarda tesbit ve temizliği için basit bir program geliştirebiliriz.
Edit: Son zamanlarda Keyloger'in farklı isimlerde bulaştığını tesbit ettik. Tesbit ve temizlik için güncelleme yapılmıştır.
Edit: Keylogerin kendine ait dosyaları hangi klasörlere kopyalıyabileceği eklenmiştir.
Edit: Yeni Nesil Keyloger Tesbit Etme Sistemi v1.4 programı sitemize eklenmiştir.
Edit: Yeni nesil keyloger'in taskmgr.exe adı ilede bulaştığını tespit ettik temizliği için aşağıdaki adresi takip ediniz...
Not: Güncel temizleme yöntemlerini aşağıdaki linkten takip edebilirsiniz
http://www.bilgineferi.com/forum/forum_posts.asp?TID=8137
Not: Aşağıdaki konuyuda inceleyiniz
Yeni Nesil Keyloger Tespit Etme Sistemi Hakkında hazırlamış olduğumuz diğer konulara aşağıdaki linkten ulaşabilirsiniz
http://www.bilgineferi.com/forum/forum_posts.asp?TID=8373
Saygılarımla
invertor
invertor2010-06-15 03:11:10