Bu keyloger benim bilgisayarımda Bulunmaktadır
bende yeni Gördüm Farklı bir keylogger Konuyu Üşenmeden okumanızı
diliyorum , Charım soyuldu Fakat Bu keyloger üzerinde araştırma
yapıyorum soyulan char ise böyle durumlar göz arda etmek için
kullanılan bir 39 level 3-5 gb bulunan chardı ..
Konuyu Silmeyin Lütfen . . . !
Msnmsgr.exe
Yeni nesil Türk Yapımı Güzel bir Keyloger client'i dir. Ticari amaçlı
yapılmıştır ve kötü amaçlarda kullanılmaktadır. Buradaki msnmsgr.exe
ismini yapımcı istediği zaman değişebilmektedir. örnek: aa.exe gibi,
msnmsgr.exe adı keyloger clientini oluşturan program ile standart
olarak gelmektedir.
Bu keyloger Şifrelerinizin ve kişisel bilgilerinizin çalınması amacı ile kullanılır.
Daha önce svchost.exe, SVCHOST.EXE adı altında bulaşan versiyonunun temizleme yöntemini aşağıdaki adreste açıklamıştık.
Burdan
http://www.knightonlineforum.com/cha...t-t287724.htmlŞimdi ise msnmsgr.exe adı altında gizlenip çalışan bu keyloger'ın temizleme yöntemini anlatacağım.
Eğer pc nize bulaşmış ise ;
1: Bulaştığı zaman hemen aktif olur görev yöneticisinde gözükür.
Pc
nizde girmiş olduğunuz internet adresleri, Girmiş olduğunuz bütün
kullanıcı adı ve şifreler, yazmış olduğunuz ve kopyala yapıştır
yaptığınız bütün yazılar, pc nizin ekran görüntüsü,…vs periyodik bir
şekilde belirtilen zaman aralıklarında yapımcının belirtmiş olduğu
adrese yollamaktadır.
2: Bulaştığı zaman hemen aktif olmaz bundan dolayı görev yöneticisinde gözükmez ve dikkatinizi çekmez.
Fakat
Pc nizi aç kapa yaptıktan sonra veya herhangi bir programı açmanız ile
aktif hale gelip Görev yöneticisinde gözükür bu andan itibaren Pc nizde
girmiş olduğunuz internet adresleri, Girmiş olduğunuz bütün kullanıcı
adı ve şifreler, yazmış olduğunuz ve kopyala yapıştır yaptığınız bütün
yazılar, pc nizin ekran görüntüsü,…vs periyodik bir şekilde belirtilen
zaman aralıklarında yapımcının belirtmiş olduğu adrese yollamaktadır.
Şimdi diyeceksiniz msnmsgr.exe windows messenger programının dosyasıdır.
Evet msnmsgr.exe windows messenger programının dosyasıdır fakat keyloger bulaşmışsa kendini msnmsgr.exe adı altında çalıştırır.
Sistemde çalışan msnmsgr.exe nin veya msnmsgr.exe lerin keyloger olduğunu nasıl anlayacağız.
Hemen açıklık getirelim;
Ctrl + Alt+ Del tuşlarına basarak Görev yöneticisini çalıştırın.
Sisteminizde msn yüklü ise msnmsgr.exe bu şekilde tek olarak gözüküyorsa problem yok diyebiliriz.
Eger yukarıdaki gibi bir görüntü var ise veya daha fazla msnmsgr.exe mevcut ise uyarımızı dikkate almanızı tavsiye ederiz
Bu yazıyı okurken belki içinizden diyorsunuzdur burda bulunan msnmsgr.exe lerin hangisi keyloger.
Dosya konumundan bunu tesbit edebilirsiniz.
Tespiti zor olduğundan bu gibi durumlarda Process explorer programını "Gelişmiş görevyöneticisi" kullanmanızı tavsiye ederim.
Burdan indirebilirsiniz.
http://live.sysinternals.com/procexp.exeProcess explorer programını çalıştırarak sistemde çalışan uygulamaların konumunu rahatlıkla tesbit edebilirsiniz.
Process
explorer'i çalıştırdıktan sonra çalışan uygulmaların üzerine mause ile
gelerek dosyanın konumumu tespit edebilir isterseniz
sonlandırabilirsiniz.
Dosyanın simgesi farklı olabilir
basit bir örnek verecek olursak gönderen kişi dosyanın simgesini "mp3"
müzik dosyası gibi ayarlarlıyabilir içine de bir müzik dosyası gömüp
bulaştırmak istediği kişiye gönderir ve dosyayı alan kişi müzik
dinlemek için o dosyayı çalıştırdığında keyloger bulaşmış olur.
Not:
Bu tür durumlarda şüphe duyuyorsanız dosya uzantısını kontrol ediniz.
Yukarıda bahsttiğim örnekteki mp3 dosyasının uzantısı .mp3 değil .exe
dir. Ama .exe uzantılı bir dosyanın içerisine gömülmüştür.
Anti
virüs yazılımlarına yakalanmamaktadır son zamanlarda kaspersky
internetsecurity yazılımına “Backdoor.Win32.Delf.osq” olarak
yakalanmaktadır. Fakat yapımcı tarafından keyloger’in güncellemesi
yapıldığı için anti virüs yazılımlarına yakalanmama ihtimali yüksektir.
Şuan itibari ile anti virüs yazılımlarına yakalanmamaktadır.
msnmsgr.exe
adı altında bulaşan bu keyloger eğer pc nize bulaşmış ise aşağıda
bahsettiğim yöntemi kullanarak temizleye bilirsiniz. Keyloger bizzat
tarafımdan test edilmiştir.
Bulaştığı zaman
Vindows işletim sistemlerine bulaşır...
Standart
olarak : Xp' de C:\Documents and Settings\sizin otorum açma
adınız\Application Data içerisine msnmsgr.exe, ntlog.sys, ntcom.dll
olarak 3 dosya şeklinde bulaşır.
Vista' da
C:\Users\sizin otorum açma adınız\AppData\Roaming içerisine
msnmsgr.exe, ntlog.sys, ntcom.dll olarak 3 dosya şeklinde bulaşır.
Windows
7' de C:\Users\sizin otorum açma adınız\AppData\Roaming içerisine
msnmsgr.exe, ntlog.sys, ntcom.dll olarak 3 dosya şeklinde bulaşır.
Not: Gizli dosya ve klasörler seçeneğini aktif hale getirmeden belirtilen dizini göremezsiniz.
Xp işletim sisteminden Temizlemek için;
Gizli dosya ve klasörler seçeneğini aktif hale getirin
Processexplorer'
açın msnmsgr.exe dosyalarını kontrol edin C:\Documents and
Settings\sizin otorum açma adınız\Application Data içerisinde bulunan
msnmsgr.exe yi sonlandırın
C:\Documents and Settings\sizin
otorum açma adınız\Application Data klasörünü açıp msnmsgr.exe,
ntlog.sys, ntcom.dll dosyalarını silin
Akabinde;
Başlat-çalışr'a regedit yazıp Kayıt defteri düzenleyicisini açın ve aşağıdaki işlemleri yapın.
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run
Bu değeri silin
Messenger "C:\Documents and Settings\ sizin otorum açma adınız \Application Data\msnmsgr.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Bu değeri
Shell explorer.exe "C:\Documents and Settings\ sizin otorum açma adınız \Application Data\msnmsgr.exe"
Bu şekil değiştirin
Shell Explorer.exe
************************************************** *********
Daha sonra var ise aşagıdaki kayıtlarıda siliniz.
HKEY_CURRENT_USER\Software\Microsoft\Windows\Shell NoRoam\MUICache
C:\Documents and Settings\sizin otorum açma adınız \Application Data\msnmsgr.exe msnmsgr
Bunları
yaptıktan sonra: Kontrol etmek için Kayıt defteri düzenleyicisin den
Application Data\msnmsgr.exe 'yi aratın eğer bu kelimeler bulunuyorsa
ilgili girdileri silin bulunmuyorsa keyloger temizlenmiş demektir.
Bilgisayarınızı yeniden başlatın işlem tamamdır. Artık Sisteminizi sorunsuz kullanabilirsiniz.
Vista işletim sisteminden Temizlemek için;
Gizli dosya ve klasörler seçeneğini aktif hale getirin
Gizli dosyaları ve klasörleri görüntülemek için aşağıdaki adımları izleyin.
1.
Başlat düğmesi , Denetim Masası, Görünüm ve Kişiselleştirme ve ardından
Klasör Seçenekleri'ni tıklatarak Klasör Seçenekleri'ni açın.
2. Görünüm sekmesini tıklatın.
3. Gelişmiş ayarlar altından Gizli dosya ve klasörleri göster'i ve ardından Tamam'ı tıklatın.
Ctrl
+ Alt+ Del tuşlarına basarak Görev yöneticisini çalıştırın msnmsgr.exe
dosyalarının üzerine sağtıklayıp özelliklerden kontrol edin
C:\Users\sizin otorum açma adınız\AppData\Roaming içerisinde bulunan
msnmsgr.exe yi sonlandırın
C:\Users\sizin otorum açma adınız\AppData\Roaming klasörünü açıp msnmsgr.exe, ntlog.sys, ntcom.dll dosyalarını silin
Akabinde;
Başlat-çalışr'a regedit yazıp Kayıt defteri düzenleyicisini açın ve aşağıdaki işlemleri yapın.
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run
Bu değeri silin
Messenger "C:\Users\sizin otorum açma adınız\AppData\Roaming\msnmsgr.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Bu değeri
Shell explorer.exe "C:\Users\sizin otorum açma adınız\AppData\Roaming\msnmsgr.exe"
Bu şekil değiştirin
Shell explorer.exe
Daha sonra var ise aşagıdaki kayıtlarıda siliniz.
HKEY_CLASSES_ROOT\Local Settings\Software\Microsoft\Windows\Shell\MuiCache
C:\Users\sizin otorum açma adınız\AppData\Roaming\msnmsgr.exe msnmsgr
Bunları
yaptıktan sonra; Kontrol etmek için Kayıt defteri düzenleyicisin
Roaming\msnmsgr.exe 'yi aratın eğer bu kelimeler bulunuyorsa ilgili
girdileri silin bulunmuyorsa keyloger temizlenmiş demektir.
Bilgisayarınızı yeniden başlatın işlem tamamdır. Artık Sisteminizi sorunsuz kullanabilirsiniz.
Profiliniz 
Sosyal
Özel Mesaj
Salı Eyl. 15, 2009 8:35 am tarafından 
![[PaTRoN™]](https://2img.net/h/s5.directupload.net/images/090828/wa2v4nzl.gif)
