dllhost.exe adı ile gizlenen yeni nesil keylog...

invertor
30-08-2009, 18:08   |  #1  
OP Üye
Teşekkür Sayısı: 2
52 mesaj
Kayıt Tarihi:Kayıt: Ağu 2009

msnmsgr.exe , dllhost.exe adı ile gizlenen yeni nesil keyloger'a dikkat
 
msnmsgr.exe adı ile gizlenen yeni nesil keyloger Hakkında:
msnmsgr.exe Yeni nesil Türk Yapımı Güzel bir Keyloger client’i dir. Ticari amaçlı yapılmıştır ve kötü amaçlarda kullanılmaktadır. Buradaki msnmsgr.exe ismini yapımcı istediği zaman değişebilmektedir. örnek: aa.exe gibi, msnmsgr.exe adı keyloger clientini oluşturan program ile standart olarak gelmektedir.
Bu keyloger Şifrelerinizin ve kişisel bilgilerinizin çalınması amacı ile kullanılır.
 
Daha önce svchost.exe, SVCHOST.EXE adı altında bulaşan versiyonunun temizleme yöntemini aşağıdaki adreste açıklamıştık.
Burdan
http://www.bilgineferi.com/forum/forum_posts.asp?TID=7620
 
 
Şimdi ise msnmsgr.exe adı altında gizlenip çalışan bu keyloger’ın temizleme yöntemini anlatacağım.

Eğer pc nize bulaşmış ise ;
1: Bulaştığı zaman hemen aktif olur görev yöneticisinde gözükür.
Pc nizde girmiş olduğunuz internet adresleri, Girmiş olduğunuz bütün kullanıcı adı ve şifreler, yazmış olduğunuz ve kopyala yapıştır yaptığınız bütün yazılar, pc nizin ekran görüntüsü,…vs periyodik bir şekilde belirtilen zaman aralıklarında yapımcının belirtmiş olduğu adrese yollamaktadır.
2: Bulaştığı zaman hemen aktif olmaz bundan dolayı görev yöneticisinde gözükmez ve dikkatinizi çekmez.
Fakat Pc nizi aç kapa yaptıktan sonra veya herhangi bir programı açmanız ile aktif hale gelip Görev yöneticisinde gözükür bu andan itibaren Pc nizde girmiş olduğunuz internet adresleri, Girmiş olduğunuz bütün kullanıcı adı ve şifreler, yazmış olduğunuz ve kopyala yapıştır yaptığınız bütün yazılar, pc nizin ekran görüntüsü,…vs periyodik bir şekilde belirtilen zaman aralıklarında yapımcının belirtmiş olduğu adrese yollamaktadır.
 
Şimdi diyeceksiniz msnmsgr.exe windows messenger programının dosyasıdır.
 
Evet msnmsgr.exe windows messenger programının dosyasıdır fakat keyloger bulaşmışsa kendini msnmsgr.exe adı altında çalıştırır.
Sistemde çalışan msnmsgr.exe nin veya msnmsgr.exe lerin keyloger olduğunu nasıl anlayacağız.
Hemen açıklık getirelim;
 
Tesbit ve temizleme yöntemi devamlı güncelleneceğinden  izniniz ile link  ekliyorum
+ "Videolu anlatım xp, Vista ve Windows7" 
  http://www.bilgineferi.com/forum/forum_posts.asp?TID=8005
 
 
En son yapılan güncellemeler ;

Edit: Son zamanlarda Keyloger'in farklı isimlerde bulaştığını tesbit ettik. Tesbit ve temizlik için güncelleme yapılmıştır.

Edit: Keylogerin kendine ait dosyaları hangi klasörlere kopyalıyabileceği eklenmiştir.

Edit: Keyloger'i oluşturan kullanıcının adını bulma videolu anlatım eklenmiştir.
 
Edit: Yapmış olduğumuz incelemeler sonucunda Keyloger’in standart olarak dllhost.exe adı altında bulaştığı tespit edilmiştir. Sadece isim değişmiştir tesbit ve temizleme yöntemi yukarıda anlatıldığı gibidir.
Sisteminize bulaşmış ise burda anlatılan temizlik işlemlerini örnek alarak sisteminizden temizleyebilirsiniz

Saygılarımla

Son Düzenleme: invertor ~ 13 Ekim 2009 13:52
prison
30-08-2009, 18:16   |  #2  
Yıllanmış Üye
Teşekkür Sayısı: 0
585 mesaj
Kayıt Tarihi:Kayıt: Eyl 2008

teşekkürler kardeş iyi noktaya parmak basmışsın..eline sağlık..

invertor
30-08-2009, 21:34   |  #3  
OP Üye
Teşekkür Sayısı: 2
52 mesaj
Kayıt Tarihi:Kayıt: Ağu 2009
Alıntı: AdRaMiTi  
İlginiz için teşekkürler   benim bahsetmek istediğim husus msnmsgr.exe adı ile bulaşan ve isim benzerliği olduğundan dolayı  uyarının dikkate alınmasıdır.

video yu izlemenizi tavsiye ederim.

Resim ile bir örnek vereyim

Yukarıdaki gibi gelişmiş  görüntü elde etmek istiyorsanız Process Explorer  programını kullanmanızı tavsiye ederim.

Process explorer programını çalıştırarak  sistemde çalışan uygulamaların konumunu rahatlıkla tesbit edebilirsiniz. Kontrol etmekte yarar vardır diye düşünüyorum

Process Explorer v11.33


Konudaki işlemler en ince detayına kadar  tarafımdan tespit edilip  ardından test edilerek  internet kullanıcılarını bilinçlendirmek üzere  döküman şeklinde sunulmuştur.

Maksadımız pc nize zararlı yazılım bulaşmış ise  tesbit edip zararlı yazılımı  "keyloger'i" temizlemek için yapmanız gereken işlemleri anlatmaktan ibarettir.


Saygılarımla

Son Düzenleme: invertor ~ 30 Ağustos 2009 21:39
invertor
30-08-2009, 22:12   |  #4  
OP Üye
Teşekkür Sayısı: 2
52 mesaj
Kayıt Tarihi:Kayıt: Ağu 2009
Alıntı: AdRaMiTi  
Baktım =)
Güzel Çalışma ancak;
Benim orada anlatmak istediğim bir zararlı varsa elbelt kaydedilen bilgileri raporlamak için veri cıkışı yapıcaktır veri cıkışı yaparkende sistemde cıkan ip'lerde er yada geç görünecektir.
Teşekkürler

Şunuda unutmamak gerekir yazıdada belirttim diye hatırlıyorum loglar  kodlarda rastladığım bilgiye göre 20 ila 25 dakikada bir gönderiliyor.

Bu 20 ila 25  dakikada arasında  herhangi bir  veri çıkışı göremezsiniz.

Bunada dikkat etmek gerekir

En mantıklısı görev yöneticisinde çalışan işlemlerin konumunu kotrol etmektir :)

Saygılarımla

Son Düzenleme: invertor ~ 30 Ağustos 2009 22:28
invertor
01-09-2009, 02:16   |  #5  
OP Üye
Teşekkür Sayısı: 2
52 mesaj
Kayıt Tarihi:Kayıt: Ağu 2009

Ek olarak Vista   ve Windows 7 için;   Temizleme yöntemini içeren videolu anlatımlar eklenmiştir.

Edit:

Tehlikeli olan kısımların silinmesini anlattık

İlerleyen zamanlarda  regeditteki teknik detaylara brazdaha deyineceğim.

Mesela bir örnek vereyim

Sisteminize bu keyloger bulaşmış ise  keylogeri oluşturanın  kullanıcı adını tespit edebilileceksiniz.

Regeditteki  RegisteredOrganization  Değerinde  isim mevcut.

Son Düzenleme: invertor ~ 01 Eylül 2009 23:46
shadow296
04-09-2009, 20:57   |  #6  
Taze Üye
Teşekkür Sayısı: 0
1 mesaj
Kayıt Tarihi:Kayıt: Eyl 2009

Merhaba arkadaşlar beni katıldım bu vürüsle ben de sorun yasadım verdiğiniz link teki gibi temizledim ama söle bi sorun var orada Shell     explorer.exe "C:\Documents and Settings\ sizin otorum açma adınız \Application Data\msnmsgr.exe burayı explorer.exe yaptım ama pc açılınca burası bulanamadı diye hata veriyor ayrıca görüntütede bozuluk başladı

invertor
05-09-2009, 19:12   |  #7  
OP Üye
Teşekkür Sayısı: 2
52 mesaj
Kayıt Tarihi:Kayıt: Ağu 2009

Regedit ten bu konuma gelin

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon 

Burda bulunan  shell değerine çift  tıklayın  açılan pencerede

Shell    explorer.exe "C:\Documents and Settings\ sizin otorum açma adınız \Application Data\msnmsgr.exe  yazısını göreceksiniz  oradan
 
"C:\Documents and Settings\ sizin otorum açma adınız \Application Data\msnmsgr.exe" kısmını silmeniz yeterlidir
 
Konu hakkında Eklemiş mevcut kaynağa eklemiş olduğum  Videoları izlemenizi tavsiye ederim
 
Saygılarımla
 

Son Düzenleme: invertor ~ 05 Eylül 2009 19:13
invertor
15-09-2009, 17:40   |  #8  
OP Üye
Teşekkür Sayısı: 2
52 mesaj
Kayıt Tarihi:Kayıt: Ağu 2009


Bilgineferi.com Yeni Nesil Keyloger Tesbit Etme Sistemi 1.0

Luzumu uzerine "Bu tarz yeni nesil keylog’er ların sisteminize bulaşıp bulaşmadığını bulaşmış ise keyloger’i yayan kullanıcının adını ve keyloger’in bulaştığı konumun tesbitini yapabileceğiniz" bir program hazırladık.

Bu program sayesinde sisteminize bulaşmış olan yeni nesil keylogerların temizleme yöntemine anında ulaşacaksınız.

İlerleyen günlerde duruma göre Bilgineferi.com Yeni Nesil Keyloger Tesbit Etme Sistemi 1.0 programını yukarıda belirtilen kaynağa ekleyeceğim.
Saygılarımla


Son Düzenleme: invertor ~ 15 Eylül 2009 17:41
PC.Kopat
15-09-2009, 18:44   |  #9  
Yıllanmış Üye
Teşekkür Sayısı: 1
750 mesaj
Kayıt Tarihi:Kayıt: Eyl 2009

ben bişey soracam bende 1-2 işlem hariç hiçbirinin kullanıcısı yazmıyor yardım eder misiniz?

invertor
15-09-2009, 22:27   |  #10  
OP Üye
Teşekkür Sayısı: 2
52 mesaj
Kayıt Tarihi:Kayıt: Ağu 2009
Alıntı: 0PC-Kopat0  
ben bişey soracam bende 1-2 işlem hariç hiçbirinin kullanıcısı yazmıyor yardım eder misiniz?
 
Öncelikle görev yöneticisinden  görünüm menüsünü tıklayın karşınıza çıkan  ekrandan   sutun seç i tıklayın sol altta kullanıcı adı kısmınında  çentik olması gerekir yok ise işaretleyip tamamı tıklayın
 
Yine olmaz isi bunu deneyin  
Başlat- Çalıştıra  services.msc yazıp çalıştırın
Terminal hizmetleri servisini kontrol edin eğer durdurulmuş ise Başlatın  ve özelliklerden başlangıç türünü otomatik olarak ayarlayın sorununuz çözülcektir.
 
Saygılarımla

Son Düzenleme: invertor ~ 15 Eylül 2009 22:27
PC.Kopat
15-09-2009, 22:32   |  #11  
Yıllanmış Üye
Teşekkür Sayısı: 1
750 mesaj
Kayıt Tarihi:Kayıt: Eyl 2009

çok teşekkürler

invertor
28-09-2009, 15:13   |  #12  
OP Üye
Teşekkür Sayısı: 2
52 mesaj
Kayıt Tarihi:Kayıt: Ağu 2009

Rica ederim

invertor
13-10-2009, 13:53   |  #13  
OP Üye
Teşekkür Sayısı: 2
52 mesaj
Kayıt Tarihi:Kayıt: Ağu 2009

Konu hakkında güncelleme yapılmıştır
Keyloger standart olarak dllhost.exe adı altında bulaştığı tesbit edilmiştir.
Sadece isim değişikliği yapılmış olduğundan bulaştığı yerler aynıdır dolayısı ile anlattığımız temizleme yöntemi geçerlidir.
Saygılarımla

nokihan
07-06-2010, 20:25   |  #14  
Taze Üye
Teşekkür Sayısı: 0
1 mesaj
Kayıt Tarihi:Kayıt: Eyl 2009

 keylogger tesbiti için verdiğin program zaten virüs içeriyor (yeni-nesil-Keyloger_Tesbit_Etme_Sistemi)
anlattıkların güzel bilgiler ama bu win7 de işe yaramadı.yazmıştım regeditten şu anahtarları değiş diyorsun orda o anahtarlar yok appdata klasöründede dediklerin yok.buna çözüm önerin nedir.

Son Düzenleme: nokihan ~ 08 Haziran 2010 09:44
armadillo24
15-10-2010, 21:21   |  #15  
Taze Üye
Teşekkür Sayısı: 0
2 mesaj
Kayıt Tarihi:Kayıt: Eki 2010

Sabahtan beri yaklaşık 100 tane yazı okudum bu yazının yarısı dllhost.exe nin keyloger olduğu yönünde  geri kalanı ise keyloger olmadığını system dosyası olduğunu söylüyor şimdi benim sormak istediğim şu anladığım kadaıyla sizin aradığınız keyloger system32 içinde olan dllhost.exe değil sizin aradığınız documents and settings de öylemi bu ilk sorumdu .  birdiğer soru bendeki dllhost.exe sürekli olarak görünmüyo görev yöneticisinde sadece bir program açtığımda ki bazen yada internet sitesine girerken vb durumlarda aktif olup 3-4 saniye sonra kayboluyo yada daha kısa zamanda ve görev yöneticisinde kendini kullanıcı adı olarak gösteriyo system olarak göstermiyo bu sizin aradığınız keyloger  tanımına uyuyormu.  3. sorum  sizin önerdiğiniz yeni nesil keyloger tarayıcısını indirdim yönetici olarak çalıştırdım (win7 kullanıcısıyım) virüs tara bastım  keyloger yok dedi  hatta gelişmiş  yerine de bastım tek tek inceledim verilen örneklerle karşılaştırdım hiçbiri yok verilen klasörlerde  şimdi hala içimde kuşku var acaba bendeki  sürekli aktif olmayan dllhost.exe keyloger mi değilmi

armadillo24
15-10-2010, 21:28   |  #16  
Taze Üye
Teşekkür Sayısı: 0
2 mesaj
Kayıt Tarihi:Kayıt: Eki 2010

Bu arada yazmayı unuttum sabahtan beri 3 kere format attım pc e 3. de sadece kaspersky yükledim sorun yoktu gerçi hiç program açıp denemedim sonra clone cd kurdum tekrar baktım dllhost.exe göründü ve kayboldu clone cd trojenlidir yada keyloger vardır demeyin sakın çok uzun süredir kullanıyorum yani pc de system dosyasıdır gibi geliyo bana keyloger gibi gelmiyo işin açıkçası.