Keylogger olduğunu anlama

O zaman daha derine inmeyelim.
Polise gitmek istemiyorsunuz. Tamam.
Ne kadar ilgilenir? sorusuna gelince yaptığı bir suç olduğu için elbette ilgilenecektir.
Öncelikle internetten bir linux dağıtımı indirip hash değerini kontrol ederk DVDye yazdırın.
Daha sonra HBCD indirip onunda hash değerini kontrol ederek CDye yazdırın. (İşlevselliği çok fazla olmasına rağmaen CDye sığıyor İsviçre çakısı gibi bir şey.)

Ardından tüm modem bağlantınızı kesin öncelikle üzerindeki reset tuşu ile modemi tamamen fabrika ayrlarına döndürün.
HDDnize HBCD içerisindeki MiniXP altında bulunan araçlardan birsi olan (sağ alt köşedeki HBCD menüden erişebilirsiniz) HDD LLF Low Level Format Tool (üreticisi hddguru olmalı) ile low level format atın.
*Low Level Format esnasında oluşabilecek bir elektrik kesintisi, HDDnin darbe alması sarsılması, vb. durumlard oluşma ihtimali bulunan zararlardan ötürü sorumluluk alamam. (Kendi HDDme 3 kez uyguladım hiç sorun yaşamadım ama sorun olmayacak diye bir şart yok biraz risk almayı gerektiren bir işlemdir.) Uyarmak durumundayım.

Uzun bir Low Level Format 'ın ardından HDDnin soğuması için 1-2 saat kadar bilgisayarı kapalı bırakın zira işlem HDDnin boyutuna göre uzun süreceğinden kritik sıcaklık olan 55 derecenin aşılmasına bu da HDDnin kalıcı hasar almasına sebep olabilir. Asla işlemi yarıda kesmeyin!

Bütün bunlar tamamlandıktan sonra indirdiğiniz linux dağıtımını bilgisayarınıza kurun ve kablo ile modeme bağlanıp modemi açın.
Modemin kurulumunu yapıp modem arayüzünden SSID, parola, modem arayüzü parolası bilgilerini değiştirin.

Bu şekilde kullanımda bir sıkıntı olup olmadığını, hâlâ verilerinizin loglanıp loglanmadığını öğrenmeye çalışın eğer bu adımlar sonucu sorun çözülmüş ise muhtemelen güvenle Windows'a dönüp kullanıma devam edebileceksinizdir.

Not: Umarım UEFI destekli bir anakartta GPT ile bölümlenmiş HDDye kurulu bir Windows kullanmıyorsunuzdur. Zira verdiğim yöntem ve bilgiler bu teknolojilerden eski olduğu için bu yeni teknolojiler ile ne kadar uyumlu olacağını sorun çıkartıp çıkartmayacağını bilmiyorum.
***Burada yazdığım önerileri uygulamanızı sizin insiyatifinize bırakıyor oluşabilecek herhangi bir hasarda sorumluluk alamayacağımı belirtiyorum.

Not 2: Low Level Format işlemi HDDdeki tüm bilgileri geri getirilemez şekilde siler. (23.22 de eklendi.)
 
Kolayı var. Görev yöneticisi hizmetler orda hepsi Systeam olmalı. Eger adminator ise büyük itimal spy keylooger malware.
 
Son düzenleyen: Moderatör:
@THE_MILLER Selamlar. Bende dizüstü bilgisayarıma keylogger olabileceğinden şüpheleniyorum. Format atmadan bu keyloggerdan kurtulmanın derdindeyim. HJackThis sonuçlarım aşağıdaki gibi. Yorumlarsanız sevinirim. Ek olarak tavsiyelerinizi bekliyorum.

Kod: 
Logfile of Trend Micro HijackThis v2.0.5
Scan saved at 13:51:45, on 11.6.2016
Platform: Unknown Windows (WinNT 6.02.1008)
MSIE: Internet Explorer v11.0 (11.00.9600.18123)
Boot mode: Normal
Running processes:
C:\Program Files (x86)\NVIDIA Corporation\Update Core\NvBackend.exe
C:\Program Files (x86)\Google\Chrome\Application\chrome.exe
C:\Program Files (x86)\Google\Chrome\Application\chrome.exe
C:\Program Files (x86)\Google\Chrome\Application\chrome.exe
C:\Program Files (x86)\Google\Chrome\Application\chrome.exe
C:\Program Files (x86)\Google\Chrome\Application\chrome.exe
C:\Program Files (x86)\Google\Chrome\Application\chrome.exe
C:\Program Files (x86)\Google\Chrome\Application\chrome.exe
C:\Program Files (x86)\Google\Chrome\Application\chrome.exe
C:\Program Files (x86)\GlassWire\GWIdlMon.exe
C:\Program Files (x86)\GlassWire\GlassWire.exe
C:\Program Files (x86)\Google\Chrome\Application\chrome.exe
C:\Program Files (x86)\Google\Chrome\Application\chrome.exe
C:\Program Files (x86)\Google\Chrome\Application\chrome.exe
C:\Users\asuspc\Desktop\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/p/?LinkId=255141
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/p/?LinkId=255141
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/p/?LinkId=255141
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
F2 - REG:system.ini: UserInit=userinit.exe
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~2\MICROS~1\Office14\GROOVEEX.DLL
O2 - BHO: URLRedirectionBHO - {B4F3A835-0E21-4959-BA22-42B3008E02FF} - C:\PROGRA~2\MICROS~1\Office14\URLREDIR.DLL
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe"
O4 - HKCU\..\Run: [Skype] "C:\Program Files (x86)\Skype\Phone\Skype.exe" /minimized /regrun
O4 - HKCU\..\Run: [puush] C:\Program Files (x86)\puush\puush.exe
O4 - HKCU\..\Run: [Spotify Web Helper] "C:\Users\asuspc\AppData\Roaming\Spotify\SpotifyWebHelper.exe"
O4 - HKCU\..\Run: [Spotify] "C:\Users\asuspc\AppData\Roaming\Spotify\Spotify.exe" -autostart -minimized
O4 - HKCU\..\Run: [DAEMON Tools Lite Automount] "C:\Program Files\DAEMON Tools Lite\DTAgent.exe" -autorun
O4 - HKCU\..\Run: [CCleaner Monitoring] "C:\Program Files\CCleaner\CCleaner64.exe" /MONITOR
O4 - HKCU\..\Run: [Steam] "C:\Program Files (x86)\Steam\steam.exe" -silent
O4 - HKCU\..\Run: [GlassWire] "C:\Program Files (x86)\GlassWire\glasswire.exe" -hide
O4 - Startup: Curse.lnk = asuspc\AppData\Roaming\Curse Client\Bin\Curse.exe
O8 - Extra context menu item: Microsoft Excel'e &Ver - res://C:\PROGRA~1\MICROS~1\Office14\EXCEL.EXE/3000
O8 - Extra context menu item: OneNote'a G&önder - res://C:\PROGRA~1\MICROS~1\Office14\ONBttnIE.dll/105
O9 - Extra button: OneNote'a Gönder - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Program Files (x86)\Microsoft Office\Office14\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: OneNote'a G&önder - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Program Files (x86)\Microsoft Office\Office14\ONBttnIE.dll
O9 - Extra button: OneNote Bağlantılı &Notları - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - C:\Program Files (x86)\Microsoft Office\Office14\ONBttnIELinkedNotes.dll
O9 - Extra 'Tools' menuitem: OneNote Bağlantılı &Notları - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - C:\Program Files (x86)\Microsoft Office\Office14\ONBttnIELinkedNotes.dll
O11 - Options group: [ACCELERATED_GRAPHICS] Accelerated graphics
O18 - Filter hijack: text/xml - {807573E5-5146-11D5-A672-00B0D022E945} - C:\Program Files (x86)\Common Files\Microsoft Shared\OFFICE14\MSOXMLMF.DLL
O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)
O23 - Service: Apple Mobile Device Service - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
O23 - Service: Intel(R) Content Protection HECI Service (cphs) - Intel Corporation - C:\Windows\SysWow64\IntelCpHeciSvc.exe
O23 - Service: Disc Soft Lite Bus Service - Disc Soft Ltd - C:\Program Files\DAEMON Tools Lite\DiscSoftBusService.exe
O23 - Service: @%SystemRoot%\system32\efssvc.dll,-100 (EFS) - Unknown owner - C:\Windows\System32\lsass.exe (file missing)
O23 - Service: ESET Service (ekrn) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\x86\ekrn.exe
O23 - Service: Energy Server Service WILLAMETTE (ESRV_SVC_WILLAMETTE) - Unknown owner - C:\Program Files\Intel\SUR\WILLAMETTE\ESRV\esrv_svc.exe
O23 - Service: @%systemroot%\system32\fxsresm.dll,-118 (Fax) - Unknown owner - C:\Windows\system32\fxssvc.exe (file missing)
O23 - Service: NVIDIA GeForce Experience Service (GfExperienceService) - NVIDIA Corporation - C:\Program Files\NVIDIA Corporation\GeForce Experience Service\GfExperienceService.exe
O23 - Service: GlassWire Control Service (GlassWire) - SecureMix LLC - C:\Program Files (x86)\GlassWire\GWCtlSrv.exe
O23 - Service: Google Güncelleme Hizmeti (gupdate) (gupdate) - Google Inc. - C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
O23 - Service: Google Güncelleme Hizmeti (gupdatem) (gupdatem) - Google Inc. - C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
O23 - Service: @%SystemRoot%\system32\ieetwcollectorres.dll,-1000 (IEEtwCollectorService) - Unknown owner - C:\Windows\system32\IEEtwCollector.exe (file missing)
O23 - Service: Intel(R) HD Graphics Control Panel Service (igfxCUIService1.0.0.0) - Unknown owner - C:\Windows\system32\igfxCUIService.exe (file missing)
O23 - Service: Intel(R) Capability Licensing Service Interface - Intel(R) Corporation - C:\Program Files\Intel\iCLS Client\HeciServer.exe
O23 - Service: Intel(R) Capability Licensing Service TCP IP Interface - Intel(R) Corporation - C:\Program Files\Intel\iCLS Client\SocketHeciServer.exe
O23 - Service: iPod Servisi (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Intel(R) Dynamic Application Loader Host Interface Service (jhi_service) - Intel Corporation - C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\DAL\jhi_service.exe
O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: LiveUpdate (LiveUpdateSvc) - Unknown owner - C:\Program Files (x86)\IObit\LiveUpdate\LiveUpdate.exe (file missing)
O23 - Service: Intel(R) Management and Security Application Local Management Service (LMS) - Intel Corporation - C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\LMS\LMS.exe
O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)
O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: NVIDIA Network Service (NvNetworkService) - NVIDIA Corporation - C:\Program Files (x86)\NVIDIA Corporation\NetService\NvNetworkService.exe
O23 - Service: NVIDIA Streamer Network Service (NvStreamNetworkSvc) - NVIDIA Corporation - C:\Program Files\NVIDIA Corporation\NvStreamSrv\NvStreamNetworkService.exe
O23 - Service: NVIDIA Streamer Service (NvStreamSvc) - NVIDIA Corporation - C:\Program Files\NVIDIA Corporation\NvStreamSrv\NvStreamService.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - Unknown owner - C:\Windows\system32\nvvsvc.exe (file missing)
O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)
O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: Skype Updater (SkypeUpdate) - Skype Technologies - C:\Program Files (x86)\Skype\Updater\Updater.exe
O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)
O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)
O23 - Service: @%SystemRoot%\system32\sppsvc.exe,-101 (sppsvc) - Unknown owner - C:\Windows\system32\sppsvc.exe (file missing)
O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files (x86)\Common Files\Steam\SteamService.exe
O23 - Service: Intel(R) System Usage Report Service SystemUsageReportSvc_WILLAMETTE (SystemUsageReportSvc_WILLAMETTE) - Unknown owner - C:\Program Files (x86)\Intel Driver Update Utility\SUR\SurSvc.exe
O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)
O23 - Service: User Energy Server Service WILLAMETTE (USER_ESRV_SVC_WILLAMETTE) - Unknown owner - C:\Program Files\Intel\SUR\WILLAMETTE\ESRV\esrv_svc.exe
O23 - Service: @%SystemRoot%\system32\vaultsvc.dll,-1003 (VaultSvc) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)
O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)
O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\Windows\system32\wbengine.exe (file missing)
O23 - Service: @%ProgramFiles%\Windows Defender\MpAsDesc.dll,-320 (WdNisSvc) - Unknown owner - C:\Program Files (x86)\Windows Defender\NisSrv.exe (file missing)
O23 - Service: @%ProgramFiles%\Windows Defender\MpAsDesc.dll,-310 (WinDefend) - Unknown owner - C:\Program Files (x86)\Windows Defender\MsMpEng.exe (file missing)
O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)
O23 - Service: @%PROGRAMFILES%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing)
--
End of file - 10650 bytes
 
@keyboardminer ,

Downloads - SurfRight bu adresten Hitman Pro indirip, uygulamayı çalıştırın. Taratmadan önce options(settings) dan, lisans kısmına girip 30 günlük deneme sürümünü aktif edin.
Ardından tarama yapıp bulduklarını silin. Silmeden önce zararlı bulduysa ekran görüntüsünü alıp buraya ekleyin, ardından temizleyin.
 

Eklediğim resimdeki gibi bir sonuç çıktı. Aşağıya doğru birkaç tane daha var aynı şekilde. Ne yapayım?
 

Dosya Ekleri

  • Adsız.png
    14 KB · Görüntüleme: 252
Tarama bitince hepsini silin. KMS Windows aktivasyon için kullanmışsınız fakat onu da silmeniz önerilir. Ardından http://raproducts.org/PureRa.zip bu adresten PureRa yazılımını indirip rardan çıkart masaüstüne atın. Sağ tıklayıp yönetici olarak çalıştırın. Next dedikten sonra Check All’ı seçip tüm kutucukları işaretleyin, ardından clean tuşuna basıp ve temizleyin.
 

Tarama bittiğinde yine aynı dosyalar vardı. Dediğiniz gibi KMS dahil hepsini sildim. Bilgisayarı yeniden başlattıktan sonra PureRa ile dediğiniz işlemi gerçekleştirdim. Yapmam gereken başka bir işlem var mı? Şuan keylogger olup olmadığı konusunda hala emin olamadım.

Ek olarak KMS'yi silmem şuan kullandığım işletim sisteminde herhangi bir bozulmaya vs. neden olur mu?

PureRa ile yaptığım taramanın sonuçları.

Kod: 
RaProducts' PureRa v1.7
Log created at 18:23 on 11/06/2016 (asuspc)

C:\Config.MSI emptied.
C:\Users\asuspc\AppData\LocalLow\Microsoft\CryptNetURLCache\Content emptied.
C:\Users\asuspc\AppData\LocalLow\Microsoft\CryptNetURLCache\MetaData emptied.
C:\Windows\system32\FNTCACHE.DAT <- Sistem belirtilen dosyayı bulamıyor.
Recycle bin emptied.
C:\Windows\SoftwareDistribution\DataStore\Logs emptied.
C:\Windows\SoftwareDistribution\Download emptied.
C:\Windows\SoftwareDistribution\SelfUpdate\Default emptied.
C:\Windows\SoftwareDistribution\WuRedir emptied.
C:\Windows\SoftwareDistribution\ReportingEvents.log <- Dosya başka bir işlem tarafından kullanıldığından bu işlem dosyaya erişemiyor.
C:\Users\asuspc\AppData\Local\Temp emptied.
C:\Windows\TEMP emptied.
C:\Riot Games\League of Legends\RADS\projects\lol_air_client\releases\0.0.1.201\deploy\assets\storeImages\content\skins\Thumbs.db <- Successfully deleted.
C:\Riot Games\League of Legends\RADS\projects\lol_air_client\releases\0.0.1.201\deploy\assets\storeImages\layout\rentals\warning\Thumbs.db <- Successfully deleted.
C:\Users\asuspc\AppData\Local\IconCache.db <- Successfully deleted.
C:\Users\asuspc\AppData\Local\Microsoft\Windows\Explorer\thumbcache_1024.db <- Successfully deleted.
C:\Users\asuspc\AppData\Local\Microsoft\Windows\Explorer\thumbcache_16.db <- Successfully deleted.
C:\Users\asuspc\AppData\Local\Microsoft\Windows\Explorer\thumbcache_1600.db <- Successfully deleted.
C:\Users\asuspc\AppData\Local\Microsoft\Windows\Explorer\thumbcache_256.db <- Successfully deleted.
C:\Users\asuspc\AppData\Local\Microsoft\Windows\Explorer\thumbcache_32.db <- Erişim engellendi.
C:\Users\asuspc\AppData\Local\Microsoft\Windows\Explorer\thumbcache_48.db <- Successfully deleted.
C:\Users\asuspc\AppData\Local\Microsoft\Windows\Explorer\thumbcache_96.db <- Successfully deleted.
C:\Users\asuspc\AppData\Local\Microsoft\Windows\Explorer\thumbcache_exif.db <- Successfully deleted.
C:\Users\asuspc\AppData\Local\Microsoft\Windows\Explorer\thumbcache_idx.db <- Erişim engellendi.
C:\Users\asuspc\AppData\Local\Microsoft\Windows\Explorer\thumbcache_sr.db <- Successfully deleted.
C:\Users\asuspc\AppData\Local\Microsoft\Windows\Explorer\thumbcache_wide.db <- Successfully deleted.
C:\Users\asuspc\AppData\Local\Microsoft\Windows\Explorer\thumbcache_wide_alternate.db <- Successfully deleted.
C:\Users\asuspc\AppData\Local\Microsoft\Windows\Themes\Thumbs.db <- Successfully deleted.
C:\Users\asuspc\AppData\Local\Microsoft\Windows Services\Bici\bi09i_00000dd4_000.sqm <- Successfully deleted.
C:\Users\asuspc\AppData\Local\Microsoft\Windows Services\Bici\bt09h_0000107c_000.sqm <- Successfully deleted.
C:\Users\asuspc\AppData\Local\Packages\microsoft.windowscommunicationsapps_8wekyb3d8bbwe\LocalState\bici\bi000000.sqm <- Successfully deleted.
C:\Users\asuspc\AppData\Roaming\Microsoft\Windows Photo Viewer\Thumbs.db <- Successfully deleted.
C:\Users\asuspc\AppData\Roaming\Skype\ufokemal\Pictures\Thumbs.db <- Successfully deleted.
C:\Users\asuspc\Desktop\Thumbs.db <- Successfully deleted.
C:\Users\asuspc\Downloads\Thumbs.db <- Successfully deleted.

Total space cleaned: 52.13 MB

-=E.O.F=-
 

Yardımcı olduğun için çok teşekkür ederim. Son bir sorum daha olacak yaptığımız işlemlerden önce keylogger var mıydı? Çok soru sordum ama kusura bakmassın umarım.
 
keyboardminer dedi:
Yardımcı olduğun için çok teşekkür ederim. Son bir sorum daha olacak yaptığımız işlemlerden önce keylogger var mıydı? Çok soru sordum ama kusura bakmassın umarım.
Genişletmek için tıkla...
Zararlı vardı ama dosyaları incelemeden türü hakkında net bir bilgi veremem. Temizledi iseniz bunlardan kurtulmuştursunuz.

Arada tarama amaçlı çalışan yazılımlarla sisteminizi taratmanız önerilir. Aktif koruyan güvenlik yazılımınız her zaman kusursuz korumaz.
 
Konuyu cevapla
Menü
Giriş yap
Kaydol
Bu siteyi kullanmak için çerezler gereklidir. Siteyi kullanmaya devam etmek için çerezleri kabul etmelisiniz. Daha Fazlasını Öğren.…