Bazı Katlılımsız Yapımlar Trojan Mı Içeriyor?

[mustafa0732]

Arkadaşlar 2 gün önce bir arkadaşımızın yapmış olduğu katılımsız program paketini indirdim ve kurdum.Fakat C sücüsünü karıştırırken bu katılımsızı yapan dostumun (!) hiç de iyi niyetli olmadığını gördüm çünkü Windows klasöründe tuhaf isimde 4-5 tane uygulama buldum:

msys.exe

ssys.exe

wsys.ex

yll.exe

wyll.exe

syll.exe

Ayrıca:

un.bat dosyasını da buldum.

İçeriği şöyle

CODE:

attrib -s -h c:\windows\hyll.exe

attrib -s -h c:\windows\msys.exe

attrib -s -h c:\windows\ssys.exe

attrib -s -h c:\windows\wsys.exe

attrib -s -h c:\windows\yll.exe

attrib -s -h c:\windows\wyll.exe

attrib -s -h c:\windows\syll.exe

tskill hyll

tskill msys

tskill ssys

tskill wsys

tskill yll

taskkill /im hyll.exe

taskkill /im msys.exe

taskkill /im ssys.exe

taskkill /im wsys.exe

taskkill /im yll.exe

del "c:\windows\hyll.exe"

del "c:\windows\msys.exe"

del "c:\windows\ssys.exe"

del "c:\windows\wsys.exe"

del "c:\windows\yll.exe"

del "c:\windows\wyll.exe"

del "c:\windows\syll.exe"

Kur.bat

CODE:

Copy "actskn43.ocx", "c:\windows\system32\actskn43.ocx"

regsvr32 "c:\windows\system32\actskn43.ocx" /s

Copy "MSWINSCK.OCX", "c:\windows\system32\MSWINSCK.OCX"

regsvr32 "c:\windows\system32\MSWINSCK.OCX" /s

Copy "msinet.ocx", "c:\windows\system32\

regsvr32 "c:\windows\system32\msinet.ocx" /s

Copy "ieframe.dll", "c:\windows\system32\ieframe.dll"

regsvr32 "c:\windows\system32\ieframe.dll" /s

exit

msinet.ocx Bu dosya: Micosoft İnternet Transfer Control Version 6.0

1.bat

CODE:

regsvr32 /s hiddenfi.dll

regedit /s hidden.reg

regsvr32 /s preview.dll

regsvr32 /s phototoys.dll

regsvr32 /s uzantigoster.dll

regsvr32 /s uzantidegistir.dll

@echo off

setlocal

set FT="%TEMP%\Find_Target.tmp"

set FTV="C:\WINDOWS\system32\Find_Target.vbs"

@echo REGEDIT4>%FT%

@echo.>>%FT%

@echo [HKEY_CLASSES_ROOT\lnkfile\Shell\Hedefi Bul\command]>>%FT%

@echo @="wscript.exe \"C:\WINDOWS\system32\Find_target.vbs\" \"%%1\"">>%FT%

@echo.>>%FT%

@echo.>>%FT%

@echo Dim param, filenam, targt, shortct>%FTV%

@echo Set param = WScript.Arguments>>%FTV%

@echo filenam = param (0)>>%FTV%

@echo Set WshShell = WScript.CreateObject("WScript.Shell")>>%FTV%

@echo Set shortct = WshShell.CreateShortcut(filenam)>>%FTV%

@echo targt = shortct.TargetPath>>%FTV%

@echo WshShell.Run "%windir%\explorer.exe /select," ^& Chr(34) ^& targt ^& Chr(34)>>%FTV%

regedit /s hedef.reg

del /q %FT%

endlocal

Bu dosyalar kesinlikle bilerek yapılmış ve bu kişinin niyeti hiç iyi değil.Ve bunu yapan her kim ise ortaya çıkaracağım...

[Mükemmel]

Şu ana kadar yaptığım katılımsız programlarda Trojen virüsüne rastlamadım. (Daha doğrusu hiçbir virüse) O, kişi tarafından bilinen bir dosya olmalı ki silme komutu vermiş.

[mustafa0732]

Zaten antivirüs bunları virüs olarak görmüyor.Her kimse bilgisayarı uzaktan yönetmek için yapmış olmalı yada şifrelerimi ele geçitmek istiyor...

[saydax]

Kardeşim yukarıdaki kodları çoğu kullanılır zaten katılımsız yaparken senin kaldiki antivirüs programları alarm vermediyse neden korkuyorsunki birde şu var kişi bazı dosyaları silinmesini istemiş peki o dosyalar silinince sisteminde sorun oluştumu veya blgisayrında yolunda gitmeyen birşeylere rasladınmı

[mustafa0732]

Dosyalar silinmemiş ayrıca ieframe.dll dosyasını inceledim tehlikeli olabilecek script var.

[lontokyo]

kimseye kefil olamazssınız katılımsız kurulum bazıları içinde fırsattır bunu unutmayın nede olsa program birnevi editleniyor... sonucta dikkatli olmak lazım

[ademcevahir]

ortaya attığınız iddayı kanıtlayabilirseniz şayet ; şahsın ismini de verin ki vatandaş tedbirini ona göre alsın.

[TORUNAGA]

Bulunduğumuz ortam için olabilecek en ciddi sorunlardan biridir bu. Eğer birileri bizim güven ve ihityaç durumumuzu sömürüyorsa bu kişiler ifşa edilmeli ve cezalandırılmalıdır. Bu yüzden o kişinin adını açıklamaya davet ediyorum seni.

[YAGMURADAM]

Bayağı acemi biriymiş ki trojanı C diskinin içine kabak gibi görünecek şekilde koymuş.Kodların çoğu sağ tuş menüsünde çalışıyor.Hedef bul gibi

regsvr32 /s hiddenfi.dll

regedit /s hidden.reg

regsvr32 /s preview.dll

regsvr32 /s phototoys.dll

regsvr32 /s uzantigoster.dll

regsvr32 /s uzantidegistir.dll

Bu kodlar da sağ tuşta çalışacak dll kodlarını explorerin sağ tuşuna eklemek için verilmiş komutlar.

Copy "actskn43.ocx", "c:\windows\system32\actskn43.ocx"

regsvr32 "c:\windows\system32\actskn43.ocx" /s

ise dosyayı kopyalayıp sağ tuşa kaydetme komutu.Bu kodlarda trojan olduğunu hiç zannetmiyorum.

Ayrıca güvenlik programı uyarı verse bile yine dezararlı yazılım demek için yeterli kanıt olmaz.Zira ESET Smart Security Hedef Bul komutunu yerine getiren dosyay zararlı yazlım diyerek bir hayli saçmalamıştı.Oysa bu komut sadece kısayolun hedeflediği dosyayı bulmanızı sağlar.Kısacasi kurulumda kulanılan programlar ve kurulan programların çalışma şekli trojan virüs algısına yol açabilir.Bilgilerinize.Saygılarımla

[mustafa0732]

Bu programlar sistemi her açtığımda çalışıyor ve bilgisayar çok tuhaf davranıyorr.İsteyene bir videosunu upload edebilirim.

[YeniçeRiyan-i]

Şahsi Görüşüm bence evet.İçine keyloger konuluyor.Hatta bunu yapan insan bile söyledi bana.İsim bile vermek istemiyorum.Güvenmediğiniz insanların yaptıgı çalışmayı indirmeyin

[TORUNAGA]

Şahsi Görüşüm bence evet.İçine keyloger konuluyor.Hatta bunu yapan insan bile söyledi bana.İsim bile vermek istemiyorum.Güvenmediğiniz insanların yaptıgı çalışmayı indirmeyin

İsim vermiyorsun da yarın birgün onun yaptığı çalışmayı indirip beğenip yorum yazanları,teşekkür edenleri gördüğünde için rahat edebilcek mi? O kişinin ismini bu ahaliye ifşa etmesen bile mod.lara bildirmelisin,öğrendiğin andan bu ana bildirmediğin kabahat zaten,kınıyorum...

[sk8er_boi]

Hangi program bu? Nereden indirdin?

[mustafa0732]

Bu siteden indirdim.Ayrıca dediğim programlar hyll.exe msys.exe vb. programlar her sistem açılışında çalışıyor ve bunları görev yöneticisinden sonlandırmadıkça bilgisayar tuhaf davranıyor..

[YAGMURADAM]

Arkadaşlar imalı konuşmayın.Doğrudan adını verin.Çalışmayı indirip bizzat deneyeceğim.Böyle havanda su döveriz.Saygılarımla

[TORUNAGA]

Cidden yav bu imalar nedir? Varsa böyle ahlaksızca bir iş yapan verin adını kurtulalım?

[sk8er_boi]

Bu siteden indirdim.Ayrıca dediğim programlar hyll.exe msys.exe vb. programlar her sistem açılışında çalışıyor ve bunları görev yöneticisinden sonlandırmadıkça bilgisayar tuhaf davranıyor..

İndirdiğin sayfanın linkini verir misin?

[mustafa0732]

Kim olduğunda emin değilim kimsenin günahını almak istemem ama şüphelendiğim kişi şu:

http://www.tnctr.com/index.php?showtopic=130585&st=0

[YAGMURADAM]

recep demirci bu sitede güvendiğim kişilerden biridir.Kendisinin bu konuda mantıklı bir açıklaması olacaktır.Tabii oysa .Saygılarımla

[mustafa0732]

Şüphelerimde haklıymışım.www.processlibrary.com da yaptığım araştırmalar da bunu kanıtlıyor.Bu site bilmediğiniz bir exe dosyasının ne olduğunu anlamanıza yardımcı oluyor.

mssys.exe description

mssys.exe is a process which is registered as MYSS.B virus.\r "This Trojan allows attackers to access your computer from remote locations, stealing passwords, Internet banking and personal data.\r" This process is a security risk and should be removed from your system.\r Please see additional details regarding this process.\r MYSS.B virus.

wsys.exe description

wsys.exe is a keylogging software from iOpus, which logs all keystrokes to a text file. This file can be read by a malicious attacker in the hope of finding passwords and other sensitive information. This process is a security risk and should be removed from your system.\r Please see additional details regarding this process.\r

Kimse yanlış anlamasın lütfen.Bu siteyi suçlamıyorum.Bunu her kim yaptıysa onu suçluyorum...

[bellikci]

ben de indirdim ve kullanıyorum. kasıtlı bir şey olabileceğine ihtimal vermiyorum, ama yine de her ihtimale karşı dikkatle incelemek gerektir. ve bir sürü sisteme yükledim, hiç bir kararsızlıkta yaşamadım, birazda kendinden şüphelen istersen, problemin kaynağı başka bir yerden olabilir gibime geliyor. selam ve sevgiler...

[casira]

İyi gecelr herkese anlaşılan bir sorun var.mustafa0732 arkadaşım bak o başlıktaki paylaştığım katılımsız programların hepsi forumda ve başka güvenilir (ismi o başlıkta var zeten) paylaşımlardır yani bizzat indirdiğim programları paylaştım.Neten indirdiğim dosyaları taratır diskime öyle yerleştiririm.Hem ayrıca bütün bana önemle lasım olacak programları İSO formatına yedeklerim.Çünki rar formatına virüs giriyor ama İso dosyasınada belki giriyordur ama ben daha rastlamadım.Gelelim senin dediğn olaya YAĞMURADAM sağolsun cevabını vermiş ama sana sonuçlarını gönderiyorum.XP,Seven 32 bit için sağ tık eklentisini sevgili barış sevenin Perfect XP SP3 Plus V2 adlı paylaşımının içinden aldım ve çoktandır kullanıyorum bunun virüssüz olduğuna dair bilgi.

http://www.virustotal.com/tr/analisis/ada2bffaf08a2f91a1928787422c62204404d21797bc0912c2cb578d8f175214-1260954349[/CODE]

Win7 64 bit sağtık eklentisi taramsıda burda

[CODE]http://www.virustotal.com/tr/analisis/c17e87edf074dd8972f2c834a58670587957e23a6c4028c04774f8054a27b95e-1269805839[/CODE]

ben açıkça söyleyeyim bazen total video converterde ve XP Lisans dosyalarında bazen virüsle karşılaşıyorum ama emin ol şimdiye kadar kullanıyorum hiç sorun olmadı ayrıca başlıktaki çalışmamı indirip deneyenler oldu sorun olmadığını yazanlar var.Şunuda belirteyim öyle programın içine virüs koyayım gibi niyetim yok bunu beni siteden bilen bilir ve ayrıca virüs koyacak kadar bilgi ve bilgisayar tecrübem yok.

SON SÖZ sizin böyle bir problemle karşılaşmanızdan dolayı sizden özür dilerim.Beğenmeyen indirmeyebilir.

Yöneticilerden ricam eğer mümkünse indirip trojan virüs vs. var ise bunu denmeleri ve konuyu silmeleri.Saygılarımla.

[TORUNAGA]

Bu konu açılmışken YENİÇERİ'nin bahsettiği o ahlaksız ve yasadışı işi yapan zat da bulunmalı ve cezalandırılmalıdır. Burdan yeniçeriye sesleniyorum,o kişinin adını vermediğin oranda sen de suçlusun!

Edit: Gerekli açıklama geldi.

[YeniçeRiyan-i]

Emre90 Şuan Yeniçeridir.Sk8er_boi ile gerekeni konuştum.O editini düzelt.

[lontokyo]

Bu konu açılmışken YENİÇERİ'nin bahsettiği o ahlaksız ve yasadışı işi yapan zat da bulunmalı ve cezalandırılmalıdır. Burdan yeniçeriye sesleniyorum,o kişinin adını vermediğin oranda sen de suçlusun!

Edit: EMRE 90 olduğu ihbar edilmiş,moderatör arkadaşlardan bir açıklama gelmeli.

isyan çıkartıcan sen bu gazla...