yöntemleri konunun sonuna eklenecektir
svchost.exe adı ile
gizlenen yeni nesil keyloger Hakkında:
svchost.exe Yeni nesil Türk Yapımı
Güzel bir Keyloger client'i dir. Ticari amaçlı yapılmıştır ve
kötü amaçlarda kullanılmaktadır. Buradaki svchost.exe ismini
yapımcı istediği zaman değişebilmektedir. örnek: aa.exe gibi,
svchost.exe adı keyloger clientini oluşturan program ile standart
olarak gelmektedir.
Bu keyloger Şifrelerinizin ve kişisel bilgilerinizin çalınması
amacı ile kullanılır.
Eğer pc nize bulaşmış ise ; Pc nizde
girmiş olduğunuz internet adresleri, Girmiş olduğunuz bütün kullanıcı
adı ve şifreler, yazmış olduğunuz ve kopyala yapıştır yaptığınız bütün
yazılar, pc nizin ekran görüntüsü,…vs periyodik bir şekilde
belirtilen zaman aralıklarında yapımcının belirtmiş olduğu adrese
yollamaktadır.
Client’i oluşturan kişi dosya ismini istediği
gibi değiştire bilir fakat bulaştığında görev yöneticisi işlemler
menusunde svchost.exe olarak gözükür. “Eğer yapımcı standart olan
svchost.exe ismini değiştirirse görev yöneticisinde isim farklı gözüke
bilir”
Şimdi diyeceksiniz sistemde birçok
svchost.exe çalışıyor bunun keyloger olduğunu nasıl anlayacağız.
Hemen açıklık getirelim;
Svchost.exe ler oturum açma adınız ile
çalışmazlar eğer aşağıdaki gibi çalışıyorsa;
Örneğin;
Oturum açma adınız xxx ise svchost.exe nin karşısında yani kullanıcı
adı kısmında xxx yazıyorsa pc nize keyloger bulaşmış demektir.
Bu keyloger kendi kendine bulaşmaz bulaşması
için svchost.exe dosyasının çalıştırılması gerekir Dosya
adındaki svchost kısmının değişik olabileceğini daha önceden
belirtmiştik.
Dosyanın simgesi farklı olabilir
basit bir örnek verecek olursak gönderen kişi dosyanın simgesini
"mp3" müzik dosyası gibi ayarlarlıyabilir içine de bir müzik dosyası
gömüp bulaştırmak istediği kişiye gönderir ve dosyayı alan kişi
müzik dinlemek için o dosyayı çalıştırdığında keyloger bulaşmış olur.
Not: Bu tür durumlarda şüphe
duyuyorsanız dosya uzantısını kontrol ediniz. Yukarıda bahsttiğim
örnekteki mp3 dosyasının uzantısı .mp3 değil .exe dir. Ama .exe
uzantılı bir dosyanın içerisine gömülmüştür.
Anti virüs yazılımlarına yakalanmamaktadır son zamanlarda
kaspersky internetsecurity yazılımına “Backdoor.Win32.Delf.osq”
olarak yakalanmaktadır. Eğer yapımcı tarafından keyloger’in
güncellemesi yapılırsa anti virüs yazılımlarına yakalanmama ihtimali
yüksektir. Şuan
itibari ile anti virüs yazılımlarına yakalanmamaktadır.
svchost.exe adı altında bulaşan keyloger
Pc nize bulaşmış ise aşağıda bahsettiğim yöntemi kullanarak temizleye
bilirsiniz. Keyloger bizzat tarafımdan test edilmiştir.
Bulaştığı zamanVindows işletim sistemlerine bulaşır...
Standart olarak :
Xp' de C:\Documents and Settings\sizin otorum açma
adınız\Application Data içerisine svchost.exe, SCVHOST.exe, ntlog.sys, ntsys.dll olarak 4
dosya şeklinde bulaşır.
Güncel
Şuanki Güncellenmiş halinde 2 şekilde bulaşır
1: Bulaştığı andan itibaren aktif olur
C:\Documents and
Settings\sizin otorum açma adınız\Application Data içerisine SVCHOT.EXE, ntlog.sys, NTCOM.DLL olarak 3 dosya şeklinde bulaşır.
2: Bulaştığında aktif olmaz C:\Documents and Settings\sizin otorum açma
adınız\Application Data içerisine
SVCHOT.EXE ve NTCOM.DLL olarak 2 dosya şeklinde bulaşır.
Pc yi aç kapa yaptığınızda
SVCHOT.EXE, ntlog.sys, NTCOM.DLL olarak 3 dosya şeklinde bulunur ve aktif halde olur.
Vista' da
C:\Users\sizin otorum açma adınız\AppData\Roaming içerisine
svchost.exe, SCVHOST.exe, ntlog.sys, ntsys.dll olarak 4 dosya
şeklinde bulaşır.
Güncel
Şuanki Güncellenmiş halinde 2 şekilde bulaşır
1: Bulaştığı andan itibaren aktif olur
C:\Users\sizin otorum
açma adınız\AppData\Roaming içerisine
SVCHOT.EXE, ntlog.sys, NTCOM.DLL olarak 3 dosya şeklinde bulaşır.
2: Bulaştığında aktif olmaz C:\Users\sizin otorum açma adınız\AppData\Roaming içerisine SVCHOT.EXE ve NTCOM.DLL olarak 2 dosya şeklinde bulaşır.
Pc yi aç kapa yaptığınızda
SVCHOT.EXE, ntlog.sys, NTCOM.DLL olarak 3 dosya şeklinde bulunur ve aktif halde olur.
Windows 7' de
C:\Users\sizin otorum açma adınız\AppData\Roaming içerisine
svchost.exe, SCVHOST.exe, ntlog.sys, ntsys.dll olarak 4 dosya
şeklinde bulaşır.
Güncel
Şuanki Güncellenmiş halinde 2 şekilde bulaşır
1: Bulaştığı andan itibaren aktif olur
C:\Users\sizin otorum
açma adınız\AppData\Roaming içerisine
SVCHOT.EXE, ntlog.sys, NTCOM.DLL olarak 3 dosya şeklinde bulaşır.
2: Bulaştığında aktif olmaz C:\Users\sizin otorum açma adınız\AppData\Roaming içerisine SVCHOT.EXE ve NTCOM.DLL olarak 2 dosya şeklinde bulaşır.
Pc yi aç kapa yaptığınızda
SVCHOT.EXE, ntlog.sys, NTCOM.DLL olarak 3 dosya şeklinde bulunur ve aktif halde olur.
Not: Gizli dosya ve klasörler
seçeneğini aktif hale getirmeden belirtilen dizini göremezsiniz.
Xp işletim sisteminden
Temizlemek için;
Gizli dosya ve klasörler seçeneğini aktif hale
getirin
CTRL+ALT+DEL Tuşlarına basarak görev
yöneticisini açın işlemler menusunden
svchost.exe nin karşısında yani kullanıcı adı
kısmında oturum açma adınız yazıyorsa o svchost.exe işlemini
sonlandırın Güncel
SVCHOST.EXE nin
karşısında yani kullanıcı adı kısmında oturum açma adınız yazıyorsa o
SVCHOST.EXE işlemini sonlandırın
C:\Documents and Settings\sizin otorum açma
adınız\Application Data klasörünü açıp svchost.exe, ntlog.sys,
ntsys.dll, SCVHOS.exe dosyalarını silin
Güncel
1: Bulaştığı andan itibaren aktif
olmuşsa
C:\Documents
and Settings\sizin otorum açma adınız\Application Data
klasörünü açıp SVCHOT.EXE, ntlog.sys, NTCOM.DLL dosyalarını silin
2: Bulaştığında aktif olmamış isebu şekil
bulaşacağından
C:\Documents
and Settings\sizin otorum açma adınız\Application Data klasörünü açıp SVCHOT.EXE, ntlog.sys, NTCOM.DLL dosyalarını silin
Akabinde;
Başlat-çalışr'a regedit yazıp Kayıt defteri
düzenleyicisini açın ve aşağıdaki işlemleri yapın.
***********************************************************
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Bu değeri silin
svchost "C:\Documents and Settings\
sizin otorum açma adınız \Application Data\svchost.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Winlogon Bu değeri
Shell
explorer.exe "C:\Documents and Settings\ sizin otorum açma adınız
\Application Data\svchost.exe"
Bu şekil değiştirin
Shell Explorer.exe
***********************************************************
Daha sonra var ise aşagıdaki kayıtlarıda
siliniz.
HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache
C:\Documents
and Settings\sizin otorum açma adınız \Application Data\SCVHOST.EXE
SCVHOST
HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache
C:\Documents
and Settings\sizin otorum açma adınız \Application
Data\svchost.exe svchost
Bunları yaptıktan
sonra: Kontrol etmek için Kayıt defteri düzenleyicisin den
önce SCVHOST.EXE yi aratın daha sonra Application Data\svchost.exe ' yi
aratın eğer bu kelimeler bulunuyorsa ilgili girdileri silin
bulunmuyorsa keyloger temizlenmiş demektir.
Bilgisayarınızı yeniden başlatın işlem
tamamdır. Artık Sisteminizi sorunsuz kullanabilirsiniz.
Vista işletim
sisteminden Temizlemek için;
Gizli dosya ve klasörler
seçeneğini aktif hale getirinGizli
dosyaları ve klasörleri görüntülemek için aşağıdaki adımları izleyin.
1.
Başlat düğmesi , Denetim Masası, Görünüm ve Kişiselleştirme ve ardından
Klasör Seçenekleri'ni tıklatarak Klasör Seçenekleri'ni açın.
2.
Görünüm sekmesini tıklatın.
3. Gelişmiş ayarlar altından Gizli dosya
ve klasörleri göster'i ve ardından Tamam'ı tıklatın.
CTRL+ALT+DEL Tuşlarına
basarak görev yöneticisi başlatın işlemler menusunden
svchost.exe
nin karşısında yani kullanıcı adı kısmında oturum açma adınız
yazıyorsa o svchost.exe işlemini sonlandırın
Güncel
SVCHOST.EXE nin
karşısında yani kullanıcı adı kısmında oturum açma adınız yazıyorsa o
SVCHOST.EXE işlemini sonlandırın
C:\Users\sizin otorum açma adınız\AppData\Roaming
klasörünü açıp svchost.exe, ntlog.sys, ntsys.dll, SCVHOS.exe
dosyalarını silin
Güncel
1: Bulaştığı andan itibaren aktif olmuşsa
C:\Users\sizin otorum açma
adınız\AppData\Roaming klasörünü açıp
SVCHOT.EXE, ntlog.sys, NTCOM.DLL dosyalarını silin
2: Bulaştığında aktif olmamış isebu şekil
bulaşacağından
C:\Users\sizin otorum açma
adınız\AppData\Roaming klasörünü
açıp SVCHOT.EXE, ntlog.sys, NTCOM.DLL dosyalarını
silin
Akabinde;
Başlat-çalışr'a
regedit yazıp Kayıt defteri düzenleyicisini açın ve aşağıdaki işlemleri
yapın.
***********************************************************
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Bu değeri silin
svchost
"C:\Users\sizin otorum açma adınız\AppData\Roaming\svchost.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Winlogon
Bu değeri
Shell
explorer.exe "C:\Users\sizin otorum açma
adınız\AppData\Roaming\svchost.exe"
Bu şekil değiştirin
Shell explorer.exe
***********************************************************
Daha sonra var ise aşagıdaki kayıtlarıda siliniz.
HKEY_CLASSES_ROOT\Local
Settings\Software\Microsoft\Windows\Shell\MuiCache
C:\Users\sizin
otorum açma adınız\AppData\Roaming\SCVHOST.EXE SCVHOST
HKEY_CLASSES_ROOT\Local
Settings\Software\Microsoft\Windows\Shell\MuiCache
C:\Users\sizin
otorum açma adınız\AppData\Roaming\svchost.exe svchost
Bunları yaptıktan sonra; Kontrol
etmek için Kayıt defteri düzenleyicisin den önce SCVHOST:EXE yi
aratın daha sonra Roaming\svchost.exe 'yi aratın eğer bu
kelimeler bulunuyorsa ilgili girdileri silin bulunmuyorsa keyloger
temizlenmiş demektir.
Bilgisayarınızı yeniden
başlatın işlem tamamdır. Artık Sisteminizi sorunsuz
kullanabilirsiniz.
Windows 7 işletim
sisteminden Temizlemek için;
Gizli dosya ve klasörler
seçeneğini aktif hale getirinGizli
dosyaları ve klasörleri görüntülemek için aşağıdaki adımları izleyin.
1. Başlat
düğmesi , Denetim Masası, Görünüm ve Kişiselleştirme ve ardından Klasör
Seçenekleri'ni tıklatarak Klasör Seçenekleri'ni açın.
2. Görünüm
sekmesini tıklatın.
3. Gelişmiş ayarlar altından Gizli dosya ve
klasörleri göster'i ve ardından Tamam'ı tıklatın.
CTRL+ALT+DEL Tuşlarına basarak
görev yöneticisi başlatın işlemler menusunden
svchost.exe
nin karşısında yani kullanıcı adı kısmında oturum açma adınız
yazıyorsa o svchost.exe işlemini sonlandırın
Güncel
SVCHOST.EXE nin karşısında
yani kullanıcı adı kısmında oturum açma adınız yazıyorsa o
SVCHOST.EXE işlemini sonlandırın
C:\Users\sizin otorum açma adınız\AppData\Roaming
klasörünü açıp svchost.exe, ntlog.sys, ntsys.dll, SCVHOS.exe
dosyalarını silin
Güncel
1: Bulaştığı andan itibaren aktif olmuşsa
C:\Users\sizin otorum açma
adınız\AppData\Roaming klasörünü açıp
SVCHOT.EXE, ntlog.sys, NTCOM.DLL dosyalarını silin
2: Bulaştığında aktif olmamış isebu şekil bulaşacağından
C:\Users\sizin otorum açma
adınız\AppData\Roaming klasörünü
açıp SVCHOT.EXE, ntlog.sys, NTCOM.DLL dosyalarını
silin
Akabinde;
Başlat-çalışr'a
regedit yazıp Kayıt defteri düzenleyicisini açın ve aşağıdaki işlemleri
yapın.
***********************************************************
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Bu değeri silin
svchost
"C:\Users\sizin otorum açma adınız\AppData\Roaming\svchost.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Winlogon
Bu değeri
Shell
explorer.exe "C:\Users\sizin otorum açma
adınız\AppData\Roaming\svchost.exe"
Bu şekil değiştirin
Shell explorer.exe
***********************************************************
Bunları yaptıktan sonra; Kontrol
etmek için Kayıt defteri düzenleyicisin den önce SCVHOST:EXE yi
aratın daha sonra Roaming\svchost.exe 'yi aratın eğer bu
kelimeler bulunuyorsa ilgili girdileri silin bulunmuyorsa keyloger
temizlenmiş demektir.
Bilgisayarınızı yeniden başlatın işlem tamamdır.
Artık Sisteminizi sorunsuz kullanabilirsiniz.
Bu Keyloggere Genelde Koxp Kullanan Arkadaşlar Yakalanır. Çünkü Koxp Yapanların Çogu Çar Soymak İçin Böyle Şerefsizlik Yapar. Arkadaşlar BU Keylogger Adındanda Belli Oldugu Gibi. Wardom.org Tarafından m3hm3t AdLı Admin Tarafından Yapılmaktadır. Sanırım Yıllık Kullanım Ücreti 46tl. Yeni Keyloggerleri Artık Hicbir Antivirüs Yakayamıyor. Dikkatli Olunuz ve Yeni Çıkan Keyloggere Karsı Savunmak İçin Bizi İzlemeyi Devam Edin. Emegimizin Karsılıgı Olarakda 1 Kere Reklamlarımıza Basınız. İYi Günler.
Hiç yorum yok:
Yorum Gönder