svchost.exe adı ile gizlenen yeni nesil keyloger Hakkında:
svchost.exe Yeni nesil Türk Yapımı Güzel bir Keyloger client'i dir. Ticari amaçlı yapılmıştır vekötü amaçlarda kullanılmaktadır. Buradaki svchost.exe ismini yapımcı istediği zaman değişebilmektedir. örnek: aa.exe gibi, svchost.exe adı keyloger clientini oluşturan program ilestandart olarak gelmektedir.
Bu keyloger Şifrelerinizin ve kişisel bilgilerinizin çalınması amacı ile kullanılır.
Eğer pc nize bulaşmış ise ; Pc nizdegirmiş olduğunuz internet adresleri, Girmiş olduğunuz bütün kullanıcıadı ve şifreler, yazmış olduğunuz ve kopyala yapıştır yaptığınızbütün yazılar, pc nizin ekran görüntüsü,…vs periyodik bir şekildebelirtilen zaman aralıklarında yapımcının belirtmiş olduğu adrese yollamaktadır.
Client’i oluşturan kişi dosya ismini istediğigibi değiştire bilir fakat bulaştığında görev yöneticisi işlemlermenusunde svchost.exe olarak gözükür. “Eğer yapımcı standart olansvchost.exe ismini değiştirirse görev yöneticisinde isim farklı gözükebilir”
Şimdi diyeceksiniz sistemde birçok svchost.exe çalışıyor bunun keyloger olduğunu nasıl anlayacağız
Svchost.exe ler oturum açma adınız ile çalışmazlar
Örneğin;Oturum açma adınız xxx ise svchost.exe nin karşısında yani kullanıcıadı kısmında xxx yazıyorsa pc nize keyloger bulaşmış demektir.
Bu keyloger kendi kendine bulaşmaz bulaşması için svchost.exe dosyasının çalıştırılması gerekir Dosya adındaki svchost kısmının değişik olabileceğini daha önceden belirtmiştik.
İşletim sisteminden Temizlemek için;
Gizli dosya ve klasörler seçeneğini aktif hale getirin
CTRL+ALT+DEL Tuşlarına basarak görev yöneticisini açın işlemler menusunden
svchost.exe nin karşısında yani kullanıcı adı kısmında oturum açma adınız yazıyorsa o svchost.exe işlemini sonlandırın
C:\Documents and Settings\sizin otorum açmaadınız\Application Data klasörünü açıp svchost.exe, ntlog.sys, ntsys.dll, SCVHOS.exe dosyalarını silin
Akabinde;
Başlat-çalışr'a regedit yazıp Kayıt defteri düzenleyicisini açın ve aşağıdaki işlemleri yapın.
********************** ******************** *********
HKEY_CURRENT_USER\Software\Mic rosoft\Windows\Curre ntVersion\Run
Bu değeri silin
svchost "C:\Documents and Settings\ sizin otorum açma adınız \Application Data\svchost.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Mi crosoft\Windows NT\CurrentVersion\Winlogon
Bu değeri
Shell explorer.exe "C:\Documents and Settings\ sizin otorum açma adınız \Application Data\svchost.exe"
Bu şekil değiştirin
Shell Explorer.exe
********************* ******************** *********
Daha sonra var ise aşagıdaki kayıtlarıda siliniz.
HKEY_CURRENT_USER\Software\Mic rosoft\Windows\Shell NoRoam\MUICache
C:\Documents and Settings\sizin otorum açma adınız \Application Data\SCVHOST.EXE SCVHOST
HKEY_CURRENT_USER\Software\Mic rosoft\Windows\Shell NoRoam\MUICache
C:\Documents and Settings\sizin otorum açma adınız \Application Data\svchost.exe svchost
Bunları yaptıktan sonra: Kontrol etmek için Kayıt defteri düzenleyicisin den önce SCVHOST.EXE yi aratın daha sonra Application Data\svchost.exe 'yi aratın eğer bu kelimeler bulunuyorsa ilgili girdileri silin bulunmuyorsa keyloger temizlenmiş demektir.
Bilgisayarınızı yeniden başlatın işlem tamamdır. Artık Sisteminizi sorunsuz kullanabilirsiniz.
Kaynak
svchost.exe Yeni nesil Türk Yapımı Güzel bir Keyloger client'i dir. Ticari amaçlı yapılmıştır vekötü amaçlarda kullanılmaktadır. Buradaki svchost.exe ismini yapımcı istediği zaman değişebilmektedir. örnek: aa.exe gibi, svchost.exe adı keyloger clientini oluşturan program ilestandart olarak gelmektedir.
Bu keyloger Şifrelerinizin ve kişisel bilgilerinizin çalınması amacı ile kullanılır.
Eğer pc nize bulaşmış ise ; Pc nizdegirmiş olduğunuz internet adresleri, Girmiş olduğunuz bütün kullanıcıadı ve şifreler, yazmış olduğunuz ve kopyala yapıştır yaptığınızbütün yazılar, pc nizin ekran görüntüsü,…vs periyodik bir şekildebelirtilen zaman aralıklarında yapımcının belirtmiş olduğu adrese yollamaktadır.
Client’i oluşturan kişi dosya ismini istediğigibi değiştire bilir fakat bulaştığında görev yöneticisi işlemlermenusunde svchost.exe olarak gözükür. “Eğer yapımcı standart olansvchost.exe ismini değiştirirse görev yöneticisinde isim farklı gözükebilir”
Şimdi diyeceksiniz sistemde birçok svchost.exe çalışıyor bunun keyloger olduğunu nasıl anlayacağız
Svchost.exe ler oturum açma adınız ile çalışmazlar
Örneğin;Oturum açma adınız xxx ise svchost.exe nin karşısında yani kullanıcıadı kısmında xxx yazıyorsa pc nize keyloger bulaşmış demektir.
Bu keyloger kendi kendine bulaşmaz bulaşması için svchost.exe dosyasının çalıştırılması gerekir Dosya adındaki svchost kısmının değişik olabileceğini daha önceden belirtmiştik.
İşletim sisteminden Temizlemek için;
Gizli dosya ve klasörler seçeneğini aktif hale getirin
CTRL+ALT+DEL Tuşlarına basarak görev yöneticisini açın işlemler menusunden
svchost.exe nin karşısında yani kullanıcı adı kısmında oturum açma adınız yazıyorsa o svchost.exe işlemini sonlandırın
C:\Documents and Settings\sizin otorum açmaadınız\Application Data klasörünü açıp svchost.exe, ntlog.sys, ntsys.dll, SCVHOS.exe dosyalarını silin
Akabinde;
Başlat-çalışr'a regedit yazıp Kayıt defteri düzenleyicisini açın ve aşağıdaki işlemleri yapın.
********************** ******************** *********
HKEY_CURRENT_USER\Software\Mic rosoft\Windows\Curre ntVersion\Run
Bu değeri silin
svchost "C:\Documents and Settings\ sizin otorum açma adınız \Application Data\svchost.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Mi crosoft\Windows NT\CurrentVersion\Winlogon
Bu değeri
Shell explorer.exe "C:\Documents and Settings\ sizin otorum açma adınız \Application Data\svchost.exe"
Bu şekil değiştirin
Shell Explorer.exe
********************* ******************** *********
Daha sonra var ise aşagıdaki kayıtlarıda siliniz.
HKEY_CURRENT_USER\Software\Mic rosoft\Windows\Shell NoRoam\MUICache
C:\Documents and Settings\sizin otorum açma adınız \Application Data\SCVHOST.EXE SCVHOST
HKEY_CURRENT_USER\Software\Mic rosoft\Windows\Shell NoRoam\MUICache
C:\Documents and Settings\sizin otorum açma adınız \Application Data\svchost.exe svchost
Bunları yaptıktan sonra: Kontrol etmek için Kayıt defteri düzenleyicisin den önce SCVHOST.EXE yi aratın daha sonra Application Data\svchost.exe 'yi aratın eğer bu kelimeler bulunuyorsa ilgili girdileri silin bulunmuyorsa keyloger temizlenmiş demektir.
Bilgisayarınızı yeniden başlatın işlem tamamdır. Artık Sisteminizi sorunsuz kullanabilirsiniz.
Kaynak
