Kayıt
23 Haziran 2008
Mesajlar
520
Beğeniler
0
Şehir
Bye Bye Türkçe
svchost.exe Yeni nesil Türk Yapımı Güzel bir Keyloger client'i dir. Ticari amaçlı yapılmıştır. Burdaki svchost.exe ismini yapımcı istediği zaman değişebilmektedir. örnek: aa.exe gibi, svchost.exe adı program ile standart olarak gelmektedir.

Bu keyloger Şifrelerinizin ve kişisel bilgilerinizin çalınması amacı ile kullanılır.

Eğer pc nize bulaşmış ise ; Pc nizde girmiş olduğunuz internet adresleri, Girmiş olduğunuz bütün kullanıcı adı ve şifreler, yazmış olduğunuz ve kopyala yapıştır yaptığınız bütün yazılar, pc nizin ekran görüntüsü,�vs periyodik bir şekilde belirtilen zaman aralıklarında yapımcının belirtmiş olduğu adrese yollamaktadır.

Client�i oluşturan kişi dosya ismini istediği gibi değiştire bilir fakat bulaştığında görev yöneticisi işlemler menusunde svchost.exe olarak gözükür. �Eğer yapımcı standart olan svchost.exe ismini değiştirirse görev yöneticisinde isim farklı gözüke bilir�







Şimdi diyeceksiniz sistemde birçok svchost.exe çalışıyor bunun keyloger olduğunu nasıl anlayacağız.

Hemen açıklık getirelim;

Svchost.exe ler oturum açma adınız ile çalışmazlar



Örneğin; Oturum açma adınız xxx ise svchost.exe nin karşısında yani kullanıcı adı kısmında xxx yazıyorsa pc nize keyloger bulaşmış demektir.



Bu keyloger kendi kendine bulaşmaz bulaşması için svchost.exe dosyasının çalıştırılması gerekir Dosya adındaki svchost kısmının değişik olabileceğini daha önceden belirtmiştik. örnek aa.exe ..vs ama görev yöneticisinde işlemler menusunde svchost.exe olarak gözükür.

Dosyanın simgesi farklı olabilir basit bir örnek verecek olursak gönderen kişi dosyanın simgesini "mp3" müzik dosyası gibi ayarlar içine de bir müzik dosyası gömüp bulaştırmak istediği kişiye gönderir ve dosyayı alan kişi müzik dinlemek için o dosyayı çalıştırdığında müzik çalmaya başlar keyloger da bulaşmış olur.

Not: Bu tür durumlarda şüphe duyuyorsanız dosya uzantısını kontrol ediniz. Yukarıda bahsttiğim örnekteki mp3 dosyasının uzantısı **** değil .exe dir. Ama .exe uzantılı bir dosyanın içerisine gömülmüştür.



Anti virüs yazılımlarına yakalanmamaktadır ama son zamanlarda kaspersky internetsecurity yazılımına �Backdoor.Win32.Delf.osq� olarak yakalanmaktadır. Eğer yapımcı tarafından keyloger�in güncellemesi yapılırsa anti virüs yazılımlarına yakalanmama ihtimali yüksektir.



svchost.exe keyloger' ı Pc nize bulaşmış ise aşağıda bahsettiğim yöntemi kullanarak temizleye bilirsiniz bizzat tarafımdan test edilmiştir.



Bulaştığı zaman

Standart olarak C:\Documents and Settings\sizin otorum açma adınız\Application Data içerisine svchost.exe, ntlog.sys, ntsys.dll olarak 3 dosya şeklinde bulaşır.

Not: Gizli dosya ve klasörler seçeneğini aktif hale getirmeden yukraıdaki dizini göremezsiniz.





Temizlemek için;

Gizli dosya ve klasörler seçeneğini aktif hale getirin



CTRL+ALT+DEL Tuşlarına basarak görev yöneticisini açın işlemler menusunden

svchost.exe nin karşısında yani kullanıcı adı kısmında oturum açma adınız yazıyorsa o svchost.exe işlemini sonlandırın



C:\Documents and Settings\sizin otorum açma adınız\Application Data klasörünü açıp svchost.exe, ntlog.sys, ntsys.dll dosyalarını silin

Akabinde;



Başlat-çalışr'a regedit yazıp Kayıt defteri düzenleyicisini açın ve aşağıdaki işlemleri yapın.



HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

svchost Değerini silin "C:\Documents and Settings\ sizin otorum açma adınız \Application Data\svchost.exe"



HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

Shell Değerini silin explorer.exe "C:\Documents and Settings\ sizin otorum açma adınız \Application Data\svchost.exe"



Bunları Sildikten sonra kontrol etmek için Kayıt defteri düzenleyicisin den "C:\Documents and Settings\ sizin otorum açma adınız \Application Data\svchost.exe" yi aratın eğer bu kelime bulunuyorsa ilgili girdileri silin bulunmuyorsa keyloger temizlenmiş demektir.





Bilgisayarınızı yeniden başlatın işlem tamamdır.





Saygılarımla Kaynak:DH
 
Kayıt
20 Mart 2008
Mesajlar
682
Beğeniler
0
Şehir
İST/Sarıyer/Büyükdere
dediklerinin hepsını gerceklstırdım hıc bırı yok ''Application Data klasörünü'' bulamadım boyle bır dosya gozukmuyor akabinde svchost. exe doyasından bende bır suru var :S
 
Kayıt
28 Ocak 2009
Mesajlar
2.775
Beğeniler
0
Bende vardı butun pc ye bulastı nerden cıktı vırus bılmıyorum ama Macrocheck sayesınde bitti virüs cok yasa Macrocheck :D
 
Kayıt
19 Haziran 2007
Mesajlar
6.177
Beğeniler
0
Şehir
Karanfil kokan ülkemin, ülkemin caddelerinde
@wolke

svchost sizin internete bağlanmanızda yardımcı bir windows bileşenidir, her gördüğünüz svchost'u virüs sanmayın. Gerçek svchost windows/system 32 içindedir. Bir grup akıllı insan bunun taklidini yaparak documentsandsettings/oturumadınız/applicationdata içine yerleştirir. Nedeni ise siz gerekli bir şey sanıp silmeyin diyedir.

Svchost olmayan hiçbir windows yoktur kısacası, ben PC'min temiz olduğuna son derece eminim ve bu benim görev yöneticim.

Her gördüğünüz svchostu virüs sanmayın

- Resim Silinmiş.
 
Son düzenleme yönetici tarafından yapıldı:
Kayıt
23 Haziran 2008
Mesajlar
520
Beğeniler
0
Şehir
Bye Bye Türkçe
Ordada yazdığı gibi eğer svchost.exe nin karşısında kullanıcı adı yazıyosa örn.Alican

o virüstür ötekiler değiltir , ayrıca o dediğin yere girebilmen için gizli dosyaları aktif etmen gerekir, ben bundan soyuldunuz demıyorum bundandan soyulabilirsiniz diyorum Pc nizi açtıgınız zaman bi bakıın ctrl+alt+del yansıma adına bakın svchost.exe nin karşısında kullanıcı adınız yazıyosa gereken işlemleri İYİ OKUYARAK yapın silinecektir
 
Kayıt
23 Nisan 2008
Mesajlar
46
Beğeniler
0
Şehir
Malatya
LebronJames23 demiş ki:
wolke demiş ki:
bende bir yıgın var anlamadım gitti
- Resim Silinmiş.
svchost.exe dosyalarının birinin karşısında administrator yazıyor.Oturumunun adı administrator mu? :roll: Eğer oysa anlatıma göre keylogger bulaşmış...
Evet keylogger var..PC yi güvenli moda al.Sonra da üstteki işlemleri yap.Ardında normal olarak bilgisayarı aç.ComboFix 2.0 indir.Çalıştır.Açılan Text dosyasını PM den gönder bana :=)
 
Son düzenleme yönetici tarafından yapıldı:
Kayıt
23 Haziran 2008
Mesajlar
520
Beğeniler
0
Şehir
Bye Bye Türkçe
Respect demiş ki:
svchost.exe virüs değildir boşuna milleti tedirgin etmeyin.

konuyu iyi okumadın heralde?


PS:Şimdi diyeceksiniz sistemde birçok svchost.exe çalışıyor bunun keyloger olduğunu nasıl anlayacağız.

Hemen açıklık getirelim;

Svchost.exe ler oturum açma adınız ile çalışmazlar



Örneğin; Oturum açma adınız xxx ise svchost.exe nin karşısında yani kullanıcı adı kısmında xxx yazıyorsa pc nize keyloger bulaşmış demektir.




Ordada yazdığı gibi eğer svchost.exe nin karşısında kullanıcı adı yazıyosa örn.Alican

o virüstür ötekiler değiltir , ayrıca o dediğin yere girebilmen için gizli dosyaları aktif etmen gerekir, ben bundan soyuldunuz demıyorum bundandan soyulabilirsiniz diyorum Pc nizi açtıgınız zaman bi bakıın ctrl+alt+del yansıma adına bakın svchost.exe nin karşısında kullanıcı adınız yazıyosa gereken işlemleri İYİ OKUYARAK yapın silinecektir
 
Yukarı Alt