svchost.exe Yeni nesil Türk Yapımı Güzel bir Keyloger client'i dir. Ticari amaçlı yapılmıştır. Burdaki svchost.exe ismini yapımcı istediği zaman değişebilmektedir. örnek: aa.exe gibi, svchost.exe adı program ile standart olarak gelmektedir.
Bu keyloger Şifrelerinizin ve kişisel bilgilerinizin çalınması amacı ile kullanılır.
Eğer pc nize bulaşmış ise ; Pc nizde girmiş olduğunuz internet adresleri, Girmiş olduğunuz bütün kullanıcı adı ve şifreler, yazmış olduğunuz ve kopyala yapıştır yaptığınız bütün yazılar, pc nizin ekran görüntüsü,�vs periyodik bir şekilde belirtilen zaman aralıklarında yapımcının belirtmiş olduğu adrese yollamaktadır.
Client�i oluşturan kişi dosya ismini istediği gibi değiştire bilir fakat bulaştığında görev yöneticisi işlemler menusunde svchost.exe olarak gözükür. �Eğer yapımcı standart olan svchost.exe ismini değiştirirse görev yöneticisinde isim farklı gözüke bilir�
Şimdi diyeceksiniz sistemde birçok svchost.exe çalışıyor bunun keyloger olduğunu nasıl anlayacağız.
Hemen açıklık getirelim;
Svchost.exe ler oturum açma adınız ile çalışmazlar
Örneğin; Oturum açma adınız xxx ise svchost.exe nin karşısında yani kullanıcı adı kısmında xxx yazıyorsa pc nize keyloger bulaşmış demektir.
Bu keyloger kendi kendine bulaşmaz bulaşması için svchost.exe dosyasının çalıştırılması gerekir Dosya adındaki svchost kısmının değişik olabileceğini daha önceden belirtmiştik. örnek aa.exe ..vs ama görev yöneticisinde işlemler menusunde svchost.exe olarak gözükür.
Dosyanın simgesi farklı olabilir basit bir örnek verecek olursak gönderen kişi dosyanın simgesini "mp3" müzik dosyası gibi ayarlar içine de bir müzik dosyası gömüp bulaştırmak istediği kişiye gönderir ve dosyayı alan kişi müzik dinlemek için o dosyayı çalıştırdığında müzik çalmaya başlar keyloger da bulaşmış olur.
Not: Bu tür durumlarda şüphe duyuyorsanız dosya uzantısını kontrol ediniz. Yukarıda bahsttiğim örnekteki mp3 dosyasının uzantısı **** değil .exe dir. Ama .exe uzantılı bir dosyanın içerisine gömülmüştür.
Anti virüs yazılımlarına yakalanmamaktadır ama son zamanlarda kaspersky internetsecurity yazılımına �Backdoor.Win32.Delf.osq� olarak yakalanmaktadır. Eğer yapımcı tarafından keyloger�in güncellemesi yapılırsa anti virüs yazılımlarına yakalanmama ihtimali yüksektir.
svchost.exe keyloger' ı Pc nize bulaşmış ise aşağıda bahsettiğim yöntemi kullanarak temizleye bilirsiniz bizzat tarafımdan test edilmiştir.
Bulaştığı zaman
Standart olarak C:\Documents and Settings\sizin otorum açma adınız\Application Data içerisine svchost.exe, ntlog.sys, ntsys.dll olarak 3 dosya şeklinde bulaşır.
Not: Gizli dosya ve klasörler seçeneğini aktif hale getirmeden yukraıdaki dizini göremezsiniz.
Temizlemek için;
Gizli dosya ve klasörler seçeneğini aktif hale getirin
CTRL+ALT+DEL Tuşlarına basarak görev yöneticisini açın işlemler menusunden
svchost.exe nin karşısında yani kullanıcı adı kısmında oturum açma adınız yazıyorsa o svchost.exe işlemini sonlandırın
C:\Documents and Settings\sizin otorum açma adınız\Application Data klasörünü açıp svchost.exe, ntlog.sys, ntsys.dll dosyalarını silin
Akabinde;
Başlat-çalışr'a regedit yazıp Kayıt defteri düzenleyicisini açın ve aşağıdaki işlemleri yapın.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
svchost Değerini silin "C:\Documents and Settings\ sizin otorum açma adınız \Application Data\svchost.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Shell Değerini silin explorer.exe "C:\Documents and Settings\ sizin otorum açma adınız \Application Data\svchost.exe"
Bunları Sildikten sonra kontrol etmek için Kayıt defteri düzenleyicisin den "C:\Documents and Settings\ sizin otorum açma adınız \Application Data\svchost.exe" yi aratın eğer bu kelime bulunuyorsa ilgili girdileri silin bulunmuyorsa keyloger temizlenmiş demektir.
Bilgisayarınızı yeniden başlatın işlem tamamdır.
Saygılarımla KaynakH
Bu keyloger Şifrelerinizin ve kişisel bilgilerinizin çalınması amacı ile kullanılır.
Eğer pc nize bulaşmış ise ; Pc nizde girmiş olduğunuz internet adresleri, Girmiş olduğunuz bütün kullanıcı adı ve şifreler, yazmış olduğunuz ve kopyala yapıştır yaptığınız bütün yazılar, pc nizin ekran görüntüsü,�vs periyodik bir şekilde belirtilen zaman aralıklarında yapımcının belirtmiş olduğu adrese yollamaktadır.
Client�i oluşturan kişi dosya ismini istediği gibi değiştire bilir fakat bulaştığında görev yöneticisi işlemler menusunde svchost.exe olarak gözükür. �Eğer yapımcı standart olan svchost.exe ismini değiştirirse görev yöneticisinde isim farklı gözüke bilir�
Şimdi diyeceksiniz sistemde birçok svchost.exe çalışıyor bunun keyloger olduğunu nasıl anlayacağız.
Hemen açıklık getirelim;
Svchost.exe ler oturum açma adınız ile çalışmazlar
Örneğin; Oturum açma adınız xxx ise svchost.exe nin karşısında yani kullanıcı adı kısmında xxx yazıyorsa pc nize keyloger bulaşmış demektir.
Bu keyloger kendi kendine bulaşmaz bulaşması için svchost.exe dosyasının çalıştırılması gerekir Dosya adındaki svchost kısmının değişik olabileceğini daha önceden belirtmiştik. örnek aa.exe ..vs ama görev yöneticisinde işlemler menusunde svchost.exe olarak gözükür.
Dosyanın simgesi farklı olabilir basit bir örnek verecek olursak gönderen kişi dosyanın simgesini "mp3" müzik dosyası gibi ayarlar içine de bir müzik dosyası gömüp bulaştırmak istediği kişiye gönderir ve dosyayı alan kişi müzik dinlemek için o dosyayı çalıştırdığında müzik çalmaya başlar keyloger da bulaşmış olur.
Not: Bu tür durumlarda şüphe duyuyorsanız dosya uzantısını kontrol ediniz. Yukarıda bahsttiğim örnekteki mp3 dosyasının uzantısı **** değil .exe dir. Ama .exe uzantılı bir dosyanın içerisine gömülmüştür.
Anti virüs yazılımlarına yakalanmamaktadır ama son zamanlarda kaspersky internetsecurity yazılımına �Backdoor.Win32.Delf.osq� olarak yakalanmaktadır. Eğer yapımcı tarafından keyloger�in güncellemesi yapılırsa anti virüs yazılımlarına yakalanmama ihtimali yüksektir.
svchost.exe keyloger' ı Pc nize bulaşmış ise aşağıda bahsettiğim yöntemi kullanarak temizleye bilirsiniz bizzat tarafımdan test edilmiştir.
Bulaştığı zaman
Standart olarak C:\Documents and Settings\sizin otorum açma adınız\Application Data içerisine svchost.exe, ntlog.sys, ntsys.dll olarak 3 dosya şeklinde bulaşır.
Not: Gizli dosya ve klasörler seçeneğini aktif hale getirmeden yukraıdaki dizini göremezsiniz.
Temizlemek için;
Gizli dosya ve klasörler seçeneğini aktif hale getirin
CTRL+ALT+DEL Tuşlarına basarak görev yöneticisini açın işlemler menusunden
svchost.exe nin karşısında yani kullanıcı adı kısmında oturum açma adınız yazıyorsa o svchost.exe işlemini sonlandırın
C:\Documents and Settings\sizin otorum açma adınız\Application Data klasörünü açıp svchost.exe, ntlog.sys, ntsys.dll dosyalarını silin
Akabinde;
Başlat-çalışr'a regedit yazıp Kayıt defteri düzenleyicisini açın ve aşağıdaki işlemleri yapın.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
svchost Değerini silin "C:\Documents and Settings\ sizin otorum açma adınız \Application Data\svchost.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Shell Değerini silin explorer.exe "C:\Documents and Settings\ sizin otorum açma adınız \Application Data\svchost.exe"
Bunları Sildikten sonra kontrol etmek için Kayıt defteri düzenleyicisin den "C:\Documents and Settings\ sizin otorum açma adınız \Application Data\svchost.exe" yi aratın eğer bu kelime bulunuyorsa ilgili girdileri silin bulunmuyorsa keyloger temizlenmiş demektir.
Bilgisayarınızı yeniden başlatın işlem tamamdır.
Saygılarımla KaynakH