svchost.exe (Dikkat)

svchost.exe adı ile gizlenen yeni nesil keyloger'a dikkat

En güncel temizleme yöntemleri  konunun sonuna eklenecektir

svchost.exe adı ile gizlenen yeni nesil keyloger Hakkında:

svchost.exe  Yeni nesil Türk Yapımı   Güzel bir Keyloger client'i  dir.  Ticari amaçlı yapılmıştır ve kötü amaçlarda  kullanılmaktadır. Buradaki  svchost.exe  ismini   yapımcı istediği zaman değişebilmektedir.  örnek: aa.exe  gibi, svchost.exe  adı  keyloger clientini oluşturan program ile standart olarak gelmektedir.  
Bu keyloger  Şifrelerinizin  ve kişisel bilgilerinizin  çalınması amacı ile kullanılır. 
Eğer pc nize bulaşmış ise ; Pc nizde girmiş olduğunuz internet adresleri, Girmiş olduğunuz bütün  kullanıcı adı ve  şifreler, yazmış olduğunuz ve kopyala yapıştır  yaptığınız bütün yazılar, pc nizin ekran görüntüsü,…vs   periyodik bir şekilde belirtilen zaman aralıklarında   yapımcının belirtmiş olduğu  adrese  yollamaktadır.
Client’i oluşturan kişi dosya ismini istediği gibi değiştire bilir  fakat  bulaştığında   görev yöneticisi işlemler menusunde svchost.exe olarak gözükür.  “Eğer yapımcı  standart  olan svchost.exe ismini değiştirirse  görev yöneticisinde isim farklı gözüke bilir”

Şimdi diyeceksiniz   sistemde  birçok  svchost.exe çalışıyor  bunun keyloger olduğunu nasıl anlayacağız.
Hemen açıklık getirelim;

Svchost.exe ler  oturum açma adınız ile çalışmazlar eğer aşağıdaki gibi  çalışıyorsa;

Örneğin; Oturum açma adınız xxx ise   svchost.exe nin karşısında  yani kullanıcı adı kısmında  xxx yazıyorsa  pc nize keyloger bulaşmış demektir.

Bu keyloger kendi kendine bulaşmaz  bulaşması için   svchost.exe dosyasının çalıştırılması gerekir  Dosya adındaki svchost kısmının  değişik olabileceğini daha önceden belirtmiştik.

Dosyanın simgesi  farklı olabilir  basit bir örnek verecek olursak   gönderen kişi dosyanın simgesini  "mp3" müzik dosyası gibi ayarlarlıyabilir  içine de  bir müzik dosyası gömüp bulaştırmak istediği kişiye gönderir  ve   dosyayı  alan kişi müzik dinlemek için  o dosyayı çalıştırdığında   keyloger bulaşmış olur.
Not: Bu tür durumlarda   şüphe duyuyorsanız dosya uzantısını kontrol ediniz. Yukarıda bahsttiğim örnekteki  mp3 dosyasının  uzantısı .mp3 değil .exe dir. Ama .exe uzantılı bir dosyanın  içerisine gömülmüştür.

Anti virüs yazılımlarına yakalanmamaktadır   son zamanlarda kaspersky internetsecurity  yazılımına “Backdoor.Win32.Delf.osq” olarak  yakalanmaktadır. Eğer yapımcı tarafından keyloger’in güncellemesi yapılırsa  anti virüs yazılımlarına  yakalanmama ihtimali yüksektir. Şuan itibari ile  anti virüs yazılımlarına yakalanmamaktadır.

svchost.exe adı altında bulaşan   keyloger  Pc nize bulaşmış ise aşağıda  bahsettiğim yöntemi kullanarak temizleye bilirsiniz. Keyloger  bizzat tarafımdan test edilmiştir.

Bulaştığı zaman
Vindows işletim sistemlerine bulaşır...

Standart olarak : Xp' de C:\Documents and Settings\sizin otorum açma adınız\Application Data     içerisine  svchost.exe, SCVHOST.exe,  ntlog.sys,  ntsys.dll  olarak 4 dosya şeklinde bulaşır.

Güncel 

Şuanki Güncellenmiş halinde 2 şekilde bulaşır

1: Bulaştığı andan itibaren aktif olur

C:\Documents and Settings\sizin otorum açma adınız\Application Data     içerisine  SVCHOT.EXE,  ntlog.sys, NTCOM.DLL olarak 3 dosya şeklinde bulaşır.

2: Bulaştığında aktif olmaz  C:\Documents and Settings\sizin otorum açma adınız\Application Data     içerisine  SVCHOT.EXE ve  NTCOM.DLL olarak 2 dosya şeklinde bulaşır.

   Pc yi aç kapa yaptığınızda SVCHOT.EXE,  ntlog.sys, NTCOM.DLL olarak 3 dosya şeklinde bulunur ve aktif halde olur.

Vista' da C:\Users\sizin otorum açma adınız\AppData\Roaming     içerisine  svchost.exe, SCVHOST.exe,  ntlog.sys,  ntsys.dll  olarak 4 dosya şeklinde bulaşır.

Güncel 

Şuanki Güncellenmiş halinde 2 şekilde bulaşır

1: Bulaştığı andan itibaren aktif olur

C:\Users\sizin otorum açma adınız\AppData\Roaming içerisine  SVCHOT.EXE,  ntlog.sys, NTCOM.DLL olarak 3 dosya şeklinde bulaşır.

2: Bulaştığında aktif olmaz  C:\Users\sizin otorum açma adınız\AppData\Roaming      içerisine  SVCHOT.EXE ve  NTCOM.DLL olarak 2 dosya şeklinde bulaşır.

   Pc yi aç kapa yaptığınızda SVCHOT.EXE,  ntlog.sys, NTCOM.DLL olarak 3 dosya şeklinde bulunur ve aktif halde olur.

Windows 7' de C:\Users\sizin otorum açma adınız\AppData\Roaming     içerisine  svchost.exe, SCVHOST.exe,  ntlog.sys,  ntsys.dll  olarak 4 dosya şeklinde bulaşır.

Güncel 

Şuanki Güncellenmiş halinde 2 şekilde bulaşır

1: Bulaştığı andan itibaren aktif olur

C:\Users\sizin otorum açma adınız\AppData\Roaming     içerisine  SVCHOT.EXE,  ntlog.sys, NTCOM.DLL olarak 3 dosya şeklinde bulaşır.

2: Bulaştığında aktif olmaz  C:\Users\sizin otorum açma adınız\AppData\Roaming          içerisine  SVCHOT.EXE ve  NTCOM.DLL olarak 2 dosya şeklinde bulaşır.

   Pc yi aç kapa yaptığınızda SVCHOT.EXE,  ntlog.sys, NTCOM.DLL olarak 3 dosya şeklinde bulunur ve aktif halde olur.

Not: Gizli dosya ve klasörler seçeneğini aktif hale getirmeden belirtilen dizini göremezsiniz.

Xp işletim sisteminden Temizlemek için;
Gizli dosya ve klasörler seçeneğini aktif hale getirin

CTRL+ALT+DEL Tuşlarına basarak görev yöneticisini açın işlemler menusunden 
svchost.exe nin karşısında  yani kullanıcı adı kısmında  oturum açma adınız yazıyorsa   o svchost.exe  işlemini sonlandırın  

Güncel
SVCHOST.EXE nin karşısında  yani kullanıcı adı kısmında  oturum açma adınız yazıyorsa   o SVCHOST.EXE  işlemini sonlandırın 

C:\Documents and Settings\sizin otorum açma adınız\Application Data  klasörünü açıp  svchost.exe,  ntlog.sys,  ntsys.dll, SCVHOS.exe   dosyalarını silin

 Güncel

1: Bulaştığı andan itibaren aktif  olmuşsa 
C:\Documents and Settings\sizin otorum açma adınız\Application Data  klasörünü açıp  SVCHOT.EXE,  ntlog.sys, NTCOM.DLL  dosyalarını silin 

2: Bulaştığında aktif olmamış isebu şekil bulaşacağından
C:\Documents and Settings\sizin otorum açma adınız\Application Data      klasörünü açıp  SVCHOT.EXE,  ntlog.sys, NTCOM.DLL  dosyalarını silin 

Akabinde;

Başlat-çalışr'a regedit yazıp Kayıt defteri düzenleyicisini açın ve aşağıdaki işlemleri yapın. 

***********************************************************

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

Bu değeri silin
svchost      "C:\Documents and Settings\ sizin otorum açma adınız \Application Data\svchost.exe"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

Bu değeri
Shell     explorer.exe "C:\Documents and Settings\ sizin otorum açma adınız \Application Data\svchost.exe"

Bu şekil değiştirin
Shell      Explorer.exe 

***********************************************************

Daha sonra  var ise aşagıdaki kayıtlarıda siliniz.

HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache
C:\Documents and Settings\sizin otorum açma adınız \Application Data\SCVHOST.EXE     SCVHOST 

HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache
C:\Documents and Settings\sizin otorum açma adınız \Application Data\svchost.exe     svchost 

Bunları yaptıktan sonra:  Kontrol etmek için  Kayıt defteri düzenleyicisin den önce  SCVHOST.EXE yi aratın daha sonra Application Data\svchost.exe  'yi aratın  eğer bu kelimeler  bulunuyorsa ilgili girdileri silin bulunmuyorsa keyloger  temizlenmiş demektir.

Bilgisayarınızı yeniden başlatın   işlem tamamdır.  Artık   Sisteminizi  sorunsuz kullanabilirsiniz. 

Vista işletim sisteminden Temizlemek için; 

 Gizli dosya ve klasörler seçeneğini aktif hale getirin

Gizli dosyaları ve klasörleri görüntülemek için aşağıdaki adımları izleyin.
1.  Başlat düğmesi , Denetim Masası, Görünüm ve Kişiselleştirme ve ardından Klasör Seçenekleri'ni tıklatarak Klasör Seçenekleri'ni açın.
2.  Görünüm sekmesini tıklatın.
3.  Gelişmiş ayarlar altından Gizli dosya ve klasörleri göster'i ve ardından Tamam'ı tıklatın.

CTRL+ALT+DEL Tuşlarına basarak görev yöneticisi başlatın  işlemler menusunden 

svchost.exe nin karşısında  yani kullanıcı adı kısmında  oturum açma adınız yazıyorsa   o svchost.exe  işlemini sonlandırın  

Güncel
SVCHOST.EXE nin karşısında  yani kullanıcı adı kısmında  oturum açma adınız yazıyorsa   o SVCHOST.EXE  işlemini sonlandırın 

C:\Users\sizin otorum açma adınız\AppData\Roaming     klasörünü açıp  svchost.exe,  ntlog.sys,  ntsys.dll, SCVHOS.exe   dosyalarını silin

 Güncel 

1: Bulaştığı andan itibaren aktif  olmuşsa 
C:\Users\sizin otorum açma adınız\AppData\Roaming    klasörünü açıp  SVCHOT.EXE,  ntlog.sys, NTCOM.DLL  dosyalarını silin 

2: Bulaştığında aktif olmamış isebu şekil bulaşacağından
C:\Users\sizin otorum açma adınız\AppData\Roaming    klasörünü açıp  SVCHOT.EXE,  ntlog.sys, NTCOM.DLL  dosyalarını silin 

Akabinde;

Başlat-çalışr'a regedit yazıp Kayıt defteri düzenleyicisini açın ve aşağıdaki işlemleri yapın. 

*********************************************************** 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

Bu değeri silin
svchost         "C:\Users\sizin otorum açma adınız\AppData\Roaming\svchost.exe"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

Bu değeri
Shell         explorer.exe "C:\Users\sizin otorum açma adınız\AppData\Roaming\svchost.exe"

Bu şekil değiştirin
Shell         explorer.exe   

***********************************************************

Daha sonra  var ise aşagıdaki kayıtlarıda siliniz.

HKEY_CLASSES_ROOT\Local Settings\Software\Microsoft\Windows\Shell\MuiCache
 C:\Users\sizin otorum açma adınız\AppData\Roaming\SCVHOST.EXE     SCVHOST

HKEY_CLASSES_ROOT\Local Settings\Software\Microsoft\Windows\Shell\MuiCache
C:\Users\sizin otorum açma adınız\AppData\Roaming\svchost.exe       svchost

Bunları yaptıktan sonra;   Kontrol etmek için  Kayıt defteri düzenleyicisin den önce  SCVHOST:EXE yi aratın  daha sonra  Roaming\svchost.exe 'yi aratın  eğer bu kelimeler  bulunuyorsa ilgili girdileri silin bulunmuyorsa keyloger  temizlenmiş demektir.

 Bilgisayarınızı yeniden başlatın   işlem tamamdır.  Artık   Sisteminizi  sorunsuz kullanabilirsiniz. 

Windows 7  işletim sisteminden Temizlemek için; 

 Gizli dosya ve klasörler seçeneğini aktif hale getirin

Gizli dosyaları ve klasörleri görüntülemek için aşağıdaki adımları izleyin.
1.  Başlat düğmesi , Denetim Masası, Görünüm ve Kişiselleştirme ve ardından Klasör Seçenekleri'ni tıklatarak Klasör Seçenekleri'ni açın.
2.  Görünüm sekmesini tıklatın.
3.  Gelişmiş ayarlar altından Gizli dosya ve klasörleri göster'i ve ardından Tamam'ı tıklatın.

CTRL+ALT+DEL Tuşlarına basarak görev yöneticisi başlatın  işlemler menusunden 

svchost.exe nin karşısında  yani kullanıcı adı kısmında  oturum açma adınız yazıyorsa   o svchost.exe  işlemini sonlandırın  

Güncel
SVCHOST.EXE nin karşısında  yani kullanıcı adı kısmında  oturum açma adınız yazıyorsa   o SVCHOST.EXE  işlemini sonlandırın 

C:\Users\sizin otorum açma adınız\AppData\Roaming     klasörünü açıp  svchost.exe,  ntlog.sys,  ntsys.dll, SCVHOS.exe   dosyalarını silin

Güncel 

1: Bulaştığı andan itibaren aktif  olmuşsa 
C:\Users\sizin otorum açma adınız\AppData\Roaming    klasörünü açıp  SVCHOT.EXE,  ntlog.sys, NTCOM.DLL  dosyalarını silin 

2: Bulaştığında aktif olmamış isebu şekil bulaşacağından
C:\Users\sizin otorum açma adınız\AppData\Roaming    klasörünü açıp  SVCHOT.EXE,  ntlog.sys, NTCOM.DLL  dosyalarını silin 

Akabinde;

Başlat-çalışr'a regedit yazıp Kayıt defteri düzenleyicisini açın ve aşağıdaki işlemleri yapın. 

*********************************************************** 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

Bu değeri silin
svchost         "C:\Users\sizin otorum açma adınız\AppData\Roaming\svchost.exe"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

Bu değeri
Shell         explorer.exe "C:\Users\sizin otorum açma adınız\AppData\Roaming\svchost.exe"

Bu şekil değiştirin
Shell         explorer.exe   

***********************************************************

Bunları yaptıktan sonra;   Kontrol etmek için  Kayıt defteri düzenleyicisin den önce  SCVHOST:EXE yi aratın  daha sonra  Roaming\svchost.exe 'yi aratın  eğer bu kelimeler  bulunuyorsa ilgili girdileri silin bulunmuyorsa keyloger  temizlenmiş demektir.

Bilgisayarınızı yeniden başlatın   işlem tamamdır.  Artık   Sisteminizi  sorunsuz kullanabilirsiniz. 

Yapamayanlar Xp ,  VİSTA  ve Windows 7 den   temizlemek için hazırlamış olduğum bu temsili videoyu  örnek alarak temizleyebilirler

Güncel temizleme yöntemi  

Keyloger braz geliştirilmiş ismi SVCHOST.EXE olarak değiştirilmiştir.

Keyloger'in  sisteme bulaşıp   2 şekilde  aktif olabileceğini  test ederek tesbit ettik 

1: Bulaştığı zaman  hemen aktif olur görev yöneticisinde gözükür.
    Pc nizde girmiş olduğunuz internet adresleri, Girmiş olduğunuz bütün  kullanıcı adı ve  şifreler, yazmış olduğunuz ve kopyala yapıştır  yaptığınız bütün yazılar, pc nizin ekran görüntüsü,…vs   periyodik bir şekilde belirtilen zaman aralıklarında   yapımcının belirtmiş olduğu  adrese  yollamaktadır.Yukarıda anlatılan regedit temizleme yöntemi geçerlidir.

2: Bulaştığı zaman hemen aktif olmaz bundan dolayı görev yöneticisinde gözükmez ve dikkatinizi çekmez. 
   Fakat Pc nizi aç  kapa yaptıktan sonra  aktif hale gelir ve Görev yöneticisinde gözükür   bun andan itibaren   Pc nizde girmiş olduğunuz internet adresleri, Girmiş olduğunuz bütün  kullanıcı adı ve  şifreler, yazmış olduğunuz ve kopyala yapıştır  yaptığınız bütün yazılar, pc nizin ekran görüntüsü,…vs   periyodik bir şekilde belirtilen zaman aralıklarında   yapımcının belirtmiş olduğu  adrese  yollamaktadır.

Yukarıda anlatılan regedit temizleme yöntemi geçerlidir. Değişiklikler belirtilmiştir.

Özetle formatsız sistemden kaldırılabilir

Standart olarak  yaygın olan bu  keylogger'in  temizliği yukarıdakigibidir. 

Önemli: En kötü ihtimal Eğer yapımcı  standart  olan svchost.exe ismini değiştirirse  svchost exe yerine farklı isimler olabilir. 

Benim analizime göre ismi ne olursa olsun  bu keylogger'ın registry de bulaştığı yerler bellidir. 

Bu gibi durumda  en temiz yöntem Başlat çalıştır regedit ' ten kontrol etmektir.

Tesbit için:

Farklı isimlerde  bulaştığını varsayarsak  izlenmeniz  gereken yol   ilk etapta  shell değeridir.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon 

standart  olarak shell  değeri

Shell         explorer.exe    dir  ve değerin standart olması gerekir. 

Eğer farklı ise keylogger dosyasının konumu orda mevcuttur.

Örnek verecek olursak ;

Shell     explorer.exe "C:\Documents and Settings\ sizin otorum açma adınız \xx klasoru\xxx.exe" diye bir değer olsun

Yukarıdaki değeri

Shell         explorer.exe olarak değiştirmeniz gerekir +  Belirtilen konumdaki xxx.exe dosyasını silmeniz gerekir.

Not
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run   da bulunan değerleride  kontrol etmekte  fayda vardır bu noktayıda atlamamak gerekir.

Teknik olarak gerekli anlatımları detaylı bir şekilde yaptık sanırım.
Çok sıkıntı olursa ki sanmam olacağını  ilerleyen zamanlarda  tesbit ve temizliği için basit bir  program geliştirebiliriz.

Edit:  

İçerik Güncellemesi  yapılmıştır.   

Bizi takip etmeye devam edin.

Burdaki konuyuda dikkate almak gerekir hala aktiftir.

Güncel  versiyonunda msnmsgr.exe, dllhost.exe  adı altında bulaşmaktadır

 temizleme yöntemi için.

http://www.bilgineferi.com/forum/forum_posts.asp?TID=8005

***********************************************************

svchost.exe nin farklı bir versiyonu

Buşatığı yer

C:\windows\system32\krsr\svchost.exe

Temizlenmesi: 

CTRL+ALT+DEL Tuşlarına basarak görev yöneticisini açın işlemler menusunden 
svchost.exe nin karşısında  yani kullanıcı adı kısmında  oturum açma adınız yazıyorsa   o svchost.exe  işlemini sonlandırın 

Sonra
C:\WINDOWS\system32\ de bulunan krsr klasörünü silin

Akabinde
Başlat-çalışr'a regedit yazıp Kayıt defteri düzenleyicisini açın ve aşağıdaki işlemleri yapın. 

***********************************************************

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Bu değeri silin
svchost.exe     "C:\windows\system32\krsr\svchost.exe" 

***********************************************************

 Bilgisayarınızı yeniden başlatın işlem tamamdır

***********************************************************

Not: Aşağıdaki konuyuda inceleyiniz

Yeni Nesil Keyloger Tespit Etme Sistemi Hakkında hazırlamış olduğumuz diğer  konulara aşağıdaki linkten  ulaşabilirsiniz

http://www.bilgineferi.com/forum/forum_posts.asp?TID=8373

Saygılarımla 
invertor

DÃ¼zenleyen invertor - 16-11-2010 Saat 18:43