Bilginin Adresi Ana Sayfa
Forum Anasayfası Forum Anasayfası > Bilgisayar Güvenliği / Computer Security > Güvenlik Programları, Güvenlik ve Güvenlik açıkları
  Aktif Konular Aktif Konular RSS - svchost.exe  (Dikkat)
  SSS SSS  Forumu Ara   Events   Kayıt Ol Kayıt Ol  GiriÅŸ GiriÅŸ

svchost.exe (Dikkat)

 Yanıt Yaz Yanıt Yaz Sayfa  12>
Yazar
Mesaj
invertor Açılır Kutu Gör
Security Professional
Security Professional
Simge
İnventor

Kayıt Tarihi: 18-01-2008
Status: Aktif DeÄŸil
Points: 3365
Mesaj Seçenekleri Mesaj Seçenekleri   Thanks (0) Thanks(0)   Alıntı invertor Alıntı  Yanıt YazCevapla Mesajın Direkt Linki Konu: svchost.exe (Dikkat)
    Gönderim Zamanı: 09-05-2009 Saat 17:39
svchost.exe adı ile gizlenen yeni nesil keyloger'a dikkat
 
En güncel temizleme yöntemleri  konunun sonuna eklenecektir
 
svchost.exe adı ile gizlenen yeni nesil keyloger Hakkında:
 
svchost.exe  Yeni nesil Türk Yapımı   Güzel bir Keyloger client'i  dir.  Ticari amaçlı yapılmıştır ve kötü amaçlarda  kullanılmaktadır. Buradaki  svchost.exe  ismini   yapımcı istediği zaman değişebilmektedir.  örnek: aa.exe  gibi, svchost.exe  adı  keyloger clientini oluşturan program ile standart olarak gelmektedir. 

Bu keyloger  Şifrelerinizin  ve kişisel bilgilerinizin  çalınması amacı ile kullanılır.

Eğer pc nize bulaşmış ise ; Pc nizde girmiş olduğunuz internet adresleri, Girmiş olduğunuz bütün  kullanıcı adı ve  şifreler, yazmış olduğunuz ve kopyala yapıştır  yaptığınız bütün yazılar, pc nizin ekran görüntüsü,…vs   periyodik bir şekilde belirtilen zaman aralıklarında   yapımcının belirtmiş olduğu  adrese  yollamaktadır.

Client’i oluşturan kişi dosya ismini istediği gibi değiştire bilir  fakat  bulaştığında   görev yöneticisi işlemler menusunde svchost.exe olarak gözükür.  “Eğer yapımcı  standart  olan svchost.exe ismini değiştirirse  görev yöneticisinde isim farklı gözüke bilir”


Şimdi diyeceksiniz   sistemde  birçok  svchost.exe çalışıyor  bunun keyloger olduğunu nasıl anlayacağız.

Hemen açıklık getirelim;

                                         
 
 
 
Svchost.exe ler  oturum açma adınız ile çalışmazlar eğer aşağıdaki gibi  çalışıyorsa;
 

Örneğin; Oturum açma adınız xxx ise   svchost.exe nin karşısında  yani kullanıcı adı kısmında  xxx yazıyorsa  pc nize keyloger bulaşmış demektir.
 
 
Bu keyloger kendi kendine bulaşmaz  bulaşması için   svchost.exe dosyasının çalıştırılması gerekir  Dosya adındaki svchost kısmının  değişik olabileceğini daha önceden belirtmiştik.
 
Dosyanın simgesi  farklı olabilir  basit bir örnek verecek olursak   gönderen kişi dosyanın simgesini  "mp3" müzik dosyası gibi ayarlarlıyabilir  içine de  bir müzik dosyası gömüp bulaştırmak istediği kişiye gönderir  ve   dosyayı  alan kişi müzik dinlemek için  o dosyayı çalıştırdığında   keyloger bulaşmış olur.

Not: Bu tür durumlarda   şüphe duyuyorsanız dosya uzantısını kontrol ediniz. Yukarıda bahsttiğim örnekteki  mp3 dosyasının  uzantısı .mp3 değil .exe dir. Ama .exe uzantılı bir dosyanın  içerisine gömülmüştür.


Anti virüs yazılımlarına yakalanmamaktadır   son zamanlarda kaspersky internetsecurity  yazılımına “Backdoor.Win32.Delf.osq” olarak  yakalanmaktadır. Eğer yapımcı tarafından keyloger’in güncellemesi yapılırsa  anti virüs yazılımlarına  yakalanmama ihtimali yüksektir. Şuan itibari ile  anti virüs yazılımlarına yakalanmamaktadır.


svchost.exe adı altında bulaşan   keyloger  Pc nize bulaşmış ise aşağıda  bahsettiğim yöntemi kullanarak temizleye bilirsiniz. Keyloger  bizzat tarafımdan test edilmiştir.


Bulaştığı zaman

Vindows işletim sistemlerine bulaşır...
 
Standart olarak : Xp' de C:\Documents and Settings\sizin otorum açma adınız\Application Data     içerisine  svchost.exe, SCVHOST.exe,  ntlog.sys,  ntsys.dll  olarak 4 dosya şeklinde bulaşır.
 
Güncel
 
Şuanki Güncellenmiş halinde 2 şekilde bulaşır
 
1: Bulaştığı andan itibaren aktif olur
   
C:\Documents and Settings\sizin otorum açma adınız\Application Data     içerisine  SVCHOT.EXE,  ntlog.sys, NTCOM.DLL olarak 3 dosya şeklinde bulaşır.
 
2: Bulaştığında aktif olmaz  C:\Documents and Settings\sizin otorum açma adınız\Application Data     içerisine  SVCHOT.EXE ve  NTCOM.DLL olarak 2 dosya şeklinde bulaşır.
 
   Pc yi aç kapa yaptığınızda SVCHOT.EXE,  ntlog.sys, NTCOM.DLL olarak 3 dosya şeklinde bulunur ve aktif halde olur.
 
 

 

 
Vista' da C:\Users\sizin otorum açma adınız\AppData\Roaming     içerisine  svchost.exe, SCVHOST.exe,  ntlog.sys,  ntsys.dll  olarak 4 dosya şeklinde bulaşır.
 
Güncel
 
Şuanki Güncellenmiş halinde 2 şekilde bulaşır
 
1: Bulaştığı andan itibaren aktif olur
   
C:\Users\sizin otorum açma adınız\AppData\Roaming içerisine  SVCHOT.EXE,  ntlog.sys, NTCOM.DLL olarak 3 dosya şeklinde bulaşır.
 
2: Bulaştığında aktif olmaz  C:\Users\sizin otorum açma adınız\AppData\Roaming      içerisine  SVCHOT.EXE ve  NTCOM.DLL olarak 2 dosya şeklinde bulaşır.
 
   Pc yi aç kapa yaptığınızda SVCHOT.EXE,  ntlog.sys, NTCOM.DLL olarak 3 dosya şeklinde bulunur ve aktif halde olur.
 
 
Windows 7' de C:\Users\sizin otorum açma adınız\AppData\Roaming     içerisine  svchost.exe, SCVHOST.exe,  ntlog.sys,  ntsys.dll  olarak 4 dosya şeklinde bulaşır.
 
Güncel
 
Şuanki Güncellenmiş halinde 2 şekilde bulaşır
 
1: Bulaştığı andan itibaren aktif olur
   
C:\Users\sizin otorum açma adınız\AppData\Roaming     içerisine  SVCHOT.EXE,  ntlog.sys, NTCOM.DLL olarak 3 dosya şeklinde bulaşır.
 
2: Bulaştığında aktif olmaz  C:\Users\sizin otorum açma adınız\AppData\Roaming          içerisine  SVCHOT.EXE ve  NTCOM.DLL olarak 2 dosya şeklinde bulaşır.
 
   Pc yi aç kapa yaptığınızda SVCHOT.EXE,  ntlog.sys, NTCOM.DLL olarak 3 dosya şeklinde bulunur ve aktif halde olur.
  
 
Not: Gizli dosya ve klasörler seçeneğini aktif hale getirmeden belirtilen dizini göremezsiniz.
 
 
 
 
Xp işletim sisteminden Temizlemek için;

Gizli dosya ve klasörler seçeneğini aktif hale getirin


CTRL+ALT+DEL Tuşlarına basarak görev yöneticisini açın işlemler menusunden

svchost.exe nin karşısında  yani kullanıcı adı kısmında  oturum açma adınız yazıyorsa   o svchost.exe  işlemini sonlandırın 

Güncel
SVCHOST.EXE nin karşısında  yani kullanıcı adı kısmında  oturum açma adınız yazıyorsa   o SVCHOST.EXE  işlemini sonlandırın 
 
C:\Documents and Settings\sizin otorum açma adınız\Application Data  klasörünü açıp  svchost.exe,  ntlog.sys,  ntsys.dll, SCVHOS.exe   dosyalarını silin
 
 Güncel
 
1: Bulaştığı andan itibaren aktif  olmuşsa
C:\Documents and Settings\sizin otorum açma adınız\Application Data  klasörünü açıp  SVCHOT.EXE,  ntlog.sys, NTCOM.DLL  dosyalarını silin 
 
2: Bulaştığında aktif olmamış isebu şekil bulaşacağından
C:\Documents and Settings\sizin otorum açma adınız\Application Data      klasörünü açıp  SVCHOT.EXE,  ntlog.sys, NTCOM.DLL  dosyalarını silin 
 
 
Akabinde;
 
Başlat-çalışr'a regedit yazıp Kayıt defteri düzenleyicisini açın ve aşağıdaki işlemleri yapın.
 
***********************************************************
 
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 
Bu değeri silin
svchost      "C:\Documents and Settings\ sizin otorum açma adınız \Application Data\svchost.exe"
 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

Bu değeri
Shell     explorer.exe "C:\Documents and Settings\ sizin otorum açma adınız \Application Data\svchost.exe"
 
Bu şekil değiştirin
Shell      Explorer.exe 
 
***********************************************************
 
Daha sonra  var ise aşagıdaki kayıtlarıda siliniz.
 
 
HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache
C:\Documents and Settings\sizin otorum açma adınız \Application Data\SCVHOST.EXE     SCVHOST
 
 
HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache
C:\Documents and Settings\sizin otorum açma adınız \Application Data\svchost.exe     svchost
 

 
 
Bunları yaptıktan sonra:  Kontrol etmek için  Kayıt defteri düzenleyicisin den önce  SCVHOST.EXE yi aratın daha sonra Application Data\svchost.exe  'yi aratın  eğer bu kelimeler  bulunuyorsa ilgili girdileri silin bulunmuyorsa keyloger  temizlenmiş demektir.
 
 

Bilgisayarınızı yeniden başlatın   işlem tamamdır.  Artık   Sisteminizi  sorunsuz kullanabilirsiniz. 

 
 
Vista işletim sisteminden Temizlemek için; 

 Gizli dosya ve klasörler seçeneğini aktif hale getirin

Gizli dosyaları ve klasörleri görüntülemek için aşağıdaki adımları izleyin.
1.  Başlat düğmesi , Denetim Masası, Görünüm ve Kişiselleştirme ve ardından Klasör Seçenekleri'ni tıklatarak Klasör Seçenekleri'ni açın.
2.  Görünüm sekmesini tıklatın.
3.  Gelişmiş ayarlar altından Gizli dosya ve klasörleri göster'i ve ardından Tamam'ı tıklatın.
 
 
CTRL+ALT+DEL Tuşlarına basarak görev yöneticisi başlatın  işlemler menusunden
 

svchost.exe nin karşısında  yani kullanıcı adı kısmında  oturum açma adınız yazıyorsa   o svchost.exe  işlemini sonlandırın 

 
Güncel
SVCHOST.EXE nin karşısında  yani kullanıcı adı kısmında  oturum açma adınız yazıyorsa   o SVCHOST.EXE  işlemini sonlandırın 
 
 
C:\Users\sizin otorum açma adınız\AppData\Roaming     klasörünü açıp  svchost.exe,  ntlog.sys,  ntsys.dll, SCVHOS.exe   dosyalarını silin
 
 Güncel
 
1: Bulaştığı andan itibaren aktif  olmuşsa
C:\Users\sizin otorum açma adınız\AppData\Roaming    klasörünü açıp  SVCHOT.EXE,  ntlog.sys, NTCOM.DLL  dosyalarını silin 
 
2: Bulaştığında aktif olmamış isebu şekil bulaşacağından
C:\Users\sizin otorum açma adınız\AppData\Roaming    klasörünü açıp  SVCHOT.EXE,  ntlog.sys, NTCOM.DLL  dosyalarını silin 
 
 
Akabinde;
 
Başlat-çalışr'a regedit yazıp Kayıt defteri düzenleyicisini açın ve aşağıdaki işlemleri yapın.
 
*********************************************************** 
 
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 
Bu değeri silin
svchost         "C:\Users\sizin otorum açma adınız\AppData\Roaming\svchost.exe"
 
 
 
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
 
Bu değeri
Shell         explorer.exe "C:\Users\sizin otorum açma adınız\AppData\Roaming\svchost.exe"
 
Bu şekil değiştirin
Shell         explorer.exe  
 
***********************************************************
 
Daha sonra  var ise aşagıdaki kayıtlarıda siliniz.
 
HKEY_CLASSES_ROOT\Local Settings\Software\Microsoft\Windows\Shell\MuiCache
 C:\Users\sizin otorum açma adınız\AppData\Roaming\SCVHOST.EXE     SCVHOST
 

HKEY_CLASSES_ROOT\Local Settings\Software\Microsoft\Windows\Shell\MuiCache
C:\Users\sizin otorum açma adınız\AppData\Roaming\svchost.exe       svchost
 
 
 
Bunları yaptıktan sonra;   Kontrol etmek için  Kayıt defteri düzenleyicisin den önce  SCVHOST:EXE yi aratın  daha sonra  Roaming\svchost.exe 'yi aratın  eğer bu kelimeler  bulunuyorsa ilgili girdileri silin bulunmuyorsa keyloger  temizlenmiş demektir.
 
 

 Bilgisayarınızı yeniden başlatın   işlem tamamdır.  Artık   Sisteminizi  sorunsuz kullanabilirsiniz. 

 
Windows 7  işletim sisteminden Temizlemek için; 

 Gizli dosya ve klasörler seçeneğini aktif hale getirin

Gizli dosyaları ve klasörleri görüntülemek için aşağıdaki adımları izleyin.
1.  Başlat düğmesi , Denetim Masası, Görünüm ve Kişiselleştirme ve ardından Klasör Seçenekleri'ni tıklatarak Klasör Seçenekleri'ni açın.
2.  Görünüm sekmesini tıklatın.
3.  Gelişmiş ayarlar altından Gizli dosya ve klasörleri göster'i ve ardından Tamam'ı tıklatın.
 
 
CTRL+ALT+DEL Tuşlarına basarak görev yöneticisi başlatın  işlemler menusunden
 

svchost.exe nin karşısında  yani kullanıcı adı kısmında  oturum açma adınız yazıyorsa   o svchost.exe  işlemini sonlandırın 

 
Güncel
SVCHOST.EXE nin karşısında  yani kullanıcı adı kısmında  oturum açma adınız yazıyorsa   o SVCHOST.EXE  işlemini sonlandırın 
 
C:\Users\sizin otorum açma adınız\AppData\Roaming     klasörünü açıp  svchost.exe,  ntlog.sys,  ntsys.dll, SCVHOS.exe   dosyalarını silin
 
Güncel
 
1: Bulaştığı andan itibaren aktif  olmuşsa
C:\Users\sizin otorum açma adınız\AppData\Roaming    klasörünü açıp  SVCHOT.EXE,  ntlog.sys, NTCOM.DLL  dosyalarını silin 
 
2: Bulaştığında aktif olmamış isebu şekil bulaşacağından
C:\Users\sizin otorum açma adınız\AppData\Roaming    klasörünü açıp  SVCHOT.EXE,  ntlog.sys, NTCOM.DLL  dosyalarını silin 
 
 
Akabinde;
 
Başlat-çalışr'a regedit yazıp Kayıt defteri düzenleyicisini açın ve aşağıdaki işlemleri yapın.
 
*********************************************************** 
 
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 
Bu değeri silin
svchost         "C:\Users\sizin otorum açma adınız\AppData\Roaming\svchost.exe"
 
 
 
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
 
Bu değeri
Shell         explorer.exe "C:\Users\sizin otorum açma adınız\AppData\Roaming\svchost.exe"
 
Bu şekil değiştirin
Shell         explorer.exe  
 
***********************************************************
  
 
 
Bunları yaptıktan sonra;   Kontrol etmek için  Kayıt defteri düzenleyicisin den önce  SCVHOST:EXE yi aratın  daha sonra  Roaming\svchost.exe 'yi aratın  eğer bu kelimeler  bulunuyorsa ilgili girdileri silin bulunmuyorsa keyloger  temizlenmiş demektir.
 
 

Bilgisayarınızı yeniden başlatın   işlem tamamdır.  Artık   Sisteminizi  sorunsuz kullanabilirsiniz. 

 
 
Yapamayanlar Xp ,  VİSTA  ve Windows 7 den   temizlemek için hazırlamış olduğum bu temsili videoyu  örnek alarak temizleyebilirler
 
 
 

 
Güncel temizleme yöntemi 
 
Keyloger braz geliştirilmiş ismi SVCHOST.EXE olarak değiştirilmiştir.
 
Keyloger'in  sisteme bulaşıp   2 şekilde  aktif olabileceğini  test ederek tesbit ettik
 
1: Bulaştığı zaman  hemen aktif olur görev yöneticisinde gözükür.
    Pc nizde girmiş olduğunuz internet adresleri, Girmiş olduğunuz bütün  kullanıcı adı ve  şifreler, yazmış olduğunuz ve kopyala yapıştır  yaptığınız bütün yazılar, pc nizin ekran görüntüsü,…vs   periyodik bir şekilde belirtilen zaman aralıklarında   yapımcının belirtmiş olduğu  adrese  yollamaktadır.Yukarıda anlatılan regedit temizleme yöntemi geçerlidir.
 
2: Bulaştığı zaman hemen aktif olmaz bundan dolayı görev yöneticisinde gözükmez ve dikkatinizi çekmez. 
   Fakat Pc nizi aç  kapa yaptıktan sonra  aktif hale gelir ve Görev yöneticisinde gözükür   bun andan itibaren   Pc nizde girmiş olduğunuz internet adresleri, Girmiş olduğunuz bütün  kullanıcı adı ve  şifreler, yazmış olduğunuz ve kopyala yapıştır  yaptığınız bütün yazılar, pc nizin ekran görüntüsü,…vs   periyodik bir şekilde belirtilen zaman aralıklarında   yapımcının belirtmiş olduğu  adrese  yollamaktadır.
 
 
Yukarıda anlatılan regedit temizleme yöntemi geçerlidir. Değişiklikler belirtilmiştir.
 
Özetle formatsız sistemden kaldırılabilir
 
 
Standart olarak  yaygın olan bu  keylogger'in  temizliği yukarıdakigibidir.
 
 
Önemli: En kötü ihtimal Eğer yapımcı  standart  olan svchost.exe ismini değiştirirse  svchost exe yerine farklı isimler olabilir.
 
Benim analizime göre ismi ne olursa olsun  bu keylogger'ın registry de bulaştığı yerler bellidir.
 
Bu gibi durumda  en temiz yöntem Başlat çalıştır regedit ' ten kontrol etmektir.
 
 
Tesbit için:
 
Farklı isimlerde  bulaştığını varsayarsak  izlenmeniz  gereken yol   ilk etapta  shell değeridir.
 
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
 
standart  olarak shell  değeri
 
Shell         explorer.exe    dir  ve değerin standart olması gerekir. 
 
Eğer farklı ise keylogger dosyasının konumu orda mevcuttur.
 
Örnek verecek olursak ;
 
Shell     explorer.exe "C:\Documents and Settings\ sizin otorum açma adınız \xx klasoru\xxx.exe" diye bir değer olsun
 
Yukarıdaki değeri
 
Shell         explorer.exe olarak değiştirmeniz gerekir +  Belirtilen konumdaki xxx.exe dosyasını silmeniz gerekir.
 
 
Not
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run   da bulunan değerleride  kontrol etmekte  fayda vardır bu noktayıda atlamamak gerekir.
 
 
 
 
 
Teknik olarak gerekli anlatımları detaylı bir şekilde yaptık sanırım.
Çok sıkıntı olursa ki sanmam olacağını  ilerleyen zamanlarda  tesbit ve temizliği için basit bir  program geliştirebiliriz.
 
 
 
 
 

Edit: 
 
İçerik Güncellemesi  yapılmıştır.   
 
 
 
Bizi takip etmeye devam edin.
 
Burdaki konuyuda dikkate almak gerekir hala aktiftir.
 
Güncel  versiyonunda msnmsgr.exe, dllhost.exe  adı altında bulaşmaktadır
 
 temizleme yöntemi için.
 
 
 
 
 
***********************************************************
 
svchost.exe nin farklı bir versiyonu
 
Buşatığı yer
 
C:\windows\system32\krsr\svchost.exe
 
 
 
 
Temizlenmesi:
 
CTRL+ALT+DEL Tuşlarına basarak görev yöneticisini açın işlemler menusunden

svchost.exe nin karşısında  yani kullanıcı adı kısmında  oturum açma adınız yazıyorsa   o svchost.exe  işlemini sonlandırın 

Sonra
C:\WINDOWS\system32\ de bulunan krsr klasörünü silin
 
 
Akabinde
Başlat-çalışr'a regedit yazıp Kayıt defteri düzenleyicisini açın ve aşağıdaki işlemleri yapın.
 
 
***********************************************************
 
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 
Bu değeri silin
svchost.exe     "C:\windows\system32\krsr\svchost.exe"
 
***********************************************************
 
 Bilgisayarınızı yeniden başlatın işlem tamamdır
 
***********************************************************
 
Not: Aşağıdaki konuyuda inceleyiniz
 
 
Yeni Nesil Keyloger Tespit Etme Sistemi Hakkında hazırlamış olduğumuz diğer  konulara aşağıdaki linkten  ulaşabilirsiniz
 
Saygılarımla
invertor


Düzenleyen invertor - 16-11-2010 Saat 18:43
Yukarı Dön
S3Z3R Açılır Kutu Gör
Moderator
Moderator
Simge

Kayıt Tarihi: 31-03-2007
Status: Aktif DeÄŸil
Points: 820
Mesaj Seçenekleri Mesaj Seçenekleri   Thanks (0) Thanks(0)   Alıntı S3Z3R Alıntı  Yanıt YazCevapla Mesajın Direkt Linki Gönderim Zamanı: 09-05-2009 Saat 18:02
İyi bir çalışma yapmışsın yine  :)

    Eline sağlık .......
Yukarı Dön
dimenor55 Açılır Kutu Gör
Yeni Üye
Yeni Üye


Kayıt Tarihi: 31-03-2009
Konum: Turkey
Status: Aktif DeÄŸil
Points: 0
Mesaj Seçenekleri Mesaj Seçenekleri   Thanks (0) Thanks(0)   Alıntı dimenor55 Alıntı  Yanıt YazCevapla Mesajın Direkt Linki Gönderim Zamanı: 09-05-2009 Saat 21:52
teşekkürler... 
Forever SAMSUNSPOR
Yukarı Dön
DirtyNigga Açılır Kutu Gör
Yeni Üye
Yeni Üye


Kayıt Tarihi: 20-08-2008
Konum: Turkey
Status: Aktif DeÄŸil
Points: 0
Mesaj Seçenekleri Mesaj Seçenekleri   Thanks (0) Thanks(0)   Alıntı DirtyNigga Alıntı  Yanıt YazCevapla Mesajın Direkt Linki Gönderim Zamanı: 10-05-2009 Saat 00:30
Çok teşekkürler bu bilgi için. Fakat benim görev yöneticisinde Kullanıcı Adı bölümünde hiçbirşey yazmıyor.
Sadece "Sistem Boşta İşlemi" SYSTEM adlı kullanıcı adı altında çalışıyor. Diğer çalışan bütün uygulamaların Kullancı Adı bölümleri boş. Bu sorun için bir çözüm var mıdır acaba ?
Yukarı Dön
ayhanaz Açılır Kutu Gör
Yeni Üye
Yeni Üye
Simge

Kayıt Tarihi: 09-11-2008
Konum: Turkey
Status: Aktif DeÄŸil
Points: 0
Mesaj Seçenekleri Mesaj Seçenekleri   Thanks (0) Thanks(0)   Alıntı ayhanaz Alıntı  Yanıt YazCevapla Mesajın Direkt Linki Gönderim Zamanı: 11-05-2009 Saat 15:52
UYARINIZ İÇİN ÇOK TEŞEKKÜRLER SİZİ SAYGIYLA İZLEMEYE VE PROBLEMLERİMİ SİTENİZDEN GÜVENLE ÇÖZMEYE DEVAM EDİYORUM TEŞEKKÜRLER
Yukarı Dön
S3Z3R Açılır Kutu Gör
Moderator
Moderator
Simge

Kayıt Tarihi: 31-03-2007
Status: Aktif DeÄŸil
Points: 820
Mesaj Seçenekleri Mesaj Seçenekleri   Thanks (0) Thanks(0)   Alıntı S3Z3R Alıntı  Yanıt YazCevapla Mesajın Direkt Linki Gönderim Zamanı: 11-05-2009 Saat 16:42
Bilgineferi farkı bu olsa gerek. Her zaman bizi takip etmeye devam edin...
Yukarı Dön
kral Açılır Kutu Gör
Administrator
Administrator


Kayıt Tarihi: 08-03-2006
Status: Aktif DeÄŸil
Points: 957
Mesaj Seçenekleri Mesaj Seçenekleri   Thanks (0) Thanks(0)   Alıntı kral Alıntı  Yanıt YazCevapla Mesajın Direkt Linki Gönderim Zamanı: 27-06-2009 Saat 17:28
Konu için teşekkürler invertor
 
Orjinalini yazan: DirtyNigga DirtyNigga Yazdı:

Çok teşekkürler bu bilgi için. Fakat benim görev yöneticisinde Kullanıcı Adı bölümünde hiçbirşey yazmıyor.
Sadece "Sistem Boşta İşlemi" SYSTEM adlı kullanıcı adı altında çalışıyor. Diğer çalışan bütün uygulamaların Kullancı Adı bölümleri boş. Bu sorun için bir çözüm var mıdır acaba ?
 
Konu hakkında sizin  ve diğer kullanıcılar için  hazırlamış olduğum  Aşağıdaki konuyu inceleyiniz.
 
“Bilginin elde edilmesi... bizi iyiye ulaştıracaktır.
Yukarı Dön
invertor Açılır Kutu Gör
Security Professional
Security Professional
Simge
İnventor

Kayıt Tarihi: 18-01-2008
Status: Aktif DeÄŸil
Points: 3365
Mesaj Seçenekleri Mesaj Seçenekleri   Thanks (0) Thanks(0)   Alıntı invertor Alıntı  Yanıt YazCevapla Mesajın Direkt Linki Gönderim Zamanı: 20-07-2009 Saat 00:47
windovs 7 için temizleme yöntemi + video eklenmiştir.
Yukarı Dön
S3Z3R Açılır Kutu Gör
Moderator
Moderator
Simge

Kayıt Tarihi: 31-03-2007
Status: Aktif DeÄŸil
Points: 820
Mesaj Seçenekleri Mesaj Seçenekleri   Thanks (0) Thanks(0)   Alıntı S3Z3R Alıntı  Yanıt YazCevapla Mesajın Direkt Linki Gönderim Zamanı: 20-07-2009 Saat 11:37
İnvertor  Türkiyede bir ilk svchost.exe windows 7 için anlatım ve video
 
Çalışmaların tüm forumlara kaynak durumda.
Yukarı Dön
invertor Açılır Kutu Gör
Security Professional
Security Professional
Simge
İnventor

Kayıt Tarihi: 18-01-2008
Status: Aktif DeÄŸil
Points: 3365
Mesaj Seçenekleri Mesaj Seçenekleri   Thanks (0) Thanks(0)   Alıntı invertor Alıntı  Yanıt YazCevapla Mesajın Direkt Linki Gönderim Zamanı: 25-07-2009 Saat 15:05
Güncelleme eklenmiştir
 
Standart olarak  yaygın olan bu  keylogger'in  temizliği yukarıdakigibidir.
 
Önemli: En kötü ihtimal Eğer yapımcı  standart  olan svchost.exe ismini değiştirirse  svchost exe yerine farklı isimler olabilir.
 
Benim analizime göre ismi ne olursa olsun  bu keylogger'ın registry de bulaştığı yerler bellidir.
 
 
Bu gibi durumda tesbiti yukarıda anlatılmıştır
  
 
Orjinalini yazan: S3Z3R S3Z3R Yazdı:

İnvertor  Türkiyede bir ilk svchost.exe windows 7 için anlatım ve video
 
Çalışmaların tüm forumlara kaynak durumda.
 
Teşekkürler S3Z3R  standart olarak svchost.exe  adı altında  bulaşan bu keyloggerin ilk anlatımı sanırım bilgineferi.com' a ait.
 
 
Konuyu paylaşanlar kaynağı eklerseler  devamlı güncel temizleme yöntemi ile irtibatta olur.
 
Kaynak  göstermeleri  güzel birşey
 
  
Saygılarımla


Düzenleyen invertor - 25-07-2009 Saat 15:07
Yukarı Dön
tehlike724 Açılır Kutu Gör
Yeni Üye
Yeni Üye


Kayıt Tarihi: 26-07-2009
Status: Aktif DeÄŸil
Points: 0
Mesaj Seçenekleri Mesaj Seçenekleri   Thanks (0) Thanks(0)   Alıntı tehlike724 Alıntı  Yanıt YazCevapla Mesajın Direkt Linki Gönderim Zamanı: 26-07-2009 Saat 16:52

valla bende o nalet siteden yemişim bunu. birkaç mail hesabım gitti. ilk başlarda düşündüm ama bir türlü bulamadım böyle bir konuyu.

enson rapid hesabım çalınınca farkettik ama ne fark eder...

senin eline sağlık çok güzel anlatmışsın. keyloggeri yemişim gerçekten.

sildik sayende. konuyu aslında üye olmadan da görebiliyoruz ama ben bu mesajı yazmak için üye oldum. 

inşallah böyle devam edersiniz. paylaşımlarınızın devamlılığı dileğiyle iyi günler.

Yukarı Dön
acar54 Açılır Kutu Gör
Yeni Üye
Yeni Üye


Kayıt Tarihi: 01-08-2009
Konum: Turkey
Status: Aktif DeÄŸil
Points: 0
Mesaj Seçenekleri Mesaj Seçenekleri   Thanks (0) Thanks(0)   Alıntı acar54 Alıntı  Yanıt YazCevapla Mesajın Direkt Linki Gönderim Zamanı: 01-08-2009 Saat 10:44
invertor  öncelikle geniş açıklamalar için teşekkürler...bende bilgisayarımda bu sıkıntının bulunduğunu zannediyordum.KASPER sürekli bu uygulama ile ilgili uyarı veriiyordu.kayıt defterinde ve  d (sistem burada) altında bulamadım fakat  görev yöneticisinde
svchost.exe SYSTEM CPU:0 BELLEK kullanımı 30.160 kullanım ile 2.sırayı bırakmıyor.
bilg. açıldığı bir saatyi geçmesine rağmen.
 sizin tarif ettiğiniz yerlerin dışında olmadığını kabul ederek ben svchost.exe ile ilgili kasper in verdiği uyarılarda güvenli bölgeye ekle demeye karar verdim bakalım bir sıkıntı çıkacak mı?


Düzenleyen acar54 - 01-08-2009 Saat 10:48
Yukarı Dön
uhutbaser Açılır Kutu Gör
Yeni Üye
Yeni Üye


Kayıt Tarihi: 07-08-2009
Status: Aktif DeÄŸil
Points: 0
Mesaj Seçenekleri Mesaj Seçenekleri   Thanks (0) Thanks(0)   Alıntı uhutbaser Alıntı  Yanıt YazCevapla Mesajın Direkt Linki Gönderim Zamanı: 07-08-2009 Saat 22:32
Sayın üstadım bende ilk verdiğiniz örnekte svchost.exe 6tane açlmış görev yöneticisinde normalde dediğinize göre bu 6 svchost .exe lerin 2tanesi NETWORK SERVİCE de,1 tanesi LOCAL SERVİCE geriye kalan 2 taneside system de çalışmış olarak gösteriyosunuz.Benim görev yöneticisinde bunlar bu şekilde açılmış fakat hatanın olduğu yer bende sorun çıkaran svchost.exe dosyasının oturum açmış olduğum isimde değil System de açılmış olması yani Sizin invertor yazan kısımda bende System yazıyor olması  yani toplam 3tanesi systemde çalışıyor.Bu ne demektir çözümü nasıl yapılır açıklarsanız müteşekkir olurum üstadm.Saygılarımla
Yukarı Dön
invertor Açılır Kutu Gör
Security Professional
Security Professional
Simge
İnventor

Kayıt Tarihi: 18-01-2008
Status: Aktif DeÄŸil
Points: 3365
Mesaj Seçenekleri Mesaj Seçenekleri   Thanks (0) Thanks(0)   Alıntı invertor Alıntı  Yanıt YazCevapla Mesajın Direkt Linki Gönderim Zamanı: 08-08-2009 Saat 13:14
Orjinalini yazan: uhutbaser uhutbaser Yazdı:

Sayın üstadım bende ilk verdiğiniz örnekte svchost.exe 6tane açlmış görev yöneticisinde normalde dediğinize göre bu 6 svchost .exe lerin 2tanesi NETWORK SERVİCE de,1 tanesi LOCAL SERVİCE geriye kalan 2 taneside system de çalışmış olarak gösteriyosunuz.Benim görev yöneticisinde bunlar bu şekilde açılmış fakat hatanın olduğu yer bende sorun çıkaran svchost.exe dosyasının oturum açmış olduğum isimde değil System de açılmış olması yani Sizin invertor yazan kısımda bende System yazıyor olması  yani toplam 3tanesi systemde çalışıyor.Bu ne demektir çözümü nasıl yapılır açıklarsanız müteşekkir olurum üstadm.Saygılarımla
 
Svchost.exe sayısı fazla olabilir önemli olan oturum açma adınız ile çalışmaması gerekir.
 
Örneğin; Oturum açma adınız xxx ise   svchost.exe nin karşısında  yani kullanıcı adı kısmında  xxx yazıyorsa  pc nize keyloger bulaşmış demektir.
 
Böyle bir durum sözkonusu değil ise problem yok demektir.
 
 
 
 
Orjinalini yazan: acar54 acar54 Yazdı:

invertor  öncelikle geniş açıklamalar için teşekkürler...bende bilgisayarımda bu sıkıntının bulunduğunu zannediyordum.KASPER sürekli bu uygulama ile ilgili uyarı veriiyordu.kayıt defterinde ve  d (sistem burada) altında bulamadım fakat  görev yöneticisinde
svchost.exe SYSTEM CPU:0 BELLEK kullanımı 30.160 kullanım ile 2.sırayı bırakmıyor.
bilg. açıldığı bir saatyi geçmesine rağmen.
 sizin tarif ettiğiniz yerlerin dışında olmadığını kabul ederek ben svchost.exe ile ilgili kasper in verdiği uyarılarda güvenli bölgeye ekle demeye karar verdim bakalım bir sıkıntı çıkacak mı?
 
Sorun çıkmaz.
Bizim bahsettiğimiz keyloger' dan sizteminizde yok..
 
Probleminiz için  Detaylı bilgi ;
Yukarı Dön
invertor Açılır Kutu Gör
Security Professional
Security Professional
Simge
İnventor

Kayıt Tarihi: 18-01-2008
Status: Aktif DeÄŸil
Points: 3365
Mesaj Seçenekleri Mesaj Seçenekleri   Thanks (0) Thanks(0)   Alıntı invertor Alıntı  Yanıt YazCevapla Mesajın Direkt Linki Gönderim Zamanı: 22-08-2009 Saat 12:14

Konu güncellenmiştir

Yukarı Dön
 Yanıt Yaz Yanıt Yaz Sayfa  12>

Forum Atla Forum İzinleri Açılır Kutu Gör



Bu Sayfa 0.230 Saniyede Yüklendi.