svchost.exe (Dikkat)
Nereden Yazdırıldığı: Bilginin Adresi
Kategori: Bilgisayar Güvenliği / Computer Security
Forum Adı: Güvenlik Programları, Güvenlik ve Güvenlik açıkları
Forum Tanımlaması: Bilgisayarınızı Her Türlü Saldırılardan Koruyun
URL: https://www.bilgineferi.com/forum/forum_posts.asp?TID=7620
Tarih: 22-11-2024 Saat 02:13
Konu: svchost.exe (Dikkat)
Mesajı Yazan: invertor
Konu: svchost.exe (Dikkat)
Mesaj Tarihi: 09-05-2009 Saat 17:39
|
svchost.exe adı ile gizlenen yeni nesil keyloger'a dikkat
En güncel temizleme yöntemleri konunun sonuna eklenecektir
svchost.exe adı ile gizlenen yeni nesil keyloger Hakkında:
svchost.exe Yeni nesil Türk Yapımı Güzel bir Keyloger client'i dir. Ticari amaçlı yapılmıştır ve kötü amaçlarda kullanılmaktadır. Buradaki svchost.exe ismini yapımcı istediği zaman değişebilmektedir. örnek: aa.exe gibi, svchost.exe adı keyloger clientini oluşturan program ile standart olarak gelmektedir.
Bu keyloger Şifrelerinizin ve kişisel bilgilerinizin çalınması amacı ile kullanılır. Eğer pc nize bulaşmış ise ; Pc nizde girmiş olduğunuz internet adresleri, Girmiş olduğunuz bütün kullanıcı adı ve şifreler, yazmış olduğunuz ve kopyala yapıştır yaptığınız bütün yazılar, pc nizin ekran görüntüsü,…vs periyodik bir şekilde belirtilen zaman aralıklarında yapımcının belirtmiş olduğu adrese yollamaktadır. Client’i oluşturan kişi dosya ismini istediği gibi değiştire bilir fakat bulaştığında görev yöneticisi işlemler menusunde svchost.exe olarak gözükür. “Eğer yapımcı standart olan svchost.exe ismini değiştirirse görev yöneticisinde isim farklı gözüke bilir” Şimdi diyeceksiniz sistemde birçok svchost.exe çalışıyor bunun keyloger olduğunu nasıl anlayacağız. Hemen açıklık getirelim;  Svchost.exe ler oturum açma adınız ile çalışmazlar eğer aşağıdaki gibi çalışıyorsa;
 Örneğin; Oturum açma adınız xxx ise svchost.exe nin karşısında yani kullanıcı adı kısmında xxx yazıyorsa pc nize keyloger bulaşmış demektir. Bu keyloger kendi kendine bulaşmaz bulaşması için svchost.exe dosyasının çalıştırılması gerekir Dosya adındaki svchost kısmının değişik olabileceğini daha önceden belirtmiştik.
Dosyanın simgesi farklı olabilir basit bir örnek verecek olursak gönderen kişi dosyanın simgesini "mp3" müzik dosyası gibi ayarlarlıyabilir içine de bir müzik dosyası gömüp bulaştırmak istediği kişiye gönderir ve dosyayı alan kişi müzik dinlemek için o dosyayı çalıştırdığında keyloger bulaşmış olur.
Not: Bu tür durumlarda şüphe duyuyorsanız dosya uzantısını kontrol ediniz. Yukarıda bahsttiğim örnekteki mp3 dosyasının uzantısı .mp3 değil .exe dir. Ama .exe uzantılı bir dosyanın içerisine gömülmüştür. Anti virüs yazılımlarına yakalanmamaktadır son zamanlarda kaspersky internetsecurity yazılımına “Backdoor.Win32.Delf.osq” olarak yakalanmaktadır. Eğer yapımcı tarafından keyloger’in güncellemesi yapılırsa anti virüs yazılımlarına yakalanmama ihtimali yüksektir. Şuan itibari ile anti virüs yazılımlarına yakalanmamaktadır.
Vindows işletim sistemlerine bulaşır...
Standart olarak : Xp' de C:\Documents and Settings\sizin otorum açma adınız\Application Data içerisine svchost.exe, SCVHOST.exe, ntlog.sys, ntsys.dll olarak 4 dosya şeklinde bulaşır.
Güncel
Şuanki Güncellenmiş halinde 2 şekilde bulaşır
1: Bulaştığı andan itibaren aktif olur
C:\Documents and Settings\sizin otorum açma adınız\Application Data içerisine SVCHOT.EXE, ntlog.sys, NTCOM.DLL
2: Bulaştığında aktif olmaz C:\Documents and Settings\sizin otorum açma adınız\Application Data içerisine SVCHOT.EXE ve NTCOM.DLL
Pc yi aç kapa yaptığınızda SVCHOT.EXE, ntlog.sys, NTCOM.DLL
Vista' da C:\Users\sizin otorum açma adınız\AppData\Roaming içerisine svchost.exe, SCVHOST.exe, ntlog.sys, ntsys.dll olarak 4 dosya şeklinde bulaşır.
Güncel
Şuanki Güncellenmiş halinde 2 şekilde bulaşır
1: Bulaştığı andan itibaren aktif olur
C:\Users\sizin otorum açma adınız\AppData\Roaming içerisine SVCHOT.EXE, ntlog.sys, NTCOM.DLL
2: Bulaştığında aktif olmaz C:\Users\sizin otorum açma adınız\AppData\Roaming içerisine SVCHOT.EXE ve NTCOM.DLL
Pc yi aç kapa yaptığınızda SVCHOT.EXE, ntlog.sys, NTCOM.DLL
Windows 7' de C:\Users\sizin otorum açma adınız\AppData\Roaming içerisine svchost.exe, SCVHOST.exe, ntlog.sys, ntsys.dll olarak 4 dosya şeklinde bulaşır. Güncel
Şuanki Güncellenmiş halinde 2 şekilde bulaşır
1: Bulaştığı andan itibaren aktif olur
C:\Users\sizin otorum açma adınız\AppData\Roaming içerisine SVCHOT.EXE, ntlog.sys, NTCOM.DLL
2: Bulaştığında aktif olmaz C:\Users\sizin otorum açma adınız\AppData\Roaming içerisine SVCHOT.EXE ve NTCOM.DLL
Pc yi aç kapa yaptığınızda SVCHOT.EXE, ntlog.sys, NTCOM.DLL Not: Gizli dosya ve klasörler seçeneğini aktif hale getirmeden belirtilen dizini göremezsiniz.
Xp işletim sisteminden Temizlemek için;
Gizli dosya ve klasörler seçeneğini aktif hale getirin
svchost.exe nin karşısında yani kullanıcı adı kısmında oturum açma adınız yazıyorsa o svchost.exe işlemini sonlandırın Güncel
SVCHOST.EXE nin karşısında yani kullanıcı adı kısmında oturum açma adınız yazıyorsa o SVCHOST.EXE işlemini sonlandırın
C:\Documents and Settings\sizin otorum açma adınız\Application Data klasörünü açıp svchost.exe, ntlog.sys, ntsys.dll, SCVHOS.exe dosyalarını silin
Güncel
1: Bulaştığı andan itibaren aktif olmuşsa
C:\Documents and Settings\sizin otorum açma adınız\Application Data klasörünü açıp SVCHOT.EXE, ntlog.sys, NTCOM.DLL dosyalarını silin
2: Bulaştığında aktif olmamış isebu şekil bulaşacağından
C:\Documents and Settings\sizin otorum açma adınız\Application Data klasörünü açıp SVCHOT.EXE, ntlog.sys, NTCOM.DLL dosyalarını silin
Akabinde;
Başlat-çalışr'a regedit yazıp Kayıt defteri düzenleyicisini açın ve aşağıdaki işlemleri yapın. ***********************************************************
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Bu değeri silin
svchost "C:\Documents and Settings\ sizin otorum açma adınız \Application Data\svchost.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon Bu değeri
Shell explorer.exe "C:\Documents and Settings\ sizin otorum açma adınız \Application Data\svchost.exe" Bu şekil değiştirin
Shell Explorer.exe
***********************************************************
Daha sonra var ise aşagıdaki kayıtlarıda siliniz.
HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache
C:\Documents and Settings\sizin otorum açma adınız \Application Data\SCVHOST.EXE SCVHOST HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache
C:\Documents and Settings\sizin otorum açma adınız \Application Data\svchost.exe svchost Bunları yaptıktan sonra: Kontrol etmek için Kayıt defteri düzenleyicisin den önce SCVHOST.EXE yi aratın daha sonra Application Data\svchost.exe 'yi aratın eğer bu kelimeler bulunuyorsa ilgili girdileri silin bulunmuyorsa keyloger temizlenmiş demektir.
Bilgisayarınızı yeniden başlatın işlem tamamdır. Artık Sisteminizi sorunsuz kullanabilirsiniz. Vista işletim sisteminden Temizlemek için;
Gizli dosya ve klasörler seçeneğini aktif hale getirin Gizli dosyaları ve klasörleri görüntülemek için aşağıdaki adımları izleyin.
1. Başlat düğmesi , Denetim Masası, Görünüm ve Kişiselleştirme ve ardından Klasör Seçenekleri'ni tıklatarak Klasör Seçenekleri'ni açın.
2. Görünüm sekmesini tıklatın. 3. Gelişmiş ayarlar altından Gizli dosya ve klasörleri göster'i ve ardından Tamam'ı tıklatın. CTRL+ALT+DEL Tuşlarına basarak görev yöneticisi başlatın işlemler menusunden
svchost.exe nin karşısında yani kullanıcı adı kısmında oturum açma adınız yazıyorsa o svchost.exe işlemini sonlandırın Güncel
SVCHOST.EXE nin karşısında yani kullanıcı adı kısmında oturum açma adınız yazıyorsa o SVCHOST.EXE işlemini sonlandırın
C:\Users\sizin otorum açma adınız\AppData\Roaming klasörünü açıp svchost.exe, ntlog.sys, ntsys.dll, SCVHOS.exe dosyalarını silin
Güncel
1: Bulaştığı andan itibaren aktif olmuşsa
C:\Users\sizin otorum açma adınız\AppData\Roaming klasörünü açıp SVCHOT.EXE, ntlog.sys, NTCOM.DLL dosyalarını silin
2: Bulaştığında aktif olmamış isebu şekil bulaşacağından
C:\Users\sizin otorum açma adınız\AppData\Roaming klasörünü açıp SVCHOT.EXE, ntlog.sys, NTCOM.DLL dosyalarını silin
Akabinde;
Başlat-çalışr'a regedit yazıp Kayıt defteri düzenleyicisini açın ve aşağıdaki işlemleri yapın.
*********************************************************** HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Bu değeri silin
svchost "C:\Users\sizin otorum açma adınız\AppData\Roaming\svchost.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Bu değeri
Shell explorer.exe "C:\Users\sizin otorum açma adınız\AppData\Roaming\svchost.exe"
Bu şekil değiştirin
Shell explorer.exe
*********************************************************** Daha sonra var ise aşagıdaki kayıtlarıda siliniz.
HKEY_CLASSES_ROOT\Local Settings\Software\Microsoft\Windows\Shell\MuiCache
C:\Users\sizin otorum açma adınız\AppData\Roaming\SCVHOST.EXE SCVHOST HKEY_CLASSES_ROOT\Local Settings\Software\Microsoft\Windows\Shell\MuiCache C:\Users\sizin otorum açma adınız\AppData\Roaming\svchost.exe svchost Bunları yaptıktan sonra; Kontrol etmek için Kayıt defteri düzenleyicisin den önce SCVHOST:EXE yi aratın daha sonra Roaming\svchost.exe 'yi aratın eğer bu kelimeler bulunuyorsa ilgili girdileri silin bulunmuyorsa keyloger temizlenmiş demektir.
Bilgisayarınızı yeniden başlatın işlem tamamdır. Artık Sisteminizi sorunsuz kullanabilirsiniz. Windows 7 işletim sisteminden Temizlemek için;
Gizli dosya ve klasörler seçeneğini aktif hale getirin Gizli dosyaları ve klasörleri görüntülemek için aşağıdaki adımları izleyin.
1. Başlat düğmesi , Denetim Masası, Görünüm ve Kişiselleştirme ve ardından Klasör Seçenekleri'ni tıklatarak Klasör Seçenekleri'ni açın.
2. Görünüm sekmesini tıklatın. 3. Gelişmiş ayarlar altından Gizli dosya ve klasörleri göster'i ve ardından Tamam'ı tıklatın. CTRL+ALT+DEL Tuşlarına basarak görev yöneticisi başlatın işlemler menusunden
svchost.exe nin karşısında yani kullanıcı adı kısmında oturum açma adınız yazıyorsa o svchost.exe işlemini sonlandırın Güncel
SVCHOST.EXE nin karşısında yani kullanıcı adı kısmında oturum açma adınız yazıyorsa o SVCHOST.EXE işlemini sonlandırın C:\Users\sizin otorum açma adınız\AppData\Roaming klasörünü açıp svchost.exe, ntlog.sys, ntsys.dll, SCVHOS.exe dosyalarını silin
Güncel
1: Bulaştığı andan itibaren aktif olmuşsa
C:\Users\sizin otorum açma adınız\AppData\Roaming klasörünü açıp SVCHOT.EXE, ntlog.sys, NTCOM.DLL dosyalarını silin
2: Bulaştığında aktif olmamış isebu şekil bulaşacağından
C:\Users\sizin otorum açma adınız\AppData\Roaming klasörünü açıp SVCHOT.EXE, ntlog.sys, NTCOM.DLL dosyalarını silin
Akabinde;
Başlat-çalışr'a regedit yazıp Kayıt defteri düzenleyicisini açın ve aşağıdaki işlemleri yapın.
*********************************************************** HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Bu değeri silin
svchost "C:\Users\sizin otorum açma adınız\AppData\Roaming\svchost.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Bu değeri
Shell explorer.exe "C:\Users\sizin otorum açma adınız\AppData\Roaming\svchost.exe"
Bu şekil değiştirin
Shell explorer.exe
*********************************************************** Bunları yaptıktan sonra; Kontrol etmek için Kayıt defteri düzenleyicisin den önce SCVHOST:EXE yi aratın daha sonra Roaming\svchost.exe 'yi aratın eğer bu kelimeler bulunuyorsa ilgili girdileri silin bulunmuyorsa keyloger temizlenmiş demektir.
Bilgisayarınızı yeniden başlatın işlem tamamdır. Artık Sisteminizi sorunsuz kullanabilirsiniz. Yapamayanlar Xp , VİSTA ve Windows 7 den temizlemek için hazırlamış olduğum bu temsili videoyu örnek alarak temizleyebilirler
Güncel temizleme yöntemi
Keyloger braz geliştirilmiş ismi SVCHOST.EXE olarak değiştirilmiştir.
Keyloger'in sisteme bulaşıp 2 şekilde aktif olabileceğini test ederek tesbit ettik
1: Bulaştığı zaman hemen aktif olur görev yöneticisinde gözükür.
Pc nizde girmiş olduğunuz internet adresleri, Girmiş olduğunuz bütün kullanıcı adı ve şifreler, yazmış olduğunuz ve kopyala yapıştır yaptığınız bütün yazılar, pc nizin ekran görüntüsü,…vs periyodik bir şekilde belirtilen zaman aralıklarında yapımcının belirtmiş olduğu adrese yollamaktadır.Yukarıda anlatılan regedit temizleme yöntemi geçerlidir.
2: Bulaştığı zaman hemen aktif olmaz bundan dolayı görev yöneticisinde gözükmez ve dikkatinizi çekmez.
Fakat Pc nizi aç kapa yaptıktan sonra aktif hale gelir ve Görev yöneticisinde gözükür bun andan itibaren Pc nizde girmiş olduğunuz internet adresleri, Girmiş olduğunuz bütün kullanıcı adı ve şifreler, yazmış olduğunuz ve kopyala yapıştır yaptığınız bütün yazılar, pc nizin ekran görüntüsü,…vs periyodik bir şekilde belirtilen zaman aralıklarında yapımcının belirtmiş olduğu adrese yollamaktadır.
Yukarıda anlatılan regedit temizleme yöntemi geçerlidir. Değişiklikler belirtilmiştir.
Özetle formatsız sistemden kaldırılabilir
Standart olarak yaygın olan bu keylogger'in temizliği yukarıdakigibidir.
Önemli: En kötü ihtimal Eğer yapımcı standart olan svchost.exe ismini değiştirirse svchost exe yerine farklı isimler olabilir.
Benim analizime göre ismi ne olursa olsun bu keylogger'ın registry de bulaştığı yerler bellidir.
Bu gibi durumda en temiz yöntem Başlat çalıştır regedit ' ten kontrol etmektir.
Tesbit için:
Farklı isimlerde bulaştığını varsayarsak izlenmeniz gereken yol ilk etapta shell değeridir.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
standart olarak shell değeri
Shell explorer.exe dir ve değerin standart olması gerekir.
Eğer farklı ise keylogger dosyasının konumu orda mevcuttur.
Örnek verecek olursak ;
Shell explorer.exe "C:\Documents and Settings\ sizin otorum açma adınız \xx klasoru\xxx.exe" diye bir değer olsun
Yukarıdaki değeri
Shell explorer.exe olarak değiştirmeniz gerekir + Belirtilen konumdaki xxx.exe dosyasını silmeniz gerekir.
Not
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run da bulunan değerleride kontrol etmekte fayda vardır bu noktayıda atlamamak gerekir. Teknik olarak gerekli anlatımları detaylı bir şekilde yaptık sanırım.
Çok sıkıntı olursa ki sanmam olacağını ilerleyen zamanlarda tesbit ve temizliği için basit bir program geliştirebiliriz.
Edit: İçerik Güncellemesi yapılmıştır.
Bizi takip etmeye devam edin.
Burdaki konuyuda dikkate almak gerekir hala aktiftir.
Güncel versiyonunda msnmsgr.exe, dllhost.exe adı altında bulaşmaktadır
temizleme yöntemi için.
http://www.bilgineferi.com/forum/forum_posts.asp?TID=8005 - http://www.bilgineferi.com/forum/forum_posts.asp?TID=8005
*********************************************************** svchost.exe nin farklı bir versiyonu
Buşatığı yer
C:\windows\system32\krsr\svchost.exe
  Temizlenmesi:
CTRL+ALT+DEL Tuşlarına basarak görev yöneticisini açın işlemler menusunden
svchost.exe nin karşısında yani kullanıcı adı kısmında oturum açma adınız yazıyorsa o svchost.exe işlemini sonlandırın Sonra
C:\WINDOWS\system32\ de bulunan krsr klasörünü silin Akabinde
Başlat-çalışr'a regedit yazıp Kayıt defteri düzenleyicisini açın ve aşağıdaki işlemleri yapın.
***********************************************************
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Bu değeri silin
svchost.exe "C:\windows\system32\krsr\svchost.exe" *********************************************************** Bilgisayarınızı yeniden başlatın işlem tamamdır
*********************************************************** Not: Aşağıdaki konuyuda inceleyiniz
Yeni Nesil Keyloger Tespit Etme Sistemi Hakkında hazırlamış olduğumuz diğer konulara aşağıdaki linkten ulaşabilirsiniz
http://www.bilgineferi.com/forum/forum_posts.asp?TID=8373 - http://www.bilgineferi.com/forum/forum_posts.asp?TID=8373
http://www.bilgineferi.com/forum/forum_posts.asp?TID=7378 -
Saygılarımla invertor -------------  http://www.bilgineferi.com/forum/forum_posts.asp?TID=8328" rel="nofollow - Hash Kontrolü yapma ( MD5, SHA-1, CRC32,... vb)
|
Cevaplar:
Mesajı Yazan: S3Z3R
Mesaj Tarihi: 09-05-2009 Saat 18:02
|
İyi bir çalışma yapmışsın yine :) Eline sağlık ....... ------------- 
|
Mesajı Yazan: dimenor55
Mesaj Tarihi: 09-05-2009 Saat 21:52
|
teşekkürler...
------------- Forever SAMSUNSPOR |
Mesajı Yazan: DirtyNigga
Mesaj Tarihi: 10-05-2009 Saat 00:30
|
Çok teşekkürler bu bilgi için. Fakat benim görev yöneticisinde Kullanıcı Adı bölümünde hiçbirşey yazmıyor. Sadece "Sistem Boşta İşlemi" SYSTEM adlı kullanıcı adı altında çalışıyor. Diğer çalışan bütün uygulamaların Kullancı Adı bölümleri boş. Bu sorun için bir çözüm var mıdır acaba ? |
Mesajı Yazan: ayhanaz
Mesaj Tarihi: 11-05-2009 Saat 15:52
| UYARINIZ İÇİN ÇOK TEŞEKKÜRLER SİZİ SAYGIYLA İZLEMEYE VE PROBLEMLERİMİ SİTENİZDEN GÜVENLE ÇÖZMEYE DEVAM EDİYORUM TEŞEKKÜRLER |
Mesajı Yazan: S3Z3R
Mesaj Tarihi: 11-05-2009 Saat 16:42
|
Bilgineferi farkı bu olsa gerek. Her zaman bizi takip etmeye devam edin...
-------------
|
Mesajı Yazan: kral
Mesaj Tarihi: 27-06-2009 Saat 17:28
|
Konu için teşekkürler invertor
Konu hakkında sizin ve diğer kullanıcılar için hazırlamış olduğum Aşağıdaki konuyu inceleyiniz.
http://www.bilgineferi.com/forum/forum_posts.asp?TID=7799&PN=1 - http://www.bilgineferi.com/forum/forum_posts.asp?TID=7799&PN=1 -------------  “Bilginin elde edilmesi... bizi iyiye ulaştıracaktır. |
DirtyNigga Yazdı:Mesajı Yazan: invertor
Mesaj Tarihi: 20-07-2009 Saat 00:47
|
windovs 7 için temizleme yöntemi + video eklenmiştir. ------------- http://www.bilgineferi.com/forum/forum_posts.asp?TID=8328" rel="nofollow - Hash Kontrolü yapma ( MD5, SHA-1, CRC32,... vb)
|
Mesajı Yazan: S3Z3R
Mesaj Tarihi: 20-07-2009 Saat 11:37
|
İnvertor Türkiyede bir ilk svchost.exe windows 7 için anlatım ve video
Çalışmaların tüm forumlara kaynak durumda. -------------
|
Mesajı Yazan: invertor
Mesaj Tarihi: 25-07-2009 Saat 15:05
|
Güncelleme eklenmiştir
Standart olarak yaygın olan bu keylogger'in temizliği yukarıdakigibidir.
Önemli: En kötü ihtimal Eğer yapımcı standart olan svchost.exe ismini değiştirirse svchost exe yerine farklı isimler olabilir.
Benim analizime göre ismi ne olursa olsun bu keylogger'ın registry de bulaştığı yerler bellidir.
Bu gibi durumda tesbiti yukarıda anlatılmıştır
Teşekkürler S3Z3R standart olarak svchost.exe adı altında bulaşan bu keyloggerin ilk anlatımı sanırım bilgineferi.com' a ait.
Konuyu paylaşanlar kaynağı eklerseler devamlı güncel temizleme yöntemi ile irtibatta olur.
Kaynak göstermeleri güzel birşey
Saygılarımla ------------- http://www.bilgineferi.com/forum/forum_posts.asp?TID=8328" rel="nofollow - Hash Kontrolü yapma ( MD5, SHA-1, CRC32,... vb)
|
Mesajı Yazan: tehlike724
Mesaj Tarihi: 26-07-2009 Saat 16:52
|
valla bende o nalet siteden yemişim bunu. birkaç mail hesabım gitti. ilk başlarda düşündüm ama bir türlü bulamadım böyle bir konuyu. enson rapid hesabım çalınınca farkettik ama ne fark eder... senin eline sağlık çok güzel anlatmışsın. keyloggeri yemişim gerçekten. sildik sayende. konuyu aslında üye olmadan da görebiliyoruz ama ben bu mesajı yazmak için üye oldum. inşallah böyle devam edersiniz. paylaşımlarınızın devamlılığı dileğiyle iyi günler. |
Mesajı Yazan: acar54
Mesaj Tarihi: 01-08-2009 Saat 10:44
|
invertor
öncelikle geniş açıklamalar için teşekkürler...bende bilgisayarımda bu sıkıntının bulunduğunu zannediyordum.KASPER sürekli bu uygulama ile ilgili uyarı veriiyordu.kayıt defterinde ve d (sistem burada) altında bulamadım fakat görev yöneticisinde svchost.exe SYSTEM CPU:0 BELLEK kullanımı 30.160 kullanım ile 2.sırayı bırakmıyor. bilg. açıldığı bir saatyi geçmesine rağmen. sizin tarif ettiğiniz yerlerin dışında olmadığını kabul ederek ben svchost.exe ile ilgili kasper in verdiği uyarılarda güvenli bölgeye ekle demeye karar verdim bakalım bir sıkıntı çıkacak mı? |
Mesajı Yazan: uhutbaser
Mesaj Tarihi: 07-08-2009 Saat 22:32
| Sayın üstadım bende ilk verdiğiniz örnekte svchost.exe 6tane açlmış görev yöneticisinde normalde dediğinize göre bu 6 svchost .exe lerin 2tanesi NETWORK SERVİCE de,1 tanesi LOCAL SERVİCE geriye kalan 2 taneside system de çalışmış olarak gösteriyosunuz.Benim görev yöneticisinde bunlar bu şekilde açılmış fakat hatanın olduğu yer bende sorun çıkaran svchost.exe dosyasının oturum açmış olduğum isimde değil System de açılmış olması yani Sizin invertor yazan kısımda bende System yazıyor olması yani toplam 3tanesi systemde çalışıyor.Bu ne demektir çözümü nasıl yapılır açıklarsanız müteşekkir olurum üstadm.Saygılarımla |
Mesajı Yazan: invertor
Mesaj Tarihi: 08-08-2009 Saat 13:14
Svchost.exe sayısı fazla olabilir önemli olan oturum açma adınız ile çalışmaması gerekir.
Örneğin; Oturum açma adınız xxx ise svchost.exe nin karşısında yani kullanıcı adı kısmında xxx yazıyorsa pc nize keyloger bulaşmış demektir.
Böyle bir durum sözkonusu değil ise problem yok demektir.
Sorun çıkmaz.
Bizim bahsettiğimiz keyloger' dan sizteminizde yok..
Probleminiz için Detaylı bilgi ;
http://www.bilgineferi.com/forum/forum_posts.asp?TID=7808 - http://www.bilgineferi.com/forum/forum_posts.asp?TID=7808 ------------- http://www.bilgineferi.com/forum/forum_posts.asp?TID=8328" rel="nofollow - Hash Kontrolü yapma ( MD5, SHA-1, CRC32,... vb)
|
Mesajı Yazan: invertor
Mesaj Tarihi: 22-08-2009 Saat 12:14
|
Konu güncellenmiştir ------------- http://www.bilgineferi.com/forum/forum_posts.asp?TID=8328" rel="nofollow - Hash Kontrolü yapma ( MD5, SHA-1, CRC32,... vb)
|
Mesajı Yazan: veler55
Mesaj Tarihi: 24-08-2009 Saat 13:24
 Teşekkürler güzel bir paylaşım olmuş.
|
Mesajı Yazan: dumro_laz
Mesaj Tarihi: 05-09-2009 Saat 12:17
| bende svchost.exe nin karşısında System , Local service ve network service terimleri var bşkada bişe yoq bişe silicekmiyim keyloger var ama soyuldum 2 gun once |
Mesajı Yazan: invertor
Mesaj Tarihi: 05-09-2009 Saat 17:07
Bahsettikleriniz normal dosyalar birde Buradaki konuyu inceleyin
http://www.bilgineferi.com/forum/forum_posts.asp?TID=8005 - http://www.bilgineferi.com/forum/forum_posts.asp?TID=8005 ------------- http://www.bilgineferi.com/forum/forum_posts.asp?TID=8328" rel="nofollow - Hash Kontrolü yapma ( MD5, SHA-1, CRC32,... vb)
|
Mesajı Yazan: cliperinesk
Mesaj Tarihi: 17-09-2009 Saat 01:35
| teşekkürler |
Mesajı Yazan: emrehan
Mesaj Tarihi: 02-10-2009 Saat 13:46
| cafeden gırıyrum ama işlemleri gostermıyor filtre olduqu ıcn mı? |
Mesajı Yazan: invertor
Mesaj Tarihi: 02-10-2009 Saat 15:02
İşlemleri görmek için
Burayı inceleyin http://www.bilgineferi.com/forum/forum_posts.asp?TID=7799&PN=1 - http://www.bilgineferi.com/forum/forum_posts.asp?TID=7799&PN=1
Veya güncel olan bu konuyu inceleyiniz
http://www.bilgineferi.com/forum/forum_posts.asp?TID=8005 - http://www.bilgineferi.com/forum/forum_posts.asp?TID=8005
------------- http://www.bilgineferi.com/forum/forum_posts.asp?TID=8328" rel="nofollow - Hash Kontrolü yapma ( MD5, SHA-1, CRC32,... vb)
|
Mesajı Yazan: jambonik
Mesaj Tarihi: 25-05-2010 Saat 09:51
|
svchost.exe yanında administratör yazıyor ve kamera ışığım ara sıra yanıp sönüyor.
Belliki keylogger var. Yazdığınız işlemleri uyguladım fakat değiştirmişler sanırım özelliklerini ki artık sizin yazdığınız yerlerde bulamıyorum.Dosyaları görünür halede getirdim. Format attım bilgisayara yine aynı yerde duruyor. Bir türlü sonuç alamıyorum. |
Mesajı Yazan: invertor
Mesaj Tarihi: 16-11-2010 Saat 18:47
|
svchost.exe keylogger inin farklı bir versiyonu ile Konu güncellenmiştir
*********************************************************** svchost.exe nin farklı bir versiyonu
Buşatığı yer
C:\windows\system32\krsr\svchost.exe
Temizlenmesi:
CTRL+ALT+DEL Tuşlarına basarak görev yöneticisini açın işlemler menusunden
svchost.exe nin karşısında yani kullanıcı adı kısmında oturum açma adınız yazıyorsa o svchost.exe işlemini sonlandırın Sonra
C:\WINDOWS\system32\ de bulunan krsr klasörünü silin Akabinde
Başlat-çalışr'a regedit yazıp Kayıt defteri düzenleyicisini açın ve aşağıdaki işlemleri yapın.
***********************************************************
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Bu değeri silin
svchost.exe "C:\windows\system32\krsr\svchost.exe" *********************************************************** Bilgisayarınızı yeniden başlatın işlem tamamdır
*********************************************************** ------------- http://www.bilgineferi.com/forum/forum_posts.asp?TID=8328" rel="nofollow - Hash Kontrolü yapma ( MD5, SHA-1, CRC32,... vb)
|