scvhost.exe (Dikkat)

[invertor]

 

scvhost.exe  Yeni nesil  Güzel bir keyloger client'i  dir.  Ticari amaçlı yapılmıştır. Burdaki  scvhost.exe  ismini client'i  oluşturan kişi değişebilmektedir.  örnek: aa.exe  gibi, scvhost.exe  adı  program ile standart olarak gelmektedir.

 

Client'i oluşturan kişi keyloger'a istediği adı verebilmektedir verilen bu isim görev yöneticisinde işlemler kusmında  gözükmektedir. Örnek: invert.exe.. vs  gibi  Antivirüs programları tanımamaktadır.

 

Dikkat: scvhost.exe   ismi programla standart  olarak geldiği için  nasıl silinebileceğini  bu dosyayı baza alarak anlatacam.

Diğer isimler içinde anlatılacak olan   bu adımları uygulayarak silme işlemlerini yapa bilirsiniz.

 

 

Bu keyloger kendi kendine bulaşmaz  bulaşması için   scvhost.exe dosyasının çalıştırılması gerekir  Dosya adındaki scvhost kısmının  değişik olabileceğini daha önceden belirtmiştik.  örnek aa.exe ..vs

 

Bu exe dosyası çalıştırıldığında ilk etapta   Unexpected Stop at 0x000000C2   hatası sonra aplication data /ntcom.dll bulunamadı hatası  ile karşılaşa bilirsiniz.  "Bunlar standart hatalardır"  Bu hatalardan Unexpected Stop at 0x000000C2 hatası  farklı olabilir  ismi değiştirilebilir." client'i oluşturan kişi  dosya ismini ve  hata ismini değiştirebiliyor.

 

Sonuç itibari ile bu exe dosyası çalıştırıldığında  iki adet hata vermektedir. veya sadece  aplication data /ntcom.dll bulunamadı  hatasını vermektedir. veya Hatasızda çalışabilir.

 

 

Bulaştığı zaman

 

Klavyeden bastığınız bütün tuşaları yapımcının keyloger  ın  içine eklemiş olduğu  adrese göndermektedir.

 

 

Genelde  C:\WINDOWS dizini içerisinde bulunur.

 

örnek: scvhost.exe, aa.exe,...vs adı altında  bulunur   

 

scvhost.exe  adında oluşturulmuş olan Keyloger tarafımdan kendi bilgisayarıma yuklenip gerekli incelemeler yapıldıktan sonra  temizlenmesini adım adım sizler için hazırladım.

 

 

scvhost.exe 'nin Temizlenmesi

 

Temizlik işlemine başlıyalım

 

 

CTRL+ALT+DEL Tuşlarına basarak görev yöneticisini açın

scvhost.exe işlemini sonlandırın 

 

Dikkat: svchost.exe  değil scvhost.exe yi sonlandıracaksınız.

 

C:\WINDOWS dizini içerisinden scvhost.exe, ntsystem.dll, ntdetect.sys dosyasını silin

 

 

Başlat-çalışr'a regedit yazıp Kayıt defteri düzenleyicisini açın ve aşağıdaki işlemleri yapın.

 

 

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

 

slhell degerini     "explorer.exe C:\WINDOWS\scvhost.exe"

 

Bu şekil değiştirin

slhell degerini     Explorer.exe

 

 

 

 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\*

 C:\WINDOWS\scvhost.exe gördüğünüz  yerdeki  değeri silin

 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\exe

 

C:\WINDOWS\scvhost.exe gördüğünüz  yerdeki  değeri silin

 

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\CTFMON

 

item  değerini silin "scvhost"

 

Özetle:

 

Bunları Sildikten sonra kontrol etmek için  Kayıt defteri düzenleyicisin den scvhost kelimesini  veya hagi isimde bulaşmış ise konum adresi ile birlikte  eğer bu kelime bulunuyorsa ilgili girdileri silin bulunmuyorsa keyloger  temizlenmiş demektir.

 

 

Bilgisayarınızı yeniden başlatın   işlem tamamdır.

 

 

 

 

Saygılarımla 

 invertor

 

 

Güncel versiyonları için tespit ve temizleme yöntemini aşağıdaki adresten takip edebilirsiniz.

 

http://www.bilgineferi.com/forum/forum_posts.asp?TID=8005

 

 

 

 

scvhost.exe' nin diğer  bir farklı versiyonu ise 

scvhost.exe W32/Agobot-S virüsü olarak bilinir.Risk derecesi yüksektir.
Bilgisayarın uzaktan kontrol edilmesine, şifre çalınmasına ve kişisel bilgilerin çalınması amacı ile kullanılır. Yukarıda bahsettiğim keyloger ile   amacı aynıdır. Fakat yapımcıları farklıdır.

Temizlemek için;

HKLM\Software\Microsoft\Windows\CurrentVersion\
Run\Config Loader = scvhost.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\
RunServices\Config Loader = scvhost.exe
 

 

 

 

Not: Aşapıdaki konuyuda inceleyiniz

 

 

Yeni Nesil Keyloger Tespit Etme Sistemi Hakkında hazırlamış olduğumuz diğer  konulara aşağıdaki linkten  ulaşabilirsiniz

 

http://www.bilgineferi.com/forum/forum_posts.asp?TID=8373

 

 

 

 

Konuyu devamlı güncel tutmaya çalışacağız.

Bizi takip etmeye devam edin.

 

 

 

 

invertor2010-03-06 04:06:34

[Snakes09]

Ellerine Saglık Kardeş Önemli Bİr Konuyu Aydınlattıgın İçin Teşekkürler.

[invertor]

Bu gibi durumlarda    bilgisayarınızdan şüpheleniyorsanız  Başlat-çalışr'a msconfig yazıp çalıştırın . Açılan pencereden başlangıç menusünü seçin  başlangıçta çalışan programları inceleyin. Not: Bazı keyloger ların bu kısımda gözükmeme gibi özelliği mevcut olabiliyor yukarıda bahsettiğimiz ilk örnek gibi.

Ozaman kontrolü şu şekil yapacaksınız ctrl+alt+del tuşlarına basarak Görev yöneticisini açıp işlemler kısmından  çalışan exe dosyalarının ne olduğunu inceleyerek anlaya bilirsiniz.

 

veya

 

Bilgisayarınıza keyloger bulaşmışmı nasıl anlaşılır adlı  Bu konuyu inceleye bilirsiniz.

 

http://www.bilgineferi.com/forum/forum_posts.asp?TID=7377&get=last#12514

 
invertor2009-03-23 07:41:15

[ahmet-6161-ts]

güzel paylaşım tebrikler..

[fero152]

tebrik ederm gercekkten guzelbi program ellernize salıkk herkes guvenle kulanabilir tebriklerr +++++

[metuincco]

merhabalar. Emeğiniz için teşekkürler. GErçekten çok uğraşmışsınız.
Geçenlerde kredi kartıma yansıyan ama benim yapmadığım bir alışveriş olmuştu. bir de bu gun bilgisayarda resimlere bakarken işlemcinin ısındığını farkettim.
Benim bilgisayarda bu keyloggerdan var, ama ne scvhost ne baskasi cozemedim zaten : Jpeg dosyasi actigimda dllhost.exe calisiyor. sistemi şişirmeye başlıyor.
sonra dosyayi kapattığımda dllhost.exe görev yöneticisinden gidiyor.
acaba buna bir çözüm var mıdır? Format demeyin lütfen :(
Not: regedit te Photoshop için ve jepeg için açılacak programlarda "DLLHOST.EXE" diye kayıtlar var, silsem de yeniden geliyor :(
Yardım ederseniz çok sevinirim.
Saygılar

[invertor]

[QUOTE=metuincco]merhabalar. Emeğiniz için teşekkürler. GErçekten çok uğraşmışsınız.
Geçenlerde kredi kartıma yansıyan ama benim yapmadığım bir alışveriş olmuştu. bir de bu gun bilgisayarda resimlere bakarken işlemcinin ısındığını farkettim.
Benim bilgisayarda bu keyloggerdan var, ama ne scvhost ne baskasi cozemedim zaten : Jpeg dosyasi actigimda dllhost.exe calisiyor. sistemi şişirmeye başlıyor.
sonra dosyayi kapattığımda dllhost.exe görev yöneticisinden gidiyor.
acaba buna bir çözüm var mıdır? Format demeyin lütfen :(
Not: regedit te Photoshop için ve jepeg için açılacak programlarda "DLLHOST.EXE" diye kayıtlar var, silsem de yeniden geliyor :(
Yardım ederseniz çok sevinirim.
Saygılar
[/QUOTE]

 

 

Rica ederim sorularınızın cevaplarına gelince  tek tek açıklayalım;

 

- Bilginiz dışında yapılan alış veriş için savcılığa suç duyurusunda bulunabilirsiniz. Alış verişi yapan kişi muhakkak yakalnır. 

 

- İşlemci ısısını düşürmek için  işlemci soğutucusunun altına Termal Macun sürmenizi  tavsiye ederim

 

- Jpg dosyası açtığınızda dllhost.exe nin çalıştığını söylemişsiniz   procces explorer programı ile çalışan dllhost.exe nin konumunu öğrenip yazabilirseniz yardımcı olmaya çalışırım. Hatta procces explorer ile çalışan işlemlerin  ekran görüntüsünü buraya ekrarseniz daha iyi olur.

 

Örnek:

http://www.bilgineferi.com/forum/uploads/20090826_101805_4edited.JPG

 

Saygılarımla

 

Edit:

 

Yeni Nesil Keyloger Tespit Etme Sistemi Hakkında hazırlamış olduğumuz konulara da göz atmanızı tavsiye ederim.

 

Yeni Nesil Keyloger Tespit Etme Sistemi Hakkında hazırlamış olduğumuz konular

invertor2011-02-02 02:57:15

[uyurtcu]

sistemi analiz et 2.5.4 ile kontrol yaptm keyloger var diyr  burda denien  hr bişeyi yaptm fkt bişey  bulamadm bi yardm edrseniz çk mnnettar olurm

[invertor]

Ekran görüntüsü eklermisiniz