svchost.exe Yeni nesil Turk Yapımı Guzel bir Keyloger client'i dir. Ticari amaclı yapılmıştır. Burdaki svchost.exe ismini yapımcı istediği zaman değişebilmektedir. ornek: aa.exe gibi, svchost.exe adı program ile standart olarak gelmektedir. Bu keyloger Şifrelerinizin ve kişisel bilgilerinizin calınması amacı ile kullanılır. Eğer pc nize bulaşmış ise ; Pc nizde girmiş olduğunuz internet adresleri, Girmiş olduğunuz butun kullanıcı adı ve şifreler, yazmış olduğunuz ve kopyala yapıştır yaptığınız butun yazılar, pc nizin ekran goruntusu,…vs periyodik bir şekilde belirtilen zaman aralıklarında yapımcının belirtmiş olduğu adrese yollamaktadır. Client’i oluşturan kişi dosya ismini istediği gibi değiştire bilir fakat bulaştığında gorev yoneticisi işlemler menusunde svchost.exe olarak gozukur. “Eğer yapımcı standart olan svchost.exe ismini değiştirirse gorev yoneticisinde isim farklı gozuke bilir”
Şimdi diyeceksiniz sistemde bircok svchost.exe calışıyor bunun keyloger olduğunu nasıl anlayacağız. Hemen acıklık getirelim; Svchost.exe ler oturum acma adınız ile calışmazlar Orneğin; Oturum acma adınız xxx ise svchost.exe nin karşısında yani kullanıcı adı kısmında xxx yazıyorsa pc nize keyloger bulaşmış demektir. Bu keyloger kendi kendine bulaşmaz bulaşması icin svchost.exe dosyasının calıştırılması gerekir Dosya adındaki svchost kısmının değişik olabileceğini daha onceden belirtmiştik. ornek aa.exe ..vs ama gorev yoneticisinde işlemler menusunde svchost.exe olarak gozukur. Dosyanın simgesi farklı olabilir basit bir ornek verecek olursak gonderen kişi dosyanın simgesini "mp3" muzik dosyası gibi ayarlar icine de bir muzik dosyası gomup bulaştırmak istediği kişiye gonderir ve dosyayı alan kişi muzik dinlemek icin o dosyayı calıştırdığında muzik calmaya başlar keyloger da bulaşmış olur. Not: Bu tur durumlarda şuphe duyuyorsanız dosya uzantısını kontrol ediniz. Yukarıda bahsttiğim ornekteki mp3 dosyasının uzantısı .mp3 değil .exe dir. Ama .exe uzantılı bir dosyanın icerisine gomulmuştur. Anti virus yazılımlarına yakalanmamaktadır ama son zamanlarda kaspersky internetsecurity yazılımına “Backdoor.Win32.Delf.osq” olarak yakalanmaktadır. Eğer yapımcı tarafından keyloger’in guncellemesi yapılırsa anti virus yazılımlarına yakalanmama ihtimali yuksektir. scvhost.exe keyloger' ı Pc nize bulaşmış ise aşağıda bahsettiğim yontemi kullanarak temizleye bilirsiniz bizzat tarafımdan test edilmiştir. Bulaştığı zaman Standart olarak C
ocuments and Settingssizin otorum acma adınızApplication Data icerisine svchost.exe, ntlog.sys, ntsys.dll olarak 3 dosya şeklinde bulaşır. Not: Gizli dosya ve klasorler seceneğini aktif hale getirmeden yukraıdaki dizini goremezsiniz. Temizlemek icin; Gizli dosya ve klasorler seceneğini aktif hale getirin CTRL+ALT+DEL Tuşlarına basarak gorev yoneticisini acın işlemler menusunden svchost.exe nin karşısında yani kullanıcı adı kısmında oturum acma adınız yazıyorsa o svchost.exe işlemini sonlandırın C
ocuments and Settingssizin otorum acma adınızApplication Data klasorunu acıp svchost.exe, ntlog.sys, ntsys.dll dosyalarını silin Akabinde; Başlat-calışr'a regedit yazıp Kayıt defteri duzenleyicisini acın ve aşağıdaki işlemleri yapın. HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurre ntVersionRun svchost Değerini silin "C
ocuments and Settings sizin otorum acma adınız Application Datasvchost.exe" HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon Shell Değerini silin explorer.exe "C
ocuments and Settings sizin otorum acma adınız Application Datasvchost.exe" Bunları Sildikten sonra kontrol etmek icin Kayıt defteri duzenleyicisin den "C
ocuments and Settings sizin otorum acma adınız Application Datasvchost.exe" yi aratın eğer bu kelime bulunuyorsa ilgili girdileri silin bulunmuyorsa keyloger temizlenmiş demektir. Bilgisayarınızı yeniden başlatın işlem tamamdır. (ALINTIDIR ARKADAŞLAR ARAYIP BULDUM İNŞ İŞİNİZE YARAR) __________________
