Bilginin Adresi Ana Sayfa
Forum Anasayfası Forum Anasayfası > Bilgisayar Güvenliği / Computer Security > Güvenlik Programları, Güvenlik ve Güvenlik açıkları
  Aktif Konular Aktif Konular RSS - scvhost.exe (Dikkat)
  SSS SSS  Forumu Ara   Events   Kayıt Ol Kayıt Ol  GiriÅŸ GiriÅŸ

scvhost.exe (Dikkat)
 Yanıt Yaz Yanıt Yaz
Yazar
Mesaj
  Konu Arama Konu Arama  Konu Seçenekleri Konu Seçenekleri
invertor Açılır Kutu Gör
Security Professional
Security Professional
Simge
İnventor

Kayıt Tarihi: 18-01-2008
Status: Aktif DeÄŸil
Points: 3365 		Mesaj Seçenekleri Mesaj Seçenekleri   Thanks (0) Thanks(0)   Alıntı invertor Alıntı  Yanıt YazCevapla Mesajın Direkt Linki Konu: scvhost.exe (Dikkat)
    Gönderim Zamanı: 22-03-2009 Saat 02:13
 
scvhost.exe  Yeni nesil  Güzel bir keyloger client'i  dir.  Ticari amaçlı yapılmıştır. Burdaki  scvhost.exe  ismini client'i  oluşturan kişi değişebilmektedir.  örnek: aa.exe  gibi, scvhost.exe  adı  program ile standart olarak gelmektedir.
 
Client'i oluşturan kişi keyloger'a istediği adı verebilmektedir verilen bu isim görev yöneticisinde işlemler kusmında  gözükmektedir. Örnek: invert.exe.. vs  gibi  Antivirüs programları tanımamaktadır.
 
Dikkat: scvhost.exe   ismi programla standart  olarak geldiği için  nasıl silinebileceğini  bu dosyayı baza alarak anlatacam.
Diğer isimler içinde anlatılacak olan   bu adımları uygulayarak silme işlemlerini yapa bilirsiniz.
 
 
Bu keyloger kendi kendine bulaşmaz  bulaşması için   scvhost.exe dosyasının çalıştırılması gerekir  Dosya adındaki scvhost kısmının  değişik olabileceğini daha önceden belirtmiştik.  örnek aa.exe ..vs
 
Bu exe dosyası çalıştırıldığında ilk etapta   Unexpected Stop at 0x000000C2   hatası sonra aplication data /ntcom.dll bulunamadı hatası  ile karşılaşa bilirsiniz.  "Bunlar standart hatalardır"  Bu hatalardan Unexpected Stop at 0x000000C2 hatası  farklı olabilir  ismi değiştirilebilir." client'i oluşturan kişi  dosya ismini ve  hata ismini değiştirebiliyor.
 
Sonuç itibari ile bu exe dosyası çalıştırıldığında  iki adet hata vermektedir. veya sadece  aplication data /ntcom.dll bulunamadı  hatasını vermektedir. veya Hatasızda çalışabilir.
 
 
Bulaştığı zaman
 
Klavyeden bastığınız bütün tuşaları yapımcının keyloger  ın  içine eklemiş olduğu  adrese göndermektedir.
 
 
Genelde  C:\WINDOWS dizini içerisinde bulunur.
 
örnek: scvhost.exe, aa.exe,...vs adı altında  bulunur   
 
scvhost.exe  adında oluşturulmuş olan Keyloger tarafımdan kendi bilgisayarıma yuklenip gerekli incelemeler yapıldıktan sonra  temizlenmesini adım adım sizler için hazırladım.
 
 
scvhost.exe 'nin Temizlenmesi
 
Temizlik işlemine başlıyalım
 
 
CTRL+ALT+DEL Tuşlarına basarak görev yöneticisini açın
scvhost.exe işlemini sonlandırın 
 
Dikkat: svchost.exe  değil scvhost.exe yi sonlandıracaksınız.

 
C:\WINDOWS dizini içerisinden scvhost.exe, ntsystem.dll, ntdetect.sys dosyasını silin
 
 
Başlat-çalışr'a regedit yazıp Kayıt defteri düzenleyicisini açın ve aşağıdaki işlemleri yapın.
 
 
 
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
 
slhell degerini     "explorer.exe C:\WINDOWS\scvhost.exe"
 
Bu şekil değiştirin
slhell degerini     Explorer.exe
 
 
 
 
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\*

 C:\WINDOWS\scvhost.exe gördüğünüz  yerdeki  değeri silin
 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\exe
 
C:\WINDOWS\scvhost.exe gördüğünüz  yerdeki  değeri silin
 
 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\CTFMON
 
item  değerini silin "scvhost"
 

Özetle:
 
Bunları Sildikten sonra kontrol etmek için  Kayıt defteri düzenleyicisin den scvhost kelimesini  veya hagi isimde bulaşmış ise konum adresi ile birlikte  eğer bu kelime bulunuyorsa ilgili girdileri silin bulunmuyorsa keyloger  temizlenmiş demektir.
 
 
Bilgisayarınızı yeniden başlatın   işlem tamamdır.
 
 
 
 

Saygılarımla 
 invertor
 
 
Güncel versiyonları için tespit ve temizleme yöntemini aşağıdaki adresten takip edebilirsiniz.
 
 
 
 
 
scvhost.exe' nin diğer  bir farklı versiyonu ise 
scvhost.exe W32/Agobot-S virüsü olarak bilinir.Risk derecesi yüksektir.
Bilgisayarın uzaktan kontrol edilmesine, şifre çalınmasına ve kişisel bilgilerin çalınması amacı ile kullanılır. Yukarıda bahsettiğim keyloger ile   amacı aynıdır. Fakat yapımcıları farklıdır.

Temizlemek için;

HKLM\Software\Microsoft\Windows\CurrentVersion\
Run\Config Loader = scvhost.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\
RunServices\Config Loader = scvhost.exe
 
 
 
 
Not: Aşapıdaki konuyuda inceleyiniz
 
 
Yeni Nesil Keyloger Tespit Etme Sistemi Hakkında hazırlamış olduğumuz diğer  konulara aşağıdaki linkten  ulaşabilirsiniz
 
 
Konuyu devamlı güncel tutmaya çalışacağız.
Bizi takip etmeye devam edin.
 
 
 
 


Düzenleyen invertor - 06-03-2010 Saat 13:06
Hash Kontrolü yapma ( MD5, SHA-1, CRC32,... vb)
Yukarı Dön
Snakes09 Açılır Kutu Gör
Yeni Üye
Yeni Üye


Kayıt Tarihi: 11-03-2009
Konum: Turkey
Status: Aktif DeÄŸil
Points: 0 		Mesaj Seçenekleri Mesaj Seçenekleri   Thanks (0) Thanks(0)   Alıntı Snakes09 Alıntı  Yanıt YazCevapla Mesajın Direkt Linki Gönderim Zamanı: 22-03-2009 Saat 15:42
Ellerine Saglık Kardeş Önemli Bİr Konuyu Aydınlattıgın İçin Teşekkürler.
Yukarı Dön
invertor Açılır Kutu Gör
Security Professional
Security Professional
Simge
İnventor

Kayıt Tarihi: 18-01-2008
Status: Aktif DeÄŸil
Points: 3365 		Mesaj Seçenekleri Mesaj Seçenekleri   Thanks (0) Thanks(0)   Alıntı invertor Alıntı  Yanıt YazCevapla Mesajın Direkt Linki Gönderim Zamanı: 22-03-2009 Saat 16:03

Bu gibi durumlarda    bilgisayarınızdan şüpheleniyorsanız  Başlat-çalışr'a msconfig yazıp çalıştırın . Açılan pencereden başlangıç menusünü seçin  başlangıçta çalışan programları inceleyin. Not: Bazı keyloger ların bu kısımda gözükmeme gibi özelliği mevcut olabiliyor yukarıda bahsettiğimiz ilk örnek gibi.

Ozaman kontrolü şu şekil yapacaksınız ctrl+alt+del tuşlarına basarak Görev yöneticisini açıp işlemler kısmından  çalışan exe dosyalarının ne olduğunu inceleyerek anlaya bilirsiniz.
 
veya
 
Bilgisayarınıza keyloger bulaşmışmı nasıl anlaşılır adlı  Bu konuyu inceleye bilirsiniz.
 
 


Düzenleyen invertor - 23-03-2009 Saat 16:41
Hash Kontrolü yapma ( MD5, SHA-1, CRC32,... vb)
Yukarı Dön
ahmet-6161-ts Açılır Kutu Gör
Yeni Üye
Yeni Üye


Kayıt Tarihi: 18-10-2010
Konum: Turkey
Status: Aktif DeÄŸil
Points: 0 		Mesaj Seçenekleri Mesaj Seçenekleri   Thanks (0) Thanks(0)   Alıntı ahmet-6161-ts Alıntı  Yanıt YazCevapla Mesajın Direkt Linki Gönderim Zamanı: 18-10-2010 Saat 11:07
güzel paylaşım tebrikler..
CHESTER HACK SUNAR..
Yukarı Dön
fero152 Açılır Kutu Gör
Yeni Üye
Yeni Üye


Kayıt Tarihi: 12-01-2011
Status: Aktif DeÄŸil
Points: 0 		Mesaj Seçenekleri Mesaj Seçenekleri   Thanks (0) Thanks(0)   Alıntı fero152 Alıntı  Yanıt YazCevapla Mesajın Direkt Linki Gönderim Zamanı: 12-01-2011 Saat 22:11
tebrik ederm gercekkten guzelbi program ellernize salıkk herkes guvenle kulanabilir tebriklerr +++++
Yukarı Dön
metuincco Açılır Kutu Gör
Yeni Üye
Yeni Üye
Simge

Kayıt Tarihi: 01-02-2011
Konum: Turkey
Status: Aktif DeÄŸil
Points: 0 		Mesaj Seçenekleri Mesaj Seçenekleri   Thanks (0) Thanks(0)   Alıntı metuincco Alıntı  Yanıt YazCevapla Mesajın Direkt Linki Gönderim Zamanı: 01-02-2011 Saat 04:34
merhabalar. Emeğiniz için teşekkürler. GErçekten çok uğraşmışsınız.
Geçenlerde kredi kartıma yansıyan ama benim yapmadığım bir alışveriş olmuştu. bir de bu gun bilgisayarda resimlere bakarken işlemcinin ısındığını farkettim.
Benim bilgisayarda bu keyloggerdan var, ama ne scvhost ne baskasi cozemedim zaten : Jpeg dosyasi actigimda dllhost.exe calisiyor. sistemi şişirmeye başlıyor.
sonra dosyayi kapattığımda dllhost.exe görev yöneticisinden gidiyor.
acaba buna bir çözüm var mıdır? Format demeyin lütfen :(
Not: regedit te Photoshop için ve jepeg için açılacak programlarda "DLLHOST.EXE" diye kayıtlar var, silsem de yeniden geliyor :(
Yardım ederseniz çok sevinirim.
Saygılar
Yukarı Dön
invertor Açılır Kutu Gör
Security Professional
Security Professional
Simge
İnventor

Kayıt Tarihi: 18-01-2008
Status: Aktif DeÄŸil
Points: 3365 		Mesaj Seçenekleri Mesaj Seçenekleri   Thanks (0) Thanks(0)   Alıntı invertor Alıntı  Yanıt YazCevapla Mesajın Direkt Linki Gönderim Zamanı: 02-02-2011 Saat 11:55
Orjinalini yazan: metuincco metuincco Yazdı:

merhabalar. Emeğiniz için teşekkürler. GErçekten çok uğraşmışsınız.
Geçenlerde kredi kartıma yansıyan ama benim yapmadığım bir alışveriş olmuştu. bir de bu gun bilgisayarda resimlere bakarken işlemcinin ısındığını farkettim.
Benim bilgisayarda bu keyloggerdan var, ama ne scvhost ne baskasi cozemedim zaten : Jpeg dosyasi actigimda dllhost.exe calisiyor. sistemi şişirmeye başlıyor.
sonra dosyayi kapattığımda dllhost.exe görev yöneticisinden gidiyor.
acaba buna bir çözüm var mıdır? Format demeyin lütfen :(
Not: regedit te Photoshop için ve jepeg için açılacak programlarda "DLLHOST.EXE" diye kayıtlar var, silsem de yeniden geliyor :(
Yardım ederseniz çok sevinirim.
Saygılar
 
 
Rica ederim sorularınızın cevaplarına gelince  tek tek açıklayalım;
 
- Bilginiz dışında yapılan alış veriş için savcılığa suç duyurusunda bulunabilirsiniz. Alış verişi yapan kişi muhakkak yakalnır. 
 
- İşlemci ısısını düşürmek için  işlemci soğutucusunun altına Termal Macun sürmenizi  tavsiye ederim
 
- Jpg dosyası açtığınızda dllhost.exe nin çalıştığını söylemişsiniz   procces explorer programı ile çalışan dllhost.exe nin konumunu öğrenip yazabilirseniz yardımcı olmaya çalışırım. Hatta procces explorer ile çalışan işlemlerin  ekran görüntüsünü buraya ekrarseniz daha iyi olur.
 
Örnek:
 
Saygılarımla
 
Edit:
 
Yeni Nesil Keyloger Tespit Etme Sistemi Hakkında hazırlamış olduğumuz konulara da göz atmanızı tavsiye ederim.
 


Düzenleyen invertor - 02-02-2011 Saat 11:57
Hash Kontrolü yapma ( MD5, SHA-1, CRC32,... vb)
Yukarı Dön
uyurtcu Açılır Kutu Gör
Yeni Üye
Yeni Üye


Kayıt Tarihi: 21-06-2011
Status: Aktif DeÄŸil
Points: 0 		Mesaj Seçenekleri Mesaj Seçenekleri   Thanks (0) Thanks(0)   Alıntı uyurtcu Alıntı  Yanıt YazCevapla Mesajın Direkt Linki Gönderim Zamanı: 22-06-2011 Saat 13:38
sistemi analiz et 2.5.4 ile kontrol yaptm keyloger var diyr  burda denien  hr bişeyi yaptm fkt bişey  bulamadm bi yardm edrseniz çk mnnettar olurm
by Uyrtcu
Yukarı Dön
invertor Açılır Kutu Gör
Security Professional
Security Professional
Simge
İnventor

Kayıt Tarihi: 18-01-2008
Status: Aktif DeÄŸil
Points: 3365 		Mesaj Seçenekleri Mesaj Seçenekleri   Thanks (0) Thanks(0)   Alıntı invertor Alıntı  Yanıt YazCevapla Mesajın Direkt Linki Gönderim Zamanı: 22-06-2011 Saat 13:55
Ekran görüntüsü eklermisiniz 
Hash Kontrolü yapma ( MD5, SHA-1, CRC32,... vb)
Yukarı Dön
 Yanıt Yaz Yanıt Yaz

Forum Atla Forum İzinleri Açılır Kutu Gör



Bu Sayfa 0.156 Saniyede Yüklendi.