Uyarı!  Sitemize Üye Olmak İsteyenler Hakkında:

==========================================================

Görülen lüzum üzerine yönetici onaylı üyelik sistemine geçilmiştir. Yapmanız gereken formumuza üye olduktan sonra kullanıcı adınızı üye olurken kullanmış olduğunuz mail hesabından kral@bilgineferi.com adresine gönderip üyeliğinizin aktif edilmesini talep etmektir.

Not: Yukarıdaki işlemi gerçekleştirmeyen üyelerin üyelikleri kabul edilmeyecektir.

Bilgineferi.com üyesi değilseniz forumlarımıza mesaj yazabilmek için kayıt olmanız gerekmektedir. İsterseniz bilgi içerikli forumlarımızı misafir olarak ta gezebilirsiniz.

==========================================================

Reklam Alanı: | Master Sistem (Tek Anahtar Bütün Kilitleri Açar)  | Otel Kilitleri  |  Kartlı Kilit Sistemleri | Duşakabin  | Kale Çelik  Kapı Kasa Kilit Yetkili Servis/Bayi | Kartlı Otel Kilit Sistemleri
   
Sitemize Reklam vermek ister misiniz ?  
Site Tanıtımı Yap Kapat

     Ana Sayfa     Şarkı Sözleri     Radyo & TV     Yeni Mesajlar     Üye Listesi     Arama            Üye Ol     Giriş

 

Bilgi Neferi Formuna Hoş geldiniz...

Reklam Alanı

  Konuyu Görüntülemek İçin TıklayınMaalesef Bu Video Oynatıla ...    Konuyu Görüntülemek İçin TıklayınBilgisayara takılan Usb Fl ...    Konuyu Görüntülemek İçin TıklayınŞirketler için özel olarak  ...    Konuyu Görüntülemek İçin TıklayınSensible World of Soccer 96 ...    Konuyu Görüntülemek İçin TıklayınDeskGate Firma ve Kurumlara ...    Konuyu Görüntülemek İçin TıklayınBeton Vibratörü    Konuyu Görüntülemek İçin Tıklayıninşaat malzemeleri - Sıfır, ...    Konuyu Görüntülemek İçin TıklayınTürksat Otomatik Kanal Tara ...    Konuyu Görüntülemek İçin Tıklayınok.ru video (dizi - film) i ...    Konuyu Görüntülemek İçin Tıklayınizlesene.com Video (indirme ...    

Güvenlik Programları, Güvenlik ve Güvenlik açıkları
 Bilgineferi.com :Bilgisayar Güvenliği / Computer Security :Güvenlik Programları, Güvenlik ve Güvenlik açıkları
Mesaj icon Konu: svchost.exe (Dikkat) Yanıt Yaz Yeni Konu Gönder
  Bu konuyu paylaş  
Translate
Sayfa  12>
Yazar Mesaj
invertor  
Security Profesyonel
Security Profesyonel
Simge
Üye Bilgileri
İnventor

Kayıt Tarihi: 18-01-2008
Üye Numarası : 1703
Mesajlar: 3325
Rep Puan
Rep: 2243


Alıntı invertor Cevaplabullet Konu: svchost.exe (Dikkat)
    Gönderim Zamanı: 09-05-2009 Saat 17:39
svchost.exe adı ile gizlenen yeni nesil keyloger'a dikkat
 
En güncel temizleme yöntemleri  konunun sonuna eklenecektir
 
svchost.exe adı ile gizlenen yeni nesil keyloger Hakkında:
 
svchost.exe  Yeni nesil Türk Yapımı   Güzel bir Keyloger client'i  dir.  Ticari amaçlı yapılmıştır ve kötü amaçlarda  kullanılmaktadır. Buradaki  svchost.exe  ismini   yapımcı istediği zaman değişebilmektedir.  örnek: aa.exe  gibi, svchost.exe  adı  keyloger clientini oluşturan program ile standart olarak gelmektedir. 

Bu keyloger  Şifrelerinizin  ve kişisel bilgilerinizin  çalınması amacı ile kullanılır.

Eğer pc nize bulaşmış ise ; Pc nizde girmiş olduğunuz internet adresleri, Girmiş olduğunuz bütün  kullanıcı adı ve  şifreler, yazmış olduğunuz ve kopyala yapıştır  yaptığınız bütün yazılar, pc nizin ekran görüntüsü,…vs   periyodik bir şekilde belirtilen zaman aralıklarında   yapımcının belirtmiş olduğu  adrese  yollamaktadır.

Client’i oluşturan kişi dosya ismini istediği gibi değiştire bilir  fakat  bulaştığında   görev yöneticisi işlemler menusunde svchost.exe olarak gözükür.  “Eğer yapımcı  standart  olan svchost.exe ismini değiştirirse  görev yöneticisinde isim farklı gözüke bilir”


Şimdi diyeceksiniz   sistemde  birçok  svchost.exe çalışıyor  bunun keyloger olduğunu nasıl anlayacağız.

Hemen açıklık getirelim;

                                         
 
 
 
Svchost.exe ler  oturum açma adınız ile çalışmazlar eğer aşağıdaki gibi  çalışıyorsa;
 

Örneğin; Oturum açma adınız xxx ise   svchost.exe nin karşısında  yani kullanıcı adı kısmında  xxx yazıyorsa  pc nize keyloger bulaşmış demektir.
 
 
Bu keyloger kendi kendine bulaşmaz  bulaşması için   svchost.exe dosyasının çalıştırılması gerekir  Dosya adındaki svchost kısmının  değişik olabileceğini daha önceden belirtmiştik.
 
Dosyanın simgesi  farklı olabilir  basit bir örnek verecek olursak   gönderen kişi dosyanın simgesini  "mp3" müzik dosyası gibi ayarlarlıyabilir  içine de  bir müzik dosyası gömüp bulaştırmak istediği kişiye gönderir  ve   dosyayı  alan kişi müzik dinlemek için  o dosyayı çalıştırdığında   keyloger bulaşmış olur.

Not: Bu tür durumlarda   şüphe duyuyorsanız dosya uzantısını kontrol ediniz. Yukarıda bahsttiğim örnekteki  mp3 dosyasının  uzantısı .mp3 değil .exe dir. Ama .exe uzantılı bir dosyanın  içerisine gömülmüştür.


Anti virüs yazılımlarına yakalanmamaktadır   son zamanlarda kaspersky internetsecurity  yazılımına “Backdoor.Win32.Delf.osq” olarak  yakalanmaktadır. Eğer yapımcı tarafından keyloger’in güncellemesi yapılırsa  anti virüs yazılımlarına  yakalanmama ihtimali yüksektir. Şuan itibari ile  anti virüs yazılımlarına yakalanmamaktadır.


svchost.exe adı altında bulaşan   keyloger  Pc nize bulaşmış ise aşağıda  bahsettiğim yöntemi kullanarak temizleye bilirsiniz. Keyloger  bizzat tarafımdan test edilmiştir.


Bulaştığı zaman

Vindows işletim sistemlerine bulaşır...
 
Standart olarak : Xp' de C:\Documents and Settings\sizin otorum açma adınız\Application Data     içerisine  svchost.exe, SCVHOST.exe,  ntlog.sys,  ntsys.dll  olarak 4 dosya şeklinde bulaşır.
 
Güncel
 
Şuanki Güncellenmiş halinde 2 şekilde bulaşır
 
1: Bulaştığı andan itibaren aktif olur
   
C:\Documents and Settings\sizin otorum açma adınız\Application Data     içerisine  SVCHOT.EXE,  ntlog.sys, NTCOM.DLL olarak 3 dosya şeklinde bulaşır.
 
2: Bulaştığında aktif olmaz  C:\Documents and Settings\sizin otorum açma adınız\Application Data     içerisine  SVCHOT.EXE ve  NTCOM.DLL olarak 2 dosya şeklinde bulaşır.
 
   Pc yi aç kapa yaptığınızda SVCHOT.EXE,  ntlog.sys, NTCOM.DLL olarak 3 dosya şeklinde bulunur ve aktif halde olur.
 
 

 

 
Vista' da C:\Users\sizin otorum açma adınız\AppData\Roaming     içerisine  svchost.exe, SCVHOST.exe,  ntlog.sys,  ntsys.dll  olarak 4 dosya şeklinde bulaşır.
 
Güncel
 
Şuanki Güncellenmiş halinde 2 şekilde bulaşır
 
1: Bulaştığı andan itibaren aktif olur
   
C:\Users\sizin otorum açma adınız\AppData\Roaming içerisine  SVCHOT.EXE,  ntlog.sys, NTCOM.DLL olarak 3 dosya şeklinde bulaşır.
 
2: Bulaştığında aktif olmaz  C:\Users\sizin otorum açma adınız\AppData\Roaming      içerisine  SVCHOT.EXE ve  NTCOM.DLL olarak 2 dosya şeklinde bulaşır.
 
   Pc yi aç kapa yaptığınızda SVCHOT.EXE,  ntlog.sys, NTCOM.DLL olarak 3 dosya şeklinde bulunur ve aktif halde olur.
 
 
Windows 7' de C:\Users\sizin otorum açma adınız\AppData\Roaming     içerisine  svchost.exe, SCVHOST.exe,  ntlog.sys,  ntsys.dll  olarak 4 dosya şeklinde bulaşır.
 
Güncel
 
Şuanki Güncellenmiş halinde 2 şekilde bulaşır
 
1: Bulaştığı andan itibaren aktif olur
   
C:\Users\sizin otorum açma adınız\AppData\Roaming     içerisine  SVCHOT.EXE,  ntlog.sys, NTCOM.DLL olarak 3 dosya şeklinde bulaşır.
 
2: Bulaştığında aktif olmaz  C:\Users\sizin otorum açma adınız\AppData\Roaming          içerisine  SVCHOT.EXE ve  NTCOM.DLL olarak 2 dosya şeklinde bulaşır.
 
   Pc yi aç kapa yaptığınızda SVCHOT.EXE,  ntlog.sys, NTCOM.DLL olarak 3 dosya şeklinde bulunur ve aktif halde olur.
  
 
Not: Gizli dosya ve klasörler seçeneğini aktif hale getirmeden belirtilen dizini göremezsiniz.
 
 
 
 
Xp işletim sisteminden Temizlemek için;

Gizli dosya ve klasörler seçeneğini aktif hale getirin


CTRL+ALT+DEL Tuşlarına basarak görev yöneticisini açın işlemler menusunden

svchost.exe nin karşısında  yani kullanıcı adı kısmında  oturum açma adınız yazıyorsa   o svchost.exe  işlemini sonlandırın 

Güncel
SVCHOST.EXE nin karşısında  yani kullanıcı adı kısmında  oturum açma adınız yazıyorsa   o SVCHOST.EXE  işlemini sonlandırın 
 
C:\Documents and Settings\sizin otorum açma adınız\Application Data  klasörünü açıp  svchost.exe,  ntlog.sys,  ntsys.dll, SCVHOS.exe   dosyalarını silin
 
 Güncel
 
1: Bulaştığı andan itibaren aktif  olmuşsa
C:\Documents and Settings\sizin otorum açma adınız\Application Data  klasörünü açıp  SVCHOT.EXE,  ntlog.sys, NTCOM.DLL  dosyalarını silin 
 
2: Bulaştığında aktif olmamış isebu şekil bulaşacağından
C:\Documents and Settings\sizin otorum açma adınız\Application Data      klasörünü açıp  SVCHOT.EXE,  ntlog.sys, NTCOM.DLL  dosyalarını silin 
 
 
Akabinde;
 
Başlat-çalışr'a regedit yazıp Kayıt defteri düzenleyicisini açın ve aşağıdaki işlemleri yapın.
 
***********************************************************
 
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 
Bu değeri silin
svchost      "C:\Documents and Settings\ sizin otorum açma adınız \Application Data\svchost.exe"
 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

Bu değeri
Shell     explorer.exe "C:\Documents and Settings\ sizin otorum açma adınız \Application Data\svchost.exe"
 
Bu şekil değiştirin
Shell      Explorer.exe 
 
***********************************************************
 
Daha sonra  var ise aşagıdaki kayıtlarıda siliniz.
 
 
HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache
C:\Documents and Settings\sizin otorum açma adınız \Application Data\SCVHOST.EXE     SCVHOST
 
 
HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache
C:\Documents and Settings\sizin otorum açma adınız \Application Data\svchost.exe     svchost
 

 
 
Bunları yaptıktan sonra:  Kontrol etmek için  Kayıt defteri düzenleyicisin den önce  SCVHOST.EXE yi aratın daha sonra Application Data\svchost.exe  'yi aratın  eğer bu kelimeler  bulunuyorsa ilgili girdileri silin bulunmuyorsa keyloger  temizlenmiş demektir.
 
 

Bilgisayarınızı yeniden başlatın   işlem tamamdır.  Artık   Sisteminizi  sorunsuz kullanabilirsiniz. 

 
 
Vista işletim sisteminden Temizlemek için; 

 Gizli dosya ve klasörler seçeneğini aktif hale getirin

Gizli dosyaları ve klasörleri görüntülemek için aşağıdaki adımları izleyin.
1.  Başlat düğmesi , Denetim Masası, Görünüm ve Kişiselleştirme ve ardından Klasör Seçenekleri'ni tıklatarak Klasör Seçenekleri'ni açın.
2.  Görünüm sekmesini tıklatın.
3.  Gelişmiş ayarlar altından Gizli dosya ve klasörleri göster'i ve ardından Tamam'ı tıklatın.
 
 
CTRL+ALT+DEL Tuşlarına basarak görev yöneticisi başlatın  işlemler menusunden
 

svchost.exe nin karşısında  yani kullanıcı adı kısmında  oturum açma adınız yazıyorsa   o svchost.exe  işlemini sonlandırın 

 
Güncel
SVCHOST.EXE nin karşısında  yani kullanıcı adı kısmında  oturum açma adınız yazıyorsa   o SVCHOST.EXE  işlemini sonlandırın 
 
 
C:\Users\sizin otorum açma adınız\AppData\Roaming     klasörünü açıp  svchost.exe,  ntlog.sys,  ntsys.dll, SCVHOS.exe   dosyalarını silin
 
 Güncel
 
1: Bulaştığı andan itibaren aktif  olmuşsa
C:\Users\sizin otorum açma adınız\AppData\Roaming    klasörünü açıp  SVCHOT.EXE,  ntlog.sys, NTCOM.DLL  dosyalarını silin 
 
2: Bulaştığında aktif olmamış isebu şekil bulaşacağından
C:\Users\sizin otorum açma adınız\AppData\Roaming    klasörünü açıp  SVCHOT.EXE,  ntlog.sys, NTCOM.DLL  dosyalarını silin 
 
 
Akabinde;
 
Başlat-çalışr'a regedit yazıp Kayıt defteri düzenleyicisini açın ve aşağıdaki işlemleri yapın.
 
*********************************************************** 
 
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 
Bu değeri silin
svchost         "C:\Users\sizin otorum açma adınız\AppData\Roaming\svchost.exe"
 
 
 
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
 
Bu değeri
Shell         explorer.exe "C:\Users\sizin otorum açma adınız\AppData\Roaming\svchost.exe"
 
Bu şekil değiştirin
Shell         explorer.exe  
 
***********************************************************
 
Daha sonra  var ise aşagıdaki kayıtlarıda siliniz.
 
HKEY_CLASSES_ROOT\Local Settings\Software\Microsoft\Windows\Shell\MuiCache
 C:\Users\sizin otorum açma adınız\AppData\Roaming\SCVHOST.EXE     SCVHOST
 

HKEY_CLASSES_ROOT\Local Settings\Software\Microsoft\Windows\Shell\MuiCache
C:\Users\sizin otorum açma adınız\AppData\Roaming\svchost.exe       svchost
 
 
 
Bunları yaptıktan sonra;   Kontrol etmek için  Kayıt defteri düzenleyicisin den önce  SCVHOST:EXE yi aratın  daha sonra  Roaming\svchost.exe 'yi aratın  eğer bu kelimeler  bulunuyorsa ilgili girdileri silin bulunmuyorsa keyloger  temizlenmiş demektir.
 
 

 Bilgisayarınızı yeniden başlatın   işlem tamamdır.  Artık   Sisteminizi  sorunsuz kullanabilirsiniz. 

 
Windows 7  işletim sisteminden Temizlemek için; 

 Gizli dosya ve klasörler seçeneğini aktif hale getirin

Gizli dosyaları ve klasörleri görüntülemek için aşağıdaki adımları izleyin.
1.  Başlat düğmesi , Denetim Masası, Görünüm ve Kişiselleştirme ve ardından Klasör Seçenekleri'ni tıklatarak Klasör Seçenekleri'ni açın.
2.  Görünüm sekmesini tıklatın.
3.  Gelişmiş ayarlar altından Gizli dosya ve klasörleri göster'i ve ardından Tamam'ı tıklatın.
 
 
CTRL+ALT+DEL Tuşlarına basarak görev yöneticisi başlatın  işlemler menusunden
 

svchost.exe nin karşısında  yani kullanıcı adı kısmında  oturum açma adınız yazıyorsa   o svchost.exe  işlemini sonlandırın 

 
Güncel
SVCHOST.EXE nin karşısında  yani kullanıcı adı kısmında  oturum açma adınız yazıyorsa   o SVCHOST.EXE  işlemini sonlandırın 
 
C:\Users\sizin otorum açma adınız\AppData\Roaming     klasörünü açıp  svchost.exe,  ntlog.sys,  ntsys.dll, SCVHOS.exe   dosyalarını silin
 
Güncel
 
1: Bulaştığı andan itibaren aktif  olmuşsa
C:\Users\sizin otorum açma adınız\AppData\Roaming    klasörünü açıp  SVCHOT.EXE,  ntlog.sys, NTCOM.DLL  dosyalarını silin 
 
2: Bulaştığında aktif olmamış isebu şekil bulaşacağından
C:\Users\sizin otorum açma adınız\AppData\Roaming    klasörünü açıp  SVCHOT.EXE,  ntlog.sys, NTCOM.DLL  dosyalarını silin 
 
 
Akabinde;
 
Başlat-çalışr'a regedit yazıp Kayıt defteri düzenleyicisini açın ve aşağıdaki işlemleri yapın.
 
*********************************************************** 
 
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 
Bu değeri silin
svchost         "C:\Users\sizin otorum açma adınız\AppData\Roaming\svchost.exe"
 
 
 
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
 
Bu değeri
Shell         explorer.exe "C:\Users\sizin otorum açma adınız\AppData\Roaming\svchost.exe"
 
Bu şekil değiştirin
Shell         explorer.exe  
 
***********************************************************
  
 
 
Bunları yaptıktan sonra;   Kontrol etmek için  Kayıt defteri düzenleyicisin den önce  SCVHOST:EXE yi aratın  daha sonra  Roaming\svchost.exe 'yi aratın  eğer bu kelimeler  bulunuyorsa ilgili girdileri silin bulunmuyorsa keyloger  temizlenmiş demektir.
 
 

Bilgisayarınızı yeniden başlatın   işlem tamamdır.  Artık   Sisteminizi  sorunsuz kullanabilirsiniz. 

 
 
Yapamayanlar Xp ,  VİSTA  ve Windows 7 den   temizlemek için hazırlamış olduğum bu temsili videoyu  örnek alarak temizleyebilirler
 
 
 

 
Güncel temizleme yöntemi 
 
Keyloger braz geliştirilmiş ismi SVCHOST.EXE olarak değiştirilmiştir.
 
Keyloger'in  sisteme bulaşıp   2 şekilde  aktif olabileceğini  test ederek tesbit ettik
 
1: Bulaştığı zaman  hemen aktif olur görev yöneticisinde gözükür.
    Pc nizde girmiş olduğunuz internet adresleri, Girmiş olduğunuz bütün  kullanıcı adı ve  şifreler, yazmış olduğunuz ve kopyala yapıştır  yaptığınız bütün yazılar, pc nizin ekran görüntüsü,…vs   periyodik bir şekilde belirtilen zaman aralıklarında   yapımcının belirtmiş olduğu  adrese  yollamaktadır.Yukarıda anlatılan regedit temizleme yöntemi geçerlidir.
 
2: Bulaştığı zaman hemen aktif olmaz bundan dolayı görev yöneticisinde gözükmez ve dikkatinizi çekmez. 
   Fakat Pc nizi aç  kapa yaptıktan sonra  aktif hale gelir ve Görev yöneticisinde gözükür   bun andan itibaren   Pc nizde girmiş olduğunuz internet adresleri, Girmiş olduğunuz bütün  kullanıcı adı ve  şifreler, yazmış olduğunuz ve kopyala yapıştır  yaptığınız bütün yazılar, pc nizin ekran görüntüsü,…vs   periyodik bir şekilde belirtilen zaman aralıklarında   yapımcının belirtmiş olduğu  adrese  yollamaktadır.
 
 
Yukarıda anlatılan regedit temizleme yöntemi geçerlidir. Değişiklikler belirtilmiştir.
 
Özetle formatsız sistemden kaldırılabilir
 
 
Standart olarak  yaygın olan bu  keylogger'in  temizliği yukarıdakigibidir.
 
 
Önemli: En kötü ihtimal Eğer yapımcı  standart  olan svchost.exe ismini değiştirirse  svchost exe yerine farklı isimler olabilir.
 
Benim analizime göre ismi ne olursa olsun  bu keylogger'ın registry de bulaştığı yerler bellidir.
 
Bu gibi durumda  en temiz yöntem Başlat çalıştır regedit ' ten kontrol etmektir.
 
 
Tesbit için:
 
Farklı isimlerde  bulaştığını varsayarsak  izlenmeniz  gereken yol   ilk etapta  shell değeridir.
 
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
 
standart  olarak shell  değeri
 
Shell         explorer.exe    dir  ve değerin standart olması gerekir. 
 
Eğer farklı ise keylogger dosyasının konumu orda mevcuttur.
 
Örnek verecek olursak ;
 
Shell     explorer.exe "C:\Documents and Settings\ sizin otorum açma adınız \xx klasoru\xxx.exe" diye bir değer olsun
 
Yukarıdaki değeri
 
Shell         explorer.exe olarak değiştirmeniz gerekir +  Belirtilen konumdaki xxx.exe dosyasını silmeniz gerekir.
 
 
Not
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run   da bulunan değerleride  kontrol etmekte  fayda vardır bu noktayıda atlamamak gerekir.
 
 
 
 
 
Teknik olarak gerekli anlatımları detaylı bir şekilde yaptık sanırım.
Çok sıkıntı olursa ki sanmam olacağını  ilerleyen zamanlarda  tesbit ve temizliği için basit bir  program geliştirebiliriz.
 
 
 
 
 

Edit: 
 
İçerik Güncellemesi  yapılmıştır.   
 
 
 
Bizi takip etmeye devam edin.
 
Burdaki konuyuda dikkate almak gerekir hala aktiftir.
 
Güncel  versiyonunda msnmsgr.exe, dllhost.exe  adı altında bulaşmaktadır
 
 temizleme yöntemi için.
 
 
 
 
 
***********************************************************
 
svchost.exe nin farklı bir versiyonu
 
Buşatığı yer
 
C:\windows\system32\krsr\svchost.exe
 
 
 
 
Temizlenmesi:
 
CTRL+ALT+DEL Tuşlarına basarak görev yöneticisini açın işlemler menusunden

svchost.exe nin karşısında  yani kullanıcı adı kısmında  oturum açma adınız yazıyorsa   o svchost.exe  işlemini sonlandırın 

Sonra
C:\WINDOWS\system32\ de bulunan krsr klasörünü silin
 
 
Akabinde
Başlat-çalışr'a regedit yazıp Kayıt defteri düzenleyicisini açın ve aşağıdaki işlemleri yapın.
 
 
***********************************************************
 
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 
Bu değeri silin
svchost.exe     "C:\windows\system32\krsr\svchost.exe"
 
***********************************************************
 
 Bilgisayarınızı yeniden başlatın işlem tamamdır
 
***********************************************************
 
Not: Aşağıdaki konuyuda inceleyiniz
 
 
Yeni Nesil Keyloger Tespit Etme Sistemi Hakkında hazırlamış olduğumuz diğer  konulara aşağıdaki linkten  ulaşabilirsiniz
 
Saygılarımla
invertor


Düzenleyen invertor - 16-11-2010 Saat 18:43
İmza:  
IP Artı rep ver Eksi rep ver
S3Z3R  
Moderator
Moderator
Simge
Üye Bilgileri

Kayıt Tarihi: 31-03-2007
Üye Numarası : 660
Mesajlar: 831
Rep Puan
Rep: 1588


Alıntı S3Z3R Cevaplabullet Gönderim Zamanı: 09-05-2009 Saat 18:02
İyi bir çalışma yapmışsın yine  :)

    Eline sağlık .......
İmza:  
IP Artı rep ver Eksi rep ver
dimenor55  
Yeni Üye
Yeni Üye
Üye Bilgileri

Kayıt Tarihi: 31-03-2009
Üye Numarası : 3831
Konum: Turkey
Mesajlar: 0
Rep Puan
Rep: 0


Alıntı dimenor55 Cevaplabullet Gönderim Zamanı: 09-05-2009 Saat 21:52
teşekkürler... 
İmza:  
Forever SAMSUNSPOR
IP Artı rep ver Eksi rep ver
DirtyNigga  
Yeni Üye
Yeni Üye
Üye Bilgileri

Kayıt Tarihi: 20-08-2008
Üye Numarası : 1928
Konum: Turkey
Mesajlar: 0
Rep Puan
Rep: 0


Alıntı DirtyNigga Cevaplabullet Gönderim Zamanı: 10-05-2009 Saat 00:30
Çok teşekkürler bu bilgi için. Fakat benim görev yöneticisinde Kullanıcı Adı bölümünde hiçbirşey yazmıyor.
Sadece "Sistem Boşta İşlemi" SYSTEM adlı kullanıcı adı altında çalışıyor. Diğer çalışan bütün uygulamaların Kullancı Adı bölümleri boş. Bu sorun için bir çözüm var mıdır acaba ?
IP Artı rep ver Eksi rep ver
ayhanaz  
Yeni Üye
Yeni Üye
Simge
Üye Bilgileri

Kayıt Tarihi: 09-11-2008
Üye Numarası : 2448
Konum: Turkey
Mesajlar: 0
Rep Puan
Rep: 14


Alıntı ayhanaz Cevaplabullet Gönderim Zamanı: 11-05-2009 Saat 15:52
UYARINIZ İÇİN ÇOK TEŞEKKÜRLER SİZİ SAYGIYLA İZLEMEYE VE PROBLEMLERİMİ SİTENİZDEN GÜVENLE ÇÖZMEYE DEVAM EDİYORUM TEŞEKKÜRLER
IP Artı rep ver Eksi rep ver
S3Z3R  
Moderator
Moderator
Simge
Üye Bilgileri

Kayıt Tarihi: 31-03-2007
Üye Numarası : 660
Mesajlar: 831
Rep Puan
Rep: 1588


Alıntı S3Z3R Cevaplabullet Gönderim Zamanı: 11-05-2009 Saat 16:42
Bilgineferi farkı bu olsa gerek. Her zaman bizi takip etmeye devam edin...
İmza:  
IP Artı rep ver Eksi rep ver
kral  
Administrator
Administrator
Simge
Üye Bilgileri

Kayıt Tarihi: 08-03-2006
Üye Numarası : 7
Mesajlar: 940
Rep Puan
Rep: 2161


Alıntı kral Cevaplabullet Gönderim Zamanı: 27-06-2009 Saat 17:28
Konu için teşekkürler invertor
 
Orjinalini yazan: DirtyNigga

Çok teşekkürler bu bilgi için. Fakat benim görev yöneticisinde Kullanıcı Adı bölümünde hiçbirşey yazmıyor.
Sadece "Sistem Boşta İşlemi" SYSTEM adlı kullanıcı adı altında çalışıyor. Diğer çalışan bütün uygulamaların Kullancı Adı bölümleri boş. Bu sorun için bir çözüm var mıdır acaba ?
 
Konu hakkında sizin  ve diğer kullanıcılar için  hazırlamış olduğum  Aşağıdaki konuyu inceleyiniz.
 
İmza:  
“Bilginin elde edilmesi... bizi iyiye ulaştıracaktır.”
IP Artı rep ver Eksi rep ver
invertor  
Security Profesyonel
Security Profesyonel
Simge
Üye Bilgileri
İnventor

Kayıt Tarihi: 18-01-2008
Üye Numarası : 1703
Mesajlar: 3325
Rep Puan
Rep: 2243


Alıntı invertor Cevaplabullet Gönderim Zamanı: 20-07-2009 Saat 00:47
windovs 7 için temizleme yöntemi + video eklenmiştir.
İmza:  
IP Artı rep ver Eksi rep ver
S3Z3R  
Moderator
Moderator
Simge
Üye Bilgileri

Kayıt Tarihi: 31-03-2007
Üye Numarası : 660
Mesajlar: 831
Rep Puan
Rep: 1588


Alıntı S3Z3R Cevaplabullet Gönderim Zamanı: 20-07-2009 Saat 11:37
İnvertor  Türkiyede bir ilk svchost.exe windows 7 için anlatım ve video
 
Çalışmaların tüm forumlara kaynak durumda.
İmza:  
IP Artı rep ver Eksi rep ver
invertor  
Security Profesyonel
Security Profesyonel
Simge
Üye Bilgileri
İnventor

Kayıt Tarihi: 18-01-2008
Üye Numarası : 1703
Mesajlar: 3325
Rep Puan
Rep: 2243


Alıntı invertor Cevaplabullet Gönderim Zamanı: 25-07-2009 Saat 15:05
Güncelleme eklenmiştir
 
Standart olarak  yaygın olan bu  keylogger'in  temizliği yukarıdakigibidir.
 
Önemli: En kötü ihtimal Eğer yapımcı  standart  olan svchost.exe ismini değiştirirse  svchost exe yerine farklı isimler olabilir.
 
Benim analizime göre ismi ne olursa olsun  bu keylogger'ın registry de bulaştığı yerler bellidir.
 
 
Bu gibi durumda tesbiti yukarıda anlatılmıştır
  
 
Orjinalini yazan: S3Z3R

İnvertor  Türkiyede bir ilk svchost.exe windows 7 için anlatım ve video
 
Çalışmaların tüm forumlara kaynak durumda.
 
Teşekkürler S3Z3R  standart olarak svchost.exe  adı altında  bulaşan bu keyloggerin ilk anlatımı sanırım bilgineferi.com' a ait.
 
 
Konuyu paylaşanlar kaynağı eklerseler  devamlı güncel temizleme yöntemi ile irtibatta olur.
 
Kaynak  göstermeleri  güzel birşey
 
  
Saygılarımla


Düzenleyen invertor - 25-07-2009 Saat 15:07
İmza:  
IP Artı rep ver Eksi rep ver
tehlike724  
Yeni Üye
Yeni Üye
Üye Bilgileri

Kayıt Tarihi: 26-07-2009
Üye Numarası : 4984
Mesajlar: 0
Rep Puan
Rep: 0


Alıntı tehlike724 Cevaplabullet Gönderim Zamanı: 26-07-2009 Saat 16:52

valla bende o nalet siteden yemişim bunu. birkaç mail hesabım gitti. ilk başlarda düşündüm ama bir türlü bulamadım böyle bir konuyu.

enson rapid hesabım çalınınca farkettik ama ne fark eder...

senin eline sağlık çok güzel anlatmışsın. keyloggeri yemişim gerçekten.

sildik sayende. konuyu aslında üye olmadan da görebiliyoruz ama ben bu mesajı yazmak için üye oldum. 

inşallah böyle devam edersiniz. paylaşımlarınızın devamlılığı dileğiyle iyi günler.

IP Artı rep ver Eksi rep ver
acar54  
Yeni Üye
Yeni Üye
Üye Bilgileri

Kayıt Tarihi: 01-08-2009
Üye Numarası : 5057
Konum: Turkey
Mesajlar: 0
Rep Puan
Rep: 0


Alıntı acar54 Cevaplabullet Gönderim Zamanı: 01-08-2009 Saat 10:44
invertor  öncelikle geniş açıklamalar için teşekkürler...bende bilgisayarımda bu sıkıntının bulunduğunu zannediyordum.KASPER sürekli bu uygulama ile ilgili uyarı veriiyordu.kayıt defterinde ve  d (sistem burada) altında bulamadım fakat  görev yöneticisinde
svchost.exe SYSTEM CPU:0 BELLEK kullanımı 30.160 kullanım ile 2.sırayı bırakmıyor.
bilg. açıldığı bir saatyi geçmesine rağmen.
 sizin tarif ettiğiniz yerlerin dışında olmadığını kabul ederek ben svchost.exe ile ilgili kasper in verdiği uyarılarda güvenli bölgeye ekle demeye karar verdim bakalım bir sıkıntı çıkacak mı?


Düzenleyen acar54 - 01-08-2009 Saat 10:48
IP Artı rep ver Eksi rep ver
uhutbaser  
Yeni Üye
Yeni Üye
Üye Bilgileri

Kayıt Tarihi: 07-08-2009
Üye Numarası : 5114
Mesajlar: 0
Rep Puan
Rep: 0


Alıntı uhutbaser Cevaplabullet Gönderim Zamanı: 07-08-2009 Saat 22:32
Sayın üstadım bende ilk verdiğiniz örnekte svchost.exe 6tane açlmış görev yöneticisinde normalde dediğinize göre bu 6 svchost .exe lerin 2tanesi NETWORK SERVİCE de,1 tanesi LOCAL SERVİCE geriye kalan 2 taneside system de çalışmış olarak gösteriyosunuz.Benim görev yöneticisinde bunlar bu şekilde açılmış fakat hatanın olduğu yer bende sorun çıkaran svchost.exe dosyasının oturum açmış olduğum isimde değil System de açılmış olması yani Sizin invertor yazan kısımda bende System yazıyor olması  yani toplam 3tanesi systemde çalışıyor.Bu ne demektir çözümü nasıl yapılır açıklarsanız müteşekkir olurum üstadm.Saygılarımla
IP Artı rep ver Eksi rep ver
invertor  
Security Profesyonel
Security Profesyonel
Simge
Üye Bilgileri
İnventor

Kayıt Tarihi: 18-01-2008
Üye Numarası : 1703
Mesajlar: 3325
Rep Puan
Rep: 2243


Alıntı invertor Cevaplabullet Gönderim Zamanı: 08-08-2009 Saat 13:14
Orjinalini yazan: uhutbaser

Sayın üstadım bende ilk verdiğiniz örnekte svchost.exe 6tane açlmış görev yöneticisinde normalde dediğinize göre bu 6 svchost .exe lerin 2tanesi NETWORK SERVİCE de,1 tanesi LOCAL SERVİCE geriye kalan 2 taneside system de çalışmış olarak gösteriyosunuz.Benim görev yöneticisinde bunlar bu şekilde açılmış fakat hatanın olduğu yer bende sorun çıkaran svchost.exe dosyasının oturum açmış olduğum isimde değil System de açılmış olması yani Sizin invertor yazan kısımda bende System yazıyor olması  yani toplam 3tanesi systemde çalışıyor.Bu ne demektir çözümü nasıl yapılır açıklarsanız müteşekkir olurum üstadm.Saygılarımla
 
Svchost.exe sayısı fazla olabilir önemli olan oturum açma adınız ile çalışmaması gerekir.
 
Örneğin; Oturum açma adınız xxx ise   svchost.exe nin karşısında  yani kullanıcı adı kısmında  xxx yazıyorsa  pc nize keyloger bulaşmış demektir.
 
Böyle bir durum sözkonusu değil ise problem yok demektir.
 
 
 
 
Orjinalini yazan: acar54

invertor  öncelikle geniş açıklamalar için teşekkürler...bende bilgisayarımda bu sıkıntının bulunduğunu zannediyordum.KASPER sürekli bu uygulama ile ilgili uyarı veriiyordu.kayıt defterinde ve  d (sistem burada) altında bulamadım fakat  görev yöneticisinde
svchost.exe SYSTEM CPU:0 BELLEK kullanımı 30.160 kullanım ile 2.sırayı bırakmıyor.
bilg. açıldığı bir saatyi geçmesine rağmen.
 sizin tarif ettiğiniz yerlerin dışında olmadığını kabul ederek ben svchost.exe ile ilgili kasper in verdiği uyarılarda güvenli bölgeye ekle demeye karar verdim bakalım bir sıkıntı çıkacak mı?
 
Sorun çıkmaz.
Bizim bahsettiğimiz keyloger' dan sizteminizde yok..
 
Probleminiz için  Detaylı bilgi ;
İmza:  
IP Artı rep ver Eksi rep ver
invertor  
Security Profesyonel
Security Profesyonel
Simge
Üye Bilgileri
İnventor

Kayıt Tarihi: 18-01-2008
Üye Numarası : 1703
Mesajlar: 3325
Rep Puan
Rep: 2243


Alıntı invertor Cevaplabullet Gönderim Zamanı: 22-08-2009 Saat 12:14

Konu güncellenmiştir

İmza:  
IP Artı rep ver Eksi rep ver
Sayfa  12>
Yanıt Yaz Yeni Konu Gönder
Konuyu Yazdır Konuyu Yazdır

Forum Atla
Kapalı Foruma Yeni Konu Gönderme
Kapalı Forumdaki Konulara Cevap Yazma
Kapalı Forumda Cevapları Silme
Kapalı Forumdaki Cevapları Düzenleme
Kapalı Forumda Anket Açma
Kapalı Forumda Anketlerde Oy Kullanma
Bilgi için


| ReklamKale Kapı | Radyo & TV  |  

Bize Yazın - Bilgineferi.com- Başa Dön

Bilgineferi.com



Bu Sayfa 0.266 Saniyede Yüklendi.