Bilginin Adresi Homepage
Forum Home Forum Home > Bilgisayar Güvenliği / Computer Security > Güvenlik Programları, Güvenlik ve Güvenlik açıkları
  New Posts New Posts
  FAQ FAQ  Forum Search   Register Register  Login Login

REKLAM ALANI

El dokuma Konya Kilim, Kayseri Kilim, Antik Milas Halı, Antik Yörük Kilim, Hint Kilim

Konya Kilimleri Kayseri Kimleri Yörük İran ve Antika Kilimler Hint Kilimleri

Yeni ve 2. El İnşaat Yapı Malzemeleri

Masa iskele, Beton Paspayı, Kalıpaltı iskele, Güvenlikli iskele

Fayer İnşaat Ergenekon İnşaat


svchost.exe (Dikkat)

 Post Reply Post Reply Page  12>
Author
Message
invertor View Drop Down
Security Professional
Security Professional
Avatar
İnventor

Joined: 18-01-2008
Status: Offline
Points: 3327
Post Options Post Options   Thanks (0) Thanks(0)   Quote invertor Quote  Post ReplyReply Direct Link To This Post Topic: svchost.exe (Dikkat)
    Posted: 09-05-2009 at 17:39
svchost.exe adı ile gizlenen yeni nesil keyloger'a dikkat
 
En güncel temizleme yöntemleri  konunun sonuna eklenecektir
 
svchost.exe adı ile gizlenen yeni nesil keyloger Hakkında:
 
svchost.exe  Yeni nesil Türk Yapımı   Güzel bir Keyloger client'i  dir.  Ticari amaçlı yapılmıştır ve kötü amaçlarda  kullanılmaktadır. Buradaki  svchost.exe  ismini   yapımcı istediği zaman değişebilmektedir.  örnek: aa.exe  gibi, svchost.exe  adı  keyloger clientini oluşturan program ile standart olarak gelmektedir. 

Bu keyloger  Şifrelerinizin  ve kişisel bilgilerinizin  çalınması amacı ile kullanılır.

Eğer pc nize bulaşmış ise ; Pc nizde girmiş olduğunuz internet adresleri, Girmiş olduğunuz bütün  kullanıcı adı ve  şifreler, yazmış olduğunuz ve kopyala yapıştır  yaptığınız bütün yazılar, pc nizin ekran görüntüsü,…vs   periyodik bir şekilde belirtilen zaman aralıklarında   yapımcının belirtmiş olduğu  adrese  yollamaktadır.

Client’i oluşturan kişi dosya ismini istediği gibi değiştire bilir  fakat  bulaştığında   görev yöneticisi işlemler menusunde svchost.exe olarak gözükür.  “Eğer yapımcı  standart  olan svchost.exe ismini değiştirirse  görev yöneticisinde isim farklı gözüke bilir”


Şimdi diyeceksiniz   sistemde  birçok  svchost.exe çalışıyor  bunun keyloger olduğunu nasıl anlayacağız.

Hemen açıklık getirelim;

                                         
 
 
 
Svchost.exe ler  oturum açma adınız ile çalışmazlar eğer aşağıdaki gibi  çalışıyorsa;
 

Örneğin; Oturum açma adınız xxx ise   svchost.exe nin karşısında  yani kullanıcı adı kısmında  xxx yazıyorsa  pc nize keyloger bulaşmış demektir.
 
 
Bu keyloger kendi kendine bulaşmaz  bulaşması için   svchost.exe dosyasının çalıştırılması gerekir  Dosya adındaki svchost kısmının  değişik olabileceğini daha önceden belirtmiştik.
 
Dosyanın simgesi  farklı olabilir  basit bir örnek verecek olursak   gönderen kişi dosyanın simgesini  "mp3" müzik dosyası gibi ayarlarlıyabilir  içine de  bir müzik dosyası gömüp bulaştırmak istediği kişiye gönderir  ve   dosyayı  alan kişi müzik dinlemek için  o dosyayı çalıştırdığında   keyloger bulaşmış olur.

Not: Bu tür durumlarda   şüphe duyuyorsanız dosya uzantısını kontrol ediniz. Yukarıda bahsttiğim örnekteki  mp3 dosyasının  uzantısı .mp3 değil .exe dir. Ama .exe uzantılı bir dosyanın  içerisine gömülmüştür.


Anti virüs yazılımlarına yakalanmamaktadır   son zamanlarda kaspersky internetsecurity  yazılımına “Backdoor.Win32.Delf.osq” olarak  yakalanmaktadır. Eğer yapımcı tarafından keyloger’in güncellemesi yapılırsa  anti virüs yazılımlarına  yakalanmama ihtimali yüksektir. Şuan itibari ile  anti virüs yazılımlarına yakalanmamaktadır.


svchost.exe adı altında bulaşan   keyloger  Pc nize bulaşmış ise aşağıda  bahsettiğim yöntemi kullanarak temizleye bilirsiniz. Keyloger  bizzat tarafımdan test edilmiştir.


Bulaştığı zaman

Vindows işletim sistemlerine bulaşır...
 
Standart olarak : Xp' de C:\Documents and Settings\sizin otorum açma adınız\Application Data     içerisine  svchost.exe, SCVHOST.exe,  ntlog.sys,  ntsys.dll  olarak 4 dosya şeklinde bulaşır.
 
Güncel
 
Şuanki Güncellenmiş halinde 2 şekilde bulaşır
 
1: Bulaştığı andan itibaren aktif olur
   
C:\Documents and Settings\sizin otorum açma adınız\Application Data     içerisine  SVCHOT.EXE,  ntlog.sys, NTCOM.DLL olarak 3 dosya şeklinde bulaşır.
 
2: Bulaştığında aktif olmaz  C:\Documents and Settings\sizin otorum açma adınız\Application Data     içerisine  SVCHOT.EXE ve  NTCOM.DLL olarak 2 dosya şeklinde bulaşır.
 
   Pc yi aç kapa yaptığınızda SVCHOT.EXE,  ntlog.sys, NTCOM.DLL olarak 3 dosya şeklinde bulunur ve aktif halde olur.
 
 

 

 
Vista' da C:\Users\sizin otorum açma adınız\AppData\Roaming     içerisine  svchost.exe, SCVHOST.exe,  ntlog.sys,  ntsys.dll  olarak 4 dosya şeklinde bulaşır.
 
Güncel
 
Şuanki Güncellenmiş halinde 2 şekilde bulaşır
 
1: Bulaştığı andan itibaren aktif olur
   
C:\Users\sizin otorum açma adınız\AppData\Roaming içerisine  SVCHOT.EXE,  ntlog.sys, NTCOM.DLL olarak 3 dosya şeklinde bulaşır.
 
2: Bulaştığında aktif olmaz  C:\Users\sizin otorum açma adınız\AppData\Roaming      içerisine  SVCHOT.EXE ve  NTCOM.DLL olarak 2 dosya şeklinde bulaşır.
 
   Pc yi aç kapa yaptığınızda SVCHOT.EXE,  ntlog.sys, NTCOM.DLL olarak 3 dosya şeklinde bulunur ve aktif halde olur.
 
 
Windows 7' de C:\Users\sizin otorum açma adınız\AppData\Roaming     içerisine  svchost.exe, SCVHOST.exe,  ntlog.sys,  ntsys.dll  olarak 4 dosya şeklinde bulaşır.
 
Güncel
 
Şuanki Güncellenmiş halinde 2 şekilde bulaşır
 
1: Bulaştığı andan itibaren aktif olur
   
C:\Users\sizin otorum açma adınız\AppData\Roaming     içerisine  SVCHOT.EXE,  ntlog.sys, NTCOM.DLL olarak 3 dosya şeklinde bulaşır.
 
2: Bulaştığında aktif olmaz  C:\Users\sizin otorum açma adınız\AppData\Roaming          içerisine  SVCHOT.EXE ve  NTCOM.DLL olarak 2 dosya şeklinde bulaşır.
 
   Pc yi aç kapa yaptığınızda SVCHOT.EXE,  ntlog.sys, NTCOM.DLL olarak 3 dosya şeklinde bulunur ve aktif halde olur.
  
 
Not: Gizli dosya ve klasörler seçeneğini aktif hale getirmeden belirtilen dizini göremezsiniz.
 
 
 
 
Xp işletim sisteminden Temizlemek için;

Gizli dosya ve klasörler seçeneğini aktif hale getirin


CTRL+ALT+DEL Tuşlarına basarak görev yöneticisini açın işlemler menusunden

svchost.exe nin karşısında  yani kullanıcı adı kısmında  oturum açma adınız yazıyorsa   o svchost.exe  işlemini sonlandırın 

Güncel
SVCHOST.EXE nin karşısında  yani kullanıcı adı kısmında  oturum açma adınız yazıyorsa   o SVCHOST.EXE  işlemini sonlandırın 
 
C:\Documents and Settings\sizin otorum açma adınız\Application Data  klasörünü açıp  svchost.exe,  ntlog.sys,  ntsys.dll, SCVHOS.exe   dosyalarını silin
 
 Güncel
 
1: Bulaştığı andan itibaren aktif  olmuşsa
C:\Documents and Settings\sizin otorum açma adınız\Application Data  klasörünü açıp  SVCHOT.EXE,  ntlog.sys, NTCOM.DLL  dosyalarını silin 
 
2: Bulaştığında aktif olmamış isebu şekil bulaşacağından
C:\Documents and Settings\sizin otorum açma adınız\Application Data      klasörünü açıp  SVCHOT.EXE,  ntlog.sys, NTCOM.DLL  dosyalarını silin 
 
 
Akabinde;
 
Başlat-çalışr'a regedit yazıp Kayıt defteri düzenleyicisini açın ve aşağıdaki işlemleri yapın.
 
***********************************************************
 
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 
Bu değeri silin
svchost      "C:\Documents and Settings\ sizin otorum açma adınız \Application Data\svchost.exe"
 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

Bu değeri
Shell     explorer.exe "C:\Documents and Settings\ sizin otorum açma adınız \Application Data\svchost.exe"
 
Bu şekil değiştirin
Shell      Explorer.exe 
 
***********************************************************
 
Daha sonra  var ise aşagıdaki kayıtlarıda siliniz.
 
 
HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache
C:\Documents and Settings\sizin otorum açma adınız \Application Data\SCVHOST.EXE     SCVHOST
 
 
HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache
C:\Documents and Settings\sizin otorum açma adınız \Application Data\svchost.exe     svchost
 

 
 
Bunları yaptıktan sonra:  Kontrol etmek için  Kayıt defteri düzenleyicisin den önce  SCVHOST.EXE yi aratın daha sonra Application Data\svchost.exe  'yi aratın  eğer bu kelimeler  bulunuyorsa ilgili girdileri silin bulunmuyorsa keyloger  temizlenmiş demektir.
 
 

Bilgisayarınızı yeniden başlatın   işlem tamamdır.  Artık   Sisteminizi  sorunsuz kullanabilirsiniz. 

 
 
Vista işletim sisteminden Temizlemek için; 

 Gizli dosya ve klasörler seçeneğini aktif hale getirin

Gizli dosyaları ve klasörleri görüntülemek için aşağıdaki adımları izleyin.
1.  Başlat düğmesi , Denetim Masası, Görünüm ve Kişiselleştirme ve ardından Klasör Seçenekleri'ni tıklatarak Klasör Seçenekleri'ni açın.
2.  Görünüm sekmesini tıklatın.
3.  Gelişmiş ayarlar altından Gizli dosya ve klasörleri göster'i ve ardından Tamam'ı tıklatın.
 
 
CTRL+ALT+DEL Tuşlarına basarak görev yöneticisi başlatın  işlemler menusunden
 

svchost.exe nin karşısında  yani kullanıcı adı kısmında  oturum açma adınız yazıyorsa   o svchost.exe  işlemini sonlandırın 

 
Güncel
SVCHOST.EXE nin karşısında  yani kullanıcı adı kısmında  oturum açma adınız yazıyorsa   o SVCHOST.EXE  işlemini sonlandırın 
 
 
C:\Users\sizin otorum açma adınız\AppData\Roaming     klasörünü açıp  svchost.exe,  ntlog.sys,  ntsys.dll, SCVHOS.exe   dosyalarını silin
 
 Güncel
 
1: Bulaştığı andan itibaren aktif  olmuşsa
C:\Users\sizin otorum açma adınız\AppData\Roaming    klasörünü açıp  SVCHOT.EXE,  ntlog.sys, NTCOM.DLL  dosyalarını silin 
 
2: Bulaştığında aktif olmamış isebu şekil bulaşacağından
C:\Users\sizin otorum açma adınız\AppData\Roaming    klasörünü açıp  SVCHOT.EXE,  ntlog.sys, NTCOM.DLL  dosyalarını silin 
 
 
Akabinde;
 
Başlat-çalışr'a regedit yazıp Kayıt defteri düzenleyicisini açın ve aşağıdaki işlemleri yapın.
 
*********************************************************** 
 
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 
Bu değeri silin
svchost         "C:\Users\sizin otorum açma adınız\AppData\Roaming\svchost.exe"
 
 
 
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
 
Bu değeri
Shell         explorer.exe "C:\Users\sizin otorum açma adınız\AppData\Roaming\svchost.exe"
 
Bu şekil değiştirin
Shell         explorer.exe  
 
***********************************************************
 
Daha sonra  var ise aşagıdaki kayıtlarıda siliniz.
 
HKEY_CLASSES_ROOT\Local Settings\Software\Microsoft\Windows\Shell\MuiCache
 C:\Users\sizin otorum açma adınız\AppData\Roaming\SCVHOST.EXE     SCVHOST
 

HKEY_CLASSES_ROOT\Local Settings\Software\Microsoft\Windows\Shell\MuiCache
C:\Users\sizin otorum açma adınız\AppData\Roaming\svchost.exe       svchost
 
 
 
Bunları yaptıktan sonra;   Kontrol etmek için  Kayıt defteri düzenleyicisin den önce  SCVHOST:EXE yi aratın  daha sonra  Roaming\svchost.exe 'yi aratın  eğer bu kelimeler  bulunuyorsa ilgili girdileri silin bulunmuyorsa keyloger  temizlenmiş demektir.
 
 

 Bilgisayarınızı yeniden başlatın   işlem tamamdır.  Artık   Sisteminizi  sorunsuz kullanabilirsiniz. 

 
Windows 7  işletim sisteminden Temizlemek için; 

 Gizli dosya ve klasörler seçeneğini aktif hale getirin

Gizli dosyaları ve klasörleri görüntülemek için aşağıdaki adımları izleyin.
1.  Başlat düğmesi , Denetim Masası, Görünüm ve Kişiselleştirme ve ardından Klasör Seçenekleri'ni tıklatarak Klasör Seçenekleri'ni açın.
2.  Görünüm sekmesini tıklatın.
3.  Gelişmiş ayarlar altından Gizli dosya ve klasörleri göster'i ve ardından Tamam'ı tıklatın.
 
 
CTRL+ALT+DEL Tuşlarına basarak görev yöneticisi başlatın  işlemler menusunden
 

svchost.exe nin karşısında  yani kullanıcı adı kısmında  oturum açma adınız yazıyorsa   o svchost.exe  işlemini sonlandırın 

 
Güncel
SVCHOST.EXE nin karşısında  yani kullanıcı adı kısmında  oturum açma adınız yazıyorsa   o SVCHOST.EXE  işlemini sonlandırın 
 
C:\Users\sizin otorum açma adınız\AppData\Roaming     klasörünü açıp  svchost.exe,  ntlog.sys,  ntsys.dll, SCVHOS.exe   dosyalarını silin
 
Güncel
 
1: Bulaştığı andan itibaren aktif  olmuşsa
C:\Users\sizin otorum açma adınız\AppData\Roaming    klasörünü açıp  SVCHOT.EXE,  ntlog.sys, NTCOM.DLL  dosyalarını silin 
 
2: Bulaştığında aktif olmamış isebu şekil bulaşacağından
C:\Users\sizin otorum açma adınız\AppData\Roaming    klasörünü açıp  SVCHOT.EXE,  ntlog.sys, NTCOM.DLL  dosyalarını silin 
 
 
Akabinde;
 
Başlat-çalışr'a regedit yazıp Kayıt defteri düzenleyicisini açın ve aşağıdaki işlemleri yapın.
 
*********************************************************** 
 
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 
Bu değeri silin
svchost         "C:\Users\sizin otorum açma adınız\AppData\Roaming\svchost.exe"
 
 
 
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
 
Bu değeri
Shell         explorer.exe "C:\Users\sizin otorum açma adınız\AppData\Roaming\svchost.exe"
 
Bu şekil değiştirin
Shell         explorer.exe  
 
***********************************************************
  
 
 
Bunları yaptıktan sonra;   Kontrol etmek için  Kayıt defteri düzenleyicisin den önce  SCVHOST:EXE yi aratın  daha sonra  Roaming\svchost.exe 'yi aratın  eğer bu kelimeler  bulunuyorsa ilgili girdileri silin bulunmuyorsa keyloger  temizlenmiş demektir.
 
 

Bilgisayarınızı yeniden başlatın   işlem tamamdır.  Artık   Sisteminizi  sorunsuz kullanabilirsiniz. 

 
 
Yapamayanlar Xp ,  VİSTA  ve Windows 7 den   temizlemek için hazırlamış olduğum bu temsili videoyu  örnek alarak temizleyebilirler
 
 
 

 
Güncel temizleme yöntemi 
 
Keyloger braz geliştirilmiş ismi SVCHOST.EXE olarak değiştirilmiştir.
 
Keyloger'in  sisteme bulaşıp   2 şekilde  aktif olabileceğini  test ederek tesbit ettik
 
1: Bulaştığı zaman  hemen aktif olur görev yöneticisinde gözükür.
    Pc nizde girmiş olduğunuz internet adresleri, Girmiş olduğunuz bütün  kullanıcı adı ve  şifreler, yazmış olduğunuz ve kopyala yapıştır  yaptığınız bütün yazılar, pc nizin ekran görüntüsü,…vs   periyodik bir şekilde belirtilen zaman aralıklarında   yapımcının belirtmiş olduğu  adrese  yollamaktadır.Yukarıda anlatılan regedit temizleme yöntemi geçerlidir.
 
2: Bulaştığı zaman hemen aktif olmaz bundan dolayı görev yöneticisinde gözükmez ve dikkatinizi çekmez. 
   Fakat Pc nizi aç  kapa yaptıktan sonra  aktif hale gelir ve Görev yöneticisinde gözükür   bun andan itibaren   Pc nizde girmiş olduğunuz internet adresleri, Girmiş olduğunuz bütün  kullanıcı adı ve  şifreler, yazmış olduğunuz ve kopyala yapıştır  yaptığınız bütün yazılar, pc nizin ekran görüntüsü,…vs   periyodik bir şekilde belirtilen zaman aralıklarında   yapımcının belirtmiş olduğu  adrese  yollamaktadır.
 
 
Yukarıda anlatılan regedit temizleme yöntemi geçerlidir. Değişiklikler belirtilmiştir.
 
Özetle formatsız sistemden kaldırılabilir
 
 
Standart olarak  yaygın olan bu  keylogger'in  temizliği yukarıdakigibidir.
 
 
Önemli: En kötü ihtimal Eğer yapımcı  standart  olan svchost.exe ismini değiştirirse  svchost exe yerine farklı isimler olabilir.
 
Benim analizime göre ismi ne olursa olsun  bu keylogger'ın registry de bulaştığı yerler bellidir.
 
Bu gibi durumda  en temiz yöntem Başlat çalıştır regedit ' ten kontrol etmektir.
 
 
Tesbit için:
 
Farklı isimlerde  bulaştığını varsayarsak  izlenmeniz  gereken yol   ilk etapta  shell değeridir.
 
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
 
standart  olarak shell  değeri
 
Shell         explorer.exe    dir  ve değerin standart olması gerekir. 
 
Eğer farklı ise keylogger dosyasının konumu orda mevcuttur.
 
Örnek verecek olursak ;
 
Shell     explorer.exe "C:\Documents and Settings\ sizin otorum açma adınız \xx klasoru\xxx.exe" diye bir değer olsun
 
Yukarıdaki değeri
 
Shell         explorer.exe olarak değiştirmeniz gerekir +  Belirtilen konumdaki xxx.exe dosyasını silmeniz gerekir.
 
 
Not
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run   da bulunan değerleride  kontrol etmekte  fayda vardır bu noktayıda atlamamak gerekir.
 
 
 
 
 
Teknik olarak gerekli anlatımları detaylı bir şekilde yaptık sanırım.
Çok sıkıntı olursa ki sanmam olacağını  ilerleyen zamanlarda  tesbit ve temizliği için basit bir  program geliştirebiliriz.
 
 
 
 
 

Edit: 
 
İçerik Güncellemesi  yapılmıştır.   
 
 
 
Bizi takip etmeye devam edin.
 
Burdaki konuyuda dikkate almak gerekir hala aktiftir.
 
Güncel  versiyonunda msnmsgr.exe, dllhost.exe  adı altında bulaşmaktadır
 
 temizleme yöntemi için.
 
 
 
 
 
***********************************************************
 
svchost.exe nin farklı bir versiyonu
 
Buşatığı yer
 
C:\windows\system32\krsr\svchost.exe
 
 
 
 
Temizlenmesi:
 
CTRL+ALT+DEL Tuşlarına basarak görev yöneticisini açın işlemler menusunden

svchost.exe nin karşısında  yani kullanıcı adı kısmında  oturum açma adınız yazıyorsa   o svchost.exe  işlemini sonlandırın 

Sonra
C:\WINDOWS\system32\ de bulunan krsr klasörünü silin
 
 
Akabinde
Başlat-çalışr'a regedit yazıp Kayıt defteri düzenleyicisini açın ve aşağıdaki işlemleri yapın.
 
 
***********************************************************
 
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 
Bu değeri silin
svchost.exe     "C:\windows\system32\krsr\svchost.exe"
 
***********************************************************
 
 Bilgisayarınızı yeniden başlatın işlem tamamdır
 
***********************************************************
 
Not: Aşağıdaki konuyuda inceleyiniz
 
 
Yeni Nesil Keyloger Tespit Etme Sistemi Hakkında hazırlamış olduğumuz diğer  konulara aşağıdaki linkten  ulaşabilirsiniz
 
Saygılarımla
invertor


Edited by invertor - 16-11-2010 at 18:43
Back to Top
S3Z3R View Drop Down
Moderator
Moderator
Avatar

Joined: 31-03-2007
Status: Offline
Points: 831
Post Options Post Options   Thanks (0) Thanks(0)   Quote S3Z3R Quote  Post ReplyReply Direct Link To This Post Posted: 09-05-2009 at 18:02
İyi bir çalışma yapmışsın yine  :)

    Eline sağlık .......
Back to Top
dimenor55 View Drop Down
Yeni Üye
Yeni Üye


Joined: 31-03-2009
Location: Turkey
Status: Offline
Points: 0
Post Options Post Options   Thanks (0) Thanks(0)   Quote dimenor55 Quote  Post ReplyReply Direct Link To This Post Posted: 09-05-2009 at 21:52
teşekkürler... 
Forever SAMSUNSPOR
Back to Top
DirtyNigga View Drop Down
Yeni Üye
Yeni Üye


Joined: 20-08-2008
Location: Turkey
Status: Offline
Points: 0
Post Options Post Options   Thanks (0) Thanks(0)   Quote DirtyNigga Quote  Post ReplyReply Direct Link To This Post Posted: 10-05-2009 at 00:30
Çok teşekkürler bu bilgi için. Fakat benim görev yöneticisinde Kullanıcı Adı bölümünde hiçbirşey yazmıyor.
Sadece "Sistem Boşta İşlemi" SYSTEM adlı kullanıcı adı altında çalışıyor. Diğer çalışan bütün uygulamaların Kullancı Adı bölümleri boş. Bu sorun için bir çözüm var mıdır acaba ?
Back to Top
ayhanaz View Drop Down
Yeni Üye
Yeni Üye
Avatar

Joined: 09-11-2008
Location: Turkey
Status: Offline
Points: 0
Post Options Post Options   Thanks (0) Thanks(0)   Quote ayhanaz Quote  Post ReplyReply Direct Link To This Post Posted: 11-05-2009 at 15:52
UYARINIZ İÇİN ÇOK TEŞEKKÜRLER SİZİ SAYGIYLA İZLEMEYE VE PROBLEMLERİMİ SİTENİZDEN GÜVENLE ÇÖZMEYE DEVAM EDİYORUM TEŞEKKÜRLER
Back to Top
S3Z3R View Drop Down
Moderator
Moderator
Avatar

Joined: 31-03-2007
Status: Offline
Points: 831
Post Options Post Options   Thanks (0) Thanks(0)   Quote S3Z3R Quote  Post ReplyReply Direct Link To This Post Posted: 11-05-2009 at 16:42
Bilgineferi farkı bu olsa gerek. Her zaman bizi takip etmeye devam edin...
Back to Top
kral View Drop Down
Administrator
Administrator
Avatar

Joined: 08-03-2006
Status: Offline
Points: 940
Post Options Post Options   Thanks (0) Thanks(0)   Quote kral Quote  Post ReplyReply Direct Link To This Post Posted: 27-06-2009 at 17:28
Konu için teşekkürler invertor
 
Originally posted by DirtyNigga DirtyNigga wrote:

Çok teşekkürler bu bilgi için. Fakat benim görev yöneticisinde Kullanıcı Adı bölümünde hiçbirşey yazmıyor.
Sadece "Sistem Boşta İşlemi" SYSTEM adlı kullanıcı adı altında çalışıyor. Diğer çalışan bütün uygulamaların Kullancı Adı bölümleri boş. Bu sorun için bir çözüm var mıdır acaba ?
 
Konu hakkında sizin  ve diğer kullanıcılar için  hazırlamış olduğum  Aşağıdaki konuyu inceleyiniz.
 
<font color=RED>“Bilginin elde edilmesi... bizi iyiye ulaştıracaktır.”[/COLOR]

Back to Top
invertor View Drop Down
Security Professional
Security Professional
Avatar
İnventor

Joined: 18-01-2008
Status: Offline
Points: 3327
Post Options Post Options   Thanks (0) Thanks(0)   Quote invertor Quote  Post ReplyReply Direct Link To This Post Posted: 20-07-2009 at 00:47
windovs 7 için temizleme yöntemi + video eklenmiştir.
Back to Top
S3Z3R View Drop Down
Moderator
Moderator
Avatar

Joined: 31-03-2007
Status: Offline
Points: 831
Post Options Post Options   Thanks (0) Thanks(0)   Quote S3Z3R Quote  Post ReplyReply Direct Link To This Post Posted: 20-07-2009 at 11:37
İnvertor  Türkiyede bir ilk svchost.exe windows 7 için anlatım ve video
 
Çalışmaların tüm forumlara kaynak durumda.
Back to Top
invertor View Drop Down
Security Professional
Security Professional
Avatar
İnventor

Joined: 18-01-2008
Status: Offline
Points: 3327
Post Options Post Options   Thanks (0) Thanks(0)   Quote invertor Quote  Post ReplyReply Direct Link To This Post Posted: 25-07-2009 at 15:05
Güncelleme eklenmiştir
 
Standart olarak  yaygın olan bu  keylogger'in  temizliği yukarıdakigibidir.
 
Önemli: En kötü ihtimal Eğer yapımcı  standart  olan svchost.exe ismini değiştirirse  svchost exe yerine farklı isimler olabilir.
 
Benim analizime göre ismi ne olursa olsun  bu keylogger'ın registry de bulaştığı yerler bellidir.
 
 
Bu gibi durumda tesbiti yukarıda anlatılmıştır
  
 
Originally posted by S3Z3R S3Z3R wrote:

İnvertor  Türkiyede bir ilk svchost.exe windows 7 için anlatım ve video
 
Çalışmaların tüm forumlara kaynak durumda.
 
Teşekkürler S3Z3R  standart olarak svchost.exe  adı altında  bulaşan bu keyloggerin ilk anlatımı sanırım bilgineferi.com' a ait.
 
 
Konuyu paylaşanlar kaynağı eklerseler  devamlı güncel temizleme yöntemi ile irtibatta olur.
 
Kaynak  göstermeleri  güzel birşey
 
  
Saygılarımla


Edited by invertor - 25-07-2009 at 15:07
Back to Top
tehlike724 View Drop Down
Yeni Üye
Yeni Üye


Joined: 26-07-2009
Status: Offline
Points: 0
Post Options Post Options   Thanks (0) Thanks(0)   Quote tehlike724 Quote  Post ReplyReply Direct Link To This Post Posted: 26-07-2009 at 16:52

valla bende o nalet siteden yemişim bunu. birkaç mail hesabım gitti. ilk başlarda düşündüm ama bir türlü bulamadım böyle bir konuyu.

enson rapid hesabım çalınınca farkettik ama ne fark eder...

senin eline sağlık çok güzel anlatmışsın. keyloggeri yemişim gerçekten.

sildik sayende. konuyu aslında üye olmadan da görebiliyoruz ama ben bu mesajı yazmak için üye oldum. 

inşallah böyle devam edersiniz. paylaşımlarınızın devamlılığı dileğiyle iyi günler.

Back to Top
acar54 View Drop Down
Yeni Üye
Yeni Üye


Joined: 01-08-2009
Location: Turkey
Status: Offline
Points: 0
Post Options Post Options   Thanks (0) Thanks(0)   Quote acar54 Quote  Post ReplyReply Direct Link To This Post Posted: 01-08-2009 at 10:44
invertor  öncelikle geniş açıklamalar için teşekkürler...bende bilgisayarımda bu sıkıntının bulunduğunu zannediyordum.KASPER sürekli bu uygulama ile ilgili uyarı veriiyordu.kayıt defterinde ve  d (sistem burada) altında bulamadım fakat  görev yöneticisinde
svchost.exe SYSTEM CPU:0 BELLEK kullanımı 30.160 kullanım ile 2.sırayı bırakmıyor.
bilg. açıldığı bir saatyi geçmesine rağmen.
 sizin tarif ettiğiniz yerlerin dışında olmadığını kabul ederek ben svchost.exe ile ilgili kasper in verdiği uyarılarda güvenli bölgeye ekle demeye karar verdim bakalım bir sıkıntı çıkacak mı?


Edited by acar54 - 01-08-2009 at 10:48
Back to Top
uhutbaser View Drop Down
Yeni Üye
Yeni Üye


Joined: 07-08-2009
Status: Offline
Points: 0
Post Options Post Options   Thanks (0) Thanks(0)   Quote uhutbaser Quote  Post ReplyReply Direct Link To This Post Posted: 07-08-2009 at 22:32
Sayın üstadım bende ilk verdiğiniz örnekte svchost.exe 6tane açlmış görev yöneticisinde normalde dediğinize göre bu 6 svchost .exe lerin 2tanesi NETWORK SERVİCE de,1 tanesi LOCAL SERVİCE geriye kalan 2 taneside system de çalışmış olarak gösteriyosunuz.Benim görev yöneticisinde bunlar bu şekilde açılmış fakat hatanın olduğu yer bende sorun çıkaran svchost.exe dosyasının oturum açmış olduğum isimde değil System de açılmış olması yani Sizin invertor yazan kısımda bende System yazıyor olması  yani toplam 3tanesi systemde çalışıyor.Bu ne demektir çözümü nasıl yapılır açıklarsanız müteşekkir olurum üstadm.Saygılarımla
Back to Top
invertor View Drop Down
Security Professional
Security Professional
Avatar
İnventor

Joined: 18-01-2008
Status: Offline
Points: 3327
Post Options Post Options   Thanks (0) Thanks(0)   Quote invertor Quote  Post ReplyReply Direct Link To This Post Posted: 08-08-2009 at 13:14
Originally posted by uhutbaser uhutbaser wrote:

Sayın üstadım bende ilk verdiğiniz örnekte svchost.exe 6tane açlmış görev yöneticisinde normalde dediğinize göre bu 6 svchost .exe lerin 2tanesi NETWORK SERVİCE de,1 tanesi LOCAL SERVİCE geriye kalan 2 taneside system de çalışmış olarak gösteriyosunuz.Benim görev yöneticisinde bunlar bu şekilde açılmış fakat hatanın olduğu yer bende sorun çıkaran svchost.exe dosyasının oturum açmış olduğum isimde değil System de açılmış olması yani Sizin invertor yazan kısımda bende System yazıyor olması  yani toplam 3tanesi systemde çalışıyor.Bu ne demektir çözümü nasıl yapılır açıklarsanız müteşekkir olurum üstadm.Saygılarımla
 
Svchost.exe sayısı fazla olabilir önemli olan oturum açma adınız ile çalışmaması gerekir.
 
Örneğin; Oturum açma adınız xxx ise   svchost.exe nin karşısında  yani kullanıcı adı kısmında  xxx yazıyorsa  pc nize keyloger bulaşmış demektir.
 
Böyle bir durum sözkonusu değil ise problem yok demektir.
 
 
 
 
Originally posted by acar54 acar54 wrote:

invertor  öncelikle geniş açıklamalar için teşekkürler...bende bilgisayarımda bu sıkıntının bulunduğunu zannediyordum.KASPER sürekli bu uygulama ile ilgili uyarı veriiyordu.kayıt defterinde ve  d (sistem burada) altında bulamadım fakat  görev yöneticisinde
svchost.exe SYSTEM CPU:0 BELLEK kullanımı 30.160 kullanım ile 2.sırayı bırakmıyor.
bilg. açıldığı bir saatyi geçmesine rağmen.
 sizin tarif ettiğiniz yerlerin dışında olmadığını kabul ederek ben svchost.exe ile ilgili kasper in verdiği uyarılarda güvenli bölgeye ekle demeye karar verdim bakalım bir sıkıntı çıkacak mı?
 
Sorun çıkmaz.
Bizim bahsettiğimiz keyloger' dan sizteminizde yok..
 
Probleminiz için  Detaylı bilgi ;
Back to Top
invertor View Drop Down
Security Professional
Security Professional
Avatar
İnventor

Joined: 18-01-2008
Status: Offline
Points: 3327
Post Options Post Options   Thanks (0) Thanks(0)   Quote invertor Quote  Post ReplyReply Direct Link To This Post Posted: 22-08-2009 at 12:14

Konu güncellenmiştir

Back to Top
 Post Reply Post Reply Page  12>
  Share Topic   

Forum Jump Forum Permissions View Drop Down



This page was generated in 0.608 seconds.