Svchost.exe Yeni nesil Türk Yapımı   Güzel bir Keyloger client’i  dir.  Ticari amaçlı yapılmıştır ve kötü amaçlarda  kullanılmaktadır. Buradaki  svchost.exe ismini   yapımcı istediği zaman değişebilmektedir.  örnek: aa.exe  gibi, svchost.exe  adı  keyloger clientini oluşturan program ile standart olarak gelmektedir.

Bu keyloger  Şifrelerinizin  ve kişisel bilgilerinizin  çalınması amacı ile kullanılır.

Eğer pc nize bulaşmış ise ; Pc nizde girmiş olduğunuz internet adresleri, Girmiş olduğunuz bütün  kullanıcı adı ve  şifreler, yazmış olduğunuz ve kopyala yapıştır  yaptığınız bütün yazılar, pc nizin ekran görüntüsü,…vs   periyodik bir şekilde belirtilen zaman aralıklarında   yapımcının belirtmiş olduğu  adrese  yollamaktadır.

Client’i oluşturan kişi dosya ismini istediği gibi değiştire bilir  fakat  bulaştığında   görev yöneticisi işlemler menusunde svchost.exe olarak gözükür.  “Eğer yapımcı  standart  olan svchost.exe ismini değiştirirse  görev yöneticisinde isim farklı gözüke bilir”

Şimdi diyeceksiniz   sistemde  birçok  svchost.exe çalışıyor  bunun keyloger olduğunu nasıl anlayacağız.

Hemen açıklık getirelim;

Svchost.exe ler  oturum açma adınız ile çalışmazlar eğer aşağıdaki gibi  çalışıyorsa;

Örneğin; Oturum açma adınız xxx ise   svchost.exe nin karşısında  yani kullanıcı adı kısmında  xxx yazıyorsa  pc nize keyloger bulaşmış demektir.
Bu keyloger kendi kendine bulaşmaz  bulaşması için   svchost.exe dosyasının çalıştırılması gerekir Dosya adındaki svchost kısmının  değişik olabileceğini daha önceden belirtmiştik.
Dosyanın simgesi  farklı olabilir basit bir örnek verecek olursak   gönderen kişi dosyanın simgesini  “mp3” müzik dosyası gibi ayarlarlıyabilir  içine de  bir müzik dosyası gömüp bulaştırmak istediği kişiye gönderir  ve   dosyayı  alan kişi müzik dinlemek için  o dosyayı çalıştırdığında   keyloger bulaşmış olur.

Not: Bu tür durumlarda   şüphe duyuyorsanız dosya uzantısını kontrol ediniz. Yukarıda bahsttiğim örnekteki  mp3 dosyasının  uzantısı .mp3 değil .exe dir. Ama .exe uzantılı bir dosyanın  içerisine gömülmüştür.

Anti virüs yazılımlarına yakalanmamaktadır   son zamanlarda kaspersky internetsecurity  yazılımına “Backdoor.Win32.Delf.osq” olarak yakalanmaktadır. Eğer yapımcı tarafından keyloger’in güncellemesi yapılırsa  anti virüs yazılımlarına  yakalanmama ihtimali yüksektir. Şuan itibari ile  anti virüs yazılımlarına yakalanmamaktadır.


svchost.exe adı altında bulaşan   keyloger  Pc nize bulaşmış ise aşağıda  bahsettiğim yöntemi kullanarak temizleye bilirsiniz. Keyloger  bizzat tarafımdan test edilmiştir.

Bulaştığı zaman

Vindows işletim sistemlerine bulaşır…
Standart olarak : Xpde C:\Documents and Settings\sizin otorum açma adınız\Application Data     içerisine  svchost.exe, SCVHOST.exe,  ntlog.sys,  ntsys.dll  olarak 4 dosya şeklinde bulaşır.
Güncel
Şuanki Güncellenmiş halinde 2 şekilde bulaşır
1: Bulaştığı andan itibaren aktif olur
C:\Documents and Settings\sizin otorum açma adınız\Application Data     içerisine SVCHOT.EXE,  ntlog.sys, NTCOM.DLL olarak 3 dosya şeklinde bulaşır.
2: Bulaştığında aktif olmaz  C:\Documents and Settings\sizin otorum açma adınız\Application Data içerisine  SVCHOT.EXE ve NTCOM.DLL olarak 2 dosya şeklinde bulaşır.
Pc yi aç kapa yaptığınızda SVCHOT.EXE,  ntlog.sys, NTCOM.DLL olarak 3 dosya şeklinde bulunur ve aktif halde olur.
Vista’ da C:\Users\sizin otorum açma adınız\AppData\Roaming     içerisine  svchost.exe, SCVHOST.exe,  ntlog.sys,  ntsys.dll  olarak 4 dosya şeklinde bulaşır.
Güncel
Şuanki Güncellenmiş halinde 2 şekilde bulaşır
1: Bulaştığı andan itibaren aktif olur
C:\Users\sizin otorum açma adınız\AppData\Roaming içerisine  SVCHOT.EXE,  ntlog.sys, NTCOM.DLL olarak 3 dosya şeklinde bulaşır.
2: Bulaştığında aktif olmaz  C:\Users\sizin otorum açma adınız\AppData\Roaming içerisine  SVCHOT.EXE ve NTCOM.DLL olarak 2 dosya şeklinde bulaşır.
Pc yi aç kapa yaptığınızda SVCHOT.EXE,  ntlog.sys, NTCOM.DLL olarak 3 dosya şeklinde bulunur ve aktif halde olur.
Windows 7′ de C:\Users\sizin otorum açma adınız\AppData\Roaming     içerisine  svchost.exe, SCVHOST.exe,  ntlog.sys,  ntsys.dll  olarak 4 dosya şeklinde bulaşır.
Güncel
Şuanki Güncellenmiş halinde 2 şekilde bulaşır
1: Bulaştığı andan itibaren aktif olur
C:\Users\sizin otorum açma adınız\AppData\Roaming içerisine  SVCHOT.EXE,  ntlog.sys, NTCOM.DLL olarak 3 dosya şeklinde bulaşır.
2: Bulaştığında aktif olmaz  C:\Users\sizin otorum açma adınız\AppData\Roaming içerisine  SVCHOT.EXE ve NTCOM.DLL olarak 2 dosya şeklinde bulaşır.
Pc yi aç kapa yaptığınızda SVCHOT.EXE,  ntlog.sys, NTCOM.DLL olarak 3 dosya şeklinde bulunur ve aktif halde olur.
Not: Gizli dosya ve klasörler seçeneğini aktif hale getirmeden belirtilen dizini göremezsiniz.

 

Xp işletim sisteminden Temizlemek için;

Gizli dosya ve klasörler seçeneğini aktif hale getirin


CTRL+ALT+DEL Tuşlarına basarak görev yöneticisini açın işlemler menusunden

svchost.exe nin karşısında  yani kullanıcı adı kısmında  oturum açma adınız yazıyorsa   o svchost.exe  işlemini sonlandırın

Güncel
SVCHOST.EXE nin karşısında  yani kullanıcı adı kısmında  oturum açma adınız yazıyorsa   o SVCHOST.EXE  işlemini sonlandırın
C:\Documents and Settings\sizin otorum açma adınız\Application Data  klasörünü açıp  svchost.exe,  ntlog.sys,  ntsys.dll, SCVHOS.exe   dosyalarını silin
Güncel
1: Bulaştığı andan itibaren aktif  olmuşsa
C:\Documents and Settings\sizin otorum açma adınız\Application Data klasörünü açıp  SVCHOT.EXE,  ntlog.sys, NTCOM.DLL  dosyalarını silin
2: Bulaştığında aktif olmamış isebu şekil bulaşacağından
C:\Documents and Settings\sizin otorum açma adınız\Application Data klasörünü açıp  SVCHOT.EXE,  ntlog.sys, NTCOM.DLL  dosyalarını silin
Akabinde;
Başlat-çalışr’a regedit yazıp Kayıt defteri düzenleyicisini açın ve aşağıdaki işlemleri yapın.
***********************************************************
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Bu değeri silin
svchost      “C:\Documents and Settings\ sizin otorum açma adınız \Application Data\svchost.exe”

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

Bu değeri
Shell     explorer.exe “C:\Documents and Settings\ sizin otorum açma adınız \Application Data\svchost.exe”
Bu şekil değiştirin
Shell      Explorer.exe
***********************************************************
Daha sonra  var ise aşagıdaki kayıtlarıda siliniz.
HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache
C:\Documents and Settings\sizin otorum açma adınız \Application Data\SCVHOST.EXE     SCVHOST
HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache
C:\Documents and Settings\sizin otorum açma adınız \Application Data\svchost.exe     svchost
Bunları yaptıktan sonra: Kontrol etmek için  Kayıt defteri düzenleyicisin den önce  SCVHOST.EXE yi aratın daha sonra Application Data\svchost.exe  ‘yi aratın  eğer bu kelimeler  bulunuyorsa ilgili girdileri silin bulunmuyorsa keyloger  temizlenmiş demektir.

Bilgisayarınızı yeniden başlatın   işlem tamamdır.  Artık   Sisteminizi  sorunsuz kullanabilirsiniz.

Vista işletim sisteminden Temizlemek için;

Gizli dosya ve klasörler seçeneğini aktif hale getirin

Gizli dosyaları ve klasörleri görüntülemek için aşağıdaki adımları izleyin.
1.  Başlat düğmesi , Denetim Masası, Görünüm ve Kişiselleştirme ve ardından Klasör Seçenekleri’ni tıklatarak Klasör Seçenekleri’ni açın.
2.  Görünüm sekmesini tıklatın.
3.  Gelişmiş ayarlar altından Gizli dosya ve klasörleri göster’i ve ardından Tamam’ı tıklatın.
 

CTRL+ALT+DEL Tuşlarına basarak görev yöneticisi başlatın  işlemler menusunden

svchost.exe nin karşısında  yani kullanıcı adı kısmında  oturum açma adınız yazıyorsa   o svchost.exe  işlemini sonlandırın

 

Güncel
SVCHOST.EXE nin karşısında  yani kullanıcı adı kısmında  oturum açma adınız yazıyorsa   o SVCHOST.EXE  işlemini sonlandırın
C:\Users\sizin otorum açma adınız\AppData\Roaming     klasörünü açıp  svchost.exe,  ntlog.sys,  ntsys.dll, SCVHOS.exe   dosyalarını silin

Güncel

1: Bulaştığı andan itibaren aktif  olmuşsa
C:\Users\sizin otorum açma adınız\AppData\Roaming klasörünü açıp  SVCHOT.EXE,  ntlog.sys, NTCOM.DLL  dosyalarını silin
2: Bulaştığında aktif olmamış isebu şekil bulaşacağından
C:\Users\sizin otorum açma adınız\AppData\Roaming klasörünü açıp  SVCHOT.EXE,  ntlog.sys, NTCOM.DLL  dosyalarını silin
Akabinde;

Başlat-çalışr’a regedit yazıp Kayıt defteri düzenleyicisini açın ve aşağıdaki işlemleri yapın.

***********************************************************
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Bu değeri silin
svchost         “C:\Users\sizin otorum açma adınız\AppData\Roaming\svchost.exe”
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Bu değeri
Shell         explorer.exe “C:\Users\sizin otorum açma adınız\AppData\Roaming\svchost.exe”
Bu şekil değiştirin
Shell         explorer.exe
***********************************************************
Daha sonra  var ise aşagıdaki kayıtlarıda siliniz.
HKEY_CLASSES_ROOT\Local Settings\Software\Microsoft\Windows\Shell\MuiCache
C:\Users\sizin otorum açma adınız\AppData\Roaming\SCVHOST.EXE     SCVHOST

HKEY_CLASSES_ROOT\Local Settings\Software\Microsoft\Windows\Shell\MuiCache
C:\Users\sizin otorum açma adınız\AppData\Roaming\svchost.exe       svchost
 

 

Bunları yaptıktan sonra; Kontrol etmek için  Kayıt defteri düzenleyicisin den önce  SCVHOST:EXE yi aratın  daha sonra  Roaming\svchost.exe ‘yi aratın  eğer bu kelimeler  bulunuyorsa ilgili girdileri silin bulunmuyorsa keyloger  temizlenmiş demektir.

Bilgisayarınızı yeniden başlatın   işlem tamamdır.  Artık   Sisteminizi  sorunsuz kullanabilirsiniz.

Windows 7  işletim sisteminden Temizlemek için;

Gizli dosya ve klasörler seçeneğini aktif hale getirin

Gizli dosyaları ve klasörleri görüntülemek için aşağıdaki adımları izleyin.
1.  Başlat düğmesi , Denetim Masası, Görünüm ve Kişiselleştirme ve ardından Klasör Seçenekleri’ni tıklatarak Klasör Seçenekleri’ni açın.
2.  Görünüm sekmesini tıklatın.
3.  Gelişmiş ayarlar altından Gizli dosya ve klasörleri göster’i ve ardından Tamam’ı tıklatın.
 

CTRL+ALT+DEL Tuşlarına basarak görev yöneticisi başlatın  işlemler menusunden

svchost.exe nin karşısında  yani kullanıcı adı kısmında  oturum açma adınız yazıyorsa   o svchost.exe  işlemini sonlandırın

 

Güncel
SVCHOST.EXE nin karşısında  yani kullanıcı adı kısmında  oturum açma adınız yazıyorsa   o SVCHOST.EXE  işlemini sonlandırın
C:\Users\sizin otorum açma adınız\AppData\Roaming     klasörünü açıp  svchost.exe,  ntlog.sys,  ntsys.dll, SCVHOS.exe   dosyalarını silin

Güncel

1: Bulaştığı andan itibaren aktif  olmuşsa
C:\Users\sizin otorum açma adınız\AppData\Roaming klasörünü açıp  SVCHOT.EXE,  ntlog.sys, NTCOM.DLL  dosyalarını silin
2: Bulaştığında aktif olmamış isebu şekil bulaşacağından
C:\Users\sizin otorum açma adınız\AppData\Roaming klasörünü açıp  SVCHOT.EXE,  ntlog.sys, NTCOM.DLL  dosyalarını silin
Akabinde;

Başlat-çalışr’a regedit yazıp Kayıt defteri düzenleyicisini açın ve aşağıdaki işlemleri yapın.

***********************************************************
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Bu değeri silin
svchost         “C:\Users\sizin otorum açma adınız\AppData\Roaming\svchost.exe”
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Bu değeri
Shell         explorer.exe “C:\Users\sizin otorum açma adınız\AppData\Roaming\svchost.exe”
Bu şekil değiştirin
Shell         explorer.exe
***********************************************************

 

Bunları yaptıktan sonra; Kontrol etmek için  Kayıt defteri düzenleyicisin den önce  SCVHOST:EXE yi aratın  daha sonra  Roaming\svchost.exe ‘yi aratın  eğer bu kelimeler  bulunuyorsa ilgili girdileri silin bulunmuyorsa keyloger  temizlenmiş demektir.

Bilgisayarınızı yeniden başlatın   işlem tamamdır.  Artık   Sisteminizi  sorunsuz kullanabilirsiniz.

Player will show here

*alıntıdır