Windows 7 işletim sisteminden Temizlemek için;
Gizli dosya ve klasörler seçeneğini aktif hale getirin
Gizli dosyaları ve klasörleri görüntülemek için aşağıdaki adımları izleyin.
1. Başlat düğmesi , Denetim Masası, Görünüm ve Kişiselleştirme ve ardından Klasör Seçenekleri'ni tıklatarak Klasör Seçenekleri'ni açın.
2. Görünüm sekmesini tıklatın.
3. Gelişmiş ayarlar altından Gizli dosya ve klasörleri göster'i ve ardından Tamam'ı tıklatın.
CTRL+ALT+DEL Tuşlarına basarak görev yöneticisi başlatın işlemler menusunden
svchost.exe nin karşısında yani kullanıcı adı kısmında oturum açma adınız yazıyorsa o svchost.exe işlemini sonlandırın
C:\Users\sizin otorum açma adınız\AppData\Roaming klasörünü açıp svchost.exe, ntlog.sys, ntsys.dll, SCVHOS.exe dosyalarını silin
Akabinde;
Başlat-çalışr'a regedit yazıp Kayıt defteri düzenleyicisini açın ve aşağıdaki işlemleri yapın.
************************************************** *********
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run
Bu değeri silin
svchost "C:\Users\sizin otorum açma adınız\AppData\Roaming\svchost.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Bu değeri
Shell explorer.exe "C:\Users\sizin otorum açma adınız\AppData\Roaming\svchost.exe"
Bu şekil değiştirin
Shell explorer.exe
************************************************** *********
Bunları yaptıktan sonra;Kontrol etmek için Kayıt defteri düzenleyicisin den önce SCVHOST:EXE yi aratın daha sonra Roaming\svchost.exe 'yi aratın eğer bu kelimeler bulunuyorsa ilgili girdileri silin bulunmuyorsa keyloger temizlenmiş demektir.
Bilgisayarınızı yeniden başlatın işlem tamamdır. Artık Sisteminizi sorunsuz kullanabilirsiniz.
************************************************** *********
Standart olarak yaygın olan bu keylogger'in temizliği yukarıdakigibidir.
Önemli: En kötü ihtimal Eğer yapımcı standart olan svchost.exe ismini değiştirirse svchost exe yerine farklı isimler olabilir.
Benim analizime göre ismi ne olursa olsun bu keylogger'ın registry de bulaştığı yerler bellidir.
Bu gibi durumda en temiz yöntem Başlat çalıştır regedit ' ten kontrol etmektir.
Tesbit için:
Farklı isimlerde bulaştığını varsayarsak izlenmeniz gereken yol ilk etapta shell değeridir.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
standart olarak shell değeri
Shell explorer.exe dir ve değerin standart olması gerekir.
Eğer farklı ise keylogger dosyasının konumu orda mevcuttur.
Örnek verecek olursak ;
Shell explorer.exe "C:\Documents and Settings\ sizin otorum açma adınız \xx klasoru\xxx.exe" diye bir değer olsun
Yukarıdaki değeri
Shell explorer.exe olarak değiştirmeniz gerekir + Belirtilen konumdaki xxx.exe dosyasını silmeniz gerekir.
Not
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run da bulunan değerleride kontrol etmekte fayda vardır bu noktayıda atlamamak gerekir.
NOT:ALINTIDIR
Svchost.exe ler oturum açma adınız ile çalışmazlar eğer aşağıdaki gibi çalışıyorsa;
Örneğin; Oturum açma adınız xxx ise svchost.exe nin karşısında yani kullanıcı adı kısmında xxx yazıyorsa pc nize keyloger bulaşmış demektir.
Her pc de svchost.exe bulunur yalnız karşısında Local Service SYSTEM Network Service yazıyorsa onların virüsle alakası yoktur.Eğer oturum açma adınız yazıyorsa o zaman virüs demektir.
ALINTIDIR