Zararlı servisleri ortadan kaldırın!

Bu makalemizde sizlere zararlı yazılımların kendilerini nasıl bir sisteme bağlı bir servis olarak çalıştırdıklarını anlatacağım. İlk olarak servislerin nasıl çalıştığına bakalım.

Servisler 2 şekilde çalışır :

1- Svchost.exe'ye bağlı olarak.

• Svchost.exe ile bağlı olarak çalışan servisler kayıt defterinde :

           HKEY_LOCAL_MACHINE/Software/Microsoft/WindowsNT/CurrentVersion/Svchost

         Anahtarı altında bulunabilir.

2- Windows ile birlikte. ( svchost.exe ile bağımsız )

• Windows ile birlikte çalışan servisler ise :

           HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/servisadı

         Şeklinde Bulunabilir.

Ayrıca bir işlemin kullandığı servisi öğrenmek için komut satırında: 

"tasklist/svc " komutunu kullanabilirsiniz.

Diğer sayfada servislerin analizi ve listelenmesini nasıl yaptığımı görebilirsiniz.

Analiz için Bu programı kullanacağız. Bu program Microsoft'un SysInternals PSSERVICE programını içeriyor yani tamamen güvenli.

Rar dosyasını indirdikten sonra masaüstüne çıkartıp resimdeki şekilde görüldüğü gibi 1 " .exe " 1 de " .bat "  dosyası olacak şekilde karşımızda olmalı.

Ardından getservice.bat dosyasını çalıştırdıktan sonra resimdeki gibi servisler.txt adında bir text dosyası oluşucak bu dosya içinde tüm servislerin listesini görebiliriz.

Bu rapordaki ifadeler şunlardır :

• SERVICE_NAME: Servisin adı ve kayıtdefterinde bulunan adı.
• BINARY_PATH_NAME: Servisi başlatmak için kullanılan dosyanın yolu ve adı.
• DISPLAY_NAME: Görünen servis adı. Servisleri görmek için > Başlat > Çalıştır > services.msc yazıp servisler görülebilir.
• START_TYPE: Başlangıç türü engelli,elle (Manuel) yada otomatik.

Örnek olarak programdan aldığımız rapor böyle görünür:

SERVICE_NAME: AeLookupSvc
DISPLAY_NAME: Uygulama Deneyimi
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:/Windows/system32/svchost.exe -k netsvcs
LOAD_ORDER_GROUP : 
TAG : 0
DISPLAY_NAME : Uygulama Deneyimi
SERVICE_START_NAME : localSystem

Örnek rapordan alabileceğimiz önemli bilgiler şunlar:

1. Servis listesinde görünen adı Uygulama Deneyimi.

2. Kayıtdefterindeki adı AeLookupSvc.

3. Bilgisayar başladığında otomatik olarak çalışıyor.

4. Servisi Başlatan dosya C:/Windows/system32/svchost.exe.

Bu servisin svchost.exe ile çalıştığını gösterir.

4. Kısımda Svchost.exe yerine başka bir dosya olsaydı bu svchost.exe ile bağlantısı olmadığını gösterirdi.

Diğer sayfada zararlı servisi nasıl sileceğinizi görebilirsiniz.

Zararlı servisin silinmesi :

Servisi tamamen silmek için kayıt defterindeki değerini silmelisiniz.

Bunun için : 

Başlat > Çalıştır > Regedit >

HKEY_LOCAL_MACHINE/SYSTEM/ControlSet001/services/z.servis

HKEY_LOCAL_MACHINE/SYSTEM/ControlSet002/services/z.servis

HKEY_LOCAL_MACHINE/SYSTEM/ControlSet003/services/z.servis

3 Farklı anahtarda da bulunur bu yüzden 3 anahtardan da silmek gerekir.

Ayrıca bazı zararlı yazılımlar kendilerini :

HKEY_LOCAL_MACHINE/SYSTEM/ControlSet003/Enum

Anahtarı altına da yüklerler.

Önemli Not : Silinme kısmını uygulamak için servisin zararlı olduğundan emin olmalısınız. Bu yüzden iyi araştırma yapmadan servisi silmeyin bilgisayarınız 

zarar görebilir.