deli_petro06

@Shadowscape

Şu ana kadar bir sorun göremedim. Sadece windowsun kendi dosyalarından birisini incelerken ingilizceden google çeviri şeklinde bir yazı okudum. Ben çeviri de bir yanlış olduğunu düşünüyorum. Bir tane dll dosyası için C/Windows klasörü içerisinde olması gerekir diyor. Eğer başka bir klasördeyse virüstür diyor. C/Windows/System32 klasörü ve bir klasör daha örnek vererek, bunlar içerisinde olursa virüstür diyor. Ben çeviri hatası olduğunu düşünüyorum. Kendi sistemimde de o bahsedilen Windows' a ait .exe dosyası C/Windows/System32 klasörü içerisinde yer alıyor. Ya çeviri hatası var ya da bilgi eski. Bahsettiğim .exe dosyasını da tekrar bakıp bulabilirsem hangisi olduğunu eklerim...

Bu verileri de bilgili arkadaşlar için ekledim. Algı da seçicilik diye birşey var. Benim dikkatimi çekmeyebilir ancak bilgili bir insan için anormal durumlar hemen dikkatini çekebilir. Çünkü paylaştıklarımın hepsi ya yaptığı bir işlemden etkilenmiş dosyalar ya da bir uygulama yüklediğini gösteriyor. Mesela bu çalışma da birden fazla kez Edge' yi kaldırıp yüklüyor. 2 kez yüklediği Edge' yi tarayıcı üzerinden güncellemiş. 

Şu ana kadar GHOST' un hazırladığı sistemle alakalı bir sıkıntılı virüs v.s gibi birşeye rastlayamadım. Eğer dün araştırdığım dosya için okuduğum makale doğruysa virüs olabilir. Ancak ben çeviri de hata olduğunu düşünüyorum.

Bu konu da sadece GHOST' tan bahsetmiyorum. Hani forum da çok gizli, aşırı gizli, fbi bile kıramaz gibi abuk sabuk başlıklı paylaşımlar var. Mesela orada sıkıntılı bir durumla karşılaştım. Devlet sırrı başlıkları atılan çalışma da KMS kullanılmış. Otomatik aktivasyonu var mı bilmiyorum? Ancak gördüğüm siz orjinal key kullansanız bile o aşırı gizli, aşırı modlu çalışma da çok açık var  Inspectre ile açık var mı diye bakmış sanırım. KMS orada ben buradayım diyor. 

O çalışmayla alakalı net olarak sıkıntı şu; siz orjinal windows anahtarınızı bile girseniz ve yerel hesap, microsoft hesabı ne hesap açarak kurarsanız kurun KMS arkaplanda çalışıyor. Ben administrator hesabıyla da kontrol ettim. Yerel ve Microsoft hesaplarıyla da kontrol ettim. KMS orjinal keyle aktive edilmesine rağmen arkaplanda çalışıyordu. KMS sistemi zombileştiriyorsa ki bunu Lunizz mi öyle bir yazılımcı söylüyordu. Eğer böyle bir durum varsa orjinal key kullansanız bile KMS aktif ve otomatik olarak zombi pc oluyor. 

Aslında en büyük tehlike paylaşımcı için geçerli. O çok gizli sisteme sızabilecek IP adresi v.s bırakmış. Ip adresleri, Mac adresleri mevcut. Paylaşımı yaparken de sizleri korkutmak v.s için paylaşmıyorum. Beyinsizlerle yola çıkmayın. Sorgulayın ve benim dikkatimi çekmeyen başkasının dikkatini çekebilir diye ekliyorum. 

Bu forum da daha önce de yazmıştım. Çok gizli aşırı gizli hiper gizli denilerek insanları aldatıyorlar. Belki siz bu gizli ibaresine aldanıp yanlış birşeylere kalkışmazsınız. Ancak biri çıkar çok gizli olduğunu sanıp bir işlere girişir yada bu ibare cesaret verir. Biraz birşeyleri sorgulamak lazım. Burada yıl denilecek kadar uzun bir süre bu başlıkla sistemler paylaşıldı. Birisi de çıkıp nedir bunu gizli yapan diye sormadı. Sonuç; sistem bırakın gizliliği aksine ciddi açıkları var. Ben olsam o şahsın sistemini kullanıp bir şekilde mağdur olsam ondan da şikayetçi olurum. Gizli ibaresini koyuyorsan altını dolduracaksın. 

Mesela şu an, o çok gizli gipgizli denilen sistemdeki kurulduğunda aktif olarak gelen KMS inject isimli dosya üzerinden indirilenler de hacklenebilir mi onu bilenlere soruyorum. O boş şahsı da kişisel meselem olarak gördüğüm için değil bu forum da farklı işler döndüğünü düşündüğüm ve kullandığı ibareden dolayı inceledim. Şu an bütün sistemine sızabilecek bilgiye sahibim. Belki de sızdım  Alttan datalarını topluyorum  

Şu forum da sorgulamayı bir kişi bile olsa öğrensin diye paylaşıyorum. Bu forumda yanlış işler çeviren bir grup var. Millete yan hesaplarla ana bacı sövdüren, yabancı bir şahsın sistemlerine geçmişte bu forumu mahkum ettiren tipler var. Ve onların trolleri var. Bugüne kadar da bu şahıslarla ilgili ne yazmışsam kanıtını şu son açıkla buldum.

Oprekin denilen şarlatan da aynı şeydi. Bu forum da bir grupla insanları manipüle edenler de aynı şey. Ve shiftdeletenet denen fransa da yaşayan şarlatan da (Oprekin samimi arkadaşımdır diyen ve bu forum da sistemlerini insanlara pazarlayanların en başındadır. O zamanlar ben tanımam etmem diyordu. Özelden küfür ederken de samimi arkadaşımdır. Basarım parayı sistemi hazırlatırım demişti ve forumda paylaştım.) Bence düşünmeniz gereken GHOST değil burnunuzun dibindekiler. Aynı şeyi yapıyorlar sadece şu an için para talep etmiyorlar. Onu da başka forumlar üzerinden elde ediyorlardır. 

Oprekin bir youtube hesabı kullanıyordu. Bir de kendi sitesi vardı. Bunların hepsin de aynı bu forumdakilerin yaptığı gibi sistemleri sattırmaya çalışan troller vardı. (bu forumda da başta shiftdeletenet var ve onun en başından beridir cilaladığı çok gizli abimiz var.) Gidin Oprekin' in kendi sitesinde yaptığı ne varsa bakın aynı şeyleri bu çok gizli abimiz yapıyor  Bu forumda da aslında para mevzusunu trollerle bir ara yapmaya kalktılar. Oprekin sistemlerini satın almak için hadi para toplayalım v.s. gibi olaylar oldu. Benim tespit ettiğim 10-15 nick var. Bunlardan bazıları yan hesaplar. Düşünmeniz gereken burada olanlar. Sorun arıyorsanız burnunuzun dibinde. O paralı sistem satın aldırtmaya çalışan Shiftdeletenette aktif olarak çok gizli abimizin konularında fink atıyor. Özelden küfürler savuran ve yine farklı hesap açıp çok gizli abimizle iş çevirmeye devam ediyor. 

Eğer bir sorun arıyorsanız, yan hesabıyla kendi konularını beğenip sanki başkasıymış gibi gelip forumu galeyana getirenler bir sorun diye düşünüyorum. İsterseniz videosunu da paylaşırım. İfşa olana kadar yan hesabıyla kendi çalışmalarına beğeni atıyor, benimle kavgalı olduğu için söz de kendisinin hayranı olduğunu söyleyerek benimle tartışmaya giriyor. Ve bu çevresindeki troll grupta yan hesabın kim olduğunu bilerek saldırıyorlar. Bu grubun kimler olduğunu da konularını açıp en çok mesaj atanlardan görebilirsiniz. Ya da rastgele yeni nicklere bakın sadece bu gizli abimizin konularına mesaj yazmak ve beğeni atmak olduğunu görebilirsiniz. Bunların geneli de yan hesap zaten. Aynı oprekim taktiği trollerle şişir şişir. Zaten trollerin gazına gelip köpürtecek insan bir şekilde oluyor. 

Sorun arıyorsanız sorunun en büyüğü bu forumda. Neden hep aynı kişiler? Neden bir insan yan hesap açıp kendi konularını köpürtür? Neden aynı gruptaki kişiler özelden küfürler savuruyor? Tek amaç popülizm kasmak mı?

Bu arada shiftdeletenet' in yeni kullandığı nicki de emirhanefe denilen şahsın da forumda yeni nicklerle aynı işleri devam ettiğini tespit ettim. emirhanefe' ye dava açmıştım. Benden bu şahsın bulunması için 2000 dolar tnctr datalarının bulunduğu firma için para istendi. Bende bu parayı benim değil emirhanefe nickini kullanan şahıstan temin edilmesi için Adalet Bakanlığına başvurdum. Trollere duyrulur. Bu vasıtayla bunu da eklemiş olayım. Emirhanefe denilen zavallı yeni kullandığın nickle gelişmeleri takip edebilirsin. Oraya 2000 dolar ödeyecek kadar para yaz.

Sorun arıyorsanız sorun burada... 

Teşekkür ediyorum yazdıklarını harfiyen okudum. Sistemleri incelemek konusunda size hak verdim. Tabiiki virüs vs bunlara bakmak gerek. Sadece bi keresinde ghosta sormuştum virüs varmı diye bana bütün ülke kullanıyor öyle birşey yapamam demişti. Bi ara bende kullandım ghost ama bi sorun yaşamamıştım. Hatta videosunda kendisinede kuruyor . Ama tabi dediğin gibi incelemek lazım. Bilgilendirme için teşekkürler.Ama virüs olup olmadığını nasıl anlayacam onu bilmiyorum çok açıkçası : )

@Shadowscape Dünkü araştırdığım dosyayı bulabilsem bir örnek verecektim. Sadece yol olarak hatırlıyorum. C/Windows/System32 klasörü içerisinde olan bir dosyaydı. GHOST' ta da bende de C/Windows/System32 klasörü içerisindeydi. Okuduğum konu da o dosyanın C/Windows klasörü içerisinde olması gerektiği ve başka bir klasörde olduğu takdir de virüs belirtisi olduğu yazıyordu. Hatırladığım kadarıyla görev yöneticisiyle alakalıydı. Bugün mesela kurcalarken msdtc.exe dosyasına baktım. Konulardan birisinde msdtc.exe' nin virüs yediğinde C/Windows/System32 dışında bir klasöre taşındığı ve System32 dışında bir klasöre taşındığında kendisini otomatik gizlediğini yazıyor. Sistemi kurup bakmak lazım. Msdtc.exe bir şekilde etkilenmiş. Bu sadece bir örnek.

Benim ilk bakışta dikkatimi çeken şey, System32 klasörü içerisindeki sanırım ghost_tweak.exe dosyası oldu. Bunun virüsle alakalı olup olmadığını araştırmak lazım. Bunu da sadece bir örnek olarak veriyorum. Mesela geçmişte benzer bir deneyimim olmasaydı şüphelenebilirdim. Neden System32 içerisinde bu klasör de ne işi var diye düşünebilirdim. Ancak daha ram temizlemesi uygulaması olarak kullandığım ve system32 klasörü içerisine attım. Bunu da o sistem için yazdım. System32 klasörü içerisine atmış olma sebebim de ProgramFiles yada ProgramFilesx86 klasörü içerisinde bir temizlik yaparken yada elle temizlik yapılırken silinmesin, ram temizlemeye devam etsin diye atmıştım. Genel olarakta bu dosya System32 içerisine atılıyor. Başlar da da yazdığım gibi daha önce deneyimim olmasaydı ilk dikkatimi bu çekerdi. 

Daha çok virüs aramak için çalışır sistemde de bakmak lazım. Ancak bulduğum açığın şöyle bir güzelliği var. Başta verdiğim örnekte olduğu gibi konu da diyor ki, msdtc.exe x boyuttadır ve System32 dışına virüs kaynaklı çıkarıldığın da otomatik olarak kendisini gizler diyor. Siz çalışır sistem de gizlendiği için arasanız da bulamayabilirsiniz. Ancak ben bu yöntemle virüs yerleştirilip gizlense bile bu dosyanın değişikliğe uğradığını yada herhangi bir şekilde normal yollardan da çalıştırıldığını görebiliyorum. Sistemlerini kullanıyorsanız resimdeki dosyaların yollarına v.s bakabilirsiniz. Windowsun kendi exe, dll dosyalarının çoğu için okuduklarıma göre olması gereken klasör dışına çıktığında virüs olabileceği yazıyor. Win7, Win8, Win10 her biri için olması gereken klasörler belirtilmiş. Bunlara bakabilirsiniz. Ya da System32 klasörü içerisinde çalışan ghost_tweak.exe orada var mı? Gizlenmiş mi? Gizlenmişse neden gizlenmiş v.s gibi araştırma yapabilirsiniz. Mesela system32 içerisine ghost_tweak.exe attığını belirtmiş mi? Ya da sorduğunuz da yok ben system32 klasörü içerisine ghost_tweak.exe atmadım diyorsa şüphelenebilirsiniz. Çünkü net olarak orada veri var. Ve microsofta gönderilen kurulumla alakalı rapor içerisinde bu işlem gidiyor. Benim şu ana kadar gördüğüm bu verileri silemiyorsunuz. 

Kendimden de bu konuyla alakalı şunu yazabilirim. Ram temizleme görevi için https://wj32.org/wp/software/empty-standby-list/ linkindeki ram temizleme işlemi için kullandığım dosyayı system32 klasörü içerisine attım. MemReduct ekleyene kadar bu dosyayı kullandım. Kendim elle oraya attığım için bu dosya verisi çıkıyor. Ve o sistemi kuran herkesin Windows' a gidecek raporları içerisinde bu veri bulunuyor. Raporlama olarak gider gitmez bilmiyorum. Ancak bu veriler silinemiyor. Özellikle gördüğüm dışarıdan mudahale edildiğinde bu veri kesinlikle işleniyor. 

Virüs var diyebilmek için iyi araştırmak lazım. Mesela ben ilk olarak ilgimi çeken x.exe dosyalarına bakıyorum. Örnek; ghost_tweak.exe. Çünkü bu exe dosyası sistemin kendi bileşeni değil. Reg.exe bu sistemin kendi bileşeni. Mesela reg.exe GHOST çalıştırmış. Ya bir reg kaydı girmiş yada elle regedit çalıştırıp bir değişiklik yapmış. Sistemin kendi bileşeni olduğu için onları sona bırakıyorum.

Kesin olarak yazabileceğim şu var. Verdiğim iki örnekten Gizli sistemcinin hazırladığı sistem de Administrator hesabında da sonradan iso indirip format atarak oluşturduğunuz yerel yada microsoft hesabında da KMS_inject orjinal keyinizle bile kurulum yapsanız çalışır olarak geliyor. Mesela bu benim için bir sorun. Hem kendi orjinal key' im var hem de KMS kullanmak istemiyorum. Ya da KMS' nin çalışmasını istemiyorum. Hem gizli diye sistem pazarlanıp hem de bir açık olarak KMS dosyası aktif olarak çalışıyorsa düşünüp taşınıp siz karar vereceksiniz. 

GHOST' a aitte tüm verileri paylaşabilme şansım yok. Diyelim ki verdiğim örnekteki çalışmasın da Defender' sız Lite, Defender' lı Lite v.s farklı sürümler var. Her sürüm için ayrı ayrı veriler var. Ya da farklı pc' ler de hazırlanmışsa farklı IP, Mac adresleri vs. var. 

En başından beridir de bu forumdaki kavgamın nedeni bu. Kendi sisteminizi kendiniz hazırlarsanız bir çok soru işareti olmaz. Ancak bu forumda olduğu gibi birileri sizin önünüzü kesmek için gruplaşıyorsa oturup düşünmek lazım. 1-1,5 yıldır 10-15 kullanıcının aktif olduğu bir grup birşeyleri aşağı düşürüp birşeyleri yukarı çıkarıyorlar. 500 bine yakın kullanıcısı olan bir forumu 10-15 kişi parmağında oynatıyor.

Koskoca forumun tek bildiği format atmak. O da nasıl oluyor bilmiyorum. Günde 3 sistem gipgizli sistem paylaşılsa 3' üy le de format atıyorlar  Güvenlikle alakalı da endişe duyuyorsanız, kendi hazırladığınız sistem, kendi ayarlarınız en güvenlisi. En azından buna kafa yorarken çoğu dosyanın Windows' a ait olup olmadığını yada şüpheli birşeyler olup olmadığını az da olsa anlayabiliyorsunuz. 

Ghost avrupalı olduğu için sistemlerini kuran kitlenin çoğunun önemsiz kişisel işler için kullandığını düşünüyorum. Orada alıp kurumsal bir firmaya modifiye bir sistem kuracaklarına ihtimal vermiyorum. Biz de adam alıp kurumsal firmasında kullanıyor  Alıp teknik serviste kullanıyor  Siz de bu forumun formatçıları gibiyseniz korkmanıza gerek yok. Her gün pc' sine 3-5 format atan başkasına ne yapmaz  

İşin şakası bir yana oradaki listedeki dosyaları kontrol edeceksiniz. Rastgele örnek verdim. Msdtc.exe dosyası için okuduğum konu da virüs yediğiniz de yada başka bir klasöre taşındığında otomatik olarak kendisini gizler diyor. Eğer bu bilgi doğruysa ve msdtc.exe' yi bulamadıysanız görev yöneticisinde çalışıp çalışmadığı görülüyor...

Kaliteli ve güvenilir bir antivirüs bana göre şart...

Buna rağmen virüs yeme ihtimaliniz yine var...