Malware Temizleme Raporu

Operasyon Adı: Malicious Content Durdurma, Temizleme ve Hesap Kurtarma

Başlangıç

Merhaba, öncelikle şunu netleştireyim; yaptıklarım tamamen gönüllü ve ücretsiz. İnsanlara yardım etmek amacıyla malware temizleme sürecini başlattım. Bu rapor uzun ve detaylı olacak; amacım yapılan her adımı mümkün olduğunca açık ve anlaşılır şekilde aktarmak. Hadi başlayalım.

Operasyonun Başlangıcı

Saat 11 civarında gelen bir mesajla bu operasyon başladı. İsmini vermek istemediğim bir kişinin Microsoft hesabı ele geçirilmişti. Hesabına durmadan saldırılar yapılıyordu. Hesabı geri almasına rağmen saldırgan yeni yöntemler bularak 6000 TL'ye yakın zarar çıkarmıştı. Ayrıca saldırgan başka hesaplara da sızmaya çalışıyordu.

Kişiye hesap güvenliği için birkaç öneri sundum. Denemiş ama saldırı devam etmiş. Durumu derinlemesine araştırmaya karar verdim.

İlk İzlenimler & Tehdit Kaynağı

Kişinin evde kardeşi var ve bilgisayarı kullanıyor, ancak bilgisayar hakkında fazla bilgisi yok. İnceleme sırasında bilgisayarda crackli oyunlar ve yazılımlar gördük. İlk şüphe bu yöndeydi ama kesin sebep değildi.

Öncelikle Malwarebytes Premium ile tam tarama yaptık. Tarama sonucunda saldırganın registry üzerinden kalıcılık sağladığını gördük, yani sistemde aktif bir tehdit vardı.

Tehdit türü: Trojan.compromised Extension — görünüşte meşru bir tarayıcı eklentisinin (Chrome veya Edge) kötü amaçlı hale gelmesiyle ortaya çıkan Trojan. Saldırgan, bir Google uzantısı üzerinden sisteme sızıyordu. Google Chrome’da sorun yoktu, ancak Microsoft Edge’de Malwarebytes uzantıların web sitelerini bile engelleyememeye başlamıştı.

Detaylı İnceleme & İkinci Taramalar

Malwarebytes’tan sonra ESET Online Scanner ile tarama yaptık. Bu tarama 12 yeni tehdit buldu, toplamda 52 farklı tehdit vardı. İlginçtir ki zararlı, çok hızlı yayılıyordu ve normalin çok üstünde bulaşma gücüne sahipti.

Burada klasik senaryo işliyordu:

Meşru bir uzantı (örneğin Color Picker, YouTube hız kontrolü)
Bir güncelleme ile içine kötü amaçlı kod enjekte edilmesi
Kullanıcının fark etmeden güncellemenin yüklenmesi
Uzantının her web sayfası ziyaretiyle veri toplaması, komut merkezine veri göndermesi, phishing tuzakları kurması, reklam dolandırıcılığı yapması veya arama sonuçlarını ele geçirmesi.

Bu zararlı otomatik tekrar yüklenebiliyor; uzantı silinse bile görev zamanlayıcı ve registry ayarlarıyla kalıcı hale geliyor.

Kaldırma Stratejisi

Uzantıyı silmek yetmiyor; şunlar yapılmalı:

Uzantıyı tarayıcıdan kaldırmak
Windows Görev Zamanlayıcı’da şüpheli görevleri temizlemek (özellikle sistem32’den PowerShell script çalıştıranlar)
Registry anahtarlarını temizlemek:

HKLM\SOFTWARE\Policies\Google\Chrome\ExtensionInstallForcelist  
HKLM\SOFTWARE\WOW6432Node\Policies\Google\Chrome\ExtensionInstallForcelist  
HKLM\SOFTWARE\Policies\Microsoft\Edge\ExtensionInstallForcelist

Bu, uzantının yeniden kurulmasını engeller.

Sonraki Adımlar & Kaspersky Taraması

En son Kaspersky anti-virüs kurduk ve tarama yaptık. Çok sayıda aktif ve pasif tehdit tespit etti. Bazıları silinememişti, bu da işimizi zorlaştırdı.

Öne çıkan tehdit:
Trojan-Spy.Win32.Agent.kfph — Kaspersky ve Microsoft tarafından casus yazılım olarak sınıflandırılan bir trojan.

Ne yapıyor?

Klavye girdilerini kaydediyor
Ekran görüntüsü alıyor
Açık uygulamaları listeliyor
Topladığı verileri e-posta, HTTP, FTP üzerinden saldırgana gönderiyor
Ek zararlılar indirebiliyor, güncelleyebiliyor
Kayıt defterine ekleme yaparak başlangıçta çalışmayı garanti ediyor

Bu familya davranışsal olarak çok esnek ve tehlikeli.

Yeni Tehditler & UDS:DangerousObjectMulti.Generic

Bulut tabanlı algılama sistemi Kaspersky’nin hızlı tanımladığı potansiyel tehlike: UDS:DangerousObjectMulti.Generic
Spesifik değil, ancak davranışsal olarak şüpheli. Bu, tam bir virüs değil; ancak sistemde risk taşıyan bir malware olarak değerlendirildi.

Manuel Temizleme

Bazı tehditler Kaspersky tarafından bile silinemediği için ağır manuel temizleme adımları uygulandı. İşte örnek PowerShell scriptimiz:

UYARI: Bu PowerShell komutları bu kişiye özel olarak hazırlanmıştır. Genel kullanım için uygun değildir. Kendi sisteminizde kullanmadan önce dikkatlice inceleyin.


Write-Host "Tehdit durduruluyor..."

# 1. Prosesleri durdur
try {
    Get-Process | Where-Object { $_.ProcessName -like "*agent*" -or $_.ProcessName -like "*EaseUS*" } | Stop-Process -Force -ErrorAction SilentlyContinue
    Write-Host "Tehdit prosesi durduruldu."
} catch {
    Write-Host "Proses bulunamadı veya zaten çalışmıyor."
}

# 2. Dosya yolunu tanımla
$Path = "$env:USERPROFILE\Downloads\a.zip"
$Encrypted = "$env:USERPROFILE\Downloads\a.remove"

# 3. Eğer dosya varsa şifrele ve .remove uzantısı ile kaydet
if (Test-Path $Path) {
    try {
        $Key = (1..32)
        $IV = (1..16)
        $AES = [System.Security.Cryptography.Aes]::Create()
        $AES.Key = $Key
        $AES.IV = $IV
        $Encryptor = $AES.CreateEncryptor()

        $In = [System.IO.File]::OpenRead($Path)
        $Out = [System.IO.File]::Create($Encrypted)
        $Crypto = New-Object System.Security.Cryptography.CryptoStream($Out,$Encryptor,"Write")
        $In.CopyTo($Crypto)
        $Crypto.Close(); $In.Close(); $Out.Close()

        Write-Host "Dosya şifrelendi ve uzantısı değiştirildi (.remove)."
    } catch {
        Write-Host "Şifreleme sırasında hata oluştu: $_"
    }

    # 4. Orijinal dosyayı sil
    try {
        Remove-Item -Path $Path -Force
        Write-Host "Tehdit siliniyor..."
        Start-Sleep -Seconds 2
        if (-Not (Test-Path $Path)) {
            Write-Host "✅ Tehdit başarıyla silindi."
        } else {
            Write-Host "⚠️ Tehdit silinmedi, manuel kontrol gerekli."
        }
    } catch {
        Write-Host "Dosya silinemedi: $_"
    }
} else {
    Write-Host "Dosya bulunamadı: $Path"
}

Virüslü prosesi öldür

Dosyayı şifrele ve .remove uzantısına çevir
Virüslü prosesi öldür

Dosyayı şifrele ve .remove uzantısına çevir

Orijinali sil

Her adımda kullanıcıya mesaj ver → “tehdit durduruluyor…”, “tehdit silindi…” vs.


yeni tehtit içinde aynısını uyguladık çünkü silemedi 

serevsiz.zip içindeki tüm EXE dosyalarını bul

Onların çalışıyorsa proseslerini durdur

Hangi prosesleri durdurduğunu kullanıcıya bildir

EXE dosyalarını şifrele

Son olarak serevsiz.zip dosyasını da şifrele, uzantısını değiştir (.remove gibi)

Her adımda durum mesajı ver (silindi, siliniyor, şifreleniyor vs.)

En sonda arşivi sil

Add-Type -AssemblyName System.IO.Compression.FileSystem

$ZipPath = "$env:USERPROFILE\Downloads\serevsiz.zip"
$TempDir = "$env:TEMP\serevsiz_temp"
$EncryptedZip = "$env:USERPROFILE\Downloads\serevsiz.remove"

Write-Host "Tehdit silme işlemi başladı..."

# 1. ZIP'i geçici dizine aç
if (Test-Path $TempDir) { Remove-Item $TempDir -Recurse -Force }
New-Item -ItemType Directory -Path $TempDir | Out-Null

try {
    [System.IO.Compression.ZipFile]::ExtractToDirectory($ZipPath, $TempDir)
    Write-Host "ZIP başarıyla açıldı."
} catch {
    Write-Host "ZIP açılamadı: $_"
    exit
}

# 2. EXE dosyalarını bul
$ExeFiles = Get-ChildItem -Path $TempDir -Recurse -Include *.exe
if ($ExeFiles.Count -eq 0) {
    Write-Host "⚠️ ZIP içinde exe dosyası bulunamadı."
} else {
    Write-Host "$($ExeFiles.Count) adet exe dosyası bulundu."

Son Durum ve Öneriler

Malwarebytes ile rootkit taraması yapıldı, artık sistem temiz görünüyor.
Gereksiz dosyalar kaldırıldı, tehditler bertaraf edildi.
Microsoft forumundan yardım alındı, saldırganın hala erişim ihtimali değerlendirildi ve bağlantılar engellendi.
Hesaplarda güçlü şifre, iki aşamalı doğrulama aktif edildi.
Crackli yazılım kullanımının ve bilinmeyen kaynaklardan eklenti indirilmesinin çok büyük risk olduğu tekrar hatırlatıldı.

Sonuç

Bu operasyon hem teknik hem sosyal bir müdahaleydi. Hesabın ele geçirilmesinin arkasında sistemde gizlenen kalıcı malware, tarayıcı uzantısı aracılığıyla sızma ve casus yazılım vardı. Bunlar başarılı bir şekilde tespit edildi, engellendi ve temizlendi.

Ancak saldırgan hala hesaba erişmeye çalıştığı için hesap güvenliği üst düzeyde tutulmalı, cihazların düzenli taraması ve güncellemeleri ihmal edilmemeli.