Hocam ben de bir oyunu oynarken yaşıyordum bilgisayarım her mavi ekran verdiğinde C:\ sürücüsüne (gizli ve sistem tarafından korunan dosya) olarak ismi "task" ile başlayan garip uygulamalar geliyordu ve ek olarak "hizmetler" bölümünde de hizmetleri vardı.
Bir de merakıma yenik düşüp C:\ sürücüsündeki gizli dosyanın içindeki o "task" ismiyle başlayan rastgele uygulamayı açtığımda.
Komut istemi penceresinde bunlar yazdı:
info: Microsoft.Hosting.Lifetime[0]
Application started. Press Ctrl+C to shut down.
info: Microsoft.Hosting.Lifetime[0]
Hosting environment: Production.
info: Microsoft.Hosting.Lifetime[0]
Content root path: C:\Windows\system32
Ek olarak bu klasörün içindeki uygulamanın VirusTotal raporu
VirusTotal
CMD ile sc delete "hizmet adı" yaparak sildim ve dosyayı da kökten sildim onun dışında sizin dediğiniz konuma da baktım.
Bende 3 tane var bunlardan hepsini sildim. Ne olup olmadıklarını bilmiyorum ancak benimle benzer sorunu yaşayan biri olmasına sevindim (çözüm bulmak adına teori yürütmek için) şimdi bilgisayarımı yeniden başlatacağım bakalım aynı konumda bende de gelecek mi (bilgisayarımda antivirus yok bu arada)
Bilgisayarımı yeniden başlattım ve Yiğit arkadaşımızın bahsettiği dizindeki klasörlerin geri yüklenmediğini gördüm umarım temizlenmiştir.
Sanırım bu yazılım locallow klasöründe Microsoft klasörünün içinde crpneturlcache adlı bir klasörü de kullanıyor.
Parolalarınızın bu virusten kaynaklı çalındığını mı düşünüyorsunuz.
Bu "task" adıyla başlayan rastgele isimli uygulamanın iletişim kurduğu komut dosyalarına manuel olarak erişim 403 koduyla reddediliyor.
Biraz inceleme yaptım ve yüksek ihtimalle bunun "stealer" virüsü ya da "Bitcoin miner" virüsü olduğunu düşünüyorum umarım yanılıyorumdur.
Düşüncemin nedeni C dizininde gizli sistem dosyası olarak bırakılan şüpheli uygulamanın yukarıdaki VirusTotal linkinde bıraktığım grafik bölümünü incelemem sonucu bir domaine bağlandığını fark ettim ve ismi rastgele "task" ile başlayan uygulamalar AVG ile trojanx olarak tanınmış, ismi "rayagi Valorant VP hack, Minecraft olta makrosu hilesi, Hile.exe, Zula hile" gibi isim taşıyan uygulamalar ise AVG ile crpyterx olarak tanınmış trojanx hakkında bir fikrim yok ancak Crypterx olarak tanımlananlar stealer virüsleri oluyor.
Bu task ismiyle başlayan uygulamaların isimleri (bulduklarım) sırasıyla şöyle.
taskloglca.exe = bu uygulama yürütme ebeveyni olarak bağlanmıyor diğer tüm virüslerin iletişime geçtiği domain, IP, iletişim dosyaları ve URL'ler ile iletişime geçiyor.
tasketcaom.exe = bu uygulama bir yürütme ebeveyni olarak Crypterx olarak tanımlanan uygulamayı açıyor yani stealer.
taskwinvty.exe = bu uygulama yürütme ebeveyni olarak csgohack.exe adlı uygulamayı açıyor ve Crypterx yani stealer.
taskdrvnrv.exe = bu uygulama sqlsrvs.exe ile bağlanıyor trojanx olarak tanınmış.
taskdrvcnh.exe = bu uygulama yürütme ebeveyni olarak bağlanmıyor diğer tüm virüslerin iletişime geçtiği domain, IP, iletişim dosyaları ve URL'ler ile iletişime geçiyor.
Ek olarak burada gördüğünüz tüm "task" ismiyle başlayan dosyalar hepsi ortak bileşenlere bağlanıyor, ortak dosyalarla iletişime geçiyorlar yani bunlardan birinin zararlı olması tüm bunların zararlı olduğunu göstermeye yetiyor.
Bu uygulamaların hepsi "bossdata.pro/ws" adlı domain ile
https://gist.githubusercontent.com/viewerboss/23497da5f0dbbb90f1fb227e8228050e/raw/con.txt attığım linkteki GitHub gistindeki con.txt dosyasını kullanarak iletişime geçiyorlar, sanırım bu tür konularda daha dikkatli olmak gerekiyor, hiçbir yazılımcı, bilgisayar korsanı babasının hayrına crackli yazılım ya da hile gibi çeşitli yazılımları vermez bu tür konularda dikkat etmekte fayda var.
Bu arada trojanx hakkında ekleme yapayım. Ransomware yani fidye yazılımı olabilirmiş o da stealer gibi kimlik AVI vs yapıyor yani PC'ye format atıp tüm şifreleri her şeyi değiştirmekte fayda var.
