Windows Kendini Durmadan Kapatıyordu: Meğerse KMSPico!

Bu yazıda, bilinçsiz bir kullanıcı tarafından KMSpico zararlısı ile etkinleştirilmiş, fakat sonradan internet bağlantısı kesildiğin de sürekli yeniden başlayan windows 10 bilgisayarı 0xc002036 etkinleştirme hatası üzerinden yola çıkarak nasıl kurtardım adım adım açıklayacağım. Ayrıca KMSPico zararlısı’nın”WindowsService.exe” adlı sahte bir Windows servisi tarafından sistemin dakikada onlarca kez cmd.exe /c shutdown -f -r -t 0 komutuyla zorla yeniden başlatılmasına neden olan ciddi bir zararlıyı nasıl tespit edip temizlediğimi anlatacağım. Eğer siz de internetsiz kaldığınızda bilgisayarınız kendiliğinden yeniden başlıyorsa, benzer bir zararlı bulaşmış olabilir.

Belirti: Bilgisayarın Kendi Kendine Yeniden Başlaması

• İnternet bağlantısı kesilince sistem hemen “Restarting…” deyip kapanıyor.
• shutdown.exe‘yi yeniden adlandırınca sistem kapanmasa da, her dakika 40+ kez cmd.exe üzerinden kapatma komutu gönderildiği Procmon ile tespit edildi.
• Event Viewer‘da tekrar eden Event ID 1074 kayıtlarında shutdown.exe komutunun NT AUTHORITY\SYSTEM kullanıcı adına çalıştığı görülüyor.

Teşhis Araçları

• Process Monitor (Procmon): cmd.exe ve shutdown.exe çağrılarını gerçek zamanlı takip ettim.
• Process Explorer: shutdown.exe‘yi başlatan işlemin PID 4064 olduğunu tespit ettim.
• Parent PID: 4064 işleminin services.exe (PID 760) tarafından başlatıldığını gördüm.
• Autoruns: Sistem başlangıcında çalışan kayıtları taradım.

Zararlının Yapısı

• Ana dosya: C:\Windows\WindowsService.exe
• Servis adı: Microsoft Ethernet Connection
• Kayıt defteri: HKLM\SYSTEM\CurrentControlSet\Services\Microsoft Ethernet Connection
• Ağ bağlantısı: dem-redundant.emailhimss.com adresine port 80 (HTTP) üzerinden uzaktan bağlantı kuruyor.

Temizlik Adımları

1. shutdown.exe‘yi devre dışı bırak

rename C:\Windows\System32\shutdown.exe shutdown.bak

Bu sayede sistem kapanmaya çalışsa da işlem gerçekleşmiyor.

2. Zararlı işlemi durdur

• Process Explorer ile PID 4064’ü sağ tıklayıp Kill Process Tree komutunu uyguladım.

3. Zararlı servisi sil

sc stop "Microsoft Ethernet Connection"
sc delete "Microsoft Ethernet Connection"

Veya regedit ile:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Microsoft Ethernet Connection

Bu anahtarı sağ tıklayıp sildim.

4. Zararlı dosyayı sil

del /f /q C:\Windows\WindowsService.exe

Eğer dosya kilitliyse, Güvenli Mod‘da bu işlemi gerçekleştirdim.

5. InstallLog ve InstallState dosyalarını temizle

del /f /q C:\Windows\WindowsService.InstallLog

del /f /q C:\Windows\WindowsService.InstallState

Bunlar servisin daha önce installutil.exe ile yüklendiğine dair log ve state dosyaları.

6. Autoruns ile kontrol

• Services, Logon, Scheduled Tasks, Drivers sekmelerinde WindowsService.exe içeren kayıtları kaldırdım.

7. Regedit Taraması

Son bir defa, başka yerde kalıntısı varmı kontrol etmek için kayıt defterinde “Microsoft Ethernet Connection” araması yaptım ve bulunan sonuçları sildim

8. Sistem taraması

• Malwarebytes ile tam sistem taraması yaptım.
• Defender Offline Scan ile olası rootkit veya kalıntıları kontrol ettim.

Son Adımlar

• shutdown.bak dosyasını geri eski haline getirdim:

rename C:\Windows\System32\shutdown.bak shutdown.exe

• Sorun tekrarlanmadı, sistem normal çalışıyor.

Sonuç ve Tavsiye

Bu zararlı, sıradan bir kullanıcıdan ziyade sistem yöneticilerini bile zorlayacak kadar iyi gizlenmiş bir servis şeklinde çalışıyor. Özellikle KMS benzeri araçların kalıntıları varsa bu tarz zararlılar ortaya çıkabiliyor. Tavsiyem, sistemde asla yetkisiz aktivasyon aracı bulundurmamak ve şüpheli dosyaların servise dönüşmesini engellemek için her zaman dijital imzaları kontrol etmektir.

Umarım bu rehber sizin de aynı sorunu çözmenize yardımcı olur. Sorularınızı yorumlarda paylaşabilirsiniz.