Bu yazıda, bilinçsiz bir kullanıcı tarafından KMSpico zararlısı ile etkinleştirilmiş, fakat sonradan internet bağlantısı kesildiğin de sürekli yeniden başlayan windows 10 bilgisayarı 0xc002036 etkinleştirme hatası üzerinden yola çıkarak nasıl kurtardım adım adım açıklayacağım. Ayrıca KMSPico zararlısı’nın”WindowsService.exe” adlı sahte bir Windows servisi tarafından sistemin dakikada onlarca kez cmd.exe /c shutdown -f -r -t 0 komutuyla zorla yeniden başlatılmasına neden olan ciddi bir zararlıyı nasıl tespit edip temizlediğimi anlatacağım. Eğer siz de internetsiz kaldığınızda bilgisayarınız kendiliğinden yeniden başlıyorsa, benzer bir zararlı bulaşmış olabilir.
Belirti: Bilgisayarın Kendi Kendine Yeniden Başlaması
- İnternet bağlantısı kesilince sistem hemen “Restarting…” deyip kapanıyor.
shutdown.exe‘yi yeniden adlandırınca sistem kapanmasa da, her dakika 40+ kezcmd.exeüzerinden kapatma komutu gönderildiği Procmon ile tespit edildi.Event Viewer‘da tekrar edenEvent ID 1074kayıtlarındashutdown.exekomutununNT AUTHORITY\SYSTEMkullanıcı adına çalıştığı görülüyor.
Teşhis Araçları
- Process Monitor (Procmon):
cmd.exeveshutdown.exeçağrılarını gerçek zamanlı takip ettim. - Process Explorer:
shutdown.exe‘yi başlatan işleminPID 4064olduğunu tespit ettim. - Parent PID: 4064 işleminin
services.exe(PID 760) tarafından başlatıldığını gördüm. - Autoruns: Sistem başlangıcında çalışan kayıtları taradım.
Zararlının Yapısı
- Ana dosya:
C:\Windows\WindowsService.exe - Servis adı:
Microsoft Ethernet Connection - Kayıt defteri:
HKLM\SYSTEM\CurrentControlSet\Services\Microsoft Ethernet Connection - Ağ bağlantısı:
dem-redundant.emailhimss.comadresine port 80 (HTTP) üzerinden uzaktan bağlantı kuruyor.
Temizlik Adımları
1. shutdown.exe‘yi devre dışı bırak
rename C:\Windows\System32\shutdown.exe shutdown.bakBu sayede sistem kapanmaya çalışsa da işlem gerçekleşmiyor.
2. Zararlı işlemi durdur
Process Explorerile PID 4064’ü sağ tıklayıp Kill Process Tree komutunu uyguladım.
3. Zararlı servisi sil
sc stop "Microsoft Ethernet Connection"
sc delete "Microsoft Ethernet Connection"Veya regedit ile:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Microsoft Ethernet ConnectionBu anahtarı sağ tıklayıp sildim.
4. Zararlı dosyayı sil
del /f /q C:\Windows\WindowsService.exeEğer dosya kilitliyse, Güvenli Mod‘da bu işlemi gerçekleştirdim.
5. InstallLog ve InstallState dosyalarını temizle
del /f /q C:\Windows\WindowsService.InstallLog
del /f /q C:\Windows\WindowsService.InstallStateBunlar servisin daha önce installutil.exe ile yüklendiğine dair log ve state dosyaları.
6. Autoruns ile kontrol
Services,Logon,Scheduled Tasks,DriverssekmelerindeWindowsService.exeiçeren kayıtları kaldırdım.
7. Regedit Taraması
Son bir defa, başka yerde kalıntısı varmı kontrol etmek için kayıt defterinde “Microsoft Ethernet Connection” araması yaptım ve bulunan sonuçları sildim
8. Sistem taraması
- Malwarebytes ile tam sistem taraması yaptım.
- Defender Offline Scan ile olası rootkit veya kalıntıları kontrol ettim.
Son Adımlar
shutdown.bakdosyasını geri eski haline getirdim:
rename C:\Windows\System32\shutdown.bak shutdown.exe- Sorun tekrarlanmadı, sistem normal çalışıyor.
Sonuç ve Tavsiye
Bu zararlı, sıradan bir kullanıcıdan ziyade sistem yöneticilerini bile zorlayacak kadar iyi gizlenmiş bir servis şeklinde çalışıyor. Özellikle KMS benzeri araçların kalıntıları varsa bu tarz zararlılar ortaya çıkabiliyor. Tavsiyem, sistemde asla yetkisiz aktivasyon aracı bulundurmamak ve şüpheli dosyaların servise dönüşmesini engellemek için her zaman dijital imzaları kontrol etmektir.
Umarım bu rehber sizin de aynı sorunu çözmenize yardımcı olur. Sorularınızı yorumlarda paylaşabilirsiniz.
