- Katılım
- 17 Nis 2026
- Mesajlar
- 6
- Tepkime puanı
- 0
Merhaba arkadaşlar,
Bugün kendi bilgisayarımda da yaşadığım bir güvenlik olayını paylaşmak istedim. Benzer uyarıyı alanlar varsa panik yapmadan kontrol etsin diye yazıyorum.
Windows Defender sürekli şu tehditleri göstermeye başladı:
Trojan:Win32/JScealTaskExec.AA
Trojan:Win32/JScealTaskExec.AB
Trojan:Win32/JScealTaskExec.AC
Defender’da “Eylemleri başlat” dediğimde tehdit temizleniyor gibi görünüyordu ama birkaç dakika sonra tekrar aynı uyarı geliyordu. Yani sorun tek seferlik bir dosya değil, arkadan tekrar tekrar tetiklenen bir mekanizmaydı.
Biraz araştırınca olayın Görev Zamanlayıcı üzerinden döndüğünü gördüm. Bende şüpheli görev adı şuydu:
AMDAgentLatest-p3y2vc
Görev kendini AMD ile alakalı normal bir şey gibi göstermeye çalışıyor gibiydi. Fakat loglarda bu görevin schtasks.exe ve powershell.exe üzerinden işlem başlattığı görünüyordu. Özellikle şu tarz davranışlar dikkat çekiciydi:
powershell.exe
-NoProfile
-EncodedCommand
Bu yapı genelde komutun gizlenerek çalıştırıldığını gösteriyor. Yani Defender o anki işlemi yakalasa bile, Görev Zamanlayıcı’daki tetikleyici kaldığı sürece uyarı tekrar tekrar gelebiliyor.
Benim gördüğüm belirtiler:
* Windows Defender sürekli tehdit uyarısı verdi
* “Eylem başlat” denmesine rağmen uyarı yeniden geldi
* Fan yüksek çalışmaya başladı
* İnternet bağlantısında gidip gelmeler oldu
* Task Scheduler loglarında AMDAgentLatest-p3y2vc adı göründü
* PowerShell üzerinden EncodedCommand çalıştırılmaya çalışıldığı görüldü
Peki amacı?
- İnternet ve proxy ayarlarını değiştirmek
- Tarayıcı oturumlarını, çerezleri veya kayıtlı hesap bilgilerini hedeflemek
- Başka dosya veya script indirmeye çalışmak
- Görev Zamanlayıcı’ya yeni kalıcılık noktaları eklemek
- Defender’dan kaçmak veya uyarıları tekrar tekrar üretmek
- Sistemde arka planda komut çalıştırmaya devam etmek
- Bilgisayarı bot gibi dış komutlara açık hale getirmeye çalışmak
- CPU kullanımı ve fan artışıyla sistemi yormak
- Kullanıcının önemli dosyalarına veya proje klasörlerine erişmeye çalışmak
Benim sistemde ana tetikleyiciyi şu şekilde tespit ettim:
Task Scheduler loglarında:
AMDAgentLatest-p3y2vc
schtasks.exe
powershell.exe
Görev silindikten sonra Defender uyarısı kesildi. Yine de sistemi tamamen temiz kabul etmedim. Tam tarama ve Microsoft Defender Offline tarama yapılması gerekiyor.
Benzer uyarı alanlar şunlara baksın:
1. Görev Zamanlayıcı’da garip isimli görev var mı?
2. Defender geçmişinde JScealTaskExec görünüyor mu?
3. PowerShell süreçlerinde -EncodedCommand var mı?
4. Proxy ayarı kendiliğinden değişmiş mi?
5. Downloads, Temp ve AppData içinde aynı saate yakın şüpheli dosya var mı?
Kontrol için kullanılabilecek bazı aramalar:
AMDAgent
p3y2vc
JScealTaskExec
EncodedCommand
powershell.exe
schtasks.exe
AppData
Temp
Önemli not:
Ben burada kimseye rastgele komut çalıştırın demiyorum. Yanlış görev silmek Windows veya programlar için sorun çıkarabilir. Önce logları kontrol edin, neyin çalıştığını görün, emin olmadan silmeyin.
Ayrıca bu olayın benzerinin yabancı gruplarda da paylaşıldığını gördüm. Özellikle Tayland kaynaklı bazı paylaşımlarda aynı JScealTaskExec uyarısından bahsediliyordu. Bu yüzden aynı uyarıyı alanların dikkatli olmasında fayda var.
Tavsiyem:
* Önce interneti kesin
* Önemli hesaplara bu bilgisayardan giriş yapmayın
* Defender tam tarama yapın
* Microsoft Defender Offline tarama çalıştırın
* Görev Zamanlayıcı ve PowerShell loglarını kontrol edin
* Şüpheli ZIP, EXE, PS1, BAT, CMD dosyalarını çalıştırmayın
* Yedek alırken .exe, .bat, .cmd, .ps1, .vbs, .msi, .zip, .rar gibi dosyaları taşımayın
Bugün kendi bilgisayarımda da yaşadığım bir güvenlik olayını paylaşmak istedim. Benzer uyarıyı alanlar varsa panik yapmadan kontrol etsin diye yazıyorum.
Windows Defender sürekli şu tehditleri göstermeye başladı:
Trojan:Win32/JScealTaskExec.AA
Trojan:Win32/JScealTaskExec.AB
Trojan:Win32/JScealTaskExec.AC
Defender’da “Eylemleri başlat” dediğimde tehdit temizleniyor gibi görünüyordu ama birkaç dakika sonra tekrar aynı uyarı geliyordu. Yani sorun tek seferlik bir dosya değil, arkadan tekrar tekrar tetiklenen bir mekanizmaydı.
Biraz araştırınca olayın Görev Zamanlayıcı üzerinden döndüğünü gördüm. Bende şüpheli görev adı şuydu:
AMDAgentLatest-p3y2vc
Görev kendini AMD ile alakalı normal bir şey gibi göstermeye çalışıyor gibiydi. Fakat loglarda bu görevin schtasks.exe ve powershell.exe üzerinden işlem başlattığı görünüyordu. Özellikle şu tarz davranışlar dikkat çekiciydi:
powershell.exe
-NoProfile
-EncodedCommand
Bu yapı genelde komutun gizlenerek çalıştırıldığını gösteriyor. Yani Defender o anki işlemi yakalasa bile, Görev Zamanlayıcı’daki tetikleyici kaldığı sürece uyarı tekrar tekrar gelebiliyor.
Benim gördüğüm belirtiler:
* Windows Defender sürekli tehdit uyarısı verdi
* “Eylem başlat” denmesine rağmen uyarı yeniden geldi
* Fan yüksek çalışmaya başladı
* İnternet bağlantısında gidip gelmeler oldu
* Task Scheduler loglarında AMDAgentLatest-p3y2vc adı göründü
* PowerShell üzerinden EncodedCommand çalıştırılmaya çalışıldığı görüldü
Peki amacı?
- İnternet ve proxy ayarlarını değiştirmek
- Tarayıcı oturumlarını, çerezleri veya kayıtlı hesap bilgilerini hedeflemek
- Başka dosya veya script indirmeye çalışmak
- Görev Zamanlayıcı’ya yeni kalıcılık noktaları eklemek
- Defender’dan kaçmak veya uyarıları tekrar tekrar üretmek
- Sistemde arka planda komut çalıştırmaya devam etmek
- Bilgisayarı bot gibi dış komutlara açık hale getirmeye çalışmak
- CPU kullanımı ve fan artışıyla sistemi yormak
- Kullanıcının önemli dosyalarına veya proje klasörlerine erişmeye çalışmak
Benim sistemde ana tetikleyiciyi şu şekilde tespit ettim:
Task Scheduler loglarında:
AMDAgentLatest-p3y2vc
schtasks.exe
powershell.exe
Görev silindikten sonra Defender uyarısı kesildi. Yine de sistemi tamamen temiz kabul etmedim. Tam tarama ve Microsoft Defender Offline tarama yapılması gerekiyor.
Benzer uyarı alanlar şunlara baksın:
1. Görev Zamanlayıcı’da garip isimli görev var mı?
2. Defender geçmişinde JScealTaskExec görünüyor mu?
3. PowerShell süreçlerinde -EncodedCommand var mı?
4. Proxy ayarı kendiliğinden değişmiş mi?
5. Downloads, Temp ve AppData içinde aynı saate yakın şüpheli dosya var mı?
Kontrol için kullanılabilecek bazı aramalar:
AMDAgent
p3y2vc
JScealTaskExec
EncodedCommand
powershell.exe
schtasks.exe
AppData
Temp
Önemli not:
Ben burada kimseye rastgele komut çalıştırın demiyorum. Yanlış görev silmek Windows veya programlar için sorun çıkarabilir. Önce logları kontrol edin, neyin çalıştığını görün, emin olmadan silmeyin.
Ayrıca bu olayın benzerinin yabancı gruplarda da paylaşıldığını gördüm. Özellikle Tayland kaynaklı bazı paylaşımlarda aynı JScealTaskExec uyarısından bahsediliyordu. Bu yüzden aynı uyarıyı alanların dikkatli olmasında fayda var.
Tavsiyem:
* Önce interneti kesin
* Önemli hesaplara bu bilgisayardan giriş yapmayın
* Defender tam tarama yapın
* Microsoft Defender Offline tarama çalıştırın
* Görev Zamanlayıcı ve PowerShell loglarını kontrol edin
* Şüpheli ZIP, EXE, PS1, BAT, CMD dosyalarını çalıştırmayın
* Yedek alırken .exe, .bat, .cmd, .ps1, .vbs, .msi, .zip, .rar gibi dosyaları taşımayın