Anasayfa » Forum

Win32/Nosrawec.A Ko...
 

Win32/Nosrawec.A Konusunda Yardım.  

  RSS
Cihan Uralkaya
(@CihanUralkaya)
Üye

Merhabalar,

Bilgisayar sistemine forticlient, kaspersky olmasına karşın bulaşan Win32/Nosrawec.A son anda fark ettim ve biraz geç oldu. Sisteme bulaşan key logger ''C:\Documents and Settings\Administrator\Local Settings\Application Data''dizinine logları kayıt altında tutmuş ve Aimp2.exe,usnsvc.exe dosyalarını oluşturmuştu. Regedit'i kontraol ettim ''HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\. satırında C:\Documents and Settings\Administrator\Local Settings\Application Data Usnsvc.exe'' /background bir girdi mevcut.

Loglarda bütün klavye vuruşlarım mevcut. C:\system volume information\_restore içerisinde de mevcut bir dosya var  1.1.1.1den  dos generic synflood

 her yaklaşık olarak 10 dakikada bir geliyor. Ve Microsoft Essential ile tarattığımda pid 1519 diye bir ibare çıkıyor.

C:\ kontrol ettim  xxx.bat ve içeriğinde shutdown -r mevcut

Fortigate 80c Mevcut loglarımı upload ettiği ip adresini bulabilirmiyim ?

Gerekli yasal işlemleri başlatmak için neler yapmam gerekli. Bu konuda yardımcı olursanız sevinirim.

 

Alıntı
Gönderildi : 06/12/2011 02:07
yetiş başkal
(@yetisbaskal)
Üye

En kolay çözüm, tüm admin ve modem şifrelerini değiştir. (network bağlantısı yokken! ama sistemi kullanmaya ihtiyacın var ise şifreleri yeniden girmemek kaydı ile network aktif edebilirsin) Sisteme dokunmadan / format atmadan / sistem geri yükleme yapmadan önce savcılık ile görüşüp bilirkişi incelemesi yaptır herhangi bir delil kaybına uğrama.

Keylogger aynı pedofili gibi işleme konulur. Savcılık suç teşkil eden bilginin kodunu çözmek için bilişim suçlarından gelen uzmanlar aracılığı ile işlemini yapar. Makinanın hızlı bir şekilde imajı alınır, serileri kaydedilir. Bundan sonrası beklemek. Benim yaşadığım sıkıntı 21 iş gününde sonuçlanmış, 2 celsede iş bitmişti.

CevapAlıntı
Gönderildi : 06/12/2011 02:28
Cihan Uralkaya
(@CihanUralkaya)
Üye

İşin kötü tarafı MS Essential, Win32/Nosrawec.A ait belirttiğim bi çok kaydı direk sildi. Bende bu yüzden ortaya delil niteliği taşıyacak birşeyler koymak ortaya koymak istiyorum.[:^)]

CevapAlıntı
Gönderildi : 06/12/2011 13:18
yetiş başkal
(@yetisbaskal)
Üye

Karantina klaörünü araştırmışsındır mutlaka,

Ancak, silmende önemli değil aslında. O kadar sıkıntı değil. Sadece tespit işlemi uzun sürer. Öyle yazılımlar ve cihazlar ile işlem yapılıyor ki, üzerine veri yazılmış olan sektörün, defalarca formattan geçmiş diskin neredeyse fabrika çıkış haline dönecek kadar eski dönemine gidebiliyorlar. Sonuçta bunlar maaliyet unutma. Bu tür çalışmaların masrafı / cezası ya sana ya karşı tarafa kesilir. Aynen avukat masraflarını ceza alanın ödemesi gibi.

Hukuk ve bekleme sürecini göze alabiliyor isen iyice araştır ve uygula.

CevapAlıntı
Gönderildi : 06/12/2011 15:18
Paylaş:

Lütfen Giriş yap yada Kayıt ol