Forum
Bildirimler
Hepsini Temizle
Güvenlik Genel
14
Yazılar
7
Üyeler
0
Likes
515
Görüntüleme
Konu başlatıcı
sistemimde 500 e yakın client var. Ve 100e yakın kullanıcımda,oturum açtığımda anında oturum kapanıyor ve domain admin user ile login oluyror.
w32Morte virusu olduğunu düşündün Sistemde SymantecEndPoint P<Rotecttion kullanıyoruz. Önerilerinizi rica ediyorum.
Gönderildi : 10/07/2012 13:51
kullanıcı logon olduğunda çalışan bir program/batch vs. bu duruma sebep oluyor olabilir
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
registry de bu keylerin altındakileri kontrol edin derim
Gönderildi : 10/07/2012 13:57
Merhaba
100 e yakın kullanıcınızda aynı problemin olmasa hiç iyi bir durum değil Symantec loglarına baktınız mı? Bir makinede Norton Bootable Recovery Tool ile sistemi taramanızı öneririm http://security.symantec.com/nbrt/overview.aspx?
veya ücretsiz Avira Rescue System ile full scan yapabilirsiniz http://www.avira.com/en/download/product/avira-antivir-rescue-system
Gönderildi : 10/07/2012 14:03
Konu başlatıcı
Merhaba
100 e yakın kullanıcınızda aynı problemin olmasa hiç iyi bir durum değil Symantec loglarına baktınız mı? Bir makinede Norton Bootable Recovery Tool ile sistemi taramanızı öneririm http://security.symantec.com/nbrt/overview.aspx?
veya ücretsiz Avira Rescue System ile full scan yapabilirsiniz http://www.avira.com/en/download/product/avira-antivir-rescue-system
Norton Power Eraser Sorunu Çözemedi. Açıkçası çok sıkıştık. 32 saattirde uykusuzuz.
Gönderildi : 10/07/2012 14:17
Bir makınede Gmer çalıştırın ozaman bakalım rootkit var mı makinede
http://www.gmer.net/ logları bizimle paylaşırmısnız bitince
Gönderildi : 10/07/2012 14:22
Ali Bey,
Ayni problem bende'de var!!! Bulasan virus Win32/Serpip.A henuz temizleyemedim. Temizlersem bilgi veririm.
Iyi Calismalar
Gönderildi : 10/07/2012 21:01
Ali Bey,
Ayni problem bende'de var!!! Bulasan virus Win32/Serpip.A henuz temizleyemedim. Temizlersem bilgi veririm.ali bey olayı çözdünüz mü acaba ? benim serverlarda da bol miktarda o virüsten mevcut.Nette araştırdım bişiler ama saçma sapan şeyler çıkıyor. esed le de temizlemiyor. çözüm bulursanız yazarsanız sevinirim.
Iyi Calismalar
Gönderildi : 11/07/2012 01:09
Ali Bey,
Ayni problem bende'de var!!! Bulasan virus Win32/Serpip.A henuz temizleyemedim. Temizlersem bilgi veririm.ali bey olayı çözdünüz mü acaba ? benim serverlarda da bol miktarda o virüsten mevcut.Nette araştırdım bişiler ama saçma sapan şeyler çıkıyor. esed le de temizlemiyor. çözüm bulursanız yazarsanız sevinirim.
Iyi Calismalar
Gönderildi : 11/07/2012 01:13
Merhaba,
Bu virüsle ilgili elimizdeki örnekleri ESET e gönderdik. ESET son güncelleme 7287 ile bu virüs bulaşan exeleri temizleyebiliyor (Örnekler üzerinde denedim). Aşağıdaki linkte en güncel update olan recovery CD mizi upload ettim. Deneyip bilgi verirseniz seviniriz.
http://dosyalar.stratus.com.tr/winpe.iso
Kolay gelsin
Gönderildi : 11/07/2012 01:57
Merhaba
Virüs ile ilgili dosyayı https://www.virustotal.com/ analiz ettiniz mi? kaç tane vendor buluyor bütün vendorlarda ismi değişiktir
Henuz database eklememiş olan vendor varsa onlarada gonderelım önemli bir virüs gibi duruyor arkadaşlar
Gönderildi : 11/07/2012 12:23
Merhaba,
Dün aldığım örneklerin VT sonuçlarının linki aşağıda. Buna göre VT deki vendorların yarısı kadarı buluyor ama önemli bir kısmı jenerik olarak tespit ediyor. Bu nedenle böyle tespit eden Vendor ların büyük ihtimalle virüslü exe leri temizleme rutinleri eksik olabilir.
Gönderildi : 11/07/2012 16:39
Merhaba
exe halinde çalışıyorsa servisi vardır ve servis durduramadığı için silinemiyor olabilir
Bilgisayarı güvenli modda başlatıp taramakta fayda var veya Vendorların kurtarma cdleri ile sistemi scan edilebilir silmek için
Gönderildi : 11/07/2012 16:57
Merhaba,
Sanrım yanlış anlaşıldı. Virüs exe olarak çalışmıyor, exe leri enfekte edebiliyor yani file infector özelliği taşıyor. Bunun dışında pek çok farklı özelliği var. Şu an incelememiz devam ediyor. Analiz belirli bir aşamaya gelince bir analizi paylaşmaya çalışacağım.
İlgili exe'nin VT sonucunu ise sorun yaşayan arkadaşların vendorların hangi ismlerle bulduğu konusunda bilgi sahibi olmaları için paylaştım.
Burada bu bilgileri paylaşmamın amacı, şu anda çok iyi kodlanmış, çok geniş bir saldırı vektörü olan (MS'in bir RDP üzerinden kod çalıştırma açığını kullanıyor) bir zararlıyla karşı karşıyayı olmamız ve edinilen bilgilerin belirli bir noktada paylaşılmasını sağlamak amaçlıdır.
Teşekkürler,
Erkan
Gönderildi : 11/07/2012 19:21
Selam,
Antivirüs'ünü güncellerseniz probleminiz düzelecektir. Morto virüs'ünü bulan symantec'dir.
Gönderildi : 13/07/2012 20:02
