Forum
Bildirimler
Hepsini Temizle
Güvenlik Genel
4
Yazılar
2
Üyeler
0
Reactions
572
Görüntüleme
Konu başlatıcı
Merhabalar,
Bilgisayar sistemine forticlient, kaspersky olmasına karşın bulaşan Win32/Nosrawec.A son anda fark ettim ve biraz geç oldu. Sisteme bulaşan key logger ''C:\Documents and Settings\Administrator\Local Settings\Application Data''dizinine logları kayıt altında tutmuş ve Aimp2.exe,usnsvc.exe dosyalarını oluşturmuştu. Regedit'i kontraol ettim ''HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\. satırında C:\Documents and Settings\Administrator\Local Settings\Application Data Usnsvc.exe'' /background bir girdi mevcut.
Loglarda bütün klavye vuruşlarım mevcut. C:\system volume information\_restore içerisinde de mevcut bir dosya var 1.1.1.1den dos generic synflood
her yaklaşık olarak 10 dakikada bir geliyor. Ve Microsoft Essential ile tarattığımda pid 1519 diye bir ibare çıkıyor.
C:\ kontrol ettim xxx.bat ve içeriğinde shutdown -r mevcut
Fortigate 80c Mevcut loglarımı upload ettiği ip adresini bulabilirmiyim ?
Gerekli yasal işlemleri başlatmak için neler yapmam gerekli. Bu konuda yardımcı olursanız sevinirim.
Gönderildi : 06/12/2011 03:07
En kolay çözüm, tüm admin ve modem şifrelerini değiştir. (network bağlantısı yokken! ama sistemi kullanmaya ihtiyacın var ise şifreleri yeniden girmemek kaydı ile network aktif edebilirsin) Sisteme dokunmadan / format atmadan / sistem geri yükleme yapmadan önce savcılık ile görüşüp bilirkişi incelemesi yaptır herhangi bir delil kaybına uğrama.
Keylogger aynı pedofili gibi işleme konulur. Savcılık suç teşkil eden bilginin kodunu çözmek için bilişim suçlarından gelen uzmanlar aracılığı ile işlemini yapar. Makinanın hızlı bir şekilde imajı alınır, serileri kaydedilir. Bundan sonrası beklemek. Benim yaşadığım sıkıntı 21 iş gününde sonuçlanmış, 2 celsede iş bitmişti.
Gönderildi : 06/12/2011 03:28
Konu başlatıcı
İşin kötü tarafı MS Essential, Win32/Nosrawec.A ait belirttiğim bi çok kaydı direk sildi. Bende bu yüzden ortaya delil niteliği taşıyacak birşeyler koymak ortaya koymak istiyorum.[:^)]
Gönderildi : 06/12/2011 14:18
Karantina klaörünü araştırmışsındır mutlaka,
Ancak, silmende önemli değil aslında. O kadar sıkıntı değil. Sadece tespit işlemi uzun sürer. Öyle yazılımlar ve cihazlar ile işlem yapılıyor ki, üzerine veri yazılmış olan sektörün, defalarca formattan geçmiş diskin neredeyse fabrika çıkış haline dönecek kadar eski dönemine gidebiliyorlar. Sonuçta bunlar maaliyet unutma. Bu tür çalışmaların masrafı / cezası ya sana ya karşı tarafa kesilir. Aynen avukat masraflarını ceza alanın ödemesi gibi.
Hukuk ve bekleme sürecini göze alabiliyor isen iyice araştır ve uygula.
Gönderildi : 06/12/2011 16:18
