Forum

Bildirimler
Hepsini Temizle

sisteme virus

14 Yazılar
7 Üyeler
0 Reactions
609 Görüntüleme
(@AliBenerDiKER)
Gönderiler: 157
Estimable Member
Konu başlatıcı
 

sistemimde 500 e yakın client var. Ve 100e  yakın kullanıcımda,oturum açtığımda anında oturum kapanıyor ve domain admin user ile login oluyror.

w32Morte virusu olduğunu düşündün Sistemde SymantecEndPoint P<Rotecttion kullanıyoruz. Önerilerinizi rica ediyorum.

 
Gönderildi : 10/07/2012 13:51

(@vasviuysal)
Gönderiler: 7889
Üye
 

kullanıcı logon olduğunda çalışan bir program/batch vs. bu duruma sebep oluyor olabilir 

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
 registry de bu keylerin altındakileri kontrol edin derim 
 

 

 
Gönderildi : 10/07/2012 13:57

(@kemalettintaylan)
Gönderiler: 279
Reputable Member
 

Merhaba 

100 e yakın kullanıcınızda aynı problemin olmasa hiç iyi bir durum değil Symantec loglarına baktınız mı? Bir makinede Norton Bootable Recovery Tool ile sistemi taramanızı öneririm  http://security.symantec.com/nbrt/overview.aspx?

veya ücretsiz Avira Rescue System ile full scan yapabilirsiniz    http://www.avira.com/en/download/product/avira-antivir-rescue-system  

 
Gönderildi : 10/07/2012 14:03

(@AliBenerDiKER)
Gönderiler: 157
Estimable Member
Konu başlatıcı
 

Merhaba 

100 e yakın kullanıcınızda aynı problemin olmasa hiç iyi bir durum değil Symantec loglarına baktınız mı? Bir makinede Norton Bootable Recovery Tool ile sistemi taramanızı öneririm  http://security.symantec.com/nbrt/overview.aspx?

veya ücretsiz Avira Rescue System ile full scan yapabilirsiniz    http://www.avira.com/en/download/product/avira-antivir-rescue-system  

Norton Power Eraser Sorunu Çözemedi. Açıkçası çok sıkıştık. 32 saattirde uykusuzuz.

 
Gönderildi : 10/07/2012 14:17

(@kemalettintaylan)
Gönderiler: 279
Reputable Member
 

Bir makınede Gmer çalıştırın ozaman bakalım rootkit var mı makinede 
http://www.gmer.net/  logları bizimle paylaşırmısnız bitince 

 
Gönderildi : 10/07/2012 14:22

(@gokhanbiyikoglu)
Gönderiler: 31
Eminent Member
 

Ali Bey,
Ayni problem bende'de var!!! Bulasan virus Win32/Serpip.A henuz temizleyemedim. Temizlersem bilgi veririm.

Iyi Calismalar

 
Gönderildi : 10/07/2012 21:01

(@semihkarahanli)
Gönderiler: 1
New Member
 

Ali Bey,
Ayni problem bende'de var!!! Bulasan virus Win32/Serpip.A henuz temizleyemedim. Temizlersem bilgi veririm.

ali bey olayı çözdünüz mü acaba ? benim serverlarda da bol miktarda o virüsten mevcut.Nette araştırdım bişiler ama saçma sapan şeyler çıkıyor. esed le de temizlemiyor. çözüm bulursanız yazarsanız sevinirim.

 
Iyi Calismalar

 
Gönderildi : 11/07/2012 01:09

(@vasviuysal)
Gönderiler: 7889
Üye
 

Ali Bey,
Ayni problem bende'de var!!! Bulasan virus Win32/Serpip.A henuz temizleyemedim. Temizlersem bilgi veririm.

ali bey olayı çözdünüz mü acaba ? benim serverlarda da bol miktarda o virüsten mevcut.Nette araştırdım bişiler ama saçma sapan şeyler çıkıyor. esed le de temizlemiyor. çözüm bulursanız yazarsanız sevinirim.

 
Iyi Calismalar

http://www.eset.eu/podpora/aktualizacia-7286?lng=en

bu gün güncellemiş eset bu virusle ilgili veritabanını  

 
Gönderildi : 11/07/2012 01:13

(@erkantugral)
Gönderiler: 3
New Member
 

Merhaba,

Bu virüsle ilgili elimizdeki örnekleri ESET e gönderdik. ESET son güncelleme 7287 ile bu virüs bulaşan exeleri temizleyebiliyor (Örnekler üzerinde denedim). Aşağıdaki linkte en güncel update olan recovery CD mizi upload ettim. Deneyip bilgi verirseniz seviniriz.

http://dosyalar.stratus.com.tr/winpe.iso

Kolay gelsin

 
Gönderildi : 11/07/2012 01:57

(@kemalettintaylan)
Gönderiler: 279
Reputable Member
 

Merhaba 

Virüs ile ilgili dosyayı   https://www.virustotal.com/  analiz ettiniz mi? kaç tane vendor buluyor bütün vendorlarda ismi değişiktir

Henuz database eklememiş olan vendor varsa onlarada gonderelım önemli bir virüs gibi duruyor arkadaşlar  

 
Gönderildi : 11/07/2012 12:23

(@erkantugral)
Gönderiler: 3
New Member
 

Merhaba,

Dün aldığım örneklerin VT sonuçlarının linki aşağıda. Buna göre VT deki vendorların yarısı kadarı buluyor ama önemli bir kısmı jenerik olarak tespit ediyor. Bu nedenle böyle tespit eden Vendor ların büyük ihtimalle virüslü exe leri temizleme rutinleri eksik olabilir.

https://www.virustotal.com/file/9f7bd65d668ffd8208aa1ac443195a93dc2d6dd462a23c34b841b203808bbce6/analysis/1342002904/

 
Gönderildi : 11/07/2012 16:39

(@kemalettintaylan)
Gönderiler: 279
Reputable Member
 

Merhaba 

exe halinde çalışıyorsa servisi vardır ve servis durduramadığı için silinemiyor olabilir 

Bilgisayarı güvenli modda başlatıp taramakta fayda var veya Vendorların kurtarma cdleri ile sistemi scan edilebilir silmek için 

 
Gönderildi : 11/07/2012 16:57

(@erkantugral)
Gönderiler: 3
New Member
 

Merhaba,

Sanrım yanlış anlaşıldı. Virüs exe olarak çalışmıyor, exe leri enfekte edebiliyor yani file infector özelliği taşıyor. Bunun dışında pek çok farklı özelliği var. Şu an incelememiz devam ediyor. Analiz belirli bir aşamaya gelince bir analizi paylaşmaya çalışacağım.

İlgili exe'nin VT sonucunu ise sorun yaşayan arkadaşların vendorların hangi ismlerle bulduğu konusunda bilgi sahibi olmaları için paylaştım.

Burada bu bilgileri paylaşmamın amacı, şu anda çok iyi kodlanmış, çok geniş bir saldırı vektörü olan (MS'in bir RDP üzerinden kod çalıştırma açığını kullanıyor) bir zararlıyla karşı karşıyayı olmamız ve edinilen bilgilerin belirli bir noktada paylaşılmasını sağlamak amaçlıdır.

Teşekkürler,

Erkan

 
Gönderildi : 11/07/2012 19:21

(@barisinceisci)
Gönderiler: 110
Estimable Member
 

Selam,

 Antivirüs'ünü güncellerseniz probleminiz düzelecektir. Morto virüs'ünü bulan symantec'dir.

 

 

 
Gönderildi : 13/07/2012 20:02

Paylaş: