Forum
Bildirimler
Hepsini Temizle
Windows Server
7
Yazılar
3
Üyeler
0
Reactions
606
Görüntüleme
Konu başlatıcı
2012-02-09 10:12:01 src=192.168.1.36:49657 dst=192.168.30.242:3389
2012-02-09 10:11:59 src=192.168.1.36:49655 dst=192.168.30.241:3389
2012-02-09 10:11:59 src=192.168.1.36:49654 dst=192.168.30.240:3389
2012-02-09 10:11:59 src=192.168.1.36:49653 dst=192.168.30.239:3389
2012-02-09 10:11:59 src=192.168.1.36:49652 dst=192.168.30.238:3389
2012-02-09 10:11:58 src=192.168.1.36:49671 dst=192.168.30.255:3389
2012-02-09 10:11:58 src=192.168.1.36:49651 dst=192.168.30.237:3389
2012-02-09 10:11:58 src=192.168.1.36:49670 dst=192.168.30.254:3389
2012-02-09 10:11:58 src=192.168.1.36:49669 dst=192.168.30.253:3389
2012-02-09 10:11:57 src=192.168.1.36:49650 dst=192.168.30.236:3389
2012-02-09 10:11:57 src=192.168.1.36:49649 dst=192.168.30.235:3389
2012-02-09 10:11:57 src=192.168.1.36:49668 dst=192.168.30.252:3389
2012-02-09 10:11:57 src=192.168.1.36:49648 dst=192.168.30.234:3389
2012-02-09 10:11:57 src=192.168.1.36:49667 dst=192.168.30.251:3389
2012-02-09 10:11:57 src=192.168.1.36:49666 dst=192.168.30.250:3389
2012-02-09 10:11:57 src=192.168.1.36:49665 dst=192.168.30.249:3389
2012-02-09 10:11:56 src=192.168.1.36:49647 dst=192.168.30.233:3389
2012-02-09 10:11:56 src=192.168.1.36:49664 dst=192.168.30.248:3389
2012-02-09 10:11:56 src=192.168.1.36:49662 dst=192.168.30.247:3389
2012-02-09 10:11:56 src=192.168.1.36:49661 dst=192.168.30.246:3389
2012-02-09 10:11:56 src=192.168.1.36:49660 dst=192.168.30.245:3389
2012-02-09 10:11:56 src=192.168.1.36:49659 dst=192.168.30.244:3389
2012-02-09 10:11:56 src=192.168.1.36:49646 dst=192.168.30.232:3389
2012-02-09 10:11:56 src=192.168.1.36:49658 dst=192.168.30.243:3389
2012-02-09 10:11:55 src=192.168.1.36:49645 dst=192.168.30.231:3389
2012-02-09 10:11:55 src=192.168.1.36:49671 dst=192.168.30.255:3389
2012-02-09 10:11:55 src=192.168.1.36:49670 dst=192.168.30.254:3389
2012-02-09 10:11:55 src=192.168.1.36:49669 dst=192.168.30.253:3389
2012-02-09 10:11:55 src=192.168.1.36:49657 dst=192.168.30.242:3389
2012-02-09 10:11:55 src=192.168.1.36:49644 dst=192.168.30.230:3389
2012-02-09 10:11:54 src=192.168.1.36:49643 dst=192.168.30.229:3389
2012-02-09 10:11:54 src=192.168.1.36:49642 dst=192.168.30.228:3389
2012-02-09 10:11:54 src=192.168.1.36:49668 dst=192.168.30.252:3389
2012-02-09 10:11:54 src=192.168.1.36:49641 dst=192.168.30.227:3389
2012-02-09 10:11:54 src=192.168.1.36:49667 dst=192.168.30.251:3389
2012-02-09 10:11:54 src=192.168.1.36:49640 dst=192.168.30.226:3389
2012-02-09 10:11:54 src=192.168.1.36:49639 dst=192.168.30.225:3389
2012-02-09 10:11:54 src=192.168.1.36:49666 dst=192.168.30.250:3389
2012-02-09 10:11:54 src=192.168.1.36:49665 dst=192.168.30.249:3389
şeklinde
O Bir Efsane
Gönderildi : 09/02/2012 13:16
Konu başlatıcı
içerde .30.x network yok. 1.36'nın işletim sistemi win2003 r2 sp ve güncellemeleri tam.
O Bir Efsane
Gönderildi : 09/02/2012 15:55
Role olarak ne var serverin uzerinde ?
Gönderildi : 09/02/2012 16:07
sysinternals tcpview ile bakın hangi uygulama bunu yapıyor?
bir tarama olduğu kesin ama siz yapmıyorsanız kim yapıyor?
Gönderildi : 09/02/2012 16:15
Konu başlatıcı
taramayi yapan svchost uzerinden çalışan birşey. tcpview ile bakıncada bunu goruyorum. Araştırmalarım sonucu 'Win32/Morto.A' olma ihtimali var. Ama svchost'a bu iş nasil yaptiriliyor bunu çozamedim.. Her türlü oneriye acigim... (Çözümü bulursa buraya belirticem ayrıca)
O Bir Efsane
Gönderildi : 09/02/2012 17:52
Konu başlatıcı
http://www.microsoft.com/security/portal/Threat/Encyclopedia/Entry.aspx?name=Worm%3AWin32%2FMorto.A
Burada virusle ilgili detayli bilgi verilmis. Registry HKLM\SYSTEM\CurrentControlSet\Services\Sens key'in içerisinde "DependOnService" değeri "EventSystem" olmalı ve HKLM\SYSTEM\CurrentControlSet\Services\Sens\Parameters içerisinde ise "ServiceDll" değeri "<system folder>\sens.dll" olmalı. Ben ek olarak bu bilgileride baylaşayım istedim....
O Bir Efsane
Gönderildi : 10/02/2012 11:32
Bunlari yaptiktan sonra duzeldimi peki ? Kontrol ettiniz mi ?
Gönderildi : 10/02/2012 15:35
