15.04.2015, 14:43 | #1 |
Çevrimiçi
|
Galiba Bir DNS Hack ile Karşı Karşıyayım.(Win32/Rbrute-Çözüldü)
Nabersiniz.. Başlıkta belirttiğim gibi garip bir dns hack olayıyla karşı karşıya kaldım. Resimde belirttiğim gibi bir şekilde modem arayüzünde dns numaraları otomatikman değişiyor. Normalde norton dns kullanırım (199.85.126.10 ve .. 127.10) Ama ne zaman bunu kutucuğa girsem bir dahaki seferine sayfayı yenilediğimde bu dns numaralarını görüyorum. Bu sorun son 6 gündür var sanırım. Çünkü öncelerinden web'te dolaşırken özellikle sahte flash player güncelle sayfaları yada facebook girişi yapın temalı sayfalar geliyordu. Adres satırından bunu rahat anlayabiliyordum (ör. Sahte flash player güncelle başlığında adres satırı "www.facebook.com/setup.exe) bunun gibi adresler tabi hemen kıllık olduğunu sezdim. Adaware clean, hitmanpro gibi yazılımsal araçlarla ve zonealarm ile taramalarım sonucu sadece 2 tane trojan backdoor bulabildi ve sildi. Silindikten sonra böyle tuzak web sayfaları tabi açılmadı ama bu dns hack olayı çözülemedi. Sizdende yada misafirlerden vs fikir bekliyorum.^^ Ağda benle birlikte bir arkadaş kullanıyor acaba onun pc'sinde mi bir olay var diye sordum oda yok dedi. Gerçi ilk şüphem o. Ama oda garip bişey yok diyor.. Denediğim çözümler, 1- Modem Firmware güncellemesi -- başarısız 2- Modem Resetleme - Başarısız.. 3 - TCP/IPV4 arayüzünden DNS yazma - Kısmen başarılı Ama Modem Arayüzündeki DNS hep aynı (Yanlış web adresi yazılımlarında Norton Dns penceresi çıkıyor) -- Şu an sadece garip ip adreslerinden gelen isteklerin çoğu zonealarm firewall tarafından engelleniyor. Ne yapabiliriz..:/
__________________
Never fade away... |
4 Üyemiz Heliosaga'in Mesajına Teşekkür Etti. |
15.04.2015, 14:59 | #2 |
Çevrimdışı
|
Cevap: Başım Dertte.. Galiba Bir DNS Hack İle Karşı Karşıyayım.
Eğer modemden hacklendi isen modemini bir resetle derim, yalnız kullanıcı isin ve şifrelerini unuttuysan yapma, yoksa servis sağlayıcısına telefon edip tekrar öğrenmen gerekebilir, uzun iş.
IP adresin ABD New York gözüküyor, buda ancak Hot Spot Shield gibi programlar kullanıyorsan olur. O zaman yapman gereken bu programı tekrar çalıştırıp görev yöneticini çalıştırıp hizmetler kısmına gelip otomatik değil, el ile ayaralaman lazım. Benim şimdilik aklıma gelen bunlar. |
5 Üyemiz Kartal'in Mesajına Teşekkür Etti. |
15.04.2015, 15:07 | #3 |
Çevrimiçi
|
Cevap: Başım Dertte.. Galiba Bir DNS Hack ile Karşı Karşıyayım.
Onları zaten yaptım.. El ile TCP ayarına dns yazdığımda ipconfig komutundan norton dns'ye ayarlı gözüküyor ama modem dns'sinde bu numara hep duruyor. :/
Modem resetledim zaten adsl kimliğimide biliyorum onlar sorun değilde.. Sıfırladığım halde yine bulaşıyor. Garip bişey.. halen çözemedim.
__________________
Never fade away... |
4 Üyemiz Heliosaga'in Mesajına Teşekkür Etti. |
15.04.2015, 15:17 | #4 | |
Çevrimiçi
|
Cevap: Başım Dertte.. Galiba Bir DNS Hack ile Karşı Karşıyayım.
Galiba sorunun kaynağını buldum.
Eset firması şöyle bir analiz yayınlamış tabi ingilizce Win32/Sality newest component: a router Alıntı:
Araştırmaya devam.. çözümü bulduğumda bu konuyu düzenlerim.
__________________
Never fade away... |
|
5 Üyemiz Heliosaga'in Mesajına Teşekkür Etti. |
15.04.2015, 15:23 | #5 |
Çevrimdışı
|
Cevap: Başım Dertte.. Galiba Bir DNS Hack ile Karşı Karşıyayım.
Bence senin işin hack olayı değil, daha önce benimde başıma gelmişti, yasakları aşmak için kullandığım program kendi dns lerini atıyordu daha sonra başlangıç ve hizmetler ksımında programın çalışma prensibini otomatik değilde el ile ayrladım sorun çözüldü.
Bir arkadaşının laptop pc si var ise onunlada girmeyi deneyebilirsin en azından modem hack olayı devre dışı kalmış olur. Kolay gelsin Serseri |
5 Üyemiz Kartal'in Mesajına Teşekkür Etti. |
16.04.2015, 22:12 | #6 |
Çevrimiçi
|
Cevap: Başım Dertte.. Galiba Bir DNS Hack ile Karşı Karşıyayım.
Görev başarılı şekilde tamamlandı.
Evet nasıl çözdüğümü anlatma zamanı malum google'dan bu konuyu görecekler olur. Onlarada yararımız dokunur. Öncelikle bu soruna sebeb olan trojan'ın adı: Win32/Rbrute, Sality adlı belalı virüsün yan kolu gibi bişey.. Bu trojan neler yapıyor? Özellikleri nedir? * Dns changer görevi gören bu zararlı, modem arayüzüne sızdıktan sonra karşınıza "flash player güncelle" yada kullandığınız tarayıcının yeni güncel versiyonunu yükleme gibi aldatıcı sayfaları ekranınıza getirerek, sality virüsün bulaşmasını sağlamak oluyor. Çözümü.(Adım Adım) 1- Güvenli kipte tam bir virüs/trojan taraması yapın 2- Modemi Sıfırlayın (Sıfırlamadan önce adsl kimlik ve şifrenizi bildiğinizden emin olun.) Sıfırladıktan sonra modem arayüzü kullanıcı adı ve şifresi için modemin kullanım kitapçığına yada modem'in altına bakın 3 - Modem arayüzüne adsl kimlik ve şifrenizi tanımlayın. Bağlantınızı doğrulayın. 4- Modem arayüzüne uzaktan erişimi devre dışı bırakın. Resimdeki gibi yapın.. Bu eylem ile modem arayüzüne sizden başka kimse ulaşamıyor.. 5- Modem şifresi için daha güçlü bir karakter kombinasyonu atamayı unutmayın. 6- Başlat-Çalıştır kısmına "cmd" yazın. Çıkan komut penceresine "ipconfig/flushdns" yazın. Bu eylem dns önbelleğini temizleyecektir. 7- Kullandığınız tarayıcının çerezlerini tamamen silin. 8- Bilgisayarınızı yeniden başlatın. -- Görev tamamlandı.
__________________
Never fade away... |
4 Üyemiz Heliosaga'in Mesajına Teşekkür Etti. |
17.04.2015, 01:44 | #7 |
Çevrimdışı
|
Cevap: Galiba Bir DNS Hack ile Karşı Karşıyayım.(Win32/Rbrute-Çözüldü)
Geçmiş olsun.
__________________
|
4 Üyemiz ReaL'in Mesajına Teşekkür Etti. |
17.04.2015, 11:46 | #8 |
Çevrimdışı
|
Cevap: Galiba Bir DNS Hack ile Karşı Karşıyayım.(Win32/Rbrute-Çözüldü)
Sorun çözülmüş olsa da sistemini Combofix ile taratmanı öneririm.
Çok sinsi truva atları var.Enazından online işlemlerini rahat bir şekilde halledebilirsin. Bunun haricinde özel DNS adresleriyle işin yoksa Chrome'da Zenmate eklentisini kullanarak istediğin sitelere erişim sağlayabilirsin. |
17.04.2015, 21:41 | #9 |
Çevrimiçi
|
Cevap: Galiba Bir DNS Hack ile Karşı Karşıyayım.(Win32/Rbrute-Çözüldü)
Hijackthis ile regedit değerlerini zaten kontrol ettim.
Şu an yanlış bir durum yok. Lakin nasıl kaptığımı anlayamadım. Büyük ihtimal torrent ağı için özel olarak modem arayüzünden açtığım port buna sebeb oldu. Aklıma gelebilecek tek şey bu. Ama bir yandanda tp-linkte böyle bir açık var.. O yüzden tp link kullananlar mutlaka erişim yönetimini açmaları gerek.
__________________
Never fade away... |
Bu Sayfayı Paylaşabilirsiniz |
Etiketler |
başım, dertte, galiba, hack, karşı, karşıyayım |
Konuyu Toplam 1 Üye okuyor. (0 Kayıtlı üye ve 1 Misafir) | |
Seçenekler | |
|
|
Önemli Uyarı | |
www.forumgercek.com binlerce kişinin paylaşım ve yorum yaptığı bir forum sitesidir. Kullanıcıların paylaşımları ve yorumları onaydan geçmeden hemen yayınlanmaktadır. Paylaşım ve yorumlardan doğabilecek bütün sorumluluk kullanıcıya aittir. Forumumuzda T.C. yasalarına aykırı ve telif hakkı içeren bir paylaşımın yapıldığına rastladıysanız, lütfen bizi bu konuda bilgilendiriniz. Bildiriniz incelenerek, 48 saat içerisinde gereken yapılacaktır. Bildirinizi BURADAN yapabilirsiniz. |