Hi , can u help me please?
For cve : Didnt understand the attack yet , so couldnt search for it . (SOLVED)
For malvare’s name : Checked promoc , event details but couldnt find anything (SOLVED)
For log deletion , i’ve filtered event wiever with 11** Event id , and found a date but it says its wrong (might be typo, text issue ) ..20**-::20
For password , no clue what to do .
Isnt that clear ^ for log deletion
you can search for the system event logs to find the deleted log time. You can focus on how the attacker might have obtained the password and how you would detect it.
Merhabalar,
Bu soruda takıldım kaldım birçok farklı yöntem ile dosyayı aramayı çalıştım fakat bulamadım. Bu konuda yol gösterebilir misiniz ?
Arama yaparken kullandığım kodlardan bir tane örnek :
" Get-ChildItem -Path C:\ -Include .txt,.exe -Recurse -ErrorAction SilentlyContinue | Select-String -Pattern “IP adresi var burada” -List | Select
-Object Path, Line "
Documents dizini altına bakabilirsiniz. Powershell komutunda neden dosyaların içerisinde IP adresini aradığınızı anlamadım
Ip adresini yazma sebebim saldırgan makinenin bağlantı kurduğu IP adres değerini içeren herhangi bir dosya olabilir mi diye. Yaklaşık bir 5 saattir falan uğraşıyorum son çare her şeyi deniyordum artık 
Ben o klasör altında ki dosya adını da denedim ama kabul ettiremedim. Denediklerim şunlar ; WinrarUpgrade , ab.exe şeklinde
Daha farklı bir dosya mı aramam gerekiyor 
WinrarUpgrade uzantısı nedir acaba ? (
Ben direk böyle dümdüz adını soruyor olarak düşünüp saatlerce farklı şeyler aradım Çok teşekkür ederim 
