سلام 

یه چند وقیته که هر وقت به اینترنت وصل می شم پردازش svchost.exe اصلی که اکثر سرویس ها رو اجرا می کنه در هر ثانیه 30 کیلو بایت Read و Write داره و به محض این که از اینترنت بیرون میام دیگه این کار رو نمی کنه
با cports هم که چک می کنم هیچ فعالیت اینترنتی رو با svchost.exe نمی بینم


فایل lsass هم همیشه سه بار اجرا می شه یه یکشون معمولیه ولی دوتای دیگه هر چند با یوز سیستم اجرا می شن سرویس نیستند و به طور یه فایل اجرایی معمولی اجرا شدند که Command Line شون هم این جوریه
"
C:\WINDOWS\\system32\\lsass.exe"
با از بین بردن پردازششون هم هیچ مشکلی پیش نمی یاد.


این جوری اجرا شدن فایل lsass هم به فلشم مربوط می شه و هر وقت فلش رو به یه کامپیوتر می زنم اون کامپیوتر هم اون جوری می شه
البته اینم بگم که به autorun.inf مربوط نمی شه
ممنون

اگه به سیستم مشکوک هستی اسکن با آنتی ویروس دیگه. ( غیر این راه وجود داره ؟ )

برای اسکن میتونی از این برنامه کمکی در کنار انتی ویروس خودت استفاده کنی. اگه دوست نداری انتی ویروس فعلی رو هم پاک کنی میتونی از دیسک بوت آنتی ویروس ها استفاده کنی.


[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]

داداش MR Cracker چطوره.آقا شما هم ویروسی شدی.امان از دست این برنامه نویسا:31:!!!
اینجوری که توضیح دادی فکر کنم کرم Sasser گرفتی.این کرم پروسه Lsass رو سرریز بافر میکنه (Buffer Overflow)
.اگر بعد از چند ثانیه یه پیغام روی صفحه میاد که میگه سیستم بعد از 60ثانیه خاموش میشه مطمئنن همین کرم در غیر اینصورت
با یه آنتی ویروس خوب و آبدیت شده سیستمو یه اسکن کلی بکن.
انشاالله که Sasser نباشه وگرنه .....
موفق باشید.

برای اسکن میتونی از این برنامه کمکی در کنار انتی ویروس خودت استفاده کنی.
  مشکل اینجاست من اصلا از آنتی ویروس استفاده نمی کنم

اینجوری که توضیح دادی فکر کنم کرم Sasser گرفتی.این کرم پروسه Lsass رو سرریز بافر میکنه (Buffer Overflow)
.اگر بعد از چند ثانیه یه پیغام روی صفحه میاد که میگه سیستم بعد از 60ثانیه خاموش میشه مطمئنن همین کرم در غیر اینصورت
  با یه آنتی ویروس خوب و آبدیت شده سیستمو یه اسکن کلی بکن.
 
نه سیستمم هیچ مشکلی نداره و فقط بعضی از فعالیت ها مشکوک هستند.
البته یه مدت پیش سیستمم ویروسی شده بود که با روش دستی(:27:) پاکش کردم تازگی ها هم ویندوز عوض کردم ولی دوباره همون طور شده احتمال می دم ویروس خودش رو به فایل های اجرایی اتچ کرده که این جوری می شه.
لیست سرویس هایی رو که اجرا می شن رو با یکی از سایت های مربوط به این کار چک کردم و همه سرویس هایی که اجرا می شن تو اون لیست بود.

اسم اون ویروس رو دقیقا یادم نیست ولی یادمه که اول اسمش v بود و آی کن IE رو هم داشت و فایلش رو پوشه ویندوز (نه سیستم 32 ) بود اتوران نداشت و فعالیت مخربی هم نداشت


اون فایل های Lsass رو هم برای بار اول توی لپ تاپ (یا نت بوک) یکی از فامیل هامون دیدم که بعد از این که فلشم رو از اون سیستم به
کامپیوتر خودم آوردم این جوری شد(البته اون سیستم رو با  Process Explorer چک کردم و هیچ فعالیت مشکوکی رو مشاهده نکردم


انشاالله که Sasser نباشه وگرنه .....
  راستی در مورد Sasser یه کم بیشتر توضیح می دی؟؟
ممنون

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید
بعضی از ویروسها برای اینکه بین پروسه های سیستم شناسایی نشند از اسم های خود پروسه های سیستم استفاده میکنند.(مثل: svchost.exe)


راستی در مورد Sasser یه کم بیشتر توضیح می دی؟؟

داستانش مفصله ولی خلاصه شو میگم.
Sasser: این دوست 15 کیلوبایتی از یک آسیب پذیری در پروسه Lsass.exe برای نفوذ و گسترش خودش بر روی شبکه استفاده میکند.این آسیب پذیری مربوط به Lsasrv.dll که توسط Lsass.exe مورد استفاده قرار میگیرد و با Buffer Overflow (سرریز بافر)
سیستم هدف را به مخاطره می اندازد و کنترل کامل سیستم را به شخص نفوذ کننده میدهد.
این کرم بعد از نفوذ به سیستم شما پیغامی مبنی بر Shutdown سیستم ضرف مدت 60 ثانیه نمایش میدهد.
قابل ذکر است که sasser از نسخه های A تا Z به نگارش درآمد که با دستگیری فرد نویسنده این کرم اشخاص دیگری شروع به منتشر کردن انواع دیگری از این کرم نمودند.
البته پچ های مربوط به این آسیب پذیری توسط ماکروسافت عرضه شده و این ویروس در سیستم عامل XP sp1 و پایینتر میتواند نفوذ کند.
موفق باشید.

نه سیستمم هیچ مشکلی نداره و فقط بعضی از فعالیت ها مشکوک هستند.

رفیق گلم سیستم مشکل نداره بعضی فعالیت ها مشکوک هستند این جمله اشتباه هست.

آنتی ویروس ها برای مقابله با مجموع malware طراحی میشند نه فقط ویروس.

اگه خیلی مشکوک بهتره با یه آنتی ویروس با دیتابیس بالا مثل جی دیتا از طریق بوت سیستم رو از لحاظ روت کیت اسکن کنی.

با یه آنتی ویروس با behavior blocker خوب مثل کسپرسکی و نورتون سیستم رو در محیط ویندوز چک کنی.