فقط اینو پیدا کرد
[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
لاگ
[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
Printable View
این فایله هنوز فعاله
C:\Users\Esrafil\kedxalekcyfy.exe
اگر امکان داره فایل رو فشرده کنید و با پسورد infected برای ما آپلود کنید
تیک تمام گزینه های هیدن رو از فولدر اپشن بردارین و به این مسیر برین و این فایل هم آپلود کنید
C:\Windows\system32\regedit.exe
فایل اولی اجازه فشرده کردن نمیده نه با وین رر نه با سون زیپ...نقل قول:
اجازه اینکه همین فایل خامش رو هم آپ کنم نمیده...
برنامرو اپدیت کردم و فایل رو باهاش اسکن کردم بازم به عنوان ویروس نشناخت...
چی کارش کنم؟
فایل دووم نیست...
اینکار رو با Safe mode انجام بدین ، حالت Safe mode and networkنقل قول:
از همون جا سند کنین.
از توی Safe mode and network خواستم کانکت شم ارور داد...
[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
پسوورد 0000
اسکن فایل شما در [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ] نشون میده که شما به یک Backdoor آلوده شدین که احتمالا کسپرسکی ریمووال تولز بتونه اون رو پاکسازی کنه
اسکن رو هم در سیف مود انجام دهید
[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
کسپر نتونست پاک کنه...نقل قول:
[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
اویرا رو هم امتحان کردم اصلا نشناخت ویروس رو...
نقل قول:
برنامه ی Hijackthis رو اجرا کنید ، و خطوط پایین رو تیک بزنید و گزینه ی fix checked رو بزنید.
کد:
O2 - BHO: URLRedirectionBHO - {B4F3A835-0E21-4959-BA22-42B3008E02FF} - C:\PROGRA~1\MICROS~4\Office14\URLREDIR.DLL
O4 - HKLM\..\Run: [BCSSync] "C:\Program Files\Microsoft Office\Office14\BCSSync.exe" /DelayServices
O4 - HKLM\..\Run: [Regedit32] C:\Windows\system32\regedit.exe
O4 - HKCU\..\Run: [Wakoopa] C:\Users\Esrafil\AppData\Local\Wakoopa\Wakoopa.exe
O4 - HKCU\..\Run: [kedxalekcyfy] C:\Users\Esrafil\kedxalekcyfy.exe
O1 - Hosts: ::1 localhost
اگه مشکلی درکار بود ، این کار رو از سیف مود هم انجام بدین.
سپس داخل سیف مود این فایلها رو پاک کنید ، چیزی مانع پاک کردنتون نمیشه.
C:\Users\Esrafil\kedxalekcyfy.exe
C:\Users\Esrafil\AppData\Local\Wakoopa\Wakoopa.exe
سپس با برنامه ی CCleaner اقدام به پاکسازی رجیستری کنید.
اگه ازین راهکار جواب نگرفتین ، میتونید ازین برنامه برای پاکسازی استفاده کنید کاملا قویه.
[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
این دوتا رو پیدا نمیکنم...
C:\Users\Esrafil\kedxalekcyfy.exe
C:\Users\Esrafil\AppData\Local\Wakoopa\Wakoopa.exe
برنامه wakoopa رو صبح پاک کردم...
فایل ویروس هنوز سره جاشه
لاگ
[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
با Emsisoft Emergency Kit اسکن کنم ببینم چی میشه...
خب ، این فایل که پاک شده ، نمیدونم کی اینکار رو کرده.
kedxalekcyfy.exe
درکنار استفاده ازون برنامه :
لطفا به این آدرس برو :
C:\WINDOWS\system32\drivers\etc
و فایل hosts رو هم برامون آپلود کن. مرسی.
ممکنه این فایل regedit هم آلوده شده باشه.
[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]نقل قول:
پسوررد 0000
فایل kedxalekcyfy.exe هنوز رو سیستم هست...
regedit رو چی کار کنم؟
سلام دوستان
تو این [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ] مشکلم رو مطرح کردم و به پیشنهاد *Batman* عزیز لاگ رو اینجا میزارم
لینک دانلود : [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
نام فایل: hijackthis.log
سلام بر شما.نقل قول:
خوب ویندوز شما Service Pack که نداره،آنتی ویروس هم نداره و از IE 8 استفاده میکنید.
پس شد :
1- [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
2- [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
3- [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ] + [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
اول از همه Ask Toolbar رو Uninstall کنید.
بعد دوباره اسکن کنید و گزینه های زیر (در صورت وجود) را تیک زده و Fix Checked رو بزنید.
محتوای مخفی: گزین ها
نقل قول:
این فایل hosts اصلی روی سیستم شما نیست و دستکاری شده.
اول مخفی هارو باز کن ( Show hidden تیک بزن و Hide Protected Operating system files تیکش بردار )
دوباره برو به همون آدرس ببین چه فایلهایی اونجاس، فایل hosts اصولا هیچ پسوندی نداره.
اون فایل kedxalekcyfy.exe کجای سیستم دقیقا قرار گرفته ؟
+
بهترین راه برای پاکسازی اینه که هاردت رو باز کنی و ببندی روی یک سیستم سالم و از طریق اون سیستم ویروس هارو از بین ببری. چون درحال حاضر ویروس ها فعال هستند و کار رو برای شما خیلی سخت میکنن.
اون فایل تو این آدرسه:نقل قول:
C:\Users\Esrafil
با برنامه Emsisoft Emergency Kit اسکن کردم 8 مورد پیدا کرد و پاک کرد ولی هنوز اون فایل سره جاشه
فایله هوستس:
[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
نقل قول:
حالا میفهمم که چرا هیچ برنامه ای نمیتونه حریف این بشه.
این تروجان رو کدیابی کردم.
یک تروجان حرفه ای هست که مادامی که شما به اینترنت وصل باشین قدرتش ماکزیمم هست.
چون درکنار خودش فایلهای موردنیاز دیگه ای رو هم دانلود میکنه.
در آدرس پایین کلی فایلهای کوکی میسازه و ازشون استفاده میکنه.
C:\Users\Esrafil\AppData\Roaming\Microsoft\Windows \IETldCache
به این نامها E3JIK9OI.txt و FTRE27S9.txt و index.dat و .... که بهتره کل این فولدر تخلیه بشه
و این آدرس
C:\Users\Esrafil\AppData\Roaming\Microsoft\Windows \IETldCache
کل فولدر تخلیه بشه
اینجا
C:\Windows\system32\CatRoot2\edb.chk
C:\Windows\system32\CatRoot2\edb.log
C:\Windows\system32\CatRoot2\{127D0A1D-4EF2-11D1-8608-00C04FC295EE}\catdb
C:\Windows\system32\CatRoot2\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\catdb
فایلها پاک بشن
C:\Users\Esrafil\AppData\Local\Microsoft\Windows\H istory\History.IE5\index.dat
C:\Users\Esrafil\AppData\Local\Microsoft\Windows\T emporary Internet Files\Content.IE5\index.dat
C:\Users\Esrafil\AppData\Local\Microsoft\Windows\T emporary Internet Files\Content.IE5\LJ5MKEI5\7atable_be[1].htm
C:\Users\Esrafil\kedxalekcyfy.exe
این کلیدهای رجیستری :
کد:
machine\software\microsoft\Tracing\kedxalekcyfy_RASAPI32\FileTracingMask = FFFF0000
machine\software\microsoft\Tracing\kedxalekcyfy_RASAPI32\ConsoleTracingMask = FFFF0000
machine\software\microsoft\Tracing\kedxalekcyfy_RASAPI32\MaxFileSize = 00100000
machine\software\microsoft\Tracing\kedxalekcyfy_RASAPI32\FileDirectory = 2500770069006E0064006900720025005C00740072006100630069006E0067000000
machine\software\microsoft\Tracing\kedxalekcyfy_RASMANCS\FileTracingMask = FFFF0000
machine\software\microsoft\Tracing\kedxalekcyfy_RASMANCS\ConsoleTracingMask = FFFF0000
machine\software\microsoft\Tracing\kedxalekcyfy_RASMANCS\MaxFileSize = 00100000
machine\software\microsoft\Tracing\kedxalekcyfy_RASMANCS\FileDirectory = 2500770069006E0064006900720025005C00740072006100630069006E0067000000
machine\software\microsoft\Windows\CurrentVersion\Explorer\BitBucket\NukeOnDelete = 00000001
machine\software\microsoft\Windows\CurrentVersion\Explorer\BitBucket\UseGlobalSettings = 00000001
user\current\software\Microsoft\Windows\CurrentVersion\AppManagement = 1C1C1C1D1D1D1D1D1E1E1E1E1E1F1F1F
user\current\software\Microsoft\Windows\CurrentVersion\kedxalekcyfyzap = AFAFAFAFB0B0B0B0B0B1B1B1B1B1B2B2
user\current\software\Microsoft\Windows\CurrentVersion\Explorer\BitBucket\Volume\{3fb6c3e4-07c0-11e2-81e1-806e6f6e6963}\NukeOnDelete = 00000001
user\current\software\Microsoft\Windows\CurrentVersion\Explorer\BitBucket\Volume\{3fb6c3e5-07c0-11e2-81e1-806e6f6e6963}\NukeOnDelete = 00000001
user\current\software\Microsoft\Windows\CurrentVersion\Explorer\BitBucket\Volume\{3fb6c3e6-07c0-11e2-81e1-806e6f6e6963}\NukeOnDelete = 00000001
user\current\software\Microsoft\Windows\CurrentVersion\Explorer\BitBucket\Volume\{3fb6c3e7-07c0-11e2-81e1-806e6f6e6963}\NukeOnDelete = 00000001
user\current\software\Microsoft\Windows\CurrentVersion\Explorer\BitBucket\Volume\{3fb6c3e8-07c0-11e2-81e1-806e6f6e6963}\NukeOnDelete = 00000001
user\current\software\Microsoft\Windows\CurrentVersion\Explorer\BitBucket\Volume\{ae8c9d7c-ca11-11e1-a325-806e6f6e6963}\NukeOnDelete = 00000001
user\current\software\Microsoft\Windows\CurrentVersion\Explorer\BitBucket\Volume\{b069cbcd-0714-11e2-b513-806e6f6e6963}\NukeOnDelete = 00000001
user\current\software\Microsoft\Windows\CurrentVersion\Explorer\BitBucket\Volume\{b069cbce-0714-11e2-b513-806e6f6e6963}\NukeOnDelete = 00000001
user\current\software\Microsoft\Windows\CurrentVersion\Explorer\BitBucket\Volume\{b069cbcf-0714-11e2-b513-806e6f6e6963}\NukeOnDelete = 00000001
user\current\software\Microsoft\Windows\CurrentVersion\Explorer\BitBucket\Volume\{b069cbd0-0714-11e2-b513-806e6f6e6963}\NukeOnDelete = 00000001
user\current\software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\SavedLegacySettings = 46000000110B00000900000014000000736F
user\current\software\Microsoft\Windows\CurrentVersion\run\kedxalekcyfy = C:\Users\Esrafil\kedxalekcyfy.exe
یعنی آنتی ویروس میخوام بتونه این رو پاکسازی کنه !!کد:
الان با توجه به این اطلاعات جزئی که من دادم ، دو راه وجود داره.
- یه آدم حرفه ای با این اطلاعات بشیه دستی پاکسازی کنه.
- ویندوز عوض کنی و بعدش هم ویروس یابی
دوستان قبل از هر کاری یادشون باشه که system restore رو غیر فعال کنند
[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ] اخیرا کسی ای میل من رو حک کرده. و حالا هم مدتی هست که آنتی ویروس eset samrt security پیام هایی میده از آی پی هایی که بلاک میکنه وقتی من به اینترنت وصل هستم.سیستم عامل ویندور xpحدود یک ماه به این مشکل دچارم.
ظا هرا پست بالایی لینک درست ارسال نشد [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
ممنوننقل قول:
الان دیگه به نت وصل نمیشه...
قبلا با ------ فایر که وصل میشدم یه سری svchost و خود همین ویروس با همین اسم وصل میشد ولی الان دیگه هیچ کدوم نمیان...
پاکسازی دستی خیلی دنگو فنگ داره؟
خب احتمالا تاثیرات برنامه ی Emsisoft هستش..، این ویروس کارش رو نرمال انجام نمیده و اساس کارش تزریق کد هست... جالبه بدونینقل قول:
درحینی که خودم داشتم آنالیزش میکردم در محیط مجازی ، تلاش داشت فایلهای اجرایی برنامه ی مجازی ساز رو تزریق کنه که من این
رو در لوگ ها دیدم.
بنابراین فایلهای سیستمی شما تزریق شده بودن، و احتمالا برنامه ی امسیسافت فایل اجرایی آلوده شده رو از بین برده.
اگه تونستین به منوی استارت برین و به بخش Acceossries و روی Command prompt راست کلیک کنید و گزینه ی Run as admin رو بزنید.
بعد داخلش این رو کپی کنید :
SFC /SCANNOW
این کد فایلهای تزریق شده ی اصلی شما رو تشخیص میده و فایلهای قلابی و معیوب رو تعمیر میکنه.
امیدوارم که بتونین اجراش کنید.
راستش پاکسازی دستی این ویروس آسون نیست.. بهتره دست به راههای سنتی نزنید خودتون.
بازم میگم اگه تواناییش رو دارین هاردتون رو باز کنید روی یک سیستم که آنتی ویروس کسپرسکی داره نصب کنید و بدون باز کردن فایل یا درایوی از
هاردتون ، تک تک درایوهاتون رو اسکن کنید.. به این شکل ویروس هیچ شانسی نداره.
دستی یکم خطرناکه و ممکنه به فایل های سیستمی آسیب بزنه search کن هر جا که بود با برنامه های [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ] احتمالا بطونی پاکشون کنی 2 تای پایینی به درد شما می خوره (system restore رو یادت نره غیر فعال کنی)
پس من چی ؟ کسی نیست؟
به جز یکی دو تا تولبار مزاحم چیز خاصی در لوگ شما مشاهده نشدنقل قول:
نرم ازفزار زیر رو دانلود و آپدیت کنید و درایو C رو اسکن کنید و نتیجه رو اعلام کنید
[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
ببرنامه رو نصب کردم و اسکن کردم 19 اخطار داد که بعضی کرک برنامه ها بودند. بقیه رو پاک کردم. یعنی دیگه سیستمم تمیز شده؟
ضمنا مجبور شدم از system restore به خاط یک مشکل استفاده کنم. امکانش هست که دوباره اون فایل های مخرب رو برگردونه؟
خب این بستگی داره به چه زمانی برگردانده باشید باز با مالواربایت اسکن کنید ببینید چیزی پیدا میکنه یا نهنقل قول:
تمام پسوردهاتون رو عوض کنید و ترجیحا نرم افزار امنیتی خودتون رو عوض کنید و بستگی به سیستمتون از کسپرسکی , بیت دیفندر , اف سکیور یا نورتون استفاده کنید
بازم با این نرم افزارها اسکن کنید
با همه کارهای که انجام دادم هنوز فایروال آنتی ویروسم پیام های مشکوک میده.
detected channel exploid ...
remote ip address
blocked.......
همیشه هم 2 یا 3 ای پی هستند که پیام میده و به تعداد زیاد مثلا 5 یا 6 پیام میده پشت سر هم.
اگر امکانش رو دارید نود 32 رو حذف کنید و کسپرسکی اینترنت سکوریتی رو که هم فایروال و آنتی ویروس قوی ای داره از لینک زیر دریافت و نصب کنیدنقل قول:
یک سری تنظیمات هم کسپر در صفحات آخر تاپیک خودش برای فایروال داره انجام بدین ببینیم باز پیغام ها داده میشه یا نه
[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
یستم من قدیمی هست و کاشپر براش خیلی سنگینه نمیتوم ازش استفاده کنم. سرعت رو خیلی پایین میاره.
یعنی ممکنه ای پیام ها بی دلیل باشه؟ حتی ویندوز هم عوض کردم.
از روی اون آی پی که تو اخطار میاد نمیشه چیزی رو فهمید؟ مثلان الان که ایترنت اکسپلورر رو باز کردم حدود 5 اخطار پشت سر هم داد. با یک آی پی مشترک.
ضمنا بعد از آپدیت کردن نود 32 و اسکن باز یک فایل مشکوک دیگه پیدا شد.
detected covert channel exlpoit in icmp packet.
remote Ip adress
.....................
دقیقا پیام من مثل لینک هیت که در بالا قرار دادید.
مسئله اینکه من میدونم 1 ماه پیش حکم کردن. ولی ویندوز رو عوض کردم الان دیگه بعد از استفاده از اون نرم افزار مالواریابت و تعویض ویندوز و حتی آپدیت نود به ورژن بالاتر اگر سیستم پاک شده باشه دیگه نباید پیام بده. نمیدونم چکار کنم.
سلام
من دیروز دیدم چراغ اینترنت مودم چشمک میزنه و من تو نت نیستم رفتم نگاه کردم دیدم از دیروز ظهر حجم مصرف اینترنتم خیلی زیاد شده ولی چیزی دانلود نکردم یا کاری با نت زیاد نداشتم (توی حدود 30دقیقه 150 mb )
سیستم هم کمی دیر میاد بالا
برنامه BWMeter را نصب کردم دیدم یه چند تا برنامه از ترافیک نت استفاده می کنند ولی نورتون به چیزی گیر نداده و چیزی پیدا نکرده (دیروز نورتون idm را ویروس شناخت و پاکش کرد و دوباره نصبش کردم (
ویندوز : x3sp3
آ؛نتی ویروس : norton i s 2013 آپدیت هم هست
آپدیت ویندوز و آپدیت اتوماتیک نورتون هم خاموشه
[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
من همچنان پیام از فیروال آنتی فیلتر میگیرم 2 تا آی دی جدید هم میده. موندم چکار کنم.
ببینید الان من نمیتونم روش خاصی رو به جز اسکن بگمنقل قول:
شما چرا نود رو عوض نمیکنید ؟ حداقلش یک بار کسپر رو نصب کنید ببینید مشکل از کجاست
یا اینکه فایروال کمودو رو در کنار نود نصب کنید و به برنامه هایی که قصد اتصال به اینترنت رو دارن نظارت داشته باشید ضمن اینکه کمودو تمام پورت های شما رو میبینده
این پست مطالب خیلی خوبی در مورد کمودو داره که حتما باید مطالعه کنید
[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
این پست رو بخونید و ببینید نورتون چیزی پیدا میکنه یا نه , نتیجه رو اعلام کنید اگر تونستید از قسمت های unproven و bad file هم اسکرین شات تهیه کنیدنقل قول:
[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
9فایل خطرناک دیگه با comodoا شناسایی شد. خودم تعجب میکنم این همه بد افزار از کجا تو سیستمم بوده با وجود آنتی ویروس.
به جز اینها به بعضی کرک ها هم گیر میده. امکان داره کرک مثلا آفیس بد افزار باشه؟
حالا هم نود دارم هم کمودو با توجه به اینکه سیسام قدیمیه کدومو نگه دارم؟ کمودو فک کنم سنگین باشه.
نه کمودو سنگین نیست فقط اینکه فایروال نود رو حتما خاموش کنید و آنتی ویروس کمودو هم خاموش کنید یعنی نود آنتی ویروس +کمودو فایروالنقل قول:
برای چی؟
آخه 2 تاش واسه سیستم من که cpu 2ghz celeron داره خیلی سنگینه.
اگه بخوام با یکیش کار کنم کدوم بهتره؟ خوشبختانه هنوز از پیام های فایر وال نود هم خبری نیست. تازه بخوام جفتشو نگه دارم فایر وال جفتش روشن باشه چه اشکال داره.
خیلی اشکال داره دیگه چون باعث تداخل میشهنقل قول:
اگه بتونی کار با کمودو رو یاد بگیری نیازی به هیچ آنتی دیگه ای نداری
به نظر من کمودو رو نگه دار و البته قبلش حتما اون پستی که دادم مطالعه کنید تا کار با کمودو رو یاد بگیرید
الان هردو روی سیستم نصب هستند. متعصفانه هنوز نود داره پیام میده. اما کمودو پیام نمیده. حالا نود رو غیر فعا میکنم ببینم چی میشه.
از لحاظ سبکی کدوم بهتره؟ پس شما کمودو رو پیشنهاد میکننین.