سلام..
علی به نظر میرسه کسپر یکی ازون 7711 تا رو از بین نبرده :) Kidding
[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
Printable View
سلام..
علی به نظر میرسه کسپر یکی ازون 7711 تا رو از بین نبرده :) Kidding
[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
اوه اوه چه ویروس هایی هم داره این فلش :دینقل قول:
Zbot و Sality و ...
هر کی این فلش رو بدون آنتی ویروس باز کنه فکر کنم با هاردش باید خداحافظی کنه :دی
البته اگه مسیرش به اورژانس سیستم های آلوده انجمن خودمون نخوره:46:
[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
نقل قول:
نورتون و بیت دیفندر هر 4 مورد رو شناسایی و پاک کردن.
بیت دیفندر داخل فایلهای فشرده با فرمت ZIP رو میگرده و فایلهای آلوده رو پاک میکنه بدون اینکه فایلهای سالم حذف بشن.
برای اینکه Real-time Protection هم این قابلیت رو داشته باشه باید تنظیمش کرد.
در مورد فایلهای فشرده RAR این اتفاق نمیفته.یعنی کل فایل حذف میشه.
یکی از فایلها به اسم nurrrb.pif حاوی یکی از انواع مخربW32.Sality بود.*(نورتون و بیت دیفندر به همین نام شناسایی میکنن اما با پسوندهای مختلف)*
من این فایل رو با فرمت ZIP فشرده و اسکن کردم.مخرب شناسایی و پاکسازی شد اما فایل مخرب به طور کامل حذف نشد.
بخشی از فایل با حجم 56 کیلو بایت (از 128 کیلوبایت اولیه) باقی موند.
بیت دیفندر nurrrb.pif رو خارج از فایل ZIP به طور کامل حذف میکنه.
تکهی باقیمانده رو با نورتون اسکن کردم و شناسایی شد *اما با نامی متفاوت*>>Suspicious.MH690.A
[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
اکثر آنتی ویروسها از جمله نورتون تشخیص هوریستیکی رو این مورد داشتن و ممکنه اشتباه باشه.
سلام
فایل zujbknna.exe تروجان Zbot رو به وسیله ی Buster Sandbox analyzer آنالیز کردم به نتایج زیر رسیدم :
اینجا نشون میده که تروجان چه اقداماتی رو انجام میده چه اقداماتی رو انجام نمیده :
[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
**اینجا هم میبینید که در بخش اول در حین تزریق کد به فایرفاکس بوده..
**درمرحله ی بعدی فایلی رو برای استارت آپ ایجاد کرده..
**همچنین فایل رو در استارت آپ رجیستری ثبت کرده..
**اطلاعات سیستمی و کاربری من رو جمع آوری کرده..
**در آخر هم میخواسته اطلاعات طبقه بندی شده رو برای سرور خودش از طریق پورتهای 80 و 443 ارسال کنه.
[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
****اطلاعات جامع تر :
[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
موفق باشید:40:
سلام امین خان بیا عزیز اینو ببین تا یه کم از مرام کسپر اگاه بشی:31:نقل قول:
سلام..
علی به نظر میرسه کسپر یکی ازون 7711 تا رو از بین نبرده
[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
سلام مسعود جان
ریل تایم پروتکشن کسپر غیر فعال کردم و فایل اکسترکت کردم و کسپر دوباره فعال کردم کسپر فایل nurrrb.pif به صورت کامل پاکسازی کرد و حجم فایل شد 56 کیلوبایت
اما کسپر بعد از اکسترکت فایل dicinfect کرد و تیکه ای به حجم 56 کیلو باقی موند و مثل بیت دفندر فایل کامل حذف نکرد:27:نقل قول:
بیت دیفندر nurrrb.pif رو خارج از فایل ZIP به طور کامل حذف میکنه.
با ریل تایم پروتکشن کسپر در فایل zip و پاکسازی کاملنقل قول:
بیت دیفندر داخل فایلهای فشرده با فرمت ZIP رو میگرده و فایلهای آلوده رو پاک میکنه بدون اینکه فایلهای سالم حذف بشن.
برای اینکه Real-time Protection هم این قابلیت رو داشته باشه باید تنظیمش کرد.
در مورد فایلهای فشرده RAR این اتفاق نمیفته.یعنی کل فایل حذف میشه.
[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
اتفاقا کسپر مخربها رو در فایل rar به صورت ریل تایم پاکسازی کرد عجیب به نظر میرسه بیت دفندر نمیتونه مخرب در فایل rar پاکسازی کنهنقل قول:
در مورد فایلهای فشرده RAR این اتفاق نمیفته.یعنی کل فایل حذف میشه
[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
در مورد فایل nurrrb.pif کسپر فایل بعد از پاکسازی مخرب نمیشناسه و من اجراش کردم و در حافظه رم قرار گرفت با تنظیماتی که کسپر داشت رفتار مشکوکی نداشت:41:
آویرا هم مخرب آلوده به سالیتی رو تعمیر کرد..
[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
بعد از تعمیر
[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
نقل قول:
بیت دیفندر nurrrb.pif رو خارج از فایل ZIP به طور کامل حذف میکنه.
نقل قول:
اما کسپر بعد از اکسترکت فایل dicinfect کرد و تیکه ای به حجم 56 کیلو باقی موند و مثل بیت دفندر فایل کامل حذف نکرد [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
در مورد بیت دیفندر هم بعید میدونم پاک کرده باشه کامل ، ویروسهای علی مخفی سیستمی هستند ، منم اول فکر کردم آویرا کامل پاک کرده ولی بعد که مخفی هارو باز کردم دیدم به خوبی تعمیر کرده و قسمت 55 کیلوبایتی فایل در دسترس هست. داخل زیپ هم که همه ی مخفی ها به حالت پیشفرض دیده میشند
موفق باشید.:40:
نقل قول:
در مورد فایل nurrrb.pif کسپر فایل بعد از پاکسازی مخرب نمیشناسه و من اجراش کردم و در حافظه رم قرار گرفت با تنظیماتی که کسپر داشت رفتار مشکوکی نداشت
یعنی الان الوده شدید؟
بله الان که اسکن کردم DisInfect کرد.نقل قول:
Event هاش رو که داشتم نگاه میکردم یه مورد Move to quarantine برای این فایل داشت!
[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
آویرا تو ویروس توتال اون بخش کوچیک رو هم شناسایی کرده! برای شما پیغامی نداد؟
نقل قول:
من با آویرا دیشب تعمیرش کردم 55 کیلوبایتش باقی موند..
[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
دیگه با خود آویرا اسکن نزدم ، اما الان که اون باقی مونده رو با Dr web اسکن کردم دیدم باز دکتر وب اون رو به عنوان ویروت میشناسه :
[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
البته دکتر وب اون باقی مونده ( 55 کیلوبایت ) رو تعمیر نکرد و کامل پاکش کرد.
دیشب که میخواستم تروجان zujbknna.exe رو Run sandboxed کنم اشتباهی زدم
Run as administrator !!!!:18::18: و آلوده شدم درحالتی که سوییتم کاملا Off بود.. بعد امروز که سیستم رو روشن کردم به محض بالا اومدن دیدم فایروال دکتر وب تند تند داره پیغام میده که یک برنامه ی ناشناخته میخواد از طریق فایرفاکس به فعلان سرور وصل بشه ، هرچی Block once کردم دیدم بازم سرور داره !! خلاصه یک Express scan با دکتر وب زدم دیدم بله.. دقیقا همون تروجان هستش.
Dr web این آلودگی رو برطرف کرد در آخر..
[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
یکیش با پروسه ی قلابی فایرفاکس داشت داخل رم پردازش میشد که بلافاصله بلاک شد.
موفق باشید.:40: