تبلیغات :
ماهان سرور
آکوستیک ، فوم شانه تخم مرغی ، پنل صداگیر ، یونولیت
دستگاه جوجه کشی حرفه ای
فروش آنلاین لباس کودک
خرید فالوور ایرانی
خرید فالوور اینستاگرام
خرید ممبر تلگرام

[ + افزودن آگهی متنی جدید ]




نمايش نتايج 1 به 6 از 6

نام تاپيک: فعالیت‌های مشکوک در سیستم

  1. #1
    حـــــرفـه ای MrGee's Avatar
    تاريخ عضويت
    May 2008
    محل سكونت
    کرج
    پست ها
    3,693

    پيش فرض فعالیت‌های مشکوک در سیستم

    سلام 

    یه چند وقیته که هر وقت به اینترنت وصل می شم پردازش svchost.exe اصلی که اکثر سرویس ها رو اجرا می کنه در هر ثانیه 30 کیلو بایت Read و Write داره و به محض این که از اینترنت بیرون میام دیگه این کار رو نمی کنه
    با cports هم که چک می کنم هیچ فعالیت اینترنتی رو با svchost.exe نمی بینم


    فایل lsass هم همیشه سه بار اجرا می شه یه یکشون معمولیه ولی دوتای دیگه هر چند با یوز سیستم اجرا می شن سرویس نیستند و به طور یه فایل اجرایی معمولی اجرا شدند که Command Line شون هم این جوریه
    "
    C:\WINDOWS\\system32\\lsass.exe"
    با از بین بردن پردازششون هم هیچ مشکلی پیش نمی یاد.


    این جوری اجرا شدن فایل lsass هم به فلشم مربوط می شه و هر وقت فلش رو به یه کامپیوتر می زنم اون کامپیوتر هم اون جوری می شه
    البته اینم بگم که به autorun.inf مربوط نمی شه
    ممنون

  2. #2
    حـــــرفـه ای Dr Hannibal's Avatar
    تاريخ عضويت
    Feb 2010
    محل سكونت
    Sandbox
    پست ها
    4,176

    پيش فرض

    اگه به سیستم مشکوک هستی اسکن با آنتی ویروس دیگه. ( غیر این راه وجود داره ؟ )

    برای اسکن میتونی از این برنامه کمکی در کنار انتی ویروس خودت استفاده کنی. اگه دوست نداری انتی ویروس فعلی رو هم پاک کنی میتونی از دیسک بوت آنتی ویروس ها استفاده کنی.


    http://www.malwarebytes.org/mbam/program/mbam-setup.exe

  3. این کاربر از Dr Hannibal بخاطر این مطلب مفید تشکر کرده است


  4. #3
    کـاربـر بـاسـابـقـه god of war 2's Avatar
    تاريخ عضويت
    Jun 2007
    پست ها
    585

    پيش فرض

    داداش MR Cracker چطوره.آقا شما هم ویروسی شدی.امان از دست این برنامه نویسا!!!
    اینجوری که توضیح دادی فکر کنم کرم Sasser گرفتی.این کرم پروسه Lsass رو سرریز بافر میکنه (Buffer Overflow)
    .اگر بعد از چند ثانیه یه پیغام روی صفحه میاد که میگه سیستم بعد از 60ثانیه خاموش میشه مطمئنن همین کرم در غیر اینصورت
    با یه آنتی ویروس خوب و آبدیت شده سیستمو یه اسکن کلی بکن.
    انشاالله که Sasser نباشه وگرنه .....
    موفق باشید.

  5. این کاربر از god of war 2 بخاطر این مطلب مفید تشکر کرده است


  6. #4
    حـــــرفـه ای MrGee's Avatar
    تاريخ عضويت
    May 2008
    محل سكونت
    کرج
    پست ها
    3,693

    پيش فرض

    برای اسکن میتونی از این برنامه کمکی در کنار انتی ویروس خودت استفاده کنی.
      مشکل اینجاست من اصلا از آنتی ویروس استفاده نمی کنم
    اینجوری که توضیح دادی فکر کنم کرم Sasser گرفتی.این کرم پروسه Lsass رو سرریز بافر میکنه (Buffer Overflow)
    .اگر بعد از چند ثانیه یه پیغام روی صفحه میاد که میگه سیستم بعد از 60ثانیه خاموش میشه مطمئنن همین کرم در غیر اینصورت
      با یه آنتی ویروس خوب و آبدیت شده سیستمو یه اسکن کلی بکن.
     
    نه سیستمم هیچ مشکلی نداره و فقط بعضی از فعالیت ها مشکوک هستند.
    البته یه مدت پیش سیستمم ویروسی شده بود که با روش دستی() پاکش کردم تازگی ها هم ویندوز عوض کردم ولی دوباره همون طور شده احتمال می دم ویروس خودش رو به فایل های اجرایی اتچ کرده که این جوری می شه.
    لیست سرویس هایی رو که اجرا می شن رو با یکی از سایت های مربوط به این کار چک کردم و همه سرویس هایی که اجرا می شن تو اون لیست بود.

    اسم اون ویروس رو دقیقا یادم نیست ولی یادمه که اول اسمش v بود و آی کن IE رو هم داشت و فایلش رو پوشه ویندوز (نه سیستم 32 ) بود اتوران نداشت و فعالیت مخربی هم نداشت


    اون فایل های Lsass رو هم برای بار اول توی لپ تاپ (یا نت بوک) یکی از فامیل هامون دیدم که بعد از این که فلشم رو از اون سیستم به
    کامپیوتر خودم آوردم این جوری شد(البته اون سیستم رو با  Process Explorer چک کردم و هیچ فعالیت مشکوکی رو مشاهده نکردم

    انشاالله که Sasser نباشه وگرنه .....
      راستی در مورد Sasser یه کم بیشتر توضیح می دی؟؟
    ممنون
    Last edited by MrGee; 03-07-2010 at 21:02.

  7. #5
    کـاربـر بـاسـابـقـه god of war 2's Avatar
    تاريخ عضويت
    Jun 2007
    پست ها
    585

    پيش فرض

    کد:
    برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید
    بعضی از ویروسها برای اینکه بین پروسه های سیستم شناسایی نشند از اسم های خود پروسه های سیستم استفاده میکنند.(مثل: svchost.exe)

    راستی در مورد Sasser یه کم بیشتر توضیح می دی؟؟
    داستانش مفصله ولی خلاصه شو میگم.
    Sasser: این دوست 15 کیلوبایتی از یک آسیب پذیری در پروسه Lsass.exe برای نفوذ و گسترش خودش بر روی شبکه استفاده میکند.این آسیب پذیری مربوط به Lsasrv.dll که توسط Lsass.exe مورد استفاده قرار میگیرد و با Buffer Overflow (سرریز بافر)
    سیستم هدف را به مخاطره می اندازد و کنترل کامل سیستم را به شخص نفوذ کننده میدهد.
    این کرم بعد از نفوذ به سیستم شما پیغامی مبنی بر Shutdown سیستم ضرف مدت 60 ثانیه نمایش میدهد.
    قابل ذکر است که sasser از نسخه های A تا Z به نگارش درآمد که با دستگیری فرد نویسنده این کرم اشخاص دیگری شروع به منتشر کردن انواع دیگری از این کرم نمودند.
    البته پچ های مربوط به این آسیب پذیری توسط ماکروسافت عرضه شده و این ویروس در سیستم عامل XP sp1 و پایینتر میتواند نفوذ کند.
    موفق باشید.

  8. 2 کاربر از god of war 2 بخاطر این مطلب مفید تشکر کرده اند


  9. #6
    حـــــرفـه ای Dr Hannibal's Avatar
    تاريخ عضويت
    Feb 2010
    محل سكونت
    Sandbox
    پست ها
    4,176

    پيش فرض

    نه سیستمم هیچ مشکلی نداره و فقط بعضی از فعالیت ها مشکوک هستند.
    رفیق گلم سیستم مشکل نداره بعضی فعالیت ها مشکوک هستند این جمله اشتباه هست.

    آنتی ویروس ها برای مقابله با مجموع malware طراحی میشند نه فقط ویروس.

    اگه خیلی مشکوک بهتره با یه آنتی ویروس با دیتابیس بالا مثل جی دیتا از طریق بوت سیستم رو از لحاظ روت کیت اسکن کنی.

    با یه آنتی ویروس با behavior blocker خوب مثل کسپرسکی و نورتون سیستم رو در محیط ویندوز چک کنی.

  10. این کاربر از Dr Hannibal بخاطر این مطلب مفید تشکر کرده است


Thread Information

Users Browsing this Thread

هم اکنون 1 کاربر در حال مشاهده این تاپیک میباشد. (0 کاربر عضو شده و 1 مهمان)

User Tag List

قوانين ايجاد تاپيک در انجمن

  • شما نمی توانید تاپیک ایحاد کنید
  • شما نمی توانید پاسخی ارسال کنید
  • شما نمی توانید فایل پیوست کنید
  • شما نمی توانید پاسخ خود را ویرایش کنید
  •