ویروس جدید

[Little Sparrow]

ببخشید من دوباره مزاحم میشم یه ویروس دیگه گرفتم ولی.
کامپیوتر رو که روشن کردم همون اول کار Avira پیام داد این برنامه میخواد به اینترنت وصل بشه
C:\WINDOWS\system32\wmpdb86.exe
منم Deny کردم و رفتم این فایل رو پیدا کنم که دیدم توی پوشه Windows اصلا System32 نیستش.
با بدبختی این System32 رو باز کردم و رفتم ببینم این فایل کجاست ولی پیداش نکردم.
Task manager رو هم باز کردم و یه نگاهی به Process ها انداختم دیدم این wmpdb86 اونجا هم هست.
سعی میکنم تا امشب با Hijack This یه Log بگیرم ولی الان نمیتونم اگه با همین اطلاعات میتونید کمک کنید خیلی خوب میشه.
Avira و MBAM هر دو اپدیت هستن پس فکر میکنم مخرب جدیدی باشه.

[Little Sparrow]

سعی کردم با Hijack this لوگ بگیرم ولی بعده چند ثانیه اتوماتیک بسته میشد برنامه نمیدونم چرا.سریع عمل کردم و سریع گزینه ها رو زدم سریع لوگ رو گرفتم قبل اینکه بسته بشه.معلوم نیست چه مخربی هست این...
این لوگ:

کد:

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

اینم یه عکس از Process ها که همون طور که گفتم Wmpdb86 بازم هست.

هروقت سیستم رو ریست میکنم ابتدای کار اویرا پیامی که گفتم رو میده و هربار هم System32 پنهان شده.

[Little Sparrow]

دکتر جون میگم این مخرب هایی که من میگیرم جدیدا چقدراون از Netsh که MBAM درستش کرد این از این مخرب جدید:

دارم از آویرا ناامید میشم این دومین باره مثل ماست در مقابل این مخرب های جدیدی که میگیرم عمل میکنه
بعد یه سوال الان این تروجان اطلاعات منو دزدیده؟کاری نمیتونم بکنم دیگه؟

[A M ! N]

دکتر جون میگم این مخرب هایی که من میگیرم جدیدا چقدراون از Netsh که MBAM درستش کرد این از این مخرب جدید:
دارم از آویرا ناامید میشم این دومین باره مثل ماست در مقابل این مخرب های جدیدی که میگیرم عمل میکنه
بعد یه سوال الان این تروجان اطلاعات منو دزدیده؟کاری نمیتونم بکنم دیگه؟

سلام حال شما..

شرمنده که دیگه دیر میرسم اینجا چندوقتی دیگه انرژیرو از دست دادم !

البته لوگ شما رو بررسی کردم که تنها نکته ی مشکوک همون فایل بود که حتی خودش رو به نام

Windows Data Recovery معرفی کرده بود به طرزی که لحظه ای فکر کردم جز فایلهای سیستمی هست ، وقتی دیتابیس فایلهای سیستمی اورجینال رو چک کردم دیدم همچین فایلی اصن وجود نداره.

خب اینطوری که نشون میده جی دیتا و دکتر وب این فایل رو شناسایی کردن.

اون برنامه داخل استارت آپ رجیستری شما بود، این برنامه ی پایین رو بگیر :

[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

یکبار دیگه چک کن ببین توی لیست استارت آپ ها نباشه.


اگه ازین فایل نمونه داشتین برای ما بزارین


موفق باشید.

[Little Sparrow]

متاسفانه چون HitmanPro حذفش کرد دیگه نمونه ازش ندارم و گرنه برای خود اویرا هم میفرستادم.
راستی چون اویرا نمیزاشت به اینترنت متصل بشه نمیتونست اطلاعاتم رو بفرسته ،درسته دیگه؟
با CCleaner از تو استارت اپ حذفش کردم البته اگه فعال هم میکردم مشکلی نبود چون فایلش دیگه حذف شده بود و اویرا هم دیگه پیام نمیداد.

[A M ! N]

متاسفانه چون HitmanPro حذفش کرد دیگه نمونه ازش ندارم و گرنه برای خود اویرا هم میفرستادم.
راستی چون اویرا نمیزاشت به اینترنت متصل بشه نمیتونست اطلاعاتم رو بفرسته ،درسته دیگه؟
با CCleaner از تو استارت اپ حذفش کردم البته اگه فعال هم میکردم مشکلی نبود چون فایلش دیگه حذف شده بود و اویرا هم دیگه پیام نمیداد.

اشکال نداره

ممکنه آویرا اون رو شناسایی نکنه ولی اجازه ی اتصال کانکشنهای ناشناس رو نمیده فایروالش، بعید میدونم چیزی عبور کرده باشه..!

خداروشکر به هرحال..

موفق باشید.