امتیاز موضوع:
  • 1 رأی - میانگین امتیازات: 1
  • 1
  • 2
  • 3
  • 4
  • 5
ویروس کودر کمک فوری
نویسنده پیام
alir32a آفلاین
تازه وارد

ارسال‌ها: 4
موضوع‌ها: 1
تاریخ عضویت: بهمن ۱۳۹۳

تشکرها : 2
( 0 تشکر در 0 ارسال )
ارسال: #1
Exclamation  ویروس کودر کمک فوری
سلام دوستان
دیروز صبح با مشکل پر شدن سریع رم و Pagefile روبرو شدم و وقتی چک کردم دیدم دیدم svchost داره رم می خوره.
سرویس های مرتبت با svchost رو چک کردم طبیعی بود.
تمام نرم افزار ها رو بستم بهتر شد ولی بازم svchost مموری نسبتا زیادی گرفته بود. نرم افزار امنیتی هم Malwarebyte Premium یود.
بعد در پروسس منیجر متوجه فایلی با نام 951C.tmp شدم که داخل %USER%TEMP% بود. اونو ٍEnd کردم و پس از چک کردن اوتوران ها و خالی کردن Temp و Prefetch سیستم رو ریستارت کردم. سیستم پس از بالا اومدن پیغام داد آدرس 951C.tmp درست نیست.
بازم یه خورده svchost زیاد رم خورده بود. سرچ کردم مایکروسافت گفته بود Winsock ریست بشه، سون فروم گفته بود از framework هست . framework 4.5.2 هم نصب کردم Winsock هم ریست کردم و بعد از ریستارت متوجه شدم تعداد زیادی از فایل هام روی هارد دوم همه انکریپت شده با پسوند com و یه همچین چیزی به آخر همه شون اضافه شده
id-9082568147_fud@india.com
هیچ فایلی توی درایو c خراب نشده بود و اول از همه هارد دوم مورد حمله قرار گرفته بود و ترتیب حمله به این صورت به نظر می رسید
Jpeg
mkv
avi
rar
مرورگر مورد استفاده هم Chrome Portable و ویندوز 7 x64
ESET و Malwarebyte هم هیچ عکس العملی ندادن که با اون پسوند FUD نباید غیر طبیعی باشه. نهایتا از طریق ویندوز دوم (xp) با Stinger اسکن کردم داخل فولدر Chrome چند تا Artemis شناخت و avast هم یه تروجان ناشناس گرفت و SUPERAntispyware هم دو تا Somoto/Variant شناسایی کرد.
الان هم فقط با safe mode بالا میام و هارد دوم رو جدا کردم تا تکلیف فایل ها روشن بشه و بعد ویندوز عوض کنم.
دو مورد غیر عادی هم دیدم :
یکی فایل Lockdir6.lg داخل %USER%PUBLIC%
یکی هم وجود یه Pagefile.sys مشابه در درایو D

لطفا راهنمایی ... عکس های مرحوم مادرم خیلی برام مهمن
۱۵-بهمن-۱۳۹۳, ۰۶:۱۰:۳۲
ارسال‌ها
پاسخ
alir32a آفلاین
تازه وارد

ارسال‌ها: 4
موضوع‌ها: 1
تاریخ عضویت: بهمن ۱۳۹۳

تشکرها : 2
( 0 تشکر در 0 ارسال )
ارسال: #2
RE: ویروس کودر کمک فوری
اینو فراموش کردم. بک آپ و restore point هم ندارم
اینم یه نمونه jpeg
http://s5.picofile.com/file/8168357168/1.rar.html
۱۵-بهمن-۱۳۹۳, ۰۶:۲۴:۲۲
ارسال‌ها
پاسخ
NO DONGLE آفلاین
مدیر بخش نفوذ و امنیت
*****

ارسال‌ها: 479
موضوع‌ها: 8
تاریخ عضویت: مهر ۱۳۹۱

تشکرها : 46
( 1771 تشکر در 472 ارسال )
ارسال: #3
RE: ویروس کودر کمک فوری
متاسفم راه شناخته شده ی مطمئنی با توجه به شرایط شما فعلا وجود نداره

۱۵-بهمن-۱۳۹۳, ۱۸:۲۵:۵۹
ارسال‌ها
پاسخ
تشکر شده توسط : omid_phoenix, alir32a
alir32a آفلاین
تازه وارد

ارسال‌ها: 4
موضوع‌ها: 1
تاریخ عضویت: بهمن ۱۳۹۳

تشکرها : 2
( 0 تشکر در 0 ارسال )
ارسال: #4
RE: ویروس کودر کمک فوری
ممنون از پاسختون
داشتن خود ویروس/تروجان کمکی میکنه؟
اونها رو هنوز توی قرنطینه Stinger دارم
۱۵-بهمن-۱۳۹۳, ۱۸:۴۷:۱۹
ارسال‌ها
پاسخ
NO DONGLE آفلاین
مدیر بخش نفوذ و امنیت
*****

ارسال‌ها: 479
موضوع‌ها: 8
تاریخ عضویت: مهر ۱۳۹۱

تشکرها : 46
( 1771 تشکر در 472 ارسال )
ارسال: #5
RE: ویروس کودر کمک فوری
نه متاسفانه چون رفتار این بدافزار شناخته شدست
ولی اگه موقع ارسال کلید ها از طرف بد افزار به سرور مورد نظر از حافظه دامپ کامل داشتید میشد یا یه بک آپ میشد

(آخرین ویرایش در این ارسال: ۱۵-بهمن-۱۳۹۳, ۱۸:۵۲:۲۳، توسط NO DONGLE.)
۱۵-بهمن-۱۳۹۳, ۱۸:۵۱:۰۸
ارسال‌ها
پاسخ
تشکر شده توسط : omid_phoenix, alir32a


موضوعات مرتبط با این موضوع...
موضوع نویسنده پاسخ بازدید آخرین ارسال
Rolleyes سورس ویروس ساده در عین حال خطر ناک با ویژال بیسیک Ghoghnus 0 332 ۱۱-اسفند-۱۳۹۷, ۱۵:۴۹:۰۴
آخرین ارسال: Ghoghnus
Exclamation ورژن جدید ویروس Setup.exe Morpheus 41 38,267 ۲۳-شهریور-۱۳۹۵, ۱۶:۳۴:۵۴
آخرین ارسال: babyy
  ویروس یابی! 1نفر 7 3,792 ۰۱-اردیبهشت-۱۳۹۵, ۱۲:۵۰:۰۳
آخرین ارسال: 1نفر
  حذف ویروس های TMP! student-p 4 4,289 ۰۴-اسفند-۱۳۹۴, ۱۱:۵۹:۰۷
آخرین ارسال: imenbazar
  استخراج امضا های ویروس ها از دیتابیس آنتی ویروس hadiranji 1 1,813 ۱۳-بهمن-۱۳۹۴, ۱۲:۵۰:۵۵
آخرین ارسال: lord_viper
  ویروس یا تروجان مخرب خطرناک 123659 51 32,898 ۱۹-بهمن-۱۳۹۳, ۰۰:۳۷:۲۵
آخرین ارسال: omid_phoenix
  ویروس تبلیغاتی helma 8 6,569 ۱۷-بهمن-۱۳۹۳, ۰۵:۱۶:۴۴
آخرین ارسال: NO DONGLE
  [سوال] کمک خیلی فوری dracula_mns 1 1,399 ۲۷-دى-۱۳۹۳, ۱۷:۱۴:۲۹
آخرین ارسال: NO DONGLE
  معرفی یک ویروس خطرناک apcog 16 11,163 ۱۲-مهر-۱۳۹۳, ۰۹:۱۴:۴۳
آخرین ارسال: Di Di
  غیر قابل شناسایی کردن ویروس در VB6 crab 8 9,023 ۰۶-مهر-۱۳۹۳, ۰۱:۰۸:۴۸
آخرین ارسال: grimm

پرش به انجمن:


کاربرانِ درحال بازدید از این موضوع: 1 مهمان

صفحه‌ی تماس | IranVig | بازگشت به بالا | | بایگانی | پیوند سایتی RSS