حالت موضوعی | حالت خطی

Mr.pRoGraMmer

داشتم با نود 32 سیستم را اسکن میکردم به چند فایل گیر داد واسه شرکت نود سندش کردم یعنی خودش انالیز کرد بعدش هم سند امروز سیستم را اسکن کردم به این چند فایل گیر داد
3/8/2009 12:01:55 AM Real-time file system protection file C:\WINDOWS\YMagic.dll Win32/PSW.Prostor.NAA trojan cleaned by deleting - quarantined AMIN-911A8D52DC\amin Event occurred on a new file created by the application: C:\Program Files\Microsoft Visual Studio\VB98\vb6.exe.
3/8/2009 12:01:55 AM Real-time file system protection file C:\WINDOWS\system32\YMagic.dll Win32/PSW.Prostor.NAA trojan cleaned by deleting - quarantined AMIN-911A8D52DC\amin Event occurred on a new file created by the application: C:\Program Files\Microsoft Visual Studio\VB98\vb6.exe.

3/9/2009 2:27:14 PM Real-time file system protection file C:\WINDOWS\system32\x Win32/Conficker.F worm cleaned by deleting - quarantined NT AUTHORITY\SYSTEM Event occurred on a new file created by the application: C:\WINDOWS\System32\svchost.exe.

3/9/2009 2:52:36 PM Real-time file system protection file C:\WINDOWS\system32\x a variant of Win32/Conficker.AE worm cleaned by deleting - quarantined NT AUTHORITY\SYSTEM Event occurred on a new file created by the application: C:\WINDOWS\System32\svchost.exe.

3/9/2009 3:13:06 PM Real-time file system protection file C:\WINDOWS\system32\x a variant of Win32/Conficker.AE worm cleaned by deleting - quarantined NT AUTHORITY\SYSTEM Event occurred on a new file created by the application: C:\WINDOWS\System32\svchost.exe.
3/9/2009 3:25:03 PM Real-time file system protection file C:\WINDOWS\system32\x a variant of Win32/Conficker.AE worm cleaned by deleting - quarantined NT AUTHORITY\SYSTEM Event occurred on a new file created by the application: C:\WINDOWS\System32\svchost.exe.

و جالتر از همش این قسمت بود
3/11/2009 8:21:59 AM HTTP fliter file http://192.168.1.26:1448/kptxi a variant of Win32/Conficker.AE worm connection terminated - quarantined NT AUTHORITY\SYSTEM Threat was detected upon access to web by the application: C:\WINDOWS\system32\svchost.exe.

3/11/2009 10:28:25 AM HTTP fliter file http://192.168.1.3:4786/ycurwb a variant of Win32/Conficker.AE worm connection terminated - quarantined NT AUTHORITY\SYSTEM Threat was detected upon access to web by the application: C:\WINDOWS\system32\svchost.exe.

اخه IP 192.168.1.3 هست نمیدونم چی بگم فکر کنم رو پورت 4789 بوده نود 32 ورژن 4 نوشت CONNECTION TERMINATED جلوشو گرفت
من هم قسمت RUN ویندوز نوشتم
[تصویر: eb1vdv.jpg]

بعدش هم اینطور شد
[تصویر: kcgqya.jpg]

ولی اخه این ip 192.168.1.3 نمیدونم شک دارم من رو سیستمم هیچ کلمه عبوری برای ورود به ویندوز نداره معلوم نیست میخواد به کجا وصل بشه اگر میشه انالیزش کنید

رفتم ویروسها را تو nod32 restore کردم
3 فایل به نام
kptxi
x
ycurwb
بود اینم خود ویروسه

Morpheus

ببین اینجاست که نیاز به یه Internet Security مثل Zone Alarm یا Bit Defender معلوم میشه کل پورتها رو اسکن میکنه

Mr.pRoGraMmer

اخه دیگه نمیشه اسکن کرد با دستور netstat -n میشه فهمید نگاه کن
C:\Documents and Settings\amin>netstat -n

Active Connections

Proto Local Address Foreign Address State
TCP 10.0.2.2:3366 76.13.15.43:5050 ESTABLISHED
TCP 10.0.2.2:3378 68.142.233.119:443 ESTABLISHED
TCP 10.0.2.2:4614 65.203.229.217:80 TIME_WAIT
TCP 10.0.2.2:4628 195.59.44.50:80 TIME_WAIT
TCP 127.0.0.1:1052 127.0.0.1:1053 ESTABLISHED
TCP 127.0.0.1:1053 127.0.0.1:1052 ESTABLISHED
TCP 127.0.0.1:3365 127.0.0.1:30606 ESTABLISHED
TCP 127.0.0.1:3377 127.0.0.1:30606 ESTABLISHED
TCP 127.0.0.1:30606 127.0.0.1:3365 ESTABLISHED
TCP 127.0.0.1:30606 127.0.0.1:3377 ESTABLISHED
TCP 127.0.0.1:30606 127.0.0.1:4609 TIME_WAIT
TCP 127.0.0.1:30606 127.0.0.1:4615 TIME_WAIT
TCP 127.0.0.1:30606 127.0.0.1:4617 TIME_WAIT
TCP 127.0.0.1:30606 127.0.0.1:4621 TIME_WAIT
TCP 127.0.0.1:30606 127.0.0.1:4625 TIME_WAIT
TCP 127.0.0.1:30606 127.0.0.1:4629 TIME_WAIT

Morpheus

چی بگم والا اما اون میاد پورتتو پیغام میده ببندم یا نه اونوقت که بگی جلوی کارشو میگیره

Mr.pRoGraMmer

اره معلومه دوست عزیز اون بهتر کار میکنه اخه zone alarm ندارم نود 32 ورژن 4 با اپدیت جلوشو گرفت تازه شناسایی شده میخوام بیبینم مثلان پسورد ایدیم را دزدیده یا نه خیلی واسم مهمه بیبینم به این ربطی داشته یا نه

Morpheus

والا نمیدونم این طوری بتونی بفهمی یا نه اینی فایلی ککه من دیدم یه تروجان دراپر. فکر می کنم میاد به سروری که براش تعیین شده از همون پورت ها وصل میشه اطلاعاتی که تو کامپیوترت وارد میکنی شاید یه سری پسوردها و... رو برای نویسندش یا.... سند می کنه.

Mr.pRoGraMmer

اره درسته منم همچین شکی دارم به احتمال زیاد دیتا میفرسته

موضوعات مرتبط با این موضوع...
موضوع		نویسنده	پاسخ	بازدید	آخرین ارسال
	سورس ویروس ساده در عین حال خطر ناک با ویژال بیسیک	Ghoghnus	0	1,238	۱۱-اسفند-۱۳۹۷, ۱۵:۴۹:۰۴ آخرین ارسال: Ghoghnus
	ورژن جدید ویروس Setup.exe	Morpheus	41	44,952	۲۳-شهریور-۱۳۹۵, ۱۶:۳۴:۵۴ آخرین ارسال: babyy
	ویروس یابی!	1نفر	7	5,344	۰۱-اردیبهشت-۱۳۹۵, ۱۲:۵۰:۰۳ آخرین ارسال: 1نفر
	حذف ویروس های TMP!	student-p	4	6,350	۰۴-اسفند-۱۳۹۴, ۱۱:۵۹:۰۷ آخرین ارسال: imenbazar
	استخراج امضا های ویروس ها از دیتابیس آنتی ویروس	hadiranji	1	2,526	۱۳-بهمن-۱۳۹۴, ۱۲:۵۰:۵۵ آخرین ارسال: lord_viper
	ویروس یا تروجان مخرب خطرناک	123659	51	39,687	۱۹-بهمن-۱۳۹۳, ۰۰:۳۷:۲۵ آخرین ارسال: omid_phoenix
	ویروس تبلیغاتی	helma	8	7,959	۱۷-بهمن-۱۳۹۳, ۰۵:۱۶:۴۴ آخرین ارسال: NO DONGLE
	[فوری] ویروس کودر کمک فوری	alir32a	4	4,325	۱۵-بهمن-۱۳۹۳, ۱۸:۵۱:۰۸ آخرین ارسال: NO DONGLE
	معرفی یک ویروس خطرناک	apcog	16	13,782	۱۲-مهر-۱۳۹۳, ۰۹:۱۴:۴۳ آخرین ارسال: Di Di
	غیر قابل شناسایی کردن ویروس در VB6	crab	8	10,534	۰۶-مهر-۱۳۹۳, ۰۱:۰۸:۴۸ آخرین ارسال: grimm

حالت موضوعی \| حالت خطی ویروس مشکوک CONFICKER
نویسنده	پیام