ايران ويج

داشتم با نود 32 سیستم را اسکن میکردم به چند فایل گیر داد واسه شرکت نود سندش کردم یعنی خودش انالیز کرد بعدش هم سند امروز سیستم را اسکن کردم به این چند فایل گیر داد
3/8/2009 12:01:55 AM Real-time file system protection file C:\WINDOWS\YMagic.dll Win32/PSW.Prostor.NAA trojan cleaned by deleting - quarantined AMIN-911A8D52DC\amin Event occurred on a new file created by the application: C:\Program Files\Microsoft Visual Studio\VB98\vb6.exe.
3/8/2009 12:01:55 AM Real-time file system protection file C:\WINDOWS\system32\YMagic.dll Win32/PSW.Prostor.NAA trojan cleaned by deleting - quarantined AMIN-911A8D52DC\amin Event occurred on a new file created by the application: C:\Program Files\Microsoft Visual Studio\VB98\vb6.exe.

3/9/2009 2:27:14 PM Real-time file system protection file C:\WINDOWS\system32\x Win32/Conficker.F worm cleaned by deleting - quarantined NT AUTHORITY\SYSTEM Event occurred on a new file created by the application: C:\WINDOWS\System32\svchost.exe.

3/9/2009 2:52:36 PM Real-time file system protection file C:\WINDOWS\system32\x a variant of Win32/Conficker.AE worm cleaned by deleting - quarantined NT AUTHORITY\SYSTEM Event occurred on a new file created by the application: C:\WINDOWS\System32\svchost.exe.

3/9/2009 3:13:06 PM Real-time file system protection file C:\WINDOWS\system32\x a variant of Win32/Conficker.AE worm cleaned by deleting - quarantined NT AUTHORITY\SYSTEM Event occurred on a new file created by the application: C:\WINDOWS\System32\svchost.exe.
3/9/2009 3:25:03 PM Real-time file system protection file C:\WINDOWS\system32\x a variant of Win32/Conficker.AE worm cleaned by deleting - quarantined NT AUTHORITY\SYSTEM Event occurred on a new file created by the application: C:\WINDOWS\System32\svchost.exe.

و جالتر از همش این قسمت بود
3/11/2009 8:21:59 AM HTTP fliter file http://192.168.1.26:1448/kptxi a variant of Win32/Conficker.AE worm connection terminated - quarantined NT AUTHORITY\SYSTEM Threat was detected upon access to web by the application: C:\WINDOWS\system32\svchost.exe.

3/11/2009 10:28:25 AM HTTP fliter file http://192.168.1.3:4786/ycurwb a variant of Win32/Conficker.AE worm connection terminated - quarantined NT AUTHORITY\SYSTEM Threat was detected upon access to web by the application: C:\WINDOWS\system32\svchost.exe.

---

اخه IP 192.168.1.3 هست نمیدونم چی بگم فکر کنم رو پورت 4789 بوده نود 32 ورژن 4 نوشت CONNECTION TERMINATED جلوشو گرفت
من هم قسمت RUN ویندوز نوشتم

بعدش هم اینطور شد

ولی اخه این ip 192.168.1.3 نمیدونم شک دارم من رو سیستمم هیچ کلمه عبوری برای ورود به ویندوز نداره معلوم نیست میخواد به کجا وصل بشه اگر میشه انالیزش کنید

---

رفتم ویروسها را تو nod32 restore کردم
3 فایل به نام
kptxi
x
ycurwb
بود اینم خود ویروسه

ببین اینجاست که نیاز به یه Internet Security مثل Zone Alarm یا Bit Defender معلوم میشه کل پورتها رو اسکن میکنه

اخه دیگه نمیشه اسکن کرد با دستور netstat -n میشه فهمید نگاه کن
C:\Documents and Settings\amin>netstat -n

Active Connections

Proto Local Address Foreign Address State
TCP 10.0.2.2:3366 76.13.15.43:5050 ESTABLISHED
TCP 10.0.2.2:3378 68.142.233.119:443 ESTABLISHED
TCP 10.0.2.2:4614 65.203.229.217:80 TIME_WAIT
TCP 10.0.2.2:4628 195.59.44.50:80 TIME_WAIT
TCP 127.0.0.1:1052 127.0.0.1:1053 ESTABLISHED
TCP 127.0.0.1:1053 127.0.0.1:1052 ESTABLISHED
TCP 127.0.0.1:3365 127.0.0.1:30606 ESTABLISHED
TCP 127.0.0.1:3377 127.0.0.1:30606 ESTABLISHED
TCP 127.0.0.1:30606 127.0.0.1:3365 ESTABLISHED
TCP 127.0.0.1:30606 127.0.0.1:3377 ESTABLISHED
TCP 127.0.0.1:30606 127.0.0.1:4609 TIME_WAIT
TCP 127.0.0.1:30606 127.0.0.1:4615 TIME_WAIT
TCP 127.0.0.1:30606 127.0.0.1:4617 TIME_WAIT
TCP 127.0.0.1:30606 127.0.0.1:4621 TIME_WAIT
TCP 127.0.0.1:30606 127.0.0.1:4625 TIME_WAIT
TCP 127.0.0.1:30606 127.0.0.1:4629 TIME_WAIT

چی بگم والا اما اون میاد پورتتو پیغام میده ببندم یا نه اونوقت که بگی جلوی کارشو میگیره

اره معلومه دوست عزیز اون بهتر کار میکنه اخه zone alarm ندارم نود 32 ورژن 4 با اپدیت جلوشو گرفت تازه شناسایی شده میخوام بیبینم مثلان پسورد ایدیم را دزدیده یا نه خیلی واسم مهمه بیبینم به این ربطی داشته یا نه

والا نمیدونم این طوری بتونی بفهمی یا نه اینی فایلی ککه من دیدم یه تروجان دراپر. فکر می کنم میاد به سروری که براش تعیین شده از همون پورت ها وصل میشه اطلاعاتی که تو کامپیوترت وارد میکنی شاید یه سری پسوردها و... رو برای نویسندش یا.... سند می کنه.

اره درسته منم همچین شکی دارم به احتمال زیاد دیتا میفرسته