۱۵-بهمن-۱۳۹۳, ۰۶:۱۰:۳۲
سلام دوستان
دیروز صبح با مشکل پر شدن سریع رم و Pagefile روبرو شدم و وقتی چک کردم دیدم دیدم svchost داره رم می خوره.
سرویس های مرتبت با svchost رو چک کردم طبیعی بود.
تمام نرم افزار ها رو بستم بهتر شد ولی بازم svchost مموری نسبتا زیادی گرفته بود. نرم افزار امنیتی هم Malwarebyte Premium یود.
بعد در پروسس منیجر متوجه فایلی با نام 951C.tmp شدم که داخل %USER%TEMP% بود. اونو ٍEnd کردم و پس از چک کردن اوتوران ها و خالی کردن Temp و Prefetch سیستم رو ریستارت کردم. سیستم پس از بالا اومدن پیغام داد آدرس 951C.tmp درست نیست.
بازم یه خورده svchost زیاد رم خورده بود. سرچ کردم مایکروسافت گفته بود Winsock ریست بشه، سون فروم گفته بود از framework هست . framework 4.5.2 هم نصب کردم Winsock هم ریست کردم و بعد از ریستارت متوجه شدم تعداد زیادی از فایل هام روی هارد دوم همه انکریپت شده با پسوند com و یه همچین چیزی به آخر همه شون اضافه شده
id-9082568147_fud@india.com
هیچ فایلی توی درایو c خراب نشده بود و اول از همه هارد دوم مورد حمله قرار گرفته بود و ترتیب حمله به این صورت به نظر می رسید
Jpeg
mkv
avi
rar
مرورگر مورد استفاده هم Chrome Portable و ویندوز 7 x64
ESET و Malwarebyte هم هیچ عکس العملی ندادن که با اون پسوند FUD نباید غیر طبیعی باشه. نهایتا از طریق ویندوز دوم (xp) با Stinger اسکن کردم داخل فولدر Chrome چند تا Artemis شناخت و avast هم یه تروجان ناشناس گرفت و SUPERAntispyware هم دو تا Somoto/Variant شناسایی کرد.
الان هم فقط با safe mode بالا میام و هارد دوم رو جدا کردم تا تکلیف فایل ها روشن بشه و بعد ویندوز عوض کنم.
دو مورد غیر عادی هم دیدم :
یکی فایل Lockdir6.lg داخل %USER%PUBLIC%
یکی هم وجود یه Pagefile.sys مشابه در درایو D
لطفا راهنمایی ... عکس های مرحوم مادرم خیلی برام مهمن
دیروز صبح با مشکل پر شدن سریع رم و Pagefile روبرو شدم و وقتی چک کردم دیدم دیدم svchost داره رم می خوره.
سرویس های مرتبت با svchost رو چک کردم طبیعی بود.
تمام نرم افزار ها رو بستم بهتر شد ولی بازم svchost مموری نسبتا زیادی گرفته بود. نرم افزار امنیتی هم Malwarebyte Premium یود.
بعد در پروسس منیجر متوجه فایلی با نام 951C.tmp شدم که داخل %USER%TEMP% بود. اونو ٍEnd کردم و پس از چک کردن اوتوران ها و خالی کردن Temp و Prefetch سیستم رو ریستارت کردم. سیستم پس از بالا اومدن پیغام داد آدرس 951C.tmp درست نیست.
بازم یه خورده svchost زیاد رم خورده بود. سرچ کردم مایکروسافت گفته بود Winsock ریست بشه، سون فروم گفته بود از framework هست . framework 4.5.2 هم نصب کردم Winsock هم ریست کردم و بعد از ریستارت متوجه شدم تعداد زیادی از فایل هام روی هارد دوم همه انکریپت شده با پسوند com و یه همچین چیزی به آخر همه شون اضافه شده
id-9082568147_fud@india.com
هیچ فایلی توی درایو c خراب نشده بود و اول از همه هارد دوم مورد حمله قرار گرفته بود و ترتیب حمله به این صورت به نظر می رسید
Jpeg
mkv
avi
rar
مرورگر مورد استفاده هم Chrome Portable و ویندوز 7 x64
ESET و Malwarebyte هم هیچ عکس العملی ندادن که با اون پسوند FUD نباید غیر طبیعی باشه. نهایتا از طریق ویندوز دوم (xp) با Stinger اسکن کردم داخل فولدر Chrome چند تا Artemis شناخت و avast هم یه تروجان ناشناس گرفت و SUPERAntispyware هم دو تا Somoto/Variant شناسایی کرد.
الان هم فقط با safe mode بالا میام و هارد دوم رو جدا کردم تا تکلیف فایل ها روشن بشه و بعد ویندوز عوض کنم.
دو مورد غیر عادی هم دیدم :
یکی فایل Lockdir6.lg داخل %USER%PUBLIC%
یکی هم وجود یه Pagefile.sys مشابه در درایو D
لطفا راهنمایی ... عکس های مرحوم مادرم خیلی برام مهمن