ايران ويج

arsanhacker نوشته است:ولی کسپر با اسم Keylogger بهش گیر می ده و این یک ضعف هست ( البته اگه تیک کیلاگر رو بزنید )

کسپر و nod32 راحت میگیرنش فقط کافیه یه نگاه به iat برنامه بندازه اونم قبل از اجرا تا ادرس توابعی که به getkeystat و getasynkkeystate رو ببینه که مربوط میشه به گرفتن حالت دکمه ای که فشرده شده که تو (90% کیلاگرها استفاده میشه 10% دیگه حرفهای ترن از keyboardhook استفاده میکنن) و خیلی راحت اونو بعنوان keyloger شناسایی میکنه و block میشه

الاناس که داش مهدی با آنتی و انالیز توپش بیاد
ما هم یه سرو کله ای باهاش زدیم . 100 رحمت به قبلیه این خیلی تخیلی تره

تو سايتش نوشته سرور ياكوزا 3.6 قوي تر شده !! انگار علي معظمي فكر مي كنه اگه سرور رو تو چند تا شاخه تو در تو مخفي كني كسي نمي تونه پيداش كنه !

آخرين ورژن Yakoza 3.6 Remover 2.0
[attachment=1096]

مشخصات سرور :
سروري ضعيف با همان باگ هاي سابق !!!


اين بار فقط تروجان رو اجرا كردم و بعد از اينكه با TaskMan بستمش!! با يه سرچ Serch *.exe Less then 69 Kb دو تا فايل ساخته شده رو پيدا كردم و ... تمام!!
آدم ياهو مسنجر رو بخواد از رو سيستمش پاك كنه بيشتر طول مي كشه!!!

برنامه اي كه در بالا قرار دادم قابليت آپديت شدن رو هم داره. كافيه فايل AVl.Umi رو در شاخه نصبي اين آنتي ويروس كپي كنيد تا بتونيد از آخرين آپديت هاي برنامه استفاده كنيد.

فايل آپديت برنامه
[attachment=1099]

اين بار تروجان از روش پيچيده تري نسبت به قبل براي اجراي خود استفاده مي كند . علاوه بر كليدهايي كه قبلا نيز در رجيستري ساخته مي شد ، كليد ديگري نيز ساخته شده كه باعث مي شود فايل SVCHOST.exe كه توسط تروجان در شاخه
SystemRoot\System32\Config

ساخته شده است ، به صورت اتوران اجرا شده و فايل سرور تروجان رو به صورت سرويس اجرا كند. با اين كار پيدا كردن استارتاپ ويروس در رجيستري دشوار تر شده و نيز فايل سرور از ثبات بيشتري برخوردار مي شود.
قبلا در مورد نحوه به اجرا در آمد ويروس ها بحث هاي مفصلي داخل سايت انجام شده كه براي كسب اطلاعات بيشتر مي تونيد به اون بهش ها مراجعه كنيد.

گرچه برنامه اي كه در پست قبل گذاشتم هم مي تونه تروجان رو از بين ببره اما براي حذف ديگر اثرات باقي مانده تروجان مي تونيد فايل آپديت رو دانلود كنيد.

سلام
اینجا مثل اینکه یه خبراییه!
یاکوزا یعنی انقدر گل کرده که همه رفتن تو خط انالیزش؟!!!!

عجبا چه استعدادهايي تو اين فروم بوده ما نمي دونستيم
هنوز ورژن Yakoza 3.6 بيرون نيومده انتيش را نوشتند

چند وقتی هست سیستمم بدجوری ویروسی شده و مجبورم دائما وینندوز عوش کنم . اینم ویروس ها یا تروجان هایی هست که میاد . هیچ نرم افزاری نمی تونم نصب کنم حتی آنتی ویروس . زمانی هم که ویندوز عوض می کنم آنتی ویروس فعال نمیشه .
تو رو خدابگید من چطوری اینا رو از بین ببرم . دائما برنامه هام بسته میشن . مثل یاهو مسنجر - اینترنت اکسپلورر - مدیاپلیر و...

چه راه حلی برای نابودی اینا سراغ دارید ؟

windrjn.exe
WUAUCLT.exe
WSUNTFY.exe
CSRSS.exe
CTFMON.exe
WINLOGON.exe

iransohrab نوشته است:windrjn.exe
WUAUCLT.exe
WSUNTFY.exe
CSRSS.exe
CTFMON.exe
WINLOGON.exe

در مورد این پروسسها بگین وقتی taskmanager رو باز میکنین هر کدوم از اینها در تو user ی اجرا میشن (بالا قسمت username مربوط به اینها چی نوشته؟)

سلام.
winlogon و ctfmon و csrss و wuauclt پروسه های خود ویندوزن که کارهای مختلفی مثل آپدیت وین و تغییر زبان و ... رو انجام میدن.
windrjn و WSUNTFY مشکوکن. البته شاید برای نرم افزار خاصی باشن که ویروس نباشه.
از اون ورم شاید اون فایل هایی که عرض کردم برای خود ویندوزن شاید ویروس باشن که با اسم پروسه های ویندوز برای رد گم کردن اجرا شده باشن.
شما اگه امکان سرچ داری اسم این فایل ها رو تو کل سیستمت سرچ کن و مسیرشون رو این جا بگو. اگرم تونستی آپلودشون کن همین جا.
اگرم تونستی تو ران بزن msconfig بعد به تب startup برو و همه تیک هارو بردار و سیستم رو یه بار ریست کن ببین بازم اجرا میشن یا نه.

Payman62 نوشته است:سلام.
winlogon و ctfmon و csrss و wuauclt پروسه های خود ویندوزن که کارهای مختلفی مثل آپدیت وین و تغییر زبان و ... رو انجام میدن.

کاملا درسته

نقل قول: windrjn و WSUNTFY مشکوکن. البته شاید برای نرم افزار خاصی باشن

WSUNTFY هم مال بخش امنیتی ویندوز هست
ویروس بودن این پروسه ها رو میشه از رو username مربوط به اینها تشخیص داد چون service هستن از داخل user local servise اجرا میشن اگه غیر از این باشه معلومه که ویروسه
جناب iransohrab شما تسک منجر رو باز کنین (تمام برنامه های غیر ضروری رو ببندید)بعد اسم پروسه هایی که username انها هم اسم نام کاربری ویندوز شما هست رو اینجا بگزارید شاید (اسامس که user انها local service و network servise نباشه)

تنها ويروس هايي كه بعد از نصب مجدد ويندوز به حياتشون ادامه مي دن ، ويروس هاي اتوران ساز هستند. پس اگه اين طور باشه بايد داخل هر كدوم از درايوهاتون و در روت اصلي اون يك فايل به نام Autorun.inf وجود داشته باشه. اون رو پيدا كنيد و اينجا قرار بديد.
اگه چنين فايلي وجود نداشته باشه ( احتمالا به صورت هايدن سيستمي سات و ه اين راحتي ها ديده نمي شه ) بعد از نصب مجدد ويندوز نبايد ويروس باقي بمونه مگر اينكه چيزي شبيه به Jeefo باشه.
لطفا بگيد اين ويروس چه كاري در سيستم شما انجام مي ده و چرا مي گيد سيستمتون ويروسي هست..