حالت موضوعی | حالت خطی

**lord_viper**

arsanhacker نوشته است:ولی کسپر با اسم Keylogger بهش گیر می ده و این یک ضعف هست ( البته اگه تیک کیلاگر رو بزنید )

کسپر و nod32 راحت میگیرنش فقط کافیه یه نگاه به iat برنامه بندازه اونم قبل از اجرا تا ادرس توابعی که به getkeystat و getasynkkeystate رو ببینه که مربوط میشه به گرفتن حالت دکمه ای که فشرده شده که تو (90% کیلاگرها استفاده میشه 10% دیگه حرفهای ترن از keyboardhook استفاده میکنن) و خیلی راحت اونو بعنوان keyloger شناسایی میکنه و block میشه

sayberiya

الاناس که داش مهدی با آنتی و انالیز توپش بیاد
ما هم یه سرو کله ای باهاش زدیم . 100 رحمت به قبلیه این خیلی تخیلی تره

**Di Di**

تو سايتش نوشته سرور ياكوزا 3.6 قوي تر شده !! انگار علي معظمي فكر مي كنه اگه سرور رو تو چند تا شاخه تو در تو مخفي كني كسي نمي تونه پيداش كنه ! Amaze

آخرين ورژن Yakoza 3.6 Remover 2.0

.zip

Setup.zip (اندازه: 319.74 KB / تعداد دفعات دریافت: 66)

مشخصات سرور :
سروري ضعيف با همان باگ هاي سابق !!!

اين بار فقط تروجان رو اجرا كردم و بعد از اينكه با TaskMan بستمش!! با يه سرچ Serch *.exe Less then 69 Kb دو تا فايل ساخته شده رو پيدا كردم و ... تمام!!
آدم ياهو مسنجر رو بخواد از رو سيستمش پاك كنه بيشتر طول مي كشه!!!

**Di Di**

برنامه اي كه در بالا قرار دادم قابليت آپديت شدن رو هم داره. كافيه فايل AVl.Umi رو در شاخه نصبي اين آنتي ويروس كپي كنيد تا بتونيد از آخرين آپديت هاي برنامه استفاده كنيد.

فايل آپديت برنامه

.zip

AVL.zip (اندازه: 639 bytes / تعداد دفعات دریافت: 39)

اين بار تروجان از روش پيچيده تري نسبت به قبل براي اجراي خود استفاده مي كند . علاوه بر كليدهايي كه قبلا نيز در رجيستري ساخته مي شد ، كليد ديگري نيز ساخته شده كه باعث مي شود فايل SVCHOST.exe كه توسط تروجان در شاخه
SystemRoot\System32\Config

ساخته شده است ، به صورت اتوران اجرا شده و فايل سرور تروجان رو به صورت سرويس اجرا كند. با اين كار پيدا كردن استارتاپ ويروس در رجيستري دشوار تر شده و نيز فايل سرور از ثبات بيشتري برخوردار مي شود.
قبلا در مورد نحوه به اجرا در آمد ويروس ها بحث هاي مفصلي داخل سايت انجام شده كه براي كسب اطلاعات بيشتر مي تونيد به اون بهش ها مراجعه كنيد.

گرچه برنامه اي كه در پست قبل گذاشتم هم مي تونه تروجان رو از بين ببره اما براي حذف ديگر اثرات باقي مانده تروجان مي تونيد فايل آپديت رو دانلود كنيد.

**veyskarami**

سلام
اینجا مثل اینکه یه خبراییه!
یاکوزا یعنی انقدر گل کرده که همه رفتن تو خط انالیزش؟!!!!

yaghoob.ekrami

عجبا

چه استعدادهايي تو اين فروم بوده ما نمي دونستيم
هنوز ورژن Yakoza 3.6 بيرون نيومده انتيش را نوشتند Rolleyes

iransohrab

چند وقتی هست سیستمم بدجوری ویروسی شده و مجبورم دائما وینندوز عوش کنم . اینم ویروس ها یا تروجان هایی هست که میاد . هیچ نرم افزاری نمی تونم نصب کنم حتی آنتی ویروس . زمانی هم که ویندوز عوض می کنم آنتی ویروس فعال نمیشه .
تو رو خدابگید من چطوری اینا رو از بین ببرم . دائما برنامه هام بسته میشن . مثل یاهو مسنجر - اینترنت اکسپلورر - مدیاپلیر و...

چه راه حلی برای نابودی اینا سراغ دارید ؟

windrjn.exe
WUAUCLT.exe
WSUNTFY.exe
CSRSS.exe
CTFMON.exe
WINLOGON.exe

**lord_viper**

iransohrab نوشته است:windrjn.exe
WUAUCLT.exe
WSUNTFY.exe
CSRSS.exe
CTFMON.exe
WINLOGON.exe

در مورد این پروسسها بگین وقتی taskmanager رو باز میکنین هر کدوم از اینها در تو user ی اجرا میشن (بالا قسمت username مربوط به اینها چی نوشته؟)

**Payman62**

سلام.
winlogon و ctfmon و csrss و wuauclt پروسه های خود ویندوزن که کارهای مختلفی مثل آپدیت وین و تغییر زبان و ... رو انجام میدن.
windrjn و WSUNTFY مشکوکن. البته شاید برای نرم افزار خاصی باشن که ویروس نباشه.
از اون ورم شاید اون فایل هایی که عرض کردم برای خود ویندوزن شاید ویروس باشن که با اسم پروسه های ویندوز برای رد گم کردن اجرا شده باشن.
شما اگه امکان سرچ داری اسم این فایل ها رو تو کل سیستمت سرچ کن و مسیرشون رو این جا بگو. اگرم تونستی آپلودشون کن همین جا.
اگرم تونستی تو ران بزن msconfig بعد به تب startup برو و همه تیک هارو بردار و سیستم رو یه بار ریست کن ببین بازم اجرا میشن یا نه.

**lord_viper**

Payman62 نوشته است:سلام.
winlogon و ctfmon و csrss و wuauclt پروسه های خود ویندوزن که کارهای مختلفی مثل آپدیت وین و تغییر زبان و ... رو انجام میدن.

کاملا درسته

نقل قول: windrjn و WSUNTFY مشکوکن. البته شاید برای نرم افزار خاصی باشن

WSUNTFY هم مال بخش امنیتی ویندوز هست
ویروس بودن این پروسه ها رو میشه از رو username مربوط به اینها تشخیص داد چون service هستن از داخل user local servise اجرا میشن اگه غیر از این باشه معلومه که ویروسه
جناب iransohrab شما تسک منجر رو باز کنین (تمام برنامه های غیر ضروری رو ببندید)بعد اسم پروسه هایی که username انها هم اسم نام کاربری ویندوز شما هست رو اینجا بگزارید شاید (اسامس که user انها local service و network servise نباشه)

**Di Di**

تنها ويروس هايي كه بعد از نصب مجدد ويندوز به حياتشون ادامه مي دن ، ويروس هاي اتوران ساز هستند. پس اگه اين طور باشه بايد داخل هر كدوم از درايوهاتون و در روت اصلي اون يك فايل به نام Autorun.inf وجود داشته باشه. اون رو پيدا كنيد و اينجا قرار بديد.
اگه چنين فايلي وجود نداشته باشه ( احتمالا به صورت هايدن سيستمي سات و ه اين راحتي ها ديده نمي شه ) بعد از نصب مجدد ويندوز نبايد ويروس باقي بمونه مگر اينكه چيزي شبيه به Jeefo باشه.
لطفا بگيد اين ويروس چه كاري در سيستم شما انجام مي ده و چرا مي گيد سيستمتون ويروسي هست..

موضوعات مرتبط با این موضوع...
موضوع		نویسنده	پاسخ	بازدید	آخرین ارسال
	ویروس Indian grl.avi.exe	salehjg	6	19,801	۰۴-آذر-۱۳۹۴, ۱۷:۵۶:۴۹ آخرین ارسال: alimogmov
	ویروس	aleas	26	24,327	۰۵-مهر-۱۳۹۳, ۲۱:۲۳:۵۱ آخرین ارسال: STR_virus
	ویروس جدید!!!	hadikh73	9	7,298	۰۴-اسفند-۱۳۹۲, ۱۳:۰۸:۵۶ آخرین ارسال: godvb
	درخواست سورس چند تا ویروس به زبان c	jaber	9	11,122	۲۲-شهریور-۱۳۹۲, ۱۲:۳۷:۱۴ آخرین ارسال: Ghoghnus
	ویروس الوده کننده فایل های اجرایی	elsecret	3	5,547	۱۹-شهریور-۱۳۹۲, ۱۱:۵۲:۰۱ آخرین ارسال: kogo
	[پروژه] سورس چند ویروس	Fery666	6	6,587	۰۷-شهریور-۱۳۹۲, ۱۷:۵۷:۴۲ آخرین ارسال: Ghoghnus
	درخواست سورس ویروس زمانی	rap0661	3	5,221	۳۰-اردیبهشت-۱۳۹۲, ۱۰:۴۳:۳۲ آخرین ارسال: A.P-H@ck3r
	ویروس نویسی با چی؟	mohamadpk	13	16,816	۳۰-اردیبهشت-۱۳۹۲, ۱۰:۰۷:۱۸ آخرین ارسال: A.P-H@ck3r
	ویروس funny.exe	abbasalifix	23	23,891	۲۸-اردیبهشت-۱۳۹۲, ۱۴:۴۰:۳۷ آخرین ارسال: A.P-H@ck3r
	ویروس چندریخت	حمزه 327	5	5,863	۰۹-فروردین-۱۳۹۲, ۲۳:۵۴:۲۱ آخرین ارسال: A.P-H@ck3r

حالت موضوعی \| حالت خطی آنالیز انواع بدافزارها(ویروس،کرم،تروجان،کیلاگر،پس سندر،اسپای)
نویسنده	پیام