رفتن به مطلب

مشکل تروجان جدید و استفاده از پهنای باند


 اشتراک گذاری

Recommended Posts

سلام به دوستان

پریشب فایروالم خاموش بود و نود 32 رو به ورژن 7 تغییر دادم و فقط یک بار سایت لیون رو باز کردم که با پیغام قطع بودن سایت مواجه شدم

از اون موقع یه چیزی که احتمالا تروجان هست همش داره از پهنای باند اینترنتم استفاده میکنه که سرعتم رو خیلی کم کرده. و همش انگار دارم دانلود میکنم

یه چیزی هم بصورت مخفی در ویندوز در حال اجراست. وقتی با برنامه TCPViow نگاه کردم دیدم 2 تا فایل اجرایی به نامهای :

winmon.EXE

svchost.exe

درحال اجراست.

دائم هم اپدیت ویندوز رو فعال میکنه

و هریک بار که میبندمش بعد 1 دقیقه دوباره میاد

لینک به دیدگاه
Share on other sites

  • کاربر ویژه

درود

ابتدا

آنتی ویروس خودتون رو آپدیت کنید

سپس فایل ComboFix را از اینجا دانلود کنید(این یک اسکنر و پاک کننده بد افزار و تروجان هست)

سپس انتی ویروس خودتون رو Disable کنید و برنامه ComboFix رو اجرا کنید(چون ممکن هست با هم تداخل کنند)

بعد از اتمام کار کمبو فیکس آنتی ویروس رو فعال کنید و درایو سیستم رو حتما اسکن کنید.

لینک به دیدگاه
Share on other sites

  • کاربر ویژه

درود.

فکر نمیکنم svchost.exe تروجان باشه. سرویس های سیستمم رو الان چک کردم برای من هم بود:

 

post-11166-0-85413600-1396262524_thumb.png

 

احتمالاً سرویس های ویندوز هست

لینک به دیدگاه
Share on other sites

  • کاربر ویژه

درود.

فکر نمیکنم svchost.exe تروجان باشه. سرویس های سیستمم رو الان چک کردم برای من هم بود:

 

attachicon.gifUntitled.png

 

احتمالاً سرویس های ویندوز هست

البته ویروس و تروجان ها معمولا خودشون رو بنام سرویس های اصلی ویندوز جا میزنند

باید ببینید تحت چه یوزری این فایل اجرا شده

لینک به دیدگاه
Share on other sites

ببین فایل های سیستمی بعضیاشون چندتان مثل svchost ممکنه یکیش ویروس باشه

تو گوگل سرچ کنین ببینین میاد

لینک به دیدگاه
Share on other sites

بهتره از کسپر استفاده کنی.

من ناد32استفاد میکردم ویروس با نام sality با اینکه انتی ویروسم اپ بود داغ رو دلم گذاشت!!

البت الان ناد32 این ویروسو حریفه ولی در کل ناد یکی از معایبش اینه که بعضی ویروسای جدید بش غلبه میکنن!

ویرایش شده توسط mehrxad
لینک به دیدگاه
Share on other sites

  • کاربر ویژه

البته ویروس و تروجان ها معمولا خودشون رو بنام سرویس های اصلی ویندوز جا میزنند

باید ببینید تحت چه یوزری این فایل اجرا شده

بله درسته ولی الان روی سیستمم Norton Internet Security 2014 نصبه و آپدیت شده.قبلاً هم که کسپر داشتم همین بود

تصور میکنم اگر بدافزار باشه باید توسط سکیوریتی ها قابل شناسایی باشه

http://windows.microsoft.com/en-us/windows/what-is-svchost-exe#1TC=windows-7

ویرایش شده توسط mm65
لینک به دیدگاه
Share on other sites

  • کاربر ویژه

بله درسته ولی الان روی سیستمم Norton Internet Security 2014 نصبه و آپدیت شده.قبلاً هم که کسپر داشتم همین بود

تصور میکنم اگر بدافزار باشه باید توسط سکیوریتی ها قابل شناسایی باشه

سلام

1- اگه بد افزار یا تروجان به صورت سنتی پیاده سازی شده باشه شناسایی شدن توسط آنتی ویروسها در حد زیر 2 درصد هستش ( مقدار درصد رو گفتم تا بشه حس کرد - در جایی نوشته نشده )

راه حل :  فایروال رو برای درخواست کننده های پروتوکل های ارسال /دریافت اکتیو کنین

 

2- یه درصدی از برنامه های مخرب  هستن که خودشون رو به جای سرویس های سیتمی جا زده و شروع به فعالیت میکنن( یعنی عملاً اون سرویس رو از کار میندازن )

راه حل : بند 2 و بعد از نصب ویندوز اقدام به نصب درایور مودم کرده و بعد آنتی ویروس و آپدیت آن و بعد از این عملیات شروع به نصب درایورهای موجود سیستم و برنامه های جانبی کنن ، تا در صورت فعال بودن فایروال تک تک برنامه های اینترنتی و پروتوکل های آنها شناسایی بشه

 

با رعایت اینها میشه گفت سیستم درصد بالایی از امنیت برخوردار هستش

ویرایش شده توسط atagamer
لینک به دیدگاه
Share on other sites

کلا یه چیزی میگم گوش کنید انتی ویروس ها 3 دسته هستند

دسته اول :

 

میان فایل هارو شناسایی میکن و روی اون هایی که مشکوک هستند کار میکنند و ردیابی میکنند بعضی وقت ها هم دستی روشون کارمیشه که این انتی ویروس ها خیلی گرون هستند

 

دسته دوم : انتی ویروس هایی که از یک سری لیست میان ویروس رو شناسایی میکنن و قابلیت دسته اول رو هم دارن سرعتشون خیلی بیشتره

 

دسته سوم : این دسته انتی ویروس های ماهست که دست رنج دو دسته اول رو هر 2 روز یکبار تو خودش میاره و چک میکنه

 

یعنی من الان یه ویروس بنویسم تو مدرسه یا دانشگاه اینا بندازم ممکنه 1 سال طول بکشه بیاد تو لیست کسپراسکی به شرط اینمه تحت دات نت نباشه

 

خدمتتون عرض کنم دسته اول رو یه سری سایت ها هستند دارن فایل های مشکوک رو میدین یا گزارش میدین اونا بررسی میکنن و خبر میدن

و خود انتی ویروس ها بعضی وقت ها اینکارو میکنن انتی ویروس نود که ولش کنین ولی کسپر خودش میاد برنامه هایی که ساین نیستند و معتبر نیستن یا مشکوک هستند رو بازرسی میکنه اگه دات نت باشه مایکروسافت بهش یه سیستمی داده که بتونه سورس دات نت رو بخونه و ببینی داره مثلا ایمیل سند میکنه یا بات نت هست یا داره نیرو جمع میکنه واسه دیداس گروهی یا دی ان اس چنج میده

 

کلا ویروس نمیخوای بیا سمت لینوکس یا مک

خداروشکر استیم هم واسه لینوکس و هم مک هست بازی هاتون میاد

تو لینوکس اکثر بازی ها ساپورت میشن

لینک به دیدگاه
Share on other sites

  • کاربر ویژه

سلام

1- اگه بد افزار یا تروجان به صورت سنتی پیاده سازی شده باشه شناسایی شدن توسط آنتی ویروسها در حد زیر 2 درصد هستش ( مقدار درصد رو گفتم تا بشه حس کرد - در جایی نوشته نشده )

راه حل :  فایروال رو برای درخواست کننده های پروتوکل های ارسال /دریافت اکتیو کنین

 

2- یه درصدی از برنامه های مخرب  هستن که خودشون رو به جای سرویس های سیتمی جا زده و شروع به فعالیت میکنن( یعنی عملاً اون سرویس رو از کار میندازن )

راه حل : بند 2 و بعد از نصب ویندوز اقدام به نصب درایور مودم کرده و بعد آنتی ویروس و آپدیت آن و بعد از این عملیات شروع به نصب درایورهای موجود سیستم و برنامه های جانبی کنن ، تا در صورت فعال بودن فایروال تک تک برنامه های اینترنتی و پروتوکل های آنها شناسایی بشه

 

با رعایت اینها میشه گفت سیستم درصد بالایی از امنیت برخوردار هستش

 

سلام و عرض احترام @};-

 

شما حتی اگر بعد از نصب تمام برنامه ها و بازی ها و غیره اقدام به نصب فایروال مجزا یا سکیوریتی هایی که فایروال به درد بخور دارند(کسپر-آواست-نورتون) خود فایروالِ اونها رفتار نرم افزارها و بدافزارها رو مانیتورینگ و اطلاع رسانی میکنند.

من هر سرویس مشکوکی رو که احساس میکنم میرم چک میکنم مثلاً الان که 8.1 دارم بیشتر اوقات glcnd.exe مشغول برقراری ارتباط و استفاده از ترافیک هست! خوب من میدونم که glcnd.exe مربوط به پروسه PDF Reader خود ویندوز 8 و 8.1 هست. پس مشکلی نداره. یا مثلاً svchost.exe از فایروالم نگاه میکنم میبینم در توضیحات اون فایروالم نوشته device association framework provider host و خودم میتونم غیر فعالش کنم ولی تحت نظارت فایروال داره کار میکنه. همینطور host process for windows services یا microsoft wwa host  و غیره.

کلاً سرویس های ویندوز و ریپورت ارور به همراه دانلود منیجر+مرورگرها+مسنجر بلوک نکردم ولی بقیه نرم افزارها و سرویس ها رو بلاک کردم.

نورتون و کسپر و آواست به صورت هوشمند فعالیت های برنامه ها رو رصد میکنن.اگر چه فالس آلارم هم دارند(کسپر از همشون کمتر فالس آلارم داره!) مثلاً کروم خودبه خود در پس زمینه داره خودشو آپدیت میکنه,نورتون سریع هشدار میده که این فعالیت مشکوکه و میخواد اون رو در سایت سیمانتک ثبت کنه :D

جای نگرانی نیست.

لینک به دیدگاه
Share on other sites

  • کاربر ویژه

سلام و عرض احترام @};-

 

شما حتی اگر بعد از نصب تمام برنامه ها و بازی ها و غیره اقدام به نصب فایروال مجزا یا سکیوریتی هایی که فایروال به درد بخور دارند(کسپر-آواست-نورتون) خود فایروالِ اونها رفتار نرم افزارها و بدافزارها رو مانیتورینگ و اطلاع رسانی میکنند.

من هر سرویس مشکوکی رو که احساس میکنم میرم چک میکنم مثلاً الان که 8.1 دارم بیشتر اوقات glcnd.exe مشغول برقراری ارتباط و استفاده از ترافیک هست! خوب من میدونم که glcnd.exe مربوط به پروسه PDF Reader خود ویندوز 8 و 8.1 هست. پس مشکلی نداره. یا مثلاً svchost.exe از فایروالم نگاه میکنم میبینم در توضیحات اون فایروالم نوشته device association framework provider host و خودم میتونم غیر فعالش کنم ولی تحت نظارت فایروال داره کار میکنه. همینطور host process for windows services یا microsoft wwa host  و غیره.

کلاً سرویس های ویندوز و ریپورت ارور به همراه دانلود منیجر+مرورگرها+مسنجر بلوک نکردم ولی بقیه نرم افزارها و سرویس ها رو بلاک کردم.

نورتون و کسپر و آواست به صورت هوشمند فعالیت های برنامه ها رو رصد میکنن.اگر چه فالس آلارم هم دارند(کسپر از همشون کمتر فالس آلارم داره!) مثلاً کروم خودبه خود در پس زمینه داره خودشو آپدیت میکنه,نورتون سریع هشدار میده که این فعالیت مشکوکه و میخواد اون رو در سایت سیمانتک ثبت کنه :D

جای نگرانی نیست.

منم همین هارو گفتم ×××

ولی اشتباه شما اینجاست که پرمیشین رو کلی دادین براشون/

نظر شخصی خودم :: تک تک برا هر عملیاتی که یک برنامه می خواد انجام بده رییل تایم پرمیشین بدین خیلی بهتر از اینکه پرمیشین کلی برا یک برنامه بدین ;) ;)

لینک به دیدگاه
Share on other sites

منم همین هارو گفتم ×××

ولی اشتباه شما اینجاست که پرمیشین رو کلی دادین براشون/

نظر شخصی خودم :: تک تک برا هر عملیاتی که یک برنامه می خواد انجام بده رییل تایم پرمیشین بدین خیلی بهتر از اینکه پرمیشین کلی برا یک برنامه بدین ;) ;)

سلام به دوستان

هاااااااااااااااااااااااااا الان اینی که گفتی یعنی چه؟؟؟ :wacko: :-?

علت نبودنم این بود که کلا ویندوزم داغون شد و دیگه اصلا پهنای باند بهم نمیداد و همش داشت دانلود میکرد

منم به ناچار ویندوز رو عوض کردم.

الان نود 7 رو اپدیت کردم ولی بازم میترسم لازم هست کسپر الان نصب کنم؟

درضمن توی برنامه ی TCPView نگاه کردم دیگه خبری از اون دوتا فایل نیست

ویرایش شده توسط امیر شاهان
لینک به دیدگاه
Share on other sites

دوست عزیز 2 تا آنتی ویروس با هم؟، نود 7 و کسپر؟ جل الخالق...

 

کاش فقط ویروس و تروجان وجود داشت، داستان به یه جایی ختم می شد، انواع بد افزار داریم، از ویروس و تروجان گرفته تا Malware ها، Rootkit ها , Malicious Software ها و سایر...

بنده به شخصه از ترکیب:

 

Bitdeffender

 

Comodo Firewall

( با این Comodo کار کردن خیلی حوصله می خواد، کافیه یه فایل اجرایی رو باز کنی، از دستری به دیسک تا دسترسی به نت و هر کاری که نرم افزار قراره برای اجرا شدن باهاش دست و پنجه نرم کنه سوال می پرسه که آیا اجازه می دهید یا خیر و صد البته راهنمایی های ممکن رو هم در همین حین فراهم می کنه )

 

Malwarebytes Colection of Security Software

 

استفاده می کنم.

 

و بصورت مجزا هم از اسکنر های قوی Rootkit هم بهره می برم.

 

ولی باز با اینحال احساس می کنم همیشه در حال Spy شدن هستم.

لینک به دیدگاه
Share on other sites

دوست عزیز 2 تا آنتی ویروس با هم؟، نود 7 و کسپر؟ جل الخالق...

 

کاش فقط ویروس و تروجان وجود داشت، داستان به یه جایی ختم می شد، انواع بد افزار داریم، از ویروس و تروجان گرفته تا Malware ها، Rootkit ها , Malicious Software ها و سایر...

بنده به شخصه از ترکیب:

 

Bitdeffender

 

Comodo Firewall

( با این Comodo کار کردن خیلی حوصله می خواد، کافیه یه فایل اجرایی رو باز کنی، از دستری به دیسک تا دسترسی به نت و هر کاری که نرم افزار قراره برای اجرا شدن باهاش دست و پنجه نرم کنه سوال می پرسه که آیا اجازه می دهید یا خیر و صد البته راهنمایی های ممکن رو هم در همین حین فراهم می کنه )

 

Malwarebytes Colection of Security Software

 

استفاده می کنم.

 

و بصورت مجزا هم از اسکنر های قوی Rootkit هم بهره می برم.

 

ولی باز با اینحال احساس می کنم همیشه در حال Spy شدن هستم.

 

من برای نصب هردوش ابتدا کسپر رو نصب میکنم و بعد کامل کسپر رو میبندم بعد نود وصل میکنم. سیستم که ری استارت بشه هردو باهم بالا میاد.

 

از تمام دوستان و عزیزان بابت راهنمایی و توضیحاتشون کمال تشکر رو دارم. امیدوارم این ویروس سراغشون نیاد

لینک به دیدگاه
Share on other sites

من برای نصب هردوش ابتدا کسپر رو نصب میکنم و بعد کامل کسپر رو میبندم بعد نود وصل میکنم. سیستم که ری استارت بشه هردو باهم بالا میاد.

 

از تمام دوستان و عزیزان بابت راهنمایی و توضیحاتشون کمال تشکر رو دارم. امیدوارم این ویروس سراغشون نیاد

2 تا انتی ویروس هنگ پسی رو زیاد میکنه و فشار زیادی به پی سی وارد میشه!

بهتره ناد32 رو پاک و یه کسپر اینترنت سکوریتی نصب کنی خیلی خیلی از ناد32 بهتر!

من زیاد با مشکلات ویروسهای پیچیده دستو پنجه نرم کردم(چه اون زمانی که کزم غیز تازه اومده بود (البت کسپر رو هم اذیت میکرد اون اوایل)چه زمانی که سالایتی داغ رو دلم گزاشت و ...)

کسپر جدا یه چیز دیگس نسخه 2013 هم خیلی سبکه ولی 2014 انگار کمی سنگینه(من هنوز 2013 استفاده میکنم)

لینک به دیدگاه
Share on other sites

  • 3 هفته بعد...

حالا که مشکل حل شده

یک سوال مهمتر پیش اومد:

کدوم کسپر؟

Kaspersky PURE 12 / 13

Kaspersky Internet Security 2012 / 2013 / 2014

Kaspersky Anti-Virus 2012 / 2013 / 2014  + ورژن 2014 فارسی

Kaspersky Virus Removal Tool 11.0.1.1245

یا

Microsoft Security Essentials 4.5.216.0 Final
لینک به دیدگاه
Share on other sites

  • کاربر ویژه

 

حالا که مشکل حل شده

یک سوال مهمتر پیش اومد:

کدوم کسپر؟

Kaspersky PURE 12 / 13

Kaspersky Internet Security 2012 / 2013 / 2014

Kaspersky Anti-Virus 2012 / 2013 / 2014  + ورژن 2014 فارسی

Kaspersky Virus Removal Tool 11.0.1.1245

یا

Microsoft Security Essentials 4.5.216.0 Final

 

سلام

 

من خودم از نسخه Kaspersky Internet Security 2014 استفاده مي كنم / خواهم كرد / اونيكي آنتي ويروس هارو هم انتخاب مبكنم Internet Security

 

لینک به دیدگاه
Share on other sites

 

حالا که مشکل حل شده

یک سوال مهمتر پیش اومد:

کدوم کسپر؟

Kaspersky PURE 12 / 13

Kaspersky Internet Security 2012 / 2013 / 2014

Kaspersky Anti-Virus 2012 / 2013 / 2014  + ورژن 2014 فارسی

Kaspersky Virus Removal Tool 11.0.1.1245

یا

Microsoft Security Essentials 4.5.216.0 Final

 

بسته به اینه که بخوای اورجینال استفاد کنید یا غیر !

برا اورجینال Kaspersky Internet Security  2014(البت کمی نسبت به نسخه 2013 سنگین تره ولی در کل بهتره)

اگه غیر اورجینال Kaspersky Internet Security  2013 (چرا؟چون راحت پچ میشه و اپ دیت افلاینشم به راحتی انجام میشه)

اون Microsoft Security Essentials  کلا گاراژه!!

ویرایش شده توسط mehrxad
لینک به دیدگاه
Share on other sites

به گفتگو بپیوندید

هم اکنون می توانید مطلب خود را ارسال نمایید و بعداً ثبت نام کنید. اگر حساب کاربری دارید، برای ارسال با حساب کاربری خود اکنون وارد شوید .
توجه: مطلب ارسالی شما پس از تایید مدیریت برای همه قابل رویت خواهد بود.

مهمان
ارسال پست در این تاپیک...

×   شما در حال چسباندن محتوایی با قالب بندی هستید.   حذف قالب بندی

  تنها استفاده از 75 اموجی مجاز می باشد.

×   لینک شما به صورت اتوماتیک جای گذاری شد.   نمایش به صورت لینک

×   محتوای قبلی شما بازگردانی شد.   پاک کردن محتوای ویرایشگر

×   شما مستقیما نمی توانید تصویر خود را قرار دهید. یا آن را اینجا بارگذاری کنید یا از یک URL قرار دهید.

 اشتراک گذاری

×
  • اضافه کردن...