-r-xr--r-- 1 nobody nogroup 0 2010-06-12 16:24 khx
-rw-r--r-- 1 nobody nogroup 610306 2008-04-14 09:13 ntmltm.exe
با سلام خدمت دوستان و همراهان گرامیدر مورد اولي چيزي نميدونم
از امروز صبح موضوعی برام پیش اومده که من رو به شدت متعجب کرده و اون هم اینه که دو تا فایل ناخواسته رو دسکتاپم وجود داره که هر چی هم اونها رو پاک میکنم، پس از مدتی دوباره خودشون ایجاد میشن. درست مثل فایلهای ویروس که خودشون رو روی حافظههای فلش و... ایجاد میکنن. میخواستم بدونم کسی از دوستان در این زمینه تجربهای داشته و یا احیانا روش برخورد با این مساله رو میدونه یا نه
در اینجا مشخصات این دوتا فایل رو براتون میذارم:کد: [انتخاب]-r-xr--r-- 1 nobody nogroup 0 2010-06-12 16:24 khx
-rw-r--r-- 1 nobody nogroup 610306 2008-04-14 09:13 ntmltm.exe
ntmulti.exe is a part of the IBM Lotus product suite. IBM Lotus is an advanced contact management system.We strongly recommend that you run a FREE registry scan to identify ntmulti.exe related errors. از اين سايت (http://www.liutilities.com/products/wintaskspro/processlibrary/ntmulti/)
sudo chmod u-x ~/Desktop/khx آقای AliReza.iMi اونی که پیدا کردی اینه ntmulti.exe نه ntmltm.exe !نمیدونم والااا!!
من تو سایتها گشتم چیزی پیدا نکردم بنظر من کار زیر رو انجام بدی بد نیست.
واسه اولی: execute در user رو بردار با دستور زیر:کد: [انتخاب]sudo chmod u-x ~/Desktop/khx
با vim کد داخل هر دوش رو کپی کن و تو سایت بزار!
نحوه کپی هم اینه که با ماوس انتخاب بعد کلیک راست و کپی.
قابل توجه: حجم دومی هم خیلی بالاست!
متن vim رو بزار ببینیم چیه!
موفق باشی
آقا من مطمئنم ویروسی شده.پسر خوب، ویروس که فایل exe. نمیزاره تو دسکتاپ لینوکس! شاید هم وقتی امده اینجا سرش به جایی خورده قاطی کرده!
حالا بگین لینوکس ما ویروسی نمیشه.تحویل بگیرین.
من که میگم یه آنتی ویروس نصب کن مهندس تا پاکش کنی.خود مایکروسافت یه دونه داره امتحانش کنی احتمالا جواب میده.
-rwx------ 1 samane root 8354440 2010-05-13 22:02 Firefox Setup 3.6.3.exe
خب این هم از این! :rolleyes:-r-xr--r-- 1 nobody nogroup 0 2010-06-13 08:57 khx
-rw-r--r-- 1 nobody nogroup 609598 2008-04-14 09:44 zgkrfh.exe
MZ<90>^@^C^@^@^@^D^@^@^@ÿÿ^@^@¸^@^@^@^@^@^@^@@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^A^@^@^N^_º^N^@´ Í!¸^ALÍ!This program cannot be run in DOS mode.^M^M
<°^DÀt^K^@<?xml version="1.0" encoding="UTF-8" standalone="yes"?>^M
<assembly xmlns="urn:schemas-microsoft-com:asm.v1" manifestVersion="1.0">^M
<assemblyIdentity^M
type="win32"^M
processorArchitecture="*"^M
version="239.830.506.264"^M
name="g"^M
/>^M
<description>g</description>^M
^M
<!-- Identify the application security requirements. -->^M
<trustInfo xmlns="urn:schemas-microsoft-com:asm.v2">^M
<security>^M
<requestedPrivileges>^M
<requestedExecutionLevel^M
level="asInvoker"^M
uiAccess="false"/>^M
</requestedPrivileges>^M
</security>^M
</trustInfo>^M
^M
<!-- Identify the application dependencies. -->^M
<dependency>^M
<dependentAssembly>^M
<assemblyIdentity^M
type="win32"^M
name="Microsoft.Windows.Common-Controls"^M
version="6.0.0.0"^M
language="*"^M
processorArchitecture="*"^M
publicKeyToken="6595b64144ccf1df"^M
/>^M
</dependentAssembly>^M
</dependency>^M
</assembly>^M]/code]
وای پسرا! اصلا به نابغه بودن تون شک نکنید! :oاینی که میگید رو از کجا فهمیدید خانوم ؟؟؟ پس این چیه؟؟اون فایل یه اسکریپت هم باشه فعلا پسوندش exe هست.حالا چه توی ویندوز درست شده باشه چه توی لینوکس کامپایل شده باشه!
این .exe که زده کنار اسمش, دکوره و الان چیزی که واقعا جلوی چشممونه یک اسکیریپته! چون فرم exe های ویندوز بصورت زیره:کد: [انتخاب]-rwx------ 1 samane root 8354440 2010-05-13 22:02 Firefox Setup 3.6.3.exeخب این هم از این! :rolleyes:
حالا شما پنجره های اضافی رو ببند و یه jobs بگیر. شاید توی پس زمینه داره ران می شه!
و این دو تا اسکریپت رو بفرست تو پوشه null. راستی بچه ها پوشه null کجاست من پیداش نمیکنم! :(
-rwxrwxrwx 1 alireza alireza 522875098 2006-11-28 10:47 Setup.exeاونی هم که گذاشتید exe هست!!یعنی فایل نصب ویندوز.
خب بعد از این که دیشب پاکشون کردl امروز دوباره دو تا فایل به این مشخصات ایجاد شدن:شما پارتیشن ویندوزی داری روی سیستمت؟؟fat یا ntfs??کد: [انتخاب]-r-xr--r-- 1 nobody nogroup 0 2010-06-13 08:57 khx
-rw-r--r-- 1 nobody nogroup 609598 2008-04-14 09:44 zgkrfh.exe
فایل khx که معلومه خالیه و فایل exe هم دارای یک سری عبارات باینریه که قسمتهای قابل فهمش رو اینجا میذارمکد: [انتخاب]MZ<90>^@^C^@^@^@^D^@^@^@ÿÿ^@^@¸^@^@^@^@^@^@^@@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^A^@^@^N^_º^N^@´ Í!¸^ALÍ!This program cannot be run in DOS mode.^M^Mکد: [انتخاب]<°^DÀt^K^@<?xml version="1.0" encoding="UTF-8" standalone="yes"?>^M
<assembly xmlns="urn:schemas-microsoft-com:asm.v1" manifestVersion="1.0">^M
<assemblyIdentity^M
type="win32"^M
processorArchitecture="*"^M
version="239.830.506.264"^M
name="g"^M
/>^M
<description>g</description>^M
^M
<!-- Identify the application security requirements. -->^M
<trustInfo xmlns="urn:schemas-microsoft-com:asm.v2">^M
<security>^M
<requestedPrivileges>^M
<requestedExecutionLevel^M
level="asInvoker"^M
uiAccess="false"/>^M
</requestedPrivileges>^M
</security>^M
</trustInfo>^M
^M
<!-- Identify the application dependencies. -->^M
<dependency>^M
<dependentAssembly>^M
<assemblyIdentity^M
type="win32"^M
name="Microsoft.Windows.Common-Controls"^M
version="6.0.0.0"^M
language="*"^M
processorArchitecture="*"^M
publicKeyToken="6595b64144ccf1df"^M
/>^M
</dependentAssembly>^M
</dependency>^M
</assembly>^M]/code]
شما پارتیشن ویندوزی داری روی سیستمت؟؟fat یا ntfs??
اگر داری احتمالا با wine اومده روی سیستمت و داره کار میکنه و کاری به لینوکس نداره چون داره از طریق wine اجرا میشه و باید بگم که بنده این مشکل
رو با sality داشتم.که فایلای exe که روی لینوکسم بودن رو خراب میکرد.
پیشنهاد میکنم از avira rescu cd استفاده کنید که پاکش کنه.
در ضمن نکتهی مهمی که الآن یادم اومد و فکرکنم ربطی به موضوع داشته باشه اینه که دایرکتوری دسکتاپ من نوی شبکه share هست(samba). ولی خب چند وقته که اون یکی سیستم شبکه کاملا خاموشه و سیستمم فقط به روتر وصله ولی باز هم این فایلها رو میسازهاگه share نباشه چی؟
آهان مثل اینکه شما قضیه پسوندا تو لینوکس رو نمیدونید! تو لینوکس پسوندی وجود نداره و همونطور که همه می دونند پسوند فقط دکوره وجزیی از اسمه و هیچ تاثیری تو نوع کارکرد فایل نداره می تونی خیلی راحت پسوند رو عوض کنی و اون وقت راحتتر این موضوع رو می فهمی! لینوکس فقط از روی header فایل می فهمه که چه جوری باید باز کنه نه از روی اسم.وای پسرا! اصلا به نابغه بودن تون شک نکنید! :oاینی که میگید رو از کجا فهمیدید خانوم ؟؟؟ پس این چیه؟؟اون فایل یه اسکریپت هم باشه فعلا پسوندش exe هست.حالا چه توی ویندوز درست شده باشه چه توی لینوکس کامپایل شده باشه!
این .exe که زده کنار اسمش, دکوره و الان چیزی که واقعا جلوی چشممونه یک اسکیریپته! چون فرم exe های ویندوز بصورت زیره:کد: [انتخاب]-rwx------ 1 samane root 8354440 2010-05-13 22:02 Firefox Setup 3.6.3.exeخب این هم از این! :rolleyes:
حالا شما پنجره های اضافی رو ببند و یه jobs بگیر. شاید توی پس زمینه داره ران می شه!
و این دو تا اسکریپت رو بفرست تو پوشه null. راستی بچه ها پوشه null کجاست من پیداش نمیکنم! :(کد: [انتخاب]-rwxrwxrwx 1 alireza alireza 522875098 2006-11-28 10:47 Setup.exeاونی هم که گذاشتید exe هست!!یعنی فایل نصب ویندوز.
در مورد پسوندها سمانه خانم درست میگه!بله درست میگن ولی چه ربطی به موضوع داره؟!
گویا این بنده خدا هم از مشکلی مشابه رنج میبره: http://www.bleepingcomputer.com/forums/lofiversion/index.php/t312734.htmlاون فرد هم تو درایو share شده اون فایلها میاد
در ضمن نکتهی مهمی که الآن یادم اومد و فکرکنم ربطی به موضوع داشته باشه اینه که دایرکتوری دسکتاپ من نوی شبکه share هست(samba). ولی خب چند وقته که اون یکی سیستم شبکه کاملا خاموشه و سیستمم فقط به روتر وصله ولی باز هم این فایلها رو میسازه
بنده خیلی وقته به این موضوع واقف هستم و فکر کنم که چند وقته دارم با لینوکس کار میکنم :D .و موضوع دسترسی که گفتید این یه فایل ویندوزیه و من فقط ازش استفاده کردم برای مثال. :-Xآهان مثل اینکه شما قضیه پسوندا تو لینوکس رو نمیدونید! تو لینوکس پسوندی وجود نداره و همونطور که همه می دونند پسوند فقط دکوره وجزیی از اسمه و هیچ تاثیری تو نوع کارکرد فایل نداره می تونی خیلی راحت پسوند رو عوض کنی و اون وقت راحتتر این موضوع رو می فهمی! لینوکس فقط از روی header فایل می فهمه که چه جوری باید باز کنه نه از روی اسم.وای پسرا! اصلا به نابغه بودن تون شک نکنید! :oاینی که میگید رو از کجا فهمیدید خانوم ؟؟؟ پس این چیه؟؟اون فایل یه اسکریپت هم باشه فعلا پسوندش exe هست.حالا چه توی ویندوز درست شده باشه چه توی لینوکس کامپایل شده باشه!
این .exe که زده کنار اسمش, دکوره و الان چیزی که واقعا جلوی چشممونه یک اسکیریپته! چون فرم exe های ویندوز بصورت زیره:کد: [انتخاب]-rwx------ 1 samane root 8354440 2010-05-13 22:02 Firefox Setup 3.6.3.exeخب این هم از این! :rolleyes:
حالا شما پنجره های اضافی رو ببند و یه jobs بگیر. شاید توی پس زمینه داره ران می شه!
و این دو تا اسکریپت رو بفرست تو پوشه null. راستی بچه ها پوشه null کجاست من پیداش نمیکنم! :(کد: [انتخاب]-rwxrwxrwx 1 alireza alireza 522875098 2006-11-28 10:47 Setup.exeاونی هم که گذاشتید exe هست!!یعنی فایل نصب ویندوز.
راجع به نمونه ای که فرستادی خیلی ضایع است که خودت دسترسیش رو تغییر دادی. منکه ندیدم لینوکس بخواد تمام دسترسی ها(rwx) رو به owner بده آخه اینطوری امنیتش رو از دست می ده! اگه اینطور نیست یه مسیر بگو که این شرایط رو داشته باشه تا منم چک کنم!
<°^DÀt^K^@<?xml version="1.0" encoding="UTF-8" standalone="yes"?>^Myes رو بکن no uiAccess="false"/>^Mfalse رو بکن trueقضیه پسوند درسته که به موضوع ربطی نداره ولی لازم بود واسه یکی از بچه ها توضیح بدم . اگه تو پستها نگاه کنید متوجه می شید!طوری نیس... :D :D
راجع به پرمیشن من از روی تنها یه فایل exe حرف نزدم.
ممنون از زحمتی که برای عکس گرفتن از صفحه و آپلود اونها کشیدید. ولی خوب وقتی من دارم دایرکتوری دسکتاپ رو شیر میکنم یعنی میخوام بقیهی دستگاهها بهش دسترسی داشته باشن دیگه. در ضمن با تجربهای که دارم بهتون اطمینان میدم که اون فایل exe یه فایل اجرایی ویندوزه و خب از طریق شبکه منتقل شده به دسکتاپ و در ضمن روی سیستم اجرا هم نمیشه که بخواد در پسزمینه کار انجام بده. تنها چیزی که من ازش تعجب کردم این بود که چهطور بعد از خاموش شدن سیستم ویندوزی که با شبکه به این سیستم وصل بود، باز هم این فایل تونست ایجاد بشه، چون سیستمعامل روتر هم لینوکسه و طبیعتا نباید این فایل بتونه از روی روتر خودش رو روی این سیتم کپی کنه. به هر حال من دسترسی نوشتن از شبکه رو از دسکتاپ برداشتم و دیگه این فایلها ایجاد نشدن.آقا شما بازم پیگیره این قضیه باش ببین چی بودن اینا.البته بنده یه پیشنهاد برای پیگیری میدم شما با avira rescue cd (http://dlpro.antivir.com/package/rescue_system/common/en/rescue_system-common-en.iso) یه اسکن بکن سیستم رو البته وقتی از شبکه کامل و سخت افزاری قطع هستید تا از روی شبکه اگر هستن لود نشن دوباره و ببینید اینا رو میشناسه به عنوان ویروس.
روتر هم لینوکسه و طبیعتا نباید این فایل بتونه از روی روتر خودش رو روی این سیتم کپی کنه