ایجاد مکرر فایل‌های ناخواسته بر روی دسکتاپ

[دانیال بهزادی]

با سلام خدمت دوستان و همراهان گرامی

از امروز صبح موضوعی برام پیش اومده که من رو به شدت متعجب کرده و اون هم اینه که دو تا فایل ناخواسته رو دسکتاپم وجود داره که هر چی هم اون‌ها رو پاک می‌کنم، پس از مدتی دوباره خودشون ایجاد می‌شن. درست مثل فایل‌های ویروس که خودشون رو روی حافظه‌های فلش و... ایجاد می‌کنن. می‌خواستم بدونم کسی از دوستان در این زمینه تجربه‌ای داشته و یا احیانا روش برخورد با این مساله رو می‌دونه یا نه

در این‌جا مشخصات این دوتا فایل رو براتون می‌ذارم:

کد: [انتخاب]

-r-xr--r-- 1 nobody nogroup      0 2010-06-12 16:24 khx
-rw-r--r-- 1 nobody nogroup 610306 2008-04-14 09:13 ntmltm.exe

[AliRezaiMi]

با سلام خدمت دوستان و همراهان گرامی

از امروز صبح موضوعی برام پیش اومده که من رو به شدت متعجب کرده و اون هم اینه که دو تا فایل ناخواسته رو دسکتاپم وجود داره که هر چی هم اون‌ها رو پاک می‌کنم، پس از مدتی دوباره خودشون ایجاد می‌شن. درست مثل فایل‌های ویروس که خودشون رو روی حافظه‌های فلش و... ایجاد می‌کنن. می‌خواستم بدونم کسی از دوستان در این زمینه تجربه‌ای داشته و یا احیانا روش برخورد با این مساله رو می‌دونه یا نه

در این‌جا مشخصات این دوتا فایل رو براتون می‌ذارم:

کد: [انتخاب]

-r-xr--r-- 1 nobody nogroup      0 2010-06-12 16:24 khx
-rw-r--r-- 1 nobody nogroup 610306 2008-04-14 09:13 ntmltm.exe

در مورد اولي چيزي نميدونم
اما براي دومي اين رو پيدا كردم

کد: [انتخاب]

ntmulti.exe is a part of the IBM Lotus product suite. IBM Lotus is an advanced contact management system.We strongly recommend that you run a FREE registry scan to identify ntmulti.exe related errors. از اين سايت

[Samane]

آقای AliReza.iMi اونی که پیدا کردی اینه ntmulti.exe نه ntmltm.exe !

من تو سایتها گشتم چیزی پیدا نکردم بنظر من کار زیر رو انجام بدی بد نیست.

واسه اولی: execute در user  رو بردار  با دستور زیر:

کد: [انتخاب]

sudo chmod u-x ~/Desktop/khx
با vim کد داخل هر دوش رو کپی کن و تو سایت بزار!
نحوه کپی هم اینه که با ماوس انتخاب بعد کلیک راست و کپی.
قابل توجه: حجم دومی هم خیلی بالاست!

متن vim رو بزار ببینیم چیه!

موفق باشی

[mrmrn]

آقا من مطمئنم ویروسی شده.
حالا بگین لینوکس ما ویروسی نمیشه.تحویل بگیرین. 
من که میگم یه آنتی ویروس نصب کن مهندس تا پاکش کنی.خود مایکروسافت یه دونه داره امتحانش کنی احتمالا جواب میده.

[AliRezaiMi]

آقای AliReza.iMi اونی که پیدا کردی اینه ntmulti.exe نه ntmltm.exe !

من تو سایتها گشتم چیزی پیدا نکردم بنظر من کار زیر رو انجام بدی بد نیست.

واسه اولی: execute در user  رو بردار  با دستور زیر:

کد: [انتخاب]

sudo chmod u-x ~/Desktop/khx
با vim کد داخل هر دوش رو کپی کن و تو سایت بزار!
نحوه کپی هم اینه که با ماوس انتخاب بعد کلیک راست و کپی.
قابل توجه: حجم دومی هم خیلی بالاست!

متن vim رو بزار ببینیم چیه!

موفق باشی

نمیدونم والااا!!
باید خود فایلها یا متنشون رو بذارید تا ببینیم میشه چیزی قهمید؟

[heresh]

آقا من مطمئنم ویروسی شده.
حالا بگین لینوکس ما ویروسی نمیشه.تحویل بگیرین.
من که میگم یه آنتی ویروس نصب کن مهندس تا پاکش کنی.خود مایکروسافت یه دونه داره امتحانش کنی احتمالا جواب میده.

پسر خوب، ویروس که فایل exe. نمی‌زاره تو دسکتاپ لینوکس! شاید هم وقتی امده اینجا سرش به جایی خورده قاطی کرده!

وقتی فلش وصل کنی، این فایل‌ها کپی می‌شه توش؟

[Samane]

وای پسرا! اصلا به نابغه بودن تون شک نکنید!
این .exe که زده کنار اسمش, دکوره و الان چیزی که واقعا جلوی چشممونه یک اسکیریپته! چون فرم exe های  ویندوز  بصورت زیره:

کد: [انتخاب]

-rwx------ 1 samane root  8354440 2010-05-13 22:02 Firefox Setup 3.6.3.exe
خب این هم از این!
حالا شما پنجره های اضافی رو ببند و یه jobs بگیر. شاید توی پس زمینه داره ران می شه!
و این دو تا اسکریپت رو بفرست تو پوشه null. راستی بچه ها پوشه null کجاست من پیداش نمیکنم!

[دانیال بهزادی]

خب بعد از این که دیشب پاکشون کردl امروز دوباره دو تا فایل به این مشخصات ایجاد شدن:

کد: [انتخاب]

-r-xr--r-- 1 nobody nogroup      0 2010-06-13 08:57 khx
-rw-r--r-- 1 nobody nogroup 609598 2008-04-14 09:44 zgkrfh.exe

فایل khx که معلومه خالیه و فایل exe هم دارای یک سری عبارات باینریه که قسمت‌های قابل فهمش رو اینجا می‌ذارم

کد: [انتخاب]

MZ<90>^@^C^@^@^@^D^@^@^@ÿÿ^@^@¸^@^@^@^@^@^@^@@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^A^@^@^N^_º^N^@´  Í!¸^ALÍ!This program cannot be run in DOS mode.^M^M


کد: [انتخاب]

<°^DÀt^K^@<?xml version="1.0" encoding="UTF-8" standalone="yes"?>^M
<assembly xmlns="urn:schemas-microsoft-com:asm.v1" manifestVersion="1.0">^M
        <assemblyIdentity^M
            type="win32"^M
            processorArchitecture="*"^M
            version="239.830.506.264"^M
            name="g"^M
        />^M
        <description>g</description>^M
^M
        <!-- Identify the application security requirements. -->^M
        <trustInfo xmlns="urn:schemas-microsoft-com:asm.v2">^M
                <security>^M
                        <requestedPrivileges>^M
                                <requestedExecutionLevel^M
                                level="asInvoker"^M
                                        uiAccess="false"/>^M
                        </requestedPrivileges>^M
                </security>^M
        </trustInfo>^M
^M
        <!-- Identify the application dependencies. -->^M
        <dependency>^M
                <dependentAssembly>^M
                        <assemblyIdentity^M
                                type="win32"^M
                                name="Microsoft.Windows.Common-Controls"^M
                                version="6.0.0.0"^M
                                language="*"^M
                                processorArchitecture="*"^M
                                publicKeyToken="6595b64144ccf1df"^M
                        />^M
                </dependentAssembly>^M
        </dependency>^M
</assembly>^M]/code]

[AliRezaiMi]

وای پسرا! اصلا به نابغه بودن تون شک نکنید!
این .exe که زده کنار اسمش, دکوره و الان چیزی که واقعا جلوی چشممونه یک اسکیریپته! چون فرم exe های  ویندوز  بصورت زیره:

کد: [انتخاب]

-rwx------ 1 samane root  8354440 2010-05-13 22:02 Firefox Setup 3.6.3.exe
خب این هم از این!
حالا شما پنجره های اضافی رو ببند و یه jobs بگیر. شاید توی پس زمینه داره ران می شه!
و این دو تا اسکریپت رو بفرست تو پوشه null. راستی بچه ها پوشه null کجاست من پیداش نمیکنم!

اینی که میگید رو از کجا فهمیدید خانوم ؟؟؟ پس این چیه؟؟اون فایل یه اسکریپت هم باشه فعلا پسوندش exe هست.حالا چه توی ویندوز درست شده باشه چه توی لینوکس کامپایل شده باشه!

کد: [انتخاب]

-rwxrwxrwx 1 alireza alireza 522875098 2006-11-28 10:47 Setup.exeاونی هم که گذاشتید exe هست!!یعنی فایل نصب ویندوز.

[AliRezaiMi]

خب بعد از این که دیشب پاکشون کردl امروز دوباره دو تا فایل به این مشخصات ایجاد شدن:

کد: [انتخاب]

-r-xr--r-- 1 nobody nogroup      0 2010-06-13 08:57 khx
-rw-r--r-- 1 nobody nogroup 609598 2008-04-14 09:44 zgkrfh.exe

فایل khx که معلومه خالیه و فایل exe هم دارای یک سری عبارات باینریه که قسمت‌های قابل فهمش رو اینجا می‌ذارم

کد: [انتخاب]

MZ<90>^@^C^@^@^@^D^@^@^@ÿÿ^@^@¸^@^@^@^@^@^@^@@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^A^@^@^N^_º^N^@´  Í!¸^ALÍ!This program cannot be run in DOS mode.^M^M


کد: [انتخاب]

<°^DÀt^K^@<?xml version="1.0" encoding="UTF-8" standalone="yes"?>^M
<assembly xmlns="urn:schemas-microsoft-com:asm.v1" manifestVersion="1.0">^M
        <assemblyIdentity^M
            type="win32"^M
            processorArchitecture="*"^M
            version="239.830.506.264"^M
            name="g"^M
        />^M
        <description>g</description>^M
^M
        <!-- Identify the application security requirements. -->^M
        <trustInfo xmlns="urn:schemas-microsoft-com:asm.v2">^M
                <security>^M
                        <requestedPrivileges>^M
                                <requestedExecutionLevel^M
                                level="asInvoker"^M
                                        uiAccess="false"/>^M
                        </requestedPrivileges>^M
                </security>^M
        </trustInfo>^M
^M
        <!-- Identify the application dependencies. -->^M
        <dependency>^M
                <dependentAssembly>^M
                        <assemblyIdentity^M
                                type="win32"^M
                                name="Microsoft.Windows.Common-Controls"^M
                                version="6.0.0.0"^M
                                language="*"^M
                                processorArchitecture="*"^M
                                publicKeyToken="6595b64144ccf1df"^M
                        />^M
                </dependentAssembly>^M
        </dependency>^M
</assembly>^M]/code]

شما پارتیشن ویندوزی داری روی سیستمت؟؟fat یا ntfs??
اگر داری احتمالا با wine اومده روی سیستمت و داره کار میکنه و کاری به لینوکس نداره چون داره از طریق wine اجرا میشه و باید بگم که بنده این مشکل
رو با sality داشتم.که فایلای exe که روی لینوکسم بودن رو خراب میکرد.
پیشنهاد میکنم از avira rescu cd استفاده کنید که پاکش کنه.

[دانیال بهزادی]

گویا این بنده خدا هم از مشکلی مشابه رنج می‌بره: http://www.bleepingcomputer.com/forums/lofiversion/index.php/t312734.html

شما پارتیشن ویندوزی داری روی سیستمت؟؟fat یا ntfs??
اگر داری احتمالا با wine اومده روی سیستمت و داره کار میکنه و کاری به لینوکس نداره چون داره از طریق wine اجرا میشه و باید بگم که بنده این مشکل
رو با sality داشتم.که فایلای exe که روی لینوکسم بودن رو خراب میکرد.
پیشنهاد میکنم از avira rescu cd استفاده کنید که پاکش کنه.

نه من فقط اوبونتو دارم رو سیستم. در ضمن wine رو هم فقط به پوشه‌ی خودش محدود کردم و دامنه‌ی عملش فقط تا همون‌جاست و بعید می‌دونم بتونه بیرون بیاد. حالا یه آنتی ویروس نصب می‌کنم ببینم چی می‌گه

[دانیال بهزادی]

در ضمن نکته‌ی مهمی که الآن یادم اومد و فکرکنم ربطی به موضوع داشته باشه اینه که دایرکتوری دسکتاپ من نوی شبکه share هست(samba). ولی خب چند وقته که اون یکی سیستم شبکه کاملا خاموشه و سیستمم فقط به روتر وصله ولی باز هم این فایل‌ها رو می‌سازه

[heresh]

در ضمن نکته‌ی مهمی که الآن یادم اومد و فکرکنم ربطی به موضوع داشته باشه اینه که دایرکتوری دسکتاپ من نوی شبکه share هست(samba). ولی خب چند وقته که اون یکی سیستم شبکه کاملا خاموشه و سیستمم فقط به روتر وصله ولی باز هم این فایل‌ها رو می‌سازه

اگه share نباشه چی؟
باز هم فایل‌ها درست می‌شه؟

[Samane]

وای پسرا! اصلا به نابغه بودن تون شک نکنید!
این .exe که زده کنار اسمش, دکوره و الان چیزی که واقعا جلوی چشممونه یک اسکیریپته! چون فرم exe های  ویندوز  بصورت زیره:

کد: [انتخاب]

-rwx------ 1 samane root  8354440 2010-05-13 22:02 Firefox Setup 3.6.3.exe
خب این هم از این!
حالا شما پنجره های اضافی رو ببند و یه jobs بگیر. شاید توی پس زمینه داره ران می شه!
و این دو تا اسکریپت رو بفرست تو پوشه null. راستی بچه ها پوشه null کجاست من پیداش نمیکنم!

اینی که میگید رو از کجا فهمیدید خانوم ؟؟؟ پس این چیه؟؟اون فایل یه اسکریپت هم باشه فعلا پسوندش exe هست.حالا چه توی ویندوز درست شده باشه چه توی لینوکس کامپایل شده باشه!

کد: [انتخاب]

-rwxrwxrwx 1 alireza alireza 522875098 2006-11-28 10:47 Setup.exeاونی هم که گذاشتید exe هست!!یعنی فایل نصب ویندوز.

آهان مثل اینکه شما قضیه پسوندا تو لینوکس رو نمیدونید! تو لینوکس پسوندی وجود نداره و  همونطور که همه می دونند پسوند فقط دکوره وجزیی از اسمه و هیچ تاثیری تو نوع کارکرد فایل نداره می تونی خیلی راحت پسوند رو عوض کنی و اون وقت راحتتر این موضوع رو می فهمی! لینوکس فقط از روی header فایل می فهمه که چه جوری باید باز کنه نه از روی اسم.
راجع به نمونه ای که فرستادی خیلی ضایع است که خودت دسترسیش رو تغییر دادی. منکه ندیدم لینوکس بخواد تمام دسترسی ها(rwx) رو به owner بده آخه اینطوری امنیتش رو از دست می ده! اگه اینطور نیست یه مسیر بگو که این شرایط رو داشته باشه تا منم چک کنم!

[مهدی...]

در مورد پسوند ها سمانه خانم درست می گه!
در مورد دوم ممکنه احتمالا حق با ایشون باشه اما منم چند موردی دیدم که پرمیشن ۷۷۷ بوده!!!
این مورد دقیقا یک ویروسه که البته اجرایی نیست. یعنی هیچگونه خطری ایجاد نمیکنه...