[Hanisa]

سلام .
من چند روزه يک مشکلي پيدا کردم . تا دو سه روز پيش فري اسپيس درايو c گيگ1.5 بود اما الان به 54 مگ هم رسيد و دوباره به 666 مگ برگشت بدون اينکه برنامه اي نصب يا حذف کنيم .
يا چند بار شده که رايانه به هيچ وجه و از هيچ طريقي خاموش يا ريست نمي شه و مجبورم براي اينکار از کيس استفاده کنم .
یا وقتی به اینترنت وصل می شم بعضی مواقع اصلی نمی تونم هیچ صفحه ای رو باز کنم .
يا مشکلات ديگه .
من انتی ویروسم رو دو رو ز پیش اپدیت کردم و حالا که اسکن کردم هیچ چیزی پیدا نکردم . انتی ویروسم هم اویرا هست .
در ضمن من چند وقت پیش برنامه TrafficCompressor رو نصب کردم . ممکنه مشکل از اون باشه ؟
مي خوام بدونم اين مشکلات از ويروس هست ؟چه جوري رفعش کنم ؟
اگر کمک کنید ممنون میشم .

[abvet]

ممكن شما rootkit داشته باشين.برنامه unhack me يا reanimator رو نصب كنيد.

[Mojtabaf]

نقل قول:

در ضمن من چند وقت پیش برنامه trafficcompressor رو نصب کردم . ممکنه مشکل از اون باشه ؟

شما از اون وقتی که این برنامه رو نصب کردید ، به این مشکل دچار شدید ؟

[Hamed64]

rozseiah جان با سلام

یه دلیل احتمالی دیگه برای پر شدن درایو C که احتمالا درایو ویندوزتون هم هست اینه که شما احتمالا System Restore ویندوز رو خاموش نکردید.


من پیشنهاد می کنم اگه نیاز خاصی به این امکان ویندوز ندارید اونو برای تمام درایوها غیر فعال کنید.

[emsaki]

یکی از دلایل پر شدن درایو C استفاده بیش از حد از اینترنت هست
چون شما صفحاتی رو که باز می کنید داخل temporari internet file یه این طور چیزی
ذخیره میشه تا دفعه بعدی که همون پیچ رو باز می کنید سریعتر باز بشه

یه clean up کنید
باید قاعدتا حجم زیادی از پارتیشن C برگرده

در ضمن از آنتی ویروس ناد32 ورژن 4 به جای آویرا استفاده کنید

[saeid4631]

به نظر منم به احتمال زیاد از ویروسه.
البته در مورد هنگ کردن من پیشنهاد می کنم که شما یه بار دفرگ کن ببین اگه درست شد که هیچ ولی اگه نشد احتمال ویروسی شدن مطرحه.
در این مورد هم به نظر من شما موقتا یه آنتی ویروس دیگه ای نصب و اسکن کن اگه ویروس رو پیدا و حذفش کرد بعد باز اگه خواستی اویرا نصب کن یا همون جدیدیه رو نگه دار.

ضمنا در مورد آنتی ویروس جدید به نظر من یکی از این سه تا رو امتحان کن: کاسپر یا پاندا یا بیت دیفندر کارشون حرف نداره. ضمنا اگه ویروس نزاره آنتی ویروس نصب بشه از کاسپر استفاده کن چون روش نصبش مخفیانه هست و در این مورد تو اکثر موارد نصب میشه.
موفق باشی

[Hanisa]

نقل قول:

نوشته اصلی توسط abvet

ممكن شما rootkit داشته باشين.برنامه unhack me يا reanimator رو نصب كنيد.

ببخشید . من اطلاعاتم در مورد رایانه تقریبا در حد صفر هست . می شه صریح تر بگید rootkit چیه ؟

نقل قول:

نوشته اصلی توسط Mojtabaf

شما از اون وقتی که این برنامه رو نصب کردید ، به این مشکل دچار شدید ؟

در مورد درایو c بله . ولی هنگ کردن قبل از اون هم بود .

نقل قول:

نوشته اصلی توسط Hamed64

rozseiah جان با سلام

یه دلیل احتمالی دیگه برای پر شدن درایو C که احتمالا درایو ویندوزتون هم هست اینه که شما احتمالا System Restore ویندوز رو خاموش نکردید.


من پیشنهاد می کنم اگه نیاز خاصی به این امکان ویندوز ندارید اونو برای تمام درایوها غیر فعال کنید.

می شه بگید چه جوری خاموشش کنم . و بعدا امکان داره که بهش احتیاج پیدا کنم ؟

نقل قول:

نوشته اصلی توسط ali_1989i

یکی از دلایل پر شدن درایو C استفاده بیش از حد از اینترنت هست
چون شما صفحاتی رو که باز می کنید داخل temporari internet file یه این طور چیزی
ذخیره میشه تا دفعه بعدی که همون پیچ رو باز می کنید سریعتر باز بشه

یه clean up کنید
باید قاعدتا حجم زیادی از پارتیشن C برگرده

در ضمن از آنتی ویروس ناد32 ورژن 4 به جای آویرا استفاده کنید

می شه بگید چه جوری clean up بکنم ؟

[emsaki]

اگر ویندوزت اکس پی باشه
از منوی start
گزینه All programs
گزینه accessories
گزینه system tools
Clean up رو انتخاب کن
درایوی که ویندوز داخلش نصب هست
انتخاب کن و OK کن
صفحه جدید که باز شد
تیک همه گزینه ها رو بزن
دوباره OK کن صبر کن کار که تموم شد حجم درایو رو دوباره چک کن

[Hanisa]

نقل قول:

اگر ویندوزت اکس پی باشه
از منوی start
گزینه all programs
گزینه accessories
گزینه system tools
clean up رو انتخاب کن
درایوی که ویندوز داخلش نصب هست
انتخاب کن و ok کن
صفحه جدید که باز شد
تیک همه گزینه ها رو بزن
دوباره ok کن صبر کن کار که تموم شد حجم درایو رو دوباره چک کن

فقط یک مگ به حجمش اضافه شد .
دفرگرام هم کردم . فایده نداشت .

[saeid4631]

نقل قول:

نوشته اصلی توسط rozseiah

فقط یک مگ به حجمش اضافه شد .
دفرگرام هم کردم . فایده نداشت .

پس احتمالا نوعی ویروسه شایدم روت کیت باشه.

نقل قول:

می شه صریح تر بگید rootkit چیه ؟

RootKit ها برنامه هایی هستند که از نظر ساختار کاری، بسیار شبیه Trojan ها و Backdoor ها هستند، ولی با این تفاوت که شناسایی RootKit بیسار مشکل تر از درب های پشتی است، زیرا RootKit ها علاوه بر اینکه به عنوان یک برنامه کاربردی خارجی مثل Netcat و ابزارهای درب پشتی مثل Sub7 بر روی سیستم اجرا می شوند، بلکه در عین حال جایگزین برنامه های اجرایی مهم سیستم عامل، و حتی گاهی مواقع جایگزین خود هسته کرنل می شوند و به هکرها این اجازه را می دهند که از طریق درب پشتی و پنهان شدن در عمق سیستم عامل ، به آن نفوذ کنند و مدت زیادی با خیال راحت با نصب ردیابها (Sniffer) و دیگر برنامه های مانیتورینگ بر روی سیستم، اطلاعاتی را که نیاز دارند بدست آورند.
قابل ذکر است که در دنیای هکرها دو نوع RootKit اصلی وجود دارد که هر کدام تعریف جداگانه ای دارند:
1- RootKit سنتی:
RootKit های سنتی با شناسایی اولین RootKit بسیار قدرتمند در اوایل سال 1990 در طول یک دهه گسترش پیدا کردند و تا آنجا پیش رفتند که امروزه انواع مختلفی از RootKit های سنتی وجود دارند که به طور عملی خودشان نصب شده و به هکرها اجازه می دهند که به سرعت سیستم قربانی را فتح کنند.
RootKit های سنتی برای سیستم عامل های مختلف نوشته شده اند، ولی به طور سنتی بر روی سیستم عامل های یونیکس مثل HP - UX - AIX - Linux - Solaris - SunOS و از این قبیل تمرکز کرده اند. ولی برای ویندوز های سرور مثل 2000 و NT نیز RootKit هایی نوشته شده اند که جایگزین کتابخانه های پیوند پویا (DLL) شده و یا سیستم را تغییر می دهند، ولی تعداد زیادی از RootKit ها اجازه دسترسی Root یا Administrator را به ما نمی دهندو ما هنگامی قادر به نصب آنها بر روی یک سیستم هستیم که دسترسی ریشه ای و مدیر یک سیستم را توسط روش های دیگری (مثل سرریز بافر ... ) به دست آورده باشیم.
بنابراین یک RootKit یک سری ابزارهایی است که با پیاده سازی یک درب پشتی (Backdoor) و پنهان کردن مدارک استفاده از سیستم و ردپاها، به هکر اجازه نگهداری دسترسی سطح ریشه را می دهد. ساختار کار تروجان ها نیز به این صورت است که فایلی را در داخل هسته سیستم مثل پوشه System32 اضافه می کنند و این فایل تمامی پسوردهای قربانی را Log کرده و برای هکر می فرستد، و یا با باز کردن پورتی ، اجازه ورود هکر را از طریق پورت باز شده می دهد، ولی RootKit های سنتی به جای اینکه فایلی در هسته سیستم قربانی اضافه کنند، سرویس ها و فایل های اصلی و مهم سیستم عامل قربانی را با یک نسخه تغییر یافته آن که عملیاتی مخرب انجام می دهد، جایگزین می کنند.
اکثر RootKit ها ، سرویس ها و برنامه هایی مثل ps - Netstat - ls - Login - Ifconfig - Find - DU را با RootKit خود جا به جا می کنند. هریک از این برنامه های سیستمی، با یک اسب تروای منحصر به فرد جایگزین می شود که عملکرد آنها شبیه به برنامه عادی است.
(Linux RootKit 5 (Irk5 و Tornkit دو نمونه از RootKit های سنتی هستند که برای سیستم های Linux و Solaris نوشته شده اند و اینگونه RootKit ها به محض نصب شدن در سیستم قربانی، خود را با سرویس های حیاتی و مهم سیستم عامل که در قبل ذکر شد، جایگزین می کنند.
2- RootKit سطح هسته:
این نوع از RootKit ها، نسبت به نوع سنتی بسیار حرفه ای تر هستند و از نظر سطح پنهان سازی، بسیار پا را فراتر از نوع سنتی گذاشته اند، زیرا این RootKit ها در سطح ریشه پیاده سازی می شوند و این کار شناسایی و کنترل آنها را بسیار مشکل تر کرده است. RootKit های سطح هسته، به ما کنترل کاملی از سیستم و یک امکان قدرتمند برای جایگیری می دهد. در واقع یک هکر با ایجاد تغییرات اساسی در خود هسته، می تواند سیستم را در سطحی بسیار اساسی کنترل کرده و قدرت زیادی برای دسترسی به درب پشتی و پنهان شدن در ماشین را به دست آورد. خود هسته نیز در حالی که یک کرنل زیبا و کارآمد به نظر می رسد، تبدیل به یک اسب تروا می شود و در حقیقت Kernel فاسد می شود، ولی صاحب سیستم از این موضوع بی خبر می ماند.
در حالی که یک RootKit سنتی، جایگزین برنامه های سیستمی حیاتی مثل برنامه های ... Ifconfig - ls می شود، یک RootKit سطح هسته، در حقیقت جایگزین خود هسته می شود و یا آنها را تغییر می دهد. بدین طریق تمامی فایل ها - دستورها - پردازشها و فعالیت های شبکه ای در سیستم آلوده به RootKit هسته پنهان می شوند و تمامی اعمال به سود هکر ضبط می شود. همچنین اغلب RootKit های سطح ریشه توسط LKM ها پیاده سازی می شوند. در نظر داشته باشید نصب RootKit های سطح هسته ای که توسط LKM ها پیاده سازی شده باشد، بسیار راحت است. برای مثال برای نصب Knrak Rootkit که برای هسته لینوکس نوشته شده است، یک هکر که با Account سطح ریشه یا همان Root به آن سیستم وصل است، تنها کافی است insmod knark.o را تایپ کند تا ماژول نصب شود و منتظر دستورات هکر بماند و حتی نیازی به بوت کردن دوباره سیستم هم ندارد.
البته RootKit های سطح هسته برای ویندوز NT هم وجود دارند که یک Patch را بر روی خود هسته اجرایی ویندوز NT بدون استفاده از LKM ها اعمال می کنند. چند عدد از معروف ترین RootKit های سطح ، Knrak و Adore برای سیستم های لینوکس ، و Plasmoid برای سیستم های Solaris ، و RootKit سطح هسته ویندوز NT برای سیستم های سرور ویندوز می باشند.
راه های مقابله با RootKitهای سنتی و RootKitهای سطح هسته
حال که با ساختار و مختصات RootKitها و انواع آنها آشنا شدید، جهت مقابله و بیان راهکارهای مناسب جهت مقابله با اینگونه تهاجمات، به عرض می رسانیم که مهمترین راه دفاع در برابر RootKitها، اجازه ندادن به هکرها در دسترسی به حساب مدیر است. همانطور که ذکر شد، یک هکر برای نصب یک RootKit باید دسترسی سطح ریشه داشته باشد و اگر ما بتوانیم همیشه راه های نفوذ و آسیب های جدید سیستم عاملمان را شناسایی و آنها را از بین ببریم ، شانس دستیابی هکر به حساب ریشه خود را تقریبا به صفر رسانده ایم.
در مرحله بعد اگر فرض کنیم که با بی احتیاطی ما ، هکری توانست بر روی سیستم ما RootKit نصب کند ، یکی از راه های تست در این مورد که آیا سیستم ما RootKit شده است یا خیر؟ استفاده از دستور Echo است.
در واقع تعداد بسیار کمی از RootKitها ، دستور Echo را که برای لیست کردن محتویات یک دایرکتوری می باشد، تروا می کنند و بر اساس تجربه و شواهد، اکثر RootKitها بر روی تروا کردن ls تمرکز کرده اند. به همین دلیل Echo یک لیست یک لیست قانونی از محتویات یک دایرکتوری را بر می گرداند و اگر نتیجه ای که Echo بر می گرداند، با چیزی که دستور ls برای دایرکتوری داده شده نشان می دهد، متفاوت باشد، ممکن است چیزی در آن دایرکتوری پنهان شده باشد که این نتیجه را می رساند که سیستم شما RootKit شده است.
ولی در کل این روش زیاد موثر نیست، چون جستجوی تمام سیستم فایل ، برای یافتن هر اختلافی بین فایل های لیست شده در خروجی Echo و ls وقت زیادی را طلب می کند. به همین دلیل امروزه ابزارهای مختلفی برای آنالیز برنامه Rootkit/bin/login وجود دارد که مشخص می کنند آیا RootKit شناخته شده ای نصب شده اس یا خیر. این ابزارها وقتی که بر روی سیستم نصب می شوند، به صورت دوره ای فایل های مهم بر روی سیستم را مثل bin/login/ چک می کنندتا از وجود RootKit باخبر شوند که برنامه ChRootKit ابزاری جالب در این زمینه است، ولی در کل بهترین راه دفاع در برابر RootKit ها، استفاده از تکنولوژی اثر انگشت دیجیتالی قوی می باشد تا به صورت دوره ای، دسترسی فایل های سیستم بحرانی و مشکوک را بررسی و چک نماید.
به عنوان نمونه ، MD5 (یک تابع درهم ساز یک طرفه) ، یک الگوریتم بسیار مناسب برای محاسبه این نوع اثر انگشت های قوی می باشد. به عبارت دیگر با محاسبه یک اثر انگشت Encypt شده قوی برای فایل های سیستمی مهم ، یک هکر قادر نخواهد بود که فایلی را تغییر داده و با همان اثر انگشت وارد شود.
درRootKit های سطح هسته ، Scan پورت ها در شبکه که با استفاده از ابزارهایی مثل Nmap صورت گیرد، پورت های شنونده را به مدیر امنیتی سیستم نشان خواهد داد. به همین دلیل پویش و اسکن دوره ای سیستم در طول شبکه برای پیدا کردن رد RootKit ، بسیار مفید است.


منبع


------------------------------------------
خلاصه کلام اینکه شما اول با آنتی ویروس های دیگه ای که گفتم اسکن کن اگه حل نشد باید ویندوزتو عوض کنی چون سیستمت ویروسیه.
موفق باشی