[ مشكلة ] فيروس dllhost.exe *32 COM surrogate .. ارجوا الحل بسررررعه !

تم تحميل الصفحة في 0,3991396 ثانية
فيروس dllhost.exe *32 COM surrogate .. ارجوا الحل بسررررعه !

ALY-SPY

Beginner Developer
rank
إنضم
6 مايو 2014
المشاركات
28
الإعجابات
14
النقاط
3
السلام عليكم و رحمة الله و بركاته

اخوانى اعضاء الديف بوينت الكرام اسعد الله اوقاتكم بكل خير

الموضوع لا يحتاج لوصف ولا انتظار و مفهوم من عنوانه

اريد حل لفيروس dllhost.exe *32 COM surrogate اللعين

حملت بعض برامج الازالة و لم تتمكن من ازالته

الفيروس منتشر فى تيسك مانجر بشكل غير طبيعي مما يؤدى الى ارتفاع درجة المعالج

ملفات كثيرة تحتوى على *32 و لم اقدر على معالجته

ارجوا الحل و لكم جزيل الشكر
 
إنضم
27 يناير 2018
المشاركات
582
الإعجابات
528
النقاط
93
ممكن صورة من التاسك مانجر
ولما تكفي العنلية اللي بتستهلك هل تجد إن عملية أخري صارت بتستهلك المعالج وهكذا ؟
يعني كل ما تقفل العملية يظهر الاستهلاك غدفي عملية أخري ؟
 

ALY-SPY

Beginner Developer
rank
إنضم
6 مايو 2014
المشاركات
28
الإعجابات
14
النقاط
3
ممكن صورة من التاسك مانجر
ولما تكفي العنلية اللي بتستهلك هل تجد إن عملية أخري صارت بتستهلك المعالج وهكذا ؟
يعني كل ما تقفل العملية يظهر الاستهلاك غدفي عملية أخري ؟

نعم تفتح مره اخرى خصوصا ملف klnagent.exe *32


ارجو الحل
 
إنضم
27 يناير 2018
المشاركات
582
الإعجابات
528
النقاط
93
طالما *32 إذا يبدو أنه فيه ماينر 32 bit يتم حقنه في العمليات والحاقن ينتظر حتي انتهاء العملية المحقونة
غالبا ب WaitForSingleObject

ابحث في تاسك مانجر عن عملية 32 تشتبه فيها وشوف مسار البرنامج وجرب اقفله

لو ممكن بيخفي نفسه من التاسك مانجر استعمل بروسس هاكر وفعل الدرايفر بتاعه
وابحث عن العمليات التي لديها مقبض للعملية التي تستهلك معظم المعالج
وغالبا ستجد الحاقن بينهم
( لا أعرف إذا كان البروسس هاكر يقدموهذه الخاصية لكن أظن ذلك لأنه يبحث عن مقابض الملفات)

إذا كان هنا حد مبرمج يريد مساعدتك
ممكن يستخدم NtQuerySystemInformation
للحصول علي المقابض ومعرفة العمليات التي لديها مقبض للعملية التي تستهلك المعالج
 
إنضم
2 نوفمبر 2012
المشاركات
3,482
الإعجابات
2,944
النقاط
113
العمر
31
الإقامة
Algeria
أخي الفاضل كيف تأكدت أنه فيروس

الملف خاص بالنظام وليس فيروس, والملف الثاني الذي يحمل اسم

هو ملحق خاص ببرنامج Kaspersky اسمه الكامل
Kaspersky Linking Network Agent
لا تتسرع وتخرب جهازك
------------
ان أردت التأكد من كلامي قم بالضغط بزر الفارة الأيمن على dllhost surrogat واختر “Open file location
ان ظهر الملف داخل المسار
C:\Windows\System32
فهو من ملفات النظام , وللتأكد قم بفحصه في موقع virustotal
 
إنضم
27 يناير 2018
المشاركات
582
الإعجابات
528
النقاط
93
أخي الفاضل كيف تأكدت أنه فيروس

الملف خاص بالنظام وليس فيروس, والملف الثاني الذي يحمل اسم

هو ملحق خاص ببرنامج Kaspersky اسمه الكامل
Kaspersky Linking Network Agent
لا تتسرع وتخرب جهازك
------------
ان أردت التأكد من كلامي قم بالضغط بزر الفارة الأيمن على dllhost surrogat واختر “Open file location
ان ظهر الملف داخل المسار
C:\Windows\System32
فهو من ملفات النظام , وللتأكد قم بفحصه في موقع virustotal
المشكلة ليست في الملف
المشكلة إنه هناك حاقن بيحقن إما شيل كود أو dll في هذه العمليات وبالتالي العملية صارت كالفايروس
الحل هو العثور علي الحاقن وحذفه
عن نفسي أستخدم هذه الطريقة في تشغيل xmr-stak لكن في عمليات 64 bit
والحاقن بيخفي نفسه من التاسك مانجر
ومهما المستخدم قفل في العمليات الحاقن بيحقن في عملية تانية
 
إنضم
2 نوفمبر 2012
المشاركات
3,482
الإعجابات
2,944
النقاط
113
العمر
31
الإقامة
Algeria
المشكلة ليست في الملف
المشكلة إنه هناك حاقن بيحقن إما شيل كود أو dll في هذه العمليات وبالتالي العملية صارت كالفايروس
الحل هو العثور علي الحاقن وحذفه
عن نفسي أستخدم هذه الطريقة في تشغيل xmr-stak لكن في عمليات 64 bit
والحاقن بيخفي نفسه من التاسك مانجر
ومهما المستخدم قفل في العمليات الحاقن بيحقن في عملية تانية
كيف تأكدت أنه فيروس وبالأخص حاقن ؟

لو كان حاقن سيتم كشفه بهذذه الأداة
https://www.phrozen.io/media/2018-05/RunPEDetectorV2.zip
أو
Adlice PEViewer Free Download - Official Website
أو يمكن عمل dump للعملية الشغالة ولاحظة حجم الملف الموجود على القرص الصلب ومقارنة حجمه مع الموجود بالذاكرة
ان كان لهما نفس الحجم فلا يوجد مشكلأما ان كان العكس فهناك حاقن
 
إنضم
27 يناير 2018
المشاركات
582
الإعجابات
528
النقاط
93
كيف تأكدت أنه فيروس وبالأخص حاقن ؟

لو كان حاقن سيتم كشفه بهذذه الأداة
https://www.phrozen.io/media/2018-05/RunPEDetectorV2.zip
أو
Adlice PEViewer Free Download - Official Website
أو يمكن عمل dump للعملية الشغالة ولاحظة حجم الملف الموجود على القرص الصلب ومقارنة حجمه مع الموجود بالذاكرة
ان كان لهما نفس الحجم فلا يوجد مشكلأما ان كان العكس فهناك حاقن
هذه الأداة ل RunPe
أما الحقن فهو Manual Mapping

وطبعا عمل dump ومقارنة الحجم ليس طريقة لكشف الحقن
لأن البرنامج طبعا ييحمل مكاتب في الذاكرة ويستخدم الذاكرة بكثرة غير حجمه اللي موجود في الذاكرة لأن البرنامج أو dll حتي يشتغل لا بد يتم تحميله كله أولا للذاكرة والمفاجأة إنه حجم البرنامج لوحده في الذاكرة قبل ما يحمل أي مكتبة أكبر من حجمه علي الهارد بسبب alignments المطلوبة
 
إنضم
8 سبتمبر 2013
المشاركات
7,968
الإعجابات
11,891
النقاط
168
الإقامة
Live.IQ(JO => JO.AMMAN)

ALY-SPY

Beginner Developer
rank
إنضم
6 مايو 2014
المشاركات
28
الإعجابات
14
النقاط
3
اخي للتحقق من وجود حقن او لا
استخدم طريقتي في هذا الموضوع [ نقاش ] - برنامج كاشف الحقن [BETAver] البرنامج قد يحتوي اخطاء لذلك
اتمنى ان تفحص يدوياً من خلال الطريقة التالية في هذا الموضوع [ طريقة ] - كشف مسار الحقن الحقيقي بطريقة سهلة
جارى التحقق رغم ان الفيروس ظهر مشهور فى محرك البحث !
 
إنضم
2 نوفمبر 2012
المشاركات
3,482
الإعجابات
2,944
النقاط
113
العمر
31
الإقامة
Algeria
هذه الأداة ل RunPe
أما الحقن فهو Manual Mapping

وطبعا عمل dump ومقارنة الحجم ليس طريقة لكشف الحقن
لأن البرنامج طبعا ييحمل مكاتب في الذاكرة ويستخدم الذاكرة بكثرة غير حجمه اللي موجود في الذاكرة لأن البرنامج أو dll حتي يشتغل لا بد يتم تحميله كله أولا للذاكرة والمفاجأة إنه حجم البرنامج لوحده في الذاكرة قبل ما يحمل أي مكتبة أكبر من حجمه علي الهارد بسبب alignments المطلوبة
الأداة الأولى تكشف الران بي ـما الثانية تظهر جميع المعلومات حول العمليات الشغالة بالذاكرة
مبدأ الكشف صحيح دائما عندما تحقن ملف dll أو شيل كود يزداد حجم الملف (section) بالذاكرة
الأمر يحتاج عمل hooks, callbacks, section analysis, module informations ليتم كشف mapping
لكن لحد الأن لا يمكن أن نجزم أنه فيروس !
على العموم ان كانت لديك اداة تكشف فضعها هنا ليجربها الاخ على جهازه
 
إنضم
27 يناير 2018
المشاركات
582
الإعجابات
528
النقاط
93
أولا الطريقة المرفقة لكشف الحقن لا تنفع مع manual mapping ولكن مع طريقة CreateRemoteThread LoadLibrary
أو مع DoubleAgent الثغرة المشهورة وهي في الحقيقة ميزة وليست ثغرة وغيرها من الطرق التي يقوم النظام فيها بتلويد المكاتب في الذاكرة من أجلك ولكن عيبها أنك لن تستطيع تشفير الملف المحقون لأن الويندوز يحمل الملف من علي الهارد
هذه الطريقة الموجودة في الفيديو سهلة ولا تحتاج بروسس هاكر
إما أن تستخدم snap shot للحصول علي جميع modules في العملية المطلوبة أو تفعلها يدويا عن طريق الحصول عليهم من PEB العملية

حقن الملفات اليدوي manual mapping يجعلك تحقن بايتات من الذاكرة وتشغلها في عملية و البايتات المحقونة موجودة في مكان عشوائي في ذاكرة البروسس المحقون حتي النظام لا يعلم أن هذا المكان يوجد فيه ملف dll أو exe لذلك ستفقد بعض المميزات لكن يمكنك التغلب عليها

ثانيا أنا لا أدري بالضبط ما هي المشكلة وهل إذا كان هناك حقن أم لا

ثالثا لماذا تنجح طريقة أمير في كشف التلويد بدالة LoadLibrary ولا تنجح مع manual mapping ؟
لأن هذه الدالة عندما تقوم بتحميل ملف dll أو exe تقوم عند نجاح التحميل بإضافة عنوانه إلي بيب العملية حتي يتعرف النظام علي وجوده وحتي يستطيع النظام تشغيل الدالة الرئيسيه في مكاتب الدل عند كل إنشاء لخيط أو انتهاء خيط بالوسيط المناسب ولمعالجة tls وأشياء أخري

لكن عند التلويد يدويا فالنظام لا يعرف شيء عن عنوان الموديل ولا أي معلومة عنه

رابعا هذه طريقة بسيطة لكشف الحقن وهي البحث في كل ذاكرة الملف عن nt signature و dos signature ومقارنة العنوان مع العناوين الموجودة في البيب وإذا وجدت أن العنوان غير موجود فهذا احتمال وجود حقن
طبعا الطريقة يمكن تخطيها بسهولة إذا قام الحاقن بمسح الهيدرات وهذا ما سيفعله تقريبا أي حاقن

خامسا سبب شكي في أن هذا حاقن هو أني أستعمل نفس الطريقة لكن لأنظمة 64 وأعلم سبب الألم الذي تسببه للضحية لأني جربتها علي حهازي الضعيف وبدأ صوت المروحة يرتفع والجهاز سخن وكل ما اطفي عملية عملية تانية تستهلك المعالج وهكذا
 
إنضم
27 يناير 2018
المشاركات
582
الإعجابات
528
النقاط
93
هل وجدت أي حل أو اكتشفت ما هي المشكلة بالضبط ؟
حاول البحث عن البرامج التي تعمل مع تشغيل الجهاز ربما تجد برنامج مشبوه
وافحص مفتاح userinit في الريجستري
 

ALY-SPY

Beginner Developer
rank
إنضم
6 مايو 2014
المشاركات
28
الإعجابات
14
النقاط
3
هل وجدت أي حل أو اكتشفت ما هي المشكلة بالضبط ؟
حاول البحث عن البرامج التي تعمل مع تشغيل الجهاز ربما تجد برنامج مشبوه
وافحص مفتاح userinit في الريجستري
لسه .. ظهر فيروس فديه جديد
مع العلم امتلك نود
لكن هو فيروس تشفير ملفات
 
إنضم
27 يناير 2018
المشاركات
582
الإعجابات
528
النقاط
93
لسه .. ظهر فيروس فديه جديد
مع العلم امتلك نود
لكن هو فيروس تشفير ملفات
تعني الفيروس المحقون كان برنامج تشفير ؟
تقريبا هذا يفسر استهلاك cpu المرتفع لأنه أنشأ خيوط كثيرة لتسريع القراءة والكتابة علي الهارد بشكل كبير جدا
+
نقطة تضاف لموضوعي "هل تتجسس عليك برامج الحماية بدلا من أن تحميك من برامج التجسس ؟"
ذكرت فيه عجز الأنتي فيرس عن اكتشاف مثل هذه التهديدات
 

الأعضاء النشطين حاليآ الذين يشاهدون هذا الموضوع (1 عضو و 0 ضيف)

خيارات الاستايل

نوع الخط
مودك
اخفاء السايدر بار OFF
توسيط المنتدى OFF
فصل الأقسام OFF
الأقسام الفرعية OFF
عرض المشاركات
حجم الخط
معلومات العضو OFF
إخفاء التوقيع OFF

إرجاع خيارات الإستايل