تمت الإجابة تصرفات غريبة من ملف Explorer.exe ويبدو ان جهازي مخترق

تم تحميل الصفحة في 0,4631457 ثانية
تصرفات غريبة من ملف Explorer.exe ويبدو ان جهازي مخترق

DadeM

Beginner Developer
rank
إنضم
11 يناير 2019
المشاركات
3
الإعجابات
0
النقاط
1
العمر
29
السلام عليكم، صباح او مساء الخير للمطورين الموجودين

اليوم كنت براقب بجهازي عن طريق TCPview ولاحظت انه explorer.exe إله هاد المعلومات
Remote Address: no-rdns.mykone.info
Local Port: 49166
Remote Port: http
من جوجل لقيته على هاد الموقع إسمه ransomwaretracker
Ransomware IP address: 87.120.36.153

الحين بدأ الشك يدخل في دماغي، فرحت عملت إله Close Connection
ولاحظت انه رجع اشتغل مرة ثانية
بس هالمرة اشتغل بمعلومات جديدة

Remote Address: no-rdns.lalabhola.win
Local Port: 49432
Remote Port: http

وفي كل مرة كنت بطفيه وبشتغل لحاله كان يعطي بورت جديد بنفس هاد الدومينات
وهي حالات طفيه ل10 مرات

explorer.exe:2376:TCP:hp-pc:49166:no-rdns.mykone.info:http:ESTABLISHED:.:.:.:.::::::
explorer.exe:2376:TCP:hp-pc:49432:no-rdns.lalabhola.win:http:ESTABLISHED:1:84:1:381::::::
explorer.exe:2376:TCP:hp-pc:49434:no-rdns.lalabhola.win:http:ESTABLISHED:1:84:::84::1:::
explorer.exe:2376:TCP:hp-pc:49435:no-rdns.lalabhola.win:http:ESTABLISHED:1:84:::84::1:::
explorer.exe:2376:TCP:hp-pc:49436:no-rdns.lalabhola.win:http:ESTABLISHED::::::::::
explorer.exe:2376:TCP:hp-pc:49519:no-rdns.lalabhola.win:http:ESTABLISHED:1:84:::84::1:::
explorer.exe:2376:TCP:hp-pc:49520:no-rdns.mykone.info:http:ESTABLISHED:1:84:1:381::381::1::
explorer.exe:2376:TCP:hp-pc:49520:no-rdns.mykone.info:http:ESTABLISHED:8:1,603:28:7,022::::::
explorer.exe:2376:TCP:hp-pc:50063:no-rdns.lalabhola.win:http:ESTABLISHED:1:84:2:691::::::
explorer.exe:4368:TCP:hp-pc:50442:no-rdns.lalabhola.win:http:ESTABLISHED:1:84:1:381::::::

عملت إله Copy من الTCPview وبدلت الفراغات بـ :

الحين بما اني شكيت في هادول الدومينات mykone.info و lalabhola.win
عملتهن مع الدومينات الفرعية لوكال هوست على جهازي من ملف HOSTS
اظن هيك بطل يقدر السيرفر يتصل بجهازي بس كيف اتخلص منه وهو مدموج في ملف خاص بالنظام؟

هي ناتج فحصه في virustotal
VirusTotal

هي الملف مضغوط.
mightbeaRAT تحميل ● مركز رفع ملفات نقطة التطوير [ Dev-Point ]

شكرا لكم.
 

DadeM

Beginner Developer
rank
إنضم
11 يناير 2019
المشاركات
3
الإعجابات
0
النقاط
1
العمر
29
السلام عليكم،

اليوم اول ما فتحت الجهاز فتحت TCPview وجدت شيء جديد
هالمرة الهوست في الexplorer.exe كانت عبارة عن اي بي مش دومين زي كل مرة

explorer.exe:2896:TCP:hp-pc:49180:78.142.19.133:http:ESTABLISHED::::::::::
معنى الكلام انه ما زال السيرفر يعمل والله اعلم
 

Capony

Beginner Developer
rank
إنضم
2 يناير 2019
المشاركات
66
الإعجابات
54
النقاط
18
العمر
29
قم بتشغيل جدار الحماية واحظر البورت - وبعدها توجه الى ملف hosts وضع الأيبي مع ايبي السيرفر المحلي 127.0.0.1
واستخدم برنامج Eset للحمايه وايضا Anti Exploit ,أفحص جهازك جيدا بعدها وبعد الفحص قم بتنظيف الريجيستري
 

زيد كريم

مُميّز نُقطة حِماية الأجهزة
rankrankrank
إنضم
1 أغسطس 2012
المشاركات
662
الإعجابات
489
النقاط
173
الإقامة
العراق
وعليكم السلام ورحمه الله وبركاته
اخي العزيز اول شي انصحك اذهب الى مسار ستارت اب ونظف كل شي ولا تنسى اظهار الملفات المخفيه
وتروح الى مسار %temp% وكمان تمسح كل شي
بعدها تفتح بروسس هكر 2 وتعمل ريستارت الى عمليه explorer
اذا ظهر معها شي معناها اكو حقن بايلود او سيرفر رات بجهازك
طريقه التخلص منه افتح Run واكتب explorer
وقبل لا تضغط OK افتح بروسس هكر واقتل عمليه explorer
وبعدها اضغط Ok في ملف Run حتى يعيد التشغيل
وبنفس الوقت انت قتلت الحقن
وبعدها استعمل اي برنامح
scan لفحص الجهاز من السيرفرات
واخير شي نزل اي برنامج حمايه وانصحك بالنود

جرب هذا الحكي كله وان شاء الله تتخلص من اي عمليه اختراق
تحياتي الك
 

الأعضاء النشطين حاليآ الذين يشاهدون هذا الموضوع (1 عضو و 0 ضيف)

خيارات الاستايل

نوع الخط
مودك
اخفاء السايدر بار OFF
توسيط المنتدى OFF
فصل الأقسام OFF
الأقسام الفرعية OFF
عرض المشاركات
حجم الخط
معلومات العضو OFF
إخفاء التوقيع OFF

إرجاع خيارات الإستايل