درخواست راهنمایی

قفل شده
saman
ناظم انجمن
پست: 2190
تاریخ عضویت: چهارشنبه آگوست 28, 2013 10:53 pm

درخواست راهنمایی

پست توسط saman » پنج‌شنبه آپریل 23, 2015 3:17 pm

ببشخید من روی ویندوز 7 نسخه امنیت پیشرفته پادویش رو دارم و چند روز پیش اتفاقی به تب security روی یکی از فایل های دسکتاپ رفتم و چیز عجیبی نظرم را جلب کرد.

تصویر زیر را مشاهده بفرمایید>>
فایل ضمیمه porsesh.jpg دیگر موجود نیست
موارد unknown چه هستند؟؟؟ که با علامت سوال هم ظاهر شده اند؟؟؟؟؟؟؟

من روی این ویندوز انواع بدافزار ها را دانلود میکنم و فقط یکبار به اشتباه یک فایل بدافزار اجرا شده که برای امن پرداز فرستاده ام و خوشبختانه شناسایی و پاکسازی هم شده. ممکن است به آن مربوط باشد.

چند روز پیش پک پرتعدادی از بد افزار ها را دانلود کرده بودم و مثل همیشه هیچکدام را اجرا نکردم و فقط با پادویش scan کردم. اما چیزی که بخاطر می آورم این است که پادویش مدام بدافزار sality را شناسایی میکرد که همراه آن پک بود و نمیدانم احتمالا تعدد پیغام ها هم به این خاطر بود که سعی داشت به فایل های دیگر متصل شود و آنها را آلوده کند اما چیزی که بخاطر می آورم این است که لحظه ای در پایین کنار ساعت ویندوز پیغامی مبنی بر user acount یا یک یوزر جدید و درخواست برای راه اندازی مجدد سیستم بود که البته من اهمیتی ندادم و پادویش هم بدافزار ها را پاک کرد و پیغام های مربوط به sality هم به پایان رسید.

پرسش این است اگر حضور این 2 یوزر همراه با علامت سوال ناشی از بدافزار هاست و آثار بجا مانده از آنها، آیا راهی برای پاکسازی کامل وجود دارد با خیر
تشکر
پیوست ها
porsesh.jpg
بالا
saman
ناظم انجمن
پست: 2190
تاریخ عضویت: چهارشنبه آگوست 28, 2013 10:53 pm

پست توسط saman » یک‌شنبه آپریل 26, 2015 2:31 pm

کسی نمیتونه کمک کنه؟
بالا
نمایه کاربر
akbar
پست: 308
تاریخ عضویت: چهارشنبه اکتبر 30, 2013 3:32 pm

پست توسط akbar » دوشنبه آپریل 27, 2015 7:50 am

مدیران سایت؟؟!!
بالا
Naficy
مدیر کل
پست: 1320
تاریخ عضویت: چهارشنبه آگوست 07, 2013 11:27 am

پست توسط Naficy » دوشنبه آپریل 27, 2015 9:34 am

سلام
این اعداد قاعدتا کاربرانی هستند که زمانی کامپیوتر شما آنها را می‌شناخته ولی الآن نمی‌شناسد.
ساختار این اعداد به این شکل است:

کد: انتخاب همه

S-1-5-21-<domain1>-<domain2>-<domain3>-<USER>
سه عدد مربوط به domain مشخص کننده کامپیوتر یا اکتیودایرکتوری‌ای هستند که این کاربر روی آن تعریف شده است. یعنی در یک کامپیوتر یا یک اکتیودایرکتوری برای تمام کاربران آن همسان است.
عدد آخر یعنی user هم شماره کاربر در آن کامپیوتر است که برای کاربران ساخته شده اصولا از ۱۰۰۱ شروع می‌شود و به ترتیب بالا می‌رود. اعداد کمتر از ۱۰۰۰ معانی خاص و مشخص دارند، مثلا 500 administrator و 501 guest است.
اگر عدد انتهایی این شناسه‌ها را نیز ارسال کنید بهتر می‌شود راهنمایی کرد؛ ولی حدس من این است:
از آنجاییکه در مورد شما domain متفاوت است، بهترین احتمال این است که این فایل از ویندوزهای قبلی باقی مانده است، یا اینکه از روی کامپیوتر دیگری کپی شده است. (کپی از طریق فایل‌سیستم NTFS این شناسه‌ها را نیز به همراهش کپی می‌کند)
یا ممکن است کامپیوتر شما به یک اکتیودایرکتوری یا مانند آن وصل بوده و این فایل را از آنجا گرفته است - یا کامپیوتر join شده و دوباره disjoin شده - و الان به سبب متصل نبودن به اکتیودایرکتوری نمی‌تواند نام کاربر را پیدا کند.

اصولا مورد خاصی نیست و اصلا معمول نیست که بدافزاری از این روش‌ها استفاده کند - و متفاوت بودن domain فرض - بسیار بسیار غیرمحتمل - هکر انسانی را نیز رد می‌کند؛ چون این اکانت‌ها اصولا مربوط به ویندوز فعلی شما نیستند و نبوده‌اند.
بالا
saman
ناظم انجمن
پست: 2190
تاریخ عضویت: چهارشنبه آگوست 28, 2013 10:53 pm

پست توسط saman » سه‌شنبه آپریل 28, 2015 10:27 am

جناب نفیسی گرامی از پاسخ خوب و عالی شما متشکرم

1- این تصاویر اعداد انتهایی>>
1.jpg
1.jpg
2- من زمانی که گروهی از بدافزار ها روی سیستمم به صورت فشرده بود و قصد ارسال آنها برای کارشناسان بدافزار شما را داشتم (خب قطعا برای اینکه متوجه شوم کدام ها را پادویش نمی شناسد باید آنها را از حالت فشرده خارج کنم و فقط تعدادی که پاکسازی نمی شود را بفرستم) و پادویش مدام در حال پیغام جلوگیری از بدافزار های مختلف بود که ناگهان پیغامی در کنار ساعت ویندوز مربوط به user account دیدم که درخواست restart ویندوز را داشت که البته اهمیتی ندادم و شاید فردای آن روز که بخاطر آوردم، به تب security روی یکی از فایل ها مراجعه کردم و با این دو user عجیب روبرو شدم.
3- از آنجا که سواد کامپیوتری من در حد بسیار ابتدایی +network و win7( آن هم تا نیمه!! است) و به دلیل قبولی در مقطع کارشناسی ارشد رشته خودم ، مجبور به رها کردن این دوره ها شدم و البته اگر بخواهم از خودم تعریف کرده باشم!!! در آن دو کلاس جز بهترین دانشجو ها از نظر نمرات کلاسی بودم!!!!! اما بگذارید با احتیاط از شما بپرسم که ممکن است بدافزاری مثلا یک تروجان یا مشابه آن، برای دسترسی داشتن یه اطلاعات سیستم من و ارسال آن ، این user ها را بسازد؟

4- من هرگز غیر از شبکه شاتل به هیچ شبکه ای متصل نبوده ام(در مورد اکتیو دایرکتوری و.....) ویندوز قبلی هم وجود نداشته
5- اصلا بخاطر ندارم از روی کامپیوتر دیگری منتقل شده باشند مگر بدون اجازه من و بدون اطلاع من که بسیار بعید است.

6- درپایان این پرسش که آیا از طریق computer managment میتوانم اینها را پاک کنم؟ البته در آنجا جز admin و guest و s( کاربری خودم) چیز دیگری نیست. یا اینکه اگر قابل پاکسازی نیستند، permission آنها را دستکاری کنم اطمینان بیشتری برای حفاظت از سیستم ممکن نیست؟ اصلا در همان تب security میتوانم آنها را remove کنم؟
پیوست ها
2.jpg
بالا
Naficy
مدیر کل
پست: 1320
تاریخ عضویت: چهارشنبه آگوست 07, 2013 11:27 am

پست توسط Naficy » سه‌شنبه آپریل 28, 2015 9:18 pm

سلام

با توجه به اعداد انتهایی که ارسال کردید (و همه ۱۰۰۱ هستند) با قطعیت می‌شود گفت که این اکانت‌ها یا مربوط به ویندوزهای قبلی هستند، یا ویندوزهایی که کنار ویندوز جاری نصب کرده‌اید، یا اینکه این فایل روی ویندوز دیگری بوده و اینجا کپی کرده‌اید و یا یک چنین چیزی.

یک نکته که در پاسخ قبلی من مشخص نبوده است: این اعدادی که مشاهده می‌کنید اکانت یا همان user نیستند. به همین علت نیز در computer management دیده نمی‌شوند و به همین علت نیز بدافزار یا هکر نمی‌تواند از آنها برای اتصال به کامپیوتر شما استفاده کند. خیالتان راحت باشد.

این اعداد «شناسه» user هستند:
در واقع در فایل سیستم NTFS برای اینکه مشخص شود که چه کاربری اجازه دسترسی به یک فایل را دارد، شناسه آن کاربر جزو خصوصیات فایل ذخیره می‌شود. مثلا شناسه کاربر Administrator شما که چیزی شبیه S-1-5-21-xxxxx-yyyyy-zzzzz-501 است کنار فایل ذخیره شده و ذکر می‌شود که این شناسه کاربر اجازه دسترسی نوشتن به فایل را دارا است.
هر زمان که ویندوز بخواهد دیالوگ Security را نشان دهد، این شناسه را به یک نام قابل فهم برای انسان (یعنی همان Administrator) تبدیل می‌کند. این کار با مراجعه به لیست کاربرانی که ویندوز می‌شناسد و تطبیق شناسه کاربر با نام وی انجام می‌شود. به این ترتیب اگر مثلا شما نام کاربرتان را از user1 به user2 تغییر دهید، در این دیالوگ نام جدید یعنی user2 نمایش داده می‌شود، چون در کنار فایل نام کاربر ذخیره نشده و شناسه کاربر ذخیره شده است و موقع نمایش است که آخرین نام کاربر پیدا شده و نشان داده می‌شود.

حالا اگر این کاربر user1 به کلی حذف شود، ویندوز دیگر نمی‌تواند نام مرتبط با این کاربر را پیدا کند و مجبور می‌شود به جای نام، همان شناسه را نشان دهد.

در واقع دیده شدن این «شناسه کاربر» اصلا به این معنی است که ویندوز این کاربر را نمی‌شناسد و هیچ اطلاعی درباره آن ندارد.

همین اتفاق وقتی که یک ویندوز جدید روی کامپیوتر ریخته می‌شود - که کلا لیست کاربران حذف شده و جایگزین می‌شود - یا وقتی فایل از روی کامپیوتری به کامپیوتر دیگر منتقل می‌شود - که ویندوز جدید اطلاعی از کاربران ویندوز قبلی ندارد - و ... رخ می‌دهد.
از آنجاییکه این شناسه کاربرها در بخش domain با هم متفاوت هستند، به این معنی است که توسط ویندوزهای مختلف تولید شده‌اند و یعنی هیچ بدافزاری کاربری روی سیستم شما نساخته است.
بالا
saman
ناظم انجمن
پست: 2190
تاریخ عضویت: چهارشنبه آگوست 28, 2013 10:53 pm

پست توسط saman » سه‌شنبه آپریل 28, 2015 9:42 pm

[quote="Naficy"]سلام

با توجه به اعداد انتهایی که ارسال کردید (و همه ۱۰۰۱ هستند) با قطعیت می‌شود گفت که این اکانت‌ها یا مربوط به ویندوزهای قبلی هستند، یا ویندوزهایی که کنار ویندوز جاری نصب کرده‌اید، یا اینکه این فایل روی ویندوز دیگری بوده و اینجا کپی کرده‌اید و یا یک چنین چیزی.

یک نکته که در پاسخ قبلی من مشخص نبوده است: این اعدادی که مشاهده می‌کنید اکانت یا همان user نیستند. به همین علت نیز در computer management دیده نمی‌شوند و به همین علت نیز بدافزار یا هکر نمی‌تواند از آنها برای اتصال به کامپیوتر شما استفاده کند. خیالتان راحت باشد.

این اعداد «شناسه» user هستند:
در واقع در فایل سیستم NTFS برای اینکه مشخص شود که چه کاربری اجازه دسترسی به یک فایل را دارد، شناسه آن کاربر جزو خصوصیات فایل ذخیره می‌شود. مثلا شناسه کاربر Administrator شما که چیزی شبیه S-1-5-21-xxxxx-yyyyy-zzzzz-501 است کنار فایل ذخیره شده و ذکر می‌شود که این شناسه کاربر اجازه دسترسی نوشتن به فایل را دارا است.
هر زمان که ویندوز بخواهد دیالوگ Security را نشان دهد، این شناسه را به یک نام قابل فهم برای انسان (یعنی همان Administrator) تبدیل می‌کند. این کار با مراجعه به لیست کاربرانی که ویندوز می‌شناسد و تطبیق شناسه کاربر با نام وی انجام می‌شود. به این ترتیب اگر مثلا شما نام کاربرتان را از user1 به user2 تغییر دهید، در این دیالوگ نام جدید یعنی user2 نمایش داده می‌شود، چون در کنار فایل نام کاربر ذخیره نشده و شناسه کاربر ذخیره شده است و موقع نمایش است که آخرین نام کاربر پیدا شده و نشان داده می‌شود.

حالا اگر این کاربر user1 به کلی حذف شود، ویندوز دیگر نمی‌تواند نام مرتبط با این کاربر را پیدا کند و مجبور می‌شود به جای نام، همان شناسه را نشان دهد.

در واقع دیده شدن این «شناسه کاربر» اصلا به این معنی است که ویندوز این کاربر را نمی‌شناسد و هیچ اطلاعی درباره آن ندارد.

همین اتفاق وقتی که یک ویندوز جدید روی کامپیوتر ریخته می‌شود - که کلا لیست کاربران حذف شده و جایگزین می‌شود - یا وقتی فایل از روی کامپیوتری به کامپیوتر دیگر منتقل می‌شود - که ویندوز جدید اطلاعی از کاربران ویندوز قبلی ندارد - و ... رخ می‌دهد.
از آنجاییکه این شناسه کاربرها در بخش domain با هم متفاوت هستند، به این معنی است که توسط ویندوزهای مختلف تولید شده‌اند و یعنی هیچ بدافزاری کاربری روی سیستم شما نساخته است.[/QUOTE]

فوق العاده ممنون و متشکرم

بله من دو ویندوزه هستم و با خواندن صحبت های شما به نظر میرسد فایل ها را از آن ویندوز به دسکتاپ این ویندوز منتقل کرده ام و خوشبختانه جای نگرانی نیست(در مورد بدافزار)

--- ویرایش شده ---

بابا انصافا ایول. تلویزیون چند میلیونی خریده بودم نمایندگیش اینقدر کامل جوابم رو نمیداد که پشتیبان شرکت یه آنتی ویروس 25 تومنی بهم داد.
بالا
قفل شده

بازگشت به “ضدویروس پادویش”