حالت موضوعی | حالت خطی

**Payman62**

سلام.
winfxnx.exe و winorbb.exe ویروس هستن. با همون برنامه کیلشون بکن. بعد اون بچ فایل رو اجرا کن. بعد تست کن ببین بازم تسک منیجر و رجیستری دیسیبل میشن که بعید میدونم بشن.
ببین این 2 تا فایل تو تمپت هستن. به نظر میاد یه فایل سومی تو استارت آپ هست. میاد اینارو حالا شاید از تو ریسورسش اکسترکت میکنه یا از خودش کپی میگیره تو این مسیر و اجرا میکنه. شما اگه اینارم پاک کنی چون فایل دیگه ای تو استارت آپته دوباره اجرا میشه و اینارو این جا کپی و اجرا میکنه. باید ببینی چه فایلی تو استارت آپته. مطمنی همه گزینه های msconfig دیسیبل هستن؟ بعد از بستن این پروسه ها یه بار دیگه چک کن ببین همه گزینه های msconfig دیسیبلن یا نه و نتیجه رو بگو. شاید ویروس به صورت سرویس تو استارت آپ باشه یا از مسیرهای مخفی رجیستری استفاده کرده باشه.
بهتره بعد از بستن این پروسه ها آنتی ویروس نصب کنی و کل هارد رو اسکن کنی.

**Di Di**

دوست عزیز

من فکر می کنم این کرم خودش رو به جای فایل های اجرایی بر روی هارد شما جا می زنه.

به این صورت که فایل اجرایی اصلی رو هایدن می کنه و خودش رو کنار اون کپی می کنه. سپس یه شورت کات

با همون آیکن فایل اصلی می سازه که به فایل ویروس اشاره می کنه.

به نظر من ویندوز رو عوض کنید به طوری که درایو سی شما کاملا فرمت بشه.

پس از وارد شدن به ویندوز فایل های هایدن و هایدن سیستمی رو نمایش بدید و بعد بر روی درایوهاتون به دنبال

فایلهای اجرایی بگردید. توجه داشته باشید که گزینه سرچ بر روی فایل های هایدن تیک خورده باشد.

اگه تونستید اون دوتا فایلی که آقا پیمان گفتند رو اینجا قرار بدید تا بتونیم روشون کار کنیم.

xsalamx

سلام

من بعدا(یعنی از دیروز تا حالا)که اومدم دیدم هنوز هم تسک منیجر و رجیستری غیرفعالند برنامه Advanced Process Termination اجرا کردم اما دیگه او دوتا نبودند برنامه Enable(Reg Taskmanager) رو اجرا کردم رجیستری و تسک منیجر رو فعال کردم تمام تیک های msconfig رو برداشتم کامپیوتر لوگ آف کرد دیگه مشگلی نبود دوباره سی دی رو گذاشتم(هموت سی دی که فکر می کنم آلوده است) دو سه تا فایل رو از سی دی به دسکتاپ اکسترک کردم دیدم بازم تسک منیجر و رجیستری غیرفعالند و فایل های هیدن رو هم نمی زاره نمایش داده بشه البته با دو سه ثانیه تاخیر.دوباره تسک منیجر و رجیستری رو فعال کردم اما دوباره غیرفعال شدند برنامه Advanced Process Termination رو اجرا کردم اما دیگه اون دو تا فایلی که شما گفته بودید ویروسه,نبودند
دوباره برنامه فعال کننده تسک منیجر و رجیستری رو اجرا کردم
این برنامه فقط برای یکی دو ثانیه تسک منیجر رو فعال می کنه و بعد دوباره غیر فعال می شن
العان دوباره تسک منیجر و رجیستری غیر فعال شدند فایل های هیدن رو هم نمی زاره نمایش داده بشن
هر موقع رفتم توی msconfig دیدم فقط برنامه ای به نام ctfmon تیک داره مسیرش هم c:\WINDOWS\system32\ctfmon بود.
اینم تصویر msconfig
[تصویر: msconfig.JPG]

دوباره رجیستری و تسک منیجر رو فعال کردم بعد سریع قبل از این که دوباره غیر فعال بشن کامپیوتر رو ریست کردم حالا دوباره هیچ مشکلی نیست.

من قبلا ویندوز رو همونطوری که گفتید پاک کردم(یه بار دیگه پاک می کنم) اما وقتی کانکت شدم زون آلارم و AVG وAvast بسته شدن یکیشون یه لحضه چنتا فایل رو به عنوان ویروس(شاید هم کرم بود ندیدم) شناسایی کرد اما بعدش خودش هم خارج شد دیگه نتونستم اجراشون کنم.
دوباره ویندوز رو عوض کردم درایو سی هم فرمت شد بعد دوباره رفتم توی درایوها(البته از نوار بالایی) چنتا فابل رو اجرا کردم دوباره رجیستری و تسک منیجر غیرفعال شده بود فایل های هیدن رو هم نمی گذاشت نشون داده بشن هر چی هم فایل های اجرایی و شورت کات ها که توی درایوهای دیگه بودند اجرا نمی شدند.من حتی چنتا بازی و نرم افزار رو نصب کردم و ازشون شورت کی توی دسکتاپ گرفتم اما بعد از خاموش روشن شدن نه شورت کی ها کار می کرد نه فایل های اصلی(قبل از این مشکلات من این ها رو نصب کرده بودم هیچ مشکلی نداشتند)
حالا اگه لازمه بازم ویندوز رو عوض کنم فقط اگه ویندوز رو عوض کردم کل هارد رو سرچ کنم اونم فقط فایل هایی که با پسوند exe هستند؟

**Payman62**

سلام.
ctfmon مربوط به خود ویندوزه. برای تایپ فارسی و ... ران میشه.

ویروسه تایمر داره و تو تایمر رجیستری و تسک منیجر رو غیر فعال میکنه. من که گفتم ویروس ها رو غیر فعال کن و آنتی نصب کن و کل هارد رو اسکن کن. شما به جای این کارا دوباره سیدی آلوده رو قرار دادی.

Morpheus

سلام دوستان یکی از دوستان من هم با این ویروس مواجه شده بود ما سیستمش رو 24 ساعت کامل آنالیز کردیم این ویروس ک البته بهتره بهش کرم بگیم خودش رو به فایل های اجرایی می چسبونه و همون طور که یکی از دوستان اشاره کردن فایل اصلی رو هیدن سیستمی میکنه و یک کپی از اون رو جای اون قرار میده بعد از اجرا ویروس به هیچ پروسس اصلیش تو تسک منیجر نمیاد الا دو فایل exe که هر بار بعد از پاک کردن و یا اجرا به صورت رندم در قسمت تمپروری ویندوز کپی و فراخونی میشه. همچنین یک کپی از فایل اجرایی در مسیرWINDOWS\Prefetch با پسوندpf. قرار میگیره. طبق آزمایشی که انجام دادیم با دوستم این ورم به کلمات آنتی ویروس و اسکن حساسه شاید مسخره به نظر بیاد اما داخل چت هربار که ما از لینک اسکن آنلاین آنتی ویروس ها استفاده می کردیم سیستم مسنجر هنگ می کرد و لینک تبادل نمی شد مجبور بودیم به صورت جدا جدا لینک رو بفرستیم تازه بعد از اون هنگام بار گذاری تنها قسمتی از سایت آنتی ویروس بالا می آمد بقیه قسمتها لود نمی شد.در آخر که هیچ راهی بعد از 6 بار ویندوز عوض کردن نیافتیم. دوسن من وقتی ویندوز را برای آخرین بار نصب کرد از داخل یکی از سی دی ها آنتی ویروس Zone Alarm 8 رو نصب کرد و بعد از اجرا واسکن 150 فایل exe که در سیستمش بود و 300 فایل پشتیبان دیگه رو یافت و با نام Win32/Sality.AA رو پیدا و پاک کرد بعد از یک بار ریست سیستم به حالت اولیه خودش بر گشت.

**Payman62**

سلام.
فایل های pf رو خود ویندوز تو اون مسیر کپی میکنه. کار ویروس نیست.
اگه این ویروسه که ایشون فرمودن گرفتین حتما با آنتی کل هاردو چک کنید. اول غیر فعالش کنید بعد چک کنید.

**CRazYFULL**

اين ساليتی رو من گرفته بودم قويترين ويروسيه که تاحالا گرفتم خيلی خيلی سيريشه کسپر من هم غير فعال ميکرد ولی تونستم با خود کسپر پاکش کنم هنوزم ترکشاش تو System Volume Information مونده

xsalamx

سلام

ستاپ یه نرم افزار رو اجرا کردم و بعدش انو نصب کردم دوباره ویروس فعال شد(فکر کنم این دومین سری هست که با اجرای ستاپ برنامه ای که قبلا توی هاردم بود,ویروس اجرا می شه.من این برنامه رو قبلا حداقل 5 با نصب کردم و مشکلی نداشته.اصلا من فکر می کنم ویروس به ستاپ یا هر فایل دیگه ای می چسبه.آخه سری قبل که ویندوز رو عوض کردم ستاپ Opera و Firefox و VistaStartMenu این سه تا رو اجرا کردم بعد دیدم ویروس دوباره فعال شده بدون اینکه من روی درایوها دابل کلیک کرده باشم.
الان هم که این پست رو نوشتم ZoneAlarem Internet Security Suite 8 رو نصب و اجرا کردم که ویروس بعد سه یا چهار ثانیه اونو بست و دیگه نذاشت اجرا شه.قبلا
AVG Anti Spyware 7.5
AVG Anti VIrus With Firewall 8.0.164
Avast Pro 2007 4.8.1229
همشون رو نصب کردم ویروس نمی زاه کار کنند و برای بار دوم که خواستم اجراشون کنم نذاشت اجرا بشن
فقط این
NOD32 AntiVirus 3.0.672
نصب شد و اجرا شد اما هیچی پیدا نکرد؟
آنتی ها هم توی یه سی دی گنجانده شده بودند

Morpheus

می دونی آقا ما اینجا یک مشکل اساسی داریم که تا اون بر طرف نشه عمرا مشکل حل شه اونم خود شما چرا چون اصلا نگاه نمی کنی که این دوستان عزیز این همه پست دادن چی دارن می گن فقط از اون همه حرفی که من زدم فقط خودمو می گم الان اون همه حرف همین تیکه ی مربوط به Zone Alarm 8 رو گرفتی اگر کامل و با دقت مطالب رو نخونی حال و روز عوض نمیشه تشم مجبوری کل هاردتو با ما یحتوی فرمت کنی بره از ما گفتن بود

**Payman62**

سلام.
مشکل اصلی شما دقیقا همین موردیه که جناب Morpheus اشاره کردن. اگه این مشکل رو حل کنید ویروسه هم از کار میفته.
من و دوستان این همه برات توضیح دادیم. اصلا توجه نمیکنی.

xsalamx

سلام

خیلی ممنون بخاطر کمکهاتون
شما درست می گید من توی ارسال پست هام عجله کردم.اما:
شما گفتی

نقل قول: به فایل های اجرایی می چسبه

این درست

نقل قول: فایل اصلی رو هیدن سیستمی می کنه و یکی از کپی اون رو جای اون قرار می ده

این رو نمی دونم؟اما من هر فایلی رو که هیدن می کنم(از این هیدن های معمولی) هیدن سیستمی می شه

نقل قول: بعد از اجرای ویروس به هیچ {{وجه}}پروسس اصلیش تو تسک منیجر نمی یاد

فکر کنم

نقل قول: دو فایل exe که هر بار بعد از پاک کردن و یا اجرا به صورت رندم در قسمت تمپروری ویندوز کپی و فراخونی میشه

خوب اسمشون چیه و در ضمن من از کجا بفهمم این دو فایل کدومها هستند؟

نقل قول: همچنین یک کپی از فایل اجرایی در مسیرWINDOWS\Prefetch با پسوندpf. قرار میگیره.

اینرو هم چک کردم 130 تا فایل با پسوند pf اونجا بود که نمی تونم بگم اونا ویروس هستند(چون اطلاعاتی در این مورد ندارم)

نقل قول: طبق آزمایشی که انجام دادیم با دوستم این ورم به کلمات آنتی ویروس و اسکن حساسه شاید مسخره به نظر بیاد اما داخل چت هربار که ما از لینک اسکن آنلاین آنتی ویروس ها استفاده می کردیم سیستم مسنجر هنگ می کرد و لینک تبادل نمی شد مجبور بودیم به صورت جدا جدا لینک رو بفرستیم تازه بعد از اون هنگام بار گذاری تنها قسمتی از سایت آنتی ویروس بالا می آمد بقیه قسمتها لود نمی شد.

این رو امتحان نکردم
در ضمن من توی فلش مموری که مال دوستمه(حالا نمی دونم شاید هم ویروس از فلش منتقل شده نه از سی دی؟) چنتا فایل به اسم های
itwknj.pif
lcmqm.exe
qwmf.cmd
با یه فایل اتوران بود.
بعد توی همه درایوهای هم یه فایل اتوران بود اگه می خواید بزارم
در ضمن من نود 32 که ورژنش هم بالا گفتم رو نصب کردم اونهم هر 5 دقیقه فایلهایی رو به عنوان ویروس(یا کرم یا تروجان حالا هر چی) شناسایی می کنه یه تعدادی از اون فاییلهایی که آنتی بهش گیر می ده,خودم نصب کردم بقیه رو هم اصلا نمی دونم از کجا اومدن
اینم عکس های دو نوع مختلف از فایل هایی که آنتی بهش گیر می ده
[تصویر: V.S2.JPG]

که توی همه فایل های شناسایی شده توی قسمت Threat
یا می نویسه probably a variant of Win32/Sality.nar virus
یا a variant of Win32/Sality.NAQ virus

نقل قول: اگه این ویروسه که ایشون فرمودن گرفتین حتما با آنتی کل هاردو چک کنید. اول غیر فعالش کنید بعد چک کنید.

خوب نمی زاره آنتی نصب شه اگر هم نصب شه نمی زاره اجرا شه.منظور شما اینه من اول تمام تیک های msconfig رو بردارم بعد رجیستری و تسک منیجر رو فعال کنم و ریست کنم و در آخرین مرحله نصب و اسکن آنتی ویروس

موضوعات مرتبط با این موضوع...
موضوع		نویسنده	پاسخ	بازدید	آخرین ارسال
	راه دفع انواع ویروس ها(اگه کامپیوترت ویروسی شده روی این متن کلیک کن)	A.P-H@ck3r	16	11,544	۱۵-آذر-۱۳۹۲, ۱۰:۰۴:۴۵ آخرین ارسال: godvb
	ویروسی یا تروجانی که اسمش رو به صورت تصادفی انتخاب می کنه.	shedayat	8	9,527	۰۷-فروردین-۱۳۸۸, ۱۵:۲۹:۲۱ آخرین ارسال: Mr.pRoGraMmer
	ویروسی که اسمش رو نمیدونم!!!	saeedsmk	10	12,581	۲۸-اسفند-۱۳۸۷, ۲۱:۰۸:۲۳ آخرین ارسال: saeedsmk
	ویروسی که از Deep Freez هم عبور کرد	Morpheus	24	18,715	۲۶-اسفند-۱۳۸۷, ۱۷:۴۱:۱۱ آخرین ارسال: Morpheus

حالت موضوعی \| حالت خطی ویروسی که نمی دونم چیکارش کنم
نویسنده	پیام