حالت موضوعی | حالت خطی

Salivan

دوستان سلام
آقا یه 1 ماهی هست سیستمم یه ویروس گرفته که تا الان تنها کاری که انجام داده این بوده که داخل Folder Options فایل های هیدن رو نمیذاره شو کنم!
یعنی تیک شو رو که میزنم اپلای می کنم! باز هم فایل ها هیدن هستن!

4 تا سیستم دیگم هم از طریق فلشم این ویروس رو گرفته! کسی نمیدونه این چه ویروسیه یا آنتیش چیه!
خیلی ممنون میشم اگه راهنمایی کنین!

این اسکن سیستم 32 هست!
که یه سری فایل رو نمیتونه باز کنه!
اون اولین فایل که qmctab.dll هست رو بعضی وقت ها نود گیر میده ولی نمیتونه پاکش کنه!

**lord_viper**

یه عکس از سربرگ process از TaskManager ت بنداز تا بهتر بشه نظر داد

**saeedsmk**

سلام
خوب هستيد با hijackthisداستگاه رو اسكن و لوگ رو بگزاريد تا بشه بيشتر بهتون كمك كرد
به اميد ديدار

Salivan

آقا گفتم نود گیر میده ایناهاش:

این هم Task Manager :

آقای saeedsmk انم لوگ:

کد: 
Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 6:27:56 PM, on 11/7/2002

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 SP2 (6.00.2900.2180)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe

c:\Program Files\Common Files\Protexis\License Service\PsiService_2.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\explorer.exe

C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe

C:\Program Files\Java\jre1.5.0_03\bin\jusched.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\Program Files\Hewlett-Packard\OrderReminder\OrderReminder.exe

C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe

C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll

O4 - HKLM\..\Run: [egui] "C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_03\bin\jusched.exe

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [OrderReminder] C:\Program Files\Hewlett-Packard\OrderReminder\OrderReminder.exe

O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32

O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC

O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC

O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName

O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"

O4 - HKLM\..\Run: [IMEKRMIG6.1] C:\WINDOWS\ime\imkr6_1\IMEKRMIG.EXE

O4 - HKCU\..\Run: [Yahoo! Pager] "C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe" -quiet

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_03\bin\npjpi150_03.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_03\bin\npjpi150_03.dll

O9 - Extra button: Send to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra 'Tools' menuitem: S&end to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O17 - HKLM\System\CCS\Services\Tcpip\..\{815CED30-F2C4-409F-ADB7-88A0EA1FC164}: NameServer = 213.217.60.172 213.217.60.170

O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Program Files\Microsoft Office\Office12\GrooveSystemServices.dll

O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\EHttpSrv.exe

O23 - Service: Eset Service (ekrn) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe

O23 - Service: Protexis Licensing V2 (PSI_SVC_2) - Protexis Inc. - c:\Program Files\Common Files\Protexis\License Service\PsiService_2.exe

Morpheus

خوب بود تسک های اضافه مثل آفیس مسنجر SoundMan رو می بستین.
به نظر من که چیز خاصی توش نیست ورم Conficker تو عکس نود تشخیص داده که احتمالا تو همه درایوها هست و اتوران کرده خودشو که با استفاده از آدرس بار تو حالت SafeMode احتمالا می تونین دستی پاکش کنین اگر بلد باشین

Salivan

آقا یه چیز دیگه!
این سیستم هیچ سایتی که داخل آدرسش کلمه Virus باشه رو باز نمیکنه!

مثلا وقتی می خوام داخل سایت:
Virustotal.com
بشم ارور :
The page cannot be displayed
رو میده!
اینو چیکار کنم؟؟؟؟؟

**saeedsmk**

سلام
خوب هستيد توي hijackthis برو توي config بعد برو توي misec tools برو توي opens host file mamanger و نوشته هاشو ببين اگر چيزي جز موارد زير بود حذف كن

کد: 
# Copyright (c) 1993-1999 Microsoft Corp.

#

# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.

#

# This file contains the mappings of IP addresses to host names. Each

# entry should be kept on an individual line. The IP address should

# be placed in the first column followed by the corresponding host name.

# The IP address and the host name should be separated by at least one

# space.

#

# Additionally, comments (such as these) may be inserted on individual

# lines or following the machine name denoted by a '#' symbol.

#

# For example:

#

# 102.54.94.97 rhino.acme.com # source server

# 38.25.63.10 x.acme.com # x client host

127.0.0.1 localhost

بعد اين فايلي رو كه اتچ كردم رو دستگاهت رانش كن
خودم نوشتمش ببين كمكت ميكنه
به اميد ديدار

Salivan

آقا saeedsmk خیلی ممنون
اتوران ها پاک شد!
نود هم به فایل اصلی گیر داد و فایل رو پاک کرد!
قضیه هیدن هم ردیف شد!

ولی اون سایت درست نشد!
بدبختی هم اینه که من با virustotal.com زیاد کار دارم!
نمیدونم اشکال از کجاس

**saeedsmk**

سلام
خوب هستيد يك كاري كنيد براي چنذد لحظه كوتاه نود رو از كار بندازيد و بعد سعي كنيد اگر درست شد كه يعني اين سايت هاي توي فايروال نود تعريف شدن و بايد درست بشن
اميدوارم كمك كنه

Salivan

آقا سعید خیلی ممنون از توجه تون!
ولی باز هم نشد!
ویندوز هم که عوض می کنم 1 هفته ی درسته
بعدش دوباره باز نمیشه!

**saeedsmk**

سلام
خوب هستيد با اپرا هم باز نميشه ؟
به اميد ديدار

موضوعات مرتبط با این موضوع...
موضوع		نویسنده	پاسخ	بازدید	آخرین ارسال
	راه دفع انواع ویروس ها(اگه کامپیوترت ویروسی شده روی این متن کلیک کن)	A.P-H@ck3r	16	11,544	۱۵-آذر-۱۳۹۲, ۱۰:۰۴:۴۵ آخرین ارسال: godvb
	ویروسی که نمی دونم چیکارش کنم	xsalamx	35	32,965	۲۳-اردیبهشت-۱۳۸۸, ۰۲:۰۱:۳۲ آخرین ارسال: moradin
	ویروسی یا تروجانی که اسمش رو به صورت تصادفی انتخاب می کنه.	shedayat	8	9,527	۰۷-فروردین-۱۳۸۸, ۱۵:۲۹:۲۱ آخرین ارسال: Mr.pRoGraMmer
	ویروسی که از Deep Freez هم عبور کرد	Morpheus	24	18,715	۲۶-اسفند-۱۳۸۷, ۱۷:۴۱:۱۱ آخرین ارسال: Morpheus

حالت موضوعی \| حالت خطی ویروسی که اسمش رو نمیدونم!!!
نویسنده	پیام