با SVCHOST نمیتونی بیند کنی عزیزم
چرا؟
واسه اینکه اولا دائم در حال اجراست
دوما اگر هم در حال اجرا نباشه (که هست) به طور مداوم فایل جدید جایگزینش میشه!
درسته نمی شه به SVCHOST چیزی بایند کرد ولی اگه فایل اجرایی رو به این نام در داخل شاخه ویندوز قرار بدید و تو قسمت سرویس های ویندوز رجیسترش کنید اونوقت ویروس شما همیشه در حال اجرا می مونه و هیچ آنتی ویروسی اون رو نمی تونه ببنده چون ویندوز مجددا اون رو اجرا می کنه مثل همین Jeefo .
سیستمی که آلوده به این ویروس هست معمولا یه فایل SVCHOST در روت ویندوز ایجاد می کنه نه اینکه خودشو بایند کنه و توسط سرویس های ویندوز اجرا می شه
نتیجه میگیریم که !!!
من بلد نبودم !
ممنون
اتفاقا شما خیلی هم بلدی! چرا؟
چون اگه یه فایل به اسم های Winlogon.exe یا lsass.exe از یه دایرکتوری
غیر از System32 اجرا بشه با Taskmgr نمیشه بستش!! و این هم خیلی باحاله
ولی اگه طرف ببینه 2 تا از این فایلها هست تابلو میشه
قضیه Jeefo هم جداست
Jeefo خودش رو به همه فایلهای exe میچسبونه
پاک کردنش هم خیلی سخته! حتما باید تو safemode باشید وگرنه آنتی ویروس هیچ اثری نداره!!! بعد اگه تو آنتی ویروس به جای Repair ا، Delete بزنید دیگه سیستم بالا نمیاد باید از اول ویندوز بزنید
اینی هم که آقای DiDi میگه درسته
اون svchost.exe از یه دایرکتوری دیگه غیر از Sys32 هست
درسته !
من خودم آنتی اختصاصی جیفو رو دارم !
اول از تو حافظه کامپیوتر پاکش میکنه ! بعد از تو درایو ها !
برای سوفوس هستش
Sophos !
از طریق taskkill میشه هر پروسه ای رو بست و حتما انتی ویروسها هم میتونن این کار رو بکنند.
در ضمن خیال همه رو راحت کنم بیند راهش نیست تنها راهش اینجکت کردن هست و بهترین فایل برای این کار Explorer.exe هست.
زمانی که دوتا فایل بیند شدن وقتی میخوان دوتاشون اجرا بشن میدونید چی میشه؟ افرین پسرهای خوب همین موقه هست که انتی ویروس میرسه تو جونش.
نقل قول: از طریق taskkill میشه هر پروسه ای رو بست و حتما انتی ویروسها هم میتونن این کار رو بکنند.
اسم ویروستونو در پروسس بزارید service.exe اونوقت نه از طریق taskkill میشه بستش نه task manager
(اگه نشد services.exe رو تست کنید چون درست یادم نیست)
نقل قول: با SVCHOST نمیتونی بیند کنی عزیزم
چرا؟
واسه اینکه اولا دائم در حال اجراست
دوما اگر هم در حال اجرا نباشه (که هست) به طور مداوم فایل جدید جایگزینش میشه!
سخن از خودت : در کامپیوتر هیچ چیز غیر ممکن نیست فقط باید کمی روش فکر کرد
من دارم این کارو انجام میدم به یک جاهایی هم رسیدم امشالا بعد از ... کاملش خواهم کرد
HoseinVig نوشته است:نقل قول: با SVCHOST نمیتونی بیند کنی عزیزم
چرا؟
واسه اینکه اولا دائم در حال اجراست
دوما اگر هم در حال اجرا نباشه (که هست) به طور مداوم فایل جدید جایگزینش میشه!
سخن از خودت : در کامپیوتر هیچ چیز غیر ممکن نیست فقط باید کمی روش فکر کرد
من دارم این کارو انجام میدم به یک جاهایی هم رسیدم امشالا بعد از ... کاملش خواهم کرد
سلام.
دوست عزیز شما باید فایل جدیدی رو که بایند شده برنامه شما با svchost هست رو جایگزین svchost کنی. حتما میدونی که svchost هم همیشه در حال اجراست. پس ممکن نیست svchost قدیمی پاک بشه و فایل شما جایگزین بشه.
فرض هم کنیم که این کار رو کردی. چه نتیجه ای میگیری؟ میخوای حال بیل گیدس رو بگیری؟ اگه میخوای برنامت در استارت آپ باشه و تو msconfig دیده نشه راه های خیلی ساده تر و بهتر هست.
SVCHOST فایلی هست که تقریبا اکثر سرویس های شبکه ویندوز و حتی چند تا از سرویسهای اختصاصی ویندوز رو به وسیله سوئیچ ها اجرا می کنه و طبیعیه که اگه اون به هر علتی اجرا نشه ویندوز نمی تونه اجرا بشه.
معمولا در تسک منیجر 4 یا 5 تا SVCHOST داریم که تقریبا همه اونها رو می شه KILL کرد و درد سر چندانی نداره جز اینکه سیستم ریست می شه!!!
حالا اصلا بی خیال SVCHOST ، فرض کنیم شما یه فایل سیستمی رو پیدا کردی که می خواهید فایل خودتون رو جایگزین اون کنید ( و احتمالا نمی تونید چون ویندوز مرتب داره اون رو جایگزین می کنه !!)برای این کار کافیه فایلتون رو اول داخل شاخه dllCash ویندوز که داخل System32 هست کپی کنید ( یعنی جایگزین فایل پشتیبان سیستم بشه ) و بعد فایلتون رو جایگزین فایل اصلی کنید.
خوب پس اینطوری هر موقع بخاد دوباره سازی بشه از تو کش !
فایل خودمون میاد ؟
avini نوشته است:خوب پس اینطوری هر موقع بخاد دوباره سازی بشه از تو کش !
فایل خودمون میاد ؟
سلام.
آره. فایل های سیستمی از این مسیر باز سازی میشن و با این روش هر موقع بخواد فایل رو ریکاوری کنه فایل ما جایگزین میشه. ولی قبلش یه بار باید فایل موجود تو سیستم 32 پاک شه یا عوض شه تا فایل ما جایگزین شه. پس این روش برای svchost صدق نمیکنه. چون این فایل همیشه ران هست و تعداد زیادی از سرویس های ویندوز با این فایل کار میکنن و بستن و پاک کردنش محاله.
روش دیگه ای هم که هست اینه که سرویسی که عملیات بازسازی فایل هارو انجام میده رو استاپ کنیم. پس از این کار اگه فایلمون رو تو سیستم 32 جایگزین یه فایل سیستمی کنیم دیگه فایل اصلی از dllcache جایگزین نمیشه.
ولی باز میگم همه این کارارو کردیم. چه فایده؟ برای قرار دادن برنامه در استارت آپ روش های خیلی بهتری وجود داره.