ویروسی که نمی دونم چیکارش کنم

[xsalamx]

سلام

من چند روز پیش یه سی دی از یکی از دوستام گرفتم که فکر کنم ویروس از همون طریق وارد شده باشه

این ویروس Task Maneger و Regedit رو غیرفعال کرده(پیغام می ده توسط Adminstrator غیر فعال شده)
آنتی ویروس رو غیر فعال می کنه(Kaspersky,AVG,Avast و ZoneAlarm) بعد از بالا اومدن ویندوز
تمام یا حداکثر میانبرها غیرفعال شده(فکر کنم))
کامپیوترم هنگ می کنه(اینم زیاد اطمینان ندارم.آخه فقط از 20 10 باری که روشن کردم فقط 4 3 بارش هنگ کرد)
ویندوز رو یه بار تعویض کردم,حتی برای رفتن توی درایو ها هم دابل کلیک نکردم(از نوار بالایی استفاده کردم) اما چنتا فایل رو که قبلا نصب کرده بودم رو اجرا کردم دوباره ویروس اجرا شد
آنتی های بالا هم نتونستند پیداش کنند(اون موقعی که برای بار دوم ویندوز نصب کردم آنتی نصب کردم بعد اسکن کردم)
ببخشید از توضیحات ناقصم

[xsalamx]

سلام

کسی نمی خواد کمک کنه

[lord_viper]

شما برای دیدن پروسه های فعال رو سیستمتون میتونین از process explorer استفاده کنین
یه registry editor برا تون میزارم میتونین از اون استفاده کنین

[Payman62]

سلام.
طبق معمول همه گزینه های استارت آپ رو دیسیبل کن و سیستم رو ریست کن و همه برنامه های اضافه رو ببند و لیست پروسه هات رو بذار.

[xsalamx]

سلام

رجیستری ادیتور به چه درد می خوره؟
کار باهاش چطوره؟
چطوری لیست پروسس ها رو دربیارم با tasklist توی داس؟
اگه آره
اینم لیست پروسس ها

[lord_viper]

ظاهرا که همه چیز درسته البته من اون پروسه wmiprvse.exe رو نمیدونم مال چه برنامه ای هست
اون رجیستری ادیتور هم برای این گزاشتم که بتونین دستی مقادیری رو که تغییر کرده به حالت اول برگردونین

[xsalamx]

سلام

من قکر کنم که ویروس هیچ اتورانی نداشته باشه(منظورم اینکه مثل ویروس های دیگه توی درایو ها فایل اتوران درست کنه)بلکه به فایل های دیگه می چسبه و اونها رو هم آلوده می کنه.این رو به خاطر این گفتم که من بعد اینکه ویندوزم رو عوض کردم داخل درایوها نرفتم اگه هم رفتم از نوار بالایی استفاده کردم.داخل درایوها دو سه تا برنامه بود مثل Setup اپرا و فایرفاکس و آیکون اجرایی یه برنامه من فقط اونها رو اجرا کردم بعد که کامپیوترم رو خاموش کردم سری بعد که روشنش کردم دیدم Task maneger و Regedit غیر فعال شده حالا هم که شما گفتی تمام تیک های Msconfig رو بردارم و لیست پروسس ها رو به شما بدم.
دیگه نمی دونم چی بگم فقط
از کجا باید بفهمیم که کدوم پروسس در حال اجرایی که در TaskManeger دیده می شه پروسس سیستمیه و کدوم نیست؟
آیا می شه ویروسی یا پروسس فعالی توی تسکر منیجر دیده نشه یعنی ویروس نویس ویروسش رو از TaskManeger مخفی کنه؟

[Payman62]

سلام.
ظاهرا سیستمت ویروسی نیست. اینا همه پروسه های خود ویندوزن. wmiprvse.exe هم هنگامی که از Tasklist استفاده میکنی به لیست اضافه میشه.
wuauclt.exe مربوط به اتو آپدیت ویندوز و کارهای دیگه هست. ولی شاید ویروسیه که خودش رو به این اسم در اورده. البته بعید میدونم. چون اگر اتو آپدیت رو آف کنی wscntfy.exe به لیست اضافه میشه. نبود این پروسه یعنی اتو آپدیت آنه. پس اگه ویروس به اون اسم باشه باید 2 تا از این پروسه دیده میشد.
پس احتمالا سیستم ویروسی نیست.
یا اگه ویروسیه ویروسه حرفه ایه و خودش رو از پروسس لیست مخفی کرده. یا وقتی تیک های msconfig رو برداشتی غیر فعال شده.
فعلا این بچ فایل رو اجرا کن تا تسک منیجر و رجیستریت فعال شن. بعد قبل این که چیزی اجرا کنی سیستم رو ریست کن. وقتی اومد بالا چک کن تسک منیجرت باز میشه یا نه. اگه دوباره غیر فعال شدن معلومه ویروسیه.

[xsalamx]

سلام

همونجوری که گفتی فایل رو اجرا کردم بعد کامپیوتر رو ریست کردم اما بازهم TaskManeger و Regedit غیر فعاله

[Payman62]

سلام.
پس احتمالا ویروسیه.
این فایل رو اجرا کن ببین پروسه خاصی رو نشون میده. یه عکس هم ازش بذار همین جا. شاید svchost ها یکیشون ویروس بوده اون وسط. تو اون عکس داس نمیشد تشخیص داد. این برنامه مسیر فایل رو هم نشون میده و بهتر میشه تشخیص داد. سعی کن یه جوری عکس بگیری کل پروسه ها و مسیرهاشون تو عکس بیفته.

[xsalamx]

سلام

.
.
.
فعلا این بچ فایل رو اجرا کن تا تسک منیجر و رجیستریت فعال شن. بعد قبل این که چیزی اجرا کنی سیستم رو ریست کن. وقتی اومد بالا چک کن تسک منیجرت باز میشه یا نه. اگه دوباره غیر فعال شدن معلومه ویروسیه.

من دوباره امتحان کردم تسک منیجر و رجیستریم فعال شد اما فقط برای چند لحظه فعال می شه و دوباه غیر فعال می شه تازه فهمیدم فایل های هیدن رو هم نمی زاره نمایش داده بشه البته عملکردش با چند ثانیه تاخیره.
اینم عکس پروسه های فعال