حالت موضوعی | حالت خطی

sayberiya

سلام
سیستمم دچار یه ویروسخفن شده.تا حالا 2 بار هم ویندوز عوضکردم ولی باز تو سیستمم موندگار.هر روشی و انتی ویروسی که داشتم استفاده کردم ولی خیلی ویروسشاخیه
تیکای مشکوک تو ام اس کانفیگ رو برداشتم.همه ی مسیر های رجستری هم چک کردم و فایل های مشکوک رو پاک کردم.
تنها چیزی که میدونم این ویروس از خانواده های اتوران ساز نیست.
وقتی هر فایل اجرایی رو که تو هاردمه یا تو سی دی هست مثل وینرر یا حتی میخوام وی بی نصب یا اجرا کنم کسپر یه پیغام میده و میگه این فایل ویروسی هست و مثلا از مسیر
g:winrar
وینرر یا هر برنامه اجرایی دیگه از این مسیر اجرا میشه
c:windows/explorer
جالبیش اینجاست که بعد از چند ثانیه خودش به صورت خودکار آنتی ویروس رو میبنده.و دیگه نمیزاره اجرا شه تا ریست کنی سیستمو.
من شکم تو پروسه اکسپلورر هست.چون یه سری کسپر یه پیغام داد که
explorer chenged
من فکر میکنم ویروس از طریق پروسه اکسپلورر اجرا میشه.حتی ویندوز هم که عوضکردم
به مسیر وینلوگون رفتم اونجا مقدار شل رو به اکسپلورر دات اگزه نصبت داده بود.(ببخشید زیاد نمیتونم اینگیلیسی بنویسم یعنی ویروس فونتمم دچار مشکل کرده)
یکی دو روز که میگزره هر برنامه ای هم که نصب میشه وقتی میخواد اجرا شه دونت سند میده و بسته میشه و هر برنامه ای اجرا بشه مثل یاهو یا ... آنتی ویروس غیر فعال میشه.حتی بعضی موقع عا پنجره های فعال هم میبنده.
کسی راه حلی برای این ویروس نداره؟

**babyy**

سلام

این ویروس که میگید احیانا کاسپر اسکی رو بعد چند مین نمیبنده ؟؟

بعد تمام فایلهای هیدن رو سیس رو پنهان میکنه ؟؟؟

اگه همینه که باید بگم خدا به داد برسه ، فایلش *.bat هست ، اگه همینه بگید من دارمش بزارمش ؛ تمام کد هاش کد شده هست ، ، در ضمن Autorun.inf هم هست ، ولی تو لیست فایل های نیست ( یعنی با dos نمیتونی ببینیش !!!!! حد اقل من نتونستم ببینم ! )

sayberiya

من چیزی درمورد آتوران ندیدم.
نه فایل های هیدن رو پنهان نمیکنه.همه بازن

**babyy**

سلام

یه Flash یزن به سیستمت ، یعد رو یه سیستم دیگه یره ببین ، شاید Autorun داشته باشه ، و بتونی یه فالی چیزی ازش در بیاری ؛ امتحان ضرر نداره

yeketaz

(۲۹-دى-۱۳۸۷, ۱۷:۴۵:۵۱)babyy نوشته است: سلام

یه Flash یزن به سیستمت ، یعد رو یه سیستم دیگه یره ببین ، شاید Autorun داشته باشه ، و بتونی یه فالی چیزی ازش در بیاری ؛ امتحان ضرر نداره

تا کامپیوتر طرفم ویروسی شه

**Payman62**

سلام.
وقتی کسپر باز میشه چه پیغامی میده؟ باز شدن کسپر دلیل بر اعلام ویروسی بودن فایل نیست. هنگامی که اولین بار یه فایلی رو اجرا میکنی کسپر از شما میپرسه اجازه اجرای این فایل رو میدی یا نه. اگه allow allways بزنی دفعه بعد اون فایل رو نمیپرسه. چون میگی به سیدی هم گیر میده احتمالا اجازه اجرای فایل هست. چون سیدی که ویروسی نمیشه.
هنگام اجرای یه فایل گاهی اوقات اکسپلورر تو رجیستری مقدار ثبت میکنه. اینه که فکر میکنی به اکسپلورر ربط داره.
مقدار شل هم باید همون explorer.exe باشه. ولی اگه اسم دیگه ای کنارش اضافه شده باشه ویروسه. همین طور Userinit.

ولی این که میگی پنجره ها و کسپر بسته میشن نشون میده سیستمت ویروسیه.
چون میگی چند بار ویندوز ریختی بهترین کار هارد به هارد کردنه. توسط یه هارد پاک هارد خودتو اسکن کن تا کل ویروس هارو پیدا و پاک کنه.

اگه امکانش نیست کمی درد سر داره دیگه. همه تیک های msconfig غیر کسپر رو بردار. شانس بیاری ویروسه با سرویس یا مسیر های مخفی رجیستری ران نشه.
تو ویندوز چون ممکنه اتوران ساخته باشه برای رفتن به فولدرهات رو اسم درایو دبل کلیک نکن. از اکسپلورر استفاده کن. سمت چپ اکسپلورر لیست کل فولدرات رو داری و میتونی واردشون شی. این طوری اتوران اجرا نمیشه.
همه پروسه ها غیر کسپر رو ببند. سریع قبل از این که اون کسپر رو ببنده شما اونو ببند. یا اگه اون کسپر رو بست شمام اونو ببند و کسپر رو ران کن. پروسه های کسپر 2تا avp.exe هستن. بعد کل هارد رو اسکن کن.

(۲۹-دى-۱۳۸۷, ۱۷:۵۵:۴۳)yeketaz نوشته است: تا کامپیوتر طرفم ویروسی شه

اگه قبل وصل کردن فلش به سیستم کلید شیفت رو نگه داری اتوران اجرا نمیشه.

sayberiya

مثلا من امروز یاهو مسنجرو میخواستم نصب کنم . کسپر پیغام داد که این ویروسی . ولی چون روی یاهو مسنجر 2 بار کلیک کرده بودم و اجرا شده بود . تا من بیام پیغام رو بخونم سریع انتی ویروسم غیر فعال شد . بعد که یاهو نصب شد سریع رفت تو ام اس کانفیگ نشت . یعنی هر برنامه ای رو که نصب کنم ویروس همراه اون اجرا میشه
آنتی ویروسم غیر فعال میشه
ودر ام اس کانفیگ میشینه.
کلا 2 تا تیک بیشتر تو ام اس کانفیگم نیست.

**babyy**

سلام

(۲۹-دى-۱۳۸۷, ۱۷:۵۵:۴۳)yeketaz نوشته است:
(۲۹-دى-۱۳۸۷, ۱۷:۴۵:۵۱)babyy نوشته است: سلام

یه Flash یزن به سیستمت ، یعد رو یه سیستم دیگه یره ببین ، شاید Autorun داشته باشه ، و بتونی یه فالی چیزی ازش در بیاری ؛ امتحان ضرر نداره

تا کامپیوتر طرفم ویروسی شه

Autorun رو میتونی غیر فعال کنی که اجرا نشه ! و فقط ببینی چیه اومده توش ! نمیشه به نظر شما ؟؟؟؟

**saeedsmk**

سلام
خوب هستيد
شما روي دستگاهتون hijackthis رو اجرا كنيد و بعد برنامه يك لوگ ميزاره اون رو اينجا اتچ كنيد و يا توي قسمت كد متن اون رو بگذاريد. اينطوري بهتر ميشه كمك كرد.
به اميد ديدار

sayberiya

لین برنامه ای رو که گفتید از کجامیتونم دانلود کنم؟

sayberiya

کد: 
Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 1:30:40 PM, on 1/20/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\WINDOWS\system32\wscntfy.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\DOCUME~1\Mohammad\LOCALS~1\Temp\winflva.exe

C:\DOCUME~1\Mohammad\LOCALS~1\Temp\winmubuk.exe

C:\DOCUME~1\Mohammad\LOCALS~1\Temp\winxdire.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\WINDOWS\system32\cmd.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\Windows NT\Accessories\wordpad.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

F2 - REG:system.ini: Shell=

O2 - BHO: IDM Helper - {0055C089-8582-441B-A0BF-17B458C2A3A8} - C:\Program Files\Internet Download Manager\IDMIECC.dll

O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe"

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKCU\..\Run: [IDMan] C:\Program Files\Internet Download Manager\IDMan.exe /onboot

O8 - Extra context menu item: Download All Links with IDM - C:\Program Files\Internet Download Manager\IEGetAll.htm

O8 - Extra context menu item: Download with IDM - C:\Program Files\Internet Download Manager\IEExt.htm

O9 - Extra button: Web Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\scieplugin.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O17 - HKLM\System\CCS\Services\Tcpip\..\{254E558C-DBCE-4077-AABF-5A0EE113B71E}: NameServer = 80.75.0.2 217.218.127.104

O20 - AppInit_DLLs: "C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll"

O23 - Service: AntiVir Scheduler (AntiVirScheduler) - H+BEDV Datentechnik GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Unknown owner - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe (file missing)

O23 - Service: Kaspersky Internet Security 6.0 (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe

--

End of file - 2834 bytes

حالت موضوعی \| حالت خطی ویروسی شدم کمک
نویسنده	پیام