سلام دوستان چند ديشب تو يه روم روي يه لينك كليلك كردم بعدش وارد يه سايت شدم بعد يه پيغام خطا رو سيستم اومد و ويندوز ريستارت شد من ويندوز رو هم فرمت و عوض كردم حتي هارد رو هم عوض كردم اما اين ويروس بازم هستش عكسش رو با لوگ فايل اسكن شده ميذارم لطفا كمك كنيد پاكش كنم در ضمن اجازه نصب ند 32 رو هم نميده و مرورگر رو هم ميبره به اين آدرس
[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]


[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]

اينم نتيجه اسكن با HijackThis v1.99.1





Logfile of HijackThis v1.99.1
Scan saved at 11:01:28 ب.ظ, on 2000/04/06
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINXPSP2\System32\smss.exe
C:\WINXPSP2\system32\winlogon.exe
C:\WINXPSP2\system32\services.exe
C:\WINXPSP2\system32\lsass.exe
C:\WINXPSP2\system32\svchost.exe
C:\WINXPSP2\System32\svchost.exe
C:\WINXPSP2\system32\spoolsv.exe
C:\WINXPSP2\explorer.exe
C:\WINXPSP2\system32\sistray.EXE
C:\WINXPSP2\system32\khooker.exe
C:\WINXPSP2\system32\SiSAudUt.exe
C:\WINXPSP2\system32\ctfmon.exe
C:\WINXPSP2\system32\service.exe
C:\WINXPSP2\system32\wscntfy.exe
C:\PROGRA~1\Yahoo!\MESSEN~1\ymsgr_tray.exe
C:\WINXPSP2\system32\wuauclt.exe
D:\__BLACKBOOT__\New ----\serch virus\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = [ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]
F2 - REG:system.ini: Shell=%SYSTEMROOT%\explorer.exe, %SYSTEMROOT%\virus.exe
O4 - HKLM\..\Run: [SiS Tray] C:\WINXPSP2\system32\sistray.EXE
O4 - HKLM\..\Run: [SiS KHooker] C:\WINXPSP2\system32\khooker.exe
O4 - HKLM\..\Run: [SiS7012Utility] C:\WINXPSP2\system32\SiSAudUt.exe -wdm
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINXPSP2\system32\ctfmon.exe
O4 - HKCU\..\Run: [Yahoo! Pager] C:\PROGRA~1\Yahoo!\MESSEN~1\ypager.exe -quiet
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

باید دستی ادرسای زیرو از ریجستری پاک کنی !!
بعدش هم برو یه انتی ویروس قوی مثل Symantec نصب کن !!
راستی برو تمام فولدر های Hiden شاخه روت C رو بگرد اگر چیزه مشکوکی پیدا کردی پاک کن !

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = [ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]
F2 - REG:system.ini: Shell=%SYSTEMROOT%\explorer.exe, %SYSTEMROOT%\virus.exe

F2 - REG:system.ini: Shell=%SYSTEMROOT%\explorer.exe, %SYSTEMROOT%\virus.exe


اين كجاي رجستري پيدا كنم
در ضمن اين ويروس هر چند دقيقه يه لينك ويروسي هم واسه تمام اد ليستم ميفرسته

[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]

موقع نصب هر آنتي ويروسي اين پيغام رو ميده و نميذاره آنتي ويروس نصب شه
فكر كنم تمام فايل هاي اجراي رو آلوده كرده
چيكار كنم واقعا كلافم كرده

سلام
شما ویروس kazmegheyz گرفتی.
آنتی ویروسش تو اینتر نت هست هم خود ویروس ایرانیه هم آنتیش. یه سرچی تو گوگل بکن دانلودش کن احتمالا تو انجمن هم باید باشه واسه دانلود

mer30 dostan man anti ro dl kardam
alan az kafi net daram taip mikonam fonte farsi nadare
in anti ro mizaram inja shayad kasi az dostan khast estefade kone
DOWNLOAD ANTI




برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

احل از بين بردن ويروس Kazme_gheyz.exe يا Kazme__Gheyz.exe





1- يک کپي از فايل Taskmgr.exe گرفته و نام آن را Taskmgr1.exe بگذاريد.(براي گرفتن كپي از Taskmgr آن را در درايوي كه ويندوز نصب شده سرچ كنيديا در c:windos/system32 آن را پيدا كنيد.)



2-Taskmgr1.exe را اجرا کرده و از قسمت Process پروسسهاي Kazme_Gheyz.exe يا Kazme__Gheyz.exe را با دکمه End Task خاتمه دهيد. دانلودTaskmgr1.exe

3- تمام فايلهاي Kazme__Gheyz.exe و Kazme_Gheyz.exe و Autorun.inf را از فهرست ريشه تمام درايوها پاک کنيد.«سرچ سه مورد فوق به صورت جداگانه در كل كامپيوتر.»



4- فايلهاي Kazme__Gheyz.exe يا Kazme_Gheyz.exe از شاخه Windows/system32 را هم پاک کنيد.



5- از منوي start->Run برنامه Regedit را اجرا کنيد.



6- بر روي MyComputer از برنامه فوق کليک کنيد.



7- Ctrl+F را زده و عبارت Kazm در آن نوشته و Enter را بزنيد. تمامي مواردي که يا فت مي شود را با دکمه Del پاک کنيد. براي يافتن مورد بعدي کليد F3 را بزنيد.



8- برنامه Internet Explorer را اجرا کرده از منوي Tools->Internet Option دکمه Use blank را انتخاب کنيد.



اکنون کامپيوتر شما از اين ويروس پاک شده است.

با اين روش ميتونين ورژن جديد رو پاك كنين كه حجمش حدود 75 كيلو هست

من اومدم با هر مشکلی که بود برنامه ی proccess Master (برنامه ای مثل تسک منیجر ویندوز که برنامه های درحال اجرا را نشان می دهد ) این همون برنامه ای هست که اجازه اجرا بهش نمی داد من این برنامه رو اجرا کردم و سریع یه عکس از برنامه گرفتم چون سریع بسته می شد دیدم بعله .......یه سرویس یا برنامه هستش که با رنگ قرمز نشان داده یعنی این برنامه دزدکی در حال اجرا ست اسم این برنامه service.exe هستش که خود ویندوز هم یه سرویس مثل این داره به نام services.exe که در پوشه system32 هستش این service.exe همون فایل اصلی هستش که ویروس را اجرا می کنه یعنی تا اونو پاک می کنیم بازم سرو کلش پیدا می شه این فایلو رو نمی تونیم پاکش کنیم ولی قابل تغییر نام هستش با تغییر نام این فایل ،فایل kzme اتوماتیک پاک می شه و اما فایل اتوران باقی می مونه ،که باید دستی پاک بشه ،حالا بعد سیستم رو ریست کنید و دیگه داخل ویندوز نیاین چرا که بازم خودش اتوماتیک نام فایل رو تغییر می ده و دوباره سرو کله ویروس پیداش می شه ،خوب حالا موقع نصب ویندوز جدید هستش ....