PDA

نسخه کامل مشاهده نسخه کامل : مشكل در رابطه با رجيستري



hamilton
26-05-2005, 21:52
با سلام.
به تازگي(از يكي دو روز قبل)مشكلي در ارتباط با رجيستري كامپيوتر من ايجاد شده.لطفا براي حل اين مشكل راهنمايي بفرماييد:
در هنگام اجراي regedit از منوي run با اين پيغام مواجه ميشم و نميتونم به رجيستري وارد بشم.
registry editing has been disabled by your administrator.
بفرماييد چطور اين مشكل را حل كنم؟
با تشكر.

M.R.M
26-05-2005, 22:07
سلام دوست عزيز.
اين مشكل قبلا در انجمن بحث شده است.
اگر شما خود كاربر Admin هستيد و اين مشكل در يوزر شما به وجود آمده است ، كافي است يك سري به اين مقاله بزنيد :
[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]
اميدوارم مشكلتان برطرف شود.
موفق باشيد.

hamilton
28-05-2005, 08:39
با سلام
مشكل وجود 2 تا تروجان هست كه بعد از اينكه با انتي اسپاي انها را پاك ميكنم پس از restart كامپيوتر دوباره روز از نو.
به جز راهي كه در مقاله فوق بود هيچ راه ديگه اي نيست؟
با تشكر.

M.R.M
28-05-2005, 10:08
سلام دوست عزيز.
اگر فايلهايي كه نام ميبريد واقعا تروجان باشند ميتوانيد با يك آنتي ويروس قوي آنها را از بين ببريد.
براي مطمئن شدن از نابودي آنها شما نام فايل آن را يادداشت كرده و توسط ابزار Search درايو ويندوز خود را جستجو نماييد.
پس از يافتن مسير اصلي فايل ، به آنجا مراجعه كرده و فايل را به صورت كامل حذف كنيد.
پوشه Startup . كليد هاي رجيستري زير را نيز بررسي نماييد و در صورتي كه آثار از آن فايلها يافتيد از بين ببريد :

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\Run Once
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Once
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run OnceEx
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Services
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run ServicesOnce

موفق باشيد. :)

hamilton
30-05-2005, 08:42
با سلام.
با برنامه xoftspy که اسکن میکنم دو تامورد پیدا میکنه که پس از حذف کردن انها دوباره پس از چند ساعت دوباره خودشون رو کپی میکنند و روز از نو.
من این دو مورد را خدمت شما مینویسم تا از راهنمایی شما بهره مند شویم
مورد اول:
VENDOR:TROJ/DLOADER-FC
TYPY:REGISTRY VALUE CHANGED
CATEGORY:TROJAN
OBJECT:SOFTWARE\MICRISOFT\WINDOWS\CURRENT VERSION\POLICIES\SYSREM\DISABLE TASKMGR\1:@:1

اما مورد دوم:
VENDOR:DEFAULT WINDOWS SETTINGS
TYPE:REGISTRY VALUE CHANGED
CATEGORY: RESTORE DEFAULT
OBJECT:SOFTWARE\MICROSOFT\WINDOWS\CURRENT VERSION\POLICIES\SYSTEM\DISABLE REGISTRY TOOLS\1:@:1
با این تفاسیر مشکل چیه که با وجود پاک کردن هر دوی اینها دوباره فعال میشن و من باید دوباره سیستم را اسکن کنم تا هر دوی اینها را از بین ببرم؟اگر راهی برای خلاص شدن از شر این دوتا هست لطفا در اختیار ما هم بگذازید
منتظر راهنمایی شما هستم
با تشکر
در ضمن انتي ويروس من pc-ciliin است كه اين دو تا رو شناسايي نميكنه.

M.R.M
30-05-2005, 21:57
سلام دوست عزيز.
ممنون از اينكه اطلاعات تكميلي را داديد. حالا بهتر ميتوان با آنها مقابله كرد.
اما بررسي كلي :
در مورد فايل اولي همان طور كه متوجه شديد تروجان ميباشد و متاسفانه تا حدودي سرسخت !
توضيحات اين تروجان :
نام : Troj/Dloader-FC
نوع : تروجان
نوع حمله : سيستم عامل هاي ويندوز
فعاليت ها :
1) تغيير دادن اطلاعات سيستمي
2) پاك كردن فايلهاي درون سيستم
3) دانلود كردن كدهاي خود از اينترنت ( با هر بار اتصال )
4) تكثير خود در رجيستري ويندوز

اين تروجان فايلي با نام kernels32.exe را در پوشه System براي ويندوز هاي سري 9x و در پوشه System32 براي ويندوز XP ميسازد و فعاليت خود را آغاز ميكند ( توجه داشته باشيد كه اين فايل با فايل معروف KERNEL32 تفاوت دارد ).
براي پاك كردن اين تروجان به ترتيب زير عمل كنيد :
ابتدا قابليت System Restore را به ترتيب زير به صورت موقت غير فعال نماييد :
روي آيكن MyComputer راست كليك كرده و گزينه Properties را انتخاب نماييد.
سپس وارد شاخه System Restore شده و تيك كنار عبارت Turn off System Restore on all drives را فعال و روي دكمه هاي Apply و سپس OK كليك كنيد.
سپس دكمه هاي Ctrl+Alt+Del را فشرده و وارد قسمت Processes شويد.
توجه داشته باشيد كه اين تروجان ميتواند Task Manager را غير فعال نمايد. اگر چنين بود ميتوانيد با مراجعه به مقاله زير آن را احيا كنيد :
[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]
در ليست به دنبال نام KERNELS32.EXE گشته و پس از يافتن آن را End Process نماييد.
سپس وارد پوشه System32 شده ( اگر از ويندوز XP استفاده ميكنيد ) و فايل KERNELS32.exe را يافته و آن را به صورت كامل حذف نماييد.
پس از اين كار شما بايد پوشه Startup را از هر لحاظ پاكسازي نماييد.
سپس وارد ابزار Regedit شده و مسير را بيابيد :
CURRENT_USER\Software\Microsoft\Windows\CurrentVer sion\Internet Settings\ZoneMap\Domains
در صفحه سمت راست قسمت Domains هيچ لينكي نبايد مشاهده كنيد ( در صورتي كه از DNS استفاده نميكنيد ).
اگر لينك مشكوكي مشاهده كرديد ، كليد مربوطه را حذف نماييد.
سپس كليد هاي زير را نيز بررسي كنيد :
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\Run Once
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Once
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run OnceEx
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Services
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run ServicesOnce
اگر نامي از فايل Kernels32.exe يافتيد ، كليد آن را حذف كنيد.
كليد زير را نيز بيابيد :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Policies\system
در صفحه سمت راست ، اگر كليدهايي با نام هاي DisableRegistryTools و DisableTaskMgr ديديد هر دو را پاك نماييد ( تنها كليدهايي با همين نام ها را پاك كنيد ).
پس از اتمام عمليات وارد Interne Options شده و كليه فايلها و آدرسهاي Temporary و History و كوكي ها را پاك كنيد.
پس از اين كار اقدام به نصب يك آنتي ويروس و در صورت لزوم يك فايروال قوي و به روز نماييد. سپس درايو ويندوز خود را با آنتي ويروس چك كنيد.
نرم افزار XoftSpy قاعدتا بايد بتواند اين تروجان را به صورت كامل حذف نمايد ، مگر اينكه شما از يوزر Admin استفاده نكنيد و يا قابليت System Restore در سيستم شما فعال باشد.
اما يك آنتي ويروس مطمئن ميتواند صد در صد مشكل شما را برطرف نمايد ( توصيه ميكنم از يك فايروال نيز در كنار آنتي ويروس استفاده نماييد تا به اين ترتيب بتوانيد جلوي بارگذاري كد توسط تروجان را روي سيستمتان بگيريد ).
در مورد دومين فايل ، به احتمال بسيار زياد مشكلي است كه توسط همين تروجان در سيستم شما ايجاد شده است و وظيفه اش غير فعال كردن دسترسي شما به رجيستري ويندوز است. به احتمال زياد با از بين بردن تروجان اين مشكل نيز برطرف خواهد شد.
مراحل را به دقت انجام دهيد و نتيجه را اعلام كنيد.
موفق باشيد. :D

masoud_35_teh
31-05-2005, 19:07
hamilton جان توصيه هاي MRM عزيز خيلي خوب بود بعد از انجام ان اين كاررا هم بكن شايد كسي سيستم شمارا دستكاري كرده باشد .
در قسمت ران gpedit.msc را تايپ كن بعد وارد adminstrative template \system بشو ودر قسمت سمت راست system اين دو خط رو دنبال كن ببين در اين قسمت رجيستري غيرفعال است يا نه
prevent access to registry editing tool
dont run specified windows aplication
در هر خط وقتي روش تك كليك سمت چپ توضيح كامل آنرا ميدهد
موفق باشي

hamilton
01-06-2005, 10:47
با سلام
ممنون از توضیحاتی که دادید
کارهایی که فرمودید انجام دادم ولی چند نکته وجود داره که خدمت شما عرض میکنم
چون این تروجان دسترسی به تسک منیجر را غیر ممکن میکنه بنابراین از روشی که لینکش رو گذاشتید استفاده کردم تا بتونم وارد تسک منیجر بشم ولی بعد از اینکه کارهای گفته شده را کردم و کامپیوتر را دوباره راه اندازی کردم باز هم پیغام عدم دسترسی به تسک منیجر اومد پس این کار نتیجه نداد
سپس به دنبال فایلی که گفته بودید گشتم البته دردرایو سی و در system32 ولی چیزی پیدا نکردم
مشکل من همچنان برجاست حتی system restore را غیر فعال کردم مجدد سیستم را با انتی ویروس و webroot spy sweeper and spy emergency2005 and xoftspy اسکن کردم و کامپیوتر را مجدد راه اندازی کردم ولی دوباره مثل روز اول شد
من از فایر وال kerio (جديدترين ورژن) استفاده میکنم و اتی ویروسم هم pc-cillin میباشد
لطفا کمکم کنید این مشکل را حل کنم چون از طرفی نمیدونم چجوری سر وکله این تروجان پیدا شده و هم اینکه واقعا ناراحتم کرده و در ضمن من تنها یوزر کامپیترم هستم
منتظر راهنمایی شما هستم .ويندوزم xp است.
با تشکر

masoud_35_teh
01-06-2005, 19:19
پس اگه با اين مراحل نتونستيد بهتره ويندوز عوض كنيد

reza12100
01-06-2005, 20:35
اگر میتونی با استفاده از user accountsکه در control panel است یک یوزر جدید بساز و با ان بالا بیا
بعد امتحان کن که میتونی وارد رجیستری بشی یا نه
ممکنه جواب بده

masoud_35_teh
02-06-2005, 11:57
اين كار كه اصلا نميشه .
مگه يه user جديد بسازي از يه رجيستري ديگه استفاده ميكنه !!!؟

reza12100
03-06-2005, 03:20
البته گفتم ممکنه
بعضی از ویروسها مثل pc magic با استفاده از یوزر جدید میتونی وارد رجیسترس بشی چون امتحان کردم
کار pc magic از کار انداختن رجیستری و.....

hamilton
05-06-2005, 23:03
با سلام.
مشكل من همچنان برجاست.هر بار كه با xoftspy اسكن ميكنم از بين ميره اما هر بار كه كامپيوتر را اسكن ميكنم دوباره مياد.
از M.R.M عزيز و كساني كه در اين خصوص ميتوانند راهنمايي كنند كمك ميخوام.
منتظر راهنمايي شما هستم.
با تشكر.

reza12100
06-06-2005, 01:10
از يك spyware ديكه استفاده كن شايد مشكات حل شود:
[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]

hamilton
06-06-2005, 08:24
با سلام.
من در ايمترنت هم سرچ كردم و يك anti spyware ديگه هم كه ميتونست اين تروجان را از بين ببره پيدا كردم به نام :
scan spyware v3.8.0.4 كه اون هم چيزي پيدا نكرد.
فقط xoftspy تونسته شناسايي كنه ولي نميدونم چرا از بين نميره يا چيكار كنم كه از بين بره؟كارم اين شدخ كه پعد از هر بار روشن كردن يا restart كردن بايد با xoftspy اسكن كنم بعد به كارم ادامه بدم.
اگر راه حلي در سايتي يا جايي پيدا كرديد مارا هم در جريان بذاريد.
با تشكر.

reza12100
06-06-2005, 20:14
دوست عزيز hamilton شما با Sophos Anti-Virus ميتونيد TROJ/DLOADER-FC را از بين ببريد
لينك 1 درمورد تاريخ اين تروجان است و remover تروجان:
[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]

لينك 2 درمورد دانلوى antivirus sopho وطريقه از بين بردن تروجان:
[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]

hamilton
07-06-2005, 22:22
با سلام.
دوست خوبم از زحمتي كه كشيدي و اين مطلب را پيدا كردي ممنونم.
من در حال حاضر انتي ويروس ديگه اي دارم و نميتونم اين انتي ويروس را نصب كنم.
من در عجبم كه چطور راه حلي براي پاك كردن اين تروجان نيست؟اگر راه ديگه اي ميدونيد لطفا به ما هم بفرماييد.
با تشكر.

hamilton
12-06-2005, 20:13
با سلام.
خوشبختانه اين مشكل كاملا حل شد.از زحمات همه دوستان خوبم ممنونم.مايليد بدونيد چطور؟
انتي ويروس sophos با اين همه دبدبه و كبكبه نتونست اين تروجان را كامل از بين ببره اما انتي ويروس nod32 به راحتي هر چه تمام تونست انرا از بين ببره.
اين تجربه واقعا گران قيمت بود چون تمام راه حلهايي كه دوستان متخصص ارايه كردند اثرگذار نبود و ميتونم بگم در چند سال گذشته با تروجاني به اين سرسختي مواجه نشده بودم.
اميدوارم اين تجربه به كار دوستان بياد.
با تشكر از همه دوستان خوب و با معرفت p30world.