چرا task manager حذف شده و رجيستري باز نميشود؟

**~~anti_girl~~** · 23-01-2009, 22:23

C:\>tasklistImage Name PID Session Name Session# Mem Usage========================= ====== ================ ======== ============System Idle Process 0 Console 0 28 KSystem 4 Console 0 240 Ksmss.exe 468 Console 0 388 Kcsrss.exe 516 Console 0 2,784 Kwinlogon.exe 540 Console 0 4,468 Kservices.exe 584 Console 0 3,752 Klsass.exe 596 Console 0 1,308 Ksvchost.exe 760 Console 0 5,272 Ksvchost.exe 828 Console 0 5,076 Ksvchost.exe 880 Console 0 21,084 Ksvchost.exe 944 Console 0 4,096 Ksvchost.exe 972 Console 0 5,128 Kspoolsv.exe 1104 Console 0 4,896 Kexplorer.exe 1380 Console 0 7,540 Knvsvc32.exe 1456 Console 0 4,472 Kwinampa.exe 784 Console 0 7,308 Kctfmon.exe 1212 Console 0 3,648 Ksmss.exe 1264 Console 0 7,048 Kwmiprvse.exe 2604 Console 0 7,216 KYahooMessenger.exe 3872 Console 0 38,072 KIEXPLORE.EXE 3884 Console 0 9,932 Kwinpvtp.exe 2152 Console 0 5,512 Kwingfwna.exe 2244 Console 0 5,352 Kwinjwdikh.exe 1588 Console 0 4,752 Kcmd.exe 3628 Console 0 2,952 Ktasklist.exe 2076 Console 0 4,688 K

**~~anti_girl~~** · 23-01-2009, 22:24

مثل اين كه مجبورم ويندوز رو عوض كنم در ضمن هر انتي ويروسي كه نصب ميكنم اجرا نميشه....

**~~anti_girl~~** · 23-01-2009, 22:39

متاسفانه خيلي قاطي كرده سيستم حتي نميتونم فايل رو اپديت كنم

**MichaelQwerty** · 23-01-2009, 22:41

"SysUti ls"="C:\\Documents and Settings\\All Users\\smss.exe"
من به این فایل مشکوکم امکان داره همین باشه
به این مسیری که گفته برو و ببین حجم فایل چقدر (smss.exe) ؟
از این دستور استفاده کن
reg delete hklm\software\microsoft\windows\currentversion\run /va

یه بار دیگه run رو استخراج کن به روش بالا که گفتم اگه باز هم این فایل رو دیدی پس ویروس همین smss.exe

**MichaelQwerty** · 23-01-2009, 22:43

smss.exe این یه فایل مهم ویندوزت هست ولی این که تو این مسیر باشه عادی نیست

**MichaelQwerty** · 23-01-2009, 22:48

وقتی پروسه سیستم شما رو بررسی کردم مطمئن شدم ویروس همین فایل smss.exe
اگه خودتم خوب نگاه کنی دوتا از این فایل رو میبینی که در حال اجراست
ولی باید ببینیم کدام مال ویندوز کدام ویرس هست
اگه میتونستی ویروس upload کنی که عالی میشد

**MichaelQwerty** · 23-01-2009, 23:15

پیداش کردم این ویروسه هستش
smss.exe 1264 Console 0 7,048
ببین یه عدد بعد از اسمش هست 1264 با این عدد میتونیم ببندیمش بهش میگن PID هر وقت که کامپیوتر روشن میشه این عدد هم تغییر میکنه احتمالا هر وقت که از دستور tasklist استفاده کنی smss اولی برای ویندوز و smss که بعد از اون میاد ویروس
PID اونو که همون عدد بگیر و به جای X در دستور زیر قرار بده تا ویروس از کار بیفته
taskkill /pid X /f /t
بعد بدون هیچ کاری
این دستور انجام بده
reg delete hklm\software\microsoft\windows\currentversion\run /va
تا مطمئن بشی ویروس دوبار با بالا اومدن ویندوز اجرا نمیشه
سیستم restart میکنی و
tasklist
یه بار دیگه از این دستور استفاده میکنی تا مطمئن بشی smss یکی هست
از run به تمام درایو ها میری و Autorun.inf پاک میکنی
من منتظرم تا بگی تونستی این کارارو بکنی یا نه ؟

**MichaelQwerty** · 23-01-2009, 23:18

یادم رفت اینو بگم اگر اشتباهی pid که مال Sms ویندوز بدی و از کار بندازیش احتمالا ویندوز restart میشه

**HoJJaT_007** · 23-01-2009, 23:24

نیازی نبود 15 تا پست پشت سر هم بدید !

به نظرم بهترین کار اینه با Trend Micro بیفتید به جون سیستم . exe ها هم پاک نمیکنه .

نکته :

مال من smss نیست ! مال من دو تا explorer هست !
نمیدونم والا گیج شدم از دست این ویروس . دو تا اکسپلورر . میزان استفاده رم یکی که مال خود ویندوزه 23 مگابایت و اون یکی 2 مگ که ویروسه ... !

**~~anti_girl~~** · 24-01-2009, 00:39

سلام......
دوستان من يه كاري كردم هنوز خبري از اين ويروس نيست تو سيستمم
وقتي ويندوز رو عوض كردم با استفاده از فرماني كه از تو run ميشه درايو رو باز كرد درايو رو باز كردم
و فايل RECYCLER رو shift+delete كردم فقط يه اشتباه كوچيك كردم كه اول delete كردم بعد shift+delete كردم يه بار سيستم رو ريست كردم وقتي بالا اومد ديدم دوباره اين فايل تو همه درايو ها هست و دوباره shift+delete كردم تا الان كه ازش خبري نيست و ديده نميشه...حتي يه بار ريست هم كردم كامپيوتر رو....ولي همون باري كه اشتباه كردم باعث شد كه task manager &registery مثل قبل غير فعال بشن....الان مشكلم اينه كه حوصله عوض كردن ويندوز رو ندارم نميشه برشون گردوند؟

در ضمن با استفاده از همون فرمان كه محتويات درايو c رو نشون ميده ديگه اون فايل autorun.inf رو نميبينم

C:\>dir /a
Volume in drive C has no label.
Volume Serial Number is 2C62-E249
Directory of C:\
01/23/2009 11:40 PM 0 AUTOEXEC.BAT
01/23/2009 11:35 PM 211 boot.ini
01/23/2009 11:40 PM 0 CONFIG.SYS
01/23/2009 11:44 PM <DIR> Documents and Settings
01/23/2009 11:40 PM 0 IO.SYS
01/23/2009 11:40 PM 0 MSDOS.SYS
08/04/2004 04:38 AM 47,564 NTDETECT.COM
08/04/2004 04:59 AM 250,032 ntldr
01/24/2009 12:02 AM 2,145,386,496 pagefile.sys
01/24/2009 12:08 AM <DIR> Program Files
01/23/2009 11:44 PM <DIR> System Volume Information
01/24/2009 12:07 AM <DIR> WINDOWS
8 File(s) 2,145,684,303 bytes
4 Dir(s) 48,155,041,792 bytes free

اينم محتويات رجيستري
كه با استفاده از اين فرمان
reg export hklm\software\microsoft\windows\currentversion\run ViewRun.txt
بدست اومد
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\software\microsoft\windows\curr entversion\run]
"IMJPMIG8.1"="\"C:\\WINDOWS\\IME\\imjp8_1\\IMJPMIG .EXE\" /Spoil /RemAdvDef /Migration32"
"PHIME2002ASync"="C:\\WINDOWS\\system32\\IME\\TINT LGNT\\TINTSETP.EXE /SYNC"
"PHIME2002A"="C:\\WINDOWS\\system32\\IME\\TINTLGNT \\TINTSETP.EXE /IMEName"
"NvCplDaemon"="RUNDLL32.EXE C:\\WINDOWS\\system32\\NvCpl.dll,NvStartup"
"nwiz"="nwiz.exe /install"
"NvMediaCenter"="RUNDLL32.EXE C:\\WINDOWS\\system32\\NvMcTray.dll,NvTaskbarInit"
"RTHDCPL"="RTHDCPL.EXE"
"SkyTel"="SkyTel.EXE"
"Alcmtr"="ALCMTR.EXE"
"AGRSMMSG"="AGRSMMSG.exe"

نام تاپيک: چرا task manager حذف شده و رجيستري باز نميشود؟

اختيارات تاپيک

Thread Information

Users Browsing this Thread

User Tag List

قوانين ايجاد تاپيک در انجمن