آنالـیز و پاکسازی سیستم های آلوده(ابتدا پست اول را ببینید و فایل گزارش را آماده کنید)

[kaka22_milan]

منم این مشکل را دارم

[banii]

سلام
این ویروسه یا از آثار و باقیمانده های ویروسی که حذف شده بوده ؟
چیکارش کنم ؟ موقع بالا اومدن ویندوز میادش ...

[babak_tour]

سلام.
سیستم:
dell studio 1558
core i7 720qm
4g ram
HDD 500
radeon hd 5470
win7 homepermium 64bit
آنتی ویروس: comodo internet security 6.2.285401.2860
تا 11 ماه پیش که چیپ گرافیک خراب نشده بود مشکلی نداشتم. (خیلی هم ازش اشتفاده نمی‌کردم. چون اوبونتو دارم.). این ماه دادم چیپش رو عوض کردن و یک نرم افزار هم برام نصب کرد برای کنترل دمای چیپ(AIDA64 Extrime v5).

ولی از وقتی سیستم رو گرفتم:
svchots.exe قسمت زیادی از رم (از یک تا 2.5 رو خودم دیدم) رو اشغال می‌کنه ولی cpu استفاده نمی‌کنه.
آنتی ویروس آپدیت دانلود می‌کنه ولی موقع نصب آپدیتها خطا می‌ده.
همیشه 2 یا 3 تا آیکن آپدیت ویندوز توی system tray هست.

این هم فایل لوگ:
[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

################################
خوب مشکل svchost تا حدودی حل شد. آپدیت ویندوز رو بستم.
البته فقط تا حدودی. از اون حالت بغرنج ٪90 اومد روی ٪35.
svchostی که مربوت به گروه netsvcs بود (آپدیت سیستم توی این گروه هست) به رتبه‌ی سوم چهارم رم اومده ولی svchostی که مربوط به گروه LocalSystemNetworkRestricted هست با ۱۵۰ تا ۱۶۰ مگابایت اشغال رم به رتبه‌ی اول اومده.

و همچنان آنتی ویروسم نمیتونه آپدیتهای دانلود شده رو نصب کنه.

حالا سوال اینه که تا چه اندازه میشه این سرویسها رو متوقف کرد به طوری که مشکلی برای سیستم پیش نیاد؟

این هم سرویس‌های مربوط به دومی:

[mojtaba182003]

یه نرم افزار بود سوپرهایدنا رو درست میکرد میشد از هایدن در آورد خیلی کاربردی بود کسی داره بزارهه برام

[manuch]

با سلام
ویندوز هفت دارم
کومودو 8.2.0.4792
بدون ضد جاسوسی
موقع بررسی با برنامه hijackthis این خطا رو گرفتم:

[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

و مشکلی که دارم با برنامه ای هست که آیکونش نماد فولدر هست و با فلش دیسک اومده و روی فلش دیسک ها خودش رو کپی می کنه و موقع rename هم این شکلی هست :

[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

یعنی یک برنامه شبیه به پوشه با پسوند منتهی به Exe هست
این هم خود فایل ویروس! دقت کنید! مسئولیت دانلود و آلودگی با خودتونه:

[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

فرستادم به [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ] که گفت تروجانه ولی راه حلش رو ندیدم! ظاهرا باید فایل پچی چیزی باشه واسه حذفش. ضمنا کومودو دارم ولی اسکنش اون رو تشخیص نمیده! البته تو گزارش [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ] کومودو ویروس تشخیص داده.


این هم فایل لوگ:

[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

اگر مشکلی بود این هم متن کاملش . مدل اضافه کردن متن مخفی بلد نیستم. ببخشید. :

Logfile of Trend Micro HijackThis v2.0.5
Scan saved at 949 PM, on 3/10/2016
Platform: Windows 7 (WinNT 6.00.3504)
MSIE: Internet Explorer v8.00 (8.00.7600.16385)


FIREFOX: 43.0 (x86 en-US)
Boot mode: Normal


Running processes:
C:\Windows\system32\taskhost.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\taskeng.exe
C:\Program Files\COMODO\COMODO Internet Security\cistray.exe
C:\Windows\RtHDVCpl.exe
C:\Users\uk\AppData\Roaming\svchost10.exe
C:\Program Files\Comodo\Chromodo\chromodo.exe
C:\Program Files\Comodo\Chromodo\chromodo.exe
C:\Program Files\Comodo\Chromodo\chromodo.exe
C:\Program Files\Comodo\Chromodo\chromodo.exe
C:\Program Files\Comodo\Chromodo\chromodo.exe
C:\Program Files\COMODO\COMODO Internet Security\cis.exe
I:\new folder .exe
C:\Program Files\Comodo\Chromodo\chromodo.exe
C:\Program Files\Comodo\Chromodo\chromodo.exe
C:\Users\uk\Downloads\HijackThis.exe


R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: Free Download Manager - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - C:\Program Files\Free Download Manager\iefdm2.dll
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [COMODO Internet Security] C:\Program Files\COMODO\COMODO Internet Security\cistray.exe
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [FreedomeAutoStart] "C:\Program Files\F-Secure\Freedome\Freedome\1\Freedome.exe" -m
O4 - HKLM\..\Run: [tvncontrol] "C:\Program Files\Common Files\COMODO\GeekBuddyRSP.exe" -controlservice -slave
O4 - HKCU\..\Run: [WirelessConfig] c:\users\uk\appdata\roaming\svchost10.exe
O4 - Global Startup: Start GeekBuddy.lnk = C:\Program Files\Comodo\GeekBuddy\launcher.exe
O8 - Extra context menu item: Download all with Free Download Manager - file://C:\Program Files\Free Download Manager\dlall.htm
O8 - Extra context menu item: Download selected with Free Download Manager - file://C:\Program Files\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Download video with Free Download Manager - file://C:\Program Files\Free Download Manager\dlfvideo.htm
O8 - Extra context menu item: Download with Free Download Manager - file://C:\Program Files\Free Download Manager\dllink.htm
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O10 - Unknown file in Winsock LSP: c:\windows\system32\safeips.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\safeips.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\safeips.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\safeips.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\safeips.dll
O23 - Service: Adobe Acrobat Update Service (AdobeARMservice) - Adobe Systems Incorporated - C:\Program Files\Common Files\Adobe\ARM\1.0\armsvc.exe
O23 - Service: COMODO Chromodo Update Service (ChromodoUpdater) - Comodo - C:\Program Files\Comodo\Chromodo\chromodo_updater.exe
O23 - Service: COMODO LPS Launcher (CLPSLauncher) - Comodo Security Solutions, Inc. - C:\Program Files\Common Files\COMODO\launcher_service.exe
O23 - Service: COMODO Internet Security Helper Service (CmdAgent) - COMODO - C:\Program Files\COMODO\COMODO Internet Security\cmdagent.exe
O23 - Service: COMODO Virtual Service Manager (cmdvirth) - COMODO - C:\Program Files\COMODO\COMODO Internet Security\cmdvirth.exe
O23 - Service: F-Secure Freedome Service (Freedome Service) - F-Secure Corporation - C:\Program Files\F-Secure\Freedome\Freedome\1\FreedomeService.exe
O23 - Service: GeekBuddyRSP Server (GeekBuddyRSP) - Comodo Security Solutions, Inc. - C:\Program Files\Common Files\COMODO\GeekBuddyRSP.exe
O23 - Service: Hotspot Shield Service (hshld) - AnchorFree Inc. - C:\Program Files\Hotspot Shield\bin\cmw_srv.exe
O23 - Service: Hotspot Shield Tray Service (HssTrayService) - Unknown owner - C:\Program Files\Hotspot Shield\bin\HssTrayService.EXE
O23 - Service: SafeIPS - SafeIP - C:\Program Files\SafeIP\SafeIPs.exe


--
End of file - 5110 bytes

[manuch]

کمک!
یکی نیست به دادم برسه؟
مشکل حل شد!

[alamrin11]

سلام
مشکلی که برام پیش اومده اینه که از وقتی یه فایل کرک رو دانلود کردم همش آنتی ویروسم پیام میده
و پیامش اینه
ICMP Hidden channel
your computer is sending malicious traffic.this can be a sign of a malware on your computer


ایکون فایلای پی دی اف هم به شکل عکس درومده​

توی اکثر فولدرای ویندوزم هم یه فایل مخفی هس به نام desktop.ini


موس و کیبورد هم به خوبی کار نمیکنه

یکی دو روز پیش هم میخواستم درایورها سیستم رو اپدیت کنم ولی الان با وجود اپدیت شدن هم لپتاپم داغ میکنه
سیستم عامل : ویندوز 10 64بیت
آنتی ویروس: ESET 9 (همیشه هم آپدیته)
برنامه ضدجاسوسی: ندارم

لپتاپ ACER Aspire 5755G

لینک فایل آپلود شده log :
[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

خواهشا کمکم کنین حس میکنم سیستمم هر لحظه ممکنه همه چیزش بپره. و نابود شه.

[Public Enemy]

سلام
مشکلی که برام پیش اومده اینه که از وقتی یه فایل کرک رو دانلود کردم همش آنتی ویروسم پیام میده
و پیامش اینه
ICMP Hidden channel
your computer is sending malicious traffic.this can be a sign of a malware on your computer


ایکون فایلای پی دی اف هم به شکل عکس درومده​

توی اکثر فولدرای ویندوزم هم یه فایل مخفی هس به نام desktop.ini


موس و کیبورد هم به خوبی کار نمیکنه

یکی دو روز پیش هم میخواستم درایورها سیستم رو اپدیت کنم ولی الان با وجود اپدیت شدن هم لپتاپم داغ میکنه
سیستم عامل : ویندوز 10 64بیت
آنتی ویروس: ESET 9 (همیشه هم آپدیته)
برنامه ضدجاسوسی: ندارم

لپتاپ ACER Aspire 5755G

لینک فایل آپلود شده log :
[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

خواهشا کمکم کنین حس میکنم سیستمم هر لحظه ممکنه همه چیزش بپره. و نابود شه.

به علت اینکه به مدت طولانی به سیستم دسترسی ندارم ، نتونستم فایل log رو به دقت مطالعه کنم . اما با یک مطالعه ی سریع و عبوری از log شما به نظر همه چیز طبیعی میاد.

اما در ارتباط با eset : احتمالا یکی از نرم افزارهاتون قصد ارتباط با اینترنت رو داره . احتمالا eset یک ip ثابت رو به شما میده ؟

به هر حال یک بار دیگر سایر دوستان هم می تونن log های شما رو با دقت مطالعه کنند . اما به نظر نمیاد سیستم آلوده شده باشه.

------

اگر فایل های شما با پسوند pdf شبیه عکس شدن ، این ایراد می تونه ناشی از اشتباهات کاربری و یا خرابی فایل آیکون ها باشه . البته ممکنه کار مخرب هم باشه .

اگر فایل pdf با نرم افزار خود pdf reader باز میشه ولی آیکون عکس داره خرابی از فایل آیکون ها هستش . اگر فایل pdf کلا باز نمیشه ، default program رو برای این نوع فرمت فابل تغییر بدین

سایر مشکلات شما هم نمی تونن ارتباط 100 % با آلوده شدن سیستم داشته باشن . به هر حال سیستم شما کم کم قدیمی داره میشه

[manuch]

لطفا لنترن رو حذف کن
C:\Users\Amirian\AppData\Local\Temp
رو حذف کن
اینهمه (file missing) چرا؟!!
همه چیز قابل بازیابی هست.

[alamrin11]

به علت اینکه به مدت طولانی به سیستم دسترسی ندارم ، نتونستم فایل log رو به دقت مطالعه کنم . اما با یک مطالعه ی سریع و عبوری از log شما به نظر همه چیز طبیعی میاد.

اما در ارتباط با eset : احتمالا یکی از نرم افزارهاتون قصد ارتباط با اینترنت رو داره . احتمالا eset یک ip ثابت رو به شما میده ؟

به هر حال یک بار دیگر سایر دوستان هم می تونن log های شما رو با دقت مطالعه کنند . اما به نظر نمیاد سیستم آلوده شده باشه.

------

اگر فایل های شما با پسوند pdf شبیه عکس شدن ، این ایراد می تونه ناشی از اشتباهات کاربری و یا خرابی فایل آیکون ها باشه . البته ممکنه کار مخرب هم باشه .

اگر فایل pdf با نرم افزار خود pdf reader باز میشه ولی آیکون عکس داره خرابی از فایل آیکون ها هستش . اگر فایل pdf کلا باز نمیشه ، default program رو برای این نوع فرمت فابل تغییر بدین

سایر مشکلات شما هم نمی تونن ارتباط 100 % با آلوده شدن سیستم داشته باشن . به هر حال سیستم شما کم کم قدیمی داره میشه

ممنون از کمکتون...ولی...

چطور میتونم بفهمم که eset آی پی ثابت میده؟

فایل پی دی اف باز میشه ولی بعد از باز شدن نوار ویندوز پایین صفحه و منوی استارت ، آیکونش به شکل فایل عکسه اما وقتی روش کلیک میکنی پی دی اف میاد...چطور میتونم درستش کنم؟

برنامه malwarebytes anti malware رو هم نصب کردم و خیلی چیزا پیدا کرد...ولی نمیدونم اون فایلایی رو که توی قسمت quarantine ش هست رو باید چی کار کنم؟...

بنظرتون خوبه که این برنامه هم در کنار آنتی ویروس باشه؟

بعضی از برنامه هایی که نصب کردم توی کنترل پنل نمیبینمشون...میشه کاری کرد که اونجا دیده بشن؟
یا راهی برای حذف صحیحشون هس؟؟

روی این سیستمم ، این ویندوز و این برنامه ها بنظرتون مناسبن؟