آنالـیز و پاکسازی سیستم های آلوده(ابتدا پست اول را ببینید و فایل گزارش را آماده کنید)

[*Batman*]

دوست عزیز کارایی که گفتید انجام دادم فایده ای نداشت
لطفا کمک کنید

شما نباید درایو فلش را با دابل-کلیک باز کنید.
منوی start رو باز کنید و در کادر Run دستور CMD را تایپ کنید.
1-نام درایو فلش مموری رو تایپ و اینتر کنید (مثال= :G )
2- دستور زیر را تایپ کرده و اینتر کنید :

کد:

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

3-حالا با دستور del فایلهای مشکوک رو پاک کنید. (مثال= del Secret.exe )

اگر آنتی ویروس ندارید نسخه رایگان [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ] را نصب، آپدیت و سپس اسکن کنید.

ضمنا شما باید طبق آموزشهای پست اول یک فایل گزارش(Log ) هم تهیه کنید.

[aram24]

شما نباید درایو فلش را با دابل-کلیک باز کنید.
منوی start رو باز کنید و در کادر Run دستور CMD را تایپ کنید.
1-نام درایو فلش مموری رو تایپ و اینتر کنید (مثال= :G )
2- دستور زیر را تایپ کرده و اینتر کنید :

کد:

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

3-حالا با دستور del فایلهای مشکوک رو پاک کنید. (مثال= del Secret.exe )

اگر آنتی ویروس ندارید نسخه رایگان [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ] را نصب، آپدیت و سپس اسکن کنید.

ضمنا شما باید طبق آموزشهای پست اول یک فایل گزارش(Log ) هم تهیه کنید.

دوست عزيز بقيه فولدرهايي كه فايل هاي ضروري داخلش هست هنوز پسوند exe دارن اونا رو چيكار كنم
اويرا هم بهشون گير ميده پاكشون كه ميكنم دوباره ميان !!!!!!!

[Ahmad-Ra]

1- [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ] را دانلود و سیستم را اســکن کنید.(آموزش به همراه برنامه + تهیه گزارش)

2-برنامه Hijack This را اجرا کنید و اسکن کنید.
گزینه های زیر را انتخاب کنید(تیک بزنید)

  محتوای مخفی: لیست 

O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [AdobeAAMUpdater-1.0] "C:\Program Files\Common Files\Adobe\OOBE\PDApp\UWA\UpdaterStartupUtility.e xe"
O4 - HKLM\..\Run: [SwitchBoard] C:\Program Files\Common Files\Adobe\SwitchBoard\SwitchBoard.exe
O4 - HKLM\..\Run: [googletalk] C:\Program Files\Google\Google Talk\googletalk.exe /autostart
O4 - HKLM\..\Run: [AdobeCS5ServiceManager] "C:\Program Files\Common Files\Adobe\CS5ServiceManager\CS5ServiceManager.ex e" -launchedbylogin
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Common Files\Java\Java Update\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [DU Meter] C:\Program Files\DU Meter\DUMeter.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

بعد از انتخاب موارد بالا گزینه Fix Checked را کلیک کنید.

اگر مشکل برطرف نشد:
این فایل را برای من آپلود کنید : C:\WINDOWS\system32\CTFMON.EXE

تمامی کار های گفته شده انجام شد. اما با npe مشکل دارم. اول که ورژن جدید چک کرد و گفت باید ورژن جدید نصب کنم. ورژن جدید رو از سایت خودش دانلود کردم.
بعدش از دانلود موقع scan ازم میخواد سیستم رو restart کنم. این کار رو میکنم. واسه دفعات بعدی هم همش این پیغام رو میده . نگاه کنید :



مورد دوم هم انجام شد(hijack this).. موارد فیکس شد.

[jolan57]

تمامی کار های گفته شده انجام شد. اما با npe مشکل دارم. اول که ورژن جدید چک کرد و گفت باید ورژن جدید نصب کنم. ورژن جدید رو از سایت خودش دانلود کردم.
بعدش از دانلود موقع scan ازم میخواد سیستم رو restart کنم. این کار رو میکنم. واسه دفعات بعدی هم همش این پیغام رو میده . نگاه کنید :

از ssetting نرم افزار تیک Include rootkit scan رو بردارین

دوست عزيز بقيه فولدرهايي كه فايل هاي ضروري داخلش هست هنوز پسوند exe دارن اونا رو چيكار كنم
اويرا هم بهشون گير ميده پاكشون كه ميكنم دوباره ميان !!!!!!!

خب به جای G نام درایو مورد نظرتون رو بنویسین

[Ahmad-Ra]

1- [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ] را دانلود و سیستم را اســکن کنید.(آموزش به همراه برنامه + تهیه گزارش)

2-برنامه Hijack This را اجرا کنید و اسکن کنید.
گزینه های زیر را انتخاب کنید(تیک بزنید)

  محتوای مخفی: لیست 

O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [AdobeAAMUpdater-1.0] "C:\Program Files\Common Files\Adobe\OOBE\PDApp\UWA\UpdaterStartupUtility.e xe"
O4 - HKLM\..\Run: [SwitchBoard] C:\Program Files\Common Files\Adobe\SwitchBoard\SwitchBoard.exe
O4 - HKLM\..\Run: [googletalk] C:\Program Files\Google\Google Talk\googletalk.exe /autostart
O4 - HKLM\..\Run: [AdobeCS5ServiceManager] "C:\Program Files\Common Files\Adobe\CS5ServiceManager\CS5ServiceManager.ex e" -launchedbylogin
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Common Files\Java\Java Update\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [DU Meter] C:\Program Files\DU Meter\DUMeter.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

بعد از انتخاب موارد بالا گزینه Fix Checked را کلیک کنید.

اگر مشکل برطرف نشد:
این فایل را برای من آپلود کنید : C:\WINDOWS\system32\CTFMON.EXE

اسکن انجام شد. این فایل log پسوند xml : ( فایل رو زیپ کردم)

[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

[jolan57]

ممنون درست شد.

اسکن شد ...

بدون هیچ پیغامی یهو دوباره بر میگرده به این مرحله زیر :

دوست عزیز شما باید قبل از اسکن با چیز پی ان وصل شین ولی اگر ندارید از روش زیر استفاده کنید

[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

[*Batman*]

اسکن انجام شد. این فایل log پسوند xml : ( فایل رو زیپ کردم)

[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

مراحل [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ] را دنبال کنید .(برای شماره 2 به جای Flash Scan از quick Scan استفاده کنید.)
تو گزارش مورد مشکوکی نبود.اگر نتایج اسکن NPE را Fix نکردید یه عکس ازش بگیرید

  محتوای مخفی: نمونه 

این دو فایل رو برای من آپلود کنید:
C:\WINDOWS\system32\CTFMON.EXE
C:\Windows\System32\drivers\etc\hosts

اگر شرایط سیستم تغییر کرد ما رو بی خبر نگذارید.

دوست عزيز بقيه فولدرهايي كه فايل هاي ضروري داخلش هست هنوز پسوند exe دارن اونا رو چيكار كنم
اويرا هم بهشون گير ميده پاكشون كه ميكنم دوباره ميان !!!!!!!

موارد مشابه رو معمولا با Avira یا [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ] پاکسازی میکنن.
دوباره مراحل [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ] را تکرار کنید. این بار به جای دستور attrib از dir /ah استفاده کنید.اگر فایلی با اسم autorun.inf پیدا شد پاکش کنید.
در صورت امکان چندتا از فایلهای آلوده رو اینجا آپلود کنید تا بررسی کنیم.
فایل گزارش را فراموش کردید!

[Ahmad-Ra]

مراحل [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ] را دنبال کنید .(برای شماره 2 به جای Flash Scan از quick Scan استفاده کنید.)
تو گزارش مورد مشکوکی نبود.اگر نتایج اسکن NPE را Fix نکردید یه عکس ازش بگیرید

  محتوای مخفی: نمونه 

این دو فایل رو برای من آپلود کنید:
C:\WINDOWS\system32\CTFMON.EXE
C:\Windows\System32\drivers\etc\hosts

اگر شرایط سیستم تغییر کرد ما رو بی خبر نگذارید.

با اجازت یه کار دیگه هم کردم..
در حالت safe mode برنامه Kaspersky removal tool رو اجرا کردم کلی فایل win32.sality و یکسری ویروس و exploit پیدا کرد .. !!! جالبه فقط هم در حالت safe mode این نتایج به دست اومد در در حالت نرمال استارت ویندوز !

اما هنوز 1 مشکل دارم. آنتی ویروس kaspersky هنوز هم غیر فعاله و مثلا وقتی رو فایل خاصی راست کلیک میکنم هنوز گزینه scan by kaspersky خاموشه !

اما باز هم دستور شما رو انجام میدم و موارد خواسته شده انجام خواهد شد. باز هم از کمک هات ممنونم. اخه نمیدونی شبکه با temp الوده من درگیر شده و ویروس هم بد منتشر شده باید زودتر راه حل رو پیدا کنم و بقیه سیستم ها رو هم اوکی کنم

[aram24]

سلام مجدد دوست عزیز
این هم لوگ فایل من

[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

ویروسا رو نتونستم آپ کنم \hddk تو عکسه دورش مربع کشیدم

[*Batman*]

با اجازت یه کار دیگه هم کردم..
در حالت safe mode برنامه Kaspersky removal tool رو اجرا کردم کلی فایل win32.sality و یکسری ویروس و exploit پیدا کرد .. !!! جالبه فقط هم در حالت safe mode این نتایج به دست اومد در در حالت نرمال استارت ویندوز !

اما هنوز 1 مشکل دارم. آنتی ویروس kaspersky هنوز هم غیر فعاله و مثلا وقتی رو فایل خاصی راست کلیک میکنم هنوز گزینه scan by kaspersky خاموشه !

اما باز هم دستور شما رو انجام میدم و موارد خواسته شده انجام خواهد شد. باز هم از کمک هات ممنونم. اخه نمیدونی شبکه با temp الوده من درگیر شده و ویروس هم بد منتشر شده باید زودتر راه حل رو پیدا کنم و بقیه سیستم ها رو هم اوکی کنم

این خبر خوبیه. کم کم ویروس رو از نفس میندازیم.
من [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ] دو تا برنامه دیگه هم برای پاکسازی سالیتی معرفی کردم. ممکنه به درد بخوره.
راستی برنامه Norton Power Eraser را هم در حالت Safe Mode With Networking میتونید اجرا کنید.

سلام مجدد دوست عزیز
این هم لوگ فایل من

[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

ویروسا رو نتونستم آپ کنم \hddk تو عکسه دورش مربع کشیدم

سلام

به ترتیب :

1-شما دوباره یه اسکن با HiJackThis انجام بدید و اینبار گزینه های پایین را انتخاب کنید(تیک بزنید):

  محتوای مخفی: لیـــست 

O4 - HKCU\..\Run: [yz1x32] C:\yz1x32_WindowsUpdateFinder.exe
O4 - HKCU\..\Run: [vuoamac] C:\Users\Aram\vuoamac.exe /g
O4 - HKLM\..\Policies\Explorer\Run: [32706] C:\PROGRA~3\LOCALS~1\Temp\msahiewk.exe
در انتخاب گزینه ها دقت کنید!

بعد از انتخاب موارد فوق،گزینه‌ی Fix Checked را کلیک کنید.

2-برنامه [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ] رو دریافت کنید و فایل getservice.bat رو اجرا کنید.
گزارش برنامه در قالب یک فایل متنی به همین نام خواهد بود.اون گزارش رو اینجا قرار بدید.

3-اگر آنتی ویروس NOD32 روی سیستم نصبه بهتره پاکش کنید و فقط از یک آنتی ویروس استفاده کنید.
(پیشنهاد : Avira - F-Secure - Kaspersky - Bitdefender - Norton)

4-به Safe Mode رفته و وارد My Computer شوید .
بعد از مشاهده لیست درایوها از نوار بالا بروی گزینه Tools کلیک کرده سپس گزینه Folder Options را انتخاب کنید
در پنجره جدید باز شده گزینه View را انتخاب کنید و بروی گزینه Show hidden files and folders کلیک کنید تا دایره آن توپر شود .
کمی پایینتر تیک گزینه Hide Protected Operationg System Files را بر دارید . حالا ok کنید

5- حالا فایلهای زیر را در مسیر تعیین شده پیدا و حذف کنید:
C:\Users\Aram\vuoamac.exe
C:\yz1x32_WindowsUpdateFinder.exe

6- دستور dir /ash را برای همه درایوها و حافظه فلش اجرا کنید.اگر فایلی با اسم autorun.inf ( و یا با اسامی نامتعارف مشابه تصویری که قراردادید )پیدا شد پاکش کنید.
مثال

کد:

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

7- در حالت Safe Mode از آنتی ویروس خودتون استفاده کنید و یکبار Full System Scan انجام بدید.