سلام...
اساتيد عزيز به دادم برسين نميدونم چش شده اين كامپيوتر اين دفعه سومه كه مجبور ميشم ويندوزم رو عوض كنم وقتي ويندوز رو نصب ميكنم task manager باز ميشه و به داخل رجيستري هم ميره اما بعد از گذشت يه روز وكمتر ديگه نه به داخل رجيستري ميره نه task manager رو باز ميكنه......
نميدونم واقعا ويروسه يا مشكل از جاي ديگه است لطفا راهنماييم كنين.....!
در ضمن وقتي ميخوام رجيستري رو باز كنم يه eror مياد ....
registery editing has been disibeled by your administrator
براي task manager هم همين ارور مياد
اينم بگم كه وقتي ويندوز رو نصب ميكنم اولش همه اينها كار ميكنه.....و admin جديدي رو نميسازم....

سلام بدون شک رو سیستمت ویروس ودر تمام درایوهات پخشه وقتی ویندوز رو نصب می کنی چون ویندوز جدید هست و ویروس از درایو c پاک شده ویندوز به درستی کار می کنه ولی وقتی درایو های دیگه رو باز می کنی ویروس فعال میشه
اولین راه: تمام درایوها رو فرمت کنی====> ولی شاید در درایو های دیگه اطلاعات مهمی داشته باشی
دومین راه: از یک آنتی ویروس قوی استفاده کنی مثلا Avira
سومین راه: اگر اطلاعتی در باره فایل های inf و فایل های مخفی (hidden) و folder option داری می تونیم با هم به روش دستی بگیریمش(از Dos هم یکم بلد باشی خوبه فقط در حد باز کردنش (Run==>Cmd)

ميشه راجب راه سوم برام توضيح بدين.....!
nod32 اين ويروس رو ميشناسه؟

من هنوز اسم این ویروسو نمی دونم و هنوز هم اطلاعاتی از اون ندارم
اول بگو آنتی ویروسی رو سیستمت هست یا نه و اگه هست بگو هشداری داده یا نه؟

حالا وارد CMD شو و با دستور:
cd\
که باعث میشه بری به درایو C از همین cmd (نکته: بهتر دستورات رو تو cmd کپی بزنی)
حالا دستور :
dir /a
که باعث میشه تمام فایل های مخفی در درایو C نشون بده
خوب نگاه کن ببین فایلی به این نام هست
autorun.inf
???
من همین دستورات رو رو سیستمم اجرا کردم ببین:
Microsoft Windows XP [Version 5.1.2600]
(C) Copyright 1985-2001 Microsoft Corp.

C:\Documents and Settings\michael>cd\

C:\>dir /a
Volume in drive C has no label.
Volume Serial Number is 9CC2-3ABA

Directory of C:\

07/01/2007 12:58 PM 0 AUTOEXEC.BAT
01/22/2009 01:19 PM 255 autorun.inf
11/13/2008 06:14 PM 211 boot.ini
07/01/2007 12:58 PM 0 CONFIG.SYS
01/05/2003 05:12 PM <DIR> Documents and Settings
01/21/2009 09:06 PM <DIR> downloads
01/22/2009 05:28 PM 536,399,872 hiberfil.sys
07/01/2007 12:58 PM 0 IO.SYS
07/01/2007 12:58 PM 0 MSDOS.SYS
08/04/2004 04:37 AM 47,564 NTDETECT.COM
01/01/2003 12:19 AM 250,048 ntldr
01/22/2009 07:26 AM <DIR> OutputFolder
01/22/2009 05:28 PM 805,306,368 pagefile.sys
11/13/2008 05:45 PM <DIR> profiles
01/21/2009 09:17 PM <DIR> Program Files
11/13/2008 05:55 PM <DIR> RECYCLER
01/22/2009 01:19 PM <DIR> resycled
01/01/2003 01:01 AM <DIR> spoolerlogs
07/01/2007 01:03 PM <DIR> System Volume Information
01/01/2003 01:18 AM 48 ttLog.txt
01/22/2009 07:26 AM <DIR> WINDOWS
01/03/2003 12:45 PM 146 YServer.txt
12 File(s) 1,342,004,512 bytes
10 Dir(s) 4,204,437,504 bytes free

اگه خوب نگاه کنی رو سیستمم همچین فایلی هست
01/22/2009 01:19 PM 255 autorun.inf
یعنی سیستمم ویروسی
نکته:برو به folder option و از تب view
تیک این دو گذینه رو بردار:
hide extensions...
hide protect...
و همچنین
show hidden file and...
تنظیم کن
و پنجره رو ok کن و بار دیگه برو به folder option به ببین این کارایی که انجام دادی تغییر کردن یا نه؟
چون ویروس ها برای این که دیده نشن تنظیمات رو روی
...do not show
تنظیم میکنن حتی اگر کاربر روی Show تنظیم کرده باشه
چیزی که مهم فایل autorun.inf ببین هست یا نه؟

نه متاسفانه انتي ويروس ندارم.......
اره دوست عزيز اين فايل روي سيستم منم هست بايد چه كارش كنم؟

حالا این دستور انجام بده:
type autorun.inf
تا محتویات فایل رو نمایش بده
ببین من این کارو انجام دادم و این نتیجه رو گرفتم
Microsoft Windows XP [Version 5.1.2600]
(C) Copyright 1985-2001 Microsoft Corp.

C:\Documents and Settings\michael>cd\

C:\>type autorun.inf
[autorun]
;bwtyiinhbuvtfjacijpvhradqkluqrmomltfmakkzhxswichk tyljchhalbifizbgxcnrvorkxnsad
wkohzxriqzdqpnmk
shellexecute="resycled\ntldr.com c:"
;dyvrnthbdqumwtgwpgvlbwxtekpgmjyjvopowozktgoakxrnh jpfmsbamiy
shell\Open\command="resycled\ntldr.com c:"
;j
C:\>

شما هم مثل من یه کپی بگیر و اینجا بزار تا ببینم چه ویروسی
نکته: برای کپی گرفتن رو cmd کلیک راست کن و mark انتخاب و تمام نوشته ها رو بگیر و بعد بازم کلیک راست کن که عمل کپی انجام میشه
نگفتی فولدر آپشن چه وضعیتی داره؟

Microsoft Windows XP [Version 5.1.2600]
(C) Copyright 1985-2001 Microsoft Corp.
C:\Documents and Settings\tooraj>cd\
C:\>dir /a
Volume in drive C has no label.
Volume Serial Number is 103E-2170
Directory of C:\
01/21/2009 12:45 AM 0 AUTOEXEC.BAT
01/23/2009 12:08 AM 352 autorun.inf
01/21/2009 12:39 AM 211 boot.ini
01/21/2009 12:45 AM 0 CONFIG.SYS
01/21/2009 11:38 PM <DIR> Documents and Settings
01/21/2009 12:45 AM 0 IO.SYS
01/22/2009 07:32 PM <DIR> kav
01/21/2009 12:45 AM 0 MSDOS.SYS
08/04/2004 04:38 AM 47,564 NTDETECT.COM
08/04/2004 04:59 AM 250,032 ntldr
01/22/2009 11:42 PM 2,145,386,496 pagefile.sys
01/22/2009 07:32 PM <DIR> Program Files
01/21/2009 11:40 PM <DIR> RECYCLER
01/21/2009 12:48 AM <DIR> System Volume Information
01/21/2009 11:36 PM <DIR> WINDOWS
9 File(s) 2,145,684,655 bytes
6 Dir(s) 44,807,884,800 bytes free
C:\>

تيك اون دوتا گزينه رو هم برداشتم.....
و اين فايل نمايان شد و ديدم كه تو همه درايور هام هست...

C:\>type autorun.inf
[autorun]
;Please Do Not Change This Line.
Open=RECYCLER\..\RECYCLER\autoplay.exe
;Please Do Not Change This Line.
shell\open\Command=RECYCLER\autoplay.exe -open
;Please Do Not Change This Line.
shell\open\Default=1
;Please Do Not Change This Line.
shell\explore\Command=RECYCLER\autoplay.exe -explore
;Please Do Not Change This Line.
[:))]

شانس آوردی ویروس ضعیفی هست در غیر این صورت اجازه نمی داد فایلشو ببینی
این فایل ویروس نیست این فایل باعث میشه که ویروس اجرا بشه( autorun.inf میگم )
فایل ویروس اسمش autoplay.exe هست (ببین حجمش 192 kb ) ؟
و ظاهرا در این پوشه باید باشه RECYCLER در تمام درایوها
و حتما جای دیگه ای هم فایل مادر که فرمان میده ویروس در تمام درایو ها پخش بشه هست (احتمالا C:\windows\system32 )
نکته: شما میتونی دیگه ادامه ندی و ویندوز رو پاک کنی و دوباره نصب کنی و بدون این که وارد درایو ها بشی بری به folder option تنظیمات رو به حالتی که بالا گفتم تنظیم کنی (تا فایلهای مخفی نمایش داده بشن)
و به این صورت که میگم وارد درایو ها بشی مثلا برای درایو D از Run بنویس :
D:
چون اگه دابل کلیک رو درایو ها کنی ویروس اجرا میشه بازم همون آش و همون کوزه
و سپس تمام فایل های autorun.inf و autoplay.exe در تمام درایو ها پاک کنی و تمام
ولی اگه مایلی بحث ادامه بدیم پرسشهای بالا رو جواب بده و همچنین این پایینی
شما یه کاری کن فایل Autorun.inf رو پاک کن و یه ریفرش(Refresh) کن ببین بازم ساخته میشه؟

حجمش 296kb هست..ميخوام ادامه بدم تا پاكش كنم....اين فايل رو پاك كردم ولي دوباره ساخته شد بعد از Refresh

سلام
حالا برای این که بفهمیم اسم ویروس اصلی چیه باید registry ویندوز بررسی کنیم از اونجایی که Regedit باز نمیشه
از Dos یا همون Cmd استفاده می کنیم
این دستور بزن تا بری به درایو C
cd\
و بعد این دستور تا یه فایلی رو استخراج کنیم
reg export hklm\software\microsoft\windows\currentversion\run ViewRun.txt
با این کار یه فایل متنی در درایو C ساخته میشه با این اسم
ViewRun.txt
این فایل رو باز کن تو این تمام برنامه هایی که در زمان بالا آمدن ویندوز اجرا میشن رو میبینی محتویاتشو بزار اینجا
احتمالا ویروس هم بین اینهاست اگه خوش شانس باشی چون جاهای دیگه هم هست که ویروس میتونه اجرا بشه
حالا بریم ببینیم تو windows task manager چه خبره از اونجایی که پاک شده از این دستور استفاده می کنیم که کار task manager انجام میده شایدم بهتر از اون
تو Cmd تایپ کن
tasklist
لیستی از پروسه های در حال اجرا رو نشون میده(یعنی همون برنامه های در حال اجرا)
اونم کپی بزن اینجا تا ببینیم چه خبره؟
اگه لطفا کنی ویروس آپلود کنی و لینکشو بزاری اینجا ممنون میشم(همون autoplay.exe که حجمش 296kb هست )

خیلی لز ویروس ها امروزه از این نام برای تکپیر استفاده میکنن!
عزیز لطفا یه نگاه به حجم فایل autoplay.exe ات بنداز اگه از 480بیشتره شما ویروس lsass رو گرفتی و به مسیر زیر برو
همه چی رو اونجا گفتم.

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید
موفق و پیروز باشید.

سلام

من هیچ مشکلی ندارم . فقط تسک مننجر و ریجستریم رفته و هیچ مشکل Folder Option و ... ندارم . msconfig و اینام باز هستش .

این از درایو c :

01/23/2009 06:52 PM 0 TEMP.PDF
12/09/2008 10:56 AM <DIR> WINDOWS
01/23/2009 04:56 PM 1,610,612,736 PAGEFILE.SYS
01/21/2009 03:17 PM 0 AUTOEXEC.BAT
01/22/2009 10:52 PM 1,073,270,784 hiberfil.sys
12/09/2008 11:02 AM <DIR> Documents and Settings
01/23/2009 12:01 AM <DIR> Program Files
12/09/2008 11:23 AM 0 CONFIG.SYS
11/30/2007 01:29 PM 47,564 NTDETECT.COM
12/09/2008 11:23 AM 0 IO.SYS
12/09/2008 11:23 AM 0 MSDOS.SYS
12/09/2008 11:28 AM <DIR> System Volume Information
01/23/2009 06:56 PM 0 ioncube_executor_log.txt
01/23/2009 07:12 PM 1,150 Viewrun.txt
12/29/2008 12:04 PM <DIR> FOUND.010
01/10/2009 07:08 PM <DIR> FOUND.011
01/22/2009 11:56 PM 211 boot.ini
01/17/2009 03:55 PM <DIR> FOUND.012
01/18/2009 03:15 PM <DIR> profiles
01/19/2009 02:23 PM <DIR> Downloads
01/21/2009 02:01 PM 150 YServer.txt
01/21/2009 02:10 PM <DIR> FOUND.013
01/21/2009 08:42 PM <DIR> FOUND.014
01/21/2009 09:13 PM 90 rescue.bat
01/22/2009 08:49 PM <DIR> FOUND.015
01/22/2009 10:05 PM <DIR> FOUND.016
11/30/2007 03:25 PM 250,048 ntldr
12/09/2008 12:30 PM <DIR> Recycled
01/23/2009 12:18 PM 1,056 ALCSetup.log
12/09/2008 03:56 PM <DIR> NVIDIA
12/09/2008 04:25 PM <DIR> MSOCache
12/22/2008 10:46 AM <DIR> Config.Msi
12/22/2008 11:07 AM 1,167 _Sid.txt
12/26/2008 09:10 AM <DIR> RECYCLER
12/30/2008 06:33 PM <DIR> MyS2GApp
16 File(s) 2,684,184,956 bytes
19 Dir(s) 809,680,896 bytes free


این از اون فایل ریجستری :

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\software\microsoft\windows\curr entversion\run]
"avgnt"="\"C:\\Program Files\\Avira\\Avira Premium Security Suite\\avgnt.exe\" /min"
"NvCplDaemon"="RUNDLL32.EXE C:\\WINDOWS\\system32\\NvCpl.dll,NvStartup"
"nwiz"="nwiz.exe /install"
"NvMediaCenter"="RUNDLL32.EXE C:\\WINDOWS\\system32\\NvMcTray.dll,NvTaskbarInit"
"SoundMan"="SOUNDMAN.EXE"
@=""
"Sony Ericsson PC Suite"="\"C:\\Program Files\\Sony Ericsson\\Mobile2\\Application Launcher\\Application Launcher.exe\" /startoptions"
"Barsaka"="explorer.exe"

اینم از پروسس ها :


Image Name PID Session Name Session# Mem Usage
========================= ====== ================ ======== ============
System Idle Process 0 Console 0 28 K
System 4 Console 0 240 K
SMSS.EXE 676 Console 0 388 K
CSRSS.EXE 732 Console 0 5,384 K
WINLOGON.EXE 756 Console 0 1,716 K
SERVICES.EXE 800 Console 0 3,936 K
LSASS.EXE 812 Console 0 1,328 K
SVCHOST.EXE 976 Console 0 5,160 K
SVCHOST.EXE 1096 Console 0 5,044 K
SVCHOST.EXE 1192 Console 0 30,076 K
SVCHOST.EXE 1244 Console 0 4,028 K
SVCHOST.EXE 1384 Console 0 5,248 K
NVSVC32.EXE 1796 Console 0 4,380 K
EXPLORER.EXE 776 Console 0 26,088 K
RUNDLL32.EXE 1792 Console 0 4,940 K
SOUNDMAN.EXE 1896 Console 0 7,672 K
Application Launcher.exe 1736 Console 0 3,168 K
CTFMON.EXE 2040 Console 0 3,968 K
explorer.exe 260 Console 0 2,948 K
YahooMessenger.exe 340 Console 0 31,032 K
CapabilityManager.exe 192 Console 0 8,180 K
Xfire.exe 476 Console 0 26,928 K
WMIPRVSE.EXE 172 Console 0 6,760 K
Generic.exe 708 Console 0 8,528 K
epmworker.exe 1540 Console 0 8,296 K
SPOOLSV.EXE 3144 Console 0 4,644 K
dllhost.exe 3072 Console 0 8,872 K
msdtc.exe 2316 Console 0 5,340 K
madrese.exe 2024 Console 0 7,108 K
Apache.exe 1756 Console 0 8,396 K
Apache.exe 2840 Console 0 12,168 K
hehmfp.exe 2708 Console 0 3,936 K
winumiv.exe 2932 Console 0 3,980 K
uhrrs.exe 212 Console 0 4,788 K
AdobeUpdater.exe 1444 Console 0 10,224 K
mscorsvw.exe 2500 Console 0 2,620 K
RUNDLL32.EXE 3656 Console 0 3,076 K
firefox.exe 3516 Console 0 76,900 K
cmd.exe 3388 Console 0 2,920 K
tasklist.exe 3424 Console 0 5,124 K

من Avira دارم . اما خب متاسفانه بعد از آپدیت قسمت scan میاد و میره کاسپر اسکای غیر فعال شده و کلا هیچی کار نمیکنه !

hojjet007 جان شما 2 تا explorer در لیست پروسز هات داری!!!!
اگه لطف کنی با یه process explorer مسر جاری پروسز هاتم بگی ممنون میشم.

من زیاد تو این کارا وارد نیستم . چیکار باید کرد ؟:D

الان دارم Trand Micro دانولد میکنم . شاید کار کرد . چون تمامی exe های سیستم آلوده هست . اگرم که با مک آفی بیفتم به جونش انگار هاردو فرمت کردم !!

عزیز اصلان فکر Mcaffee هم نکن.
فقط officescan از trendmicro.
عزیز اگه ZoneAlram داری بنصب بهترین process Explorer رو داره.

فعلا Trend micro رو نصب میکنم . نتیجه نداد زون آلارم

کامپیوتر یکی از بچه ها دچار همین مشکل شده بود.خیلی ویروس اعصاب خورد کنیه...

بچه ها من منتظر عکستونم .لطفا متن اوتورانتونم هم بزارید.

عزیز من چیزی به اسم autorun.inf ندارم . ویروس آتوران نیست !

فقط یه
Autoexec.bat هستش .

يه فرمت كن ، ويندوز رو عوض كن و خياله خودتو راحت كن!:31:
من كامپيوترم زياد ازين ويروسا گرفته! هر دفعه كلي دنبال راه ميانبر واسه شناختن و پاك كردن ويروس گشتم! ولي آخر همه راه ها به فرمت و عوض كردن ويندوز كشيده!:27:

hojjat 007 جان خوب یه تاپیک جداگانه براش درست میکردی.
حالا بیخیال.
یگه میتونی یه exe کوچیک برام بسند.
عکس تسک منیجرت رو بزار.
عکس msconfiget رو هم بزار.
من منتظرم.

خیلی ممنون با این راه حل ...×!

محض اطلاع من امروز صبح ویندوز نصب کردم از نو دوباره ویروسو گرفتم . پس از این راه حلای که وقتو میگیره و عملی نیست نگید لطفا

دمت گرم رفیق!!
چیز بدی نگفتم!!!!
ببین عزیز اگه ویروست Autorun تو هر درایو نداره و شما امروز ویندوز نصب کردی و دوباره ویروس رو گرفتی پس :
از توی یکی از درایو هات یه برنامه نصب کردی یا اجرا کردی.
اگه این کار رو کردی و ویروس رو گرفتی پس کامپیوتر شما یه ویروس pe_appaend داره مثل sality!!!
در ضمن چیزایی رو که گفتم برای تشخیص ویروستون بود.
من رو تمام سیستم هامOfficeScan دارم و عالی جواب میده.
حالا قضاوت دست خودتون.
موفق و پیروز باشید.

با شما نبودم . با اون پست قبلی بودم که گفت فرمت کن !

Office Scan چیه ؟ من دارم Trend Micro دانلود میکنم ... اون تیو اینه ؟

[picher_s]
[HoJJaT_007]
شما دوتا اینجا رو هوا دادین
آقای پیچر دست دوستونو بگیرید ببرید بیرون از این تاپیک براش یه تاپیک جدید بزنید

من وظیفم بود بگم.
حالا هر جور خودشون صلاح میدونن.

دوست عزیز ما در مورد چیزای دیگه حرف نمیزنیم ! در مورد همین ویروسه . شاید ایشون راه حلو داد مشکل همه حل شد. فکر نکنم این تاپیک شخصی باشه !

پیچر عزیز . من trend رو اجرا کردم . اما officescan کجاست ؟

---

راستی در مورد اون پست هم خطابم به شما نبود . به پست نفر قبلی بود که گفت فرمت کنید . بازم ببخشید

officeScan نرم افزار انتی ویروس( من از تحت شبکه اش استفاده میکنم ) از همون TrendMicro است.
لطفا با توجه به چیزایی گفتم مطالبتون را کامل کنید.
موفق و پیروز باشید .
خداحافظ تا فردا آخه آلان اداره ام و باید برم خونه D:

ببخشيد مجبورم اين اطلاعات رو در چند پست بدم اخه فكر كنم ويروس باعث بهم ريختن اين متنها ميشه...همش بهم ميريزن.....

Windows Registry Editor Version 5.00[HKEY_LOCAL_MACHINE\software\microsoft\windows\curr entversion\run]"NvCplDaemon"="RUNDLL32.EXE C:\\WINDOWS\\system32\\NvCpl.dll,NvStartup""SysUtils"="C:\\Documents and Settings\\All Users\\smss.exe""WinampAgent"="\"C:\\Program Files\\Winamp\\winampa.exe\"""CloneCDElbyCDFL"="\"C:\\Program Files\\Elaborate Bytes\\CloneCD\\ElbyCheck.exe\" /L ElbyCDFL""CloneCDTray"="\"C:\\Program Files\\Elaborate Bytes\\CloneCD\\CloneCDTray.exe\""

C:\>tasklistImage Name PID Session Name Session# Mem Usage========================= ====== ================ ======== ============System Idle Process 0 Console 0 28 KSystem 4 Console 0 240 Ksmss.exe 468 Console 0 388 Kcsrss.exe 516 Console 0 2,784 Kwinlogon.exe 540 Console 0 4,468 Kservices.exe 584 Console 0 3,752 Klsass.exe 596 Console 0 1,308 Ksvchost.exe 760 Console 0 5,272 Ksvchost.exe 828 Console 0 5,076 Ksvchost.exe 880 Console 0 21,084 Ksvchost.exe 944 Console 0 4,096 Ksvchost.exe 972 Console 0 5,128 Kspoolsv.exe 1104 Console 0 4,896 Kexplorer.exe 1380 Console 0 7,540 Knvsvc32.exe 1456 Console 0 4,472 Kwinampa.exe 784 Console 0 7,308 Kctfmon.exe 1212 Console 0 3,648 Ksmss.exe 1264 Console 0 7,048 Kwmiprvse.exe 2604 Console 0 7,216 KYahooMessenger.exe 3872 Console 0 38,072 KIEXPLORE.EXE 3884 Console 0 9,932 Kwinpvtp.exe 2152 Console 0 5,512 Kwingfwna.exe 2244 Console 0 5,352 Kwinjwdikh.exe 1588 Console 0 4,752 Kcmd.exe 3628 Console 0 2,952 Ktasklist.exe 2076 Console 0 4,688 K

مثل اين كه مجبورم ويندوز رو عوض كنم در ضمن هر انتي ويروسي كه نصب ميكنم اجرا نميشه....

متاسفانه خيلي قاطي كرده سيستم حتي نميتونم فايل رو اپديت كنم

"SysUti ls"="C:\\Documents and Settings\\All Users\\smss.exe"
من به این فایل مشکوکم امکان داره همین باشه
به این مسیری که گفته برو و ببین حجم فایل چقدر (smss.exe) ؟
از این دستور استفاده کن
reg delete hklm\software\microsoft\windows\currentversion\run /va

یه بار دیگه run رو استخراج کن به روش بالا که گفتم اگه باز هم این فایل رو دیدی پس ویروس همین smss.exe

smss.exe این یه فایل مهم ویندوزت هست ولی این که تو این مسیر باشه عادی نیست

وقتی پروسه سیستم شما رو بررسی کردم مطمئن شدم ویروس همین فایل smss.exe
اگه خودتم خوب نگاه کنی دوتا از این فایل رو میبینی که در حال اجراست
ولی باید ببینیم کدام مال ویندوز کدام ویرس هست
اگه میتونستی ویروس upload کنی که عالی میشد

پیداش کردم این ویروسه هستش
smss.exe 1264 Console 0 7,048
ببین یه عدد بعد از اسمش هست 1264 با این عدد میتونیم ببندیمش بهش میگن PID هر وقت که کامپیوتر روشن میشه این عدد هم تغییر میکنه احتمالا هر وقت که از دستور tasklist استفاده کنی smss اولی برای ویندوز و smss که بعد از اون میاد ویروس
PID اونو که همون عدد بگیر و به جای X در دستور زیر قرار بده تا ویروس از کار بیفته
taskkill /pid X /f /t
بعد بدون هیچ کاری
این دستور انجام بده
reg delete hklm\software\microsoft\windows\currentversion\run /va
تا مطمئن بشی ویروس دوبار با بالا اومدن ویندوز اجرا نمیشه
سیستم restart میکنی و
tasklist
یه بار دیگه از این دستور استفاده میکنی تا مطمئن بشی smss یکی هست
از run به تمام درایو ها میری و Autorun.inf پاک میکنی
من منتظرم تا بگی تونستی این کارارو بکنی یا نه ؟

یادم رفت اینو بگم اگر اشتباهی pid که مال Sms ویندوز بدی و از کار بندازیش احتمالا ویندوز restart میشه

نیازی نبود 15 تا پست پشت سر هم بدید !

به نظرم بهترین کار اینه با Trend Micro بیفتید به جون سیستم . exe ها هم پاک نمیکنه .

نکته :

مال من smss نیست ! مال من دو تا explorer هست !
نمیدونم والا گیج شدم از دست این ویروس . دو تا اکسپلورر . میزان استفاده رم یکی که مال خود ویندوزه 23 مگابایت و اون یکی 2 مگ که ویروسه ... !

سلام......
دوستان من يه كاري كردم هنوز خبري از اين ويروس نيست تو سيستمم
وقتي ويندوز رو عوض كردم با استفاده از فرماني كه از تو run ميشه درايو رو باز كرد درايو رو باز كردم
و فايل RECYCLER رو shift+delete كردم فقط يه اشتباه كوچيك كردم كه اول delete كردم بعد shift+delete كردم يه بار سيستم رو ريست كردم وقتي بالا اومد ديدم دوباره اين فايل تو همه درايو ها هست و دوباره shift+delete كردم تا الان كه ازش خبري نيست و ديده نميشه...حتي يه بار ريست هم كردم كامپيوتر رو....ولي همون باري كه اشتباه كردم باعث شد كه task manager &registery مثل قبل غير فعال بشن....الان مشكلم اينه كه حوصله عوض كردن ويندوز رو ندارم نميشه برشون گردوند؟

در ضمن با استفاده از همون فرمان كه محتويات درايو c رو نشون ميده ديگه اون فايل autorun.inf رو نميبينم

C:\>dir /a
Volume in drive C has no label.
Volume Serial Number is 2C62-E249
Directory of C:\
01/23/2009 11:40 PM 0 AUTOEXEC.BAT
01/23/2009 11:35 PM 211 boot.ini
01/23/2009 11:40 PM 0 CONFIG.SYS
01/23/2009 11:44 PM <DIR> Documents and Settings
01/23/2009 11:40 PM 0 IO.SYS
01/23/2009 11:40 PM 0 MSDOS.SYS
08/04/2004 04:38 AM 47,564 NTDETECT.COM
08/04/2004 04:59 AM 250,032 ntldr
01/24/2009 12:02 AM 2,145,386,496 pagefile.sys
01/24/2009 12:08 AM <DIR> Program Files
01/23/2009 11:44 PM <DIR> System Volume Information
01/24/2009 12:07 AM <DIR> WINDOWS
8 File(s) 2,145,684,303 bytes
4 Dir(s) 48,155,041,792 bytes free

اينم محتويات رجيستري
كه با استفاده از اين فرمان
reg export hklm\software\microsoft\windows\currentversion\run ViewRun.txt
بدست اومد
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\software\microsoft\windows\curr entversion\run]
"IMJPMIG8.1"="\"C:\\WINDOWS\\IME\\imjp8_1\\IMJPMIG.EXE\" /Spoil /RemAdvDef /Migration32"
"PHIME2002ASync"="C:\\WINDOWS\\system32\\IME\\TINTLGNT\\TINTSETP.EXE /SYNC"
"PHIME2002A"="C:\\WINDOWS\\system32\\IME\\TINTLGNT\\TINTSETP.EXE /IMEName"
"NvCplDaemon"="RUNDLL32.EXE C:\\WINDOWS\\system32\\NvCpl.dll,NvStartup"
"nwiz"="nwiz.exe /install"
"NvMediaCenter"="RUNDLL32.EXE C:\\WINDOWS\\system32\\NvMcTray.dll,NvTaskbarInit"
"RTHDCPL"="RTHDCPL.EXE"
"SkyTel"="SkyTel.EXE"
"Alcmtr"="ALCMTR.EXE"
"AGRSMMSG"="AGRSMMSG.exe"

نه مثل اينكه هنوز پاك نشده البته اين فايل RECYCLER در درايو ها نيست اما هنوز تو درايو c مشكل دارم اخه بعد از گذشت چند لحظه دوباره همه فايل هاي مخفي ميشن و مجبورم دوباره show to all كنم...

نیازی نبود 15 تا پست پشت سر هم بدید !

به نظرم بهترین کار اینه با trend micro بیفتید به جون سیستم . Exe ها هم پاک نمیکنه .

نکته :

مال من smss نیست ! مال من دو تا explorer هست !
نمیدونم والا گیج شدم از دست این ویروس . دو تا اکسپلورر . میزان استفاده رم یکی که مال خود ویندوزه 23 مگابایت و اون یکی 2 مگ که ویروسه ... !



اگه به نظر شما با اين كار به راحتي از شر اين ويروس خلاص ميشم خوب يه لينك بدين تا زودتر دست به كار بشم....

بابا يكي يه راه حل پيشنهاد بده چه كارش كنم؟چرا پاك نميشه اين ويروس لعنتي؟فايلrecycler تو درايو ها ديگه نيست اما نميدونم باز چه طوري همون اش و همون كاسه قبل ميشه....

بابا يكي يه راه حل پيشنهاد بده چه كارش كنم؟چرا پاك نميشه اين ويروس لعنتي؟فايلrecycler تو درايو ها ديگه نيست اما نميدونم باز چه طوري همون اش و همون كاسه قبل ميشه....

1-اول یک آنتی ویروس خوب نصب کن که بتونه ویروس رو شناساایی و پاک کنه.من کسپر اسکای اینترنت سکوریتی KIS رو پیشنهاد میکنم
2-بعد توسط این برنامه task manager رو فعال کن.حجمش 5 کیلو بایته

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید
3-اگه با مشکل autorun.inf مواجه هستی و ویرویس کش فایل ویروسی که توی autorun.inf مشخص شده تا اجرا بشه رو پاک کرده و نمیتونی با دابل کلیک بری تو دراویها بهتره یک autorun.inf خالی بسازی و توی همه درایوهات کپی کنی و بعد سیستم رو ریستارت کنی

این هم برنامه مفید و کم حجمی هست که میتونه 3 ابزار اصلی ویندوز (task manager -msconfig و regedit ) رو در هر شرایطی اجرا کنه:

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

خيلي ممنون بابت راهنماييتون....اما متاسفانه چند نرم افزار مثل nod32 رو امتحان كردم پاك نكرده....اگه لطف كنيد و يه لينك از كاسپراسكاي بدين ممنون ميشم.....!

ببین عزیزم . کاسپر اسکای - نورتون - نود 32 نمیتونند این ویروسو بشناسند .

فقط دو نوع هست :

Mcafee که میشناسه . اما هر فایل exe که هست پاک میکنه !!

Trend Micro و پلاگ این Trend Micro Office Scan که ویروسو به خوبی شناسایی میکنند و پاک میکنند و فایل exe رو به هیچ عنوان از بین نمی برن .

مال من دیشب حدودا 890 تا فایل ویروسی پیدا کرد . الانم داره باز پیدا میکنه . لا مصب به هر چی exe سیستم هست میچسبه !

ای ول به داش hojjat007.
حجت جان فقط حواست باشه که OfficeScan همیشه پروسز ویروس رو نمیتونه ببنده!!!
بعضی اوقات شما باید خودت با روش های ابتکاری پروسز ویروست رو ببندی.
موفق و پیروز باشید.

خيلي ممنون بابت راهنماييتون....اما متاسفانه چند نرم افزار مثل nod32 رو امتحان كردم پاك نكرده....اگه لطف كنيد و يه لينك از كاسپراسكاي بدين ممنون ميشم.....!
این ویروس کش ویروسی که گفتی رامی شناسه وازبین میبره

[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]

ممنون از همگی ویروس پاک شد . سیستم فایل ویروسی نداره . Task Manager به زور باز کردم . اما هنوز regedit بستست و من زیاد نیازی بهش ندارم که باز بشه . بیشتر کارم با تسک مننجر بود .

نکته جالب :

الان رفتم دیدم 40 تا پروسس هستش ! قبلا 25 تا بیشتر نبود . جریان چیه ؟ این Trend Micro مگه چقدر پروسس میاره ؟ :D

راه حل نهایی چی شد بالاخره؟

ممنون از همگی ویروس پاک شد . سیستم فایل ویروسی نداره . Task manager به زور باز کردم . اما هنوز regedit بستست و من زیاد نیازی بهش ندارم که باز بشه . بیشتر کارم با تسک مننجر بود .

نکته جالب :

الان رفتم دیدم 40 تا پروسس هستش ! قبلا 25 تا بیشتر نبود . جریان چیه ؟ این trend micro مگه چقدر پروسس میاره ؟ :d
خدا را شكر كه ماله شما درست شده.....!
ميشه لينك انتي ويروستون رو برام بزارين؟


این ویروس کش ویروسی که گفتی رامی شناسه وازبین میبره
از شما هم ممنونم ميرم دانلودش كنم ببينم چي مشه....!

اونا رو دانلود نکن . فقط برو سراغ Trend Micro . لینکش توی همین انجمن هست .

ممنون دوست عزيز بابت راهنمايي كدوم نسخه از همه بهتره؟كه همون رو دانلود كنم البته بهتره بگم شما از كدوم نسخه استفاده كردي؟

همیشه آخرین نسخه بهترینه .

خب به سلامتی ما پاک شدیم !

Regedit , Task Manager . Safe Mode هم باز هستش !

انشالله کسی این ویروسو نگیره ! گرفتم بیاد پیش خودم :دی

دارم دانلود ميكنم ....با اين سرعت.......واقعا پير ميشي بخواي يه چيزي دانلود كني....

خوب بعد از يه شب بيدار خوابي بالاخره دانلودش كردم.....:31:تا الان كه حدودا 514 تا پيدا كرده...:46:
راستي من نسخه اينترنت سكوريتي رو دانلود كردم اهمون 32 بيتيه اين خوبه؟(پست شماره 23)



برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

حجت جان دوست عزيز شما كدوم ورژن رو دانلود كردي اين كه من دانلود كردم ويروس رو نشناخت....لينكش رو برام بزار...

سلام خدمت دوستان گلم در پی سی ورلد
دوستان قبل ازهرچی تشکرمیکنم ازاینکه به هم دیگه کمک میکنیدواقعادمتون گرم وایولا به مرام ومعرفتتون
دوستان من کل این تاپیک رو خوندم صفحه به صفحه ولی متاسفانه مشکل من همچنان باقیست اما مشکل:
دوستان من وقتی ویندوز رو عوض میکنم هیچگونه مشکلی ندارم یعنی وقتی وارد هر درایوی که میشم هیچ مشکلی پیش نمیادوTask Manager و RegEdit سرجاشون هستن ولی وقتی بخوام بعضی ازنرم افزارهایی که رو هاردم دارم رو نصب بکنم به محض اینکه روشون دابل کلیک میکنم یعداز چندثانیه اولین اتفاقی که میفته غیرفعال شدن فایروال یاآنتی ویروس ویندوز ایکس پس هست (پیش ساعت نمایش داده میشه)بعدازاون وقتی بخوام Task Manager رو بیارم غیرفعال شده ومیگه که تسک منیجرتوسط ادمین غیرفعال شده درمورد RegEdit هم همینطوریه ومشکل بعدی اینه که وقتی فایلهای Hidden رو Show میکنم به محض اینکه به درایو دیگه ای میرم متاسفانه میبینم که خود به خودHidden شدن حالا من با Trend Micro Internet Security هم کل هارد رو اسکن کردم هیچگونه ویروسی پیدانشد البته اینو بگم که وقتی هارد رواسکن کردم که تازه ویندوز رو عوض کردم وهیچ برنامه ای رو ازروی هارد نصب نکردم تاویروس رو فعال نکرده باشم ومشکل بعدی اینه که وقتی میخوام از طریق Safe Mode ویندوز روبیارم بالا به محض کلیک کردن رو گزینه Safe Mode سیستم خود به خود ریست میشه البته این مشکل وقتی پیش میادکه ویروس فعال شده باشه ومشکل بعدی اینه که بعد از نصب Trend Micro و چندین بار ریست کردن کامپیوترآنتی ویروس Trend در حالت لود میمونه وموجب هنگ کردن سیستم میشه این مشکل هم وقتی پیش میادکه ویروس فعال شده باشه, دوستان اگه محبت کنن بطور کامل ونکته به نکته زحمت بکشن وبگن که چه جوری میشه ازشراین ویروس خلاص شد ممنون میشم ودعاشون میکنم ممنون از همه دوستان.

ویروسو شناخته . دلیل اینکه هنوز باز نشده اینه که باید از نرم افزار rrc (آخرین ورژن) برای باز کردن به صورت دائمی استفاده کنید . اگه ویروسا رو شناخته و پاک کرده پس دیگه فایلاتون ویروسی نیست .

سلام....
بالاخره ويورس پاك شد اما با فرمت كردن كليه درايو ها.....خوشبختانه فايلهايي كه برام مهم بود ويروس نداشت....
درضمن اين انتي ويروس نتونست ويروس سيستم من رو پاك كنه.....
enter عزيز بايد بگم منم دقيقا مشكل شما رو داشتم......اما از اخر مجبور به فرمت شدم.....خيلي عجيبه واقعا تا وقتي نرم افزار رو نصب نميكردي درست بود اما يهو بهم ميريخت و........انتي ويروس رو اپديت هم كردم اما فايده نداشت....واقعا كلافم كرده بود....

جناب حجت خان میشه محبت کنیدودقیقابگیدبه چه شکلی موفق به حذف این ویروس شدیدوخواهش دیگه اینکه دقیقابگید چیکارکردید واسم نرم افزارهایی که استفاده کردیدرو کامل بنویسید ودرصورت ممکن لینکشون رو هم بذارید ممنون از لطفتون.

من همون نرم افزار رو دانلود كردم اخرين ورژن trend اما......اصلا پيداش نكرد مگه اين كه فعال بود و پاكش ميكرد كه بعد از چند دقيقه دوباره فعال ميشد.....

من خیلی راحت .

شما آپدیتش نکردی نتونسته . شایدم ورژن قدیمی بوده .

Trend Micro Internet Sicurety 17.0 دانلود کردم . یه اپدیت کردم .

بعدش یه Full Scan . تمامی فایلای ویروسی پاکسازی شد و پاک نشدن !

بعدش با نرم افزار RRT ریجستری و تسک مننجر رو برگردوندم و تمام !

دققيقا همين نرم افزار رو دانلود كردم.....!!!اما پيداش نكرد كلافم كرد مجبور شدم كه كليه اطلاعات رو فرمت كنم...

سلام دوستان منم تونستم پاکش کنم ازطریق این تاپیک

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید
ولی الان یه مشکلی دارم اونم اینه که وقتی داشت اسکن میکرد وویروس روپیدامیکرد من همه روClean میزدم والان که میخوام نرم افزارهایی رو که روهارد دارم نصب بکنم اینError رو میده

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید
کسی میتونه مشکل رو حل کنه؟

لينك عكست برام ----- شده....نميتونم ببينمش اگه جاي ديگهاي اپ كني شايد بتونم كمكت كنم...!

سلام عمو آنتی شرمنده دیرشد بفرما اینم لینک عکس

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید
یه نگاه بنداز شایدتونستی کمکمون کنی.