سلام دوستان
سیستم من دچار ویروسی شده که وقتی رجیستری و یا Task Manager رو باز میکنم بلافاصله بسته میشه.
همچنین وقتی تیک دیدن فایلهای سیستمی رو در folder option میزنم وقتی بر میگردم دوباره به حالت اول برگشته.
مشکل من با تعویض ویندوز هم درست نشد.از آنتی ویروس کاسپر آپدیت شده هم استفاده میکنم.

ممنون از کمکتون.لطفا راهنمایی کنید اساتید.
واقعا خستم کرده.

دوست عزيز اكثر ويروسا كارشون همينه و اينكه شما ويندوز مي نصبين و ويروس از بين نميره اينكه ويروس و فايل اتورانش داخل درايواي ديگه هستن . شما اگه براتون مقدوره يكبار هم ويندوز عوض كنين و اين بار بدون اينكه درايوي رو باز كنين از يك منبع موثق مثه سيدي كسپر يا نود4 رو بنصبين و آپديت كنين و يكبار درايواي به غير از C رو اسكن كنين . (روش بي درد سر )

دوست عزیز تنها کاری که بهت می گم انجام بده ویندوز را عوض کن و بعد از این کار اصلا روی درایو هات کلیک نکن
MyComputer را باز کن بر روی Folder در قسمت بالا کلیک کن و در سمت چپ بر روی علامت + درایو مورد نظر کلیک کن و سپس وارد یک پوشه انتخابی برو و بر روی Up کلیک کن ( اصلا از Back استفاده نکن دوباره ویندوزت ویروسی می شوند ) و سپس وارد منوی Tools بروید و Folder Option کلیک کنید و در تب دوم تیک Show Hidden File and Folder را بزنید و دو تیک پایینی هم بزنید و سپس ویروس مورد را پاک کنید به همین راحتی

سلام

با اجازه سعید جان

1- برنامه
برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید رو دون و اجرا کن و logش رو اینجا بزار.

هنگامه دون توضیحاتش رو بخون.

2- process monitor رو دون و عکسش رو اینجا بزار.

موفق باشید.

دوست عزیز تنها کاری که بهت می گم انجام بده ویندوز را عوض کن و بعد از این کار اصلا روی درایو هات کلیک نکن
MyComputer را باز کن بر روی Folder در قسمت بالا کلیک کن و در سمت چپ بر روی علامت + درایو مورد نظر کلیک کن و سپس وارد یک پوشه انتخابی برو و بر روی Up کلیک کن ( اصلا از Back استفاده نکن دوباره ویندوزت ویروسی می شوند ) و سپس وارد منوی Tools بروید و Folder Option کلیک کنید و در تب دوم تیک Show Hidden File and Folder را بزنید و دو تیک پایینی هم بزنید و سپس ویروس مورد را پاک کنید به همین راحتی

دوست عزیز اسم ویروس چیه؟

**** Kill LSASS-SMSS1,2-KGH1,2 Ver1.2*********
Step 1 -> Kill Process
VIRUS service Not Found In Memory !!!
VIRUS kazme_gheyz Not Found In Memory !!!
VIRUS lsass Not Found In Memory !!!
VIRUS smss32 Not Found In Memory !!!
VIRUS smss64 Not Found In Memory !!!
;
----- Step 2 -> Delete Files From Windows Folder-----------------------------------
virus.exe Not Found!
Service.exe Not Found!
FSP32.exe Not Found!
kazme__gheyz.exe Not Found!
hideproc.sys Not Found!
LSASS.exe Not Found!
Documents and Settings\Administrator\LSASS.exe Not Found!
Documents and Settings\sorosh\LSASS.exe Not Found!
Documents and Settings\All Users\LSASS.exe Not Found!
Documents and Settings\sorosh\smss.exe Not Found!
Documents and Settings\All Users\smss.exe Not Found!

-- Step 3 -> Clean Storage From Virus And Autorun.inf-----
Delete File C:\Autorun.inf OK
C:\kazme__gheyz.exe Not Found!
C:\RECYCLER\autoplay.exe Not Found!
Delete File D:\Autorun.inf OK
D:\kazme__gheyz.exe Not Found!
D:\RECYCLER\autoplay.exe Not Found!
Delete File E:\Autorun.inf OK
E:\kazme__gheyz.exe Not Found!
E:\RECYCLER\autoplay.exe Not Found!
Delete File F:\Autorun.inf OK
F:\kazme__gheyz.exe Not Found!
F:\RECYCLER\autoplay.exe Not Found!
;
-------- Step 4 -> Remove Virus From Registry---------------
KGH Ver 2 Not Found In Registry ->\SYSTEM\CurrentControlSet\Services\WIN32CM
KGH Ver 1 Not Found In Registry ->\SYSTEM\CurrentControlSet\Services\kazme__gheyz
KGH Ver 1 Not Found In Registry ->\SYSTEM\CurrentControlSet\Services\C:\WINDOWS\syst em32\kazme__gheyz
KGH Ver 1 Not Found In Registry ->\SYSTEM\ControlSet001\Services\kazme__gheyz
KGH Ver 1 Not Found In Registry ->\SYSTEM\ControlSet001\Services\C:\WINDOWS\system32 \kazme__gheyz
\SOFTWARE\Microsoft\Windows\CurrentVersion\RunWith Key=SysUtils Not Found!
\SOFTWARE\Microsoft\Windows\CurrentVersion\RunWith Key=SysUtils Not Found!
\SOFTWARE\Microsoft\Windows\CurrentVersion\RunWith Key=smss Not Found!
\SOFTWARE\Microsoft\Windows\CurrentVersion\RunWith Key=smss Not Found!
;
--------Step 5 -> Full Repair Registry--------------------
Additional Key Deleted Success
Key Changed Success
This Segment Extracted From Imen AntiVirus Lab
Safe Mode Repair OK
This Segment Extracted From KasperSky AntiVirus Lab
Please Log Off This User

-- PID ---------- List All task ----Visible---------------------------------
1652 -> Kill LSASS-SMSS-KGH & Any Process Ver1.6 Writed By Mahdi Sharifi
1652 -> Kill LSASS-SMSS-KGH and any process ver 1.6 Create By Mahdi Sharifi
3352 -> Nod32 Username & Password - Kaspersky Keys - Windows Internet Explorer
3352 -> ???? ??? ???? ??? ????? ?? ?? ??? ???? - P30World Forums - Windows Internet Explorer
1908 -> Program Manager
-- PID ---------- List All task ----Hidden-------------------------------------
3352 -> AutoSuggest Drop-Down
3352 -> AutoSuggest Drop-Down
1908 -> Start Menu
1908 -> CiceroUIWndFrame
3352 -> SysFader
3352 -> SysFader
3352 -> SysFader
3352 -> SysFader
1908 -> SysFader
1660 -> HDMI Settings
1660 -> S/PDIF IN/OUT Settings
1660 -> Set Device Type
1660 -> Mixer ToolBox
1660 -> Connector Settings
1748 -> CiceroUIWndFrame
1748 -> TF_FloatingLangBar_WndTitle
3352 -> MCI command handling window
3352 -> DDE Server Window
1908 -> MCI command handling window
1640 -> MCI command handling window
1660 -> DTS Connect
1660 -> Dolby Home Threater
1660 -> Advance Setting
1660 -> TOOLBOX
1660 -> Load EQ Preset
1660 -> DeleteEQ
1660 -> Save EQ
1660 -> Realtek HD Audio Manager
1660 -> BackMain_Form
1660 -> Realtek HD Audio Manager
1840 -> ElbyTrayWindow
1908 -> Connections Tray
1908 -> Power Meter
1908 -> MS_WebcheckMonitor
1816 -> MediaCenter
368 -> NVSVCPMMWindowClass
3352 -> GDI+ Window
1908 -> SysFader
1652 -> M
1652 -> Default IME
1908 -> M
1908 -> Default IME
1908 -> M
1908 -> Default IME
3352 -> M
3352 -> Default IME
3352 -> M
3352 -> Default IME
3352 -> Default IME
1640 -> M
1640 -> Default IME
1908 -> Default IME
1640 -> Default IME
1660 -> Default IME
1840 -> Default IME
1908 -> Default IME
1816 -> Default IME
1640 -> Default IME
368 -> Default IME
1748 -> Default IME
3352 -> M
3352 -> Default IME
3352 -> M
3352 -> Default IME
3352 -> M
3352 -> Default IME
3352 -> M
3352 -> Default IME
-- PID -------------- List All Process ----------------------------
0 -> System Idle Process
4 -> System
944 -> \SystemRoot\System32\smss.exe
1052 -> csrss.exe
1076 -> \??\C:\WINDOWS\system32\winlogon.exe
1120 -> C:\WINDOWS\system32\services.exe
1132 -> C:\WINDOWS\system32\lsass.exe
1288 -> C:\WINDOWS\system32\svchost.exe
1392 -> svchost.exe
1436 -> C:\WINDOWS\System32\svchost.exe
1480 -> svchost.exe
1548 -> svchost.exe
1868 -> C:\WINDOWS\system32\spoolsv.exe
1908 -> C:\WINDOWS\Explorer.EXE
284 -> C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
368 -> C:\WINDOWS\system32\nvsvc32.exe
500 -> C:\WINDOWS\system\csrss.exe
1640 -> C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
1660 -> C:\WINDOWS\RTHDCPL.EXE
1816 -> C:\WINDOWS\system32\RUNDLL32.EXE
1840 -> C:\Program Files\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe
1748 -> C:\WINDOWS\system32\ctfmon.exe
1048 -> alg.exe
3352 -> C:\Program Files\Internet Explorer\IEXPLORE.EXE
1652 -> C:\Documents and Settings\sorosh\Desktop\msh_kill.exe
;
--- Startup ->-- HKLM\Software\..\Run --------------------
IMJPMIG8.1="C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
PHIME2002ASync=C:\WINDOWS\system32\IME\TINTLGNT\TI NTSETP.EXE /SYNC
PHIME2002A=C:\WINDOWS\system32\IME\TINTLGNT\TINTSE TP.EXE /IMEName
AVP="C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe"
RTHDCPL=RTHDCPL.EXE
Alcmtr=ALCMTR.EXE
NvCplDaemon=RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
nwiz=nwiz.exe /install
NvMediaCenter=RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
VirtualCloneDrive="C:\Program Files\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe" /s
;
--- Startup ->--HKCU\Software\..\Run --------------------
CTFMON.EXE=C:\WINDOWS\system32\ctfmon.exe

دوستان حالا باید چیکار کنم؟

ویندوزت رو عوض کردی ؟

این جور ویروس کار زیادی انجام نمی دهد فقط کار اینجور ویروس ها تکثیر و اذیت کردن کاربران هست کارهای معمولی کار زیادی انجام نمی دهد

نام ویروس را بگو تا برات راه حل پیدا کنم

بد بختی همینه دیگه

مشكلي در سيستم شما وجود نداره ولي همانطور كه ميبينيد از هر درايوي فايل هاي autorun.inf توسط اين برنامه به راحتي پاك شده ولي چون شما ويندوز عوض كردين فايلهاي اجرائي ويروس از درايو C حذف شده و تنها اثرات اين اتوران ها باقي مونده .البته اينم بگم احتمال اينكه دوباره ويروس ها فعال بشن هست چون يك كپي از ويروس ها داخل پوشه system volume information مخفي شده ولي چون فايل هاي اتوران پاك شدن ديگه نميتونن فعاليت كنن .
شما خواستي يكبار ويندوز عوض كن و طبق پست هاي قبلي عمل كن يا برنامه هاي زيرو دان كن تا مشكلت حل بشه :

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

از همه دوستان ممنون.یکبار دیگه ویندوز رو عوض کردم.
تقریبا مشکل حل شد.فایلهای ویروس رو بصورت دستی تونستم پاک کنم.فایلهای : smss.exe و cluster.exe که توی تمام درایو هام در فولدر Recycle قرار داشتند و فایل Autorun.inf که در خود درایو بود.

آیا بدون تعویض ویندوز میشه این ویروس را حذف کرد با توجه به اینکه اجازه نصب هیچ آنتی ویروسی رو نمی ده و مک آفی که دارم هم اونو نمیشناسه . فایل اصلی ویندوز کجاست حتی توی safe mode هم فعاله

آیا بدون تعویض ویندوز میشه این ویروس را حذف کرد با توجه به اینکه اجازه نصب هیچ آنتی ویروسی رو نمی ده و مک آفی که دارم هم اونو نمیشناسه . فایل اصلی ویندوز کجاست حتی توی safe mode هم فعاله

مشكلي كه شما دارين چند نوع ويروس ميتونه باعث اين كار بشه فعلا اين نرم افزار رو اجرا كن ببين آنتي نصب ميشه ؟


برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

salam man viros be name olhrwef.exe ke dar masir zir
C:\DOCUME~1\BEHROO~1\LOCALS~1\Temp
dar poshae temp gharar darad va haiden ast va show haiden ham az kar oftade antiviros pidash mikone vali delet namitone bekone
zemnan tab conection internet explorer ro ham hazf mikoni
lotfan komak konid mamnon

.................................ویرایش

salam man viros be name olhrwef.exe ke dar masir zir
C:\DOCUME~1\BEHROO~1\LOCALS~1\Temp
dar poshae temp gharar darad va haiden ast va show haiden ham az kar oftade antiviros pidash mikone vali delet namitone bekone
zemnan tab conection internet explorer ro ham hazf mikoni
lotfan komak konid mamnon

لطفا فارسي تايپ كنين. در ضمن با نرم افزار معرفي شده در پست زير ميتوني پاكش كني :

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

مشخصات ويروس :


برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

با نرم افزار زير هم مشكل فولدر آپشن رو حل كن . كليد Auto Remove... رو بزن و يكبار Log Off كن :


برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

براي رفع ساير مشكلات ، تك تك برنامه هاي پوشه زيرو اجرا كن :


برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

از Start up ، اين ويروس رو پاك كن و در رجيستري مسير زيرو دنبال كن و cdoosoft رو پاك كن :
Run > regedit
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run\”cdoosoft”

بعد ويروس كشي چك كن اگر فايل هاي زير در مسيرهاي زير بودن ، دستي پاكشون كن :

C:\Windows\olhrwef.exe
C:\Windows\System32\nmdfgds0.dll