با سلام همان طور كه مي دانيد desktop.iniيك شبه ويرووس است كه مي توان آن را پاك كرد اما هر بار كه سيستم restartمي شود چون خود را به kernel32
الحاق نموده دوباره ايجاد مي شود براي اين كار بايد kernel راحذف كرد و مجددا از سي دي ويندوز به روي سيستم ريخت من نه مي توانم kernel را حذف كنم نه desktop.ini
البته folder.httهم بود كه حذف شدراه حل شما چيست اين شبه ويروس به صورت مخفي است و خود را در تمام پوشه ها در فايل هاي موقت كپي مي كند (جهت اطلاع)
درسيستم من msconfigكه برنامه مهمي است كار نمي كند اين نرم افزار را دانلود كرده و نصب نمودم اما اثر نكرد حال چه كنم؟ برنامه اي را كه گقتيد امتحان كردم ولي اين خطا اومد:

the msconfig.exe file is linked to missing export MFC42U:6919

با سلام همان طور كه مي دانيد desktop.iniيك شبه ويرووس است كه مي توان آن را پاك كرد اما هر بار كه سيستم restartمي شود چون خود را به kernel32
الحاق نموده دوباره ايجاد مي شود براي اين كار بايد kernel راحذف كرد و مجددا از سي دي ويندوز به روي سيستم ريخت من نه مي توانم kernel را حذف كنم نه desktop.ini
البته folder.httهم بود كه حذف شدراه حل شما چيست
درسيستم من msconfigكه برنامه مهمي است كار نمي كند اين نرم افزار را دانلود كرده و نصب نمودم اما اثر نكرد حال چه كنم؟
جدا اين ويروسه؟
من هم يه چيزي شبيه اين همه جادارم جدا ويروسه؟
پس آنتي ويروس ها چكاره اند؟
منهم بدم نمياد بدونم اين چيه؟
متشكرم

با سلام همان طور كه مي دانيد desktop.iniيك شبه ويرووس است كه مي توان آن را پاك كرد اما هر بار كه سيستم restartمي شود چون خود را به kernel32
الحاق نموده دوباره ايجاد مي شود براي اين كار بايد kernel راحذف كرد و مجددا از سي دي ويندوز به روي سيستم ريخت من نه مي توانم kernel را حذف كنم نه desktop.ini
البته folder.httهم بود كه حذف شدراه حل شما چيست
درسيستم من msconfigكه برنامه مهمي است كار نمي كند اين نرم افزار را دانلود كرده و نصب نمودم اما اثر نكرد حال چه كنم؟

:blink: :blink: :blink:

ويروس !!!؟؟؟
چي داري مي گي اين فايل اصلا ويروس نيست، فقط يكسري خصوصيات مثل محل آيكون فولدر، wallpaper براي اون فولدر و از اين قبيل چيزا رو نگه ميداره
شما تا حالا بازش كردي ببيني توش چيه اين حرفا رو ميزني

دوست عزيز كي گفته اينها ويروس هست!!!؟

dekstop.ini حاوي اطلاعات تنطيمات هر فولدر از قبيل حالت قرار گيري آيكونها ، ترتيب، شكلك استفاده شده براي فولدر و .... مي باشد. folder.htt هم حاوي template اي كه براي نمايش فولد ازش استفاده ميشه هست.

[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]
[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]
[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]


Now that we've gotten started, there's much more you can do. The folder's "Web View" is actually an HTML file itself - folder.htt stored in the folder which you're customizing. You'll also notice a new file - Desktop.ini. You'll need to know some HTML, but by customizing folder.htt, you can change your folder view. It's not recommended that you edit folder.htt with FrontPage Express, as you may modify some of the scripts on the page. On that subject, be sure to be very careful with editing folder.htt! Stay clear of the scripts unless you know what you're doing!

Desktop.ini lets you customize your folder even further. You'll probably be most interested in the PersistMoniker=file://folder.htt key of Desktop.ini. This lets you change the location of the HTML customization file; in fact, you can point the customization file of another folder!

The default folder settings are held in c:\Windows\Web\Folder.htt.You can edit this file to change the folder view of every folder, but be very careful and make a backup first!

بهتره اول يه فايل رو حداقل با notepad باز كنيد محتوياتش رو بخونيد...

ممنونم از جواب هاي كامل تون
پس نبايد كاري بكارش داشته باشيم

بابا هر چيزي رو پاك كني دوباره بياد كه ويروس نيست!!!!!!!!!!!!!!!!!!!!!!

درسيستم من msconfigكه برنامه مهمي است كار نمي كند اين نرم افزار را دانلود كرده و نصب نمودم اما اثر نكرد حال چه كنم؟


اينم يه امتحان كن

Description: Windows XP version of MSCONFIG ([ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ])

دوستان بهتره دو موضوع را قاطي نكنيد folder.httوdesktop.iniيك شبه ويروسن در ضمن اينو بدونيد كه فايل را باز كردم كه سيستم آلوده شده براي اين كه بفهميد ويروسه كافي است در موتر جست و جو بنويسيد "virus desktop.ini"يا به اين آدرس ها مراجعه كنيد :
فارسيه:[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ] تازه مال همين جاست.(اگر اينو خونديدمن آنتي ويروسم تشخيص نميده ولي در رجستري كليدها رو پاك كردم اما...)
وديگري كه انگليسي ست :
[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]
مراجعه كنيد در مجله كامپيوتر جوان شماره 40 مقاله اي در همين رابطه هست پس بهتره زود قضاوت نكنيد.

ميشه از اونها استفاده منفي كرد ولي در نسخه هاي جديد ويندوز اين امكان ديگه چندان باز نيست مثله گذشته.

بهرحال اون فايلهايي كه شما مد نظرتون هست ويروس نيستند عزيزم.

W32.Wullik.B@mm
تاريخ كشف: 16 آبان 1382
تاريخ آخرين بازبيني: 17 آبان 1382
تاريخ ارائه در irCERT: 20 آبان 1382
بررسي اجمالي
مشخصات
گونه‏ها:
Bloodhound.W32.VBWORM, W32/Wukill.worm [McAfee] , W32.Wullik@mm
نوع: كرم اينترنتي
نحوه انتشار: ارسال نامه¬هاي الكترونيكي به آدرسهاي پيدا شده در ليست تماسهاي برنامه Microsoft Outlook و در شرايطي شاخه¬هاي اشتراكي شبكه و نيز ديسكهاي نرم
سيستمهاي آسيب¬پذير:
Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows XP
برآورد تهديد
امكان حذف: متوسط
استراتژي تخريب: اجراي برنامه كرم با هر بار شروع Microsoft Windows
آسيب: كند شدن سيستم و ارسال نامه¬هاي الكترونيكي ناخواسته
توضيح كوتاه
W32.Wullik.B@mm يك كرم اينترنتي است كه خودش را به همه تماسها در Outlook address book ارسال مي كند. اين كرم چندين نسخه از خودش را در مسيرهاي تصادفي ايجاد مي¬كند و زمانيكه Microsoft Windows Explorer اجرا مي¬شود خود را به محلي جديد انتقال مي¬دهد. اين كرم مي تواند در ديسكهاي نرم و شاخه¬هاي به اشتراك گذاشته شده شبكه نيز انتشار يابد. W32.Wullik.B@mm بوسيله Visual Basic نوشته شده است.

جزئيات فني
وقتيكه W32.Wullik.B@mm اجرا مي شود، كارهاي زير را انجام مي¬دهد:
1. يك نسخه از خودش را در مسيرهاي زير كپي مي¬كند:
• %Windir%\Mstray.exe
• %Windir%\MShelp.exe
توجه: %Windir% يك متغير است. كرم شاخه محل نصب Microsoft Windows را پيدا كرده (در حالت پيش¬تنظيم اين شاخه C:\Windows يا C:\Winnt مي¬باشد) و سپس يك نسخه از خود را در آن قرار مي¬دهد.
توجه: اين كرم با استفاده از نماد زير خودش را به عنوان يك شاخه (به جاي يك فايل اجرايي) نشان مي¬دهد:

2. به پنجره¬هاي فعال نظارت مي¬كند. وقتيكه يك پنجره فعال مي¬شود ممكن است نسخه جديدي از خودش را بسته به "عنوان" (محتواي نوار عنوان) پنجره فعال¬شده در يك محل تصادفي ايجاد كند.
a. اگر نوار عنوان با مسير جاري اين كرم مطابقت كند:
نسخه جديدي از خودش را در يك محل تصادفي ايجاد مي¬كند، آنرا اجرا كرده و سپس نسخه جديد كرم نسخه قبلي آنرا پاك مي¬كند.
به عنوان مثال اگر كرم به عنوان C:\Windows\Mstray.exe در حال اجرا باشد و شما با استفاده از Windows Explorer مسير C:\Windows را باز كنيد، نوار عنوان C:\Windows"" را نمايش خواهد داد. در اينصورت كرم يك نسخه از خودش را در C:\Windows\Temp\xyz.exe كپي مي¬كند و Xyz.exe نيز بعد از اجرا شدن، نسخه قديمي كرم، يعني Mstray.exe را پاك مي¬نمايد.
b. اگر نوار عنوان مسير ديگري باشد:
كرم خودش را در يك فايل كه نامش با آن مسير مطابقت دارد كپي مي¬كند. فايل جديد يك فايل مخفي خواهد بود.
براي مثال اگر شما با استفاده از Windows Explorer مسير C:\Windows\Mydir را باز كنيد، كرم خودش را به عنوان C:\Windows\Mydir\Mydir.exe كپي مي¬كند.
توجه: اين عملكرد مي¬تواند براي انتشار كرم روي اشتراكات شبكه¬اي استفاده شود.
c. اگر نوار عنوان هيچيك از ايندو نباشد:
ممكن است فايلهايي از اين دست ايجاد كند:
• ***WINFILE.EXE: يك كپي ديگر از كرم
• ***comment.htt: يك فايل در قالب hypertext كه براي بهره¬برداري از خطاي JS از آن استفاده مي¬شود. از اين فايل براي به اجرا در آوردن winfile.exe روي سيستمهايي كه نسبت به آن آسيب¬پذير هستند استفاده مي¬گردد.
• ***desktop.iniدر اين سه فايل منظور از "***"ها، سه حرف اول نوار عنوان است.

3. مقادير
"RavTimeXP" = <the current filename used by the worm>
"RavTimXP" = <the last filename used by the worm>
را به كليد ثبت
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Run
اضافه مي¬كند.
توضيح: با انجام اينكار هربار كه Microsoft Windows آغاز شود كرم هم به اجرا در مي¬آيد.

4. متغير "RavTimXP" را به كليد ثبت
KEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curre ntVersion\Setup
اضافه مي¬كند.
توضيح: اين كار براي ذخيره اطلاعات پيكربندي داخلي كرم است.

5. مقدار "fullpath" = 0x1 را در كليد ثبت
KEY_CURRENT_USER\Software\Microsoft\Windows\Curren tVersion\Explorer\CabinetState
تنظيم مي¬كند.
توضيح: اين تنظيم اطمينان مي¬دهد كه در نوار عنوان Windows Explorer مسير كامل ظاهر شود.

6. مقادير "HideFileExt" = 0x1 و "Hidden" = 0x0 را در كليد ثبت
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\Advanced
تنظيم مي¬كند.
توضيح: اين تنظيم از نمايش پسوند فايلها و فايلهاي پنهان در Explorer جلوگيري مي¬كند.

7. ممكن است خودش را به همه آدرسهاي تماس در دفترچه تلفن Microsoft Outlook ارسال كند.

جزئيات نامه الكترونيكي
موضوع (Subject)
MS?DOS???? (where the ?'s represent Chinese characters.)
ضميمه (Attachment)
MShelp.EXE
بدنه پيغام (Mail Body)
<Chinese text>
دوستان اميدوارم قانع كننده باشه اما هيچ كي راه پاك كردنشو بهم نگفت

هيچكي حرفي براي گفتن نداشت؟ از جناب ساسر بعيده جواب ندن

این ویروسه اخه عزیزم
این متن داخل فایل Desktop.ini

IconFile=%SystemDrive%\karbord\icon\icon.ico
IconIndex=0

فايل dektop.ini به هيچ عنوان ويروس نيست خوبه خودتون همه چيرو گفتين
اون فايل اجرايي تمام خرابكاري رو انجام مي ده و مسخره هست اگه ما بيام desktop.ini رو پاك كنيم.
راه حل هم اين صفحه م يتونيد پيدا كنيد
[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]@mm.html

خيلي خلاصه :


برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

راستی بعضیا می گن توسط winfile ایجاد می شه

سلام بنده چند روز پیش فلشی به لب تاپم زدم با نورتون اسکن کردم چیزی پیدا نکرد بعد دیدم 2 تا فایل به نام dekstop.ini روی دکستاپم ساخته با تحقیقاتی که کردم فهمیدم اینا تروجان هستن تو my music و my picther و my videos هم تشریف دارن. تو این چند روز آنتی ویروسایی مثل کاسپر و نود 32و آواست ونورتون و avgو هر چی بگی رو با تمام آپدیتاشون امتحان کردم اما پاکشون نکرد حس میکنم همینطوری دارن سرعت ویندوزم رو کاهش میدن..چون لب تاپم سونی هست عوض کردن ویندوز واسم خیلی سخته چون سی دی درایورو اینا ندارم تورو خدا کمکم کنین بگین چه جوری از شرشون خلاص بشممممممممممممممم...ویندوز� �� � 7 هستت.......

سلام

دوست عزیز بالا آوردن تاپیکهای قدیمی (6 سال پیش ... )خلاف مقررات انجمن هست
لطفاً برای سوال خودتون تاپیک جدید با عنوان مناسب ایجاد کنید.

ممنون