آنالـیز و پاکسازی سیستم های آلوده(ابتدا پست اول را ببینید و فایل گزارش را آماده کنید)

نقل قول:

---

نوشته شده توسط godfather_mk [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

تمام راههایی رو گه گفتید انجام دادم ولی متاسفانه نتونستم فایلی که گفته بودین (هاست) رو ویرایش و ذخیره کنم. با این حساب میخوام بدونم اگه بیخیال ویرایش فایل مورد نظر بشم، برای سیستمم مشکلی امنیتی خاصی پیش نمیاد؟ اصلا این فایلی که گفتین ویرایشش کنم چیکار میکنه؟

---

ببین همین الان هم که این فایل رو حتی به اون روشها که گفتم ، نتونستی ویرایش کنی ممکنه یه ویروسی چیزی داشته باشی.
اگه اون فایل همونطوری باقی بمونه ، با اون کدهای آخرش مطمئنا یه جایی اختلال ایجاد میکنه.

نقل قول:

---

نوشته شده توسط A m ! n [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

سلام.

لوگتون بررسی شد.

از لحاظ ویروس یا تروجان مشکلی پیدا نکردم. جز آسیبهایی که فایلهای سیستمی و سرویس های مربوط به شبکه پیدا کرده اند.


مراحل حل مشکل:

ابتدا کسپرسکی که ورژن 2011 هست رو پاک کنید از روی سیستم.
برنامه های مربوط به اسپای ور و یا تروجان مثل Trojan Killer هرچی دارین پاک کنید.
به Uninstall programs برین و تولبارهای مربوط به Search مثلا Blekko رو پاک کنید.
برنامه ی Anti-phishing Domain Advisor که مربوط به پاندا هست رو پاک کنید.
( دو برنامه ی اخیر به همراه یکی از برنامه های جدید نصب شدن ، فکر کنم برنامه هاتون آپ2دیت باشن )



برنامه رو مجددا اجرا کن خطوط پایین رو یک به یک دقیقا تیک بزن و دکمه ی Fix checked

کد:

---

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =  http://blekko.com/ws/?source=c3348dd4&toolbarid=blekkotb_031&u=509C57C94E48227D1552A4502989D6F9&tbp=homepage
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~2\MICROS~1\Office14\GROOVEEX.DLL
O2 - BHO: blekko search bar - {8769adce-dba5-48e9-afb5-67b12cdf2e61} - C:\Program Files (x86)\blekkotb_031\blekkotb_019X.dll
O3 - Toolbar: blekko search bar - {8769adce-dba5-48e9-afb5-67b12cdf2e61} - C:\Program Files (x86)\blekkotb_031\blekkotb_019X.dll
O4 - HKLM\..\Run: [IAStorIcon] C:\Program Files (x86)\Intel\Intel(R)  Rapid Storage Technology\IAStorIconLaunch.exe "C:\Program Files  (x86)\Intel\Intel(R) Rapid Storage Technology\IAStorIcon.exe" 60
O4 - HKLM\..\Run: [BCSSync] "C:\Program Files (x86)\Microsoft Office\Office14\BCSSync.exe" /DelayServices
O4 - HKLM\..\Run: [Anti-phishing Domain Advisor] "C:\ProgramData\Anti-phishing Domain Advisor\visicom_antiphishing.exe"
O4 - HKCU\..\Run: [GridinSoft Trojan Killer] "C:\Program Files (x86)\GridinSoft Trojan Killer\trojankiller.exe" 0
O4 - HKCU\..\Run: [RESTART_STICKY_NOTES] C:\Windows\System32\StikyNot.exe
O4 - Global Startup: Bluetooth.lnk = ?
O20 - AppInit_DLLs: C:\PROGRA~2\KASPER~1\KASPER~1\mzvkbd3.dll
O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)
O23 - Service: AMD External Events Utility - Unknown owner - C:\Windows\system32\atiesrxx.exe (file missing)
O23 - Service: @%SystemRoot%\system32\efssvc.dll,-100 (EFS) - Unknown owner - C:\Windows\System32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\fxsresm.dll,-118 (Fax) - Unknown owner - C:\Windows\system32\fxssvc.exe (file missing)
O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)
O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) -  Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage)  - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) -  Unknown owner - C:\Windows\system32\locator.exe (file missing)
O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) -  Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)
O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)
O23 - Service: @%SystemRoot%\system32\sppsvc.exe,-101 (sppsvc) - Unknown owner - C:\Windows\system32\sppsvc.exe (file missing)
O23 - Service: SwitchBoard - Adobe Systems Incorporated - C:\Program Files (x86)\Common Files\Adobe\SwitchBoard\SwitchBoard.exe
O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) -  Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vaultsvc.dll,-1003 (VaultSvc) -  Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)
O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)
O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) -  Unknown owner - C:\Windows\system32\wbengine.exe (file missing)
O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) -  Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)
O23 - Service: @%PROGRAMFILES%\Windows Media Player\wmpnetwk.exe,-101  (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media  Player\wmpnetwk.exe (file missing)

---

سیستم رو ریستارت کن.

به منوی استارت برین و به Accessories برین و روی Command prompt راست کلیک و گزینه ی run as admin رو بزنید.

داخل کنسول خط فرمان این رو دقیقا با حفظ فاصله بنویسید یا اینکه کپی پیست کنید اونجا که اشتباه نشه :

SFC /SCANNOW

میزارین تا اسکن تموم بشه کامل.

سپس ریستارت.


آنتی ویروس Norton internet secuirity 2012 رو نصب کنید.
برنامه ی MBAM رو نصب کنید.
هردورو آپدیت کنید.

---

سلام. همه ی کارهایی که گفتین دقیقا انجام دادم. با این حال به محض اینکه فیلتر شکنمو باز میکنم و به سرور وصل میشه لپتاپ فریز میشه در ضمن همه ی مواردی که گفتین رو تو hijackThis تیک زدم و fix checked رو زدم اما هنوزم وقتی اسکن میکنم بیشتر اون گزینه ها هستن. اینم لوگ جدید : [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
دستوری که گفتین رو در cmd زدم بعد از اسکن کامل نوشت که چیزی پیدا نکرده.
فایل های سیستمی و سرویس های مربوط به شبکه به چه دلایلی ممکنه آسیب ببینن؟ میخوام کاری نکنم که باز این اتفاق بیفته.
میشه بهم بگین چه جوری میتونم تحلیل این لوگ ها رو یاد بگیرم؟ ترم 5 نرم افزار هستمو خیلی دوست دارم این جور مطالبو بگیرم.
از توضیحات کاملتون و اینکه وقتتونو بهم دادین و کمک بزرگتونم خیلی ممنونم

وای دارم دیوانه میشم ! الان pc خواهرم هم همین مشکلو پیدا کرده یعنی اگه سیستم به اینترنت وصل باشه با sleep شدن هنگ میکنه! :24:
سیستم خودمم بهتر شده ولی اگه فیلمی چیزی ببینم با media player classic بعد از sleep شدن هنگ میکنه . یا اگه فیلتر شکن باز کنم. تو بقیه موارد مشکلی نداره. مطمئنید ویروس ندارم؟

نقل قول:

---

نوشته شده توسط shafagh1991 [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

سلام. همه ی کارهایی که گفتین دقیقا انجام دادم. با این حال به محض اینکه فیلتر شکنمو باز میکنم و به سرور وصل میشه لپتاپ فریز میشه در ضمن همه ی مواردی که گفتین رو تو hijackThis تیک زدم و fix checked رو زدم اما هنوزم وقتی اسکن میکنم بیشتر اون گزینه ها هستن. اینم لوگ جدید : [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
دستوری که گفتین رو در cmd زدم بعد از اسکن کامل نوشت که چیزی پیدا نکرده.
فایل های سیستمی و سرویس های مربوط به شبکه به چه دلایلی ممکنه آسیب ببینن؟ میخوام کاری نکنم که باز این اتفاق بیفته.
میشه بهم بگین چه جوری میتونم تحلیل این لوگ ها رو یاد بگیرم؟ ترم 5 نرم افزار هستمو خیلی دوست دارم این جور مطالبو بگیرم.
از توضیحات کاملتون و اینکه وقتتونو بهم دادین و کمک بزرگتونم خیلی ممنونم

---

سلام.

این لوگی که دادین که نتونستم دانلود کنم ، شاید لینک اکسپایر شده ، ولی در لوگ قبلی خبری از malware نبود.
فایلهای سیستمی وقتی ویروس داخلشون تزریق بشه آلوده میشن، و دسته ای از آنتی ویروس ها به جای اینکه
ویروس رو از داخل فایل سیستمی بیارن بیرون ، کلا فایل رو از بین میبرن که باعث اختلال یا گاها بالا نیومدن ویندوز
میشه.

برای تحلیل لوگها بهتره اول با مکانیزم کار ملویر ها آشنا بشین ، اما آنالیز این لوگها رو میتونین با سایت زیر شروع
کنید
[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

کافیه لوگ رو داخل لینک بالا وارد کنید ، خودش پس از اندکی زمان آنالیز رو انجام میده، و اینجاست که شما باید
تشخیص بدین فعلان نرم افزار چیکارس و چرا داره موقع استارت آپ لود میشه.

نقل قول:

---

نوشته شده توسط shafagh1991 [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

وای دارم دیوانه میشم ! الان pc خواهرم هم همین مشکلو پیدا کرده یعنی اگه سیستم به اینترنت وصل باشه با sleep شدن هنگ میکنه! :24:
سیستم خودمم بهتر شده ولی اگه فیلمی چیزی ببینم با media player classic بعد از sleep شدن هنگ میکنه . یا اگه فیلتر شکن باز کنم. تو بقیه موارد مشکلی نداره. مطمئنید ویروس ندارم؟

---

برای هنگ ها بهتره به بخش نرم افزار ویندوز 7 مراجعه کنید و تست BSOD رو انجام بدین در تاپیکی به نام :

بررسی تخصصی پیغام های صفحه ی آبی

salam aval az hame bebakhshid farsi nemizanam moteasefane dastresi be font farsi nadaram
systemam virus dare khastam kasper berizam ta unjaii ke mikhad activate kone ghat mishe yani virus nemizare
dar zemn linke hijackthis dar poste aval nemiad ye linke dge bedin ta log ro ham behetun bedam
age ke emkanesh hast komakam konin ke emshab moshkelo halesh konam chon be system shadidan ehtiaj daram

نقل قول:

---

نوشته شده توسط mahyar1333 [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

salam aval az hame bebakhshid farsi nemizanam moteasefane dastresi be font farsi nadaram
systemam virus dare khastam kasper berizam ta unjaii ke mikhad activate kone ghat mishe yani virus nemizare
dar zemn linke hijackthis dar poste aval nemiad ye linke dge bedin ta log ro ham behetun bedam
age ke emkanesh hast komakam konin ke emshab moshkelo halesh konam chon be system shadidan ehtiaj daram

---

سلام.

ازین لینک استفاده کنید :

[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

inam log
[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
albate version hijackthis 2.0.2 bood
bazam bebakhshid farsi naneveshtam

نقل قول:

---

نوشته شده توسط mahyar1333 [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

inam log
[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
albate version hijackthis 2.0.2 bood
bazam bebakhshid farsi naneveshtam

---

سلام.

اول این برنامه رو دانلود کن:
[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
اسکن کن خودش پروسس های آلوده رو میبنده.

خطوط پایینو تیک و گزینه ی Fix checked

کد:

---

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =  http://start.funmoods.com/?f=1&a=ironpub&chnl=ironpub&cd=2XzuyEtN2Y1L1QzutDtDtBtCzzyDzytB0FtBtBtDzztB0E0FtN0D0Tzu0StBtAyEtN1L2XzutBtFtCtFtCtFtAtCtB&cr=326707963
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =  http://start.funmoods.com/?f=1&a=ironpub&chnl=ironpub&cd=2XzuyEtN2Y1L1QzutDtDtBtCzzyDzytB0FtBtBtDzztB0E0FtN0D0Tzu0StBtAyEtN1L2XzutBtFtCtFtCtFtAtCtB&cr=326707963
O2 - BHO: Funmoods Helper Object - {75EBB0AA-4214-4CB4-90EC-E3E07ECD04F7} - C:\PROGRA~1\Funmoods\1.5.23.22\bh\escort.dll
O3 - Toolbar: Funmoods Toolbar - {A4C272EC-ED9E-4ACE-A6F2-9558C7F29EF3} - C:\PROGRA~1\Funmoods\1.5.23.22\escorTlbr.dll
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [6100B8] C:\WINDOWS\system32\43D2F1\6100B8.EXE
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User SYSTEM)
O4 - Startup: ������.lnk = C:\WINDOWS\system32\43D2F1\6100B8.EXE
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O13 - Gopher Prefix

---

حالا به حالت Safe mode بالا بیا
این فایل پایین رو زیپ کن و آپلود کن ببینیم چی هست:
C:\WINDOWS\system32\43D2F1\6100B8.EXE

سپس
برو به این آدرس این فولدر 43D2F1 رو کامل پاکش کن :
C:\WINDOWS\system32\43D2F1

بعد به این آدرس برو :
C:\PROGRA~1\Funmoods
فولدر Funmoods رو پاک کن

به حالت عادی بالا بیا :

حالا [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ] رو دانلود و باهاش اسکن کلی بزن

ریستارت.

ta fix checked raftam vali system nemizare safe mode biam bala hey restart mishe dar zemn nemizare varede driver ham besham va yek dafe ham vasat kar restart shod

ببینین بهتره شما مرحله ی اسکن با MBAM رو اول انجام بدین اگه برات امکان داره.

اگه برات امکان نداشت ، دیسک بوت کسپرسکی رو از پایین دانلود کن و روی سی دی رایت بزن و از طریق اون بوت کن.

[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

بعد هم اسکن رو انجام بده.

اون فایل مذکور که در پست قبل گفتم رو هم برام آپلود کن به صورت زیپ شده.