آنالـیز و پاکسازی سیستم های آلوده(ابتدا پست اول را ببینید و فایل گزارش را آماده کنید)

نقل قول:

---

نوشته شده توسط A m ! n [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

خب ، این فایل که پاک شده ، نمیدونم کی اینکار رو کرده.
kedxalekcyfy.exe

درکنار استفاده ازون برنامه :

لطفا به این آدرس برو :

C:\WINDOWS\system32\drivers\etc
و فایل hosts رو هم برامون آپلود کن. مرسی.

ممکنه این فایل regedit هم آلوده شده باشه.

---

[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
پسوررد 0000
فایل kedxalekcyfy.exe هنوز رو سیستم هست...
regedit رو چی کار کنم؟

سلام دوستان

تو این [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ] مشکلم رو مطرح کردم و به پیشنهاد *Batman* عزیز لاگ رو اینجا میزارم

لینک دانلود : [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
نام فایل: hijackthis.log

نقل قول:

---

نوشته شده توسط hamid_diablo [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

سلام دوستان

تو این [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ] مشکلم رو مطرح کردم و به پیشنهاد *Batman* عزیز لاگ رو اینجا میزارم

لینک دانلود : [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
نام فایل: hijackthis.log

---

سلام بر شما.
خوب ویندوز شما Service Pack که نداره،آنتی ویروس هم نداره و از IE 8 استفاده میکنید.
پس شد :
1- [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
2- [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
3- [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ] + [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

اول از همه Ask Toolbar رو Uninstall کنید.
بعد دوباره اسکن کنید و گزینه های زیر (در صورت وجود) را تیک زده و Fix Checked رو بزنید.

  محتوای مخفی: گزین ها 

R3 - URLSearchHook: UrlSearchHook Class - {00000000-6E41-4FD3-8538-502F5495E5FC} - C:\Program Files\Ask.com\GenericAskToolbar.dll
O2 - BHO: Ask Toolbar BHO - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll
O3 - Toolbar: KMPlayer Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll
O4 - HKLM\..\Run: [BCSSync] "C:\Program Files\Microsoft Office\Office14\BCSSync.exe" /DelayServices
O4 - HKLM\..\Run: [ApnUpdater] "C:\Program Files\Ask.com\Updater\Updater.exe"
O23 - Service: Google Update Service (gupdate) (gupdate) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Google Update Service (gupdatem) (gupdatem) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: PandoraService (PanService) - Pandora.TV - C:\Program Files\PANDORA.TV\PanService\PandoraService.exe

نقل قول:

---

نوشته شده توسط *IN* [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
پسوررد 0000
فایل kedxalekcyfy.exe هنوز رو سیستم هست...
regedit رو چی کار کنم؟

---

این فایل hosts اصلی روی سیستم شما نیست و دستکاری شده.

اول مخفی هارو باز کن ( Show hidden تیک بزن و Hide Protected Operating system files تیکش بردار )

دوباره برو به همون آدرس ببین چه فایلهایی اونجاس، فایل hosts اصولا هیچ پسوندی نداره.

اون فایل kedxalekcyfy.exe کجای سیستم دقیقا قرار گرفته ؟

+

بهترین راه برای پاکسازی اینه که هاردت رو باز کنی و ببندی روی یک سیستم سالم و از طریق اون سیستم ویروس هارو از بین ببری. چون درحال حاضر ویروس ها فعال هستند و کار رو برای شما خیلی سخت میکنن.

نقل قول:

---

نوشته شده توسط A m ! n [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

این فایل hosts اصلی روی سیستم شما نیست و دستکاری شده.

اول مخفی هارو باز کن ( Show hidden تیک بزن و Hide Protected Operating system files تیکش بردار )

دوباره برو به همون آدرس ببین چه فایلهایی اونجاس، فایل hosts اصولا هیچ پسوندی نداره.

اون فایل kedxalekcyfy.exe کجای سیستم دقیقا قرار گرفته ؟

+

بهترین راه برای پاکسازی اینه که هاردت رو باز کنی و ببندی روی یک سیستم سالم و از طریق اون سیستم ویروس هارو از بین ببری. چون درحال حاضر ویروس ها فعال هستند و کار رو برای شما خیلی سخت میکنن.

---

اون فایل تو این آدرسه:
C:\Users\Esrafil

با برنامه Emsisoft Emergency Kit اسکن کردم 8 مورد پیدا کرد و پاک کرد ولی هنوز اون فایل سره جاشه

فایله هوستس:
[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

نقل قول:

---

نوشته شده توسط *IN* [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

اون فایل تو این آدرسه:
C:\Users\Esrafil

با برنامه Emsisoft Emergency Kit اسکن کردم 8 مورد پیدا کرد و پاک کرد ولی هنوز اون فایل سره جاشه

فایله هوستس:
[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

---

حالا میفهمم که چرا هیچ برنامه ای نمیتونه حریف این بشه.

این تروجان رو کدیابی کردم.

یک تروجان حرفه ای هست که مادامی که شما به اینترنت وصل باشین قدرتش ماکزیمم هست.
چون درکنار خودش فایلهای موردنیاز دیگه ای رو هم دانلود میکنه.

در آدرس پایین کلی فایلهای کوکی میسازه و ازشون استفاده میکنه.

C:\Users\Esrafil\AppData\Roaming\Microsoft\Windows \IETldCache


به این نامها E3JIK9OI.txt و FTRE27S9.txt و index.dat و .... که بهتره کل این فولدر تخلیه بشه


و این آدرس
C:\Users\Esrafil\AppData\Roaming\Microsoft\Windows \IETldCache
کل فولدر تخلیه بشه

اینجا
C:\Windows\system32\CatRoot2\edb.chk
C:\Windows\system32\CatRoot2\edb.log
C:\Windows\system32\CatRoot2\{127D0A1D-4EF2-11D1-8608-00C04FC295EE}\catdb
C:\Windows\system32\CatRoot2\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\catdb
فایلها پاک بشن


C:\Users\Esrafil\AppData\Local\Microsoft\Windows\H istory\History.IE5\index.dat
C:\Users\Esrafil\AppData\Local\Microsoft\Windows\T emporary Internet Files\Content.IE5\index.dat
C:\Users\Esrafil\AppData\Local\Microsoft\Windows\T emporary Internet Files\Content.IE5\LJ5MKEI5\7atable_be[1].htm

C:\Users\Esrafil\kedxalekcyfy.exe

این کلیدهای رجیستری :

کد:

---


machine\software\microsoft\Tracing\kedxalekcyfy_RASAPI32\FileTracingMask = FFFF0000
machine\software\microsoft\Tracing\kedxalekcyfy_RASAPI32\ConsoleTracingMask = FFFF0000
machine\software\microsoft\Tracing\kedxalekcyfy_RASAPI32\MaxFileSize = 00100000
machine\software\microsoft\Tracing\kedxalekcyfy_RASAPI32\FileDirectory = 2500770069006E0064006900720025005C00740072006100630069006E0067000000
machine\software\microsoft\Tracing\kedxalekcyfy_RASMANCS\FileTracingMask = FFFF0000
machine\software\microsoft\Tracing\kedxalekcyfy_RASMANCS\ConsoleTracingMask = FFFF0000
machine\software\microsoft\Tracing\kedxalekcyfy_RASMANCS\MaxFileSize = 00100000
machine\software\microsoft\Tracing\kedxalekcyfy_RASMANCS\FileDirectory = 2500770069006E0064006900720025005C00740072006100630069006E0067000000
machine\software\microsoft\Windows\CurrentVersion\Explorer\BitBucket\NukeOnDelete = 00000001
machine\software\microsoft\Windows\CurrentVersion\Explorer\BitBucket\UseGlobalSettings = 00000001
user\current\software\Microsoft\Windows\CurrentVersion\AppManagement = 1C1C1C1D1D1D1D1D1E1E1E1E1E1F1F1F
user\current\software\Microsoft\Windows\CurrentVersion\kedxalekcyfyzap = AFAFAFAFB0B0B0B0B0B1B1B1B1B1B2B2
user\current\software\Microsoft\Windows\CurrentVersion\Explorer\BitBucket\Volume\{3fb6c3e4-07c0-11e2-81e1-806e6f6e6963}\NukeOnDelete = 00000001
user\current\software\Microsoft\Windows\CurrentVersion\Explorer\BitBucket\Volume\{3fb6c3e5-07c0-11e2-81e1-806e6f6e6963}\NukeOnDelete = 00000001
user\current\software\Microsoft\Windows\CurrentVersion\Explorer\BitBucket\Volume\{3fb6c3e6-07c0-11e2-81e1-806e6f6e6963}\NukeOnDelete = 00000001
user\current\software\Microsoft\Windows\CurrentVersion\Explorer\BitBucket\Volume\{3fb6c3e7-07c0-11e2-81e1-806e6f6e6963}\NukeOnDelete = 00000001
user\current\software\Microsoft\Windows\CurrentVersion\Explorer\BitBucket\Volume\{3fb6c3e8-07c0-11e2-81e1-806e6f6e6963}\NukeOnDelete = 00000001
user\current\software\Microsoft\Windows\CurrentVersion\Explorer\BitBucket\Volume\{ae8c9d7c-ca11-11e1-a325-806e6f6e6963}\NukeOnDelete = 00000001
user\current\software\Microsoft\Windows\CurrentVersion\Explorer\BitBucket\Volume\{b069cbcd-0714-11e2-b513-806e6f6e6963}\NukeOnDelete = 00000001
user\current\software\Microsoft\Windows\CurrentVersion\Explorer\BitBucket\Volume\{b069cbce-0714-11e2-b513-806e6f6e6963}\NukeOnDelete = 00000001
user\current\software\Microsoft\Windows\CurrentVersion\Explorer\BitBucket\Volume\{b069cbcf-0714-11e2-b513-806e6f6e6963}\NukeOnDelete = 00000001
user\current\software\Microsoft\Windows\CurrentVersion\Explorer\BitBucket\Volume\{b069cbd0-0714-11e2-b513-806e6f6e6963}\NukeOnDelete = 00000001
user\current\software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\SavedLegacySettings = 46000000110B00000900000014000000736F
user\current\software\Microsoft\Windows\CurrentVersion\run\kedxalekcyfy = C:\Users\Esrafil\kedxalekcyfy.exe

---

کد:

---

---

یعنی آنتی ویروس میخوام بتونه این رو پاکسازی کنه !!

الان با توجه به این اطلاعات جزئی که من دادم ، دو راه وجود داره.

- یه آدم حرفه ای با این اطلاعات بشیه دستی پاکسازی کنه.
- ویندوز عوض کنی و بعدش هم ویروس یابی

دوستان قبل از هر کاری یادشون باشه که system restore رو غیر فعال کنند

[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ] اخیرا کسی ای میل من رو حک کرده. و حالا هم مدتی هست که آنتی ویروس eset samrt security پیام هایی میده از آی پی هایی که بلاک میکنه وقتی من به اینترنت وصل هستم.سیستم عامل ویندور xpحدود یک ماه به این مشکل دچارم.

ظا هرا پست بالایی لینک درست ارسال نشد [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

نقل قول:

---

نوشته شده توسط A m ! n [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

حالا میفهمم که چرا هیچ برنامه ای نمیتونه حریف این بشه.

این تروجان رو کدیابی کردم.

یک تروجان حرفه ای هست که مادامی که شما به اینترنت وصل باشین قدرتش ماکزیمم هست.
چون درکنار خودش فایلهای موردنیاز دیگه ای رو هم دانلود میکنه.

---

ممنون
الان دیگه به نت وصل نمیشه...
قبلا با ------ فایر که وصل میشدم یه سری svchost و خود همین ویروس با همین اسم وصل میشد ولی الان دیگه هیچ کدوم نمیان...
پاکسازی دستی خیلی دنگو فنگ داره؟