برخی سی دی ها روی سیستم اجرا نمیشن و گاهی موس کند میشه و حتی یک بار متوقف شد.فلش مموری یکی از دوستام که بعدا فهمیدم اونم این مشکل رو داره باعث انتقال ویروس شده.
نتیجه اسکن dds:
Printable View
برخی سی دی ها روی سیستم اجرا نمیشن و گاهی موس کند میشه و حتی یک بار متوقف شد.فلش مموری یکی از دوستام که بعدا فهمیدم اونم این مشکل رو داره باعث انتقال ویروس شده.
نتیجه اسکن dds:
چه زمانی این اتفاق براتون افتاده ؟ حدودا.
اگه ویروس آتوران باشه چگونگی پیدا کردن اوران رو نوشتم فایل اصلی exe رو اینجا با پسورد آرشیو بذارید.
در ضمن این فایل هایی که بالا اسکن کردید در کجا بودند ؟
حدود سه روز پیش بود ولی امروز فهمیدم کامپیوتر دوستم دقیقا همین مشکل رو داره و فهمیدم کار ویروسه,من یه عکس توی پست دوم گذاشتم که هر چه تلاش کردم پستم در سایت درج نشد و الان دیدم سه تا پست درج شده بدون عکس,از این بابت معذرت میخوام.مسیر فایلها هم در user/appdata/roaming نام یکی از پوشه ها # هست!اون یکی dvdcss
بعد از اسکن در ویروس توتال از اونجایی که سوپر آنتی اسپایور رو داشتم نصبش کردم و یکی از دو فایل پوشه # رو حذف کرد بعنوان تروجان شناختش ولی مابقی فایلها هستن.همچنین در ویندوز سرچ کردم autorun.exe وجود نداشت
اتوران را خاموش کنید:
برای XP
Start>Run>gpedit.msc[Enter]>Computer Configuration>Administrative Templates>Windows Components>Autoplay Policies>Turn off Autoplay>Enabled[Select All drives][OK]>Restart
برای 7
start>run>gpedit.msc>ok>computer configuration>administrative templates>system
تو صفحه سمت راست turn off auto play رو كليك كنيد و اون رو disable كنيد.
سیستم رو ریست کنید.
===============
چطور ویروس autorun رو پیدا کنم ؟
برای کپی برداری از ویروس بهترین روش اینه که شما یک فلش مموری رو به ویندوز آلوده بزنید سپس فایل ویروس با پسوند اجرایی توی ریشه فلش کپی میشه و شما با نرم افزار winrar وارد فضای فلش میشید سپس ویروس مورد نظر رو پیدا کنید و روی آن کلیک راست کنید سپس add archive کنید و از گزینه brows مسیر ذخیره سازی رو مشخص و تایید کنید.
================
اسکن به شکل آپدیت با Malwarebytes Anti-Malware انجام بدید. لاگ اسکن رو اینجا بذارید.
در هنگام نصب گزینه تریال را انتخاب نکنید. کل هارد رو فول اسکن کنید.
Hitman pro , اجرا کنید به نت وصل باشید در هنگام اسکن.
از این پست برای راهنمای دانلود استفاده کنید
[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
====================
پست بعدیتون ، فایل اصلی ویروس پسورد گذاری شده + نتیجه اسکن MBAM و hitman وجود داشته باشه.
موفق باشید
با مالوربیت و هیتمن پرو اسکن کردم فقط مالوربیت یکی از فایلهای یه بازی رو ویروس شناخت نتیجه اسکن رو گذاشتم ولی هیتمن یه log داده با پسوند xml همونو باید بذارم؟
فقط کافیه مسیر و فایلی که هیتمن گزارش داده رو بگید.
این کارو هم انجام بدید و نتیجش رو بگید: فولدر آپشن رو باز کنید ، سربرگ view سپس تیک شوهیدن رو بزنید و تیک هاید پروتکت سیستم رو بردارید و تایید کنید ، سپس مای کامپیوتر رو ببندید و دوباره باز کنید ، به مسیر بالا برگردید و ببینید که تیک ها سر جاشون هست یا خیر ،
می خوام ببینم چقدر احتمال ویروس اتوران هست.
شما اصل ویروس رو نگذاشتید ، پیدا نشد ؟ اگر پیدا نکنید وقرار ندید چون هیچ اطلاعی الان ازش نداریم یا باید به سراغ کمبوفیکس بریم که مشکلات خودش رو داره و یا اسکنر های پرحجمی رو دانلود کنید و تست کنیم که شاید هم جواب بده.
پس سعی کنید اصل ویروس رو بگذارید ، اگر پیدا نکردید حداقل فقط اون فایل های مشکوک رو نمونه بالا گذشتید همه رو با winrar پسورد بذارید و اینجا بذارید.
موفق باشید
هیتمن هیچ فایلی پیدا نکرد اما حالا که گفتی شو هایدن رو چک کن یادم اومد دو سه روز پیش همینطوری شده بود راستش من همیشه تیک فایلهای مخفی رو بر می داشتم.هم تیک شوهیدن رو می زدم و هم سه تیک پایینیش رو بر می داشتم ولی یه روز دیدم که همین چیزی که گفتین اتفاق افتاد.چندتا فایل پیدا کردم یکیشون (pccsmcfd)قبلا یه دی وی دی مجموعه آنتی ویروس شرکت نوین پندار داشتم هروقت اونو روی سیستم اجرا می کردم همین فایل به همراه ویروسiexplore می اومد تو سیستم!
فایلهای مشکوک:
پسورد:12
[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
امان از این حافظه من:41:بعد از اولین اتفاق (باز شدن ناگهانی چند پنجره)که متوجه ورود یا اجرای بد افزاری شدم خواستم سیستم رو ریکاوری کنم که اون موقع سیستم ریستور غیر فعال شده بود و یک فایل که سابقه حضور چند باره در سیستم و در همه پوشه های $RECYCLE.BIN واقع در درایوهای هارد رو داشت پیدا کردم که بصورت دستی پاکشون کردم بعد دو روز سیستم ریستور به حالت اول برگشت.
یه فایل دیگه هم پیدا کردم مشکوک:
این مسیر رو حذف کنید:
این 2 فایلی که اینجا گذاشتید یکیش قابل اجرا نبود و یکی دیگه هیچ نظری نمیشه داد. فایل های سالمی که از سیستم ریستور برداشته میشه گاهی اوقات آلارم فالس نشون میدند.کد:c:\windows\system32\SET5B3A.tmp
در واقع الان هیچ نظر خاصی نمیشه داد.
اگه مشکل نت ندارید و میتونید دانلود کنید کسپرسکی removal tools رو از لینک زیر دانلود و اجرا کنید.
سیستم و فول اسکن کنید ، اگر مورد مشکوکی پیدا کرد خبر بدید ،کد:http://www.kaspersky.com/virus-removal-tools
سپس Eset آنلاین رو ( اگر الان آنتی ویروس نود32 داشتید لازم نیست ) از لینک زیر دانلود و اجرا کنید.
مواردی که پاک میکنه رو بگید:
انشاا حل شه.کد:http://www.eset.com/us/online-scanner/run
طبق لاگها به نظر نمي رسه سيستم شما ويروسي باشه مخصوصا اگه ويروس از نوع اتوران بود به راحتي قابل شناسايي بودنقل قول:
برخی سی دی ها روی سیستم اجرا نمیشن و گاهی موس کند میشه و حتی یک بار متوقف شد.فلش مموری یکی از دوستام که بعدا فهمیدم اونم این مشکل رو داره باعث انتقال ویروس شده.
كند شدن و توقف موس مي تونه دلايل ديگه اي داشته باشن
در مورد اجرا نشدن سي دي ها هم بايد بيشتر توضيح بديد چون فكر نمي كنم يه ويروس بخواد و بتونه همچين كاري بكنه
احتمالا مشكل سيستم شما نرم افزاري باشه
removal tools رو دانلود و اجرا کردم تعدادی از فایلها رو میگه پسورد دارن و قابل خواندن نیستن
فایلها:
8/10/2011 5:09:55 PM Packed: PE_Patch C:\Windows\System32\drivers\secdrv.sys
8/10/2011 5:09:53 PM Packed: PE_Patch C:\Windows\System32\drivers\nfrd960.sys
8/10/2011 5:09:51 PM Packed: PE_Patch C:\Windows\System32\drivers\iirsp.sys/PE_Patch
8/10/2011 5:09:51 PM Packed: PE_Patch C:\Windows\System32\drivers\iirsp.sys
8/10/2011 5:09:49 PM Packed: PE_Patch C:\Windows\System32\drivers\BrUsbSer.sys
8/10/2011 5:09:49 PM Packed: PE_Patch C:\Windows\System32\drivers\BrUsbMdm.sys
8/10/2011 5:10:24 PM Packed: PE_Patch C:\Program Files\TuneUp Utilities 2011\vclx120.bpl
8/10/2011 5:10:24 PM Packed: PE_Patch C:\Program Files\TuneUp Utilities 2011\vcl120.bpl
8/10/2011 5:10:24 PM Packed: PE_Patch C:\Program Files\TuneUp Utilities 2011\rtl120.bpl
8/10/2011 5:10:24 PM Packed: PE_Patch C:\Program Files\TuneUp Utilities 2011\ntrtl60.bpl
8/10/2011 5:10:23 PM Packed: PE_Patch C:\Program Files\TuneUp Utilities 2011\ehs_d6.bpl
8/10/2011 5:10:23 PM Packed: PE_Patch C:\Program Files\TuneUp Utilities 2011\dxBarD12.bpl
8/10/2011 5:10:23 PM Packed: PE_Patch C:\Program Files\TuneUp Utilities 2011\xmlrtl120.bpl
8/10/2011 5:10:23 PM Packed: PE_Patch C:\Program Files\TuneUp Utilities 2011\XMLComponents.bpl
8/10/2011 5:10:23 PM Packed: PE_Patch C:\Program Files\TuneUp Utilities 2011\VisControls.bpl
8/10/2011 5:10:23 PM Packed: PE_Patch C:\Program Files\TuneUp Utilities 2011\VirtualTreesR.bpl
8/10/2011 5:10:22 PM Packed: PE_Patch C:\Program Files\TuneUp Utilities 2011\vclimg120.bpl
8/10/2011 5:10:22 PM Packed: PE_Patch C:\Program Files\TuneUp Utilities 2011\TUTransl.bpl
8/10/2011 5:10:22 PM Packed: PE_Patch C:\Program Files\TuneUp Utilities 2011\TUShell.bpl
8/10/2011 5:10:22 PM Packed: PE_Patch C:\Program Files\TuneUp Utilities 2011\TUShredder.bpl
8/10/2011 5:10:22 PM Packed: PE_Patch C:\Program Files\TuneUp Utilities 2011\TUKernel.bpl
8/10/2011 5:10:22 PM Packed: PE_Patch C:\Program Files\TuneUp Utilities 2011\TUIcoEngineerDirTree.bpl
8/10/2011 5:10:22 PM Packed: PE_Patch C:\Program Files\TuneUp Utilities 2011\TUCompression.bpl
8/10/2011 5:10:22 PM Packed: PE_Patch C:\Program Files\TuneUp Utilities 2011\TUBasic.bpl
8/10/2011 5:10:22 PM Packed: PE_Patch C:\Program Files\TuneUp Utilities 2011\TUBase.bpl
8/10/2011 5:10:22 PM Packed: PE_Patch C:\Program Files\TuneUp Utilities 2011\SysInfo.bpl
8/10/2011 5:10:22 PM Packed: PE_Patch C:\Program Files\TuneUp Utilities 2011\SysControls.bpl
8/10/2011 5:10:22 PM Packed: PE_Patch C:\Program Files\TuneUp Utilities 2011\SmallUnits.bpl
8/10/2011 5:10:21 PM Packed: PE_Patch C:\Program Files\TuneUp Utilities 2011\SchedAgent_2007.bpl
8/10/2011 5:10:21 PM Packed: PE_Patch C:\Program Files\TuneUp Utilities 2011\RegExp.bpl
8/10/2011 5:10:21 PM Packed: PE_Patch C:\Program Files\TuneUp Utilities 2011\ProgramRating.bpl
8/10/2011 5:10:21 PM Packed: PE_Patch C:\Program Files\TuneUp Utilities 2011\MSI_D6.bpl
8/10/2011 5:10:21 PM Packed: PE_Patch C:\Program Files\TuneUp Utilities 2011\MainControls.bpl
8/10/2011 5:10:21 PM Packed: PE_Patch C:\Program Files\TuneUp Utilities 2011\Html.bpl
8/10/2011 5:10:21 PM Packed: PE_Patch C:\Program Files\TuneUp Utilities 2011\GR32_D6.bpl
8/10/2011 5:10:21 PM Packed: PE_Patch C:\Program Files\TuneUp Utilities 2011\dxThemeD12.bpl
8/10/2011 5:10:21 PM Packed: PE_Patch C:\Program Files\TuneUp Utilities 2011\dxGDIPlusD12.bpl
8/10/2011 5:10:21 PM Packed: PE_Patch C:\Program Files\TuneUp Utilities 2011\dxCoreD12.bpl
8/10/2011 5:10:21 PM Packed: PE_Patch C:\Program Files\TuneUp Utilities 2011\dxComnD12.bpl
8/10/2011 5:10:21 PM Packed: PE_Patch C:\Program Files\TuneUp Utilities 2011\DEC.bpl
8/10/2011 5:10:20 PM Packed: PE_Patch C:\Program Files\TuneUp Utilities 2011\cxLibraryD12.bpl
8/10/2011 5:10:20 PM Packed: PE_Patch C:\Program Files\TuneUp Utilities 2011\AppInitialization.bpl
8/10/2011 5:09:49 PM Packed: PE_Patch C:\Windows\System32\drivers\BrSerWdm.sys
8/10/2011 5:09:49 PM Packed: PE_Patch C:\Windows\System32\drivers\BrSerId.sys
8/10/2011 5:09:49 PM Packed: PE_Patch C:\Windows\System32\drivers\BrFiltUp.sys
8/10/2011 5:09:49 PM Packed: PE_Patch C:\Windows\System32\drivers\BrFiltLo.sys
8/10/2011 5:09:47 PM Packed: PE_Patch C:\Windows\System32\drivers\djsvs.sys
فقط همین ؟ موردی رو شناسایی نداشت ؟
TDS کیلر حجم کمی داره /، از سیف مد سیستم رو اسکن کنید.
[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
نکته: بعد از اسکن فایل های مشکوک رو با کلیک راست و انخاب گزینه cure و اگر امکان پذیر نبود گزینه delete پاک سازی کنید.
من از جمله قبلتون
برداشت کردم تیک ها خود به خود برمیگرده سرجای قبلشون ، اگر برداشت من درست بوده بله نظرتون در مورد ویروس اتوران درسته و این درگیری cpu و ... کاره این ویروس میتونه باشه.نقل قول:
اما حالا که گفتی شو هایدن رو چک کن یادم اومد دو سه روز پیش همینطوری شده بود راستش من همیشه تیک فایلهای مخفی رو بر می داشتم.هم تیک شوهیدن رو می زدم و هم سه تیک پایینیش رو بر می داشتم ولی یه روز دیدم که همین چیزی که گفتین اتفاق افتاد
اما اگه تیک ها سرجای خودشون باقی موندن و برداشت من از جمله بالای شما غلط بوده ، و به اضافه اون TDS کیلر در سیف مد شناسایی نداشت احتمال ایراد از ویندوز شما بیشتر میشه. ( اما 100% نمیشه گفت سیستم پاکه ) پس بهتره این اشکال رو از نظر غیر از آلودگی در انجمن ویندوز نرم افزار مطرح کنید نظرات دوستان دیگه رو جویا بشید حتما هم اعلام کنید موضوع رو غیر از ویروس بودن برسی کنند.
[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
در نهایت اگر به نتیجه نرسیدید و احیانا خواستید ویندوز رو تعویض کنید یا... میتونید در خواست کنید تا از روش کمبوفیکس به عنوان آخرین مرحله شناسایی آلودگی استفاده کنیم که اگه بعدش به مشکل برخوردیم ویندوز تعویض شه.
موفق باشید.
کسپر فقط همین نتیجه رو داشت.در مورد شو هیدن هم بله فقط یک بار چند روز قبل اتفاق افتاد. در یکی از پستهای قبلی گفتم که سوپر آنتی اسپایور یه تروجان پیدا کرد
SUPERAntiSpyware Scan Log
Generated 08/09/2011 at 05:41 PMکد:http://www.superantispyware.com
Application Version : 5.0.1108
Core Rules Database Version : 7486
Trace Rules Database Version: 5298
Scan type : Quick Scan
Total Scan Time : 00:00:31
Operating System Information
Windows 7 Ultimate 32-bit (Build 6.01.7600)
UAC On - Limited User
Memory items scanned : 0
Memory threats detected : 0
Registry items scanned : 0
Registry threats detected : 0
File items scanned : 1166
File threats detected : 1
Trojan.Agent/Gen-FraudTool[Tiny]
C:\USERS\SE7EN\APPDATA\ROAMING\.#\MBX@42C@1662730. ###
ممکنه مشکل از همین بوده؟
الان این اتفاق دیگه نمی افته ؟ موس کند نمیشه سیستم سنگین نمیشه ؟
احتمالش هست اما دقیق نمیشه گفت.
اسکن از سیف مد با TDS کیلر هم انجام بدید.
ممنونم از شما دکتر عزیز,از دیروز تا بحال موس کند نشده اسکن از سیف مد با TDS کیلر رو انجام دادم چیزی پیدا نکرد,می خوام ویندوز رو عوض کنم و این بار بجای آویرا,کومودو نصب کنم البته کومودو هم مشکل خودش رو داره که تو انجمنش کسی کمکی نکرد یعنی اینترنتم که GPRS هست رو مدام قطع می کنه و اصلا میگه پی سی سوییت امضای دیجیتالی نداره!
سلام دکترجان راستش این چند روزه و بعد از کمکهای شما هیچ مشکلی نداشتم ولی امروز یکی از مواردی که قبلا گفتم دوباره اتفاق افتاد,سیستم حدود یک ساعت در حالت sleep بود وقتی راهش انداختم چندین پنجره مثل مدیاسنتر,نوت پد و چندتای دیگه همزمان باز شدن و حتی بعضی از پنجره ها بعد از اینکه خروج رو می زدم فقط جاشون تو دسکتاپ عوض میشد!درست مثل دفعه قبل.دوباره طبق کارهایی که در مرجع گفته بودین پیش رفتم اما هیچ ویروسی پیدا نشد,فقط آویرا در پایین دسکتاپ هشداری می داد در مورد فایلی بنام rarsfx0 و با آویرا که اسکن کردم چندتا کلید یا چیز دیگه مخفی پیدا کرده:
Starting search for hidden objects.
HKEY_LOCAL_MACHINE\System\ControlSet001\Control\Cl ass\{4D36E972-E325-11CE-BFC1-08002BE10318}\0016\Linkage\upperbind
[NOTE] The registry entry is invisible.
HKEY_LOCAL_MACHINE\System\ControlSet001\Control\Ne twork\{4d36e975-e325-11ce-bfc1-08002be10318}\{6B683E0E-1505-488C-8053-3C1301924246}\Linkage\bind
[NOTE] The registry entry is invisible.
HKEY_LOCAL_MACHINE\System\ControlSet001\Control\Ne twork\{4d36e975-e325-11ce-bfc1-08002be10318}\{6B683E0E-1505-488C-8053-3C1301924246}\Linkage\route
[NOTE] The registry entry is invisible.
HKEY_LOCAL_MACHINE\System\ControlSet001\Control\Ne twork\{4d36e975-e325-11ce-bfc1-08002be10318}\{6B683E0E-1505-488C-8053-3C1301924246}\Linkage\export
[NOTE] The registry entry is invisible.
HKEY_LOCAL_MACHINE\System\ControlSet002\services\T cpip\Linkage\bind
[NOTE] The registry entry is invisible.
سلامنقل قول:
دوست عزیز ، اکثر اسکنر های خوب رو که شانس پاکسازی بالا داشتند تست شده ، اما گویا شناسایی نشده هنوز ، برای تست دوباره مالور بایت آپدیت ( به تاریخ امروز ) یک اسکن انجام بدید ،
اگر باز شناسایی نشد به نظرم یا تعویض ویندوز کنید یا کمبوفیکس رو با دستوراتی که بعدا ( اگر تمایل داشتید ) می ذارم اجرا کنید. (شخصا ) اجرا نکنید.
که باز بعد از اجرای کمبوفیکس امکانش هست سیستم سنگین بشه.
موفق باشید