آنالـیز و پاکسازی سیستم های آلوده(ابتدا پست اول را ببینید و فایل گزارش را آماده کنید)

[kases]

من به نظر شما AVIRA نصب کنم یا KASPER ?

سلام
هر دو انتی ویروس خوب هستن اگه سیستم قویی داری کسپر استفاده کن
انتی ویروس اویرا نسخه فری داره و احتیاجی به کرک نداره
کسپرم بسیار قویه اما یه کم سنگینه
بازم با توجه به نیاز خودتون میتونین یکیشو استفاده کنین
l

[mekayoung2000]

سلام
فک میکنم سیستمم به استاکس نت آلوده شده .فایلهای اجرایی همه به فرمت lnk تبدیل شده ویندوزم 7 هست و نمی دونم چطور آلوده شده.آخه شنیده بودم این از راه فلش و میل آلوده میکنه! من فقط یکمکی سریال دانلود زدم با لپ که اینجوری شد کمک

[shifter]

بچه ها این لاگ من :
[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
مشکلم اینه که اول لپتاپم به همون ویروس اتوران دچار شد...بعد من ریستورش کردم تا درست بشه !
منتهی از اون به بعد رمم خیلی بیشتر از حد نرمال اشغال میشه...حتی وقتی که تازه سیستم روشن شده نزدیک 110 تا پروسس در حال کار داره !!
یه لوکال دیسک هم به اسم Q تو my computer اضافه شده که نمیشه پاکش کرد و اکسس دیناید میده !
چیکار کنم؟؟

[jolan57]

سلام
فک میکنم سیستمم به استاکس نت آلوده شده .فایلهای اجرایی همه به فرمت lnk تبدیل شده ویندوزم 7 هست و نمی دونم چطور آلوده شده.آخه شنیده بودم این از راه فلش و میل آلوده میکنه! من فقط یکمکی سریال دانلود زدم با لپ که اینجوری شد کمک

سلام این لینک رو بخونید
[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

[jolan57]

بچه ها این لاگ من :
[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
مشکلم اینه که اول لپتاپم به همون ویروس اتوران دچار شد...بعد من ریستورش کردم تا درست بشه !
منتهی از اون به بعد رمم خیلی بیشتر از حد نرمال اشغال میشه...حتی وقتی که تازه سیستم روشن شده نزدیک 110 تا پروسس در حال کار داره !!
یه لوکال دیسک هم به اسم Q تو my computer اضافه شده که نمیشه پاکش کرد و اکسس دیناید میده !
چیکار کنم؟؟

پروسس های شما مشکلی ندارن ولی این فایل های سیستمی آسیب دیدن
C:\Windows\system32\atiesrxx.exe
C:\Windows\System32\alg.exe
C:\Windows\System32\lsass.exe
C:\Windows\system32\fxssvc.exe
C:\Windows\system32\locator.exe
C:\Windows\system32\sppsvc.exe
C:\Windows\System32\spoolsv.exe
و چند تا فایل دیگه , بهتره که سیستمنون رو با سی دی ویندوز ریپیر کنید ولی اولش یک اسکن با نرم افزار زیر انجام بدین
[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

آپدیت فراموش نشه

[*Batman*]

بچه ها این لاگ من :
[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
مشکلم اینه که اول لپتاپم به همون ویروس اتوران دچار شد...بعد من ریستورش کردم تا درست بشه !
منتهی از اون به بعد رمم خیلی بیشتر از حد نرمال اشغال میشه...حتی وقتی که تازه سیستم روشن شده نزدیک 110 تا پروسس در حال کار داره !!
یه لوکال دیسک هم به اسم Q تو my computer اضافه شده که نمیشه پاکش کرد و اکسس دیناید میده !
چیکار کنم؟؟

سلام
گام اول :
مجددا یه اسکن با HijackThis انجام بدید و گزینه هایی رو که در انتهای آنها عبارت (file missing) وجود داره انتخاب کنید( تیک بزنید)
سپس گزینه Fix Checked رو کلیک کنید.

گام دوم: (مهم)
برنامه [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ] را دانلود و سیستم را اسکن کنید
آموزش استفاده از این برنامه در انتهای [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ] وجود داره
بعد از اتمام اسکن، برنامه یه گزارش به شما نشون میده.تصویر این گزارش را اینجا قرار بدید.
نمونه:

  محتوای مخفی: SPE Result 

[Reza2858]

من این فایل لوگ رو نمیتونم بگیرم چون یک پیغام خطا میده و روشم که کلیک راست میکنم run as administrator نداره
اینم عکس پیغام خطا
This image has been resized. Click this bar to view the full image. The original image is sized 1366x768.

حالا من چیکار کنم ؟ _____
گفتین که برم تو host و open with notepad کنم و اینکارو انجام دادم :
cpu سیستمم رو 100%

# Copyright (c) 1993-2004 Microsoft Corp.
#
# AutoGenerated by Microsoft (R) Malware Protection Engine.
# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.
#
# This file contains the mappings of IP addresses to host names. Each
# entry should be kept on an individual line. The IP address should
# be placed in the first column followed by the corresponding host name.
# The IP address and the host name should be separated by at least one
# space.
#
# Additionally, comments (such as these) may be inserted on individual
# lines or following the machine name denoted by a '#' symbol.
#
# For example:
#
# 102.54.94.97 rhino.acme.com # source server
# 38.25.63.10 x.acme.com # x client host

127.0.0.1 localhost
::1 localhost

[Reza2858]

من این فایل لوگ رو نمیتونم بگیرم چون یک پیغام خطا میده و روشم که کلیک راست میکنم run as administrator نداره
اینم عکس پیغام خطا
This image has been resized. Click this bar to view the full image. The original image is sized 1366x768.

حالا من چیکار کنم ؟ _____
گفتین که برم تو host و open with notepad کنم و اینکارو انجام دادم :
cpu سیستمم رو 100% نمیدونم چیکار کنم ؟؟؟

# Copyright (c) 1993-2004 Microsoft Corp.
#
# AutoGenerated by Microsoft (R) Malware Protection Engine.
# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.
#
# This file contains the mappings of IP addresses to host names. Each
# entry should be kept on an individual line. The IP address should
# be placed in the first column followed by the corresponding host name.
# The IP address and the host name should be separated by at least one
# space.
#
# Additionally, comments (such as these) may be inserted on individual
# lines or following the machine name denoted by a '#' symbol.
#
# For example:
#
# 102.54.94.97 rhino.acme.com # source server
# 38.25.63.10 x.acme.com # x client host

127.0.0.1 localhost
::1 localhost

در ضمن این انتی ویروسم win32/slenfbot رو پیدا کرده
لطفا راهنمایی کنید .

[jolan57]

در ضمن این انتی ویروسم win32/slenfbot رو پیدا کرده
لطفا راهنمایی کنید .

سلام ویروس شما رو spyware doctor میشناسه اگر چیز پی ان یا ساکس دارید از [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ] لینک دانلود کنید و در سیف مود اسکن کنید
اگر نمیتونید دانلود کنید نرم افزار زیر رو دانلود کنید آپدیت و اسکن کنید

[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
روش دیگر :

سلام

برنامه [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ] را دانلود و سیستم را اسکن کنید
آموزش استفاده از این برنامه در انتهای [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ] وجود داره
بعد از اتمام اسکن، برنامه یه گزارش به شما نشون میده.تصویر این گزارش را اینجا قرار بدید.
نمونه:

  محتوای مخفی: SPE Result 

و اما روش دستی پاک کردن ویروس که توصیه نمیشه , اول نیاز است که شما پروسس ویروس رو ترمینیت کنید برای این کار از Task Manager استفاده کنید اگر نشد از برنامه زیر استفاده کنید
[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

سپس این فایل ها رو پاک کنید :
%system%\igfxpb32.exe
%userprofile%\cache\igfxpb32.exe
سپس در cmd تایپ کنید regedit و این ریجستری ها رو پاک کنید

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\
SharedAccess\Parameters\FirewallPolicy\StandardPro file\
AuthorizedApplications\List]
"%system%\igfxpb32.exe" =
"%system%\igfxpb32.exe:*:Enabled:wLAN"
[HKEY_CURRENT_USER\SYSTEM\CurrentControlSet\Service s\
SharedAccess\Parameters\FirewallPolicy\StandardPro file\
AuthorizedApplications\List]
"%userprofile%\cache\igfxpb32.exe" =
"%userprofile%\cache\igfxpb32.exe:*:Enabled:wL AN"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\
Run]
"Intel Packet Service" = "%system%\igfxpb32.exe"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\
Run]
"Intel Packet Service" =
"%userprofile%\cache\igfxpb32.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
AppCompatFlags\Layers]
"Disablenxshowui" = "%system%\igfxpb32.exe"
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
AppCompatFlags\Layers]
"Disablenxshowui" = "%userprofile%\cache\igfxpb32.exe"

[Reza2858]

از روش دستی که رفتم هیچ کدوم از اینها نبود :
%system%\igfxpb32.exe
%userprofile%\cache\igfxpb32.exe
!!!