آنالـیز و پاکسازی سیستم های آلوده(ابتدا پست اول را ببینید و فایل گزارش را آماده کنید)

[milad_kh.s]

سلام.
شما منوی Start رو باز کنید.در قسمت پایین یه کادر نوشتاری وجود داره. دستور روبرو را تایپ و اینتــر کنید >>>msconfig
یه پنجره باز میشه.به سربرگ startup برید و *تیــک همه گزینه ها رو بردارید و OK کنید.
*(همچنین میتونید روی گزینه Disable All کلیک کنید)
حالا سیستم را ریست کنید.

خیلی ممنون که جواب دادید.
150 مگ بیشتر کم نکرد.
الان شده 1.71 گیگ .
خیلی برام مشکل ایجاد کرده.
بازم ممنون

[*Batman*]

خیلی ممنون که جواب دادید.
150 مگ بیشتر کم نکرد.
الان شده 1.71 گیگ .
خیلی برام مشکل ایجاد کرده.
بازم ممنون

دوست گرمی شما بیش از هر چیز به یک برنامه بهینه از نیاز دارید.
برنامه هایی نظیر : iolo System Mechanic , TuneUp Utilities ,Ashampoo Winoptimizer , Advanced System Care و ...
برنامه های زیادی روی سیستم شما نصب شده و در حال اجراست. توصیه میکنم یه بازنگری انجام بدید و مواردی را که کاربرد ندارن حذف(Uninstall) کنید.
ترجیحاً آنتی ویروس NOD32 را با یکی از گزینه های زیر جایگزین کنید :
Kaspersky - Bitdefender - Microsoft Security Essentials - F-Secure - Norton

[milad_kh.s]

ممنون اقای بتمن
برنامه Advanced System Care ریختم 300 یا 400 مگ کم کرد رممو.
خیلی ممنون که کمک کردین انشالله که موفق باشید تو کارهاتون.
یا علی

[omid.pari]

سلام دوستان من یک کارت حافظه 8 گیگ میکرو اس دی دارم که حدود 6 گیگ آهنگ توش دارم که جمع آوریش 5 سال طول کشیده.یه ویروس به جونه حافظه من افتاد و با اینکه این ویروس رو پاک کردم ولی این 6 گیگ اصلا تو این حافظه دیده نمیشه یعنی با اینکه حافظه 6 گیگ اشغال شده ولی هیچ چیزی نشون داده نمیشه. لطفا اگه کمکی میتونید کنید ازم دریغ نکنید (پنج سال) با تشکر

[toufan]

باسلام
چند وقت پیش ویروس معروف new folder افتاد به جون سیستمم. با سیمانتک پاکش کردم اما . بعد از چند وقت پروسه LSASS.exe همه سی پی یو رو اشغال میکرد و تو پوشه ویندوز نبود. با WINRAR که فایل های مخفی رو نشون میده هم دیدم. آپدیت سیمانتک چند روز به چند روز پاک میشه. و دوباره باید نصب کنم. خلاصه تا IE رو باز میکنم سی پی یو باز 99 درصد میشه LSASS.exe پاک نمیشه . فقط تو سیستم 32 هستش . و ریشه دراوهامم هیچ EXE یا َAutorun نیست. خودم فکر میکنم LSASS.exe. آسیب دیده.

ببخسید جایی واسه آپ نداشتم.

فایل لوگ مربوط به سیستمم


Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 0407 ق.ظ, on 2012/06/08
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\BWMeter\BWMeterConSvc.exe
C:\Program Files\Symantec AntiVirus\DefWatch.exe
C:\WINDOWS\system32\drivers\svchost.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\tcpsvcs.exe
C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Symantec AntiVirus\Rtvscan.exe
C:\PROGRA~1\SYMANT~1\VPTray.exe
C:\Program Files\Ask.com\Updater\Updater.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\BWMeter\BWMeter.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\explorer.exe
C:\Program Files\AutoGK\AutoGK.exe
C:\Documents and Settings\Rahman\Local Settings\Application Data\Google\Chrome\Application\chrome.exe
C:\Documents and Settings\Rahman\Local Settings\Application Data\Google\Chrome\Application\chrome.exe
C:\Documents and Settings\Rahman\Local Settings\Application Data\Google\Chrome\Application\chrome.exe
C:\Documents and Settings\Rahman\Local Settings\Application Data\Google\Chrome\Application\chrome.exe
C:\Documents and Settings\Rahman\Local Settings\Application Data\Google\Chrome\Application\chrome.exe
C:\Documents and Settings\Rahman\Local Settings\Application Data\Google\Chrome\Application\chrome.exe
C:\Documents and Settings\Rahman\Local Settings\Application Data\Google\Chrome\Application\chrome.exe
C:\PROGRA~1\AutoGK\VDubMod\VIRTUA~1.EXE
C:\Documents and Settings\Rahman\Local Settings\Application Data\Google\Chrome\Application\chrome.exe
C:\Documents and Settings\Rahman\Local Settings\Application Data\Google\Chrome\Application\chrome.exe
C:\Documents and Settings\Rahman\Local Settings\Application Data\Google\Chrome\Application\chrome.exe
C:\Documents and Settings\Rahman\Local Settings\Application Data\Google\Chrome\Application\chrome.exe
C:\Program Files\Internet Download Manager\IDMan.exe
C:\Documents and Settings\Rahman\Local Settings\Application Data\Google\Chrome\Application\chrome.exe
C:\WINDOWS\system32\msiexec.exe
C:\Program Files\Trend Micro\HiJackThis\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyServer = http=127.0.0.1:8080;https=127.0.0.1:8080;socks=127 .0.0.1:1080
R3 - URLSearchHook: UrlSearchHook Class - {00000000-6E41-4FD3-8538-502F5495E5FC} - C:\Program Files\Ask.com\GenericAskToolbar.dll
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: IDM integration (IDMIEHlprObj Class) - {0055C089-8582-441B-A0BF-17B458C2A3A8} - C:\Program Files\Internet Download Manager\IDMIECC.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: URLRedirectionBHO - {B4F3A835-0E21-4959-BA22-42B3008E02FF} - C:\PROGRA~1\MICROS~3\Office14\URLREDIR.DLL
O2 - BHO: Ask Toolbar BHO - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl Class - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: Ask Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\VPTray.exe
O4 - HKLM\..\Run: [ApnUpdater] "C:\Program Files\Ask.com\Updater\Updater.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKLM\..\Policies\Explorer\Run: [7883] C:\DOCUME~1\ALLUSE~1\LOCALS~1\Temp\msvxcwfv.com
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\RunOnce: [_nltide_2] regsvr32 /s /n /i:U shell32 (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [_nltide_2] regsvr32 /s /n /i:U shell32 (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [_nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [_nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')
O4 - Startup: BWMeter.lnk = C:\Program Files\BWMeter\BWMeter.exe
O8 - Extra context menu item: Download all links with IDM - C:\Program Files\Internet Download Manager\IEGetAll.htm
O8 - Extra context menu item: Download FLV video content with IDM - C:\Program Files\Internet Download Manager\IEGetVL.htm
O8 - Extra context menu item: Download with IDM - C:\Program Files\Internet Download Manager\IEExt.htm
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office14\EXCEL.EXE/3000
O8 - Extra context menu item: Se&nd to OneNote - res://C:\PROGRA~1\MICROS~3\Office14\ONBttnIE.dll/105
O9 - Extra button: Send to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Program Files\Microsoft Office\Office14\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: Se&nd to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Program Files\Microsoft Office\Office14\ONBttnIE.dll
O9 - Extra button: OneNote Lin&ked Notes - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - C:\Program Files\Microsoft Office\Office14\ONBttnIELinkedNotes.dll
O9 - Extra 'Tools' menuitem: OneNote Lin&ked Notes - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - C:\Program Files\Microsoft Office\Office14\ONBttnIELinkedNotes.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\program files\trafficcompressor\tcomplsp.dll
O10 - Unknown file in Winsock LSP: c:\program files\trafficcompressor\tcomplsp.dll
O10 - Unknown file in Winsock LSP: c:\program files\trafficcompressor\tcomplsp.dll
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
O18 - Filter hijack: text/xml - {807573E5-5146-11D5-A672-00B0D022E945} - C:\Program Files\Common Files\Microsoft Shared\OFFICE14\MSOXMLMF.DLL
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: BWMeter Connections Service (BWMeterConSvc) - Unknown owner - C:\Program Files\BWMeter\BWMeterConSvc.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Program Files\Symantec AntiVirus\DefWatch.exe
O23 - Service: Host Generic Process for Win32 Services (Host Generic Process) - Unknown owner - C:\WINDOWS\system32\drivers\svchost.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Oracle - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: SAVRoam (SavRoam) - symantec - C:\Program Files\Symantec AntiVirus\SavRoam.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Program Files\Symantec AntiVirus\Rtvscan.exe

--
End of file - 10485 bytes

[toufan]

چی میشه جواب پست منو بدید؟؟؟؟

[m3m68]

سلام
من دچار w32.ircbot شدم
چی کار کنم ؟

[toufan]

سلام
من دچار w32.ircbot شدم
چی کار کنم ؟

الان جوابتو میدن.

[A M ! N]

چی میشه جواب پست منو بدید؟؟؟؟

سلام دوست من ، اینروزا همه درگیر امتحانات هستن حق بدین فرصت نمیکنن که مث روزای عادی به اینجا رسیدگی کنن.

کارارو به دقت انجام بده

اول برنامه ی Asktoolbar رو حذف کن از روی سییستم به طور کامل ، فولدرهاش هم حذف بشن.


C:\Program Files\Ask.com


این رو فایل رو پیدا و حذف کن :
C:\DOCUME~1\ALLUSE~1\LOCALS~1\Temp\msvxcwfv.com

برنامه رو اجرا کن و این خطوط پایین رو تیک بزن و کلید Fix Checked رو بزن :

کد:

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

بعد از داخل Safe mode بالا بیا و با آدرس C:\WINDOWS\system32\lsass.exe برو فایل رو پاک کن.

بعد به حالت عادی بیا مجدد و سی دی ویندوز رو داخل کن و CMD رو باز کن و دستور SFC /SCANNOW رو اجرا کن و بزار تا کامل اجرا بشه.

از چه ورژن نورتون استفاده میکنی ؟ یادت نره بعد ازینکارا حتما یکبار با برنامه ی MBAM اسکن کنی.


موفق باشی.

[A M ! N]

سلام
من دچار w32.ircbot شدم
چی کار کنم ؟

سلام.

فقط کافیه با برنامه های Norton و MBAM سیستمت رو اسکن کنی. ، البته امیدوارم هـــک نشده باشین : دی اگر مشکلی با اسکن داشتین میتونین از حالت Safe mode اینکارو انجام بدین.

اگه خواستین میتونین از پست یک این تاپیک استفاده کنین و لوگ بزارین تا کامل سیستمتون بررسی بشه.

موفق باشین.