آنالـیز و پاکسازی سیستم های آلوده(ابتدا پست اول را ببینید و فایل گزارش را آماده کنید)

[Captain MacMillan]

هنوز مشکل رفع نشده... مرورگر ها خراب می شن ( نیاز به نصب دوباره دارن ) و فایل ها هم یه حالتی گرفتند که پسوندشون نشون داده میشه مانند xxx.txt

یک Quick Scan با mbam انجام دادم چند تا پیدا و پاک کرد.. (مشکل حل نشد) نیاز به Full Scan هم هست؟

[soniya.kocholo]

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 1122 PM, on 6/26/2012
Platform: Windows 7 SP1 (WinNT 6.00.3505)
MSIE: Internet Explorer v8.00 (8.00.7601.17514)
Boot mode: Normal
Running processes:
C:\Program Files (x86)\Common Files\Sony Shared\SOHLib\SHTtray.exe
C:\Program Files (x86)\Internet Explorer\iexplore.exe
C:\Program Files (x86)\Internet Explorer\iexplore.exe
C:\Program Files\Sony\VAIO Care\listener.exe
C:\Program Files (x86)\Internet Explorer\iexplore.exe
C:\Program Files (x86)\Trend Micro\HiJackThis\HiJackThis.exe
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
O10 - Unknown file in Winsock LSP: c:\program files (x86)\common files\microsoft shared\windows live\wlidnsp.dll
O10 - Unknown file in Winsock LSP: c:\program files (x86)\common files\microsoft shared\windows live\wlidnsp.dll
O23 - Service: ArcSoft Connect Daemon (ACDaemon) - ArcSoft Inc. - C:\Program Files (x86)\Common Files\ArcSoft\Connection Service\Bin\ACService.exe
O23 - Service: Adobe Flash Player Update Service (AdobeFlashPlayerUpdateSvc) - Adobe Systems Incorporated - C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerUpda teService.exe
O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)
O23 - Service: AMD External Events Utility - Unknown owner - C:\Windows\system32\atiesrxx.exe (file missing)
O23 - Service: @%SystemRoot%\system32\efssvc.dll,-100 (EFS) - Unknown owner - C:\Windows\System32\lsass.exe (file missing)
O23 - Service: ESET Service (ekrn) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\x86\ekrn.exe
O23 - Service: @%systemroot%\system32\fxsresm.dll,-118 (Fax) - Unknown owner - C:\Windows\system32\fxssvc.exe (file missing)
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files (x86)\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Intel(R) Rapid Storage Technology (IAStorDataMgrSvc) - Intel Corporation - C:\Program Files (x86)\Intel\Intel(R) Rapid Storage Technology\IAStorDataMgrSvc.exe
O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: Intel(R) Management and Security Application Local Management Service (LMS) - Intel Corporation - C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\LMS\LMS.exe
O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)
O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: PandoraService (PanService) - Pandora.TV - C:\Program Files (x86)\PANDORA.TV\PanService\PandoraService.exe
O23 - Service: Internet Pass-Through Service (PassThru Service) - Unknown owner - C:\Program Files (x86)\HTC\Internet Pass-Through\PassThruSvr.exe
O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)
O23 - Service: VAIO Care Performance Service (SampleCollector) - Sony Corporation - C:\Program Files\Sony\VAIO Care\VCPerfService.exe
O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)
O23 - Service: VAIO Content Importer (SOHCImp) - Sony Corporation - C:\Program Files (x86)\Common Files\Sony Shared\SOHLib\SOHCImp.exe
O23 - Service: VAIO Device Searcher (SOHDs) - Sony Corporation - C:\Program Files (x86)\Common Files\Sony Shared\SOHLib\SOHDs.exe
O23 - Service: VAIO Entertainment Common Service (SpfService) - Sony Corporation - C:\Program Files\Common Files\Sony Shared\VAIO Entertainment Platform\SPF\SpfService64.exe
O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)
O23 - Service: @%SystemRoot%\system32\sppsvc.exe,-101 (sppsvc) - Unknown owner - C:\Windows\system32\sppsvc.exe (file missing)
O23 - Service: CamMonitor (uCamMonitor) - ArcSoft, Inc. - C:\Program Files (x86)\ArcSoft\Magic-i Visual Effects 2\uCamMonitor.exe
O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)
O23 - Service: Intel(R) Management and Security Application User Notification Service (UNS) - Intel Corporation - C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\UNS\UNS.exe
O23 - Service: @%SystemRoot%\system32\vaultsvc.dll,-1003 (VaultSvc) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: VAIO Content Folder Watcher (VCFw) - Sony Corporation - C:\Program Files (x86)\Common Files\Sony Shared\VAIO Content Folder Watcher\VCFw.exe
O23 - Service: VAIO Content Metadata Intelligent Analyzing Manager (VcmIAlzMgr) - Sony Corporation - C:\Program Files\Sony\VCM Intelligent Analyzing Manager\VcmIAlzMgr.exe
O23 - Service: VAIO Content Metadata Intelligent Network Service Manager (VcmINSMgr) - Sony Corporation - C:\Program Files\Sony\VCM Intelligent Network Service Manager\VcmINSMgr.exe
O23 - Service: VAIO Content Metadata XML Interface (VcmXmlIfHelper) - Sony Corporation - C:\Program Files\Common Files\Sony Shared\VcmXml\VcmXmlIfHelper64.exe
O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)
O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)
O23 - Service: @%SystemRoot%\system32\Wat\WatUX.exe,-601 (WatAdminSvc) - Unknown owner - C:\Windows\system32\Wat\WatAdminSvc.exe (file missing)
O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\Windows\system32\wbengine.exe (file missing)
O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)
O23 - Service: @%PROGRAMFILES%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing)
--
End of file - 6450 bytes

[Captain MacMillan]

فکر کنم طبق معمول مشکلات عجیب غریبی که کامپیوتر بنده بهش دچار میشه راه حلی نداره.

[saamz]

من عکس رو ندیدم ولی به احتمال زیاد شما به آنتی ویروس تقلبی گرفتار شدین , طبق اسکن ویروس توتال این فایل هنوز توسط بسیاری از آنتی ویروس ها شناسایی نمی شود پس بهترین کار استفاده از Norton Power Eraser است که به راحتی میتونید فایل رو پاک کنید , آموزش کار با این نرم افزار در تاپیک زیر موجود است
[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

البته سیستم شما مشکلات دیگه هم داره ولی فعلا این مشکل رو حل کنید تا بعد
این آنتی ویروس تقلبی در این مسیر است
D:\Users\Aliakbar\AppData\Local\yzpcaobx.exe

دوست عزیز از شما ممنونم بالاخره این بدافزار را پاک کردم ولی ای کاش اون مشکلات رو هم می گفتید ببینیم چی به چی هست...

[A M ! N]

هنوز مشکل رفع نشده... مرورگر ها خراب می شن ( نیاز به نصب دوباره دارن ) و فایل ها هم یه حالتی گرفتند که پسوندشون نشون داده میشه مانند xxx.txt

یک Quick Scan با mbam انجام دادم چند تا پیدا و پاک کرد.. (مشکل حل نشد) نیاز به Full Scan هم هست؟

شب بخیر..

اگه با MBAM آپدیت شده همون Quick scan رو انجام داده باشی، مشکلی دیگه نمیتونه باشه،

باقیش میشه خرابکاری پس از اون. پیشنهاد میکنم یکبار با حالت Safe mode and network
بالا بیا ، ببین این مشکلات هست یا نه


بعدشم برنامه ی Tuneup utilities 2012 رو سعی کن نصب کنی و سیستمت رو باهاش Optimize
کن کامل تا جایی که به 100% Optimiziation برسی.

راجع به پسوند فایلها هم که معمولا پسوند نشون داده میشه ، برای غیر فعال کردن هم به Folder options

میری و تیک گزینه ی Hide known file type extensions رو میزاری.

البته ببین اگه میتونی ویندوز 7 رو نصب کن کاراییش بهتره.



نتیجه رو بگو انجام دادی

[jolan57]

دوست عزیز از شما ممنونم بالاخره این بدافزار را پاک کردم ولی ای کاش اون مشکلات رو هم می گفتید ببینیم چی به چی هست...

الان دوباره لوگتون رو نگاه کردم دیدم یکم اغراق کردم زیاد مشکل خاصی ندارین
فقط هوم پیج اینترنت اکسپلورر رو حتما عوض کنید

[A M ! N]

سلام [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ] عزیز..

لوگ رو باید به صورت فایل لوگ بزارین نه اینکه خود لوگ اینجا قرار داده بشه عزیزم.


به این مسیر برو :

c:\program files (x86)\common files\microsoft shared\windows live\wlidnsp.dll

فایل wlidnsp.dll رو پاک کن.


به منوی استارت برو و به Accessories برو و روی Command prmpt راست کلیک کن و گزینه ی Run as admin بزن

بعد داخل خط فرمان تایپ کن :

SFC /SCANNOW

( فاصله بین حروفی رو رعایت کن قبل از اسلش یک فاصله هست. )
و بزار تا تموم بشه.



برنامه ی Tuneup utilities 2012 رو هم نصب کن و سیستم رو آپتیمایز کن ، و استارت آپ های اضافی رو حذف کن.

مثلا Googleupdater.exe


موفق باشی.

[rezariza]

با سلام به دوستان متخصص من یه مشکلی با سیستمم دارم که نمی دونستم کجا طرح کنم پس اینجا مطرح کردم.
سیستم من به احتمال خیلی زیاد ویروس نداره چون KIS 2011 UPDATED & ACTIVE دارم اما چون قبلا آنتی ویروس درست و حسابی نداشتم چند بار ویروسی شدم اما بعدا با کسپرسکی پاک کردم اما حالا چون می خوام بعضی ایرادات ویندوز رو برطرف کنم اما دستور SFC SCANNOW رو که تو RUN میزنم یه صفحه سیاه که فکر کنم مربوط به محیط داس باشه میاد و زود میره، خیلی تلاش کردم از نوشته های داخل صفحه عکس بگیرم اما نشد چون خیلی زود محو میشه!! اما یه کم که دقت کردم دیدم یه سری جمله مینویسه که آخرش is protected هست!! و در حالت SAFE MODE هم ویندوز بالا نمیاد و ریستارت میشه! .ضمنا ویندوزم XP SP2 هست حالا من چون به دلایلی نمیخوام ویندوز عوض کنم (چند سالیه ویندوز عوض نکردم به کمک(Windows Washer & Tune Up Utilities & Your Uninstaller) از شما تقاضا دارم منو راهنمایی کنید اینم Log File من با نرم افزار HiJackThis از کمپانی Trend Micro هست!!
Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 11:50:43 ق.ظ, on 2012/07/17
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Webroot\Washer\WasherSvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Netropa\Multimedia Keyboard\MMKeybd.exe
C:\Program Files\JetAudio\JetAudio.exe
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2011\avp.exe
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2011\avp.exe
C:\WINDOWS\system32\msiexec.exe
C:\Program Files\Trend Micro\HiJackThis\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Windows Internet Explorer provided by Yahoo!
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2011\ievkbd.dll
O2 - BHO: Babylon IE plugin - {9CFACCB6-2F3F-4177-94EA-0D2B72D384C1} - (no file)
O2 - BHO: link filter bho - {E33CF602-D945-461A-83F0-819F76A199F8} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2011\klwtbbho.dll
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [MULTIMEDIA KEYBOARD] C:\Program Files\Netropa\Multimedia Keyboard\MMKeybd.exe
O8 - Extra context menu item: Add to Anti-Banner - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2011\ie_banner_deny.htm
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Translate this web page with Babylon - res://C:\Program Files\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll/ActionTU.htm
O8 - Extra context menu item: Translate with Babylon - res://C:\Program Files\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll/Action.htm
O9 - Extra button: &Virtual Keyboard - {4248FE82-7FCB-46AC-B270-339F08212110} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2011\klwtbbho.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: URLs c&heck - {CCF151D8-D089-449F-A5A4-D9909053F20F} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2011\klwtbbho.dll
O9 - Extra button: Translate this web page with Babylon - {F72841F0-4EF1-4df5-BCE5-B3AC8ACF5478} - C:\Program Files\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll (file missing)
O9 - Extra 'Tools' menuitem: Translate this web page with Babylon - {F72841F0-4EF1-4df5-BCE5-B3AC8ACF5478} - C:\Program Files\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll (file missing)
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1\kloehk.dll
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Kaspersky Anti-Virus Service (AVP) - Kaspersky Lab ZAO - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2011\avp.exe
O23 - Service: Mozilla Maintenance Service (MozillaMaintenance) - Mozilla Foundation - C:\Program Files\Mozilla Maintenance Service\maintenanceservice.exe
O23 - Service: Netropa NHK Server (nhksrv) - Unknown owner - C:\Program Files\Netropa\Multimedia Keyboard\nhksrv.exe (file missing)
O23 - Service: ServiceLayer - Nokia - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software - C:\Program Files\TuneUp Utilities 2010\TuneUpDefragService.exe
O23 - Service: Window Washer Engine (wwEngineSvc) - Webroot Software, Inc. - C:\Program Files\Webroot\Washer\WasherSvc.exe

--
End of file - 4912 bytes

[jolan57]

با سلام به دوستان متخصص من یه مشکلی با سیستمم دارم که نمی دونستم کجا طرح کنم پس اینجا مطرح کردم.
سیستم من به احتمال خیلی زیاد ویروس نداره چون KIS 2011 UPDATED & ACTIVE دارم اما چون قبلا آنتی ویروس درست و حسابی نداشتم چند بار ویروسی شدم اما بعدا با کسپرسکی پاک کردم اما حالا چون می خوام بعضی ایرادات ویندوز رو برطرف کنم اما دستور SFC SCANNOW رو که تو RUN میزنم یه صفحه سیاه که فکر کنم مربوط به محیط داس باشه میاد و زود میره، خیلی تلاش کردم از نوشته های داخل صفحه عکس بگیرم اما نشد چون خیلی زود محو میشه!! اما یه کم که دقت کردم دیدم یه سری جمله مینویسه که آخرش is protected هست!! و در حالت SAFE MODE هم ویندوز بالا نمیاد و ریستارت میشه! .ضمنا ویندوزم XP SP2 هست حالا من چون به دلایلی نمیخوام ویندوز عوض کنم (چند سالیه ویندوز عوض نکردم به کمک(Windows Washer & Tune Up Utilities & Your Uninstaller) از شما تقاضا دارم منو راهنمایی کنید اینم Log File من با نرم افزار HiJackThis از کمپانی Trend Micro هست!!
Logfile of Trend Micro HijackThis v2.0.4
End of file - 4912 bytes

دوست عزیز بهتره که فایل لوگ رو در قالب یک فایل txt واسه ما آپلود کنید
همانطور که گفتین سیستم شما مشکل ویروسی نداره ولی به دلیل استفاده از ویندوز قدیمی xp sp2 و همچنین استفاده از برنامه های بهینه ساز ویندوزتون ایراد پیدا کرده
بهترین کار اینه که ویندوز خود را به xp sp3 ارتقا دهید به احتمال زیاد مشکلاتتون حل میشه
در ویندوز xp برای دستور sfc /scannow در ویندوز xp شما به ویندوز اورجینال نیاز دارید , ضمنا دستور رو همانطور که من نوشتم وارد کنید
علاوه بر اینها میتونید با سی دی ویندوز هم ویندوز خود را repair کنید ( البته آپدیت به sp3 فراموش نشه )
[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

[klipsch]

سلام دوستان گرامی
من یه کول دیسک آلوده به لپ تاپم وصل کردم (ویندوزم 7 هست) که سیستم رو آلوده کرده. کارش اینه که هر کول دیسکی به سیستم وصل میکنم خودش رو توش کپی میکنه، فولدرهارو مخفی میکنه و یه فایل EXE با حجم 428 کیلوبایت رو با آیکون فولدر میزاره جای فولدرهای اصلی با همون اسم. تمامی دستورات ویندوز غیر فعال شدن شامل CMD, Msconfig ... حتی task manager رو که باز میکنم بعد از 1 ثانیه بسته میشه! ... خیلی هم واجبه که سیستم رو درست کنم چون الان اونقدر اطلاعات تو سیستم دارم که امکان تعویض نیست. وقتی سیستم در حالت idle هست هم وضعیت استفاده از پردازنده و رم بسیار زیاده و لپ تاپ عملا تبدیل به بخاری برقی شده. باطری کاملا سالم و آکبنده ولی زودتر از یکساعت خالی میشه اونقدر که مصرف برق سیستم زیاد شده.


فایل لاگ رو اپلود کردم. خیلی ممنون از شما

[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]