آنالـیز و پاکسازی سیستم های آلوده(ابتدا پست اول را ببینید و فایل گزارش را آماده کنید)

[piishii]

سلام
از حدود 4 5 روز پیش من بیش از حد حجم اینترنتم مصرف شده تا امشب حواسم نبود زمانی که تو این مدت چیزی حدود 1.5 گیگ بهم لطمه خورده
سر خودم داره میترکه و بررسی دقیق نکردم خواهش میکنم شما یک کمکی بکنید
ویندوز من 64 بیتی سون و آنتی ویروس هم ناند32 ورژن 5 آپدیت شده
انتی اسپایور و... هم ندارم
لاگی که این برنامه داد به من اینه
هم وصل میشم به اینترنت کانکشن رو نگاه میکنم بدون باز کردن سایتی چیزی سریع داره سند و ریسیو میشه ! در عرض کمتر از 10 دقیقه شاید بالای 20 30 مگ برسه
ویرایش :
این بنده خدا هم مشکل من رو داشته
[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
من همیشه خودم مشکلاتم رو رفع میکنم و از اینترنت کمک میگیرم یا دانش خودم ولی الان اعصابم خیلی خورد هست و آرامش فکری ندارم
ممنونم پیشاپیش

[A M ! N]

سلام
از حدود 4 5 روز پیش من بیش از حد حجم اینترنتم مصرف شده تا امشب حواسم نبود زمانی که تو این مدت چیزی حدود 1.5 گیگ بهم لطمه خورده
سر خودم داره میترکه و بررسی دقیق نکردم خواهش میکنم شما یک کمکی بکنید
ویندوز من 64 بیتی سون و آنتی ویروس هم ناند32 ورژن 5 آپدیت شده
انتی اسپایور و... هم ندارم
لاگی که این برنامه داد به من اینه
هم وصل میشم به اینترنت کانکشن رو نگاه میکنم بدون باز کردن سایتی چیزی سریع داره سند و ریسیو میشه ! در عرض کمتر از 10 دقیقه شاید بالای 20 30 مگ برسه
ویرایش :
این بنده خدا هم مشکل من رو داشته
[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
من همیشه خودم مشکلاتم رو رفع میکنم و از اینترنت کمک میگیرم یا دانش خودم ولی الان اعصابم خیلی خورد هست و آرامش فکری ندارم
ممنونم پیشاپیش

سلام.

لوگ چیز خاصی به من نشون نداد.

اول برنامه ی Nod32 رو پاک کنید ( موقتا )

به منوی استارت برین Accessories و سپس روی Command prompt راست کلیک کن و گزینه ی Run as admin رو بزن.

حالا داخل خط فرمان دستور پایین رو با رعایت فاصله ی وسط اون وارد کن :

SFC /SCANNOW

بزار تا اسکنش تموم بشه.


برنامه ی Comodo internet security رو بگیر..

[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]


این برنامه رو نصب کن. بازش کن در صفحه ی اصلی در تب Summary اون آخرین قسمت مربوط به فایروال هست ،

که پروسسهایی که دارن از نت استفاده میکنن رو نشون میده :

[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

روشون اگه کلیک کنی این پنجره ی پایین میاد : اونجا نگاه کن ببین چی داره استفاده میکنه :

[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]


علاوه براین برنامه ی MBAM رو هم نصب کن آپدیتش کن و باهاش Scan انجام بده.
اینطوری اگه تروجان داشته باشی که دستش رو میشه.

یک اسکن هم با این برنامه بزن :
[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

توسط این برنامه ها چیزی از زیر دستت در نمیره.

[netwait]

سلام و عصر بخیر
دوستان سیستم آلوده ای دارم با ویندوز xp
وقتی که تو صفحه welcom میخوای لاگین کنی بلافاصله Logoof میکنه
از safemode هم همین طوره
با eset rescue disk اسکن کردم تو بوت چندتا فایل اتوران پاک کردن ولی باز هم مشکل ادامه داشت
ویندوز رو هم repair کردم و باز هم افاقه نکرد

--------------
توضیح کاملتر اینکه روی سیستم norton 2011 ولی اکسپایر شده نصب بوده که فقط ویروس هارو قرنطینه میکرده و یجورایی اصلا از کار افتاده بوده
من 2012 آپدیت شده ریختم که بعد از ریستارت این مشکل پیش اومد

[godfather_mk]

خواهش میکنم.

خوبه. فایل Hosts شما مخفیه سیستمی و ویرایش شده بود نمیدونم کار تروجان ها بوده شاید.

الان این فایل که ضمیمه کردم اینجا رو بگیرین و داخل پوشه ی etc کپی کنید(replace کنید ) ، فایلهای دیگه (به جز این که میدم)

که به نام hosts هستن رو پاک کنید، مثلا hosts.txt و hosts.new



[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]


فایل Hosts هیچ پسوندی نباید داشته باشه. اگه ضمیمه رو نتونستین Copy کنید اونجا، از safe mode انجام بدین.


از folder options تیک گزینه ی show hidden files and folder رو بزن

تیک گزینه ی hide protected system files and folders رو بردار.

تیک Hide extension for know file type رو بردار

حالا به پوشه ی etc برو ، اونجا باید کلا 5 تا فایل ( نه بیشتر ) باشه :

hosts

lmhosts.sam

protocol

services

networks

وقتی فایل هاستی رو که واسم ارسال کردین رو میخوام در حالت سیف مد جایگزین کنم پیغام میده که "destination folder access deniedyou need permission to perform this action." و نمیتونم فایل رو جایگزین کنم، فایلهای دیگه ای که ایجاد شده رو بود رو پاک کردم.
در ضمن تیک "hide protected system files and folders" رو هم خیلی وقت پیش برداشته بودم.
برای کپی کردم فایل هاستی که ارسال کردین چیکار کنم.
در ضمن یوزرم هم ادمین هستش.

[A M ! N]

وقتی فایل هاستی رو که واسم ارسال کردین رو میخوام در حالت سیف مد جایگزین کنم پیغام میده که "destination folder access deniedyou need permission to perform this action." و نمیتونم فایل رو جایگزین کنم، فایلهای دیگه ای که ایجاد شده رو بود رو پاک کردم.
در ضمن تیک "hide protected system files and folders" رو هم خیلی وقت پیش برداشته بودم.
برای کپی کردم فایل هاستی که ارسال کردین چیکار کنم.
در ضمن یوزرم هم ادمین هستش.

سلام.

راه قبلی رو که گفتم فراموش کن و فایل هاستی که دادم رو استفاده نکن ، یه اشتباهی داخل کارم بوده که خداروشکر الان فهمیدم.

در عوض الان..

به منوی استارت رفته روی Notepad راست کلیک کنید و گزینه ی Run as admin رو بزن ، و بعد نوت پد باز میشه ، از منوی Open به این آدرس برو :

C:\WINDOWS\system32\drivers\etc

گزینه ی all files رو بزن و فایل hosts رو انتخاب کن.

وقتی باز شد اونجا select all رو بزن و delete کن همرو ( پایین فایل هم یه سری نوشته هستش اگه اسکرول کنی میبینی)

حالا اینارو داخلش کپی کن :

کد:

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

( به جز اینا هیچی داخل فایل هاست نباشه )

حالا از منوی File گزینه ی Save رو بزن.


تمام مراحل بالا رو با دقت انجام بده و نتیجه رو بگو.

[A M ! N]

سلام و عصر بخیر
دوستان سیستم آلوده ای دارم با ویندوز xp
وقتی که تو صفحه welcom میخوای لاگین کنی بلافاصله Logoof میکنه
از safemode هم همین طوره
با eset rescue disk اسکن کردم تو بوت چندتا فایل اتوران پاک کردن ولی باز هم مشکل ادامه داشت
ویندوز رو هم repair کردم و باز هم افاقه نکرد

--------------
توضیح کاملتر اینکه روی سیستم norton 2011 ولی اکسپایر شده نصب بوده که فقط ویروس هارو قرنطینه میکرده و یجورایی اصلا از کار افتاده بوده
من 2012 آپدیت شده ریختم که بعد از ریستارت این مشکل پیش اومد

سلام.

به نظر نمیاد مشکل شما الان به خاطر ویروسها باشه ، بلکه به نظر بنده فایلهای سیستمی مث Svchost از بین رفته.

اول سیستم رو ویروس یابی کن کامل.. مثلا میتونی هاردت رو باز کنی روی یک سیستم دیگه ویروس یابی کنی ( با

آنتی ویروسی مث Kaspersky آپدیت شده ) بعد که کامل شد ، هارد رو بیاری روی سیستم خودت و دوباره Repair

انجام بدی، بعد از بوت ویندوز برای نصب ، در اون قسمتی که میخوای درایوهارو انتخاب کنی گزینه ی Repair هم
دیده میشه.


لوگ هم که از سیستمت نمیتونی تهیه کنی! فعلا این کارهارو انجام بده.

[netwait]

سلام.

به نظر نمیاد مشکل شما الان به خاطر ویروسها باشه ، بلکه به نظر بنده فایلهای سیستمی مث Svchost از بین رفته.

اول سیستم رو ویروس یابی کن کامل.. مثلا میتونی هاردت رو باز کنی روی یک سیستم دیگه ویروس یابی کنی ( با

آنتی ویروسی مث Kaspersky آپدیت شده ) بعد که کامل شد ، هارد رو بیاری روی سیستم خودت و دوباره Repair

انجام بدی، بعد از بوت ویندوز برای نصب ، در اون قسمتی که میخوای درایوهارو انتخاب کنی گزینه ی Repair هم
دیده میشه.


لوگ هم که از سیستمت نمیتونی تهیه کنی! فعلا این کارهارو انجام بده.

سلام من هارد سیستم آلوده رو به یه سیستم دیگه وصل کردم
کارهای زیر رو انجام دادم

کد:

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

(البته از رو سی دی رو سیستم خودم فایل مورد نظرو کپی کردم رو هارد آلوده)
اسکن هم کردم تعدادی تروجان و فایلهای taskhost پاکسازی شد
خوشبختانه سیستم مشکلی نداشت و ورود کرد به ویندوز
اما تعدادی ویروس به وسیله نورتون 2012 کشف شد که زمانیکه درخواست تایید برای fix و پاکسازی میداد نورتون کرش میکرد!!!

سعی میکنم فایل لاگ هم بزارم

[godfather_mk]

سلام.

راه قبلی رو که گفتم فراموش کن و فایل هاستی که دادم رو استفاده نکن ، یه اشتباهی داخل کارم بوده که خداروشکر الان فهمیدم.

در عوض الان..

به منوی استارت رفته روی Notepad راست کلیک کنید و گزینه ی Run as admin رو بزن ، و بعد نوت پد باز میشه ، از منوی Open به این آدرس برو :

C:\WINDOWS\system32\drivers\etc

گزینه ی all files رو بزن و فایل hosts رو انتخاب کن.

وقتی باز شد اونجا select all رو بزن و delete کن همرو ( پایین فایل هم یه سری نوشته هستش اگه اسکرول کنی میبینی)

حالا اینارو داخلش کپی کن :

کد:

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

( به جز اینا هیچی داخل فایل هاست نباشه )

حالا از منوی File گزینه ی Save رو بزن.


تمام مراحل بالا رو با دقت انجام بده و نتیجه رو بگو.

خیلی به شما زحمت دادم
مراحلی رو که گفته بودین انجام دادم ولی متاسفانه در هنگام ذخیره فایل هاست بوسیله نوت پد، پیغام فایل فقط خواندنی میاد و زمانی که تیک فایل فقط خواندنی رو هم بر میدارم پیغام "access denied" میده، این در صورتی هست که با حالت سیف مد وارد شدم و نوت پد رو هم همونطور که گفتین با حالت ادمین باز کردم.
ممنون میشم راهنمایی بفرمایید.

[A M ! N]

خیلی به شما زحمت دادم
مراحلی رو که گفته بودین انجام دادم ولی متاسفانه در هنگام ذخیره فایل هاست بوسیله نوت پد، پیغام فایل فقط خواندنی میاد و زمانی که تیک فایل فقط خواندنی رو هم بر میدارم پیغام "access denied" میده، این در صورتی هست که با حالت سیف مد وارد شدم و نوت پد رو هم همونطور که گفتین با حالت ادمین باز کردم.
ممنون میشم راهنمایی بفرمایید.

سلام خواهش میکنم زحمتی نیست که.

این فایل رو بگیرین و روش راست کلیک کنید و Run as administrator بزنید. ( اگه نشد از هردوحالت معمولی و سیف مود انجام بدین.)


[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

(این فایل خصلت سیستمی و فقط خواندنی رو از فایل هاست حذف میکنه )

بعد کار قبلی رو امتحان کن دوباره.

[piishii]

سلام
من مشکلم به نظر رفع شد اون برنامه هایی که معرفی کردین کومودو که هیچی رو نشون نداد حتی آنتی ویروسش هم چیزی پیدا نکرد
گذاشتم کل 4 تا هاردم رو ناد اسکن کنه که تونست یک چیزهایی پیدا کنه که 99% کرک برنامه هام بود
اون آنتی تروجان هم قدیم خودم داشتم و ازش راضی بودم ولی خوب اشتباهی که این دفعه داشتم اون یا اسپای ویر داکتر رو نصب نکرده بودم که دومی چون سنگین هست بی خیال شدم و دوباره نصب و آپدیت اولی رو کردم که اون هم دوباره کرک برنامه ها و از آخر یهو فلان فایل میخواد وصل به اینترنت شه که مشکوک بود که جلوش رو گرفتم
فقط مشکلی که داشتم همین برنامه کومودو بود که یکی از فایل های اینترنت سکیوریتش وصل میشد و شدید حجم کم میکرد ! مشکل اولی رفع شد این دومی ظاهر شد که زدم برنامه رو پاک کردم
فقط در این پروسه کاری یک سری تجربه کسب کردم و با یک برنامه خودم آشنا شدم که برای دوستان معرفی میکنم
TCPView بسیار سبک و بسیار بسیار کاری ست در حد 400 کیلو بایت حجم داره ولی کل پروسس هایی که به اینترنت وصل هستند و مقدار بایت ارسالی و دریافتیشون رو مینویسه با کمک همین برنامه مشکل کومودو رو متوجه شدم + اینکه این برنامه کم حجم خیلی برام کاری تر بود از فایروال های حجیمی مثل کومودو