خیلی خیلی ممنون.کمک بزرگی بود.
خیلی خیلی ممنون.کمک بزرگی بود.
سلام مهدي جان تا دلت بخواد داره فايل آلوده به ويروس كرنل پيدا ميكنه!!!!!!!!!
چند ساعت شده!!!
راستش در مورد آپلود كردن بايد برم كافي نت تو خونه كه نميشه
انشاالله رديفش ميكنم (:
عزيز من داشتم توضيحات ديگه رو ميخوانم ديدم از اون يوروس ها هم دارم!!!!!!!!!
يكي مثلا همين
SVCHOST.EXE
هست ميخوام دستوراتي كه گفتي رو انجام بدم ولي وقتي ميخوام تو Task Manager با delete پاكش كنم ويندوز خاموش ميشه بعد از يه ديقه!!!
آخه اونجا 6 تا از اينا هست
جلوي دو سه تا نوشته system
دو تا نوشته network service
يا
local service
نميدونم والله!!!!!!
ولي اين ويروس هم هست
يا حق (:
سلام ya30n جان
بلاخره ایرانی ها تونستن یه انتی ویروس خوب بنویسن .
راستش اکثر ویروسهایی که جدیدا نوشته میشن دقیقا هم نام فایلهای اساسی ویندوز هستند به خاطر همین تشخیص دادنشون خیلی سخت هستش .
باید از برنامه های مدیریت task manager استفاده کنی تا محل اصلی اون و اطلاعاتی درباره اون پروسه بهت بده . یه برنامه که قبلا برات معرفی کرده بودم مربوط به مدیریت task manager
ویروس SVCHOST.EXE بیشتر با نام یوزر ساخته می شه .
درسته تشخیصش یه خورده سخت هستش اما مواظب باش اشتباه پاک نکنی .
موفق باشی .
سلام مهدي جان از عصر تا الان داشتم كرنل ها رو پاك يا تعمير ميكردم كه الان تموم شد و روي سيستم هيچي نيست!!!!!!!
دستت واقعا درد نكنه
خداييش اينقدر ذوق زده شدم نميدونم چي بگم
حالا از كجا بفهمم ديگه نيست رو سيستم؟
البته نيست...
در مورد اين ويروس
SVCHOST.EXE
بي خيال شدم تا حدودي اولي رو ميزنم درسته دومي رو ميزنم ويندوز خاموش ميشه بعد از يه ديقه!!!
چند بار هم تست كردم مشكلي كه نميزنه به كامپيوتر؟
راستي اين جريان پوشه هاي 37kb رو چكار كنم؟
بهت گفتم وقتي ميخوام با نرو يه سي دي رايت كنم وقتي ميرم مثلا تو درايو d يا k يا هر درايو ديگه اي از همون پوشه ها يكي ديگه به نام exe درست شده؟
مث
music.exe
بازم ممنون
يا حق (:
مهدي جان اينا هم شايد بدردت بخوره
راستي ويروس services.exe هم فك كنم دارم نه؟
آخه رفتم اون كارايي كه نوشته بودي انجام دادم تو رجيستري بعضي فايل ها كه گفتي پاك كنم نبود!!!
يا حق (:Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 05:55:31 ب.ظ, on 2008/03/08
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINXPSP2\System32\smss.exe
C:\WINXPSP2\system32\winlogon.exe
C:\WINXPSP2\system32\services.exe
C:\WINXPSP2\system32\lsass.exe
C:\WINXPSP2\system32\svchost.exe
C:\WINXPSP2\System32\svchost.exe
C:\WINXPSP2\system32\spoolsv.exe
C:\WINXPSP2\system32\nvsvc32.exe
C:\WINXPSP2\system32\wscntfy.exe
C:\WINXPSP2\explorer.exe
C:\DOCUME~1\yas\LOCALS~1\Temp\services.exe
C:\WINXPSP2\system32\RunDll32.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\WINXPSP2\system32\RUNDLL32.EXE
C:\WINXPSP2\system32\ctfmon.exe
C:\Program Files\Internet Explorer\iexplore.exe
K:\Program Files\DAP\DAP.EXE
C:\Program Files\Rad\Killjoy Killer\Rad Killjoy Killer.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\DOCUME~1\yas\LOCALS~1\Temp\Rar$EX00.687\HijackT his.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
F2 - REG:system.ini: Shell=explorer.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINXPSP2\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINXPSP2\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINXPSP2\system32\NeroCheck.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINXPSP2\system32\ctfmon.exe
O4 - HKCU\..\Run: [Yahoo! Pager] "K:\Program Files\Messenger\YahooMessenger.exe" -quiet
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINXPSP2\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINXPSP2\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINXPSP2\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINXPSP2\system32\CTFMON.EXE (User 'Default user')
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O8 - Extra context menu item: &Download with &DAP - K:\Program Files\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - K:\Program Files\DAP\dapextie2.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{EA8C9419-186D-474F-91B6-A77563261E02}: NameServer = 217.219.94.3 217.219.94.2
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINXPSP2\system32\nvsvc32.exe
--
End of file - 2997 bytes
سلام ya30n جان
خسته نباشی
امروز حسابی خسته شدی
اطلاعات بیشتر در باره Svchost.exe
فایل Svchost.exe در هنگام آغاز اجرای ویندوز قسمت services رجیستری رو چک میکنه و لیستی از سرویسهائی که باید اجرا شوند رو ایجاد می کنه.
موارد متعددی از Svchost می تونن همزمان با هم اجرا بشن که هر کدوم از اونا شامل گروهی خاص از سرویسها می شود.
پس بهمین دلیل سرویسهای جداگانه می تونن همزمان و فارغ از اینکه Svchost کی اجرا شده به هم اجرا بشن و روند بالا آمدن ویندوز تسریع بشه.
در ضمن این شیوه گروه بندی سرویسها باعث ایجاد کنترل بهتر و Debug سریعتر می شود.
گروههای Svchost.exe در این کلید رجیستری معرفی می شوند: HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\Cu rrentVersion\Svchost
هر Value که در زیر این شاخه ایجاد شده باشه بیانگر یک گروه جداگانه Svchost می باشد و هنگامی که شما task Manger رو نگاه می کنید برای خودش گروه جداگانه ای ایجاد می کند.
هر کدام از این value ها دارای ارزش REG_MULTI_SZ هستند و شامل اطلاعات سرویسها و process هائی هستند که که در زیر این شاخه از Svchost اجرا می شن.
هر کدام از گروههای Svchost می تونن شامل یک یا چند سرویس باشند که از کلید زیر در رجیستری Extract می شوند که پارامترهای اونا شامل یک ServiceDLL Value می باشد.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Servic es\Service
برای درک بهتر Svchost و دیدن سرویسهائی که هم اکنون از Svchost استفاده می کنن این مراحل رو انجام بدین:از منوی Start ----Run رو اجرا کنید و تایپ کنین cmd
ودر پای prompt بنویسید:Tasklist /SVC و Enter رو فشار بدین.
فرمان Tasklist لیستی از پروسسهای در حال اجرا تهیه می کنه و سوئیچ /SVC هم لیستی از زیر پروسسهای هر گروه رو ایجاد می کنه .
برای دریافت اطلاعات بیشتر راجع به هر پروسس فرمان رو بصورت زیر تایپ کنین:
Tasklist /FI "PID eq processID" که بجای PID eq processID باید پروسس مورد نظر خودتون رو بنویسین.
مثال زیر مواردی از پروسسهای تحت Svchost رو نشون می ده که همونطور که می بینین خیلی از فعالیتهای حیاتی ویندوزتون رو هم شامل میشه:
Image Name PID Services
System Process ۰ N/A
System ۸ N/A
Smss.exe ۱۳۲ N/A
Csrss.exe ۱۶۰ N/A
Winlogon.exe ۱۸۰ N/A
Services.exe ۲۰۸ AppMgmt,Browser,Dhcp,Dmserver,Dnscache,
Eventlog,LanmanServer,LanmanWorkstation,
LmHosts,Messenger,PlugPlay,ProtectedStorage,
Seclogon,TrkWks,W۳۲Time,Wmi
Lsass.exe ۲۲۰ Netlogon,PolicyAgent,SamSs
Svchost.exe ۴۰۴ RpcSs
Spoolsv.exe ۴۵۲ Spooler
Cisvc.exe ۵۴۴ Cisvc
Svchost.exe ۵۵۶ EventSystem,Netman,NtmsSvc,RasMan,
SENS,TapiSrv
Regsvc.exe ۵۸۰ RemoteRegistry
Mstask.exe ۵۹۶ Schedule
Snmp.exe ۶۶۰ SNMP
Winmgmt.exe ۷۲۸ WinMgmt
Explorer.exe ۸۱۲ N/A
Cmd.exe ۱۳۰۰ N/A
Tasklist.exe ۱۱۴۴ N/A
روی پوشه های 37 کیلوبایتی کلیک مکنی اجرا می شن یا نه ؟
یعنی داخلشون اطلاعات هستش ؟ یا می شه داخلش چیزی ریخت ؟
وقتی موس را می بری روش 37 کیلوبایت می شه یا وقتی propertise می گیری ؟
فولدرهای دوتایی چی ؟ یعنی توی حالت معمولی وقتی داخل درایو می ری 2 تا هستند یا اینکه وقتی با نرو می بینی 2 تا هستند .
موفق باشی دوست خوبم .
بابت اطلاعات پست بالا واقعا ممنونم مهدي جان...
آره اجرا ميشهروی پوشه های 37 کیلوبایتی کلیک مکنی اجرا می شن یا نه ؟
آره توش اطلاعات هست ميشه كپي كنم ميشه كمك و زياد كنم...یعنی داخلشون اطلاعات هستش ؟ یا می شه داخلش چیزی ریخت ؟
هر دو...وقتی موس را می بری روش 37 کیلوبایت می شه یا وقتی propertise می گیری ؟
نه فقط با نرو ميبينمفولدرهای دوتایی چی ؟ یعنی توی حالت معمولی وقتی داخل درایو می ری 2 تا هستند یا اینکه وقتی با نرو می بینی 2 تا هستند .
حتي وقتي نمايش پوشه هاي مخفي رو هم ميزنم يكي هستن...
فقط تو درايو c
program file ,winxpsp2
دو تا هستن...يعني ديده ميشن
بقيه درايوها با نرو...
يا حق (:
چشمم روشن
رفتم تو درايو k
ييهو ديدم هيچي نيست!!!!!!
رفتم show رو زدم ديدم نيومدن بعد تيك اون خط دومي رو برداشتم همه ظاهر شدن
بين اونا
اينم بود
n1deiect
فك كنم امروز تو نوشته هات داش مهدي چشمم به اينم خورد
ويروسه
برم ببينم اينو ميتونم چكار كنم
اي خدا هر چي اموزش ويروس تو صفحه اول گزاشتي تو كامپيوتر من هست!!!
يا حق ):
در مورد این قسمت احتمال می دم موقع نصب ویندوز جدید ویندوز قبلی فرمت نشده . یعنی شما ویندوز را فرمت کردید اما اون فرمت نشده .
احتمال می دم همچین اتفاقی افتاده .
در باره 37 کیلو بایتی هم اطلاعات دقیقی ندارم . اگه چیزی گیرم اومد خبرشا بهت می دم .
هم اکنون 1 کاربر در حال مشاهده این تاپیک میباشد. (0 کاربر عضو شده و 1 مهمان)