مشکلات آلوده شدن سیستم به ویروس ها و اسپای ور ها ( ابتدا پست اول را ببینید )

[MaSoOd]

amintnt عزیز دست گلت درد نکنه

از وقتی سیستم خراب شده مجبوورم تمام برنامه ها رو از طریق taskmanager باز کنم و همیشه explorer.exe رو از همونجا خارج میکنم تا اذیت نکنه با خامووش

روشن شدنش !

جالب اینجاس که وقتی explorer.exe رو از پووشه ی ویندوز پاک میکنم تا بر میرم یه پووشه ی دیگه و بر میگردم میبینم بازم اوومده سر جاش !!!

برا همین فایلی رو که زحمتشو کشیده بوودی با اسم 1 تو هموون پووشه ذخیره کردم و بعدا از اینکه explorer رو حذف کردم فورا اسم اینو هموون گذاشتم ولی

بازم تاثیری نداشت !

الان یه چیزی یادم اوومد :

چند وقت پیش که سیستمو اسکن میکردم انتی ویرووس یا انتی اسپایور ( دقیقا یادم نیست کدووم ) یه چند تا فایل svchost پیدا کرد که توو پووشه هایی به نام

های comae و comru و comwb ( کلا 4 تا پووشه ی اینجووری بوود ) منم از اونجایی که یه جایی خوونده بوودم که svchost فقط توو ریشه system32 هست نه جای

دیگه اوونم 5 تا زدم این سه چهار تا رو پاک کردم ، البته الانم 6 تا ( نمیدوونم چرا 6 تا احتمالا یکیشوون ویروسه ) svchost توو taskman دارم

الان که دارم دقیق میشم فهمیدم که یه پووشه ای با نام com تو system32 هست که تووش چندتا فایل ویندوز هست یکیش هموون Microsoft Common Console

خب ؟

حالا این ویرووس نامرد ! ( البته من اینجووری فکر میکنم ) اومده چند تا پووشه که اولش با com شرووع میشه و بعدش چن تا کلمه داره ساخنه که محتوای همشوون

سه تا فایله یکیش فایله inf با اسم roptions و اوون دو تا هم dll با اسم های winhelper.dll و winlogon.dll ، اسم اون پووشه ها هم اینا هست :

comae و comru و comwb و comec

اوون3 تا فایل رو هم اینجا گذاشتم اگه زحمتی نیست یه نگا بهشوون بنداز

کد:

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

حالا به نظرت این پووشه ها رو پاک کنم ؟

[vtn54]

سلام vtn54 عزیز و دیگر دوستان

من رو سیستم الان Ashampoo و SuperAntiSpyware رو نصب کردم هر دوشوون هم فوول ایکن کردن ولی چیز بخصوصی پیدا نشد

غیر از دو سه تا مورد که اونا رو هم پاک کردم و هیچ اتفاقی نیفتاد

راستی این SuperAntiSpyware یه تبی داره که قسمت های مختلف ویندوز رو بازسازی میکنه همه ی اونا رو هم انجام دادم ولی

درست نشد

تازه کاسپر اسکای 7 رو هم که نصب کردم سیستم بالا نیوومد مجبوور شدم از safe mode پاکش کنم !

حالا میگین من چیکار کنم ؟

به نظرتوون اگه ویندوز رو آپگرید کنم فایل explorer.exe ، با نسخه ی جدیدش عوض میشه ؟

نود 32 هم چیزی نشوون نمیده !

تمام برنامه هایی هم که نصبه همشوون آپدیت شدن و بعد اسکن کردن !

سلام

لطفا فایل زیر را با حجم 208 کیلوبایت داونلود و اجرا کنید.در صفحه اول گزینه Do a system scan and save a logfile

را انتخاب و گزارش اسکن رابه طور کامل اینجا Copy&Past کنید:

[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

اگر اجازه اجرای این برنامه را نداد نام آن را تغییر دهید و دوباره امتحان کنید باز اگر اجرا نشد در حالت Safe Mode

امتحان کنید . لطفا هنگام اجرای آن هیچ پروسه ای را از حافظه خارج نکنید.

[MaSoOd]

اینم گزارش اسکن :
پروسس explorer.exe هم در حال خاموش و روشن شدنه !

اینم عکس اوون صفحه حالا توو این قسمت باید چیکار کنم

کد:

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

Logfile of HijackThis v1.99.1
Scan saved at 0906 ب.ظ, on 2007/09/09
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\svchost.exe
D:\Program Files\Eset\ESET NOD32 Antivirus\ekrn.exe
D:\WINDOWS\system32\ctfmon.exe
D:\Program Files\Opera\Opera.exe
D:\WINDOWS\system32\taskmgr.exe
D:\Documents and Settings\M a S o O d\Desktop\HijackThis.exe
D:\WINDOWS\explorer.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\System32\blank.htm
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyOverride = local
O3 - Toolbar: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - D:\PROGRA~1\MEGAUP~1\MEGAUP~1.DLL
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Yahoo! Pager] "D:\Program Files\Yahoo!\Messenger\YahooMessenger.exe" -quiet
O8 - Extra context menu item: &Download All with FlashGet - D:\Program Files\FlashGet\jc_all.htm
O8 - Extra context menu item: &Download with FlashGet - D:\Program Files\FlashGet\jc_link.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\Program Files\FlashGet\FlashGet.exe
O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\Program Files\FlashGet\FlashGet.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe (file missing)
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) -

کد:

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

O17 - HKLM\System\CCS\Services\Tcpip\..\{334C3EDB-E64C-4A6A-BD1B-02FC04E0F7CE}: NameServer = 208.67.222.222,208.67.220.220
O17 - HKLM\System\CCS\Services\Tcpip\..\{A8554EDC-ABA8-43A7-8644-965AADB592D8}: NameServer = 89.165.0.13 4.2.2.3
O17 - HKLM\System\CS1\Services\Tcpip\..\{334C3EDB-E64C-4A6A-BD1B-02FC04E0F7CE}: NameServer = 208.67.222.222,208.67.220.220
O17 - HKLM\System\CS2\Services\Tcpip\..\{334C3EDB-E64C-4A6A-BD1B-02FC04E0F7CE}: NameServer = 208.67.222.222,208.67.220.220
O17 - HKLM\System\CS3\Services\Tcpip\..\{334C3EDB-E64C-4A6A-BD1B-02FC04E0F7CE}: NameServer = 208.67.222.222,208.67.220.220
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - D:\Program Files\Common Files\Microsoft Shared\Help\hxds.dll
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - D:\PROGRA~1\COMMON~1\MICROS~1\OFFICE12\MSOXMLMF.DL L
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - D:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Kaspersky Anti-Virus 7.0 (AVP) - Unknown owner - D:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe" -r (file missing)
O23 - Service: Eset HTTP server (EhttpSrv) - Unknown owner - D:\Program Files\Eset\ESET NOD32 Antivirus\EHttpSrv.exe
O23 - Service: Eset Service (ekrn) - Eset - D:\Program Files\Eset\ESET NOD32 Antivirus\ekrn.exe
O23 - Service: ServiceLayer - Nokia. - D:\Program Files\PC Connectivity Solution\ServiceLayer.exe

[amintnt]

مسعود جان من یه سرچ کردم و در فروم زیر دقیقا موردی مشابه شما وجود داره:

http://forums.techguy.org/windows-nt-2000-xp/581852-explorer-exe-wont-load-virus.html

اما خوب هنوز جواب درست و حسابی ای داده نشده........

اون شخص هم با HijackThis اسکن کرده و پروسه های در حال اجرا اینا بودن:
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Archivos de programa\Intel\Wireless\Bin\ZcfgSvc.exe
C:\Archivos de programa\MSN Messenger\msnmsgr.exe
C:\Archivos de programa\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Archivos de programa\Hijackthis\HijackThis.exe

=========
Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\svchost.exe
D:\Program Files\Eset\ESET NOD32 Antivirus\ekrn.exe
D:\WINDOWS\system32\ctfmon.exe
D:\Program Files\Opera\Opera.exe
D:\WINDOWS\system32\taskmgr.exe
D:\Documents and Settings\M a S o O d\Desktop\HijackThis.exe
D:\WINDOWS\explorer.exe

شما یه svchost بیشتر دارین! حالا ویروس باشه یا نه منم نمیدونم! شما هر بار یکی از svchost ها رو ببندید بعد فایل explorer رو دلیت کنید ببینید دوباره ساخته میشه یا نه؟ اگه شد که یعنی اون نبوده و یکی دیگه رو ببندید! اگه هیچ کدوم از اونا نبود بقیه ی پروسه هایی که Bold کردم رو به همین صورت ببندین! اگه فهمیدین کدومه لطف کنید بنده رو در جریان بذارید!

[vtn54]

اینم گزارش اسکن :
پروسس explorer.exe هم در حال خاموش و روشن شدنه !

اینم عکس اوون صفحه حالا توو این قسمت باید چیکار کنم

کد:

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

سلام

در رجیستری ویندوز این کلید را پیدا و حذف کن ( روی آن راست کلیک کن و گزینه Delete را انتخاب کن برای احتیاط بیشتر

می توانی از آن یک Backup بگیری ) و بعد ریستارت کن .ببین مشکل حل می شود یا نه ؟

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe

[MaSoOd]

قبل از هر چیز باید از همه ی دوستای گلم که پابه پای خودم برا درست شدن سیستم من تلاش میکنن یه تشکر کنم دستتوون درد نکنه

vtn54 جان توو پووشه ی Image File Execution Options همچین کلیدی نیست !

راستی فکر کنم کسی این پست منو ندیده :

کد:

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

[mtakami]

مدتيه كه كامپوترم توي task manager يه IExplore.exe اضافي نشون ميده ! هر چي هم پاكش مي كنم دوباره مياد !
به نظرم سرعت سيستم هم افت كرده
چيكار كنم ؟

[mtakami]

سوال دوم :
يه كامپيوتر هست كه روي برنامه هاي متداول ويندوز ( مثل Movi makerو ... ) كليك مي كني پنجره OPen With باز ميشه !
فكر مي كنيد دليلش چيه ؟

[p_s_m]

با درود.

يك ويروس خفن يكي از ويندوزهام رو آلوده كرده .

اين ويروس هيچ علامت و مشخصه اي نداره .

تنها چيزي كه باعث شد وجود اونو بفهمم 2 دليل بود.


1- anti virus kaspersky 7.0.119 بعضي از گزينه هاش غير فعال شد .

2 - موقع بالا اومدن windows بين بوت اسكرين و wellcome screen مدت زمان خيلي زيادي طول مي كشد
(غير عادي)


در مورد مشكل 1 خواستم آنتي ويروس رو فعال كنم (resume protection) كه نشد--- سعي كردم آنتي ويروس رو

repair كنم كه نشد. اونو remove كردم و بجاش nod32 3 beta 2 رو ريختم و سيستم رو چك ويروس كردم هيچي

پيدا نكرد !!!

از توي يك ويندوز ديگه با nod 32 2.7.39 آپديت شده درايو مربوطه رو چك كردم باز هم هيچي پيدا نكرد !!!

در ضمن تنظيمات آنتي ويروس ها در قوي ترين حالت بود (advanced heuristics فعال و....)

در مورد مشكل 2 هيچ تغييري حاصل نشده .

در ضمن در حال حاضر برنامه process guard روي ويندوز مربوطه نصب است ولي هيچ گونه فعاليت مشكوكي نمي

بينم. از دوستاني كه در اين زمينه تجربه كافي دارند خواهش مي كنم كمك كنند.

[shahedi]

شما از اسپای ور داکتر استفاده کن یا سایر برنامه های مشابه در کنار آنتی ویروست avg anti spywareو antivirهم نصب کن تمام دلایلی که گفتی دلیل آلوده بودن سیستمتون نیست کسپر را یک بار ریپیر کنین.زیاد وسواس هم نداشته باشین.