خرید لپ تاپ استوک
ماهان سرور
آکوستیک ، فوم شانه تخم مرغی ، پنل صداگیر ، یونولیت
دستگاه جوجه کشی حرفه ای
فروش آنلاین لباس کودک
خرید فالوور ایرانی
خرید فالوور اینستاگرام
خرید ممبر تلگرام
[ + افزودن آگهی متنی جدید ]
سلام دوستان
یه ویروسی رفته بود توی کامپیوتر که در حال حاضر پاکش کردم. ولی اثراتش باقی مانده.
یکی از این مشکلی که برام بوجود آورده اینه که وقتی میام مثل عکس زیر و در منوی فولدر آپشن گزینه Show Hiden رو میزنم ولی باز که به این منو میام دوباره اون دایره میره بالا و باعث میشه که فایل های مخفی رو نشون نده.
حال چگونه میتونم این تنظیم رو درست کنم و به حالت نرمال برگردونمش ؟
دوست عزيز سيستم منم مثل سيستم شما شده. با اين تفاوت كه اصلا فولدر آپشن از منو حذف ميشه . پست هم دادم ولي كسي راهنمائيم نكرد. اگر مشكلت حل شد . به ما هم خبر بده چيكارش كنيم اين لعنتي رو.سلام دوستان
یه ویروسی رفته بود توی کامپیتور که در حال حاضر پاکش کردم. ولی اثراتش باقی مانده.
یکی از این مشکلی که برام بوجود آورده اینه که وقتی میام مثل عکس زیر و در منوی فولدر آپشن گزینه Show Hiden رو میزنم ولی باز که به این منو میام دوباره اون دایره میره بالا و باعث میشه که فایل های مخفی رو نشون نده.
حال چگونه میتونم این تنظیم رو درست کنم و به حالت نرمال برگردونمش ؟
دوست عزیز چون دوستان قبلا در مورد این ویروس و نحوه پاک شدنش توضیح دادند به همین دلیله که تا یکی دیگه
سیستمش آلوده میشه نمیان و همه مسائل رو از اول توضیح بدند.
جواب مشکل شما در صفحات179و 181 و 182 وجود داره.
ممنونم از راهنماییت. یه جورایی آدم وقتی تازه کار باشه . اینجوری میشه .
سلام دوست عزیزآنتی ویروس NOD32 تمام برنامه هایی که به عنوان ویروس می شناسه Threat اون رو Win32/Sality.NAM virus تشخیص می ده.حتی فایل اجرایی خود NOD32 رو هم از همین نوع ویروس تشخیص میده و هنگ می کنه!!
عکس یکی از فایل هایی رو هم که به عنوان ویروس تشخیص داده در پایین می بینید.
در ضمن وقتی می خوام با Safe Mode ویندوز را اجرا کنم ، بعد از لود کردن حدود 20 فایل کامپیوتر را ریست می کنه.
لطفاً سریعتر جواب بدهید.ممنون.
متاسفم ولی این یک Rootkit/File Infector آن هم از بدترین نوع است این ویروس فایلهای اجرایی با پسوند EXE و SCR
را آلوده می کند که متاسفانه قابل Clean کردن هم نیست شماباید تمام فالهای آلوده را پاک کنید و این به معنی نابود
شدن فایلهای سیستمی ویندوز هم هست ( یعنی این که راه حلی ندارد ) پیشنهاد من :
1.با آنتی ویروس یا به صورت دستی تمام فایلهای اجرایی با پسوند EXE و SCR را در درایوهای دیگر به غیر از درایو
ویندوز پیدا و پاک کنید ( حتی اگر یک نمونه هم باقی بماند پس از نصب ویندوز مجددا سیستم را آلوده خواهد کرد )
2.درایو ویندوز را فرمت کنید و ویندوز را از نو نصب کنید ( توجه کنید گفتم فرمت کنید نه این که ویندوز جدید را روی
ویندوز قبلی بریزید )
3 .دوست عزیز آنتی ویروس را فقط هنگام دردسر نصب نمی کنند که کار از کار گذشته است . کار اصلی یک آنتی
ویروس پیشگیری از آلودگی است و باید از همان ابتدای نصب ویندوز روی سیستم نصب شود و به صورت منظم
آپدیت شود تا چنین مشکلاتی پیش نیاید.
موفق باشید
دوست عزیزسلام دوستان
یه ویروسی رفته بود توی کامپیوتر که در حال حاضر پاکش کردم. ولی اثراتش باقی مانده.
یکی از این مشکلی که برام بوجود آورده اینه که وقتی میام مثل عکس زیر و در منوی فولدر آپشن گزینه Show Hiden رو میزنم ولی باز که به این منو میام دوباره اون دایره میره بالا و باعث میشه که فایل های مخفی رو نشون نده.
حال چگونه میتونم این تنظیم رو درست کنم و به حالت نرمال برگردونمش ؟
اگر مطمئن هستید که این بدافزار را پاک کرده اید برای حل مشکلتان این فایل را دانلود کنید و هر سه
فایل داخل آن را اجرا کنید :
[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
كرم جديدي بنام W32.Gammima.AG
كامپيوتر منو آلوده كرد كه norton anti virus دخلشو آورد .....
من راجع به اين كرم تحقيق كردم بد نيست شما هم بدونيد:
1 - در August 27, 2007 كشف شده.
2 - اندازه ش 75,520 bytes
3 - سيستمهاي قابل آلودگي : Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP
وقتي كرم شروع به فعاليت ميكنه فايل زير رو درست ميكنه :
System%\kavo.exe
* %System%\kavo0.dll
و فايل kavo0.dll نيز به برنامه هاي در حال اجرا تزريق ميشه
و همچنين فايل زير رو كه يك كپي از Hacktool.Rootkit است توليد ميكنه:
%Temp%\[RANDOM FILE NAME].dll
و سپس كرم خودش رو در همه درايوها تحت نام
[DRIVE LETTER]:\ntdelect.com
كپي ميكنه
و همچنين در همه درايوهاي فعال فايل زير رو كپي ميكنه
[DRIVE LETTER]:\autorun.inf
و بعد تغييراتي در رجيستري ايجاد ميكنه به شرح ذيل:
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run\"kava" = "%System%\kavo.exe"
* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\Advanced\Folder\Hidden\SHOWALL \"CheckedValue" = "0"
* HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Explorer\Advanced\"Hidden" = "2"
* HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Explorer\Advanced\"ShowSuperHidden" = "0"
* HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Pocilies\Explorer\"NoDriveTypeAutoRun" = "0x91"
بقيه اش هم اينه:
The worm checks if it has been injected into any of the following processes:
* zhengtu.dat
* elementclient.exe
* dekaron.exe
* hyo.exe
* wsm.exe and ybclient.exe
* fairlyclient.exe
* so3d.exe
* maplestory.exe
* r2client.exe
* InphaseNXD.EXE
It then attempts to steal sensitive information for the following online games:
* ZhengTu
* Wanmi Shijie or Perfect World
* Dekaron Siwan Mojie
* HuangYi Online
* Rexue Jianghu
* ROHAN
* Seal Online
* Maple Story
* R2 (Reign of Revolution)
* Talesweaver
he worm ends the Matrix Password process if it finds a dialog box with the following characteristics:
Title: MatrixPasswordDlg
Message: Warning! (In Chinese characters)
The harvested information is then sent to the remote attacker via HTTP.
Recommendations
Symantec Security Response encourages all users and administrators to adhere to the following basic security "best practices":
* Turn off and remove unneeded services. By default, many operating systems install auxiliary services that are not critical, such as an FTP server, telnet, and a Web server. These services are avenues of attack. If they are removed, blended threats have less avenues of attack and you have fewer services to maintain through patch updates.
* If a blended threat exploits one or more network services, disable, or block access to, those services until a patch is applied.
* Always keep your patch levels up-to-date, especially on computers that host public services and are accessible through the firewall, such as HTTP, FTP, mail, and DNS services (for example, all Windows-based computers should have the current Service Pack installed.). Additionally, please apply any security updates that are mentioned in this writeup, in trusted Security Bulletins, or on vendor Web sites.
* Enforce a password policy. Complex passwords make it difficult to crack password files on compromised computers. This helps to prevent or limit damage when a computer is compromised.
* Configure your email server to block or remove email that contains file attachments that are commonly used to spread viruses, such as .vbs, .bat, .exe, .pif and .scr files.
* Isolate infected computers quickly to prevent further compromising your organization. Perform a forensic analysis and restore the computers using trusted media.
* Train employees not to open attachments unless they are expecting them. Also, do not execute software that is downloaded from the Internet unless it has been scanned for viruses. Simply visiting a compromised Web site can cause infection if certain browser vulnerabilities are not patched.
اينم لينك منبع:
کد:برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید
Last edited by rghanei; 17-02-2008 at 09:46.
دوست عزیز سیستم شما هنوز آلوده است و تا زمانی که این آلودگی را پاک نکنید هر کار دیگری بی فایده است .Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 1257 AM, on 2/16/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE
C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe
C:\Program Files\Common Files\Network Associates\TalkBack\TBMon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\DOCUME~1\xantia\LOCALS~1\Temp\svchost.exe
C:\WINDOWS\system32\wpabaln.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\xantia\Desktop\HiJackThis.exe
C:\WINDOWS\system32\wuauclt.exe
O4 - HKLM\..\Run: [SoundMax] C:\Program Files\Sound Utility\Soundmax.exe
O4 - HKLM\..\Run: [ShStatEXE] "C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [Network Associates Error Reporting Service] "C:\Program Files\Common Files\Network Associates\TalkBack\TBMon.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Office Update.lnk = C:\WINDOWS\Web\OfficeUpdate.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{3785E9B1-56EF-4245-B3DC-4F2F2E0F827A}: NameServer = 217.218.155.104 217.218.155.105
O17 - HKLM\System\CS1\Services\Tcpip\..\{3785E9B1-56EF-4245-B3DC-4F2F2E0F827A}: NameServer = 217.218.155.104 217.218.155.105
O23 - Service: McAfee Framework Service (McAfeeFramework) - Network Associates, Inc. - C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\Mcshield.exe
O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe
--
End of file - 3011 bytes
نمی دانم چرا با وجود این همه انتی ویروس خوب سراغ آنتی ویروسی رفته اید که قابلیت آپدیت ندارد .مک آفی روی
سیستم شما 6 پروسه فعال دارد ولی عملا هیچ کاری نمی کند. اولین کاری که باید بکنید پاک کردن کامل این آنتی
ویروس و تمام ضمایم آن است و بعد نصب یک آنتی ویروس دیگر ( حتی نسخه را یگان AVG و Avast هم به مراتب از
آنتی ویروسی که در حال حاضر با این شرایط روی سیستم شما نصب است بهتر هستند) و پس از آپدیت و غیر فعال کردن
System Restore در حالت Safe Mode سیستم را اسکن کنید ( البته این کارهایی است که باید اول انجام می دادید و
بعد Log را می گذاشتید ) .در ضمن اگر می توانید قبل از انجام کارهای بالا در حالت Safe Mode به صورت دستی
فایل زیر را پیدا و پاک کنید :
C:\Documents and Settings\xantia\Local Settings\Temp\svchost.exe
برای حل مشکل فایلهای پنهان شده پس از انجام کارهای بالا این فایل را دانلود کنید و هر سه فایل داخل آن را
اجرا کنید :
[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
مرسی از شما مدیر انجمن
برای این مشکل من کاری نمی توان کرد ؟جالب شداین فایل برای دستکاری ویندوز برای افزایش تعداد اتصالات است. روی سیستم چیزی پیدا نکرده ولی رو فایل زیپ شده گیر میده.
من چی کار کنم ؟
مال من هم اسمش همین بود.
این svchost چیه ؟
هم اکنون 1 کاربر در حال مشاهده این تاپیک میباشد. (0 کاربر عضو شده و 1 مهمان)
قوانين ايجاد تاپيک در انجمن
نوشته شده توسط iran2008
