مشکلات آلوده شدن سیستم به ویروس ها و اسپای ور ها ( ابتدا پست اول را ببینید )

[monster489]

با سلام اگر میشه این عکس را در ادرس زیر ببینید و در صورت امکان توضیح بدید که اینها چی هستند و هر بلایی که بگید سرشون با برنامه های مختلف و خود ویندوز اوردم ولی پاک نمیشن که نمیشن.helpppppppppppp meeeeeeee

کد:

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

در صورتیکه از نرم افزار folder lock استفاده می کنید و یا کرده اید مشکلی وجود نداره و این فایل و پوشه متعلق به این برنامه میباشه . در غیر اینصورت نرم افزار hijack this رو در پست اول دانلود ونتایجشو قرار بدید .

[monster489]

سلام

خسته نباشید..

سیو پسورد یاهو مسنجرم رفته..

لطفا F1

از کار افتادن سیو پسورد در یاهومسنجر نشانه خوبی نیست چون یکی از کارهائیکه پسورد سندر ها می کنند اینه که این سیو را از کار می اندازند تا شما رو مجبور به تایپ پسورد و یوزرنیم و در نتیجه ارسال آنها به هکر می کنند .برای همین فعلا لوگین نشید و برنامه hijack this در صفحه اول دانلود و نتایجشو قرار بدید . در ضمن اگر از آنتی ویروس هم استفاده می کنید اسمشو ذکر کنید .

[monster489]

اين فايل خودش يک تروجان هست ,
چون بعد از اجرا تمام Private Data , فايرفکس رو تويه سه فايل ذخيره می کنه:
در درايو C سه تا فايل درست ميکنه:

key.db
signon.txt
textm1.txt

اينجوری که من فايل Signon.txt رو نگاه کردم از چند قسمت تشکيل شده:
1- قسمت اول, سايتهايي که من تو فايرفاکس گفتم هيچ وقت پسوردشون رو حفظ نکند
2- سايتهايي که فاير فايکس Pass رو حفظ کرده
3- تنظيمات اتصال به اينترنت تو فاير فاکس
4- تمامی cookiesهای فايرفاکس

فايل Key.db حجمش حدود 16kb هست و محتواش مشخص نيست فقط اين جمله رو ميشه توش يافت:
§password-check******* qBglobal-saltVersion

فايل textm1.txt هم که کلا به رمز هست

به نظر ميرسه يه الگوريتمی برای شکستن Pass هست
به اين سايتها يه نگاهی بندازيد:
[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
[url]http://www.drh-consultancy.demon.co.uk/key3.html[/url


چون ازين الگوريتم هم برای شکستن رمز Opera استفاده شده...[/quote]

__________________________________________________ ____________________________
با تشکر از نظر شما
راستش بنده هم اعلام نکردم این فایل کاملا سالم است . این دوست عزیز ازمن پرسیدن این فایل کی لوگر هست که اعلام کردم این فایل به تنهایی کی لوگر نیست . چون موقعی که این فایل رو در حالت آفلاین اجرا کنید غیر از باز کردن پورت کار دیگه ای نمی کنه ( البته اینو باید اضافه کنم که دو تا فایل key3.db و signon2.txt که مربوط به مرورگر فایرفاکس میباشد به شاخه بالایی درایو c کپی میکنه) و حتی اگر شما آنلاین هم بشید چون هیچگونه فایل اجرایی درسیستم کپی نکرده هیچگونه مشکلی برای شما ایجاد نمی کنه مگر اینکه برنامه را در حالت آنلاین اجرا کنید که در اینصورت اقدام به مبادله اطلاعات میکنه که بنده این امر رو هم در گفته هام متذکر شدم . در مورد اون سه تا فایلی که شما فرمودید باید عرض کنم key3.db و signon2.txt مربوط به مرورگر فایرفاکس
می باشد و کاراییشون ذخیره پسوردها توسط مرورگر می باشه که در صورت داشتن این مرورگر می تونید اونها رو در مسیر زیر پیدا کنید :

کد:

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

فایل سوم رو نرم افزار ایجاد می کنه . این نرم افزار برای کسانی که ازمرورگر فایرفاکس استفاده میکنند خطرناک و برای کسانیکه از مرورگرهای دیگر استفاده می کنند خطری نداره البته همانطور هم که سازندش اعلام کرده برای استفاده از این نرم افزار باید از مرورگر فایرفاکس استفاده بشه . در پایان هم گفته قبلیمو دوباره نقل میکنه :

کد:

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

[iran2008]

برای بار سوم :

سلام
من یه فایلی رو ساختم و بعدا حذفش کردم. ( منظور از فایل یه آکونت --- هست)
ولی شورتکاتش رو که رو دسکتاپ هست حذف نمیشه و این پیغام میده :

[reza44]

با درود
دوستان من از فایل های اپلود شده در پست یک استفاده کردم و auto run رو از بین بردم
ایل میشه با همین ها ویروس از بین برنده folder option رو از بین برد ؟ اسم فایل الوده چیه؟
این مشکل دوستمه اون به اینترنت هم نمی تونه وصل شه کاره همینه اگه کمک کنید ممنون کمیشم

[Hsnti]

سلام
من الان یه دو روزه که وقتی میخوام کانکت بشم مودم کانکت نمیشه و اکثر مواقع بعد از شماره گیری هیچ اتفاقی نمیفته
بعد از الی بار تلاش شانسی وصل میشم
اشکال از ای اس ÷ی هم نیست
با انتی ویروس هم چیزی پیدا نکردم شنیده بودم یه تروجان هست که داخل مودم میشه و ارتباط رو قطع میکنه نمیدونم چکار کنم اگه کسی میتونه کمک کنه لطفا"

[ehsan_jan3]

در صورتیکه از نرم افزار folder lock استفاده می کنید و یا کرده اید مشکلی وجود نداره و این فایل و پوشه متعلق به این برنامه میباشه . در غیر اینصورت نرم افزار hijack this رو در پست اول دانلود ونتایجشو قرار بدید .

واقعا فهمیدم که حرفه ای هستید بعله من یکبار برنامه فولدر لوک نصب کردم و ممنون که خیلم را راحت کردید با تشکر.ولی عجب برنامه چسبیه به هیچ طریقی حذف نمیشه.

[shadli_m7]

نرم افزار hijack this رو که دوستان در پست اول این تاپیک قرار دادن دانلود کنید و نتایجشو قرار بدید.

ممنون بابت راهنماییتون
من ویندوز رو از اول نصب کردم (فقط درایو سی رو فرمت کردم) و بجای مک آف هم نود نصب کردم.
با نرم افزاری هم که شما گفته بودین اسکنش کردم که واستون می ذارمش . ممنون می شم کمکم کنید.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 5:03:24 AM, on 3/4/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Eset\nod32krn.exe
C:\Program Files\Eset\nod32kui.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\WINDOWS\system32\osk.exe
C:\WINDOWS\system32\MSSWCHX.EXE
F:\Moz\HiJackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKCU\..\Run: [amva] C:\WINDOWS\system32\amvo.exe
O4 - HKCU\..\Run: [Yahoo! Pager] "C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe" -quiet
O4 - Global Startup: Acrobat Assistant.lnk = C:\Program Files\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe

--
End of file - 2161 bytes

[shahedi]

برای بار سوم :

سلام
من یه فایلی رو ساختم و بعدا حذفش کردم. ( منظور از فایل یه آکونت --- هست)
ولی شورتکاتش رو که رو دسکتاپ هست حذف نمیشه و این پیغام میده :

از این نرم افزار استفاده کنید.

اگر نتونست پاک کنه بذارینش روی راه اندازی مجدد.

[monster489]

ممنون بابت راهنماییتون
من ویندوز رو از اول نصب کردم (فقط درایو سی رو فرمت کردم) و بجای مک آف هم نود نصب کردم.
با نرم افزاری هم که شما گفته بودین اسکنش کردم که واستون می ذارمش . ممنون می شم کمکم کنید.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 5:03:24 AM, on 3/4/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Eset\nod32krn.exe
C:\Program Files\Eset\nod32kui.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\WINDOWS\system32\osk.exe
C:\WINDOWS\system32\MSSWCHX.EXE
F:\Moz\HiJackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKCU\..\Run: [amva] C:\WINDOWS\system32\amvo.exe
O4 - HKCU\..\Run: [Yahoo! Pager] "C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe" -quiet
O4 - Global Startup: Acrobat Assistant.lnk = C:\Program Files\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe

--

End of file - 2161 bytes

لطفا به مسیر زیر بروید و فایل amov.exe رو پیداکنید :


C:\WINDOWS\system32

در صورتیکه این فایل رو پیدا نکردید و فایل بصورت هیدن بود بدونید که سیستمتون آلوده به تروجان شده
و مواردی رو که میگم انجام بدید : با توجه به اینکه شما ویندوزتون رو دوباره نصب کردید من احتمال میدم که این
تروجان از طریق مموری کارد موبایل و یا فلش مموری به سیستمتون منتقل گشته و گرنه بگردید منشا آلودگی رو پیدا کنید . آنتی ویروس نود را از سیستمتون پاک کنید و آنتی ویروس و یا اینترنت سکیوریتی کاسپر رو بر روی سیستمتون نصب کنید. اگر کاسپر این تروجان رو شناسایی کنه شما دیگه مشکلی ندارید و موقع اتصال موبایل و یا فلش مموری به سیستم اون رو پاک خواهد کرد البته اگر منشا آلودگی این دوتا مورد باشه .