مشکلات آلوده شدن سیستم به ویروس ها و اسپای ور ها ( ابتدا پست اول را ببینید )

[mahdi7610]

چند وقت پیش کامپیوترم دچار یه ویروسی شد که اختلالاتی درون هاردم ایجاد می کرد مثلآ هنگام cut کردن اطلاعاتی در درون یک فولدر دیگر اطلاعاتی مشاهده نمی شد و تمامی فولدرها با پر شدن هر فولدر با هر حجم اطلاعاتی که داشت فقط 64k می شد.و باز با برگردامندن این اطلاعات سر جای قبلی خودشان دوباره نشان داده می شدند.
با آنتی ویروس mcafee 8.5 اسکن کردم با اسکن کردن هارد ویروسهایی با نامهای:
W32/Sality.ac, Generic Delphi پیدا شدند و اون مشکلم حل شد ولی مشکلی بدتر از اون رخ دارد.
تمامی فولدرهایی که در این زمان باز شده بودند دچار این ویروس ها شده بودند و تبدیل به exe شده بودند و آنتی ویروس به طور خودکار این فولدر ها را یکبار clean , بار دیگر delet کرد و تمامی فولدر هایی که ویروسی شده یودند پاک یا مخفی شدند.
اما تمامی فایلهای درون این فولدرها وجود دارند واز طریق آدرس دهی در address bar می توان به فایلها دسترسی پیدا کرد مثلآ به صورت زیر :d:\soti\JJ\AVSEQ2.MP3
در ضمن حتی با جستجو این فولدرها پیدا نمی شوند.
اما فولدرها به طور حتم حذف نشده اند چون با ساختن یک فولدر با نام یکی از فولدرهای حذف شده پیغامی مبنی بر اینکه این فولدر در این مسیر وجود دارد و شما نمی توانید بسازید و یا با کپی کردن فولدری با نام همان فولدری که هم اکنون مشاهده نمیشه پیغامی مبنب بر اینکه فولدری هم نام با ابن فولد و اطلاعات درون آن وجود دارد و می خواهید اطلاعات روی آنها نوشته شود.

سلام دوست عزیز

اگه به ادرسی که توی امضاء من هست رجوع کنی سه روش برای برگرداندن فایلهای مخفی شده گفته ام .

که میتونید با استفاده از اون روشها متوجه بشید که فایلهای شما حذف شده اند یا مخفی شده اند

حتما به ادرسی که توی امضام هست رجوع کن .

موفق باشید .

[David.Jn]

ممنون از شما دوست عزیز
واقعآ انجمن به کسایی مثل شما احتیاج داره
من تمامی فولدرهایی که مخفی شده بودند را از طریق اون bat فایلی که تو تاپیکتون گفته بودین برگردوندم منظورم اینه:

کد:

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

ولی با اجرای این bat فایل فایلهای سیستمی هم نمایش داده می شوند.مثل:_Restore و Config.Msi و System Volume Information
چه جوری میتونم از نمایش این فایلها و فولدرها جلوگیری کنم.یا باید فقط آنها را hidden کنم.
ممنون

[mahdi7610]

ممنون از شما دوست عزیز
واقعآ انجمن به کسایی مثل شما احتیاج داره
من تمامی فولدرهایی که مخفی شده بودند را از طریق اون bat فایلی که تو تاپیکتون گفته بودین برگردوندم منظورم اینه:

کد:

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

ولی با اجرای این bat فایل فایلهای سیستمی هم نمایش داده می شوند.مثل:_Restore و Config.Msi و System Volume Information
چه جوری میتونم از نمایش این فایلها و فولدرها جلوگیری کنم.یا باید فقط آنها را hidden کنم.
ممنون

سلام دوست عزیز
خواهش می کنم این نظر لطف شماست .

برای اینکه بتونید فایلهای سوپرهایدن را به حالت مخفی در بیارید فقط یه خورده باید حوصله به خرج بدید . با استفاده از دستور زیر می تونید اونها را مخفی کنید .
ابتدا به Folder option برید و مطمئن باشید که گزینه Hide protected operating system files تیک داشته باشد .

سپس با استفاده از دستور

کد:

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

فایلهای سوپر هایدن را مخفی کنید .

شما این دستور را توی run کپی کنید و به جای drive:\file path اسم درایو و فایل را بهش بدید و بعد هم ok کنید .
مثلا شما می خواهید توی درایو d فایلی به اسم System Volume Information را به شکل سوپر هایدن کنید .
باید توی run بنویسید

کد:

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

موفق باشید .

[[ali]]

این تروجان چه خساراتی وارد می کنه و کارش چیه؟

[ya30n]

اين گزارش سيستم من بعد از اسكن
لطفا كمكم كنيد
مشكل اصليم اينه كه تمام پوشه ها شدن 37kb
و تو درايو c كه ويندوز نصب هست از هر پوشه دو تا هستش!!!

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 05:55:31 ب.ظ, on 2008/03/08
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINXPSP2\System32\smss.exe
C:\WINXPSP2\system32\winlogon.exe
C:\WINXPSP2\system32\services.exe
C:\WINXPSP2\system32\lsass.exe
C:\WINXPSP2\system32\svchost.exe
C:\WINXPSP2\System32\svchost.exe
C:\WINXPSP2\system32\spoolsv.exe
C:\WINXPSP2\system32\nvsvc32.exe
C:\WINXPSP2\system32\wscntfy.exe
C:\WINXPSP2\explorer.exe
C:\DOCUME~1\yas\LOCALS~1\Temp\services.exe
C:\WINXPSP2\system32\RunDll32.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\WINXPSP2\system32\RUNDLL32.EXE
C:\WINXPSP2\system32\ctfmon.exe
C:\Program Files\Internet Explorer\iexplore.exe
K:\Program Files\DAP\DAP.EXE
C:\Program Files\Rad\Killjoy Killer\Rad Killjoy Killer.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\DOCUME~1\yas\LOCALS~1\Temp\Rar$EX00.687\HijackT his.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
F2 - REG:system.ini: Shell=explorer.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINXPSP2\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINXPSP2\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINXPSP2\system32\NeroCheck.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINXPSP2\system32\ctfmon.exe
O4 - HKCU\..\Run: [Yahoo! Pager] "K:\Program Files\Messenger\YahooMessenger.exe" -quiet
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINXPSP2\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINXPSP2\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINXPSP2\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINXPSP2\system32\CTFMON.EXE (User 'Default user')
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O8 - Extra context menu item: &Download with &DAP - K:\Program Files\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - K:\Program Files\DAP\dapextie2.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{EA8C9419-186D-474F-91B6-A77563261E02}: NameServer = 217.219.94.3 217.219.94.2
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINXPSP2\system32\nvsvc32.exe

--
End of file - 2997 bytes

يا حق (:

[symk]

آقا ممنون
من به صورت دستی موفق شدم ترتیب ویروس رو بدم . با برنامه ای که در پست اول هست فایلها رو از حالت Hiddenدر آوردم و پاک کردم البته دوباره فعال میشدند ولی خوب دفعه آخر فایلهای amvo.exe , amvo.dll رو تغییر نام دادم بعد پاک کردم و دیگه مشکلی پیش نیومد و همه چیز به روال اول برگشت .

[The One]

سلام.دوستان من مدتی هست که گرفتار مشکل عجیبی شدم
یک بار که وارد ویندوز شدم دیدم که آنتی وایرس من کهNOD 32 هست یعنی بود !و چون همیشه وصلم روزی چند بار Update می شد.خلاصه دیدم نیست یعنی دیگه اجرا نمی شد.اومدم سی دیش رو بزارم دید سیستمم اصلا هیچ removable ی رو (اعم از دیسک ها و حافظه های جانبی ) نمیشناسه !می خوام بدونم چه بلایی سرم اومده و اینکه برای حلش باید چه کار کنم .راه حل منطقی فعلا اینه که از اینترنت دانلود کنم.اول این که چه آنتی وایرسی رو انتخاب کنم(این طور که معلومه nod از پسش بر نمی آد)و اینکه اگه وایرس لعنتی اجازه ی نصب بم نداد باید چه کار کنم.چون این بلا سر نوتبوکم اومده و ویندوزش اوریجنال هست اصلا دلم نمیاد ویندوز عوض کنم.
دوستان....
چه کنم؟!!!

[Nine]

سلام.دوستان من مدتی هست که گرفتار مشکل عجیبی شدم
یک بار که وارد ویندوز شدم دیدم که آنتی وایرس من کهNOD 32 هست یعنی بود !و چون همیشه وصلم روزی چند بار Update می شد.خلاصه دیدم نیست یعنی دیگه اجرا نمی شد.اومدم سی دیش رو بزارم دید سیستمم اصلا هیچ removable ی رو (اعم از دیسک ها و حافظه های جانبی ) نمیشناسه !می خوام بدونم چه بلایی سرم اومده و اینکه برای حلش باید چه کار کنم .راه حل منطقی فعلا اینه که از اینترنت دانلود کنم.اول این که چه آنتی وایرسی رو انتخاب کنم(این طور که معلومه nod از پسش بر نمی آد)و اینکه اگه وایرس لعنتی اجازه ی نصب بم نداد باید چه کار کنم.چون این بلا سر نوتبوکم اومده و ویندوزش اوریجنال هست اصلا دلم نمیاد ویندوز عوض کنم.
دوستان....
چه کنم؟!!!

برای اسکن کردن و انتخاب آنتی ویروس به نظر من آخرین ورژن انتی ویروس کسپر سکی رو دانلود کن از لینک زیر

کد:

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

بعد حالت استفاده 30 روزش رو استفاده کن trial
به اینترنت وصل شو و آپدیت ش کن حتما باید آپدیت باشه قبل از اسکن
System restore رو به طور کامل خاموش کن
به حالت safemode برو (معمولا با F8)
کسپر رو مطابق زیر تنظیم کن و به طور کامل scan my computer کن



در پاک کردن فایل هایی که پیدا می شه دقت کنید
در ضمن پست اول همین تاپیک رو هم بخونید ممکنه کمکی باشه براتون
در ضمن در مورد اجرا نشدن نود32 و اینکه چه پیغامی می ده هم بنویسید احتمالا پیغامی مبنی بر kernel service است؟؟

[mbfard]

این چه ویروسی که system restore و search ویندوز رو از کار انداخته و تو یا هو مسنجر هم امکان دیدین نوشته ها وجود نداره و نمیشه off هارو خوند
با انتی ویروس nod32 آپدیت شده هم مشکل حل نشد
لطفا یه راهی پیشنهاد بدید که نیازی به تعویض ویندوز نباشه

کد:

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

[The One]

دارم از اون لینکی که دادید دانلود می کنم.پیغام is not a valid win32 application می ده اون برنامه ی hijack رو هم که تو پست اول معرفی شده بود دانلود کردم همین پیغام رو داد.احتمال می دم نشه کسپر رو هم نصب کرد.حسابی گیج شدم اگه نشد چی می شه؟!!