با راست کلیک کردن روی پوشه های خاص Explorer بسته می شه (مشکل ویندوز یا ویروس )

[Dr Hannibal]

حدسم درست بود ،کاملا آلوده به روت کیت هستید.

اینا پاک شده فعلا اگر بتونیم خوب مسیر آلودگی رو پاک سازی کنیم تمام سرویس های روت کیت رو ببنیدیم سرعت سیستم به حالت نرمال برمیگرده.

راستی این ویندوز XP بود ؟

کد:

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

این پایینی آلوده مونده

کد:

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

که فعلا نباید بهش دست بزنید. صبر کنید تا بقیه موارد چک بشه.

یکی از ریجیستری هارو روت کیت قفل کرده باید آزاد بشه.

اول از همه این فایل رو اجرا کنید

کد:

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

یک پنجره باز میشه شما Disable رو بزنید.

این فایل رو دانلود و اجرا کنید:

کد:

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

یک پنجره باز میشه داخلش این متن رو کپی کنید: ( اصلاح شد )

کد:

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

لاگی که بهتون میده تحت عنوان SystemLook.txt رو اینجا بذراید.

سپس این 5 فایل رو برام در ویروس توتال آپلود کنید لینک اسکن رو اینجا بذارید: فقط لینک اسکن کافیه.

کد:

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

پست بعدی رو درحالی بدین که تولبار ask رو از سیستم ریمو کرده باشید و بعد از آن روی درایو ویندوز کلیک راست کنید و با انتخاب پروپرتیس دیسک کیلین آپ کنید. با بهتره از نرم افزار ccleaner استفاده کنید. ( هم ریجستری و هم جانک فایل ها رو پاک سازی کنید ).

منتظرم.

[MrGee]

این هم اون فایلی که بهش مشکوک هستم :
اندازه : 500 کیلوبایت
نام : PS.rar
پسورد : 1
کد:

کد:

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

چندان مشكوك به نظر نمي رسيد

یک پنجره باز میشه داخلش این متن رو کپی کنید:


کد:
:fuserinit
*userinit*

با اين اشتباه نشده؟

کد:

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

[Dr Hannibal]

با اين اشتباه نشده؟

کد:

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

بله درست تایپ نشده بود. ولی 45 دقیقه قبل از پست شما اصلاح شده بود

[MrGee]

ولي من همچنان اون رو به شكل قبلي مي بينم : (

[Dr Hannibal]

اشباه از من بود ، در خواست SystemLook اصلاح شد. تشکر از [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

[as13851365]

راستی این ویندوز XP بود ؟

بله Windows.XP.Pro.SP3.Integrated.March.2011

پست بعدی رو درحالی بدین که تولبار ask رو از سیستم ریمو کرده باشید و بعد از آن روی درایو ویندوز کلیک راست کنید و با انتخاب پروپرتیس دیسک کیلین آپ کنید. با بهتره از نرم افزار ccleaner استفاده کنید. ( هم ریجستری و هم جانک فایل ها رو پاک سازی کنید ).

باشه

چندان مشكوك به نظر نمي رسيد

بابت تستی که کردی ممنون

یک پنجره باز میشه داخلش این متن رو کپی کنید: ( اصلاح شد )
:filefind
*userinit*
لاگی که بهتون میده تحت عنوان SystemLook.txt رو اینجا بذراید.

کد:

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

توی این چند روزی که با این مشکل درگیر بودم یه چیزهای از این روتکیت دستگیرم شد (خداییش برنامه جالبی هستش)

برای این که از شرش به طور کامل خلاص بشم برای هر دو سیستم ویندوز رو از اول نصب کردم و مابقی درایوهای هر دو سیستم رو قفل کردم تا اگر احیانا این روتکیته دیسک ریزیدنت هم بوده باشه کاربران نتونن اجراش کنند تا راه حل قطعی برای اونها هم پیدا نکردم درایوها قفل می مونه ( در سیستم خودم نزدیک به 50 گیگ برنامه دارم ولی در سیستم دیگه برنامه های خواصی نیست

البته این ویندوزها رو هم برای این از اول نصب کردم چون اونطوری که فهمیدم هر کاریش کنی باز این روتکیته به طور کامل از سیستم پاک نمیشه و تا زمانی که دقیقا مشخص نشه که کجاها رو هدف قرار داده و چه فایلهایی آلوده هستش نمی شه کاریش کرد برا همین ویندوز رو از اول نصب کردم

حالا یه سری برنامه هایی چون UnHackMe v5.99 Build 380 رو دارم نصب می کنم ببینم داخل درایوهام چیزی پیدا می کنه یا نه

اگه دوستان برنامه ی خواصی سراغ دارن ممنون می شم راهنمایی کنند ( نمی خوام برنامه هام از دست بره )

از این که لطف کردید و تا حالا پیگیر این مشکل بودید کمال تشکر رو دارم

[MrGee]

خب....


لطفا به اين سوالها جواب بديد
1-الان همچنان هارد چراغ شما به طور دائم روشنه و چشمك نمي زنه؟
2-همچنان سرچ هاي گوگل اون جوري مي شن يا فقط يه بار بود؟

تست کردم هیچ مشکلی نیست فقط بعد از زمانی ( اجرای بعضی فایلها اجرایی { که دارم دونه دونه بررسیشون می کنم } ) این مشکل رخ می ده

3- نتيجه چي شد؟

دقت کنید دوستان دیگه گفته بودند اسکن با MBAM ، این یک نکته ضروری حتما این رو هم انجام بدید دوست عزیز. حجم زیادی رو نمیبره برای اپدیت و دانلود ، در ضمن برای اسکن میتونید فقط کوئیک اسکن رو انتخاب کنید.

تست می کنم نتیجه رو می گم

4- نتيجه؟؟

سپس این 5 فایل رو برام در ویروس توتال آپلود کنید لینک اسکن رو اینجا بذارید: فقط لینک اسکن کافیه.
کد:
c:\windows\system32\DRIVERS\VBoxNetFlt.sys
c:\windows\system32\drivers\idmtdi.sys
c:\windows\system32\drivers\ElbyVCD.sys
c:\windows\system32\msgsvc.dll
c:\windows\system32\drivers\tcpip.sys

منتظرم


همچنين شما اين برنامه رو دانلود كن و طبق عكس يه اسكن بگير و اون دوتا فايل رو اينجا بزار

کد:

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

[as13851365]

1-الان همچنان هارد چراغ شما به طور دائم روشنه و چشمك نمي زنه؟

نه دیگه به حالت عالی برگشته ( در پست 4 این مورد رو گفتم )

2-همچنان سرچ هاي گوگل اون جوري مي شن يا فقط يه بار بود؟

این مورد هم یک بار در همان روز اتفاق افتاد از اون روز به بعد همچین چیزی اتفاق نیافته است .

تست کردم هیچ مشکلی نیست فقط بعد از زمانی ( اجرای بعضی فایلها اجرایی { که دارم دونه دونه بررسیشون می کنم } ) این مشکل رخ می ده
3- نتيجه چي شد؟

خوب برنامه های زیادی رو بررسی کردم ( مخصوصا اون برنامه هایی که در روزهای آخر نصب و یا اجرا کرده بودم و تنها فایلی که بهش مشکوک بودم همان PS.exe بود که شما گفتید مورد خاصی توش نیست

سپس این 5 فایل رو برام در ویروس توتال آپلود کنید لینک اسکن رو اینجا بذارید: فقط لینک اسکن کافیه.

خوب همونطوری که گفتم ویندوز جدید نصب کردم و درایوهای دیگه رو قفل کردم ( کسی فایلهای موجود در اونها رو اجرا نکنه ) یعنی در کل فکر نکنم دیگه الان توی سیستم روتکیت یا ویروس دیگه ای باشه

دقت کنید دوستان دیگه گفته بودند اسکن با MBAM ، این یک نکته ضروری حتما این رو هم انجام بدید دوست عزیز. حجم زیادی رو نمیبره برای اپدیت و دانلود ، در ضمن برای اسکن میتونید فقط کوئیک اسکن رو انتخاب کنید.

خوب این عکس از برنامه




این هم لاک مربوط به آن :

کد:

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

همچنين شما اين برنامه رو دانلود كن و طبق عكس يه اسكن بگير و اون دوتا فايل رو اينجا بزار

فایل : Extras.Txt

کد:

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

فایل : OTL.Txt
اندازه : 61 کیلوبایت
اندازه خود فایل 1.18 مگابایت بود که زیپش کردم و اندازش 61 کیلوبایت هستش
لینک :

کد:

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

به کمک شما دوستان الان فکر کنم ویندوز سالم باشه و هیچ مشکلی نداشته باشه
فقط از این می ترسم که این روتکیته به فایلهای دیگه چسبیده باشه و با اجرای اونها دوباره اجرا بشه

[Dr Hannibal]

اون مسیری که ما دنبالش بودیم کمک کنیم که نشد ، الان نه دیگه با کمبوفیکس میشه کار کرد نه olt فایده داره نه چیزه دیگه ای.

ببینید بحث رفع آلودگی با آلوده نشدن جداست و کارایی که الان شما باید بکنید با قبل فرق میکنه.

ما یک سری سوئیت امنیتی داریم که میتونه تقریبا تا 100% براتون امنیت بیاره. من میخوام یکی از این سوئیت هارو توی سیستمی که الان پاکه نصب کنید. تنظیمات رو بدقت انجام بدید بعد از نصب و کانفیگ سوئیتی که پایین میذارم درایو هارو بدون نگرانی باز کنید.

تاپیک زیر رو باز کنید

[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ] ( [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ] [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ] [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ] [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ] [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ] ... [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ] )

کمودو اینترنت سکیوریتی رو نصب کنید. تنظیمات درست در پست دوم گفته شده. تنظیمات رو بدقت انجام بدید.
وقتی که کاملا کار با این سوئیت رو یاد گرفتید درایو هارو آزاد کنید و موارد مشکوک رو دستی پاک کنید.

هر مشکلی داشتید اگر در مورد کمودو بود در تاپیک خودش مطرح کنید معمولا جواب به سرعت داده میشه. یا اگه در مورد آلودگی بود همینجا مطرح کنید.

موفق باشید

[MrGee]

به کمک شما دوستان الان فکر کنم ویندوز سالم باشه و هیچ مشکلی نداشته باشه
فقط از این می ترسم که این روتکیته به فایلهای دیگه چسبیده باشه و با اجرای اونها دوباره اجرا بشه

اگه الان سيستم شما سالمه و مشكل پوشه هاي تك حرفي رو نداره؟؟
اگه اين طوره پس احتياجي به لاگ نيست
شما يه بار هم با آخرين نسخه هاي كمودو, كسپر و نورتون كل هارد رو چك كن
و اگه بعدا دوباره اين مشكل پيش اومد لاگ OTL رو اينجا بزار