آنالـیز و پاکسازی سیستم های آلوده(ابتدا پست اول را ببینید و فایل گزارش را آماده کنید)

[masoudnosrat]

[QUOTE=Dr.Smith;6784178]سلام...
دوستانی که مشکل آلوده بودن سیستم اعم از تروجان ، اسپای وار یا ویروس دارن و نمیدونن باید چکار کنن، از لینک پایین نرم افزار رو که HijackThis هست بگیرن و لوگ اون رو داخل همین تاپیک برای بررسی کامل و رفع مشکل قرار بدین ، به همراه لوگ مربوطه توضیحی درباره ی مشکلاتی که دارن ، نوع سیستم عامل ، آنتی ویروس چی استفاده میکنن ، از کی به وجود امدن مشکل و هرچیزی که لازم میدونین رو اینجا بزارین، حتما بررسی میشه.

مثالی میزنم :
"
سیستم من آلوده به یک تروجان شده که دسترسی من رو به اینترنت قطع کرده ، نمیتونم وارد به اینترنت بشم ، نمیتونم فایلهای مخفی رو ببینم چون وقتی مخفی هارو باز میکنم باز به حالت اولش برمیگرده ، دیشب که یک ایمیل آفلاین امد داخلش لینکی بود که من اون لینک رو کلیک کردم و ازون پس این مشکل به وجود امد..
سیستم عامل من : ویندوز XP هستش.
آنتی ویروسی که دارم : ناد 32
برنامه ی ضد جاسوسی : ندارم.

لوگ برنامه : -------------------------

"



دانلود نرم افزار :

[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

بعد از نصب روی گزینه ی اول کلیک کنین :

بعد از اسکن یک لوگ به شما میده این نرم افزار که شما اون رو داخل یک فایل با فرمت TEXT اینجا داخل همین تاپیک آپلود میکنین ، به هیچ عنوان عکسش رو اینجا نزارین فقط فایل متنی...

***** نکته ی بسیار مهم : بعد ازینکه برنامه لیست رو نشون داد به هیچ عنوان خودتون دکمه ی Fix Checked رو نزنید، اینکار فقط باید با بررسی انجام بشه ، با اینکار وضع میتونه از حالت اول هم بدتر بشه. شما فقط لوگ رو دریافت کنید ازین برنامه و کار دیگری نکنید.

دوستان !!
اگه براتون امکان داره وقتی ویروسی رو شناسایی میکنین مثلا روی فلش یا ما بهتون میگیم که کدوم فایل ویروس هست ، اون ویروس هارو برای ما زیپ کنید و آپلود کنید و لینکشون رو اینجا بزارین تا در آزمایشگاه تست بشه..ممنون از شما.

با سلام به شما دکتر عزیز من تازه عضو شدم سیستمی دارم با ویندوز اورجینال آلوده شده به ویروسی که همه برنامه های نصب شده را به شکل اینترنت اکسپلولر تغییر داده و پسوند lnk داده است. ویندوز را خاموش نمی کند بلکه به هنگام کلیک بر شات دان سیستم را هایبرنات مینماید. آنتی ویروس آپدیت بنده آوست بود به هنگام الوده شدن به جز کاسپر که کرک ان اجرا نمی شد و نورتن بقیه آنتی ویروس ها را اپدیت استفاده نموده و نتیجه ای نگرفته ام برنامه های جک را هم به همین شکل تغییر می دهد و امکان بازکردن آن نیست فقط برنامه هایی که در کنار ساعت آیکون دارند می توانند باز شوند خواهشمندم کمکم کنید آیا ویندوز قابل برگشت است بک اپ ندارم

[Kesel]

سلام
شما آنتی ویروس نود رو پاک کنید و فقط از سیمانتک استفاده کنید
اون رو آپدیت کنید و درایو سی رو فول اسکن کنید و هر چی پیدا کرد پاک کنید
از [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ] استفاده کنید ( تاپیکش رو مطالعه کنید وفایل های مشکوک رو پاک کنید مثل این فایل ها
C:\WINDOWS\system32\ED515B\8AF616.EXE
C:\641 Hadis\CDWC.exe
نتیجه رو اعلام کنید

بله ممنون به نظرم درست شده. حالا اگه نورتونو پاک کنم به جاس ESET بریزم که مشکلی ایجاد نمی شه ؟ منظورم اینه که فایلایی که نورتون قرنطینه کرده آزاد نمی شن ؟

[jolan57]

بله ممنون به نظرم درست شده. حالا اگه نورتونو پاک کنم به جاس ESET بریزم که مشکلی ایجاد نمی شه ؟ منظورم اینه که فایلایی که نورتون قرنطینه کرده آزاد نمی شن ؟

خواهش میکنم
به نظر من بذارید نورتون باقی بمونه و از ایست استفاده نکنید حالا اگر دوست دارید استفاده کنید نه مشکلی پیش نمیاد و فایل های قرنطینه پاک میشن

[jolan57]

[QUOTE=masoudnosrat;7083726]

با سلام به شما دکتر عزیز من تازه عضو شدم سیستمی دارم با ویندوز اورجینال آلوده شده به ویروسی که همه برنامه های نصب شده را به شکل اینترنت اکسپلولر تغییر داده و پسوند lnk داده است. ویندوز را خاموش نمی کند بلکه به هنگام کلیک بر شات دان سیستم را هایبرنات مینماید. آنتی ویروس آپدیت بنده آوست بود به هنگام الوده شدن به جز کاسپر که کرک ان اجرا نمی شد و نورتن بقیه آنتی ویروس ها را اپدیت استفاده نموده و نتیجه ای نگرفته ام برنامه های جک را هم به همین شکل تغییر می دهد و امکان بازکردن آن نیست فقط برنامه هایی که در کنار ساعت آیکون دارند می توانند باز شوند خواهشمندم کمکم کنید آیا ویندوز قابل برگشت است بک اپ ندارم

نیازی به کرک کسپر نیست از ابزار زیر استفاده کنید که رایگان است و نیاز به نصب ندارد , اگر برایتان امکان دارد در سیف مود و در غیر اینصورت در محیط ویندوز اسکن کنید
[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

[Captain MacMillan]

سلام

کامپیوتر من دو روزی میشه دچار ویروسی به ظاهر به اسم iexplore.exe شده که گاهی اوقات چند Process از اون در Task Manager مشاهده میشه. اینترنت اکسپلورر هم باز نیست. از جمله خراب کاری هایی که کرده:

سرعت بسیار کند شده.
وسط بازی به شدت افت فریم به وجود میاد ناگهانی.
مرورگر ها را خراب کرده! اپرا و موزیلا.
موقع بعضی کارها اختلال ایجاد می کنه و ارور Don't Send میاد.

سیستم عامل: XP
آنتی ویروس: Mcafee VirusScan Enterprise 8.5

این هم فایل لاگ:

[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

[A M ! N]

سلام

کامپیوتر من دو روزی میشه دچار ویروسی به ظاهر به اسم iexplore.exe شده که گاهی اوقات چند Process از اون در Task Manager مشاهده میشه. اینترنت اکسپلورر هم باز نیست. از جمله خراب کاری هایی که کرده:

سرعت بسیار کند شده.
وسط بازی به شدت افت فریم به وجود میاد ناگهانی.
مرورگر ها را خراب کرده! اپرا و موزیلا.
موقع بعضی کارها اختلال ایجاد می کنه و ارور Don't Send میاد.

سیستم عامل: XP
آنتی ویروس: Mcafee VirusScan Enterprise 8.5

این هم فایل لاگ:

[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

سلام.

به احتمال زیاد زیر سر یکی ازین Toolbar هایی هست که نصب دارین.

اگه بخوام دقیقتر بگم حدسم تولبار Conduit Engine هستش با این آدرس :

C:\Program Files\ConduitEngine\prxConduitEngine.dll

برنامه رو اجرا کن خطوط پایین رو تیک بزن و بعدشم Fix checked بزن :

کد:

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

اما توصیه های دیگه به شما اینه که :

آنتی ویروس مکافی رو عوض کنید با انتخابی دیگه، مث کسپرسکی ، بیت دیفندر ، آویرا ، نورتون. ( اینکارو حتما انجام بده )

برنامه ی mbam رو هم درکنارش نصب کن.

و آپدیت نگهشون دار و یکبار هم درایو C رو باهاشون اسکن کن.

پ.ن :

چند نمونه از رندرهای 3D تون هم برای من پیام خصوصی کنید در صورت وجود

موفق باشی.

[saamz]

سلام به همه
سیستم من از امروز صبح که داشتم با IE کار میکردم دچار مشکل شد... ناگهان توی فولدر Local ویندوز فایلی به نام yzpcaobx اجرا شد و پیوسته پیغامهای وجود کرم و ویروس و... میدهد حتی صفحه ای شبیه Action Center ویندوز نشون میده و خلاصه حسابی روی اعصاب من داره راه میره.
من اون فایل رو هم در "ویروس توتال" آپلود کردم که این نتیجه اش شده:

کد:

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

این هم عکس پیغام هایی که مدام می دهد:

[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

سیستم عامل: ویندوز هفت
آنتی ویروس: Avira Internet Security 2012
فایل لوگ: [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

[Captain MacMillan]

سلام.

به احتمال زیاد زیر سر یکی ازین Toolbar هایی هست که نصب دارین.

اگه بخوام دقیقتر بگم حدسم تولبار Conduit Engine هستش با این آدرس :

C:\Program Files\ConduitEngine\prxConduitEngine.dll

برنامه رو اجرا کن خطوط پایین رو تیک بزن و بعدشم Fix checked بزن :

خطوطی که اعلام کردید را Fix کردم.

برنامه ی mbam رو هم درکنارش نصب کن.

این کار رو یک بار انجام دادم و به لطف وجود دو آنتی ویروس در کنار هم، کامپیوترم در حال منفجر شدن بود که خوشبختانه بالاخره موفق شدم mbam رو پاک کنم و کامپیوتر رو نجات بدم!

در مورد آنتی ویروس، کسی نگفته مکافی از اینهایی که اعلام فرمودید ضعیفتر عمل می کنه.

[jolan57]

سلام به همه
سیستم من از امروز صبح که داشتم با IE کار میکردم دچار مشکل شد... ناگهان توی فولدر Local ویندوز فایلی به نام yzpcaobx اجرا شد و پیوسته پیغامهای وجود کرم و ویروس و... میدهد حتی صفحه ای شبیه Action Center ویندوز نشون میده و خلاصه حسابی روی اعصاب من داره راه میره.
من اون فایل رو هم در "ویروس توتال" آپلود کردم که این نتیجه اش شده:

کد:

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

این هم عکس پیغام هایی که مدام می دهد:
سیستم عامل: ویندوز هفت
آنتی ویروس: Avira Internet Security 2012
فایل لوگ: [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

من عکس رو ندیدم ولی به احتمال زیاد شما به آنتی ویروس تقلبی گرفتار شدین , طبق اسکن ویروس توتال این فایل هنوز توسط بسیاری از آنتی ویروس ها شناسایی نمی شود پس بهترین کار استفاده از Norton Power Eraser است که به راحتی میتونید فایل رو پاک کنید , آموزش کار با این نرم افزار در تاپیک زیر موجود است
[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

البته سیستم شما مشکلات دیگه هم داره ولی فعلا این مشکل رو حل کنید تا بعد
این آنتی ویروس تقلبی در این مسیر است
D:\Users\Aliakbar\AppData\Local\yzpcaobx.exe

[A M ! N]

خطوطی که اعلام کردید را Fix کردم.



این کار رو یک بار انجام دادم و به لطف وجود دو آنتی ویروس در کنار هم، کامپیوترم در حال منفجر شدن بود که خوشبختانه بالاخره موفق شدم mbam رو پاک کنم و کامپیوتر رو نجات بدم!

در مورد آنتی ویروس، کسی نگفته مکافی از اینهایی که اعلام فرمودید ضعیفتر عمل می کنه.

سلام

دوست خوبم، خواه ناخواه باید با MBAM یکبار اسکن انجام بدی، خیلی ضروریه.

در خصوص نصب در کنار آنتی ویروس های دیگه خب نیاز به کمی تنظیم داره که

اگه داخل تاپیک سوال میکردین حتما بهتون کمک میشد، چون در واقع شما دو تا

رو به صورت Real-time در کنار هم داشتین ، از طرفی هم بین MBAM و یه سری

محصولات ناسازگاری هستش که باید برطرف بشه.


در جهت قدرت مکافی ، خارج از بحث اینکه مکافی به ایران ( البته اگه ایران زندگی میکنید )

آپدیت و سرویس نمیده ، به این مقایسه های شرکتهای AV comparatives و AV tests هم باید توجه کرد :

قضاوت با خودت

[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

موفق باشی.