آنالـیز و پاکسازی سیستم های آلوده(ابتدا پست اول را ببینید و فایل گزارش را آماده کنید)

**ملا نصرالدین** · 23-02-2015, 12:39

سلام

دوستان سیستم منم این ویروس تبلیغاتی رو گرفته

[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

محتوای مخفی: [URL=http://img.upload724.com/

سیستم عامل: ویندوز xp

انتی ویروس ندارم.یه Quick heal total security نصب کردم.اپدیت کردم.اسکن کردم فایده نداشت

با adwcleaner هم اسکن کردم و کلین رو زدم که این ریپورت رو داد

# AdwCleaner v4.111 - Logfile created 23/02/2015 at 12

00
# Updated 18/02/2015 by Xplode
# Database : 2015-02-18.3 [Server]
# Operating system : Microsoft Windows XP Service Pack 3 (x86)
# Username : MATRIX - MATRIX-16A07FA0
# Running from : C:\Documents and Settings\MATRIX.MATRIX-16A07FA0\My Documents\Downloads\adwcleaner_4.111.exe
# Option : Cleaning

***** [ Services ] *****

***** [ Files / Folders ] *****

Folder Deleted : C:\Documents and Settings\All Users.WINDOWS\Application Data\Trymedia
Folder Deleted : C:\Program Files\AskSearch
Folder Deleted : C:\Program Files\MyPC Backup
Folder Deleted : C:\Program Files\Search Results Toolbar
File Deleted : C:\WINDOWS\system32\roboot.exe
File Deleted : C:\Program Files\Mozilla Firefox\Components\AskSearch.js

***** [ Scheduled tasks ] *****

***** [ Shortcuts ] *****

***** [ Registry ] *****

Key Deleted : HKLM\SOFTWARE\Classes\CLSID\{9AFB8248-617F-460D-9366-D71CDEDA3179}
Key Deleted : HKLM\SOFTWARE\Classes\CLSID\{C94E154B-1459-4A47-966B-4B843BEFC7DB}
Key Deleted : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext \Stats\{201F27D4-3704-41D6-89C1-AA35E39143ED}
Key Deleted : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext \Stats\{3041D03E-FD4B-44E0-B742-2D9B88305F98}
Key Deleted : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext \Stats\{C94E154B-1459-4A47-966B-4B843BEFC7DB}
Value Deleted : HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks [{C94E154B-1459-4A47-966B-4B843BEFC7DB}]
Key Deleted : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{CF739809-1C6C-47C0-85B9-569DBB141420}
Key Deleted : HKCU\Software\AppDataLow\AskSA
Key Deleted : HKLM\SOFTWARE\AskBarDis
Key Deleted : HKLM\SOFTWARE\Trymedia Systems
Key Deleted : HKLM\SOFTWARE\dll-files.com

***** [ Web browsers ] *****

-\\ Internet Explorer v8.0.6001.18702

Setting Restored : HKLM\SOFTWARE\Microsoft\Internet Explorer\Search [Default_Search_URL]
Setting Restored : HKCU\Software\Microsoft\Internet Explorer\SearchUrl []

-\\ Mozilla Firefox v35.0.1 (x86 en-US)

*************************

AdwCleaner[R0].txt - [2325 bytes] - [23/02/2015 12

07]
AdwCleaner[S0].txt - [2158 bytes] - [23/02/2015 12

00]

########## EOF - C:\AdwCleaner\AdwCleaner[S0].txt - [2217 bytes] ##########

با Higack this هم این ریپورت رو داد

Logfile of Trend Micro HijackThis v2.0.5
Scan saved at 12

14 ب.ظ, on 2015/02/23
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)

FIREFOX: 35.0.1 (x86 en-US)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Canon\IJPLM\IJPLMSVC.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\svchost.exe
C:\Documents and Settings\MATRIX.MATRIX-16A07FA0\My Documents\Downloads\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Program Files\Common Files\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xport to Microsoft Excel - res://D:\FIREFO~1\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{F751E60A-BB2D-4A28-A5E3-C100C9AE4A3B}: NameServer = 217.218.155.155,188.34.0.4
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: PIXMA Extended Survey Program (IJPLMSVC) - Unknown owner - C:\Program Files\Canon\IJPLM\IJPLMSVC.EXE
O23 - Service: Mozilla Maintenance Service (MozillaMaintenance) - Mozilla Foundation - C:\Program Files\Mozilla Maintenance Service\maintenanceservice.exe

--
End of file - 3718 bytes

**M-H2013** · 23-02-2015, 13:04

ملانصر الدین داداش کامپیوتر من هم ویروس شما رو گرفته اگه روشی برای حذف ایناین ویروس پیدا کردبید بع من هم بگید لطفا من روش حذفش رو در اندروید پیدا کردم با نرم افزار cm security
ولی روش حذفش رو در کامپیوتر پیدا نکردم ولی روش خنثی کردنش نرم افزار yac است

**~~sansa~~** · 23-02-2015, 14:30

نوشته شده توسط ملا نصرالدین [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

سلام

دوستان سیستم منم این ویروس تبلیغاتی رو گرفته

محتوای مخفی: [URL=http://img.upload724.com/

سیستم عامل: ویندوز xp

انتی ویروس ندارم.یه Quick heal total security نصب کردم.اپدیت کردم.اسکن کردم فایده نداشت

با adwcleaner هم اسکن کردم و کلین رو زدم که این ریپورت رو داد

با Higack this هم این ریپورت رو داد

سلام

من این ویروس رو با trojan killer 2.2.6.5 نابود کردم . امتحانش کن 50 مگابایت هست .

**sky1sky** · 23-02-2015, 20:08

ویروسی که همش باعث ریستارت مدام کامپیوتر میشه رو باچه انتی ویروسی میشه ازبین برد ؟ مرسی

**Captain** · 23-02-2015, 22:22

نوشته شده توسط sky1sky [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

ویروسی که همش باعث ریستارت مدام کامپیوتر میشه رو باچه انتی ویروسی میشه ازبین برد ؟ مرسی

با سلام
شما میتونید قبل از اقدام به نصب آنتی ویروس بر روی سیستم آلوده، آن را با دیسک نجات کسپرسکی آپدیت شده اسکن و سیستم را از آلودگی پاکسازی نمایید.
[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

**ملا نصرالدین** · 24-02-2015, 12:01

نوشته شده توسط sansa [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

سلام

من این ویروس رو با trojan killer 2.2.6.5 نابود کردم . امتحانش کن 50 مگابایت هست .

من با این برنامه هم اسکن کردم.
ولی بی فایده بود

دوستان خواهشا اگر کسی راه حلی داره کمک کنه

**clau** · 24-02-2015, 12:45

اخرین ورژن spy hunter نصب کنید درایو ویندوز یک اسکن بکنید

حجمش هم طرفای 50مگه

**Captain** · 24-02-2015, 12:48

نوشته شده توسط ملا نصرالدین [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

من با این برنامه هم اسکن کردم.
ولی بی فایده بود

دوستان خواهشا اگر کسی راه حلی داره کمک کنه

سلام دوست عزیزم
فک کنم سیستم شما هم دچار همین بدافزار شده
[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

**M-H2013** · 24-02-2015, 14:01

نوشته شده توسط ملا نصرالدین [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

من با این برنامه هم اسکن کردم.
ولی بی فایده بود

دوستان خواهشا اگر کسی راه حلی داره کمک کنه

برای من که ویبروس حذف شد یک spyhunter 4.18.9.4384 نسخه پرتابل از سافت نود هشت گرفتم و حدود ۸۱ مگ و ۳۰مگ دیگر آپدیتش کردم الان دیگه درست شده من که همیشه آنتی ویروس آپدیت چند ماه نود ۳۲ و چند ماه کاسپر اسکای داشتم می گفتم کامپیوتر من اصلا ویروس نداره ولی این نر م افزار spyhunter
۱۴۳ تا ویروس پیدا کرد ولی الان سرعت بالا آمدن کامپیوتر خیلی کم شده

**ملا نصرالدین** · 24-02-2015, 18:29

نوشته شده توسط I KinG I [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

سلام دوست عزیزم
فک کنم سیستم شما هم دچار همین بدافزار شده
[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

همه مراحل را نست کردم.
همچنان مشکل باقی است

الان میخوام spyhunter دانلود کنم.

نتیجه اش رو اینجا میذارم

نام تاپيک: آنالـیز و پاکسازی سیستم های آلوده(ابتدا پست اول را ببینید و فایل گزارش را آماده کنید)

اختيارات تاپيک

این کاربر از ملا نصرالدین بخاطر این مطلب مفید تشکر کرده است

این کاربر از M-H2013 بخاطر این مطلب مفید تشکر کرده است

این کاربر از sansa بخاطر این مطلب مفید تشکر کرده است

این کاربر از Captain بخاطر این مطلب مفید تشکر کرده است

این کاربر از Captain بخاطر این مطلب مفید تشکر کرده است

این کاربر از ملا نصرالدین بخاطر این مطلب مفید تشکر کرده است

Thread Information

Users Browsing this Thread

User Tag List

برچسب های این موضوع

قوانين ايجاد تاپيک در انجمن