ويروسي يا اشکالي که eset smart security را بلاي سيستم مي کند.

[zeus7610]

سلام دوستان وقت بخير
دو روزه که يه احتمالا ويروس وارد شبکه ما شده که سيستم رو شديدا کند مي کنه. توي تسک منيجر فايل مشکوکي وجود نداره. (يا حداقل من نديدم). شبکه به شدت کند ميشه. خود سيستم هم شديدا کند شده. کپي 100 مگ اطلاعات رو در زمان 10 دقيقه انجام ميده. ولي وقتي که آنتي ويروس eset smart security‌رو از سيستم پاک کردم سرعت سيستم عادي شد. به نظرتون مشکل از ويروسه؟ يا نود ديونه شده؟ من براي اينکه کار ما نخوابه فعلا آنتي ويروس رو آنيستال کردم تا بتونن کار کنن.
اين مشکل از يه سيستم شروع شد و حالا 7-8 تا از سيستمها اين مشکل رو پيدا کردن. خواهش مي کنم قبل از اينکه چيزي منفجر بشه راهنمايي کنيد... خودم دارم کار مي کنم و هر اطلاعات جديدي که به دست بيارم حتما خدمت دوستان عرض مي کنم. فعلا مي خوام با آخرين نسخه کسپر پرتابل سيستم رو چک کنم. ممنون ميشم نظري دارين اعلام فرمائيد...

[A M ! N]

سلام.

پست اول تاپیک پایین روی سیستمتون انجام بدین نتیجه رو بگین تا بررسی بشه.

[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

ضمنا من نمیدونم چرا توی ایران اینقدر به ناد32 که همیشه در قعر جدول رنکینگ هست ، اعتماد میشه.

با آرزوی بهترینها..

[zeus7610]

سلام دوست عزيز فايل رو اينجا قرار دادم. مرسي
Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 0640 ب.ظ, on 06/14/2012
Platform: Windows 7 SP1 (WinNT 6.00.3505)
MSIE: Internet Explorer v8.00 (8.00.7601.17514)
Boot mode: Normal
Running processes:
C:\Windows\system32\taskhost.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe
C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe
C:\Program Files\Comodo\COMODO Internet Security\cfp.exe
C:\Program Files\Internet Download Manager\IDMan.exe
C:\Program Files\Samsung\Kies\KiesTrayAgent.exe
C:\Program Files\Samsung\Kies\External\FirmwareUpdate\KiesPDL R.exe
C:\Program Files\NVIDIA Corporation\Display\nvtray.exe
C:\Program Files\Internet Download Manager\IEMonitor.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Mozilla Firefox\plugin-container.exe
C:\Windows\system32\taskhost.exe
C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe
C:\Users\administrator.RAZI\AppData\Local\Google\C hrome\Application\chrome.exe
C:\Users\administrator.RAZI\AppData\Local\Google\C hrome\Application\chrome.exe
C:\Windows\system32\rundll32.exe
C:\Users\administrator.RAZI\AppData\Local\Google\C hrome\Application\chrome.exe
C:\Users\administrator.RAZI\AppData\Local\Google\C hrome\Application\chrome.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Windows\system32\mstsc.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Users\administrator.RAZI\AppData\Local\Google\C hrome\Application\chrome.exe
C:\Users\administrator.RAZI\AppData\Local\Google\C hrome\Application\chrome.exe
C:\Program Files\Winamp\winamp.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Windows\system32\SearchProtocolHost.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Program Files\Trend Micro\HiJackThis\HiJackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyServer = http=;ftp=;https=;
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: IDM Helper - {0055C089-8582-441B-A0BF-17B458C2A3A8} - C:\Program Files\Internet Download Manager\IDMIECC.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GR469A~1.DLL
O4 - HKLM\..\Run: [Malwarebytes' Anti-Malware] "C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe" /starttray
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [COMODO] C:\Program Files\COMODO\COMODO GeekBuddy\CLPSLA.exe
O4 - HKLM\..\Run: [CPA] C:\Program Files\COMODO\COMODO GeekBuddy\VALA.exe
O4 - HKLM\..\Run: [COMODO Internet Security] "C:\Program Files\COMODO\COMODO Internet Security\cfp.exe" -h
O4 - HKCU\..\Run: [Messenger (Yahoo!)] "C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe" -quiet
O4 - HKCU\..\Run: [IDMan] C:\Program Files\Internet Download Manager\IDMan.exe /onboot
O4 - HKCU\..\Run: [KiesHelper] C:\Program Files\Samsung\Kies\KiesHelper.exe /s
O4 - HKCU\..\Run: [KiesTrayAgent] C:\Program Files\Samsung\Kies\KiesTrayAgent.exe
O4 - HKCU\..\Run: [KiesPDLR] C:\Program Files\Samsung\Kies\External\FirmwareUpdate\KiesPDL R.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-21-392227414-1907361160-3209748083-1001\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'UpdatusUser')
O4 - HKUS\S-1-5-21-392227414-1907361160-3209748083-1001\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'UpdatusUser')
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Toolbars\Restrictions present
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Toolbars\Restrictions present
O8 - Extra context menu item: Download all links with IDM - C:\Program Files\Internet Download Manager\IEGetAll.htm
O8 - Extra context menu item: Download with IDM - C:\Program Files\Internet Download Manager\IEExt.htm
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Send to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: S&end to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O10 - Unknown file in Winsock LSP: c:\windows\system32\prxernsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\prxerdrv.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\prxerdrv.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\prxerdrv.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\prxerdrv.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\prxerdrv.dll
O16 - DPF: {47489CC3-B1AB-4414-A7D9-4A6380D819D8} (ConfigManager Control) - [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
O16 - DPF: {817444B5-4D12-4EEB-8E78-C547E84F80B6} (EngineManager Control) - [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
O16 - DPF: {C111A91F-D4EC-4D22-8D27-C3BCB0389F43} (AudioHandlerEmbedded) - [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
O16 - DPF: {DE625294-70E6-45ED-B895-CFFA13AEB044} - [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
O16 - DPF: {E7B12A6B-341F-4765-A9EA-29A745916878} (ImageViewer ActiveX Control) - [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = razi.com
O17 - HKLM\Software\..\Telephony: DomainName = razi.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{06392E4F-3DBD-4466-8D8E-F9BC83928329}: NameServer = 192.168.0.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{358E383C-8EF9-4701-AF2A-6C46C3B503BA}: NameServer = 208.67.222.222 208.67.220.220
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = razi.com
O17 - HKLM\System\CS1\Services\Tcpip\..\{06392E4F-3DBD-4466-8D8E-F9BC83928329}: NameServer = 192.168.0.1
O17 - HKLM\System\CS2\Services\Tcpip\..\{06392E4F-3DBD-4466-8D8E-F9BC83928329}: NameServer = 192.168.0.1
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GRA32A~1.DLL
O20 - AppInit_DLLs: C:\Windows\system32\guard32.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: CLHNServiceForPowerDVD - Unknown owner - C:\Program Files\CyberLink\PowerDVD11\Kernel\DMP\CLHNServiceF orPowerDVD.exe
O23 - Service: COMODO livePCsupport Service (CLPSLS) - COMODO - C:\Program Files\COMODO\COMODO GeekBuddy\CLPSLS.exe
O23 - Service: COMODO Internet Security Helper Service (cmdAgent) - COMODO - C:\Program Files\COMODO\COMODO Internet Security\cmdagent.exe
O23 - Service: CyberLink PowerDVD 11.0 Monitor Service - CyberLink - C:\Program Files\CyberLink\PowerDVD11\Common\MediaServer\CLMS MonitorService.exe
O23 - Service: CyberLink PowerDVD 11.0 Service - CyberLink - C:\Program Files\CyberLink\PowerDVD11\Common\MediaServer\CLMS Server.exe
O23 - Service: COMODO Dragon Update Service (DragonUpdater) - Unknown owner - C:\Program Files\Comodo\Dragon\dragon_updater.exe
O23 - Service: EasyHideIP - Unknown owner - C:\Program Files\Easy-Hide-IP\services\EasyHideIp.exe
O23 - Service: Internet Lock Service (INETLOCKSVC) - TopLang Software - C:\Program Files\Internet Lock\ILSvc.exe
O23 - Service: MBAMService - Malwarebytes Corporation - C:\Program Files\Malwarebytes' Anti-Malware\mbamservice.exe
O23 - Service: Mozilla Maintenance Service (MozillaMaintenance) - Mozilla Foundation - C:\Program Files\Mozilla Maintenance Service\maintenanceservice.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe
O23 - Service: NVIDIA Update Service Daemon (nvUpdatusService) - NVIDIA Corporation - C:\Program Files\NVIDIA Corporation\NVIDIA Updatus\daemonu.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared files\RichVideo.exe
O23 - Service: TeamViewer 6 (TeamViewer6) - TeamViewer GmbH - C:\Program Files\TeamViewer\Version6\TeamViewer_Service.exe
--
End of file - 9962 bytes

[jax2]

دوست عزیز نو32 اصلا آنتی ویروس مناسبی برای شبکه نیست
غیرفعال باشه بهتره
شما برو تو تنظیمات با کلید f5 و بعد بع قسمت personal firewall و سپس system integration و اونجا گزینه ی personal firewall is completely disabled رو انتخاب کن و ریستارت کن

[reza.khocholo]

سلام
چند روزی هست که یه چندتا ویروس از اینترنت وارد سیستمم شده انتی ویروس نود32 رو سیستم دارم و حی اپدیت میشه نوع ویروس رو میشناسه اما نمیتونه پاکش کنه و ویروس موقع پاک کردن کامپیوتر رو رستارت میکنه موقع وصل شدن به اینترنت هم در طول 1&2 ثانیه یه صفحه کوچیکی زود باز بسته میکنه به سیستم یه شکی میده مثل این که رفرش زده باشی
از رم و cpu هم کم استفاده میکنه
و خودکار پوشه ها رو به حالت detailsمیزاره
نود 32 هم هی این پیام رو میده

[A M ! N]

سلام
چند روزی هست که یه چندتا ویروس از اینترنت وارد سیستمم شده انتی ویروس نود32 رو سیستم دارم و حی اپدیت میشه نوع ویروس رو میشناسه اما نمیتونه پاکش کنه و ویروس موقع پاک کردن کامپیوتر رو رستارت میکنه موقع وصل شدن به اینترنت هم در طول 1&2 ثانیه یه صفحه کوچیکی زود باز بسته میکنه به سیستم یه شکی میده مثل این که رفرش زده باشی
از رم و cpu هم کم استفاده میکنه
و خودکار پوشه ها رو به حالت detailsمیزاره
نود 32 هم هی این پیام رو میده

سلام.

تروجان روی فایل Svchost شما قرار گرفته ، برای از بین بردنش ، باید فایل پاکسازی بشه ، نه اینکه خود فایل حذف بشه.

وقتی فایل حذف میشه ویندوز ریستارت میشه و گاها بعدش هم بالا نمیاد. ناد این نوع پاکسازی هارو مشکل داره.

ناد رو پاک کنید. در عوض برنامه ی یکبار مصرف پایین رو نصب کن برای کمپانی کسپرسکی هستش :

[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

این ابزار رو هم نصب کن آپدیتش کن و باهاش اسکن کن

[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

[jolan57]

امین جان ببخشید ولی دوستمون بهتره این ریموال تولز ویروس sirefef از خود شرکت ایست رو از لینک زیر دانلود کنه و تست کنه ببینه جواب میده یا نه ! این یه مورد رو نداشتیم دوست دارم ببینم اوکی هست یا نه
سومین مورد (ابزار پاکسازی مخرب sirefef)
[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

[reza.khocholo]

امین جان ببخشید ولی دوستمون بهتره این ریموال تولز ویروس sirefef از خود شرکت ایست رو از لینک زیر دانلود کنه و تست کنه ببینه جواب میده یا نه ! این یه مورد رو نداشتیم دوست دارم ببینم اوکی هست یا نه
سومین مورد (ابزار پاکسازی مخرب sirefef)
[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

سلام
ممنون از راهنمایتون
این پیام رو میده


چند روز پیش لپ تاپ رو به حالت شبکه به سیستم وصل کردم ولی به این که ویروسی تو لپ تاب بوده باشه شک دارم و تا حالا پیامی ازش دریافت نکردم
فقط سیستم این پیام رو میده ممکنه از لپ تاپ اومده باشه؟

اقا امین از کمک شما هم خیلی تشکر میکنم روش شما رو گذاشتم چند روز دیگه اعمال کنم( دانلود نیمه کاره مهمی دارم که حیاتی هست)

[jolan57]

سلام
ممنون از راهنمایتون
این پیام رو میده


چند روز پیش لپ تاپ رو به حالت شبکه به سیستم وصل کردم ولی به این که ویروسی تو لپ تاب بوده باشه شک دارم و تا حالا پیامی ازش دریافت نکردم
فقط سیستم این پیام رو میده ممکنه از لپ تاپ اومده باشه؟

اقا امین از کمک شما هم خیلی تشکر میکنم روش شما رو گذاشتم چند روز دیگه اعمال کنم( دانلود نیمه کاره مهمی دارم که حیاتی هست)

خب شما این نرم افزار رو بر روی سیستمتون امتحان کنید , الان مشکلی ندارین؟

[reza.khocholo]

خب شما این نرم افزار رو بر روی سیستمتون امتحان کنید , الان مشکلی ندارین؟

سلام
باز هم همون پیام رو میده
با تعویض ویندوز درست میشه؟