چرا task manager حذف شده و رجيستري باز نميشود؟

واضح آرشیو وب فارسی:سایت ریسک: anti_girl22-01-2009, 08:47 AMسلام... اساتيد عزيز به دادم برسين نميدونم چش شده اين كامپيوتر اين دفعه سومه كه مجبور ميشم ويندوزم رو عوض كنم وقتي ويندوز رو نصب ميكنم task manager باز ميشه و به داخل رجيستري هم ميره اما بعد از گذشت يه روز وكمتر ديگه نه به داخل رجيستري ميره نه task manager رو باز ميكنه...... نميدونم واقعا ويروسه يا مشكل از جاي ديگه است لطفا راهنماييم كنين.....! در ضمن وقتي ميخوام رجيستري رو باز كنم يه eror مياد .... registery editing has been disibeled by your administrator براي task manager هم همين ارور مياد اينم بگم كه وقتي ويندوز رو نصب ميكنم اولش همه اينها كار ميكنه.....و admin جديدي رو نميسازم.... MichaelQwerty22-01-2009, 11:04 AMسلام بدون شک رو سیستمت ویروس ودر تمام درایوهات پخشه وقتی ویندوز رو نصب می کنی چون ویندوز جدید هست و ویروس از درایو c پاک شده ویندوز به درستی کار می کنه ولی وقتی درایو های دیگه رو باز می کنی ویروس فعال میشه اولین راه: تمام درایوها رو فرمت کنی====> ولی شاید در درایو های دیگه اطلاعات مهمی داشته باشی دومین راه: از یک آنتی ویروس قوی استفاده کنی مثلا Avira سومین راه: اگر اطلاعتی در باره فایل های inf و فایل های مخفی (hidden) و folder option داری می تونیم با هم به روش دستی بگیریمش(از Dos هم یکم بلد باشی خوبه فقط در حد باز کردنش (Run==>Cmd) anti_girl22-01-2009, 04:36 PMميشه راجب راه سوم برام توضيح بدين.....! nod 32 اين ويروس رو ميشناسه؟ MichaelQwerty22-01-2009, 06:11 PMمن هنوز اسم این ویروسو نمی دونم و هنوز هم اطلاعاتی از اون ندارم اول بگو آنتی ویروسی رو سیستمت هست یا نه و اگه هست بگو هشداری داده یا نه؟ حالا وارد CMD شو و با دستور: cd که باعث میشه بری به درایو C از همین cmd (نکته: بهتر دستورات رو تو cmd کپی بزنی) حالا دستور : dir /a که باعث میشه تمام فایل های مخفی در درایو C نشون بده خوب نگاه کن ببین فایلی به این نام هست autorun.inf ??? من همین دستورات رو رو سیستمم اجرا کردم ببین: Microsoft Windows XP [Version 5.1.2600] (C) Copyright 1985-2001 Microsoft Corp. C:Documents and Settingsmichael>cd C:>dir /a Volume in drive C has no label. Volume Serial Number is 9CC2-3ABA Directory of C: 07/01/2007 12:58 PM 0 AUTOEXEC.BAT 01/22/2009 01:19 PM 255 autorun.inf 11/13/2008 06:14 PM 211 boot.ini 07/01/2007 12:58 PM 0 CONFIG.SYS 01/05/2003 05:12 PM <DIR> Documents and Settings 01/21/2009 09:06 PM <DIR> downloads 01/22/2009 05:28 PM 536,399,872 hiberfil.sys 07/01/2007 12:58 PM 0 IO.SYS 07/01/2007 12:58 PM 0 MSDOS.SYS 08/04/2004 04:37 AM 47,564 NTDETECT.COM 01/01/2003 12:19 AM 250,048 ntldr 01/22/2009 07:26 AM <DIR> OutputFolder 01/22/2009 05:28 PM 805,306,368 pagefile.sys 11/13/2008 05:45 PM <DIR> profiles 01/21/2009 09:17 PM <DIR> Program Files 11/13/2008 05:55 PM <DIR> RECYCLER 01/22/2009 01:19 PM <DIR> resycled 01/01/2003 01:01 AM <DIR> spoolerlogs 07/01/2007 01:03 PM <DIR> System Volume Information 01/01/2003 01:18 AM 48 ttLog.txt 01/22/2009 07:26 AM <DIR> WINDOWS 01/03/2003 12:45 PM 146 YServer.txt 12 File(s) 1,342,004,512 bytes 10 Dir(s) 4,204,437,504 bytes free اگه خوب نگاه کنی رو سیستمم همچین فایلی هست 01/22/2009 01:19 PM 255 autorun.inf یعنی سیستمم ویروسی نکته:برو به folder option و از تب view تیک این دو گذینه رو بردار: hide extensions... hide protect... و همچنین show hidden file and... تنظیم کن و پنجره رو ok کن و بار دیگه برو به folder option به ببین این کارایی که انجام دادی تغییر کردن یا نه؟ چون ویروس ها برای این که دیده نشن تنظیمات رو روی ...do not show تنظیم میکنن حتی اگر کاربر روی Show تنظیم کرده باشه چیزی که مهم فایل autorun.inf ببین هست یا نه؟ anti_girl22-01-2009, 07:40 PMنه متاسفانه انتي ويروس ندارم....... اره دوست عزيز اين فايل روي سيستم منم هست بايد چه كارش كنم؟ MichaelQwerty22-01-2009, 08:09 PMحالا این دستور انجام بده: type autorun.inf تا محتویات فایل رو نمایش بده ببین من این کارو انجام دادم و این نتیجه رو گرفتم Microsoft Windows XP [Version 5.1.2600] (C) Copyright 1985-2001 Microsoft Corp. C:Documents and Settingsmichael>cd C:>type autorun.inf [autorun] ;bwtyiinhbuvtfjacijpvhradqkluqrmomltfmakkzhxswichk tyljchhalbifizbgxcnrvorkxnsad wkohzxriqzdqpnmk shellexecute="resycled tldr.com c:" ;dyvrnthbdqumwtgwpgvlbwxtekpgmjyjvopowozktgoakxrnh jpfmsbamiy shellOpencommand="resycled tldr.com c:" ;j C:> شما هم مثل من یه کپی بگیر و اینجا بزار تا ببینم چه ویروسی نکته: برای کپی گرفتن رو cmd کلیک راست کن و mark انتخاب و تمام نوشته ها رو بگیر و بعد بازم کلیک راست کن که عمل کپی انجام میشه نگفتی فولدر آپشن چه وضعیتی داره؟ anti_girl23-01-2009, 12:14 AMMicrosoft Windows XP [Version 5.1.2600] (C) Copyright 1985-2001 Microsoft Corp. C:Documents and Settings ooraj>cd C:>dir /a Volume in drive C has no label. Volume Serial Number is 103E-2170 Directory of C: 01/21/2009 12:45 AM 0 AUTOEXEC.BAT 01/23/2009 12:08 AM 352 autorun.inf 01/21/2009 12:39 AM 211 boot.ini 01/21/2009 12:45 AM 0 CONFIG.SYS 01/21/2009 11:38 PM <DIR> Documents and Settings 01/21/2009 12:45 AM 0 IO.SYS 01/22/2009 07:32 PM <DIR> kav 01/21/2009 12:45 AM 0 MSDOS.SYS 08/04/2004 04:38 AM 47,564 NTDETECT.COM 08/04/2004 04:59 AM 250,032 ntldr 01/22/2009 11:42 PM 2,145,386,496 pagefile.sys 01/22/2009 07:32 PM <DIR> Program Files 01/21/2009 11:40 PM <DIR> RECYCLER 01/21/2009 12:48 AM <DIR> System Volume Information 01/21/2009 11:36 PM <DIR> WINDOWS 9 File(s) 2,145,684,655 bytes 6 Dir(s) 44,807,884,800 bytes free C:> تيك اون دوتا گزينه رو هم برداشتم..... و اين فايل نمايان شد و ديدم كه تو همه درايور هام هست... C:>type autorun.inf [autorun] ;Please Do Not Change This Line. Open=RECYCLER..RECYCLERautoplay.exe ;Please Do Not Change This Line. shellopenCommand=RECYCLERautoplay.exe -open ;Please Do Not Change This Line. shellopenDefault=1 ;Please Do Not Change This Line. shellexploreCommand=RECYCLERautoplay.exe -explore ;Please Do Not Change This Line. [:))] MichaelQwerty23-01-2009, 11:01 AMشانس آوردی ویروس ضعیفی هست در غیر این صورت اجازه نمی داد فایلشو ببینی این فایل ویروس نیست این فایل باعث میشه که ویروس اجرا بشه( autorun.inf میگم ) فایل ویروس اسمش autoplay.exe هست (ببین حجمش 192 kb ) ؟ و ظاهرا در این پوشه باید باشه RECYCLER در تمام درایوها و حتما جای دیگه ای هم فایل مادر که فرمان میده ویروس در تمام درایو ها پخش بشه هست (احتمالا C:windowssystem32 ) نکته: شما میتونی دیگه ادامه ندی و ویندوز رو پاک کنی و دوباره نصب کنی و بدون این که وارد درایو ها بشی بری به folder option تنظیمات رو به حالتی که بالا گفتم تنظیم کنی (تا فایلهای مخفی نمایش داده بشن) و به این صورت که میگم وارد درایو ها بشی مثلا برای درایو D از Run بنویس : D: چون اگه دابل کلیک رو درایو ها کنی ویروس اجرا میشه بازم همون آش و همون کوزه و سپس تمام فایل های autorun.inf و autoplay.exe در تمام درایو ها پاک کنی و تمام ولی اگه مایلی بحث ادامه بدیم پرسشهای بالا رو جواب بده و همچنین این پایینی شما یه کاری کن فایل Autorun.inf رو پاک کن و یه ریفرش(Refresh) کن ببین بازم ساخته میشه؟ anti_girl23-01-2009, 01:00 PMحجمش 296kb هست..ميخوام ادامه بدم تا پاكش كنم....اين فايل رو پاك كردم ولي دوباره ساخته شد بعد از Refresh MichaelQwerty23-01-2009, 05:09 PMسلام حالا برای این که بفهمیم اسم ویروس اصلی چیه باید registry ویندوز بررسی کنیم از اونجایی که Regedit باز نمیشه از Dos یا همون Cmd استفاده می کنیم این دستور بزن تا بری به درایو C cd و بعد این دستور تا یه فایلی رو استخراج کنیم reg export hklmsoftwaremicrosoftwindowscurrentversion un ViewRun.txt با این کار یه فایل متنی در درایو C ساخته میشه با این اسم ViewRun.txt این فایل رو باز کن تو این تمام برنامه هایی که در زمان بالا آمدن ویندوز اجرا میشن رو میبینی محتویاتشو بزار اینجا احتمالا ویروس هم بین اینهاست اگه خوش شانس باشی چون جاهای دیگه هم هست که ویروس میتونه اجرا بشه حالا بریم ببینیم تو windows task manager چه خبره از اونجایی که پاک شده از این دستور استفاده می کنیم که کار task manager انجام میده شایدم بهتر از اون تو Cmd تایپ کن tasklist لیستی از پروسه های در حال اجرا رو نشون میده(یعنی همون برنامه های در حال اجرا) اونم کپی بزن اینجا تا ببینیم چه خبره؟ اگه لطفا کنی ویروس آپلود کنی و لینکشو بزاری اینجا ممنون میشم(همون autoplay.exe که حجمش 296kb هست ) picher_s23-01-2009, 07:11 PMخیلی لز ویروس ها امروزه از این نام برای تکپیر استفاده میکنن! عزیز لطفا یه نگاه به حجم فایل autoplay.exe ات بنداز اگه از 480بیشتره شما ویروس lsass رو گرفتی و به مسیر زیر برو همه چی رو اونجا گفتم. !!!! برای مشاهده محتوا ، لطفا ثبت نام کنید / وارد شوید !!!! موفق و پیروز باشید. HoJJaT_00723-01-2009, 07:16 PMسلام من هیچ مشکلی ندارم . فقط تسک مننجر و ریجستریم رفته و هیچ مشکل Folder Option و ... ندارم . msconfig و اینام باز هستش . این از درایو c : 01/23/2009 06:52 PM 0 TEMP.PDF 12/09/2008 10:56 AM <DIR> WINDOWS 01/23/2009 04:56 PM 1,610,612,736 PAGEFILE.SYS 01/21/2009 03:17 PM 0 AUTOEXEC.BAT 01/22/2009 10:52 PM 1,073,270,784 hiberfil.sys 12/09/2008 11:02 AM <DIR> Documents and Settings 01/23/2009 12:01 AM <DIR> Program Files 12/09/2008 11:23 AM 0 CONFIG.SYS 11/30/2007 01:29 PM 47,564 NTDETECT.COM 12/09/2008 11:23 AM 0 IO.SYS 12/09/2008 11:23 AM 0 MSDOS.SYS 12/09/2008 11:28 AM <DIR> System Volume Information 01/23/2009 06:56 PM 0 ioncube_executor_log.txt 01/23/2009 07:12 PM 1,150 Viewrun.txt 12/29/2008 12:04 PM <DIR> FOUND.010 01/10/2009 07:08 PM <DIR> FOUND.011 01/22/2009 11:56 PM 211 boot.ini 01/17/2009 03:55 PM <DIR> FOUND.012 01/18/2009 03:15 PM <DIR> profiles 01/19/2009 02:23 PM <DIR> Downloads 01/21/2009 02:01 PM 150 YServer.txt 01/21/2009 02:10 PM <DIR> FOUND.013 01/21/2009 08:42 PM <DIR> FOUND.014 01/21/2009 09:13 PM 90 rescue.bat 01/22/2009 08:49 PM <DIR> FOUND.015 01/22/2009 10:05 PM <DIR> FOUND.016 11/30/2007 03:25 PM 250,048 ntldr 12/09/2008 12:30 PM <DIR> Recycled 01/23/2009 12:18 PM 1,056 ALCSetup.log 12/09/2008 03:56 PM <DIR> NVIDIA 12/09/2008 04:25 PM <DIR> MSOCache 12/22/2008 10:46 AM <DIR> Config.Msi 12/22/2008 11:07 AM 1,167 _Sid.txt 12/26/2008 09:10 AM <DIR> RECYCLER 12/30/2008 06:33 PM <DIR> MyS2GApp 16 File(s) 2,684,184,956 bytes 19 Dir(s) 809,680,896 bytes free این از اون فایل ریجستری : Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINEsoftwaremicrosoftwindowscurr entversion un] "avgnt"=""C:Program FilesAviraAvira Premium Security Suiteavgnt.exe" /min" "NvCplDaemon"="RUNDLL32.EXE C:WINDOWSsystem32NvCpl.dll,NvStartup" "nwiz"="nwiz.exe /install" "NvMediaCenter"="RUNDLL32.EXE C:WINDOWSsystem32NvMcTray.dll,NvTaskbarInit" "SoundMan"="SOUNDMAN.EXE" @="" "Sony Ericsson PC Suite"=""C:Program FilesSony EricssonMobile2Application LauncherApplication Launcher.exe" /startoptions" "Barsaka"="explorer.exe" اینم از پروسس ها : Image Name PID Session Name Session# Mem Usage ========================= ====== ================ ======== ============ System Idle Process 0 Console 0 28 K System 4 Console 0 240 K SMSS.EXE 676 Console 0 388 K CSRSS.EXE 732 Console 0 5,384 K WINLOGON.EXE 756 Console 0 1,716 K SERVICES.EXE 800 Console 0 3,936 K LSASS.EXE 812 Console 0 1,328 K SVCHOST.EXE 976 Console 0 5,160 K SVCHOST.EXE 1096 Console 0 5,044 K SVCHOST.EXE 1192 Console 0 30,076 K SVCHOST.EXE 1244 Console 0 4,028 K SVCHOST.EXE 1384 Console 0 5,248 K NVSVC32.EXE 1796 Console 0 4,380 K EXPLORER.EXE 776 Console 0 26,088 K RUNDLL32.EXE 1792 Console 0 4,940 K SOUNDMAN.EXE 1896 Console 0 7,672 K Application Launcher.exe 1736 Console 0 3,168 K CTFMON.EXE 2040 Console 0 3,968 K explorer.exe 260 Console 0 2,948 K YahooMessenger.exe 340 Console 0 31,032 K CapabilityManager.exe 192 Console 0 8,180 K Xfire.exe 476 Console 0 26,928 K WMIPRVSE.EXE 172 Console 0 6,760 K Generic.exe 708 Console 0 8,528 K epmworker.exe 1540 Console 0 8,296 K SPOOLSV.EXE 3144 Console 0 4,644 K dllhost.exe 3072 Console 0 8,872 K msdtc.exe 2316 Console 0 5,340 K madrese.exe 2024 Console 0 7,108 K Apache.exe 1756 Console 0 8,396 K Apache.exe 2840 Console 0 12,168 K hehmfp.exe 2708 Console 0 3,936 K winumiv.exe 2932 Console 0 3,980 K uhrrs.exe 212 Console 0 4,788 K AdobeUpdater.exe 1444 Console 0 10,224 K mscorsvw.exe 2500 Console 0 2,620 K RUNDLL32.EXE 3656 Console 0 3,076 K firefox.exe 3516 Console 0 76,900 K cmd.exe 3388 Console 0 2,920 K tasklist.exe 3424 Console 0 5,124 K من Avira دارم . اما خب متاسفانه بعد از آپدیت قسمت scan میاد و میره کاسپر اسکای غیر فعال شده و کلا هیچی کار نمیکنه ! picher_s23-01-2009, 07:27 PMhojjet007 جان شما 2 تا explorer در لیست پروسز هات داری!!!! اگه لطف کنی با یه process explorer مسر جاری پروسز هاتم بگی ممنون میشم. HoJJaT_00723-01-2009, 07:29 PMمن زیاد تو این کارا وارد نیستم . چیکار باید کرد ؟:D الان دارم Trand Micro دانولد میکنم . شاید کار کرد . چون تمامی exe های سیستم آلوده هست . اگرم که با مک آفی بیفتم به جونش انگار هاردو فرمت کردم !! picher_s23-01-2009, 07:41 PMعزیز اصلان فکر Mcaffee هم نکن. فقط officescan از trendmicro. عزیز اگه ZoneAlram داری بنصب بهترین process Explorer رو داره. HoJJaT_00723-01-2009, 07:52 PMفعلا Trend micro رو نصب میکنم . نتیجه نداد زون آلارم Diego23-01-2009, 07:58 PMکامپیوتر یکی از بچه ها دچار همین مشکل شده بود.خیلی ویروس اعصاب خورد کنیه... picher_s23-01-2009, 08:10 PMبچه ها من منتظر عکستونم .لطفا متن اوتورانتونم هم بزارید. HoJJaT_00723-01-2009, 08:13 PMعزیز من چیزی به اسم autorun.inf ندارم . ویروس آتوران نیست ! فقط یه Autoexec.bat هستش . elector girl23-01-2009, 08:15 PMيه فرمت كن ، ويندوز رو عوض كن و خياله خودتو راحت كن!:31: من كامپيوترم زياد ازين ويروسا گرفته! هر دفعه كلي دنبال راه ميانبر واسه شناختن و پاك كردن ويروس گشتم! ولي آخر همه راه ها به فرمت و عوض كردن ويندوز كشيده!:27: picher_s23-01-2009, 08:18 PMhojjat 007 جان خوب یه تاپیک جداگانه براش درست میکردی. حالا بیخیال. یگه میتونی یه exe کوچیک برام بسند. عکس تسک منیجرت رو بزار. عکس msconfiget رو هم بزار. من منتظرم. HoJJaT_00723-01-2009, 08:29 PMخیلی ممنون با این راه حل ...×! محض اطلاع من امروز صبح ویندوز نصب کردم از نو دوباره ویروسو گرفتم . پس از این راه حلای که وقتو میگیره و عملی نیست نگید لطفا picher_s23-01-2009, 08:37 PMدمت گرم رفیق!! چیز بدی نگفتم!!!! ببین عزیز اگه ویروست Autorun تو هر درایو نداره و شما امروز ویندوز نصب کردی و دوباره ویروس رو گرفتی پس : از توی یکی از درایو هات یه برنامه نصب کردی یا اجرا کردی. اگه این کار رو کردی و ویروس رو گرفتی پس کامپیوتر شما یه ویروس pe_appaend داره مثل sality!!! در ضمن چیزایی رو که گفتم برای تشخیص ویروستون بود. من رو تمام سیستم هامOfficeScan دارم و عالی جواب میده. حالا قضاوت دست خودتون. موفق و پیروز باشید. HoJJaT_00723-01-2009, 08:42 PMبا شما نبودم . با اون پست قبلی بودم که گفت فرمت کن ! Office Scan چیه ؟ من دارم Trend Micro دانلود میکنم ... اون تیو اینه ؟ MichaelQwerty23-01-2009, 08:42 PM[picher_s] [HoJJaT_007] شما دوتا اینجا رو هوا دادین آقای پیچر دست دوستونو بگیرید ببرید بیرون از این تاپیک براش یه تاپیک جدید بزنید picher_s23-01-2009, 08:50 PMمن وظیفم بود بگم. حالا هر جور خودشون صلاح میدونن. HoJJaT_00723-01-2009, 09:01 PMدوست عزیز ما در مورد چیزای دیگه حرف نمیزنیم ! در مورد همین ویروسه . شاید ایشون راه حلو داد مشکل همه حل شد. فکر نکنم این تاپیک شخصی باشه ! پیچر عزیز . من trend رو اجرا کردم . اما officescan کجاست ؟ --- راستی در مورد اون پست هم خطابم به شما نبود . به پست نفر قبلی بود که گفت فرمت کنید . بازم ببخشید picher_s23-01-2009, 09:15 PMofficeScan نرم افزار انتی ویروس( من از تحت شبکه اش استفاده میکنم ) از همون TrendMicro است. لطفا با توجه به چیزایی گفتم مطالبتون را کامل کنید. موفق و پیروز باشید . خداحافظ تا فردا آخه آلان اداره ام و باید برم خونه D: anti_girl23-01-2009, 10:18 PMببخشيد مجبورم اين اطلاعات رو در چند پست بدم اخه فكر كنم ويروس باعث بهم ريختن اين متنها ميشه...همش بهم ميريزن..... anti_girl23-01-2009, 10:22 PMWindows Registry Editor Version 5.00[HKEY_LOCAL_MACHINEsoftwaremicrosoftwindowscurr entversion un]"NvCplDaemon"="RUNDLL32.EXE C:WINDOWSsystem32NvCpl.dll,NvStartup""SysUtils"="C:Documents and SettingsAll Userssmss.exe""WinampAgent"=""C:Program FilesWinampwinampa.exe"""CloneCDElbyCDFL"=""C:Program FilesElaborate BytesCloneCDElbyCheck.exe" /L ElbyCDFL""CloneCDTray"=""C:Program FilesElaborate BytesCloneCDCloneCDTray.exe"" anti_girl23-01-2009, 10:23 PMC:>tasklistImage Name PID Session Name Session# Mem Usage========================= ====== ================ ======== ============System Idle Process 0 Console 0 28 KSystem 4 Console 0 240 Ksmss.exe 468 Console 0 388 Kcsrss.exe 516 Console 0 2,784 Kwinlogon.exe 540 Console 0 4,468 Kservices.exe 584 Console 0 3,752 Klsass.exe 596 Console 0 1,308 Ksvchost.exe 760 Console 0 5,272 Ksvchost.exe 828 Console 0 5,076 Ksvchost.exe 880 Console 0 21,084 Ksvchost.exe 944 Console 0 4,096 Ksvchost.exe 972 Console 0 5,128 Kspoolsv.exe 1104 Console 0 4,896 Kexplorer.exe 1380 Console 0 7,540 Knvsvc32.exe 1456 Console 0 4,472 Kwinampa.exe 784 Console 0 7,308 Kctfmon.exe 1212 Console 0 3,648 Ksmss.exe 1264 Console 0 7,048 Kwmiprvse.exe 2604 Console 0 7,216 KYahooMessenger.exe 3872 Console 0 38,072 KIEXPLORE.EXE 3884 Console 0 9,932 Kwinpvtp.exe 2152 Console 0 5,512 Kwingfwna.exe 2244 Console 0 5,352 Kwinjwdikh.exe 1588 Console 0 4,752 Kcmd.exe 3628 Console 0 2,952 Ktasklist.exe 2076 Console 0 4,688 K anti_girl23-01-2009, 10:24 PMمثل اين كه مجبورم ويندوز رو عوض كنم در ضمن هر انتي ويروسي كه نصب ميكنم اجرا نميشه.... anti_girl23-01-2009, 10:39 PMمتاسفانه خيلي قاطي كرده سيستم حتي نميتونم فايل رو اپديت كنم MichaelQwerty23-01-2009, 10:41 PM"SysUti ls"="C:Documents and SettingsAll Userssmss.exe" من به این فایل مشکوکم امکان داره همین باشه به این مسیری که گفته برو و ببین حجم فایل چقدر (smss.exe) ؟ از این دستور استفاده کن reg delete hklmsoftwaremicrosoftwindowscurrentversion un /va یه بار دیگه run رو استخراج کن به روش بالا که گفتم اگه باز هم این فایل رو دیدی پس ویروس همین smss.exe MichaelQwerty23-01-2009, 10:43 PMsmss.exe این یه فایل مهم ویندوزت هست ولی این که تو این مسیر باشه عادی نیست MichaelQwerty23-01-2009, 10:48 PMوقتی پروسه سیستم شما رو بررسی کردم مطمئن شدم ویروس همین فایل smss.exe اگه خودتم خوب نگاه کنی دوتا از این فایل رو میبینی که در حال اجراست ولی باید ببینیم کدام مال ویندوز کدام ویرس هست اگه میتونستی ویروس upload کنی که عالی میشد MichaelQwerty23-01-2009, 11:15 PMپیداش کردم این ویروسه هستش smss.exe 1264 Console 0 7,048 ببین یه عدد بعد از اسمش هست 1264 با این عدد میتونیم ببندیمش بهش میگن PID هر وقت که کامپیوتر روشن میشه این عدد هم تغییر میکنه احتمالا هر وقت که از دستور tasklist استفاده کنی smss اولی برای ویندوز و smss که بعد از اون میاد ویروس PID اونو که همون عدد بگیر و به جای X در دستور زیر قرار بده تا ویروس از کار بیفته taskkill /pid X /f /t بعد بدون هیچ کاری این دستور انجام بده reg delete hklmsoftwaremicrosoftwindowscurrentversion un /va تا مطمئن بشی ویروس دوبار با بالا اومدن ویندوز اجرا نمیشه سیستم restart میکنی و tasklist یه بار دیگه از این دستور استفاده میکنی تا مطمئن بشی smss یکی هست از run به تمام درایو ها میری و Autorun.inf پاک میکنی من منتظرم تا بگی تونستی این کارارو بکنی یا نه ؟ MichaelQwerty23-01-2009, 11:18 PMیادم رفت اینو بگم اگر اشتباهی pid که مال Sms ویندوز بدی و از کار بندازیش احتمالا ویندوز restart میشه HoJJaT_00723-01-2009, 11:24 PMنیازی نبود 15 تا پست پشت سر هم بدید ! به نظرم بهترین کار اینه با Trend Micro بیفتید به جون سیستم . exe ها هم پاک نمیکنه . نکته : مال من smss نیست ! مال من دو تا explorer هست ! نمیدونم والا گیج شدم از دست این ویروس . دو تا اکسپلورر . میزان استفاده رم یکی که مال خود ویندوزه 23 مگابایت و اون یکی 2 مگ که ویروسه ... ! anti_girl24-01-2009, 12:39 AMسلام...... دوستان من يه كاري كردم هنوز خبري از اين ويروس نيست تو سيستمم وقتي ويندوز رو عوض كردم با استفاده از فرماني كه از تو run ميشه درايو رو باز كرد درايو رو باز كردم و فايل RECYCLER رو shift+delete كردم فقط يه اشتباه كوچيك كردم كه اول delete كردم بعد shift+delete كردم يه بار سيستم رو ريست كردم وقتي بالا اومد ديدم دوباره اين فايل تو همه درايو ها هست و دوباره shift+delete كردم تا الان كه ازش خبري نيست و ديده نميشه...حتي يه بار ريست هم كردم كامپيوتر رو....ولي همون باري كه اشتباه كردم باعث شد كه task manager &registery مثل قبل غير فعال بشن....الان مشكلم اينه كه حوصله عوض كردن ويندوز رو ندارم نميشه برشون گردوند؟ در ضمن با استفاده از همون فرمان كه محتويات درايو c رو نشون ميده ديگه اون فايل autorun.inf رو نميبينم C:>dir /a Volume in drive C has no label. Volume Serial Number is 2C62-E249 Directory of C: 01/23/2009 11:40 PM 0 AUTOEXEC.BAT 01/23/2009 11:35 PM 211 boot.ini 01/23/2009 11:40 PM 0 CONFIG.SYS 01/23/2009 11:44 PM <DIR> Documents and Settings 01/23/2009 11:40 PM 0 IO.SYS 01/23/2009 11:40 PM 0 MSDOS.SYS 08/04/2004 04:38 AM 47,564 NTDETECT.COM 08/04/2004 04:59 AM 250,032 ntldr 01/24/2009 12:02 AM 2,145,386,496 pagefile.sys 01/24/2009 12:08 AM <DIR> Program Files 01/23/2009 11:44 PM <DIR> System Volume Information 01/24/2009 12:07 AM <DIR> WINDOWS 8 File(s) 2,145,684,303 bytes 4 Dir(s) 48,155,041,792 bytes free اينم محتويات رجيستري كه با استفاده از اين فرمان reg export hklmsoftwaremicrosoftwindowscurrentversion un ViewRun.txt بدست اومد Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINEsoftwaremicrosoftwindowscurr entversion un] "IMJPMIG8.1"=""C:WINDOWSIMEimjp8_1IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32" "PHIME2002ASync"="C:WINDOWSsystem32IMETINTLGNTTINTSETP.EXE /SYNC" "PHIME2002A"="C:WINDOWSsystem32IMETINTLGNTTINTSETP.EXE /IMEName" "NvCplDaemon"="RUNDLL32.EXE C:WINDOWSsystem32NvCpl.dll,NvStartup" "nwiz"="nwiz.exe /install" "NvMediaCenter"="RUNDLL32.EXE C:WINDOWSsystem32NvMcTray.dll,NvTaskbarInit" "RTHDCPL"="RTHDCPL.EXE" "SkyTel"="SkyTel.EXE" "Alcmtr"="ALCMTR.EXE" "AGRSMMSG"="AGRSMMSG.exe" anti_girl24-01-2009, 01:04 AMنه مثل اينكه هنوز پاك نشده البته اين فايل RECYCLER در درايو ها نيست اما هنوز تو درايو c مشكل دارم اخه بعد از گذشت چند لحظه دوباره همه فايل هاي مخفي ميشن و مجبورم دوباره show to all كنم... anti_girl24-01-2009, 01:08 AMنیازی نبود 15 تا پست پشت سر هم بدید ! به نظرم بهترین کار اینه با trend micro بیفتید به جون سیستم . Exe ها هم پاک نمیکنه . نکته : مال من smss نیست ! مال من دو تا explorer هست ! نمیدونم والا گیج شدم از دست این ویروس . دو تا اکسپلورر . میزان استفاده رم یکی که مال خود ویندوزه 23 مگابایت و اون یکی 2 مگ که ویروسه ... ! اگه به نظر شما با اين كار به راحتي از شر اين ويروس خلاص ميشم خوب يه لينك بدين تا زودتر دست به كار بشم.... anti_girl24-01-2009, 11:37 AMبابا يكي يه راه حل پيشنهاد بده چه كارش كنم؟چرا پاك نميشه اين ويروس لعنتي؟فايلrecycler تو درايو ها ديگه نيست اما نميدونم باز چه طوري همون اش و همون كاسه قبل ميشه.... H M R 0 0 724-01-2009, 12:01 PMبابا يكي يه راه حل پيشنهاد بده چه كارش كنم؟چرا پاك نميشه اين ويروس لعنتي؟فايلrecycler تو درايو ها ديگه نيست اما نميدونم باز چه طوري همون اش و همون كاسه قبل ميشه.... 1-اول یک آنتی ویروس خوب نصب کن که بتونه ویروس رو شناساایی و پاک کنه.من کسپر اسکای اینترنت سکوریتی KIS رو پیشنهاد میکنم 2-بعد توسط این برنامه task manager رو فعال کن.حجمش 5 کیلو بایته !!!! برای مشاهده محتوا ، لطفا ثبت نام کنید / وارد شوید !!!! 3-اگه با مشکل autorun.inf مواجه هستی و ویرویس کش فایل ویروسی که توی autorun.inf مشخص شده تا اجرا بشه رو پاک کرده و نمیتونی با دابل کلیک بری تو دراویها بهتره یک autorun.inf خالی بسازی و توی همه درایوهات کپی کنی و بعد سیستم رو ریستارت کنی این هم برنامه مفید و کم حجمی هست که میتونه 3 ابزار اصلی ویندوز (task manager -msconfig و regedit ) رو در هر شرایطی اجرا کنه: !!!! برای مشاهده محتوا ، لطفا ثبت نام کنید / وارد شوید !!!! anti_girl24-01-2009, 01:37 PMخيلي ممنون بابت راهنماييتون....اما متاسفانه چند نرم افزار مثل nod 32 رو امتحان كردم پاك نكرده....اگه لطف كنيد و يه لينك از كاسپراسكاي بدين ممنون ميشم.....! HoJJaT_00724-01-2009, 02:00 PMببین عزیزم . کاسپر اسکای - نورتون - نود 32 نمیتونند این ویروسو بشناسند . فقط دو نوع هست : Mcafee که میشناسه . اما هر فایل exe که هست پاک میکنه !! Trend Micro و پلاگ این Trend Micro Office Scan که ویروسو به خوبی شناسایی میکنند و پاک میکنند و فایل exe رو به هیچ عنوان از بین نمی برن . مال من دیشب حدودا 890 تا فایل ویروسی پیدا کرد . الانم داره باز پیدا میکنه . لا مصب به هر چی exe سیستم هست میچسبه ! picher_s24-01-2009, 02:07 PMای ول به داش hojjat007. حجت جان فقط حواست باشه که OfficeScan همیشه پروسز ویروس رو نمیتونه ببنده!!! بعضی اوقات شما باید خودت با روش های ابتکاری پروسز ویروست رو ببندی. موفق و پیروز باشید. unartig24-01-2009, 02:21 PMخيلي ممنون بابت راهنماييتون....اما متاسفانه چند نرم افزار مثل nod 32 رو امتحان كردم پاك نكرده....اگه لطف كنيد و يه لينك از كاسپراسكاي بدين ممنون ميشم.....! این ویروس کش ویروسی که گفتی رامی شناسه وازبین میبره http://downloads.de/details.php?tabelle=Sicherheit&id=580 HoJJaT_00724-01-2009, 04:08 PMممنون از همگی ویروس پاک شد . سیستم فایل ویروسی نداره . Task Manager به زور باز کردم . اما هنوز regedit سایت ما را در گوگل محبوب کنید با کلیک روی دکمه ای که در سمت چپ این منو با عنوان +1 قرار داده شده شما به این سایت مهر تأیید میزنید و به دوستانتان در صفحه جستجوی گوگل دیدن این سایت را پیشنهاد میکنید که این امر خود باعث افزایش رتبه سایت در گوگل میشود

این صفحه را در گوگل محبوب کنید

[ارسال شده از: سایت ریسک]

[مشاهده در: www.ri3k.eu]

[تعداد بازديد از اين مطلب: 743]