ايران ويج

ايران ويج > هك وكرك و ويروس > ويروس و آنتي ويروس > ویروسی که اسمش رو نمیدونم!!!
نسخه‌ی کامل: ویروسی که اسمش رو نمیدونم!!!
شما در حال مشاهده‌ی نسخه‌ی متنی این صفحه می‌باشید. مشاهده‌ی نسخه‌ی کامل با قالب بندی مناسب.

Salivan

۲۵-اسفند-۱۳۸۷, ۲۳:۱۸:۱۱
دوستان سلام
آقا یه 1 ماهی هست سیستمم یه ویروس گرفته که تا الان تنها کاری که انجام داده این بوده که داخل Folder Options فایل های هیدن رو نمیذاره شو کنم!
یعنی تیک شو رو که میزنم اپلای می کنم! باز هم فایل ها هیدن هستن!

4 تا سیستم دیگم هم از طریق فلشم این ویروس رو گرفته! کسی نمیدونه این چه ویروسیه یا آنتیش چیه!
خیلی ممنون میشم اگه راهنمایی کنین!

این اسکن سیستم 32 هست!
که یه سری فایل رو نمیتونه باز کنه!
اون اولین فایل که qmctab.dll هست رو بعضی وقت ها نود گیر میده ولی نمیتونه پاکش کنه!

[attachment=2349]

lord_viper

۲۵-اسفند-۱۳۸۷, ۲۳:۵۰:۲۹
یه عکس از سربرگ process از TaskManager ت بنداز تا بهتر بشه نظر داد

saeedsmk

۲۶-اسفند-۱۳۸۷, ۰۳:۴۸:۱۵
سلام
خوب هستيد با hijackthisداستگاه رو اسكن و لوگ رو بگزاريد تا بشه بيشتر بهتون كمك كرد
به اميد ديدار

Salivan

۲۶-اسفند-۱۳۸۷, ۰۹:۵۰:۵۱
آقا گفتم نود گیر میده ایناهاش:


[تصویر: 23w90jk.jpg]

این هم Task Manager :



[تصویر: 11u7x9u.jpg]
آقای saeedsmk انم لوگ:

کد:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 6:27:56 PM, on 11/7/2002
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
c:\Program Files\Common Files\Protexis\License Service\PsiService_2.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\explorer.exe
C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe
C:\Program Files\Java\jre1.5.0_03\bin\jusched.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Hewlett-Packard\OrderReminder\OrderReminder.exe
C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe
C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll
O4 - HKLM\..\Run: [egui] "C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_03\bin\jusched.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [OrderReminder] C:\Program Files\Hewlett-Packard\OrderReminder\OrderReminder.exe
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [IMEKRMIG6.1] C:\WINDOWS\ime\imkr6_1\IMEKRMIG.EXE
O4 - HKCU\..\Run: [Yahoo! Pager] "C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe" -quiet
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_03\bin\npjpi150_03.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_03\bin\npjpi150_03.dll
O9 - Extra button: Send to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: S&end to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{815CED30-F2C4-409F-ADB7-88A0EA1FC164}: NameServer = 213.217.60.172 213.217.60.170
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Program Files\Microsoft Office\Office12\GrooveSystemServices.dll
O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\EHttpSrv.exe
O23 - Service: Eset Service (ekrn) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
O23 - Service: Protexis Licensing V2 (PSI_SVC_2) - Protexis Inc. - c:\Program Files\Common Files\Protexis\License Service\PsiService_2.exe

Morpheus

۲۶-اسفند-۱۳۸۷, ۱۰:۲۱:۲۰
خوب بود تسک های اضافه مثل آفیس مسنجر SoundMan رو می بستین.
به نظر من که چیز خاصی توش نیست ورم Conficker تو عکس نود تشخیص داده که احتمالا تو همه درایوها هست و اتوران کرده خودشو که با استفاده از آدرس بار تو حالت SafeMode احتمالا می تونین دستی پاکش کنین اگر بلد باشین

Salivan

۲۶-اسفند-۱۳۸۷, ۱۲:۰۵:۰۰
آقا یه چیز دیگه!
این سیستم هیچ سایتی که داخل آدرسش کلمه Virus باشه رو باز نمیکنه!

مثلا وقتی می خوام داخل سایت:
Virustotal.com
بشم ارور :
The page cannot be displayed
رو میده!
اینو چیکار کنم؟؟؟؟؟

saeedsmk

۲۶-اسفند-۱۳۸۷, ۱۷:۳۳:۲۹
سلام
خوب هستيد توي hijackthis برو توي config بعد برو توي misec tools برو توي opens host file mamanger و نوشته هاشو ببين اگر چيزي جز موارد زير بود حذف كن
کد:
# Copyright (c) 1993-1999 Microsoft Corp.
#
# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.
#
# This file contains the mappings of IP addresses to host names. Each
# entry should be kept on an individual line. The IP address should
# be placed in the first column followed by the corresponding host name.
# The IP address and the host name should be separated by at least one
# space.
#
# Additionally, comments (such as these) may be inserted on individual
# lines or following the machine name denoted by a '#' symbol.
#
# For example:
#
# 102.54.94.97 rhino.acme.com # source server
# 38.25.63.10 x.acme.com # x client host

127.0.0.1 localhost
بعد اين فايلي رو كه اتچ كردم رو دستگاهت رانش كن
خودم نوشتمش ببين كمكت ميكنه
به اميد ديدار

Salivan

۲۶-اسفند-۱۳۸۷, ۱۹:۲۶:۲۹
آقا saeedsmk خیلی ممنون
اتوران ها پاک شد!
نود هم به فایل اصلی گیر داد و فایل رو پاک کرد!
قضیه هیدن هم ردیف شد!

ولی اون سایت درست نشد!
بدبختی هم اینه که من با virustotal.com زیاد کار دارم!
نمیدونم اشکال از کجاس

saeedsmk

۲۷-اسفند-۱۳۸۷, ۰۹:۱۵:۳۳
سلام
خوب هستيد يك كاري كنيد براي چنذد لحظه كوتاه نود رو از كار بندازيد و بعد سعي كنيد اگر درست شد كه يعني اين سايت هاي توي فايروال نود تعريف شدن و بايد درست بشن
اميدوارم كمك كنه

Salivan

۲۸-اسفند-۱۳۸۷, ۱۶:۰۴:۳۹
آقا سعید خیلی ممنون از توجه تون!
ولی باز هم نشد!
ویندوز هم که عوض می کنم 1 هفته ی درسته
بعدش دوباره باز نمیشه!

saeedsmk

۲۸-اسفند-۱۳۸۷, ۲۱:۰۸:۲۳
سلام
خوب هستيد با اپرا هم باز نميشه ؟
به اميد ديدار
ايران ويج > هك وكرك و ويروس > ويروس و آنتي ويروس > ویروسی که اسمش رو نمیدونم!!!