مشورت و تبادل نظر در مورد ویروسهای عجیب و ناشناخته

[safa2002]

کمک PLEASE !
تا میخام یه فایل رو از dvd یا cd کپی کنم cpu usage
میشه 99%
تو taskmanager هم نگاه کردم مورد غیر عادی نیست
فقط تو کپی کردن اتفاق می افته بقیه موارد مشکلی نیست
لطفا دوستان کمک کنن

 

[safa2002]

کسی نبود کمک کنه!

کمک PLEASE !
تا میخام یه فایل رو از dvd یا cd کپی کنم cpu usage
میشه 99%
تو taskmanager هم نگاه کردم مورد غیر عادی نیست
فقط تو کپی کردن اتفاق می افته بقیه موارد مشکلی نیست
لطفا دوستان کمک کنن

 

[sadeghi85]

از آنتی ویروس استفاده می کنی؟ اگر جواب مثبته موقتا اون رو غیر فعال کن وقتی کپی کردن تموم شد دوباره فعالش کن و فایل های کپی شده رو باهاش اسکن کن. اگر جواب منفیه یا بعد از غیر فعال کردن آنتی ویروس بازم همون اتفاق می افته احتمالا نصب دوباره ویندوز بهترین راهه!

 

[Fairyj]

سلام
من به تازگی به یک ویروس تازه برخورد کردم که کامپیوتر خودم و چندین نفر دیگر را آلوده کرده است. واضح ترین نشانه این ویروس این است که در Folder Options وقتی Show Hidden Files را انتخاب می کتیم و ok می کنیم و دوباره که به پنجره Folder Options مراجعه می کنیم به طور اتوماتیک مجددا بر روی Dont Show Hidden Files قرار می گیرد!

این یکی از نشانه های این ویروس است. در جایی خواندم که فایلهای jpg را هم پاک می کند! متاسفانه انتی ویروسها هم نمی شناسننش. کسی به این ویروس برخورده یا راهی برای حذف آن دارد؟

ozr mikham ke fingilish minevisam
bad edit khaham kard in neveshte ra
man ham in moshkel ra daram
shoma chetor in moshkel ro hal kardid ?
windows ro ham avaz kardam ama hamchenan mesle ghable
virousesham dar eteraz be bar gozariye mosabeghat o injoor chiz hast
iraniye

HELP !

 

[mastermindgreen]

ozr mikham ke fingilish minevisam
bad edit khaham kard in neveshte ra
man ham in moshkel ra daram
shoma chetor in moshkel ro hal kardid ?
windows ro ham avaz kardam ama hamchenan mesle ghable
virousesham dar eteraz be bar gozariye mosabeghat o injoor chiz hast
iraniye

HELP !

سلام

قبل از هر صحبتی بگم که اگه دوستان یه انتی ویروس اپدیت شده خوب داشته باشن ( چه NOD32 چه کسپر اسکای )

میشه گفت هیچوقت با همچین مشکلاتی روبرو نمیشن , اینکه چنین وضعیتی پیش میاد به این دلیله که :

1- اصلا قبل از بوجود اومدن چنین مشکلاتی انتی ویروس نصب نبوده

2- انتی ویروس نصب بوده ولی روش صحیح کرک اجرا نشده ( NOD32 ) در نتیجه اپدیت نیست و فقط به جز یک

ایکن خشک و خالی کاربرد دیگری ندارد .

3- انتی ویروس در قسمت سیستم ترای فعال نیست ( بسیار مهم ) در نتیجه فایلهای ادویر قادر خواهند بود

تا در قسمتهای مختص خود جلوس نمایند .

به هر حال امیدوارم این فایل بتواند مشکل دوستان FOLDER OPTION را رفع نماید :

http://w14.easy-share.com/15048051.html

Password : mastermindgreen

Size: 55 KB

محتوی فایلها و متنهای زیر :





تغییرات فوق باعث بروز مشکلاتی از جمله باز نشدن FolderOption و مخفی نگه داشتن فایلهای مخفی می گردد که برای برطرف کردن این مشکلات می توانید برنامه زیر را از سایت ایمن دانلود کرده و ر جیستری خود را پاکسازی نمایید:

RegRepair.zip


از جمله كارهای جالب اين ويروس اين است كه خودش را در ريشه همه درايوها با نام autoply.exe كپی كرده و در كنار آن فايلی با نام Autorun.inf ايجاد می‌كند. اين عمل باعث می‌شود كه هر گاه كاربر بخواهد به هر شکلی وارد هر درايوی شود، فايل مربوط به كرم اجرا گردد. نوع Autorun ايجاد شده به گونه‌ايست كه اگر فايل autoply.exe كه خود كرم است از روی سيستم پاك شده ولی فايل Autorun.inf باقی بماند، با دوبار كليك كردن بر روی نام درايو پنجره Open with نمايش داده می‌شود و كاربر نمی‌تواند وارد درايو شود. در اين حالت با كليك راست نمودن بر روی نام درايو و انتخاب گزينه Open نيز نمی‌توان وارد درايو شد. برای برطرف نمودن اين مشكل بايستی فايل زير را از روی سايت ايمن دانلود نموده و آن را بر روی سيستم خود اجرا نماييد:



NoAutorun.zip



اين كرم فايلی با نام Important.htm را در مسيرهای زير بر روی سيستم كاربر کپی می‌نمايد كه حاوی جملاتی به زبان فارسی است:

یکی از نشانه‌های ویروس به نمايش درآوردن نواری زرد رنگ در بالای صفحه همراه با جملاتی فارسی با رنگ قرمز است.



آموزش پاک کردن ویروسی که Folder Option را حذف می کند



شیوه ی پاک کردن ویروس BronTok.A :در زیر به برخی از ویژگی های این ویروس اشاره می کنیم

:1 . Folder Options را حذف می کند !

2 . Registry Tools را قفل می کند

3 . Task Manager نمی تواند فایل های مربوط به این ویروس را End کند !

4 . پس از اجرا شدن ، محتویات My Documents را نمایش می دهد !

5 . اگر در کادر محاوره ای Run عبارت CMD ، Regedit ، msconfig ، Regedt32 را تایپ کنید ، سیستم بلافاصله Restart می شود !

6 . اگر روی گزینه ی Log Off یا Turn Off Computer کلیک کنید ، سیستم Restart می شود

7 . آیکون این ویروس شبیه آیکون یه پوشه است !

همانطور که می دانید فایل های lsass.exe ، winlogon.exe و services.exe از فایل های سیستمی بوده و همیشه در حال اجرا هستند ...اگر شما برنامه ی

Process Master را اجرا کنید ، می بینید که این فایل ها در پوشه ی System32 قرار دارند. اما اگر ویروس BronTok.A روی سیستم شما نصب باشد ، خواهید

دید که سه تا فایل دیگر با همین نام ها در حال اجرا هستند !! یعنی دو تا winlogon.exe ، دو تا lsass.exe و دو تا services.exe ! اما به راحتی میشود فهمید که

کدام ویروسند و کدام فایل اصلی ویندوز ...آن سه تا فایلی که مربوط به ویروس میشوند ، در پوشه ای غیر از System32 قرار دارند . مسیر دقیقشان میشود

C:\Documents and Settings\User\Local Settings\Application Data نام همان درایویست که ویندوز در آن نصب گردیده و User نام کاربری است

که ویروس در آن اجرا شده ... بعد از اینکه با نرم افزار Process Master متوجه شدید که کدام ویروسند ، باید آن ها رو Kill process کنید . اگر احیانا فایل های

دیگری با نام های inetinfo.exe ، csrss.exe و smss.exe نیز در حال اجرا بودند آنها را هم Kill process کنید .البته به شرطی که مسیرشان غیر از

System32 باشد ... حالا وقت آن است که از نرم افزار Kill BronTok.A استفاده کنید .پس از اینکه نرم افزار Kill BronTok.A کارش تمام شد ، آن را ببندید و

به منوی Start برید و روی گزینه ی Search کلیک کنید . در سمت چپ روی گزینه ی All files and folders کلیک کنید .

در فیلد All or part of the file name عبارت Empty.pif را تایپ کنید و از روی کیبرد کلید Enter را فشار دهید . اکنون تمام فایل های پیدا شده را پاک کنید

دوباره در فیلد مذکور عبارت زیر را تایپ کنید و از روی کیبرد کلید Enter را فشار دهید scr،*.exe.* اکنون از بین فایل های پیدا شده ، هر فایلی که آیکونش

شبیه آیکون پوشه بود رو پاک کنید . مجددا در فیلد All or part of the file name عبارت زیر را تایپ کنید و از روی کیبرد کلید Enter را فشار دهید job.*

تمام فایل های پیدا شده را پاک کنید . باز هم در فیلد فوق الذکر عبارت Bron را تایپ کنید و از روی کیبرد کلید Enter را فشار دهید . اکنون تمام فایل ها و

پوشه های پیدا شده را پاک کنید . اکنون با خیال راحت کامپیوترتان را Restart کنید . نکته : اگر ویندوزتان بیشتر از یک کاربر دارد ، باید تمام عملیات فوق را

در همه ی کاربرها انجام دهید .



**************************************


و اما folder Option

براي بازكرداندن Folder Option به ترتيب زير عمل كنيد

1- در منوي Run تايپ كنيد : gpedit.msc

2- در صفحه باز شده در سمت چپ مسير زير را دنبال كنيد

User configuration\administrative template\windows component\windows explorer

در سمت راست گزينه remove the folder option Menu item را پيدا و گزينه آن را Disable كنيد

 

[abiTALA]

اين هم Autorun.inf هست که می سازد..
اگه mcafee تون رو Update کنيد فايل ylr.exe و h.cmd و يکسری از DLLهای همراهشو پاک ميکنه...

[LEFT];w24SofqKi3ssri0ia5lasKwswkL2ssJdddeoK7e23kwacdjZZ4Daiaae0w2q0Jo2LLd3K8i8rfossidLLl
[AutoRun]
;cilJlwDXa6i5w0Jjk9swr2Zon3w147JA4A1
open=ylr.exe
;a2i3ZDLwrfd6l8Sad8Ke5rfqLq73Ak0k2a44jjcw5D
shell\open\Command=ylr.exe
;a4nD45483L30Kq1S2esHoqK2KiLXaw3rkjfs85q63w7wq
shell\open\Default=1
;aawa9r4asp2k4dlklkwlCw5KraLqkr4dL3Kk8A7l7Fsimsq1q0dijswKJSXdsi0k2c4eKwZoSwalKsi4loaLkLia2j1o953pwa3aisodjs2if3ii52JSl933dZ
shell\explore\Command=ylr.exe
;lKwa
[/LEFT]

دوستان هم که گفنتد چطوری Folder Option رو تون رو درست کنيد... من اينجا يه عکس می گذارم برای مراحل کار:

1- RegEdit رو از منويه Run اجرا کنيد:






2- رويه قسمت Hkey_Local_machin دوبار کليک کنيد تا باز شود





3- مسير زير را طی کنيد:
Software ---> MicroSoft ----> Windows ---> CurrentVersion --> Explorer ---> Advanced ---> Folder ---> Hidden ---> Show all







4- سرانجام Show All رو انتخاب کنيد, اگر عبارت CheckedValue موجود بود مقدار آن را يک قرار دهيد, وگرنه در فضای خالی قسمت سمت راست, راست کليک کرده و از منوی New گزينه Dword Value رو انتخاب کرده و اسم آن را CheckedValue و مقدار آن را يک قرار دهيد....

 

[abiTALA]

لازم به توضيح می دونم که بگم Kaspersky بروز شده و Mcafee Enterprise Edition 8.5i+antispy بروز شده هم نتونستند اصل ويروس رو پاک کنند....
باز Mcafee بهتره ...

چون Kasper رسما تعطيل هست و فقط Autorun.inf رو Del ميکنه و الباقی موارد در سيستم باقی می مونه....

 

[hadi_S]

سلام بچه ها
می خواستم ببینم این فایل Filter.exe یه ویروسه یا نه ؟!
تو پروسس ها دیدمش در حدود 25 درصد CPU رو هم میگیره
آنتی ویروس من Symantec هستش و هر روز هم آپدیتش میکنم
نمی شناستش .
می خواستم ببینم راه چاره ای برای این وجود داره

 

[hadi_S]

...............
همانطور که می دانید فایل های lsass.exe ، winlogon.exe و services.exe از فایل های سیستمی بوده و همیشه در حال اجرا هستند ...اگر شما برنامه ی

Process Master را اجرا کنید ، می بینید که این فایل ها در پوشه ی System32 قرار دارند. اما اگر ویروس BronTok.A روی سیستم شما نصب باشد ، خواهید
دید که سه تا فایل دیگر با همین نام ها در حال اجرا هستند !! یعنی دو تا winlogon.exe ، دو تا lsass.exe و دو تا services.exe ! اما به راحتی میشود فهمید که
کدام ویروسند و کدام فایل اصلی ویندوز ...آن سه تا فایلی که مربوط به ویروس میشوند ، در پوشه ای غیر از System32 قرار دارند . مسیر دقیقشان میشود
C:\Documents and Settings\User\Local Settings\Application Data نام همان درایویست که ویندوز در آن نصب گردیده و User نام کاربری است
که ویروس در آن اجرا شده ... بعد از اینکه با نرم افزار Process Master متوجه شدید که کدام ویروسند ، باید آن ها رو Kill process کنید . اگر احیانا فایل های
دیگری با نام های inetinfo.exe ، csrss.exe و smss.exe نیز در حال اجرا بودند آنها را هم Kill process کنید .البته به شرطی که مسیرشان غیر از
System32 باشد ... ..........

دوست عزیز میشه درمورد برنامه Process Master یکم توضیح بدید ؟ از کجا میشه گیرش آورد ؟

 

[Pandemonium]

سلام

یک ویروس و یک تروجان افتاده به جون کامپیوترم داره بدبختم میکنه .

درایو C که ویندوز روش نصب بود رو فرمت کردم و یک ویندوز جدید نصب کردم .
بلافاصله هم آنتی ویروس کاسپرسکی نصب کردم با آپدیتش .

الان درایو C -شامل ویندوز ویروس نداره .
ولی درایو های دیگم که از قبل روشون فایل های آسیب دیده و آلوده مونده هنوز درست نشدند .

کاسپرسکی شناساییشون میکنه ولی مینویسه : نمیتونیم Disinfect شون کنم .پاکشون کنم ؟

کلی آرشیو موسیقی و فایل های مهم رو اون درایو هام دارم .نمیخوام از دستشون بدم .

تازه بعضی موارد معدود هم که اجازه دادم پاکشون کنه بعضیهااش رو نمیتونه پاک کنه .

اسم ویروس که کاسپرسکی معرفی می کنه :

worm.VBS.solow.b

و اسم تروجان :

trojan.win32.delf.aam

برداشتند بجای تمام فولدرهام در درایو های آلوده فایل های exeچند کیلو بایتی به همون اسم فولدر گذاشتند .
مثلا فلان فولدر با حجم چند گیگا بایتیم الان شده یک فایل exe سی کیلوبایتی !

نمیدونم کلا از بین رفتند یا نه .

از طرفی مشخصات درایو ها رو که میبینم دیدم هنوز مینویسه اینقدر گیگابایتشون پره .
یعنی امیدوارم هستم بشه فایل هام رو نجات بدم .

نمیدونم چیکارش کنم .

شما آنتی ویروس یا برنامه خاص دیگه ای سراغ دارید که بتونه این ویروس و تروجان که گفتم رو کامل از بین ببره و فایل هام رو نجات بده ؟؟

راه حل چیه ؟؟

ممنون اگه زود جواب بدین .

 

[djaliakbar]

سلام دوستان
اخیرا یه غلطی کردم رفتم از این برنامه های اشتراک گذاری فایل دانلود کردم بعد از نصب وسوسه شدم رفتم یه فایل بیخود دانلود کردم نمیدونستم به این روز دچار میشم
جدیدا ویروسی به اسم perfs.exe وارد کامپیوترم شده و در system 32 خودشو کپی کرده بعد از اتصال به اینترنت خودشو به اینترنت وصل می کنه ولی انتی ویروسم nod32 smart security 3.0.621.0 از اتصالش به اینترنت جلوگیری میکنه و میندازش تو قرنطینه اما نمی تونه پاکش کنه وقتی هم دوباره وارد ویندوز میشم دوباره همین کارو تکرار می کنه ولی نمی تونه پاکش کنه کسی پیشنهادی نداره؟
وقتی اسم این فایل رو تو اینترنت سرچ کردم یه برنامه مخصوص برای پاک کردنش پیدا کردم به اسمه prevxcsi با این برنامه کامپیو تر رو اسکن کردم اتفاقا پیداش کرد ولی برای پاک کردنش سریال نامبر برنامه رو باید بخرم که نمی تونم
کمک

 

[djaliakbar]

اخیش خیالم راحت شد بالاخره این ویروس perfs.exe رو پاکش کردم دوستان اگه همچین مشکلی مثل من واسشون پیش اومده بگه تا راهنماییش کنم

 

[galia]

سلام بچه ها
مدتیه که folder options از tools حذف شده ولی سایر مشخصات ویروس Brontok A رو ندارم و تمام راههای از بین بردن اون ویروس رو هم انجام دادم ولی مشکل باقیه. متوجه شدم که در این path یه فولدر مشکوک هست:
c:\ program files فولدری به اسم XpCode که آیکونش هم یه پوشه است که یه دست زیرشه. توش هم ظاهرا برنامه های اینستال یه بازیه! اینجور که من سرچ کردم یه ویروس ایرانیه. کسی می دونه باید چی کار کنم؟

 

[Stay alive]

سلام بچه ها
مدتیه که folder options از tools حذف شده ولی سایر مشخصات ویروس Brontok A رو ندارم و تمام راههای از بین بردن اون ویروس رو هم انجام دادم ولی مشکل باقیه. متوجه شدم که در این path یه فولدر مشکوک هست:
c:\ program files فولدری به اسم XpCode که آیکونش هم یه پوشه است که یه دست زیرشه. توش هم ظاهرا برنامه های اینستال یه بازیه! اینجور که من سرچ کردم یه ویروس ایرانیه. کسی می دونه باید چی کار کنم؟

این ویروس جدید نیست ولی دردسرش زیاده تنها راهش انتی ویروس خوب مثل نود یا کاسپر ولی با یک اسپایوار هم کارکنی بد نیست من ب شخصه با کاسپر راحترم و تونستم پکش کنم امیدوارم موفق بشی.

 

[galia]

سلام بچه ها
مدتیه که folder options از tools حذف شده ولی سایر مشخصات ویروس Brontok A رو ندارم و تمام راههای از بین بردن اون ویروس رو هم انجام دادم ولی مشکل باقیه. متوجه شدم که در این path یه فولدر مشکوک هست:
c:\ program files فولدری به اسم XpCode که آیکونش هم یه پوشه است که یه دست زیرشه. توش هم ظاهرا برنامه های اینستال یه بازیه! اینجور که من سرچ کردم یه ویروس ایرانیه. کسی می دونه باید چی کار کنم؟

مشکلم با یه Mc Afee آپدیت شده حل شد!

 

[Stay alive]

منم گرفتار همین مشکل هستم . اگه راهی پیدا کردید به منم بگید
این تروجن کلیه Folder ها رو به Application تبدیل میکنه و کلیه تنظیمات Folder Option رو بی تاثیر کرده. مثل : نمایش فایل یا فولدرهای hide شده و یا نمایش پسوند فایل ها >>> لطفا کمک ..... Mer30
تا یادم نرفته بگم که من ویندوز رو عوض کردم و کلیه فولدرهای سالم رو قرنطینه کردم . ولی هنوز این لعنتی هر بار که فولدری رو باز میکنم آلوده میکنه بگید چی کار کنم ؟؟؟؟؟؟؟؟؟؟؟؟؟؟؟؟؟؟؟؟؟؟؟؟؟ ؟؟؟؟؟؟
[email protected] www.mymemorandums.blogfa.com

به نظر من کاسپر این مشکل رو حل میکنه ولی اگر وقت دانلود اپدیت روزش رو ندارید پیشنهاد میکنم برید توی سایت رسمی کاپر و این برنامه رایگان دقیق اسمش به خاطرم نمونده ولی فکر کنم کلینر هم داشت رو دانلود کنید حتما جواب میده.

اینم صفحه برای پاک کردن ویروس های یا ریمو ویروس

 

[ARTA_ADOBE CO]

ویروسی با عنوان فارسی ساز گوشی ها نوکیا و سامسونگ که فکر میکنم توسط دانشگاه صنعتی شریف طراحی شده.
فایل ها فولدر های هیدن رو پاک میکنه و فولدر باقی میمونه و توسط کاسپر و ند شناسایی نشده...(البته سرعت رو بسیار ئحشتناک میگیره !)

کسی هست به من کمک کنه ؟

عکس :

 

[هستی]

اسم ویروس که کاسپرسکی معرفی می کنه :

worm.VBS.solow.b

و اسم تروجان :

trojan.win32.delf.aam

ممنون اگه زود جواب بدین .

http://www.sgnec.net/Viruses-f.asp
دوست عزیز و دوستان یه سر به اینجا بزنید

 

[bandartarasheh]

باعرض سلام خدمت دوستان عزیزم

من جدیدا به نوع جدیدی از ویروس برخوردم که پوشه های محبوبی که زیاد بهشون سر مزنیم رو مخفی میکنه . عزیزان من خود ویروس رو بوسیله نو 32 محبوب خودم که هر روز آپدیتش میکنم پاک کردم ولی .... مشکل من پوشه مخفی شده است که تیک hidden اش هم خاموش شده و اگه می خواهیم ببینیمش هم باshow hidden file معمولی هم نمی شه دیدش باید از Hide Protected operating system file درون فولدر آپشنview استفاده کرد تا بتوانیم پوشه بیچاره رو تازه ببینیم
دوستان اگه راهی به نظرتو می رسه به این حقیر نشون بدین تا بتونم فولدر قربانی رو تعمیر کنم:wacko::f34r:

 

[bandartarasheh]

W32/Aminia

نوع : کرم اینترنتی
محيطهاي قابل اجرا : Windows 2000,XP,NT,....


خصوصيات :


اين برنامه مخرب از نوع کرم اینترنتی می‌باشد که به محض اجرا خود را به صورت زیر بر روی سیستم کاربر کپی می‌کند:

%WinDir%\system32.exe

همچنین برای اینکه در هر بار راه‌اندازی سیستم این کرم اجرا گردد خود را در کلیدهای زیر در رجیستری ثبت می‌کند:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
Fmctrl = %WINDOWS%\system32

روش آلوده سازی این کرم به این گونه است که با ورود کاربر به هر مسیر تمام فولدر های موجود در آن مسیر را به حالت مخفی در آورده و به ازای هر یک، فایلی با پسوند exe و با نام آن فولدر ایجاد کرده و خود را درون آن می‌نویسد.
لازم به ذکر است W32/Aminia یک کرم ايرانی است و ضدويروس ايمن آن را شناخته و به طور کامل پاکسازی ‌می‌نمايد.