آژانس هواپیماییexchanging

کمک درباره ویروس

شروع موضوع توسط farshid14 ‏12 جولای 2010 در انجمن آنتی ویروس و فایروال

  1. farshid14

    farshid14 Registered User

    تاریخ عضویت:
    ‏21 می 2005
    نوشته ها:
    1,197
    تشکر شده:
    111
    محل سکونت:
    tehran
    سلام . دو ، سه روزیه که ظاهرا سیستمم ویروسی شده . نه میتونم پیداش کنم و نه آنتی ویروس میتونه پاکش کنه . آنتی ویروس این اخطار رو میده :
    [​IMG]
    چی کار کنم ؟ :(
     
  2. ArMin_KhAn

    ArMin_KhAn Registered User

    تاریخ عضویت:
    ‏2 دسامبر 2009
    نوشته ها:
    2,784
    تشکر شده:
    172
    محل سکونت:
    هرجا که $ باشه
  3. igimax

    igimax کاربر فعال کامپیوتر

    تاریخ عضویت:
    ‏17 سپتامبر 2004
    نوشته ها:
    3,406
    تشکر شده:
    1,269
    سلام farshid14 عزيز [​IMG]

    . در مورد اين پنجره اخطار Avira ، چند نكته هست كه بايد خدمتتان عرض كنم اما اول در مورد اين فايل توضيحي بدهم:

    . اين فايل predictadme.js گويا يك جاوا اسكريپت براي Autocamplete يك تولبار براي IE هست. قبلن در مورد اين فايل در اين تاپيك "HEUR/HTML MALWARE ON INTERNET EXPLORER ONLY" فروم Avira به شكل كامل توضيح داده شده. گويا چيز خطرناكي نيست و ممكنه فعلن جزو False positive ها باشه! علت به وجود آمدنش هم نصب بودن اون تولبار ذكر شده هست. (همون تاپيك را خوب مطالعه نماييد)

    . اما در مورد اون پنجره، اگر شما نشانه گر موش را روي Path ناقص اون فايل نگاه داريد، آدرس كامل فايل نمايش داده مي‌شود و در بعضي موارد مي‌شود به آن آدرس رفت و دستي كار‌هايي را نمود. دوم اون عبارت اول جمله HEUR مخفف Heuristic هست. همان گزينه‌اي كه معمولن بايد آن را در تنظيمات خود آويرا روي High گذاشتش تا ويروس‌هاي بيشتري را بشناسد. ولي بديش هم اين هست كه گاهي فايلي را كه ويروسي نيست به نام ويروس مي‌شناسد كه به اين حالت False Positive مي‌گويند. گاهي اين اشكال بانمايش اون كلمه HEUR قابل تشخيص هست.

    . در هر آپديت ويروسيابها همواره يكي از اشكالاتي كه سعي ميشه رفع بشه همين كم كردن پيام‌هاي F.P. هست. ولي به هرحال High بودن گزينه Heuristic در هر برنامه ويروسيابي 100% توصيه مي‌شود. (در اينجا روش High نمودنش در زمان نصب يا پس از نصب آويرا توضيح داده شده است)

    موفق باشيد. [​IMG]

    خداحافظ
    IgImAx
    89/04/21
    [​IMG] [​IMG]
     
  4. farshid14

    farshid14 Registered User

    تاریخ عضویت:
    ‏21 می 2005
    نوشته ها:
    1,197
    تشکر شده:
    111
    محل سکونت:
    tehran
    ممنون دوست عزیز ولی نتونست کاری بکنه :(
    سلام دوست من و خیلی ممنون از راهنماییتون . نشانه گر موس را روي Path میزارم ولی آدرس کامل رو نشون نمیده :( میشه بفرمایید چطور میتونم آدرس کامل رو پیدا کنم و چطور میتونم این پنجره اخطار رو غیر فعال کنم ؟
    فعلا که Heuristic رو روی Low گذاشتم و 5 دقیقه ای هست که بی خیال شده و اخطار نمیده . دی:
     
  5. AMD.POWER

    AMD.POWER مدیر بخش سخت افزار مدیر انجمن

    تاریخ عضویت:
    ‏26 جولای 2009
    نوشته ها:
    19,032
    تشکر شده:
    22,645
    محل سکونت:
    طهران
  6. igimax

    igimax کاربر فعال کامپیوتر

    تاریخ عضویت:
    ‏17 سپتامبر 2004
    نوشته ها:
    3,406
    تشکر شده:
    1,269
    سلام farshid14 عزيز [​IMG]
    . شرمنده! (ورژن قيليش اينطوري بود!) روي Details بزنيد بعد در پنجره‌اي كه ظاهر ميشه نام فايل را نوشته اگر اونجا نشانه گر را روي نام فايل ببريد آدرس كامل نوشته مي‌شود.

    . ولي من كه اون لينك را دادم، آيا مطالعه نكرديد؟! اين فايل گويا در C:\Documents and Settings\[Your User Name]\Local Settings\Temporary Internet Files شايد از قسمت Config آويرا و زير شاخه‌هاي Scanner و Guard در قسمت Scan\Exceptions اسم اون فايل را معرفي نماييد، آويرا بيخيالش بشه!(حتمن تيك Expert Mode در بالا سمت چپ اين پنجره تيك داشته باشه) در غير اينصورت اون تولبار را تا آپديت‌هاي جديد آويرا و حا مشل، Uninstall نماييد.

    . نه اصلن چنين كاري را نكنيد! در حالت عادي اين گزينه روي Medium هست و در اون حالت بعضي از ويروسها شناخته نمي‌شوند، الان كه ديگه تو كامپيوترتون و تو حياط پشتي برنامه آويرا جشن ويروسهاست !!!! روي همان High قرارش بدهيد.

    موفق باشيد. [​IMG]

    خداحافظ
    IgImAx
    89/04/22
    [​IMG] [​IMG]
     
  7. appbannerkhuniresbanner
  8. farshid14

    farshid14 Registered User

    تاریخ عضویت:
    ‏21 می 2005
    نوشته ها:
    1,197
    تشکر شده:
    111
    محل سکونت:
    tehran
    ممنون از شما .
    سلام و باز هم ممنون .
    این ورژنی ک من نصب کردم ظاهرا Details اش هم کار نمیکنه :lol: روش که کلیک میکنم هیچ اتفاقی نمی افته دی:
    جدیدا هیچ تولباری هم نصب نکردم . آدرسی هم که فرمودید قسمت Local به بعد رو ندارم :wacko:
    فعلا همونطوری که لطف کردید و راهنمایی کردید اسمش رو دادم که بی خیالش بشه و تنظیمات رو دوباره Highکردم . ( فعلا که ساکت شده ;)) .
    [​IMG]
     
  9. farshid14

    farshid14 Registered User

    تاریخ عضویت:
    ‏21 می 2005
    نوشته ها:
    1,197
    تشکر شده:
    111
    محل سکونت:
    tehran
    دیشب خوب بود . امروز صبح دوباره شروع شد . [​IMG]
     
  10. mostafa a

    mostafa a Registered User

    تاریخ عضویت:
    ‏26 نوامبر 2009
    نوشته ها:
    215
    تشکر شده:
    181
    محل سکونت:
    esfahan
    فایل را تو سایت ویروس توتال تست کنید ببینید بقیه آنتی ویروسها هم اونا به عنوان فایل آلوده تشخیص میدند یا نه.بعد هم برای آویرا ارسالش کنید تا توی آپدیت بعدی مشکلتون حل بشه.

    اون برنامه anti malware هم که آرمین خان فرمودن دانلود کنید بعد از آپدیت که 5 مگ هم بیشتر نیست سیستمتون را فول اسکن کنید

    برنامه همراه کیجن
    http://www.malwarebytes.org/mbam/program/mbam-setup.exe
    http://up.iranblog.com/Files/df5b5ebe441a46a38800.rar
     
    Last edited: ‏14 جولای 2010
  11. farshid14

    farshid14 Registered User

    تاریخ عضویت:
    ‏21 می 2005
    نوشته ها:
    1,197
    تشکر شده:
    111
    محل سکونت:
    tehran
    متاسفانه اصلا معلوم نیست کدوم فایله . همه جای درایو C رو چک کردم ، اسمش رو هم سرچ کردم ولی چیزی پیدا نشد .
    anti malware رو هم نصب و اسکن کردم ، چیزی پیدا نکرد :(
     
  12. igimax

    igimax کاربر فعال کامپیوتر

    تاریخ عضویت:
    ‏17 سپتامبر 2004
    نوشته ها:
    3,406
    تشکر شده:
    1,269
    سلام farshid14 عزيز [​IMG]

    . شرمنده! من يك مدته گرفتار شدم دوباره (البته اينبار از نوع خوبش!) به همين دليل دير به دير ميام اينجا!

    . مگه ميشه!!! فقط يك نكته! در مسيري كه عبارت [Your User Name] را نوشته بودم، منظورم اين بود كه جاي اين عبارت بايد نام كاربري خودتان را بايد بنويسيد يا انتخاب نماييد. در ضمن اون فولدر Local به بهد مخفي هستند و به همين دليل هم هست در جستجوي ويندوز نمي‌يابيدش... از Control Panel \ Folder Option به تب View رفته و Show Hidden...o را روشن نماييد. يا يك راه بهتر براي شما و همه! بياييد برنامه كوچك WinNC را دنلود نماييد و به جاي استفاده از Windows Explorer و My Computer از همين WinNC به همه جاي هاردديسك خود رفته و حتا اگر ويروسي بگيريد كه نگذارد فايل‌هاي مخفي را ببينيد، اين برنامه همه چيز را باز به شما نمايش مي‌دهد!

    . بعد كه اون فايل كذايي! را پيداش كردي، به سايت www.VirusTotal.com آپش كن تا مطمئن تر شوي كه ويروس هست يا نه! متاسفانه اين قسمت Exception برنامه آويرا از همان روز اول خنگ بوده!

    موفق باشيد. [​IMG]

    خداحافظ
    IgImAx
    89/04/23
    [​IMG] [​IMG]
     
  13. farshid14

    farshid14 Registered User

    تاریخ عضویت:
    ‏21 می 2005
    نوشته ها:
    1,197
    تشکر شده:
    111
    محل سکونت:
    tehran
    سلام . باز هم ممنون . خیلی اذیتتون کردم .
    درسته ، Show Hidden رو فعال نکرده بودم :blush:
    ولی متاسفانه نه با NC و نه به صورت معمولی اون فایل رو پیدا نکردم :wacko:
    راستی یه سوال ، میشه فایلهای داخل مسیر زیر رو پاک کرد ؟ مشکلی پیش نمیاد ؟
    C:\Documents and Settings\Administrator\Local Settings\Temp\Temporary Internet Files\Content.IE5
     
  14. avajang.com .leftavajang.com.right
  15. mhdotcom

    mhdotcom کاربر فعال موسیقی کاربر فعال

    تاریخ عضویت:
    ‏12 ژوئن 2007
    نوشته ها:
    273
    تشکر شده:
    6
    نگفتی آنتی ویروست چیه؟

    دو هفته پیش ویروسی شدم و شکل تمام پنجره ها تغییر کرده بود حتی تو desktop properties نمیتونستم برم. Avast و Bitdefender هیچ کاری نکردن. دوباره رفتم سراغ nod32 اینبار با آپدیت offline و 7 تا ویروس و worm و trojan گیر آورد.
    یکیشون ویروس معروف و قدیمی Autorun بود! متاسفانه اکثر آنتی ویروسای مجانی اسباب بازین.
     
  16. igimax

    igimax کاربر فعال کامپیوتر

    تاریخ عضویت:
    ‏17 سپتامبر 2004
    نوشته ها:
    3,406
    تشکر شده:
    1,269
    سلام farshid14 عزيز [​IMG]

    . خدا لعنت كنه اداره برق رو كه 2 ساعت پيش فقط يك جمله مونده بود كه پستم رو ارسال كنم كه........

    . عزيز اون فايل رو زماني آنجا خواهيد يافت كه به وجود آمده باشد و صداي آويرا در بياد...! پس وقتي آيرا به وجودش گير داد!! با WinNC زير شاخه Document and setting رو جستجو كن تا بيابيش، بعد روي x همين پنجره اخطار آويرا كليك كنيد تا اخطار بسته بشه بعدش Guard آيرا را هم خاموش كن تا در زمان كپي گيري بهت گير نده! (راست كليك روي آيكن آويرا و كليك روي گزينه Avira Guard enable تا تيكش حذف بشه) حالا اون فايل را به دسكتاپ كپي كن و ....

    . هر فايلي اونجا هست را با خيال راحت مي‌تواني پاك كني! البته در مسير فوق يك كلمه Temp اضافه نوشتي! نگاه كن اين دو شاخه هر چي توش باشه و در يوزرهاي ديگه هم اگر مسيري مشابه اين دوتا بود، آنها هم همانند همين هستند:


    موفق باشيد. [​IMG]

    خداحافظ
    IgImAx
    89/04/24
    [​IMG] [​IMG]
     

    فایل های ضمیمه:

  17. igimax

    igimax کاربر فعال کامپیوتر

    تاریخ عضویت:
    ‏17 سپتامبر 2004
    نوشته ها:
    3,406
    تشکر شده:
    1,269
    سلام mhdotcom عزيز [​IMG]

    . ويروسياب دوستمون Avira AntiVir Free هست. ولي در مورد جمله فوق: ما فقط يك نوع ويروس به نام Autorun نداريم! بلكه هزاران مدل ويروس داريم كه روش اجرا شدنشون به كمك فايل Autorun.inf هست! حالا ممكنه اون ويروس پس از اجرا شدن خودش توان كپي نمودن و آلوده نمودن سيستم‌هاي ديگه را هم داشته باشد، ولي متاسفانه از وقتي ويروس نويسان متوجه خوبي استفاده از اين روش شده‌اند!!(به دليل زياد شدن استفاده از فلش ديسك‌ها) ديگه ويروس‌هاي خود را به چنين قابليتي مجهز نمودند تا به راحتي و بدون نياز كليك كاربر اجرا شوند!! به همين دليل هرروز هزاران ويروس نوشته مي‌شود و براي اجرا شدنش يك فايل Autorun.inf براي آن نوشته مي‌شود. فايل Autorun.inf به تنهايي توان هيچ كاري را ندارد و اصلن اين فايل نمي‌تونه ويروس باشه، بلكه كار اين فايل اين هست كه در آن ميشه آدرس يك فايل Setup يك برنامه مفيد (همانند بازي!!!!) را قرار داد تا ديسك حاوي آن را هر زمان درون سيستمي قرار داديم، اون فايل Setup اتوماتيك اجرا شود. حالا متاسفانه ميشه آدرس يك فايل ويروسي روي همان ديسك را هم براي اجراي اتوماتيك، در آن قرار داد.

    . از يك ديد، با اين روش جديد اجرا شدن ويروس‌ها، خيلي به نفع كاربران شد!!! چون اكثر ويروس نويسان جوان و كم حوصله! ديگه زياد روي روش‌هاي اجرا شدن ويروسشان كار نكردند!! و كاملن به همين فايل Autorun.inf متكي شدند!! به همين دليل اگر شما خاصيت Autorun را براي همه درايو‌ها را خاموش نماييد يا ويروسيابي نصب نماييد كه اون اينكار را بكند، مشكل به راحتي حل مي‌شود!! (Avira نسخه 10 به بعد Autorun همه درايو‌ها منهاي CD\DVDها را بلوك مي‌كند)

    . نكته آخر اينكه اكثر كاربران هر ويروسيابي را كه نصب مي‌كنند، گزينه Heuristic آن را روي High قرار نمي‌دهند! اين باعث مي‌شه كه اون ويروسياب درصدي از ويروس‌ها را نشناسد! تنظيم فوق خوبي و بدي‌هايي دارد كه خوبيش خيلي بهتر و بيشتر از بديش هست. در مورد NOD و اين دلايل و نتيجه عملي خوب اون تنظيم قبلن اينجا توضيح داده شده است.(پست 11 به بعد) در مورد آويرا هم كه در اينجا توضيح كامل آن را نوشته‌ام.

    موفق باشيد. [​IMG]

    خداحافظ
    IgImAx
    89/04/24
    [​IMG] [​IMG]
     
    Last edited: ‏15 جولای 2010
  18. igimax

    igimax کاربر فعال کامپیوتر

    تاریخ عضویت:
    ‏17 سپتامبر 2004
    نوشته ها:
    3,406
    تشکر شده:
    1,269
    سلام farshid14 عزيز [​IMG]

    . يك نكته كه يادم رفت در پست قبلي بنويسم! (در پست قبل از برق رفتن بودش!!) شما مي‌توانيد از برنامه Process Monitor براي اينكه بدانيد فايل مورد نظر شما كي و كجا و توسط چه فايلي ايجاد مي‌شود استفاده نماييد! كافيه در فيلتر اين برنامه نام اون فايل را معرفي نماييد تا در زمان ايجاد شدن و ... مشخصات مربوط به برنامه ايجاد كننده و دسترسي دارنده به اون و ... را به شما بدهد. براي استفاده از برنامه فوق از راهنماي همراه آن استفاده نماييد.

    موفق باشيد. [​IMG]

    خداحافظ
    IgImAx
    89/04/24
    [​IMG] [​IMG]
     
  19. farshid14

    farshid14 Registered User

    تاریخ عضویت:
    ‏21 می 2005
    نوشته ها:
    1,197
    تشکر شده:
    111
    محل سکونت:
    tehran
    سلام igimax عزیز و واقعا ممنون از شما که با وجود مشکلات باز هم راهنماییهاتون رو دریغ نمیکنید .
    بالاخره پیداش کردم و تو سایت http://www.virustotal.com آپلودش کردم :
    [​IMG]
    حالا چی کارش کنم :blush:
     

    فایل های ضمیمه:

    • 222.jpg
      222.jpg
      اندازه فایل:
      142.6 KB
      نمایش ها:
      14
  20. igimax

    igimax کاربر فعال کامپیوتر

    تاریخ عضویت:
    ‏17 سپتامبر 2004
    نوشته ها:
    3,406
    تشکر شده:
    1,269
    سلام farshid14 عزيز [​IMG]

    . همانطور كه در همان فروم آويرا هم نوشته شده بود، اين ويروس نيست و حدس من هم كه اين False Posetive هست با اين تصوير نتيجه اسكن‌ها كه گذاشتيد، كاملن تاييد ميشه! پس اين فايل هيچ خطري نداره! حالا چيكار كنيم كه آويرا هيچ گيرينده! والا يك راه طولانيش اين هست كه اين فايل را با تصوير اسكن شما و توضيحات كمي برايشان ارسال نماييد تا در آپديت بعدي اعمال نمايند. يكراه ديگش اين هست كه فعلن در تنظيمات آويرا و در قسمت Action گزينه Automatic و سپس انتخاب گزينه Repair و در مرحله بعدي Delete را انتخاب نماييد؛ تا در صورت پيدا نمودن هر فايل مشكوكي از شما سوال نكند!

    . به غير از ايميل ميشه در فرومشون اعلام نمود كه اين گزينه Exception شون از همان نسخه 7 تا الان اصلن درست كار نمي‌كند! خودم مي‌خواستم از همون اول تو فرومشون بگم ولي تا الان هي يادم مي‌رفت!!!

    موفق باشيد. [​IMG]

    خداحافظ
    IgImAx
    89/04/24
    [​IMG] [​IMG]
     
  21. igimax

    igimax کاربر فعال کامپیوتر

    تاریخ عضویت:
    ‏17 سپتامبر 2004
    نوشته ها:
    3,406
    تشکر شده:
    1,269
    سلام farshid14 عزيز [​IMG]

    . همين الان كه ايميلم را چك كردم يك خبر خوب ديدم! ايميلي ار آويرا بود در مورد آپديت‌هاي جديدش و در اون يكي از مواردي كه حل شده بود مشكلي مشابه مشكل شما بود:

    o
    Dear Mr. IgImAx



    We would like to announce you that a new Avira engine update took place.

    This is the version number of the new engine:
    AV7 7.9.4.12 / AV8-10 8.2.4.12


    The following changes were done:

    - Updated: Heuristic and generic detections
    HEUR/HTML.Malware
    HTML/Infected.WebPage.Gen

    - Updated: NSIS support for dictionaries up to 65MB

    - Fixed: False positives
    EXP/MS04-028.JPEG.C
    HEUR/HTML.Malware
    HTML/Infected.WebPage.Gen
    HTML/Rce.Gen
    HTML/Malicious.PDF.Gen
    HTML/ADODB.Exploit.Gen
    HTML/Infected.WebPage.Gen



    Sincerely,
    Your Avira team

    . لطفن آويرا را آپديت نماييد وببينيد آيا مشكل حل مي‌شود!؟

    موفق باشيد. [​IMG]

    خداحافظ
    IgImAx
    89/04/25
    [​IMG] [​IMG]
     
  22. farshid14

    farshid14 Registered User

    تاریخ عضویت:
    ‏21 می 2005
    نوشته ها:
    1,197
    تشکر شده:
    111
    محل سکونت:
    tehran
    سلام . واقعا ممنون از لطفتون . ان شا ا... بتونم جبران کنم . الآن آپدیتش میکنم ونتیجه رو میگم . [​IMG]