در مورد اين تروجان کمک کنيد!(تو رو خدا!)

[CentralWeb]

سلام مهدی جان

بله
تونستم فایل های 9.cmd رو حذف کنم...

امتحان می کنم نتیجه رو گزارش می کنم...

با تشکر

[CentralWeb]

دوباره سلام

مهدی جان
من فایل 9.cmdرو به روش دستی حذف کردم...
جستجو هم کردم و تیک جستجو در فایل های مخفی رو هم زده بودم و دیگه چیزی پیدا نکرد...
فکر کنم دیگه حذف شده باشه!

اما همانطور که فرموده بودید مراحل رو طی کردم و کد رو جایگزین و اجرا کردم و سپس سیستم را ریستارت کردم
و به فولدر آپشن رفتم و تیک ها رو زدم اما هنوز دسترسی امکان پذیر نیست!!!

[CentralWeb]

آقا مهدی یه چیزی بهت میگم خنده نکن...

شانسی شانسی کامل حذف شد...
حدس بزن چیکار کردم؟!

1.برنامه هایی در سطح وب وجود دارد که سایت ها آن را بعنوان آنتی ویروس این ویروس آتوران معرفی کرده بودند
دانلود کردم و اجراشون کردم...
2.بیش از 10 بار اونو اجرا کردم تا کاملا اطمینان پیدا کنم...
3.فایل رجیستری که قبلا توسط شما آموزش و نحوه ساختش رو ارائه داده بودید 2 بار اجرا کردم...
4.سیستم رو ریستارت نکردم!
5.وارد فولدر آپشن شدم و تیک ها رو دیدم که همه بصورت نشان دادن فایل های مخفی آماده شده
6.OK رو زدم و ...

خلاصه ویروس جان تو به نیستی برو من به هستی!!!

دست همه کسانی که منو راهنمایی کردند درد نکنه!!!

[CentralWeb]

آقا بازم یه مشکل دیگه

اینبار هر وقت می خوام وارد درایو هام بشم سیستم ریستارت می کنه!
در هنگامی که رایانه میاد بالا پیام های خطایی رو صفحه ظاهر میشه که یه چیزایی مثل این میگه:
کابل نمی دونم چی چی وصل نیست و...
Primary IDC ,....

بعد از اینکه رایانه اومد بالا سیستم پیغام خطایی رو روی صفحه ظاهر میکنه و میگه:

آدرس زیر تصویری از خطاست!!!
[External Link Removed for Guests]

دستور چیه و مشکل از کجاست....
این پیغام قبل از اینکه ویندوز رو عوض کنم هم نیشون می داد و بعد از نصب ناموفق برنامه ی کلک هست
کلک نام برنامه ای هست که اونو برای خوشنویسی استفاده می کنند و برای کپی کردن اون در برنامه هایی
مثل فتوشاپ و کورل استفاده می شه...

هنگام نصب برنامه کلک کاسپر پیامی مبنی بر نصب برنامه ای مخفی که همراه و ضمیمه ی برنامه کلک هست رو داد
من هم اجازه ور صادر کردم ولی متاسفانه قبل از پایان نصب برنامه سیستم ریستارت کرد و به این مشکل دچار شد
با اینکه ویندوز رو عوض کردم این مشکل رخ می ده!!!
ایندفعه مشکل از چیه؟
و چه جوری رفعش کنم!!!

[Mahdi1944]

CentralWeb,
تنظيمات بايوس رو پيشفرض کرده و ذخيره کنيد، اگر به درون کيس دسترسي داريد و گارانتي نداره، بررسي کنيد ببينيد کابلها مشکلي نداشته باشند

[CentralWeb]

نه گارانتی نداره!

تنظیمات رو به حالت پیشفرض در می آرم گزارش می کنم...

با تشکر

[CentralWeb]

مهدی جان

تموم کار ها تا حدودی درست بود

اما هنوز یه چیزی است...
مشکل هنوز کامل رفع نشده...
فایلی با نام :
rcukd.cmd
هست که بطور موقت وقتی آنتی ویروس آتوران که از گوگل پیدا کردم رو اجرا می کنم موقتا اجازه دسترسی به فایل های
مخفی رو میده...
اما پس از چند دقیقه و یا بعد از ریستارت رایانه دوباره به حالت مخفی باز میگ رده...

یعنی بطور موقت اجازه دسترسی میده!
تا زمانی که فعال هست این فایل رو از صفحه اول تمامی درایو ها پاک کردم...
اما متاسفانه بعد از ریستارت رایانه دوباره ایجاد می شند و فقط توی صفحه ی اول درایو ها هست و داخل پوشه های
درایو ها وجود ندارند...

آیا برنامه ای هست که دوباره این فایل رو می سازه؟؟؟؟

آخه دوباره فایل ساخته میشه و تا زمانی مشکل نیست که این فایل نباشه اما تا ریسارت کردم و ساخته شد...
همون آش و همون کاسه!!!

----------------------------------------
لست فایل هایی که توی درایو C وجود داره و بعنوان فایل های مخفی مطرحند اینه:

AUTOEXEC.BAT

boot.ini

CONFIG.SYS

hiberfil.sys

IO.SYS

MSDOS.SYS

NTDETECT.COM

ntldr

pagefile.sys

rcukd.cmd

-----------------------------------------------
این فایل ها رو قرار دادم تا اگه یکیشون اضافی است که ممکنه باعث دوباره ساخته شدن فایل
rcukd.cmd
می شوند تا آن را پاک کنم و مشکل برای همیشه از بین برود....

حالا اگه میشه بفرمائید کدومشون اضافی هستن؟!

با تشکر

[Mahdi1944]

CentralWeb,
اين فايل قطعا ويروس هست، راه حل رو نوشتم بالا، ابتدا با يک آنتي ويروس به روز و قدرتمند کل سيستم رو اسکن کرده و تمام موارد پيدا شده رو حذف کنيد، در مرحله‌ي بعد با استفاده از اون فايل رجيستري که براتون نوشتم ميتونيد اثرات ويروس در مخفي بودن فايلها و .... رو رفع کنيد، اما تا زماني که اين ويروس وجود داره و فعال هست، چنين کاري امکان‌پذير نيست، چون اين ويروس به طور مداوم اقدام به چک و تخريب مجدد ميکنه

[JASON]

با سلام خدمت دوستان گرامي

عرض شود اين برنامه مزاحمي كه باعث ميشه فولدر آپشن از كار بيفته در واقع يك نوع mallware و كرم مزاحم است كه از اين سايتهاي game online منتشر شده مثل w32\pacex.gen كه با روش زير ميشه پاكش كرد .

1- فرمان cmd را از منوي run اجرا كنيد
2- به زير شاخه c:\windows\system32 برويد
3- تايپ كنيد attrib -h -r -s -a amvo.exe . كليد اينتر را بزنيد
4- حالا اين دستور را تايپ كنيد : del amvo.exe
5- الان سيستم شما از اين مزاحم پاك شده ... سيستم را ريستارت كنيد .

6- با فعال كردن sho hidden files همه فايلهاي مزاحم مانند xn1i9x.com و مشابه را با جستجو يافته و پاك كنيد

6- يادتان باشد هروقت خواستيد يك كول ديسك را بازكنيد و همچنين غير فعال كردن فايلهاي autorun.inf كليدهاي ALT+SHIFT همزمان باهم فشرده و بعد درايو را باز كنيد و بعد همه فايلهاي با پسوند vbs- exe - inf - com را پاك كنيد .


موفق باشيد

[pervis.ir]

سلام دوستان من node32 ورژن 7 را امتحان كردم .خوب جواب داد .

[CentralWeb]

مهدی جان

دستتون درد نکنه...

درست شد...

همه چیز هم به حالت اولیه بازگشت و دیگه هیچ مشکلی هم وجود نداره!!!

با تشکر از تمامی کسانی که مرا به هر نحوی راهنمایی کردند...