روی یه کامپیوتر یه نرم افزار نصب شده که وقتی وارد مسنجر می شیم سریع ای دی و پسورد را برای تنظیم کننده اون می فرسته
همه اینا را بعد از این که این بلا سر خودم اومد فهمیدم :(
می گن اسمش magicps هست
Regedit , TaskManager هم غیر فعال شده
چطوری از بین ببرمش :sad2:

می گن اسمش magicps هست
این یک تروجان ایرانی هست که با این علائمی که دادید 90% ممکن هست که خودش باشه :(
من چند خط در این مورد می نویسم تا همه دوستان با این تروجان آشنا شوند و طریقه مقابله با آنرا فرا بگیرند :)
این تروجان یک فایل در مسیر ویندوز یا system32 می سازد که هر دفعه خود را در ابتدای بوت ویندوز اجرا می کند.برای این کار این تروجان مسیر خود را در

HKEY_Local_Machin/Software/Microsoft/Windows/Current Version/Run
کپی می کند .تا هر بار اجرا شود .این تروجان با هر بار اجرا شدن یاهو مسنجر ID و Password را به ID شخص خرابکار ارسال می کند .(البته یاهو مسنجر قبل از آن پیغام You are not currently logon را ممکن است به شما بدهد).
و اما طریقه از بین بردن:
اول ببنید می توانید msconfig را اجرا کنید ؟ اگر موفق با این کار شدید باید در قسمت start up به دنبال یک فایل مشکوک بگردید .این تروجان یه صورت default برای فایل خود نام svchost.exe را بر می گزیند .دقت کنید که این فایل حتما در دابرکتوری ویندوز باید باشد نه دایرکتوری System32 دایرکتوری ویندوز (چون این فایل در آن دایرکتوری یکی از فایل های ویندوز است)
بعد از پیدا کردن فایل مذکور مسیر و نام آنرا یادداشت کرده و آنرا از start up حذف کنید .سپس خود فایل را پیدا کرده و حذف کنید .
اگر نتوانستید msconfig را اجزا کنید با safemode وارد شوید و مراحل را تکرار کنید.در غیر این صورت با رجستری را فعال کنید و این کار را دستی انجام دهید(در صورتی که نتوانستید خبر دهید تا طریقه فعال کردن رجیستر را بنویسم)
برای پیدا کردن شخص کرکر : شما می توانید از message archive کمک بگیرید و id او را پیدا کنید password , id شما در قسمت message نوشته شده :sorry: (امیدوارم که آنرا فعال کرده باشید در غیر این صورت می توانید login کرده آنرا فعال کنید و مراحل را سریعا اجرا کنید )
نکته آخر اینکه حتما پسورد خود را عوض کنید .
نکته امنیتی : برای جلوگیری از این گونه حملات می توانید در ابتدا و انتهای پسورد خود از چند کاراکتر فاصله ، تب و دیگر کاراکتر های خالی استفاده کنید.(یک راه موثر ولی به صدرصد :wink: )
نکته دیگر اینکه هر گز از برنامه های به ظاهر از بین بردن Magic PS در اینترنت وجود دارند استفاده نکنید :)
موفق باشید

مجیک از یه سرویس در تسک منجر استفاده میکنه که حدوده
31xx Kb
از رم رو اشغال میکنه. با استفاده از
software : Security Task manager, 1.26 MB
اون سرویس رو پیدا کنید و بعد با استفاده از همین نرم افزار محل فایل رو در هارد دیسک پیدا کنید و پاکش کنید
اگه سرویس های زیاد با این مقدار فضا وجود دارن در بخش راست و پایین سکیوریتی تسک منجر یه میتونین
اطلاعات بیشتری در مورد اون سرویس پیدا کنید

اگه توزیهات بیشتری میخواین پی-ام بدین

سلام
یه چیز جالب
تو یکی از بخشها یکی از اعضا یه فایل گذاشته بود با حجم 64 کیلو بایت به نام zoom_3_v1_02 که تروجان Magic PS هست. الان هم تو شاخه ویندوزم کپی شده و پاک هم نمیشه

یه فایل exe با آیکون عکس هست و پاک هم نمیشه
در ms config هم تنها چیز مشکوک اینه:
regsvr32 /s mqrt

چه راهی پیشنهاد میکنید؟

در هنگام پاک کردن آیا پیغامی Access denid را مشاهده می کنید؟

سلام
نه پاک میشه ولی دوباره ساخته میشه

این پروسه در کامپیوتر شما فعال می باشد .آیا Regedit اجرا می شود ؟
به راهنمای بالا دقت کنید.

سلام
بله اجرا میشود
من اول پروسه اش رو END PROCESS میکنم (توی Task Manager)
بعد فایل رو پاک میکنم
و در رجیستری یا هیچ جای دیگر نام اون فایل نیست
یعنی یه برنامه ناشناس دیگه این کار رو انجام میده
یکی به داد من برسه

نمیدونم این ربطی به موضوع داره یا نه ولی هر بار که به اینترنت وصل میشم مکافی فایروالم پیغام میده که از 192.168.10.6 192.168.10.109 192.168.10.201 192.168.10.239 192.168.10.202 192.168.10.165 سعی شده به کامپیوتر شما دسترسی انجام بده ( از طریق سرویسهای UDP -- DCE Microsoft-DS )

در مسیر زیر در رجیستری چک کنید :
HKEY_Current_User/Software/Microsoft/Windows/Current Version/Run

البته در منوی Start up هم نگاه کنید.
در MSConfig هم MQrt را هم بردارید
اگر پیدا نکردید لیست پروسه هایی که در حال اجر با نام کاربری شما می باشد را هم در اینجا بنویسید.

اگر پیدا نکردید لیست پروسه هایی که در حال اجر با نام کاربری شما می باشد را هم در اینجا بنویسید.

cftmon پروسه ای است که ویندوز برای عوض شدن زبان از آن استفاده می کند.
به غیر از چیزی که شما گفتید من به dllhost هم مشکوک هستم شما این عکس را در زمان اتصال به اینترنت گرفته اید؟ همچنین hotkey ! شما آیا از فایروال mcafee به همراه norton anti virus استفاده می کنید؟
در ضمن اگر تمامی برنامه های system tray را می بستید بهتر بود :) چون بعضی از پروسه ها بستگی به برنامه هایی دارد که شما نصب کردید .
اگر شما به آن فایل مشکوک هستید در msconfig انرا بردارید و ببینید مشکل بر طرف می شود ؟
موفق باشید

سلام
هم ضد ویروس و هم فایروالم مک آفی است
hotkey فکر کنم همون hotkey driver کیبوردم باشه

نتیجه چی شد ؟ آیا به قسمت هایی که گفتم سر زدید؟
در MSConfig آن پروسه مشکوک وجود داشت ؟ آنرا حدف کردید ؟

در مسیر زیر در رجیستری چک کنید :
HKEY_Current_User/Software/Microsoft/Windows/Current Version/Run
چیز مشکوکی ندیدم


البته در منوی Start up هم نگاه کنید.
ایضا چیز مشکوکی نبود


در MSConfig هم MQrt را هم بردارید
برداشتم
البته msconfig هر بار ویندوز بالا میاد میگه باید روی حالت normal startup تنظیمش کنم

فعلا تا اینجا یک هیچ به نفع Magic PS

در قسمت HKEY_Local_Machin/Software/Microsoft/Windows/Current Version/Run چه پروسه ایی وجود دارد .آیا dllhost بود ؟
آیا شما ورژن دقیق آنرا می توانید تایین کنید ؟(اگر regedit باز شود یعنی از 1.5 به پایین است)
در ضمن این پروسه ها را از MSCONFIG بردارید سپس فایل را پاک کنید restart کنید ببینید دوباره ساخته می شود ؟
gwum,plguni,dllhost,zoom3_v1
امیدوارم که مشکل حل شود :)
موفق باشید

سلام
gwum مال gigabyte utility manager است

بقیه را امتحان کردید؟

بله فایده نداشت
احتمالا یه چیز دیگه رو آلوده کرده

:( متاسفانه دیگر تنها چیزی به نظرم می رسد اسکن کردن در حالت SafeMode است .
ولی تا شما پروسه مشکوک را پیدا نکنید همچنان این تروجان را خواهید داشت :sorry:
موفق باشید

سلام
من فایلش را به مک آفی فرستادم
اونا هم برام یه فایل EXTRA.DAT فرستادند
حالا چوری این فایل رو نصب کنم؟