سلام من یک برنامه آنتی تروجان نوشتم که بدون استفاده از کد نمونه امضاء میتونه تمامی تروجانها را شناسائی و پاکسازی کنه
البته مهمتر از همه میتونه تمامی خرابی های تروجانهای دیگه را هم از بین ببره
من اگر اساتید اجازه بدن نمیخوام در حال حاظر سورس برنامه را قرار بدم
چون پروژه پایان ترم دانشگاهی من هستش
میخوام دوستان ببینن و نظراتشون را بفرمایند
:قلب:
ممنون میشم اگه روی تمام تروجانهایی که میشناسن و کار نکرد
برای من تروجان مورد نظر را ایمیل کنن تا برنامه خودم را درمقابلش قوی کنم
نکته مهم این آنتی اینه که نیازی به آپدیت نداره
خودتون ببینین و نظر بدین
درضمن بخاطر سوروس کدش که از ریجستری استفاده شده آنتی ویروسهای
nod32 و ...
ممکنه بصورت یک برنامه وی بی بشناسن
میتونین برنامه را در سایت
www.virustotal.com
چک کنید و مطمئن باشید یک برنامه مخرب نیستش
یا حتی میتونید در یک محیط مجازی مثل
virtual box
پر از هرنوع تروجانی کنید و برنامه را اجرا کنید
من که با بیش از 25 نوع تروجان آزمایش کردم و بدون تغییر کدش حتی یک خط هم اضافه نکردم و به راحتی شناسائی و پاکشون کرد البته
کارهاش را هم بگم :
1- پاک کردن autorun.inf
2- تمیز کردن پروسس
3- تمیز کردن ریجستری
4- اصلاح اشکالات ایجاد شده توسط تروجانها مثله :
folder option , hide file , lock right click , safe mode nashodan ,....
اگر تروجانی پیدا کردین که برنامه نتونست غیرفعالش کنه
برام ایمیلش کنید
ممنون
باز هم معذرت و شرمنده که نمیتونم سورسش را بزارم
از دوستان خواهش میکنم این تاپیک را حذف نکنن و اگر جای درستی قرار ندادم لطف کنن و جابجاش کنن
ممنون میشم

آدرس فایلش
fav.zip - 764 KB (http://xlpar.com/0kqkca9k8peb/fav.zip.html)

http://xlpar.com/0kqkca9k8peb/fav.zip.html

http://s1.xlpar.com/files/5/xx9ix6cyk91qf2/fav.zip

شما نیاز نیست سورس کد بزارید.
روش کار برنامتون رو بگید تا بشه بیشتر تحلیلش کرد.
سوال : رجیستری و شل رو چطوری مانیتور میکنی؟

بله من هم عرض کردم که آنتی ویروس نود و خیلی از آنتی های دیگه به عنوان یک تروجان میشناسن چون برنامه من هم درکدهاش به ریجستری دست پیدا میکنه و میدونید که هر برنامه که این کار را بکنه بصورت پیش فرض یک برنامه مخرب شناخته میشه . مخصوصا به run و ...
برنامه اول هرچی برنامه که در تسک هست را میبنده و بعد سیستم را بصورت safe بالا میاره و شروع به پاکسازی مجدد تسک میکنه
چون میدونید خیلی از برنامه های مخرب حتی میتونن در حالت سیف هم بالا بیان
بعد از خالی کردن تسک شروع به پاکسازی هرچی که در run هست میکنه
یعنی startup ها را غیر فعال میکنه و البته یکی از بدی های برنامه من هم همینه
و در ضمن خوبیش هم همینه
چون دیگه هیچ برنامه ای اول ویندوز اجرا نمیشن ولی بدیش اینه که حتی idm و آنتی ها هم دیگه اجرا نمیشن
البته با اجرای
یکبار این برنامه دیگه نیازی به آنتی تروجانی نخواهید داشت
چون میدونید که
مثلا نود 32 حتما باید نمونه امضائی از یک تروجان داشته باشه
من یه برنامه کوچیک میتونم بنویسم که هیچ آنتی نتونه
تاکید میکنم هیچ آنتی نتونه شناسائیش کنه و خودشو در ران میزاره و بالا میاد و ....
خوب راهشو بلدم
باور کنین من خیلی روی این آنتی زحمت کشیدم و تا حالا چند تا تروجان کوچولو هم نوشتم
یکیش همون برنامه
microsoft game
که شاید دیده باشین و بهش آلوده شده باشین
این تروجان یه بازی سرکاری هستش
وخیلی راحت میشه بدون نیاز به هیچ برنامه اضافی اونو غیر فعال کرد
کارش هم اینه که پوشه های ویندوز و درایو c , d ار sheard میکنه و ....
:شیطان:
خوب برسیم به برنامه آنتی خودم
لطفا بفرمائید کسی تروجان جدید که خفن باشه داره ؟
نشه به راحتی غیر فعالش کرد
چون من خفن ترین چیزی که دیدم این بود که خودشو جای سرویسهای ویندوز قرار می داد و به این راحتی هم حذف نمی شد

لطفا پاسخ

درمورد مانیتور کردن هم بگم برنامه درحال تکمیل شدنه و اگه بتونم با کمک چک کردن نمونه امضاء امنیتی فایلها بفهمم که برنامه ای که در استارت قرار داده شده امن شده هست یا نه
میشه از حذف کردن همه برنامه ها تسک و run جلوگیری کرد
حتی اگه 10 تا تروجان روی سیستم در حال ووول خوردن باشه هم به راحتی تمیزش میکنه
برنامه فقط آنتی تروجان هست و هنوز نتونستم راحتی به ذهنم برسه که جلوی اجرا شدنش را گرفت
راستی کسی برنامه ای بلد نیست بنویسه که بتونه پروسس را فریز کنه ؟
من با برنامه proccess hacker
کار کردم چیزه توپیه و میتونین یک یا چند پروسس را فریز کنید و اون برنامه کاملا قفل میشه و میتونین باهاش تروجانهایی که چند تایی هست را حذف کنین
اونهایی که اگه یکی را ببندین دومی اجرا میشن
اگه بشه سورسش را بدست آورد که چه جوری فریز میکنه و برنامه حتی اگه توش تایمر هم باشه قفل میشه
راحت میشه تمام تروجانهای دوتایی را هم حذف کرد
بدی برنامه من اینه که باید بعد از تنظیمات اولیه سیستم بصورت safe mode بالا بیاد
که البته این کارو برنامه انجام میده ولی
جدیدا به تروجانهایی برخوردم که safe mode
اون هم غیرفعال میکنن البته این مشکل هم حل شد

این هم برنامه
reg shot
برای بررسی تغییراتی که تروجان ها یا هر برنامه در ریجستری میده متوجه بشیم
http://s1.xlpar.com/files/7/wj9xvjydd5wqhf/Regshot%20v2.0.1.63.zip
البته پروسس هکر را هم میزارم

http://s1.xlpar.com/files/1/skmdp3z7v5u502/Process%20Hacker%202.6.zip
این هم لینک برنامه
process hacker
که میتونین باهاش یه برنامه در تسک را فریز کنین
اگه سورسی سراغ دارینکه چنین کاری را بکنه ممنون میشم بفرمائید

آقا میشه این برنامه ها را یه جا دیگه آپلود کنید ... !

لطفا یه جایی برای آپلود معرفی کنید مثل اینکه 2shared 4shared rapidshare و ... را دوستان فیلتر کردن و نمیشه آپلود کرد درضمن اگه لطف کنین تروجان جدید دستتون رسید که خیلی خفن و قوی باشه را برام بفرستین ممنون میشم راستی سورس آماده برای تنظیم boot.ini به حالت safe mode دم دست دارین ممنون میشم بدین چون خودم یه تکه کد برای برنامه آنتیم نوشتم که میاد و فایل boot.ini را باز میکنه و انتهای خطهای مربوط کد مربوط به safe modo اضافه میکنه ولی تروجانی برخوردم که پدر boot.ini را در میاره و اونو بهم میریزه و فرمت استانداردش را تغییر میده اگه چیزی سراغ دارین ممنون میشم
http://persiandrive.com/748011
لینک بالا هم آپلود شده برنامه آنتی خودمه هستش
که دوست عزیزمون خواستن براشون آپلود کنم
راستی شکلی از صفحه اصلی برنامه هم میزارم شاید نظری درخصوص تغییر شکلش بدین
چون اصلا شبیه یه آنتی تروجان قوی نیست

http://persiandrive.com/268727

راستی کسی برنامه ای بلد نیست بنویسه که بتونه پروسس را فریز کنه ؟
من با برنامه proccess hacker
کار کردم چیزه توپیه و میتونین یک یا چند پروسس را فریز کنید و اون برنامه کاملا قفل میشه و میتونین باهاش تروجانهایی که چند تایی هست را حذف کنین
اونهایی که اگه یکی را ببندین دومی اجرا میشن
اگه بشه سورسش را بدست آورد که چه جوری فریز میکنه و برنامه حتی اگه توش تایمر هم باشه قفل میشه

هر پروسه ای حداقل یک ترد داره که اطلاعات از طریق اون برای پردازش به cpu میره با استفاده از تابع SuspendThread میتونین ترد پروسه ها رو ببندین در این حالت اون برنامه یا پروسه به حالت Freez در میاد(توجه داشته باشین بعضی از برنامه ها بیشتر از 1 ترد دارن)


راحت میشه تمام تروجانهای دوتایی را هم حذف کرد

تروجانهای 2 تایی هم کافیه با استفاده از تابع SetThreadPriority اولویت پروسه خودتو بالا ببری و با TerminateProcess هر 2 رو ببندی
یا با استفاده از فرمان taskkill داس کافیه PID 2 تا پروسه رو بدین بهش به این صورت


taskkill /pid 256
taskkill /pid 1420

taskkill /pid 256
taskkill /pid 1420

taskkill /pid 256
taskkill /pid 1420

taskkill /pid 256
taskkill /pid 1420

taskkill /pid 256
taskkill /pid 1420

به صورت .bat ذخیره کنید بعد از اجرا میبینید که هر 2 پروسه به راحتی بسته میشن

ممنون ولی من نمی خوام ببندمش فقط می خوام قفل و فریز بشه . کدی از وی بی سراغ دارین براش ؟
ممنون میشم
یا حداقل نحوه فراخوانی
SuspendThread
را میشه بفرمائید
و درمورد نحوه تنظیم سیستم به حالت safe mode
کسی نظری نداره ؟
توجه داشته باشین تنظیم safe mode را برای سیستمی که آلوده هست می خوام
مثلا دوستان نفرمایند با msconfig
چون مطمئن باشین تروجانها نمیزارن شما msconfig را باز کنین
درضمن من به تروجانهایی برخوردم که اینقدر سرعت کارشون زیاده که حتی با استفاده از taskkill
نتونستم ببندمشون
چون میدونین که تا در داس task اول اجرا بشه یک مقدار کمی طول میکشه
می خواین یه برنامه کوچولو بنویسم که نشه تویه داس تسک کیلش کرد ؟
با یه تایمر خیلی سریع که همش برنامه دوم و برنامه دوم برنامه اول را فراخوانی کنه
خوب پس به این نتیجه میرسیم تسک کیل همه جا جواب نمیده
:شیطان:

راستی شکلی از صفحه اصلی برنامه هم میزارم شاید نظری درخصوص تغییر شکلش بدین
چون اصلا شبیه یه آنتی تروجان قوی نیست سلام علیکم،برنامه تون رو تست کردم البته چون آنتی ویروس روی سیستم من کاسپر هست واکنشی نداد.

اما شکل ظاهری برنامه تون:
- البته اگه ناراحت نمیشین، باید بگم که کمی در تنظیم ظاهر برنامه تون کوتاهی کردین همانطور که متوجه هستین استیل ظاهری برنامه در جذب کاربر تاثیر به سزایی دارد؛
از طرفی چون زحماتی را در افزودن قابلیت های مختلف به برنامه متحمل میشین ممکنه شکل ظاهر برنامه تون آنگونه که باید و شاید نتونه قابلیت هایش رو آنطور که باید و شاید به کاربری که استفادش میکنه نشون بده و باعث جلب نظرش بشه

همینطور یکمی فضای رم رو زیاد میگرفت

انشاء الله موفق باشید
یاعلی

سلام
mohsenvj
جان
ممنون که لطف کردین و تستس کردین
راستش اگه لطف کنین و بتونین رویه یه سیستم مجازی هم تسش کنین یا روی یه سیستمی که آلوده شده و نتیجه را هم بفرمائین ممنون میشم
راستش من نخواستم از اکتیوایکس هایی پوسته استفاده کنم
چون میخواستم برنامه من راحت روی هر سیستمی اجرا بشه . و حتی نیاز به setup هم نداشته باشه
البته اگه بدونم برنامه خوب کار میکنه میشه با یه گرافیک کار کامپیوتری صحبت کنم که قشنگش کنه

راستش من نخواستم از اکتیوایکس هایی پوسته استفاده کنم
چون میخواستم برنامه من راحت روی هر سیستمی اجرا بشه . و حتی نیاز به setup هم نداشته باشه
البته اگه بدونم برنامه خوب کار میکنه میشه با یه گرافیک کار کامپیوتری صحبت کنم که قشنگش کنه

البته برای پوسته برنامه تون مشکلی نیست از اکتیو ایکس هم استفاده نکنین فقط کافیه تناسب اندازه در میان برخی از بخش ها درست تر بشه به عنوان مثال اون سه دکمه ای که در سمت راست فرم برنامه تون بود رو هم اندازه کنین، خصوصیات فونتی شون رو یکی کنین
یا مثلا تصاویر بخش About یکمی زیادی مستطیلی شده بودند همچنین افت کیفیت داشتن (البته شاید خودتون برای کاهش حجم برنامه کیفیت تصاویر رو کم کرده باشین)
نمیدونم شاید هم من خیلی رو نظم ظاهری برنامه حساسم

- یه چیز دیگه اینطور که مشاهده کردم برنامه بصورت خودکار عنوان و homepage اینترنت اکسپلورر رو تغییر میداد که این میتونه برای کاربر ناخوشایند باشه و از ادامه برنامتون منصرف بشه همچنین ممکنه آنتی ویروس ها هم به عنوان malware به برنامه تون گیر بدن مخصوصا آنتی ویروس Kaspersky که خیلی به این چیزا حساسه

موفق باشید

:قلب:
دوست عزیز ممنون از لطفتون
خیلی نکات ظریف و زیبایی را فرمودید
باز هم ممنون
:بوس:

ممنون ولی من نمی خوام ببندمش فقط می خوام قفل و فریز بشه .
کدی از وی بی سراغ دارین براش ؟
ممنون میشم
یا حداقل نحوه فراخوانی
SuspendThread
را میشه بفرمائید

این یک تابع استاندارد هست کافیه TID یا همون Thread ID رو بهش پاس بدی
نمونه مثال هم همینو تو گوگل سرچ کن


و درمورد نحوه تنظیم سیستم به حالت safe mode
کسی نظری نداره ؟
توجه داشته باشین تنظیم safe mode را برای سیستمی که آلوده هست می خوام
مثلا دوستان نفرمایند با msconfig
چون مطمئن باشین تروجانها نمیزارن شما msconfig را باز کنین

بیشتر توضیح بده


درضمن من به تروجانهایی برخوردم که اینقدر سرعت کارشون زیاده که حتی با استفاده از taskkill
نتونستم ببندمشون
چون میدونین که تا در داس task اول اجرا بشه یک مقدار کمی طول میکشه

من هر ویروسی به این شکل دیدم با همین دستور بستمشون
چون تو داس فقط دستور اجرا میشه ولی شما باید تو برنامه چک کنین ایا اون پروسه وجود داره یا نه اگه نبود اونو اجرا کنهشاید تو بار 1 یا 2 پروسه ها بتونن همدیگه رو بسازن ولی تو دفعه 5 یا 10 دیگه نمیتونن
چون معمولا برای ویروس این مسئله برنامه ریزی شده که وقتی ویروس اجرا میشه این کارو بکنه اون کارو بکنه و تا بخواهد به مرحله چک کردن برسه زمان میبره

در ضمن این روش رو تازه کارها استفاده میکنند اونهایی که حرفه ای تر هستن یه dll به Explorer تزریق میکنن


می خواین یه برنامه کوچولو بنویسم که نشه تویه داس تسک کیلش کرد ؟

:شیطان: میخواهی من یه برنامه کوچولو بنویسم که اگه جرات داری پروسشو ببند :شیطان:


با یه تایمر خیلی سریع که همش برنامه دوم و برنامه دوم برنامه اول را فراخوانی کنه
خوب پس به این نتیجه میرسیم تسک کیل همه جا جواب نمیده
:شیطان:
درسته که بعضی وقتها کارساز نیست ولی عموما کار راه اندازه

با یه تایمر خیلی سریع که همش برنامه دوم و برنامه دوم برنامه اول را فراخوانی کنه
خوب پس به این نتیجه میرسیم تسک کیل همه جا جواب نمیده

البته ابن کار هم قابل توقف شدن است یعنی نقطه ضعف این روش میتونه داخل نام فایلشون باشه، کافیه نام فایلشون تغییر کنه تا ارتباط اجرایی این دوفایل با هم از کاربیافته

در این حال به آسانی میتونین فایل اولی و دومی رو ببندین بدون اینکه یکی بتونه از دیگری حمایت کنه

البته ابن کار هم قابل توقف شدن است یعنی نقطه ضعف این روش میتونه داخل نام فایلشون باشه، کافیه نام فایلشون تغییر کنه تا ارتباط اجرایی این دوفایل با هم از کاربیافته

در این حال به آسانی میتونین فایل اولی و دومی رو ببندین بدون اینکه یکی بتونه از دیگری حمایت کنه
خوب دوست عزیز برنامه تروجان کافیه هر بار نام پروسه اول یا دوم را چک کنه اگه وجود نداشت سریع از خودش یه کپی به اون نام بزاره و اجراش کنه

و اگه لطف کنین تروجانی معرفی کنین که بصورت dll کار میکنه ممنون میشم تا روش کار کنم
یا اگه ممکنه بنویسین
البته خواهشا سوء تفاهم نشه چون واسه تست برنامه آنتی می خوام

برای safe mode هم منظورم اینه که میخوام یه برنامه کوچیک باشه بتونه سیستم را بعد از ریست به حالت safe mode ویندوز روشن کنه
بدون کمک از
msconfig > boot.ini > /safeboot
چون ممکنه تروجانها به هر طریقی اونو غیر فعال کرده باشن یا ممکنه تعداد ویندوزها زیاد باشه یا ....
نمی خوام با msconfig باشه
:لبخند:
باز هم ممنون
این پروژه پایان ترم منه . دیروز بردم دانشگاه . ماشاء الله پر از تروجانهای خوشکل مشکل بود
برنامه آنتی روی 2 تا سیستم تووووپس کار کرد
ولی روی یه سیستم بعد از پاکسازی تروجانها و ریست آخر که بالا اومد حتی به مرحله login هم نرسید و فقط یه صفحه خالی باز شد و همونجا موند
هرچند ماوس کار میکرد ولی صفحه کلید عمل نمی کرد
چراغهای numlock و ... روشن و خاموش می شد یعنی هنگ نکرده بود ....

خوب دوست عزیز برنامه تروجان کافیه هر بار نام پروسه اول یا دوم را چک کنه اگه وجود نداشت سریع از خودش یه کپی به اون نام بزاره و اجراش کنه


درسته میتونه، اما اگه کاربر خیلی سمج باشه میتونه، به عنوان مثلا یک کد کوچیک بنویسه که هم زمان با تغییرنام فایل ها رو هم kill کنه، کدی نظیر کدزیر سریع میتونه این دو فایل رو kill کنه:


Private Sub Command1_Click()
Name "c:\1.exe" As "c:\1_ren.exe"
Open "c:\1.exe" For Output As #1

Name "c:\2.exe" As "c:\2_ren.exe"
Open "c:\2.exe" For Output As #2

Shell "cmd /c taskkill /f /im 1.exe"
Shell "cmd /c taskkill /f /im 2.exe"

End Sub

دستور open رو هم واسه این نوشتم که بعد از تغییر نام هرفایل یه فایل به عنوان قفل با همان نام ایجاد کنه که پشتیبانی شون نتونه مجددا فایلی با این نام بزاره

البته جواب بنده نه بخاطر اینه که بخوام تاپیک رو به چالش بکشونم بلکه می خوام ایده ای باشه برای بستن تروجان و کرم هایی که با این روش ها در سیستم قربانی فعالیت دارند، اما فکر کنم برای این نوع فایل ها هم ایده ای در برنامتون بکار برده باشین و اگر این چنین نیست، میتونین اضافه کنین

موفق باشید

خوب دوست عزیز برنامه تروجان کافیه هر بار نام پروسه اول یا دوم را چک کنه اگه وجود نداشت سریع از خودش یه کپی به اون نام بزاره و اجراش کنه

و اگه لطف کنین تروجانی معرفی کنین که بصورت dll کار میکنه ممنون میشم تا روش کار کنم
یا اگه ممکنه بنویسین
البته خواهشا سوء تفاهم نشه چون واسه تست برنامه آنتی می خوام



اگه درست یادم مونده باشه یه ویروسی بود
svchest.exe, sgqhp.dll
که تزریق dll داشت بگردین پیدا میشه

برای safe mode هم منظورم اینه که میخوام یه برنامه کوچیک باشه بتونه سیستم را بعد از ریست به حالت safe mode ویندوز روشن کنه
بدون کمک از
msconfig > boot.ini > /safeboot
چون ممکنه تروجانها به هر طریقی اونو غیر فعال کرده باشن یا ممکنه تعداد ویندوزها زیاد باشه یا ....
نمی خوام با msconfig باشه


بعضی ویروسها Safe Mode رو از کار میندازن

Good Luck

بعضی ویروسها Safe Mode رو از کار میندازن

Good Luck

میشه دوباره تعمیرش کرد
فکر کنم اقای farshid_vb (http://barnamenevis.org/member.php?62618-farshid_vb) در پست های قبل گفته بودن که برنامه شون SafeMode رو تعمیر میکنه

بله برنامه من میتونه safe mode را تعمیر کنه من مشکل اصلیم تویه بردن ویندوز در حالت safe mode
ولی اگه تروجان تویه حافظه باشه و سرعتش بالا باشه
باز هم سریع safe mode را در قسمت ریجستری حذف می کند
راستی چه جوری میشه سرعت اجرای برنامه ها را زیاد تر کرد ؟

راستی چه جوری میشه سرعت اجرای برنامه ها را زیاد تر کرد ؟

فکر کنم هرچه برنامه حجیم تر باشه زمان بارگذاریش داخل رم افزایش و در نتیجه با افزایش حجم برنامه زمان بیشتری را نیز برای اجرای برنامه صرف میکنه یه پیشنهادی که در اینجا دارم، سعی کنین تا جایی که ممکنه بخشهایی از برنامه که ممکنه را در فایل هایی dll کنار برنامه ذخیره کنین تا فقط در زمانی که بهشون احتیاج دارین بارگذاریشون کنین، که در این صورت برنامه تون فقط لازم باشه اون حجم اطلاعات که در لحظه اجرا لازم داره رو بارگذاری کنه
همچنین سعی کنین داده ها و دستوراتی که بعدا از آنها استفاده میکنین رو در همون لحظه شروع برنامه بارگذاری نکنین، در این صورت زمان بارگذاری داده ها تقسیم میشه یعنی هر بخش داده تنها زمانی بارگذاری میشن که کاربر به قسمت مربوط به اون کلیک کرده باشه که در این حالت کاربر عملا" متوجه کاهش سرعت برنامه نخواهد شد، بزارین یه مثال واستون بزنم هممون با برنامه های offic کار کرده ایم، خب چرا با اینکه حجم خیلی زیادی دارند با اجرا شدنشون سریع بالا میان، اگه توجه کرده باشین قسمت عمده ای از دستوراتشون رو در کتابخانه های dll در کنارشون نگه داری میکنن و فقط زمانی اونا رو بارگذاری میکنند که بهشون احتیاج داشته باشن البته با اشتراک گذاری دستورات از تکرارشون هم جلوگیری میشه، و مثالی که هم در مورد بارگذاری هر بخش فقط در زمانی که کاربر به اونجا مراجعه کرده بازم رو برنامه office میشه زد، مثلا در word2007 وقتی که میخوایم قالبی رو برای اشکال گرافیکی مون انتخاب کنیم، وقتی که بر روی لیست قالب ها کلیک میکنیم اون لحظه است که بارگذاری مربوط به بخش قالب ها شروع میشه، در صورتیکه بارگذاری قالبها در همون لحظه شروع برنامه انجام میگرفت هم کاری بیهوده بود در اون لحظه و هم سرعت بالا اومدن برنامه رو کاهش میداد

یه راه دیگه هم برای کاهش حجم رم و جلوگیری از افزایش درصد cpu: پیشنهاد میکنم در کارهایی که نیازمند تکرار است تا اونجایی که ممکنه از تایمر بجای حلقه ها استفاده کنین مثلا برای چک کردن درایوها از تایمر استفاده کنین
البته اگه یه تابع رو به اشتراک بزارین و نام همه درایوها رو پشت سرهم بهش بهش ارسال کنین هم سرعت انجام عملیات بیشتر از تایمر هست و هم میتونین interval تایمر رو زیاد کنین تا مثلا هر 1000 میلی ثانیه یکبار تایمر اجرا و در همون یکبار سریعا عملیات رو روی همه درایوها انجام میدهد، میتونم بگم این روش تقریبا تاثیری در افزایش سرعت cpu نداره (روشی که خودم تستش کرده ام و جواب داد) روشی مشابه نمونه زیر:
Public sub Scan(DrvNam$)
'commands
End Sub

داخل تایمر هم نام همه درایو ها رو تا z بنویسین و نام هر درایوی که به تابع ارسال میشه چک بشه موجود است یا خیر، سپس عملیات روش صورت بگیره:
Private Sub Timer1_Timer()
Call Scan("C:\")
Call Scan("D:\")
Call Scan("E:\")
Call Scan("F:\")
'
'
'
Call Scan("Z:\")
End Sub



البته این نظرات بنده بود و امیدوارم مفید باشه، اگه کم وکاستی هم بود ببخشید

موفق باشید

یه چیزی رو یادم رفت:
یکی دیگر از کارهایی که باعث افزایش زمان بارگذاری برنامه میشه حجم ریسورس برنامه تون هست زیر برنامه به هنگام اجرا محتویات ریسورس را نیز بارگذاری میکنه که بسته به حجم محتویات موجود در ریسورس زمان بالا آمدن برنامه نیز تغییر میکنه و هر چقدر حجم محتویات ریسورس زیادتر باشه زمان تلف شده در بالا آمدن برنامه هم بیشتر میشه، سعی کنین تا آنجایی که میتونین تصاویری که اجباری به قرارگیری آنها در ریسورس نیست را در خارج از برنامه تون بزارین

موفق باشید

ممنون
من هم برای چک کردن درایوها از یک آبجکت drive استفاده کرده و همه درایوهای موجو را چک میکنم
درضمن میخواستم بدونم روشی برای قفل کردن یک فایل وجو داره
فایلی که پاک نشه
من یه برنامه به اسمه panda vacine نصب کردم که باهاش یه فایل autorun.inf میسازه که کاملا قفل و البته نیاز نیست بعد از ساخت فایل برنامه پاندا همیشه در تسک باشه
چون میدونم که یه برنامه میشه نوشت و باهاش همیشه یک فایل را دراختیار خودمون بگیریم ولی این کار نیاز به اون داره که برنامه همیشه فعال و اجرا باشه
ولی یه راه دیگه هم هست
که تویه یه پوشه به اسم autorun.inf یه فایل پوشه aux یا com1,lpt1 و ... بسازیم تا دیگه تروجانها نتونن پاکش کنن
ولی متوجه شدم که خیلی راحت میشه این پوشه را rename کرد ولی حذف نمیشه
یا باید تورجان به همون روشی که من پوشه های را میسازم
یکی یکی حذف کنه و در آخر پوشه autorun.inf را حذف کنه
راه دیگه هم اینه که فقط تویه ساختار ntfs کار میکنه که میشه فایلی را قفل کرد
ولی بدی اون اینه که ممکنه fat32 باشه

راستی با دستورات داس میشه به یه پوشه دسترسی everyone را denied کرد ؟
البته این کار هم فقط واسه ntfs جواب میده
و در fat32 ...
خوب میخواستم بدونم راه حلی به نظرتون میرسه ؟
چون اگه بتونم autorun.inf راه هم قفل کنم دیگه درایوهای فلش کاربر آلوده نمیشن
هرچند برای new folder.exe باید یه راه دیگه هم درنظر گرفت

برای new folder.exe من یه برنامه کوچیک نوشتم ولی هنوز تویه برنامه خودم قرار ندادم
که از روش فایل duplicate میفهمه که فایل هایی در هارد پخش شده که همشون یه اندازه و یه تاریخ دارن و بعد از کاربر میپرسه که پاک کنم یا نه ؟
البته تعداد تکرارهای بیش از 5 تا را
که این برنامه پوشه ویندوز و program file و چند تا دیگه را بیخیال میشه
واسه اینکه کاربر خیلی کمتر تویه اونها میره و اول هم درایوهای دیگه غیر از c را چک میکنه
برای اینکه کاربر خیلی کم اتفاق میتفه بره تویه document setting یا .... و احتمالش کمه که دوباره روی کرمی که تویه اون پوشه هست کلیک کنه
:قلب:
نظرتون چیه ؟
و نظر بدین که چه تعداد تکراری بهتره برای حداقل تکرارها درنظر گرفته بشه ؟
مثلا فایلهایی که 10 تا در کل هارد تکرار شده اند حذف بشن ؟ یا 15 تا به بالا ؟
البته این قسمت با کمک کاربر صورت میگیره و اگر کاربری یکم ناشی باشه !!!
:گریه:
ممنون ؟

معذرت برنامه بعداز زدن دکمه استارت اول خودشو با فایلهایی که لازم داره در پوشه ویندوز کپی میکنه
بعد که ویندوز با safe mode بالا اومد فایل fav.exe داخل پوشه ویندوز اجرا میشه
می خواستم بدونم بنظر شما بهتر نیست تویه درایو c یه پوشه جدا درست کنم و برنامه را اونجا کپی کنم و از همونجا اجرا بشه
چون اگه برنامه از همونجا که اجرا شده در استارت ریجستری قرار بگیره ممکنه اونجای اجرا فلش مموری باشه
چون بعد از بالا اومدن ویندوز درحالت safe mode ممکنه فایلی اجرا در دسترس نباشه
البته مشکل من اینه که بعضی جاها پوشه ویندوزشون را قفل میکنن
مثله کافی نت ها و برنامه نمیتونه خودشو اونجا کپی کنه
یا حتی کل درایو c را قفل میکنن
بهتر نیست برنامه خودشو در پوشه favorit یا مثلا پوشه temp یا recycler یا ؟؟
کپی بشه و بعد تنظیم آدرس استارت آپ را همونجایی که کپی شده بدم ؟

ولی یه راه دیگه هم هست
که تویه یه پوشه به اسم autorun.inf یه فایل پوشه aux یا com1,lpt1 و ... بسازیم تا دیگه تروجانها نتونن پاکش کنن
ولی متوجه شدم که خیلی راحت میشه این پوشه را rename کرد ولی حذف نمیشه


درسته یه ویروس بود که قبل از ایجاد فایل autorun.inf چک میکرد که آیا فولدری هست یا خیر و اگه بود اونو براحتی rename میکرد حتی اگه داخلش فایل های غیرقابل حذف بود


راه دیگه هم اینه که فقط تویه ساختار ntfs کار میکنه که میشه فایلی را قفل کرد
اگه ممکنه کمی بیشتر راجه به این راهکار توضیح بدین، البته اگه میتونین کدی که این کار رو انجام میده رو هم بزارین میتونه مفید باشه


چه تعداد تکراری بهتره برای حداقل تکرارها درنظر گرفته بشه ؟
مثلا فایلهایی که 10 تا در کل هارد تکرار شده اند حذف بشن ؟ یا 15 تا به بالا ؟
البته این قسمت با کمک کاربر صورت میگیره و اگر کاربری یکم ناشی باشه !!!
البته این که برنامه تون به فایل هایی با بیش از 5 نسخه duplicate گیر میده میتونه بد باشه چون ممکنه یه ویروس باشه که مثلا فقط یک یا دو نسخه از خودشو در جایی مثل فلش ایجاد کرده باشه که در اینصورت برنامه تون بدلیل کمتر بودن تعداد buplicateهای این ویروسه از 5 تا بهش گیر نمیده و شناسایش نمیکنه

معذرت برنامه بعداز زدن دکمه استارت اول خودشو با فایلهایی که لازم داره در پوشه ویندوز کپی میکنه
بعد که ویندوز با safe mode بالا اومد فایل fav.exe داخل پوشه ویندوز اجرا میشه
می خواستم بدونم بنظر شما بهتر نیست تویه درایو c یه پوشه جدا درست کنم و برنامه را اونجا کپی کنم و از همونجا اجرا بشه
چون اگه برنامه از همونجا که اجرا شده در استارت ریجستری قرار بگیره ممکنه اونجای اجرا فلش مموری باشه
چون بعد از بالا اومدن ویندوز درحالت safe mode ممکنه فایلی اجرا در دسترس نباشه
البته مشکل من اینه که بعضی جاها پوشه ویندوزشون را قفل میکنن
مثله کافی نت ها و برنامه نمیتونه خودشو اونجا کپی کنه
یا حتی کل درایو c را قفل میکنن
بهتر نیست برنامه خودشو در پوشه favorit یا مثلا پوشه temp یا recycler یا ؟؟
کپی بشه و بعد تنظیم آدرس استارت آپ را همونجایی که کپی شده بدم ؟

البته بهتر نیست که اجازه بدین کاربر مکان کپی فایل ها رو مشخص کنه به عبارتی یه دیالوگ کوچک تنظیم کنین که کاربر باهاش یه فولدر رو خودش انتخاب کنه و بعد برنامه در همون مسیر کپی بشه (البته ممکنه مایل نباشین کاربر از فایل های همراه برنامه آگاه بشه)، از نظر بنده این کار دو مزیت داره:
1- با این کار هم سرعت اجرای برنامه زیاد میشه، یعنی وقتی که بر روی برنامه کلیک میشه کمی کپی شدن فایل ها طول میکشه و تا برنامه بالا بیاد یه زمان اندکی میبره، که در این حال ممکنه کاربر فکر میکنه سرعت اجرای برنامه تون کمه و یکمی دلسرد بشه
2- چون رو سیستم من آنتی ویروس کاسپر نصبه، (و طبیعتا رو سیستم های دیگه هم میتونه باشه)؛ چون برنامه تون بصورت خودکار در فولدر ویندوز یا temp یا... کپی میشه آنتی ویروس به حرکت های برنامه تون مشکوک و اونو متوقف کنه؛ البته انتی ویروس های دیگه رو ندیدم،

برای همین اگه برنامه تون به کاربر اجازه بده که میخواد تا بالا اومدنش چکاری بکنه حتی اگه انتی ویروس هم بهش گیر بده کاربر باخبر است و میتونه نادیدش بگیره

موفق باشید

بله برنامه من میتونه safe mode را تعمیر کنه من مشکل اصلیم تویه بردن ویندوز در حالت safe mode

شما یک بکاپ از Boot.ini سیستمت بگیر بعد MSCONFIG رو باز کن برو تب BOOT یا BOOT.ini بعد تیک Safemode و minimal رو بزن و ok کن حالا یک کپی از BOOT.ini جدیدت بگیر و این 2 فایل رو مقایسه کن تا ببنی برای بالا اومدن تو حالت Safe mode چه تغییراتی باید تو boot.ini بدی


ولی اگه تروجان تویه حافظه باشه و سرعتش بالا باشه
باز هم سریع safe mode را در قسمت ریجستری حذف می کند

قانون اول همیشه ویروس رو خلع صلاح کنین
چطوری؟ با بستن پروسش
وقتی میبینین 1 ویروس رو بدون اینکه 2 تا پروسه چک کننده داشته باشه هر چی میبندین با ز اجرا میشه قطعا یه dll تو پروسه ای مثل Explorer تزریق کرده اگه Explorer رو 1 دور ببندی بعد پروسه رو ببندی دیگه اجرا نمیشه


راستی چه جوری میشه سرعت اجرای برنامه ها را زیاد تر کرد ؟
سرعت اجرا دیگه به کدنویسی شما بستگی داره و اینکه تو این دوره انقدر سیستمها قدرتمند شدن که شما تفاوت سرعت برنامه های مشابه رو احساس نمیکنید
(منظورم این نیست که بیاید یک برنامه با مسیج باکس رو با انتی کسپر مقایسه کنین تو لود)


Call Scan("C:\")
Call Scan("D:\")
Call Scan("E:\")
Call Scan("F:\")
'
'
'
Call Scan("Z:\")
End Sub


در مورد روش فوق به هیچ عنوان درست و استاندارد نیست بهتره از تابع api مربوط به اون استفاده کنید یعنی GetDriveType



درضمن میخواستم بدونم روشی برای قفل کردن یک فایل وجو داره
فایلی که پاک نشه

فایل مورد نظرت رو با تابع Openfile باز کن دیگه نمیشه پاک کرد

فایلهای خاصی که انتیها میسازن و غیر قابل پاک کردن هست با استفاده از تکنیکهای خاصی ازش محافظت میکنند

در مورد روش فوق به هیچ عنوان درست و استاندارد نیست


سوال ایشون در مورد نحوه ی افزایش سرعت برنامه شون بود نه اینکه کدام کدنویسی استاندارد است و کدام غیر استاندارد و این پیشنهاد هم روشی بود برای افزایش سرعت عملکرد برنامه جهت جلوگیری از افزایش درصد استفاده از cpu؛ خودم هم اطلاع دارم که این طریق روشی معمول نیست اما همانگونه که قبلا هم عرض کردم خودم تستش کرده ام و در جلوگیری از افزایش cpu تاثیر بسزایی نسبت به دو روش قبل یعنی استفاده از حلقه ها یا تایمر دارد



بهتره از تابع api مربوط به اون استفاده کنید یعنی GetDriveType

دوست عزیز میشه بفرمائید این api چه ارتباطی به توضیح بنده داشت، همانطور که در بالا هم توضیح دادم این دستورات راهکاری بود برای جلوگیری از استفاده از حلقه ها و افزایش درصد cpu و این تابع هم نام درایو رو ارجاع میداد به تابع Scan (که توضیحش رو در پست 22 نوشتم)؛ در اونجا هم آقای farshid_vb خودشون هر دستوری که لازم دارن میتونن بنویسن مثلا همین GetDriveType که گفتین و اگر درایوی هم با نام ارسال شده موجود نبود روال بسته بشه



فایل مورد نظرت رو با تابع Openfile باز کن دیگه نمیشه پاک کرد


ایشون میخواستن در هیچ حالی پاک نشه، اما در اینجا کافیه برنامه شون بسته یشه تا فایل با یک حذف ساده حذف بشه

موفق باشید

سوال ایشون در مورد نحوه ی افزایش سرعت برنامه شون بود نه اینکه کدام کدنویسی استاندارد است و کدام غیر استاندارد و این هم پیشنهاد هم روشی است برای افزایش سرعت عملکرد برنامه جهت جلوگیری از افزایش درصد استفاده از cpu؛ خودم هم اطلاع دارم که این طریق روشی معمول نیست اما همانگونه که قبلا هم عرض کردم خودم تستش کرده ام و در جلوگیری از افزایش cpu تاثیر بسزایی نسبت به دو روش قبل یعنی استفاده از حلقه ها یا تایمر دارد

شما اومدی تو یه تایمر به طور غیر مستقیم کار حلقه رو انجام میدی اینجا بحث حلقه نیست و اینکه شما داری از درایو Cتا Z رو چک میکین در صورتی که ممکنه طرف 2 تا درایو داشته باشه پس زمانی که برای چک کردن بقیه تلف میشه زمان بیهوده ای هست که اشغال میشه



دوست عزیز میشه بفرمائید این api چه ارتباطی به توضیح بنده داره، همانطور که در بالا هم توضیح دادم این دستورات راهکاری بود برای جلوگیری از استفاده از حلقه ها و افزایش درصد cpu و این تابع هم نام درایو رو ارجاع میداد به تابع Scan (که توضیحش رو در پست 22 نوشتم)؛ در اونجا هم آقای farshid_vb خودشون هر دستوری که لازم دارن میتونن بنویسن مثلا همین GetDriveType که گفتین و اگر درایوی هم با نام ارسال شده موجود نبود روال بسته بشه

شما چک کردن درایو رو در هر صورت دارید درایوهایی که شخص ممکنه نداشته باشه منظورم از استاندارد نبودن همین هست و همین عمل باعث اتلاف زمان cpu میشه

چه از حلقه استفاده کنین یا اینکه تابع بنویسین برنامه ها خط به خط اجرا میشن و تفاوتی ندارن تنها اینکه قیمتی رو که وقت گیر هست تو یه Thread جداگانه اجرا کنین



ایشون میخواستن در هیچ حالی پاک نشه، اما در اینجا کافیه برنامه شون بسته بشه تا فایل با یک حذف ساده بسته بشه

چنین چیزی وجود نداره
همون مثالشون در مورد Panda این نوع نرم افزارها میان با استفاده از HookApi از فایلهای خودشون محافظت میکنن و وقتی هوکشون پاک بشه فایلها بی دفاع میشن

روش دیگه دستکاری پرمیشن فایل رو NTFS هست که دسترسی EveryOne رو dinay کنین

و اون روش پوشه Autoru.inf که از یک تکنیک داس بهره میگیره که به همون روش هم میشه پاکش کرد


Beast Regards

سلام،


شما اومدی تو یه تایمر به طور غیر مستقیم کار حلقه رو انجام میدی اینجا بحث حلقه نیست و اینکه شما داری از درایو Cتا Z رو چک میکین در صورتی که ممکنه طرف 2 تا درایو داشته باشه پس زمانی که برای چک کردن بقیه تلف میشه زمان بیهوده ای هست که اشغال میشه
میدونم، اما فقط کافیه یبار تست کنین سرعت بسیار بالایی داره و همونطور که خودتون هم گفتین "دستورات خط به خط اجرا میشن" خیلی سرعت بالایی هست و من هم از همین ویژگی دستورات میخوام استفاده کنم، حلقه خیلی cpu میگرفت اما این روش نه


شما چک کردن درایو رو در هر صورت دارید درایوهایی که شخص ممکنه نداشته باشه منظورم از استاندارد نبودن همین هست و همین عمل باعث اتلاف زمان cpu میشهمنظور بنده از اینکه درایو چک بشه، نه با apiی GetDriveType بود بلکه با apiی PathFileExist بود و فکر نکنم هیچ زمانی رو صرف کنه


بهرحال دیگه این بحث رو ادامه ندیم چون تاپیک داره از حالت یک گفتگوی عادی خارج میشه
و اگه هم جوابا رو کمی تند دادم معذرت میخوام

موفق باشید

ممنون
برنامه پاندا usb vaccine اگه تست بفرمائید خوشحال میشم
تنها راه برای پاک کردن فایل ساخته شده توسط unlocker هستش . البته هنوز راهی برای دیدن محتویاتش پیدا نکردم
راستی دوستمون فرمودند با Openfile
باید عرض کنم زمانی که برنامه ای که فایل را Open کردن بسته بشه کنترل قفل شدن فایل از بین میره و به راحتی فایل پاک میشه
تست بفرمائید
درضمن ممنون درباره boot.ini ولی عرض کردن از طریق msconfig نه
کافیه آخر خطهایی که
multi(0)disk(0)rdisk(0)partition(2)\WINDOWS
نوشته دستور
safeboot/
تونستم خودم با برنامه نویسی و تجزیه تحلیل فایل boot.ini به انتهای همه خطهایی که
multi(0)disk(0)rdisk(0)partition(2)\WINDOWS
داره دستورش را اضافه کنم و بعد از اینکه سیستم با آنتی اجرا و تمیز شد کدهای اضافه شده توسط برنامه من دوباره برداشته میشه تا سیستم به حالت اولیه بالا بیاد
http://s1.xlpar.com/files/1/po71o3c2dfto1u/Panda-USBVaccine-[vatandownload.com].rar
دارم درمورد injection تحقیق میکنم چون مسخره نکنینا
تاحالا نشنیده بودم :گیج:
ممنون

http://www.actc.ir/FA/Default.aspx?PageID=991
این هم مبحث اینحکتشن که واسه من جالب بود
این اینجکشن چه جوری هربار بعد از اجرای ویندوز اجرا میشه؟
خودشو جای خاصی از ریجستری میزاره یا به فایل مثلا explorer.exe میچسبونه ؟ یا جای dll های اصلی اکسپلورر میزاره ؟
ممنون میشم یه مثال بزنید
و اگه تروجانی با این کار دم دست دارین برام آپلود کنین ببینم برنامه من میتونه حذفش کنه یا نه؟
:قلب:
کد پایین هم برای غیرقابل حذف شدن یه فایل تویه ntfs
echo test> test.:test
ولی یادم رفته چه جوری توضیحات افزوده شده به فایل را میشد دید
ولی پاک نمیشه
:بامزه:

کد پایین هم برای غیرقابل حذف شدن یه فایل تویه ntfs
echo test> test.:test

بشکل زیر هم میتونین:
echo test> \\?\\c:\test.

ممنون
برنامه پاندا usb vaccine اگه تست بفرمائید خوشحال میشم
تنها راه برای پاک کردن فایل ساخته شده توسط unlocker هستش . البته هنوز راهی برای دیدن محتویاتش پیدا نکردم

Unlocker میاد چک میکنه هر برنامه از چه هندلهایی داره استفاده میکنه با استفاده از تابع NTquerySystemInformation و پارامتر 11 اون که مربوط به هندلها میشه بعد وقتی میبینه هندل فایل مورد نظر شما تحت اختیار فلان برنامه هست اون هندل رو داپلیکیت میکنه و بعد ازادش میکنه از تو اون برنامه اگه Unlocker نصب باشه با برنامه ای مثل Process Explorer توی پروسه ها رو ببینی Dll مربوط به Unlock Assistance رو میبینین که تو هر پروسه ای هست


راستی دوستمون فرمودند با Openfile
باید عرض کنم زمانی که برنامه ای که فایل را Open کردن بسته بشه کنترل قفل شدن فایل از بین میره و به راحتی فایل پاک میشه
تست بفرمائید

درسته به شرطی که پروسه رو ببنده ولی وقتی شما مثل پاندا از پروسه محافظت کنین دیگه مشکلی پیش نمیاد
راه دیگه ای جر اینها وجود نداره



این اینجکشن چه جوری هربار بعد از اجرای ویندوز اجرا میشه؟
خودشو جای خاصی از ریجستری میزاره یا به فایل مثلا explorer.exe میچسبونه ؟ یا جای dll های اصلی اکسپلورر میزاره ؟
ممنون میشم یه مثال بزنید

بستگی داره معمولا خود ویروس میاد اونو به پروسه مورد نظرش تزریق میکنه
برای حذفش کافیه Hmodule اون Dll که تزریق شده رو بدست بیارین و بعد با FreeLibrary ازاد کنین اونو

salam man fonte farsi nadaram
in barname ro dirooz test kardam kheyli khoob bood
mishe sorce ro ham be soorate pish farz gharar bedin
man kheyli alaghe be anti virus daram vali yekam dar chek stamp moshkel daram


ye virus didam ke ye bache 13 sale neveshte va ye timer dare dar start up copy mishe
va har bar ke system bala miad oono restart mikone koli az in ke in viruso down load kardam ehsase pashimooni kardam

codeshho darkhast kardam ke gharare be emaile man befreste

thanks in advance

salam man fonte farsi nadaram
in barname ro dirooz test kardam kheyli khoob bood
mishe sorce ro ham be soorate pish farz gharar bedin
man kheyli alaghe be anti virus daram vali yekam dar chek stamp moshkel daram



سلام دوست عزیز
برنامه آنتی من را روی سیستمت تست کن ببین پاکش میکنه
آدرس زیر هم چند تا سورس ویروس توش هست
http://www.lessonofhacking.blogfa.com/
درضمن برنامه من فقط واسه تروجانها هستش
دارم کاملش میکنم و پروژه پایان ترم رشته کارشناسی من هستش
شرمنده که هنوز نمیتونم سورسی براش بزارم دلیلش هم که از نظر خودم موجه هستش ولی باز ازتون برای قرار ندادن سورسش معذرت می خوام
راستی دارم روش کار می کنم تا بدون بردن سیستم به حالت safe mode هم بتونه تسک رو خالی کنه
و در حالا براش یه تغییراتی دادم

که حالت پیش فرض بدون بردن سیستم به safe mode هستش ولی اگه با این حالت تروجانی حذف نشد میشه روی تیک روبروش کلیک کرد و با حالت قوی تر پاکش کرد
هرچند تستی که کردم همشون رو در همین حالت اولیه غیر فعال میکنه درضمن

یک خواهش
درخصوص تروجانهایی که یا injection کار میکنن . می خوام بدونم خودشون رو در استارت آپ میزارن ؟
و روشهایی که تروجانها برای لود شدن مجدد میتونن استفاده کنن را هم بفرمائید (منظور لود استارت اول ویندوز یا حتی بعد از استارت )
مثلا برنامه را برای تعمیر ctfmon هم تکمیل کردم
چون شندیدم که بعضی تروجانها خوشون را با غیر فعال کردن سرویس crypht جای ctfmon میزارن
البته ممکنه بجای اکسپلورر هم بشه گذاشت ؟؟
اگه اینجوری باشه که وا وی لا :گریه: درضمن من همه جاهای استارت ریجستری را پیدا کردم
حتی بعضی ها خودشون را جای سرویسهای ویندوز میزارن که البته برنامه با کمک msconfig اونا رو غیر فعال میکنه
مثلا میتونه تروجانی خودشو در autoexec.bat برای ویندوز xp هم بزاره ؟؟ تا موقع بوت اجرا بشه ؟
ویه سوال دیگه اصلا میشه بدون بوت شدن و مثلا با بوت شدن توسط یه ویندوز لایو به ریجستری ویندوز دیگری که مثلا در درایو c هستش دسترسی
و عملیات پاکسازی را در همون ویندوز لایو انجام داد ؟
چون با این کار دیگه تروجانی در تسک نیست و به راحتی میشه کلیدهای ریجستری ویندوز اصلی را پاکسازی و بررسی کرد .
و یا فایلهای مشکوک را به راحتی پاک کرد
مثلا برنامه خودشو در استارت ویندوز لایو بدون نیاز به نصب قرار بده و وقتی با اون سی دی بوت شدید شروع به پاکسازی ریجستری ویندوز اصلی تون کنه و پاک سازی بشه
معذرت این هم لینک عکس جدید برنامه
http://s1.xlpar.com/files/8/xm0p0btk73s7so/fav%20pic.JPG
و لینک خود برنامه . مقاوم شده برای برای پاکسازی ctfmon و قرار داد ctfmon تمیز
البته با غیر فعال کردن سرویس cryptographi و کپی ctfmon و فعال کردن مجدد اون سرویس
http://s1.xlpar.com/files/0/39osd50mnvulob/fav%2089-11-23.zip
با تشکر فراوان

:گریه: plz help

درخصوص تروجانهایی که یا injection کار میکنن . می خوام بدونم خودشون رو در استارت آپ میزارن ؟

مثل تروجانهای دیگه تفاوتی با اونها نداره


و روشهایی که تروجانها برای لود شدن مجدد میتونن استفاده کنن را هم بفرمائید (منظور لود استارت اول ویندوز یا حتی بعد از استارت )

روش زیاده بستگی به تبحر نویندش داره مثلا میتونین از Secheduler task ویندوز یا Infection برنامه هایی مثل Explorer -ctfmon و ...


مثلا برنامه را برای تعمیر ctfmon هم تکمیل کردم
چون شندیدم که بعضی تروجانها خوشون را با غیر فعال کردن سرویس crypht جای ctfmon میزارن
البته ممکنه بجای اکسپلورر هم بشه گذاشت ؟؟
اگه اینجوری باشه که وا وی لا :گریه: درضمن من همه جاهای استارت ریجستری را پیدا کردم

در کلید رجیستری مربوط به Explorerبعضی ویروسها خودشونو اضافه میکنن که به همراه اون اجرا بشن و یه نسخه هم دیدم خودشو جای اکسپلورر میزاشت و بعد از اجرا با ShellExecute اونو اجرا میکرد


حتی بعضی ها خودشون را جای سرویسهای ویندوز میزارن که البته برنامه با کمک msconfig اونا رو غیر فعال میکنه
مثلا میتونه تروجانی خودشو در autoexec.bat برای ویندوز xp هم بزاره ؟؟ تا موقع بوت اجرا بشه ؟

تو رجیستری حدود 10-15 کلید هست که میشه ازش استفاده کرد
فایل Autoexecbat رو ذکر میکنن ولی من تا حالا ندیدم


ویه سوال دیگه اصلا میشه بدون بوت شدن و مثلا با بوت شدن توسط یه ویندوز لایو به ریجستری ویندوز دیگری که مثلا در درایو c هستش دسترسی
و عملیات پاکسازی را در همون ویندوز لایو انجام داد ؟

خیر
[QUOTE]
چون با این کار دیگه تروجانی در تسک نیست و به راحتی میشه کلیدهای ریجستری ویندوز اصلی را پاکسازی و بررسی کرد .
و یا فایلهای مشکوک را به راحتی پاک کرد
[QUOTE]
شما برای پاک کردن تسک ویروس از چه دستوری استفاده میکنین؟
چون 95% ویروسها با تابع TerminateProcessبسته میشن
برای پاک کردن اون 5% باقی مونده هم میتونین از مقاله خارجی 12 روش برای بستن پروسسها هست استفاده کنین

:قلب:
واقعا ممنون
ای کاش میشد ...100 تا تشکر زد
من قبلا با برنامه backdoor که اسمش best بوده کار کردم
یعنی تویه زمان خودش از sub7 سر تر بوده
یاد اومد برای اجرای خودش از injection هم استفاده میکرد یعنی تویه گزینه هاش داره
دارم روش کار میکنم ببینم کجای ریجستری میزاره خودشو
یه سوال دیگه من تروجان جالبی دیدم که بعد از اجرا به اسم Libsys32.exe در تسک ووول میخوره و بعد از چند ثانیه از تسکهای یوزر به تسکهای سیستم وارد میشه و بگم به راحتی از تسک خارج نمیشه
بالای 15 بار بستمش ولی باز هم میاد

با TerminateProcess هم میزنم ولی نمیدونم چرا اینقدر سر سختی
راستی یک پروسس هم بیشتر در تسک نیست میگم اگر 2 تا بود پس دیگه بسته نمیشد :گیج:
چون این تروجان برای من خیلی جالب بود میزارمش
danger!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! this file is trojan

http://s1.xlpar.com/files/5/xgow6in6d79z1q/libsys32.exe

danger!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

دوستان اشتباهی اجراش نکنن . البته برنامه من با کمی مشکل از بین میبردش .مشکلش هم اینه که باید بالای 30 بار تابع TerminateProcess فراخوانی بشه و این یکم زمان بر میشه
راستی خیلی از این برنامه های بستن پروسس که تویه سایتها گذاشتن نمیتونه پروسس های sysytem را ببنده . ایرادش هم اینکه یه تروجانی مثل همین libsys32 خودشو سیستمی میکنه و بسته نمیشه

درضمن حتی خیلی از این برنامه ها که من تست کردم نتونستن مثلا تروجانی که اسمش smss.exe یا csrss.exe هستش را هم ببنده اگه دوستان سورس خوبی سراغ دارین که مثلا ممیتونه تشخیص بده که چند تا پروسس وجود داره و البته این پروسسها در کجا قرار دارن مثلا در system32 یا یک درایو دیگر و بتونه اونو ببندن . خیلی ممنون میشم
چون اگه بتونم سریع تمام تسکها را ببندم دیگه مشکلی باقی نمی ماند.
جز پاک کردن جاهایی از ریجستری که تروجانها خودشونو میزارن
که فکر کنم به اندازه تعداد پنجره های ویندوز راه برای ورود به ویندوز وجود داره
دیگه هم نیازی به در نیست تا تروجانی از در پشتی بیاد :لبخند:
یه راهنمایی هم میخواستم برای جستجو و پیدا کردن و غیر فعال کردن سرویسهای غیر اصلی ویندوز
میدونیم که با msconfig و تب services و زدن روی گزینه hide all میشه سرویسهای غیر ویندوز را دید
خوب با ریجستری کجای ویندوز را بگردیم ؟
البته زیاد مهم نیست . چون برنامه من از msco کمک میگیره ولی این روش اصلا آماتور هم نیست و خیلی کار خنده داری هستش و این روش به ذهن خودم رسید که دیگه کد ننویسم و از msconfig استفاده کنم
میدونم در برنامه نویسی این کار واقعا وحشتناک زشت و ... هستش ولی از دوستان بخاطر این کارم معذرت می خوام :قلب: که چنین کاری را کردم
باز هم ممنون از شما
البته اگه بتونین جاهایی که میشه برای ران شدن را قرار بدین ممنون میشم
چون مثلا من یه جایی پیدا کردم که میشه مثلا شما در run ویندوز بنویسین
cmd.exe ولی msconfig.exe اجرا بشه
و یه جای دیگه هم هستش که میشه هر فایل exe یا com یا bat یا ... را اجرایی باشه و اجرا کردین
اول جناب تروجان اجرا بشن بعد اگر مرحمت فرمودند برنامه شما هم اجرا بشه
:شیطان: البته با تشکر از مایکروسافت عزیز که چنین جایی را هم قرار دادن
باور کنین نمیدونم چه نیازی بود این همه جای برای اجرا شدن اولیه در ویندوز قرار بدن ؟ :عصبانی:
run , runonce , startup , ....
:عصبانی++:

سلام
این دوتا سورس رو از سایت PSC.COM پیدا کردم خیلی، سرویس های ثبت شده در ویندوز رو مدیریت میکنن:
http://www.planet-source-code.com/vb/scripts/ShowZip.asp?lngWId=1&lngCodeId=70867&strZipAccessCode=tp%2FS708675111
http://www.planet-source-code.com/vb/scripts/ShowZip.asp?lngWId=1&lngCodeId=68864&strZipAccessCode=tp%2FS688640062
اینم صفحه مطالب سورس اولی (محیط جالبی داره):
http://www.planet-source-code.com/vb/scripts/ShowCode.asp?txtCodeId=70867&lngWId=1


یه سوال دیگه من تروجان جالبی دیدم که بعد از اجرا به اسم Libsys32.exe در تسک ووول میخوره و بعد از چند ثانیه از تسکهای یوزر به تسکهای سیستم وارد میشه و بگم به راحتی از تسک خارج نمیشه اینی که گفتین واره تسک های سیستمی میشه، به این دلیله که خودشو به عنوان یک سرویس ثبت میکنه، بنده یه سورس پیدا کرده بودم که به آسانی برنامه ممون رو به عنوان یک تسک سیستمی ثبت میکرد جالب اینجاست که سورسش رو هم با وی بی 6 نوشته بودن و این در حالی بود که خیلی از دوستان میگفتن برای ایجاد یک سرویس باید با نسخه های دات نت وی بی این کار رو انجام داد و بعضی هم میگفتن که با وی بی 6 امکانش نیست
ولی حیف که الآن سورسش پیشم نیست (یعنی دارمش ولی الآن تو دسترسم نیست:ناراحت:)


درضمن حتی خیلی از این برنامه ها که من تست کردم نتونستن مثلا تروجانی که اسمش smss.exe یا csrss.exe هستش را هم ببندهوقتی که برنامتون رو به عنوان یک سرویس ثبت کنین میتونه همه نوع برنامه دیگه رو که حتی اگه سیستمی باشه رو ببنده از smss.exe گرفته تا winlogon.exe و lsass.exe اینا رو گفتم که بگم چون برنامه تون به عنوان سیستمی ثبت میشه دسترسیش از admin هم بیشتر میشه چون همون طور که خودتو هم میدونین حتی کاربر admin هم قادر به بستن برنامه هایی نظیر smss.exe نیست و همینطور برنامه ها یا همون تروجانی که گفتین بصورت سیستمی ثبت میشن

راستی اون تروجانه رو هم گرفتم سرموقع تستش میکنم ببینم چه فضولی میکنه
موفق باشید

:قلب:

یه سوال دیگه من تروجان جالبی دیدم که بعد از اجرا به اسم Libsys32.exe در تسک ووول میخوره و بعد از چند ثانیه از تسکهای یوزر به تسکهای سیستم وارد میشه و بگم به راحتی از تسک خارج نمیشه
بالای 15 بار بستمش ولی باز هم میاد

http://www.sophos.com/security/analyses/viruses-and-spyware/w32sdbotack.html
برو سربرگ more Information
کافیه اسم ویروس رو رو اینتنت سرچ کنی مثلا

remove manually Libsys32.exe virus
میبینی که شرکتهای انتی ویروس امار کاملی از نحوه کار ویروسها میزارن که میتونی از روش انتی بسازی


با TerminateProcess هم میزنم ولی نمیدونم چرا اینقدر سر سختی
راستی یک پروسس هم بیشتر در تسک نیست میگم اگر 2 تا بود پس دیگه بسته نمیشد :گیج:
چون این تروجان برای من خیلی جالب بود میزارمش
danger!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! this file is trojan

http://s1.xlpar.com/files/5/xgow6in6d79z1q/libsys32.exe

danger!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

دوستان اشتباهی اجراش نکنن . البته برنامه من با کمی مشکل از بین میبردش .مشکلش هم اینه که باید بالای 30 بار تابع TerminateProcess فراخوانی بشه و این یکم زمان بر میشه

این برنامه یک درایور نصب میکنه میتونی درایورش رو unload کنی(اون مقاله 12 روش بستن پروسه ها خیلی بهت کمک میکنه)


راستی خیلی از این برنامه های بستن پروسس که تویه سایتها گذاشتن نمیتونه پروسس های sysytem را ببنده . ایرادش هم اینکه یه تروجانی مثل همین libsys32 خودشو سیستمی میکنه و بسته نمیشه

درضمن حتی خیلی از این برنامه ها که من تست کردم نتونستن مثلا تروجانی که اسمش smss.exe یا csrss.exe هستش را هم ببنده اگه دوستان سورس خوبی سراغ دارین که مثلا ممیتونه تشخیص بده که چند تا پروسس وجود داره و البته این پروسسها در کجا قرار دارن مثلا در system32 یا یک درایو دیگر و بتونه اونو ببندن . خیلی ممنون میشم

برای بستن پروسه های سیستم یا لود و انلود درایور یا کارهای خاص شما نیاز به دسترسی بالا دارین یک Privilage بنام SeDebugPrivilege که با استفاده از تابع AdjustTokenPrivileges سورسش رو نت هست


یه راهنمایی هم میخواستم برای جستجو و پیدا کردن و غیر فعال کردن سرویسهای غیر اصلی ویندوز
میدونیم که با msconfig و تب services و زدن روی گزینه hide all میشه سرویسهای غیر ویندوز را دید
خوب با ریجستری کجای ویندوز را بگردیم ؟
البته زیاد مهم نیست . چون برنامه من از msco کمک میگیره ولی این روش اصلا آماتور هم نیست و خیلی کار خنده داری هستش و این روش به ذهن خودم رسید که دیگه کد ننویسم و از msconfig استفاده کنم
میدونم در برنامه نویسی این کار واقعا وحشتناک زشت و ... هستش ولی از دوستان بخاطر این کارم معذرت می خوام :قلب: که چنین کاری را کردم

با استفاده از توابع ویندوز مثل OpenSCManager و EnumServicesStatus میتونین لیست کامل سرویسهای ویندوز رو بدست بیارین و برای بستن سرویسها هم توابع کاملی وجود داره یک دوری تو نت بزنین سورسهای زیادی پیدا میکنید


البته اگه بتونین جاهایی که میشه برای ران شدن را قرار بدین ممنون میشم
چون مثلا من یه جایی پیدا کردم که میشه مثلا شما در run ویندوز بنویسین
cmd.exe ولی msconfig.exe اجرا بشه
و یه جای دیگه هم هستش که میشه هر فایل exe یا com یا bat یا ... را اجرایی باشه و اجرا کردین
اول جناب تروجان اجرا بشن بعد اگر مرحمت فرمودند برنامه شما هم اجرا بشه
:شیطان: البته با تشکر از مایکروسافت عزیز که چنین جایی را هم قرار دادن
باور کنین نمیدونم چه نیازی بود این همه جای برای اجرا شدن اولیه در ویندوز قرار بدن ؟ :عصبانی:
run , runonce , startup , ....
:عصبانی++:
برای Startup هم لینک زیر کمکت میکنه



http://www.bleepingcomputer.com/tutorials/tutorial44.html

دوستان واقعا لطف کردین
مخصوص استاد و دوست عزیز
cayberfox
راستش را راهنمایی شما دیشب تا ساعت 2:30 شب نشستم و تونستم یه برنامه تسک کیلر خوب بنویسم که بتونه همه تسکها به غیر از خود برنامه من و تسکهای اصلی منظورم را ببنده و تمام تروجانها را از تسک خالی کنه
چون خیلی مشکل داشتم و اشتباهی lsass و چند تا برنامه اصلی ویندوز که بسته میشد سیستم ریست میشد
این رو هم بگم که من با virtual box کار میکنم و واقعا عالیه
چند تا جا برای ریجستری که فرمودین خیلی به دردم خورد البته میگم خیلی جاهای دیگه هم غیر از اونا پیدا کردم که برای گذاشتن تروجانها به درد میخوره
و درضمن باید winstart.bat را هم چک کنم ببینم چه جوری هستش
یه برنامه توپ که خودم خیلی دوسش دارم را میزارم
برنامه هستش که گفته بودم
beast از sub7 خیلی سر تره درضمن میتونه از روش اینجکت که گفتین هم استفاده کنه
!!!!!!!!!!!!!!!!! خطر !!!!!!!!!!!!!!!!!!!!
لطفا یه فایل داخل پوشه هست که یه تروجان هست که با همین برنامه ساخته شده
می خوام بدونم خودشو در کجای ریجستری میزاره . چون برنامه من نتونست که برش داره
فکر کنم msagen32.exe میسازه در پوشه system32 ولی نتونستم جایی که در ریجستری میزاره را پیدا کنم !!
!!!!!!!!!!!!!!!!!! مهم !!!!!!!!!!!!!!!
و لطفا بگین شما با چه روشی از تغییرات اعمال شده بر روی ریجستری توسط تروجان ها مطلع میشین ؟
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
ممون از لطفتون
این هم لینک برنامه beast
password is
farshid
:تشویق:
http://xlpar.com/29r8ktrcgowf/beast205_password_is_farshid.zip.html

http://s1.xlpar.com/files/7/6p1l053bbaumw6/beast205_password%20is%20farshid.zip

یه مشکل هم تویه این قسمته
وقته اول ویندوز
Call SaveSString(HKEY_LOCAL_MACHINE, "SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon", "LegalNoticeText", Text_Show.Text, REG_SZ)
Call SaveSString(HKEY_LOCAL_MACHINE, "SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon", "LegalNoticeCaption", "Please Login With You't Account And Wait For Cleaning ...", REG_SZ)
این دوتا کد را برای نمایش یک پیغام میزارم و دفعه بعد با این کدهای پایین حذفشون میکن
هر بار که ویندوزم بالا میاد بازهم یه پنجره با پیغام خالی نمایش داده میشه

Call DeleteValue(HKEY_LOCAL_MACHINE, "SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\WINLOGON", "LEGALNOTICECAPTION")
Call DeleteValue(HKEY_LOCAL_MACHINE, "SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\WINLOGON", "LEGALNOTICETEXT")

فکر کردم شاید تویه current_user هم چنین کلیدی ذخیره بشه . دیدم نیست
خوب من وقتی دوتا کلید رو با مقدار خالی هم مقدار دهی می کنم موقع logih و logout هم ظاهر میشه
یه پنجره بدون پیغام

البته اگه بتونین جاهایی که میشه برای ران شدن را قرار بدین ممنون میشمیه برنامه پیدا کردم که تمامی برنامه های اتوران ویندوز رو لیست میکنه البته یکی دیگه هم هست که الآن اسمش دقیقا بادم نیست (یه واژه Autoruns هم تو اسمش داشت)
ببینین شاید به کارتون بیاد
موفق باشید

الآن برنامه beast رو چک کردم کاسپر بهش گیر تروجان BackDoor میداد تصاویرش هم در زیر گذاشتم البته شاید بخاطر نسخه کاسپر باشه چون رو این سیستمه کاسپر6 نصبه و رو عملکرد برنامه اسم تروجان میزاره (چون میگه نتونست تروجانشو حذف کنه و این میتونه به این معنی باشه که به عملکرد خود برنامه گیر داده و فایلی ضمیمش نشد همانگونه که قبلا هم به یه فایل sys که به همراه برنامه من بود گیر میداد) بهرحال رو VirtualBox تستش میکنم که مطمئن تر هم هست


موفق باشید

ممنون
راستی برنامه بست که گذاشتم خودش یه نوع تروجان ساز هستش
البته چون قدیمی هست اکثر آنتی ها میشناسنش و واسه همین دیگه کسی ازش استفاده نمیشه
ممنون از برنامه دارم روش کار میکنم

دوستان واقعا لطف کردین
چون خیلی مشکل داشتم و اشتباهی lsass و چند تا برنامه اصلی ویندوز که بسته میشد سیستم ریست میشد

با بدست اوردن یوزر هر پروسه میتونین تشخیص بدین باید اون پروسه رو ببندین یا نه مثلا LSASS اصلی تو یوزر سیستم اجرا میشه پس هر پروسه با این نام کا در یوزر سیستم نیست رو میتونین ببندین


و لطفا بگین شما با چه روشی از تغییرات اعمال شده بر روی ریجستری توسط تروجان ها مطلع میشین ؟

برنامه های معروفی هستن به اسم
Regmon:با این برنامه میتونین تشخیص بدین هر برنامه ای به کدوم کلید رجیستری سر میزنه و چه تغییری روی اون کلید انجام میده
filemon:با این برنامه میتونین تشخیص بدین هر برنامه به کدوم فایل سر میزنه یا میسازه یا کپی میکنه
Apimon:با این برنامه میتونین تشخیص بدین هر برنامه در حالت اجراش چه توابع Api رو فراخوانی میکنه


!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
ممون از لطفتون
این هم لینک برنامه beast
password is
farshid
:تشویق:
http://xlpar.com/29r8ktrcgowf/beast205_password_is_farshid.zip.html

http://s1.xlpar.com/files/7/6p1l053bbaumw6/beast205_password%20is%20farshid.zip

یه مشکل هم تویه این قسمته
وقته اول ویندوز
Call SaveSString(HKEY_LOCAL_MACHINE, "SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon", "LegalNoticeText", Text_Show.Text, REG_SZ)
Call SaveSString(HKEY_LOCAL_MACHINE, "SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon", "LegalNoticeCaption", "Please Login With You't Account And Wait For Cleaning ...", REG_SZ)
این دوتا کد را برای نمایش یک پیغام میزارم و دفعه بعد با این کدهای پایین حذفشون میکن
هر بار که ویندوزم بالا میاد بازهم یه پنجره با پیغام خالی نمایش داده میشه

Call DeleteValue(HKEY_LOCAL_MACHINE, "SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\WINLOGON", "LEGALNOTICECAPTION")
Call DeleteValue(HKEY_LOCAL_MACHINE, "SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\WINLOGON", "LEGALNOTICETEXT")

فکر کردم شاید تویه current_user هم چنین کلیدی ذخیره بشه . دیدم نیست
خوب من وقتی دوتا کلید رو با مقدار خالی هم مقدار دهی می کنم موقع logih و logout هم ظاهر میشه
یه پنجره بدون پیغام

مطمئنید که متن از رجیستری خالی میشه؟
کلیدها رو پاک کنید و از نو بسازید ببینید باز هم مشکل داره؟

با بدست اوردن یوزر هر پروسه میتونین تشخیص بدین باید اون پروسه رو ببندین یا نه مثلا LSASS اصلی تو یوزر سیستم اجرا میشه پس هر پروسه با این نام کا در یوزر سیستم نیست رو میتونین ببندین


ممنون ولی این روش که می فرمائید اگه برنامه ای خودشو جزء سرویسها قرار بده میشه system و دیگه بسته نمیشه

من یه کاری کردم لطف کنین نظر بدین

اول همه تسکهای غیر اصلی ویندوز را suspend کردم بعد یه دور بستم و بقیه که مونده بود رو دوباره suspend کردم
احتمال داره بازهم از روشی باقی بمونه ؟؟

اگه لینک خوبی دارین برای regmon و ... ممنون میشم
چون مثلا برنامه regshot را دانلود کردم . بدک نیست
چیزی نیست که هرلحظه یه برنامه خاص بخواهد تغییری تویه ریجستری بده را همون لحظه تایید بگیره ؟
راستی من چیزی مثل این دیدم که وقتی تویه فقط قسمتهای run بخواهد تغییری بدهد پیغام میداد و اگه کاربر اجازه نمی داد دسترسی به ریجستری را به اون برنامه نمیداد
فکر کنم مثل apimon باشه ؟

ممنون ولی این روش که می فرمائید اگه برنامه ای خودشو جزء سرویسها قرار بده میشه system و دیگه بسته نمیشه

همه پروسه ها بسته میشن از رو ادرس فایل - لیست سرویسها - اطلاعات جانبی مثل ورژن-کمپانی و .... میشه تفاوتهای بین Lsass اصلی و ویروس رو تشخیص داد چون 2 تا فایل هم نام نمیتونن تو یه پوشه باشن
در ضمن همه پروسه های سیستمی رو به راحتی با Privilage میشه بست جز پروسه هایی که جزء پروسه های Critical باشن در اون صورت اگه پروسه رو ببندی سیستم فورا رستارت میشه


من یه کاری کردم لطف کنین نظر بدین

اول همه تسکهای غیر اصلی ویندوز را suspend کردم بعد یه دور بستم و بقیه که مونده بود رو دوباره suspend کردم
احتمال داره بازهم از روشی باقی بمونه ؟؟

ویروسها یا برنامه هایی که مولتی ترد هستن فکر کنم تردهای دیگشون همچنان در حالت اجرا باشه(به شخصه هنوز تست نکردم البته اونم شما میتونین لیست تردهای برنامه ها رو دربیاری و همه رو ساسپند کنی توابع api اون هم هست)


اگه لینک خوبی دارین برای regmon و ... ممنون میشم


شما با کلید واژه زیر یه جستجو تو گوگل بزن

regmon download

یه سوال
اینکه نمیشه تروجان مثلا خودشو تویه system32 به اسم LSASS.exe بزاره ؟
یا قبل از بوت ویندوز ( به غیر از ویروسهای بوت سکتوری و فقط تروجانها منظورم هستش ) یا لود لوگین ویندوز قرار بگیرن
راستی یه چیزی هم به ذهنم رسید
من بعضی برنامه ها مثلا scandisk را که خودشون رو قبل از رسیدن به مرحله لوگین میزارن دیدم
مثلا Partion magic و خیلی های دیگه میشه آنتیم رو جایی بزارم که قبل از بوت و لود سیستم بیاد و ریجستری رو تمیز کنه ؟
اینطوری بهتر نیست ؟
هرچند الان هیچ مشکلی با خارج کردن برنامه ها از تسک و تمیز کردن ریجستری ندارم به نظر شما اینطوری بهتره یا از قبل از بوت ؟


درضمن این فایل winstart.bat کار نمیکنه ؟
چه جوری میشه برنامه ای را توش قرار داد و اجراش کرد ؟

ضمنا بدی اصلی برنامه من بعلت داشتن کدهای تغییر در ریجستری و امثال اون توسط آنتی ها اشکال گرفته میشه و نمیزارن که برنامه من اجرا بشه
راهی برای این دارین ؟



اصلی داشت یادم میرفت
برنامه ای که گفتم نوشتم و کارش اینه که میگرده مثلا تویه یه درایو یا همه درایوها میگرده و اگر فایلی زیاد تکرار شده باشه میگه و از کاربر می خواد که پاک بشن و بعد از تایید توسط کاربر حذف میشن
درضمن دوستمون فرمودند که اگه تعداد تکرارش کم باشه چی ؟
خوب احتمال اجراش هم توسط کاربر کمتر میشه
مثلا اگه کرمی باشه که فقط 5 تا کلا تویه هارد ازش باشه خوب میشه تعداد جستجور را کمتر یا بی خیالش شد . نظری دارین ؟

یه سوال
اینکه نمیشه تروجان مثلا خودشو تویه system32 به اسم LSASS.exe بزاره ؟

خیر شما به هیچ عنوان نمیتونی 2 فایل همنام تو 1 پوشه داشته باشی
(البته میشه یه حقه زد مثلا وسط اسم فایل ALT+255 بزنین این یک کاراکتر که قابل دید نیست اضافه میکنه و برای سیستم 2 نام متفاوت میشه)


یا قبل از بوت ویندوز ( به غیر از ویروسهای بوت سکتوری و فقط تروجانها منظورم هستش ) یا لود لوگین ویندوز قرار بگیرن
راستی یه چیزی هم به ذهنم رسید
من بعضی برنامه ها مثلا scandisk را که خودشون رو قبل از رسیدن به مرحله لوگین میزارن دیدم
مثلا Partion magic و خیلی های دیگه میشه آنتیم رو جایی بزارم که قبل از بوت و لود سیستم بیاد و ریجستری رو تمیز کنه ؟
اینطوری بهتر نیست ؟

برنامه هایی که به صورت سرویس اجرا میشن این قابلیت رو دارن که قبل از ورود به ویندوز اجرا بشن
شمام میتونی برنامتو به صورت سرویس اجرا کنی


هرچند الان هیچ مشکلی با خارج کردن برنامه ها از تسک و تمیز کردن ریجستری ندارم به نظر شما اینطوری بهتره یا از قبل از بوت ؟


درضمن این فایل winstart.bat کار نمیکنه ؟
چه جوری میشه برنامه ای را توش قرار داد و اجراش کرد ؟

ضمنا بدی اصلی برنامه من بعلت داشتن کدهای تغییر در ریجستری و امثال اون توسط آنتی ها اشکال گرفته میشه و نمیزارن که برنامه من اجرا بشه
راهی برای این دارین ؟

خب چون خودشو استارت اپ میکنه و پروسه رو میبنده جزء ویروسها شناسایی میشه
یک راهش فراخوانی توابع به صورت RunTime هست مثلا با LoadLibrary وGetProcAddressمیتونین فراخوانی کنین تا انتیها کمتر شک کنن و اینکه اسم توابع و متنهای String تو برنامتونو کد کنین مثلا با XOR و با یه پکر خوب پک کنین اینجوری انتیها دیگه زیاد گیر نمیدن


اصلی داشت یادم میرفت
برنامه ای که گفتم نوشتم و کارش اینه که میگرده مثلا تویه یه درایو یا همه درایوها میگرده و اگر فایلی زیاد تکرار شده باشه میگه و از کاربر می خواد که پاک بشن و بعد از تایید توسط کاربر حذف میشن
درضمن دوستمون فرمودند که اگه تعداد تکرارش کم باشه چی ؟
خوب احتمال اجراش هم توسط کاربر کمتر میشه
مثلا اگه کرمی باشه که فقط 5 تا کلا تویه هارد ازش باشه خوب میشه تعداد جستجور را کمتر یا بی خیالش شد . نظری دارین ؟
خب شاید طرف تو سیستمش 100 تا برنامه به نام SetUp.exe داشته باشه یا موارد مشابه بهتره بخشی بزاری وقتی ویروسی پیدا کرد یه بخش جستجوی کل هارد داشته باشه بعد بیاد اطلاعات اولیه از فایل ویروس بگیره مثلا نام-سایز - یک هش از ویروس حالا بگیرده و موارد مشابه رو پاک کنه چون مقدار هش میگیری احتمال اشتباه تقریبا به 0 میرسه

ممنون برنامه ای که برای جستجوی کرمها نوشتم براساس حجم فایلها میگرده و نامش براش مهم نیست و دقیقا یک حجم باشن پیدا میکنن

به نظر شما بهتر نیست خود کاربر یه کرمی که بهش شک کرده . مثل newfolder هایی که تویه درایوها هستش را انتخاب کنه و برنامه تویه کل سیستم فایلهای با اون حجم و تاریخ Modifi را بگرده و حذف کنه ؟
اینجوری بهتره یا همه فایلهای هم حجم و با یک تاریخ modifi را بگرده و پاک کنه ؟
کدام بهتره ؟

ممنون برنامه ای که برای جستجوی کرمها نوشتم براساس حجم فایلها میگرده و نامش براش مهم نیست و دقیقا یک حجم باشن پیدا میکنن

کار خوبیه ولی باید موارد مشابه رو هم در نظر گرفت که بعضی فایلهای سالم با حجم مشابه


به نظر شما بهتر نیست خود کاربر یه کرمی که بهش شک کرده . مثل newfolder هایی که تویه درایوها هستش را انتخاب کنه و برنامه تویه کل سیستم فایلهای با اون حجم و تاریخ Modifi را بگرده و حذف کنه ؟
اینجوری بهتره یا همه فایلهای هم حجم و با یک تاریخ modifi را بگرده و پاک کنه ؟
کدام بهتره ؟
خیلی خوبه که وقتی برنامه کرمی پیدا کرد به کاربر اطلاع بده ایا میخواهد کل هارد رو برای پیدا کردن اون کرم بگرده یا نه
و برای اینکه کامل اینجور ویروسها پاک بشه بهتره یک هش از ویروس اصلی بگیرین و بعد طبق همون بگردین
مثلا
وقتی با CreateToolhelp32Snapshot دارین لیست پروسه ها رو پیدا میکنین یک رکورد دارین بنام PROCESSENTRY32 که اطلاعات زیادی از پروسه در حال اجرا به شما میده مقدار char szExeFile[MAX_PATH]; بیانگر ادرس فایل اجرایی اون پروسه هست پس اگه یک پروسه ویروس باشه شما از این طریق فایل اونو شناسایی میکنین خب حالا میتونی با یکی از الگورتمهای هش مثل CrC32 - sha1 - MD5 یک هش ازش میگیری بعد کل هارد رو جستجو میکنی برای ویروسی با اون سایز پیدا میکنی یک هش از اون میگیری با هش خودت مقایسه میکنی اگه یکی بود پس ویروسه اینجوری دیگه فایلهای سالم اشتباها پاک نمیشه

راستی این تروجان که دفعه قبل گذاشته بودم خودشو تویه آدرس زیر میزاره
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components
البته هر پوشه ای تویه این قسمت بسازین و مقدار دهی کنین در اول ویندوز اجرا میشه
اینو خودم در آوردم
وراستی تویه قسمتهای اجرایی اولیه تویه او سایت که گفته بودین ذکر نشده

چه جوری میتونم این قسمت را تمیز کنم ؟
کل پوشه مربوطه حذف بشه اشکالی در اجرای ویندوز ایجاد نمیکنه
میشه دوباره همش را ایجاد کرد
ولی اصلا کار این قسمت چیه ؟
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components
میتونم همش را حذف کنم ؟
البته حذف کردم ئ دیدم که تغییری در کار ویندوز ایجاد نشد :گیج:
شاید حذفش فایده هم داشته باشه
:لبخند:

ممنون
راستی برای جستجوی تکراری ها اگر با حجم و تاریخ modifi چک کنیم دیگه احتمال تکراری بودن کمتر میشه
یعنی فقط فایلهایی که واقعا یکی هستن ولی در جاهای مختلف قرار دارن پیدا میشن
میثل برنامه های file duplicate
لطفا نظر بدین

راستی این تروجان که دفعه قبل گذاشته بودم خودشو تویه آدرس زیر میزاره
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components
البته هر پوشه ای تویه این قسمت بسازین و مقدار دهی کنین در اول ویندوز اجرا میشه
اینو خودم در آوردم
وراستی تویه قسمتهای اجرایی اولیه تویه او سایت که گفته بودین ذکر نشده

چه جوری میتونم این قسمت را تمیز کنم ؟
کل پوشه مربوطه حذف بشه اشکالی در اجرای ویندوز ایجاد نمیکنه
میشه دوباره همش را ایجاد کرد
ولی اصلا کار این قسمت چیه ؟
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components
میتونم همش را حذف کنم ؟
البته حذف کردم ئ دیدم که تغییری در کار ویندوز ایجاد نشد :گیج:
شاید حذفش فایده هم داشته باشه
:لبخند:

ممنون

این قسمت مربوط به کامپوننتهای ویندوز هست (تو AddRemove برین معلومه)میتونین کلیدی که تروجان میسازه رو کامل حذف کنین
پاک کردن کلی این قسمت کار اشتباهی هست چون ممکنه کسی IIS یا چیزهای دیگه نثب داشته باشه
برنامه هایی که خودشونو از این طریق در استارت اپ قرار میدن تو MSConfig نمایش داده نمیشن البته یه چند جای دیگه هم هستش که اینجوریه


راستی برای جستجوی تکراری ها اگر با حجم و تاریخ modifi چک کنیم دیگه احتمال تکراری بودن کمتر میشه
یعنی فقط فایلهایی که واقعا یکی هستن ولی در جاهای مختلف قرار دارن پیدا میشن
میثل برنامه های file duplicate
لطفا نظر بدین
خب برای شروع میتونین از این تکنیک استفاده کنین و در موارد پیشرفته تر و ورزنهای بعدی میتونین از اون روشی که تو پست قبلی ذکر کردم استفاده کنید

GoodLuck

دوستان دیشب موقع کار با یه مشکلی برخوردم
وقتی می خواستم برنامه worm finder را تکمیل کنم دیدم فایلهای html مه تویه سیستمم ذخیره شده بود را هم به لیست اضافه میکرد
درصورتی که شرایط فایل مورد جستجو مثل سایز و تاریخ ایجاد را نداشت
بعد که دقت کردم دیدم اسم فایلها فارسیه و توش پ ژ گ چ داره
لطفا یه تستی بفرمائید و filelen یه فایل به اسم مثلا پگاه.exe که مثلا تویه درایو c باشه رو چک کنین میگه file not Found چه جوری این مشکلو حل کردین ؟

سلام
این دستور رو تست کردم؛ یعنی یه فایل با نام فارسی در درایو c گذاشتم و با filelen تستش کردم اما مشکلی نداشت و مستقیما" فضاشو return کرد
شاید توو وارد کردن نام فایل در تابع filelen غلط املایی وجود داشته باشه؟ تست کردین؟

msgbox fileln("c:\پگاه.txt")
پیغام خطا میده
البته یه فایل تکست به نام بالا باز کنین و توش هم یه چیزی بنویسین
راستی فونتهای فارستی تویه خود محیط کد نویسی VB من عوض شده ؟
من یه text1 گذاشتم و مقدار داخلشو اسم و آدر فایل بالا قرار دادم
حتما اسم فایلی که می خواهید چک کنین فارسی با حروفی که گفتم باشه
ممنون
:گریه:

تصویر زیر رو ببینین؛ کده رو تست کردم جواب داد
حجم فایله هم 6 بایته

واسه درست کردن فونت فارسی کدهای محیط وی بی هم میتونین به Options رفته و در تب EditorFormat فونت Arabic را انتخاب کنین تا برطرف بشه (البته اگه منظورتون این بود)

ممنون . فکر اشکال از فارسی ساز ویندوزم باشه چون تویه وی بی فارسی مینویسم ؟؟؟؟؟ میشه

باز هم ممنون
فکر کنم از تنظیمات ویندوز بود
control panel > reginal > langugages > advance > turn off
را زدم درست شد
خوب یه سوال اگه تویه ویندوزی این تنظیم نشده باشد و اصلا فارسی نداشته باشه
مشکلی برای برنامه ها پیش نمیاد ؟
الان که این مشکل برای من پیش اومد
اینکارو کردم و حل شد . احتمال داره با اینکاری که کردم مشکل حل شده باشه ؟ اگه آره . خوب فرض کنیم برنامه های ما که می نویسیم و تویه یک سیستمی فارسی نباشه چی باشد کرد یا اون تیکش برداشته نشده باشد چی ؟

موضوع بسیار جالب شد چون تا حالا بهش فکر نکرده بودم اما بنده تا الآن در هر ویندوز که تست کرده ام مشکلی بوجود نیامده و فکر نمیکنم این مشکل از زبان فارسی ویندوز باشه اما یادم نیست که این کار روی برای یه فایل با زبان نام فارسی تست کرده باشم ولی کم کم دارم مصمم میشوم این موضوع رو بررسی کنم (البته زبان فارسی ویندوز خودم درسته و سعی دارم این موضوع رو داخل virtualbox یا یک ویندوز پرتابل که فارسی ندارن تستش کنم)

قصد دارم الآن رو ویندوز پرتابله تستش کنم
نتیجه رو به حضورتون میرسونم
یاعلی

راستی شما از چه ویندوز استفاده میکنین (Xp یا سون)
چون من داخل تب advanced برنامه regional رفتم اما گزینه " turn off" رو ندیدم؛

http://s1.xlpar.com/files/5/y4e99493fwcpyp/Worms%20Finder.zip
لینک برنامه آنتی تروجان داشم چک می کردم دیدم مشکل حل شد
بعد ترسیدم دیدم دیگه اشکالی نمیگیره
دیدیم یه صفحه وب رو تویه یه پوشه save کردم به اسم همین صفحه و وقتی دربرنامه که تویه بالا گذاشتم ارور میده
on error resume next را بردارین از تویه سورسش
راستی چرا اینجوری میشه ؟
اگه به عکس 2 نگاه کنین می بینین با اینکه فایل سایز و تاریخ فایل چک میشه برنامه بخاطر on error resume next که گذاشتم بی خیال شرط میشه و اونو در لیست گرید اضافه میکنه و اگر on error resume next رو نزارم میگه نام فایل وجود نداره
یه لحظه فکر کردم توهم زدم و اشتباه میکنم ولی الان که دوباره چک کردم دیدم بخاطر اسم فایله

از لیست گرید نگاه کنین به ردیف 4 میبینین که بدون درنظر گرفتن شرط به لیست اضافه شده
lol

http://s1.xlpar.com/i/00006/z5hspu77fap7.jpg

http://s1.xlpar.com/files/4/v9oj9q27g0fwll/2.JPG

این هم اسامی فایلهای درایو E:\1


Volume in drive E is progs
Volume Serial Number is 9C3A-3492

Directory of E:\1

02/19/2011 02:58 PM <DIR> .
02/19/2011 02:58 PM <DIR> ..
01/10/2010 12:57 PM 1,593 ashiyane.txt
01/10/2010 12:57 PM 1,593 ashiyane_2.txt
01/10/2010 12:57 PM 1,593 ashiyane_3.txt
02/19/2011 02:58 PM 1,133,580 §?§ë ?¤ں? ھë م? ë§ں©ى?.mht
01/10/2010 12:57 PM 1,593 ??ںى????ںه?
01/10/2010 12:57 PM 1,593 ??ںى????ںه?_2
01/10/2010 12:57 PM 1,593 ??ںى????ںه?_3
02/19/2011 02:46 PM 939,468 ?ه¢?ي_ ™ë¢? ¢©ي¤ںë? ©ں? ىêى ¢©ي¤ںëىں §يë ë?ںھ ى ™?§?¢.mht
8 File(s) 2,082,606 bytes
2 Dir(s) 6,270,521,344 bytes free

Salam az yeki az doostan porsidam goft az farsi bodan nist
Bekhatere dashtane fasele toye namesh hast

Fekrkonam ba in Halmishe
Filelen( """" & addr & """" )
Yechi to in mayeha
Mazerat finglish neveshtam,ba goshi oon shodam

معذرت خونه اینترنت درست حسابی ندارم
با گوشی و کامپیوتر وصل شدم الان اگه شد یه برنامه کوچیک بنویسین که توش یه آبجکت فایل باشه و وقتی روی آیتمهای لیست گرفته شده توش کلیک کنین حجم فایل را بده
خوب اگه در آدرسی که داره لیست میکنه اسم فارسی باشه ارور میده
من ویندوزم xp sp3 هستش و فارسی رو هم راحت تایپ میکنه . ممکنه بخاطر تفاوت حرف ( ی ) در ویندوز ها باشه ؟
اگه برخورده باشین این مشکل در زمان کار با بانکها یه زمانی مشکل بزرگی بود
شما در بانک اسم علی را میگشتین ولی با وجود اینکه این نام وجود داشت پیدا نمی شد . احتمالا کار همون فایل kbdfa.dll اگه اشتباه ننوشته باشم هستش
می خوام اون فایلو روی سیستمم جایگزین کنم ببینم چی میشه
:متفکر:

مجددا سلام
اون مشکلی که فرمودین ممکنه بخاطر نصب نبودن زبان فارسی در ویندوز باشه رو تست کردم رو یه ویندوز پرتابل که پیام زیر رو داد بجای خواندن فضای فایل؛ با همون کد filelen در یه دستور msgbox

Khob man yek kari kardam ba on error resume next , bikhiale error shodam vali shart ro ke tosh daram chek mikonam rad mikone va filei ke harfe ( y ) farsi dare ra dar list add mikoneh, mikham akhare search onaro az list hazf konam

Shoma Rahi peyda kardin?

;(

یعنی میخواین در انتهای جستجو لیست چک شود که اگر فایل هایی که حرف "ی" در نامشان است از لیست حذف شوند؟

اگه درست منظورتون را متوجه شده باشم؛ خب میتونین در همون عملیات اصلی مانع از افزوده شدن فایل هایی با داشتن حرف "ی" شوید، تا دیگر مجبور به چک لیست مجدد در انتهای عملیات نباشید، چونکه اگه درپایان اسکن مجددا لیست چک شود عملیات مظاعف انجام شده و به عبارتی مدت زمان عملیات را هم افزایش میدهد

البته اینگونه که بنده متوجه منظورتون شدم پاسخ گفتم،
موفق باشید

Mikham hamon kare shomaro bekonam ta vaghti rahi peyda besheh,

Chon koli vaghtamo gereft,
Ostade rahnamaye projam migan behtare bad az check kardan va tamiz kardane task,

Behtare file hay peyda shode toye process pak besheh
Albate ba ejazeh karbar
Chon momkene 2bare karbar eshtebahi rosh click koneh

Mikham baad az tamiz kardaneh task kole yek drive ya hardo begardam harchi file ba hajm va date oonaee ke toye task bodano peyda koneh
Va bad az list az user bekhad ke move be yek posheh beshan

Plz nazar

يه سوال برنامه اي كه بتونه پروسس ها را لیست کنه البته مهم برای من مسیر فایلش است
یعنی مثلا پروسس winlogon.exe را معلوم کنه که در درایو c:\windows\system32 قرار داره
من اکثر برنامه هایی که دیدم فقط اسم فایل موجود در پروسس را میگن
یکی هم که خودم دارم باهاش کار میکنم فقط برای فایلهای غیر سیستمی آدر فایل را میده . اینو برای چک کردن تروجانهای موجود در تسک میخوام
البته مشکل زمانی پیش میاد که برنامه تروجان مثل همون Libsys32 خودشو در System قرار بده برنامه به مشکل بر می خوره
چون نمیتونه لیست تسکتها را کامل بدست بیاره

اگر آدرس یا لینکی سراغ دارین که بتونه لیست کامل پروسس ها و مسیر کامل فایلش رو بده

لطفا یه نگاهی به این بندازین







Function kotah(t As String) As String
kotah = UCase(Mid(t, InStr(t, ":")))

End Function


Function kotah2(t As String) As String

Begin1 = InStrRev(t, "\")
EXEName = Mid(t, Begin1 + 1)

kotah2 = UCase(EXEName)

End Function



Public Function Ti() As String
form3.BaD_PID.Clear
form3.LstMore.Clear
Dim ProcName As String
Dim Procname1 As String
Dim hSnapshot As Long, uProcess As PROCESSENTRY32, intListIndex As Integer
Dim hSnap As Long, pResult As Long, PROCESS As PROCESSENTRY32
Dim pID As Long
Dim hSnapM As Long, Module As MODULEENTRY32
hSnapshot = CreateToolhelp32Snapshot(TH32CS_SNAPall, 0&)
uProcess.dwSize = Len(uProcess)
r = Process32First(hSnapshot, uProcess)
form3.AutoRedraw = True
intListIndex = form3.LstShowAllProcess.ListIndex
form3.LstShowAllProcess.Clear
Do While r
form3.LstShowAllProcess.AddItem left$(uProcess.szExeFile, IIf(InStr(1, uProcess.szExeFile, Chr$(0)) > 0, InStr(1, uProcess.szExeFile, Chr$(0)) - 1, 0))
r = Process32Next(hSnapshot, uProcess)
Loop
CloseHandle hSnapshot
If intListIndex < form3.LstShowAllProcess.ListCount Then form3.LstShowAllProcess.ListIndex = intListIndex
intListIndex = form3.LstMore.ListIndex
form3.LstMore.Clear
'module :
hSnap = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0)
PROCESS.dwSize = Len(PROCESS)
pResult = Process32First(hSnap, PROCESS)
Do While pResult <> 0
pID = PROCESS.th32ProcessID
hSnapM = CreateToolhelp32Snapshot(TH32CS_SNAPmodule, pID)
Module.dwSize = Len(Module)
Call Module32First(hSnapM, Module)

Procname1 = UCase(left$(Module.szExePath, InStr(1, Module.szExePath, Chr(0)) - 1))
ProcName = "\" & left$(Module.szExePath, InStr(1, Module.szExePath, Chr(0)) - 1)

form3.BaD_PID.AddItem pID
form3.LstMore.AddItem (Procname1)


CloseHandle hSnapM
pResult = Process32Next(hSnap, PROCESS)
Loop
CloseHandle hSnap
If intListIndex < form3.LstMore.ListCount Then form3.LstMore.ListIndex = intListIndex
End Function




یه نگاهی بندازین متوجه میشین کارش لیست کردن پرئسس ها هستش ولی مشکل نمایش آدرس فایلی هستش که داره لیست میکنه
لطفا کمک کنین
:متعجب:

يه سوال برنامه اي كه بتونه پروسس ها را لیست کنه البته مهم برای من مسیر فایلش است
یعنی مثلا پروسس winlogon.exe را معلوم کنه که در درایو c:\windows\system32 قرار داره
من اکثر برنامه هایی که دیدم فقط اسم فایل موجود در پروسس را میگن
یکی هم که خودم دارم باهاش کار میکنم فقط برای فایلهای غیر سیستمی آدر فایل را میده . اینو برای چک کردن تروجانهای موجود در تسک میخوام
البته مشکل زمانی پیش میاد که برنامه تروجان مثل همون Libsys32 خودشو در System قرار بده برنامه به مشکل بر می خوره
چون نمیتونه لیست تسکتها را کامل بدست بیاره

اگر آدرس یا لینکی سراغ دارین که بتونه لیست کامل پروسس ها و مسیر کامل فایلش رو بده

البته همانگونه که قبلا هم عرض کردم تنها راهی که بنده دیده ام که میتونین پروسس های سیستمی را مدیریت و ختی اون پروسس هایی که قابل بستن نیستند را ببندین اینه که برنامه تون را بصورت سیستمی اجرا کنین و اصطلاحا" برنامه تون رو به عنوان یک سرویس اجرا کنین یه سورس خیلی کارامد داشتم که هم با vb6 نوشته شده بود و هم برخلاف دوستانی که گفته بودند در vb.net امکان سرویس سازی وجود دارد کاملا بصورت service اجرا میشد ولی بازم باید ببخشین دوباره جایی هستم که اون سورس رو فعلا در اختیار ندارم

موفق باشید

یه نگاهی به این بندازین



Option Explicit

Private Const TH32CS_SNAPPROCESS = &H2
Private Const PROCESS_QUERY_INFORMATION As Long = (&H400)
Private Const PROCESS_VM_READ As Long = (&H10)
Private Const MAX_PATH As Integer = &H104

Private Type PROCESSENTRY32
dwSize As Long
cntUsage As Long
th32ProcessID As Long
th32DefaultHeapID As Long
th32ModuleID As Long
cntThreads As Long
th32ParentProcessID As Long
pcPriClassBase As Long
dwFlags As Long
szExeFile As String * MAX_PATH
End Type

Private Declare Function CreateToolhelp32Snapshot Lib "Kernel32" ( _
ByVal lFlags As Long, _
ByVal lProcessID As Long _
) As Long

Private Declare Function Process32First Lib "Kernel32" ( _
ByVal hSnapShot As Long, _
uProcess As PROCESSENTRY32 _
) As Long

Private Declare Function Process32Next Lib "Kernel32" ( _
ByVal hSnapShot As Long, _
uProcess As PROCESSENTRY32 _
) As Long

Private Declare Function OpenProcess Lib "kernel32.dll" ( _
ByVal dwDesiredAccess As Long, _
ByVal bInheritHandle As Boolean, _
ByVal dwProcessId As Long _
) As Long

Private Declare Function EnumProcessModules Lib "psapi.dll" ( _
ByVal hProcess As Long, _
ByRef lphModule As Long, _
ByVal cb As Long, _
ByRef lpcbNeeded As Long) As Long

Private Declare Function GetModuleFileNameEx Lib "psapi.dll" Alias "GetModuleFileNameExA" ( _
ByVal hProcess As Long, _
ByVal hModule As Long, _
ByVal lpFileName As String, _
ByVal nSize As Long) As Long

Private Declare Sub CloseHandle Lib "Kernel32" ( _
ByVal hPass As Long _
)

Private Sub Command1_Click()
Dim PE As PROCESSENTRY32
Dim hSnap As Long
Dim Result As Boolean
Dim hProcess As Long
Dim FileName As String * MAX_PATH

PE.dwSize = Len(PE)
List1.Clear
hSnap = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0)
Result = Process32First(hSnap, PE)
Do While Result
hProcess = OpenProcess(PROCESS_QUERY_INFORMATION Or PROCESS_VM_READ, False, PE.th32ProcessID)
If Not EnumProcessModules(hProcess, 0, 0, 0) = 0 Then
GetModuleFileNameEx hProcess, 0, FileName, MAX_PATH
List1.AddItem FileName
End If
CloseHandle hProcess
Result = Process32Next(hSnap, PE)
Loop
CloseHandle hSnap
End Sub



انشاء الله درسته
موفق باشید

ممنون ولی اگه دقت بفرمائید . مثل اینکه اشکالی پیش اومده و کد نوشته شده ناقص مونده

آخرش نیفتاده ...
ممنون میشم اگه کسی راهی سراغ داره بفرسته

ببخشید
کدها رو جایگزین کردم
امیدوارم درست باشد
موفق باشید

Mer30 az site source planet ,source haye topi peyda kardam,rasti ye soal, chejori mishe file darhale ejra ra move be addr digeh kard,
Albate begam end task ham nemisheh
Mesle hamon libsys32 ke gozashtam

Chon baad az end taskesh 2bare run misheh
Kheyli fast hastesh

Mishe kari ke goftamo anjam dad?

Rasti 15 esfand tahvile projeh daram

Begin chi shodeh?!

Monitoram sokht
Dapdam tamir 2 roze dige amadeh mishe

>:(o)-={=<

اون روش هایی که در پست های اول روش بحث کردیم در مورد بستن یه برنامه ای بود که یه پشتیبانی ازش محافظت میکرد، از اون روش ها هم استفاده کردین؟ مثلا: یه برنامه کوچک بنویسین که همزمان با kill کردن اون پردازش پشت سرش یه فایل همنام اون در همون مکان ساخته و قفل کنه تا ببینین ویروسه چه عکس العملی نشون میده، و آیا مجددا اجرا میشه یا خیر!!

ممنون . الان داره برنامه ای که نوشتم همه پروسس ها رو میبنده . فقط اون libsys32 که گذاشته بودم . نمیدونم چرا اینقدر سمجه
اصلا به هیچ عنوان از تسک خارج نمیشه
آخرش کلک زدم و بعد از 5 بار بستن همه پروسه های غیراصلی
به برنامه گفتم تا بقیه پروسس ها را Suspend کنه . نظرتون چیه ؟
با این روش مشکل کاملا حل شد
راستی خیلی بده که میشه یه برنامه کوچیک نوشت و اون برنامه یه لحظه explorer را ببنده و خودشو به جای اون بزاره و بعد دوباره
explorere را که نامش مثلا شده Ex.exe را اجرا کنه
این وحشتناکه . این جور کارها را به نظر شما چی میشه کرد ؟
یعنی تروجان میتونه خودشو به جای Alg.exe , Ctfmon.exe , spoolsv.exe و هر برنامه دییییییییییییییییییییید دیگه ای بزاره
درضمن بگم اون دیییییییییییییییییییید هموم فحش و بد و بیراه هستش که نثار ارواح مطهر برنامه های اصلی ویندوز کردم
:قهقهه:
لطفا نظر بدین من باید تا 15 اسفند تحویل بدم
راستی نظرتون چیه بشه یه برنامه نوشت تا اول همه پروسس های غیر اصلی ویندوز را suspend کنه و بعد بیاد وآنتی منو اجرا کنه تا آنتی ویروسها به برنامه من گیر ندن
چون NOD32 عزیز و گیج ؛ درجا به برنامه من گیر میده
یکی از دوستان میگفت : خوب این کلاس داره و کاربر قبلش باید آنتی خودشو بی خیال بشه
:قهقهه:
البته اون دوست عزیز به این فکر نکرده بوده که اگر کاربر بیچاره با سرعت دیال آپ نود یا آنتی خودشو آپدیت کرده باشه و حالا بخواهد اونو پاک کنه چه حالی بهش پا میده
هرچند آنتی ویروسی که نتونه دوتا تروجان جدیدو شناسائی کنه
فقط به درد Shift+Del میخوره حتی نباید Uninstal هم کرد
لطفا کمممممممممممممممممممممممم ممممممممممممممممک

سلام میتونین این ویروس libsys32رو آپلودش کنین تا ماهم فیضشو ببریم


به برنامه گفتم تا بقیه پروسس ها را Suspend کنه . نظرتون چیه ؟اگه برنامه تون پروسس های از پیش تعریف شده را suspend کنه میتونه خیلی مفید باشه مخصوصا در مورد پروسس هایی که بر روی آنها بدگمان هستید اما این روش ممکنه بدگمانی بعضی از آنتی ویروس ها رو نسبت به برنامه تون بالا ببره و اینبار برنامه خودتون رو به عنوان یک malware یا ... suspend کنند البته همونطور که میدونین میتونین در سیستم خودتون اونو به عنوان یک برنامه پاک به آنتی ویروستون معرفیش کنین اما در سیستم های سایر کاربران... مخصوصا از نوع مبتدی هاش که سریعا" رای میدن برنامه تون خودش یک ویروسه چون آنتی ویروس بهش گیر داده.


راستی خیلی بده که میشه یه برنامه کوچیک نوشت و اون برنامه یه لحظه explorer را ببنده و خودشو به جای اون بزاره و بعد دوباره
explorere را که نامش مثلا شده Ex.exe را اجرا کنه فکر نکنم اگر نام explorer تغییر داده بشه بتونه اجرا بشه یا حتی اگر مکانش رو بجز ویندوز تعریف کنیم؛ که این میتونه خیلی مفید باشه مخصوصا برای این زمان ها که ممکنه یک ویروس نام explorer رو تغییر بده و سپس خودش بجای اون اجرا بشه
چون خودم قبلا تست کردم و یکبار نام explorer را تغییر دادم و در دفعه بعد هم مکانش را تعویض کردم که در هیچ یک از این دو صورت explorer اجرا نشد و در هربار اجرا فقط فولدر my documents باز میشد و دیگر هیچ اتفاقی نمی افتاد.
اما زمانی بده که یک ویروس با تکنیک RunPE اجرا بشه که این دیگه خودش از اون بلاهاست؛ میاد explorer یا هربرنامه معمول ویندوز را بصورت معمولی اجرا میکنه در حالی که اونو مثل یک تروجان در آورده و خودش داره در پشت پرده کارهاش رو انجام میده :متعجب:

البته در مورد این Nod32 که باید بگم...
آنتی ویروس روی سیستم رایانه خودم کاسپر هستش که خیلی از کارهاش راضی هستم مخصوصا این اواخر که یکی دوتا گزینه داخل نسخه 2011ش پیدا کرده ام "SafeRun" و "Pure Check" که اولیش یک برنامه را در محیلی اجرا میکنه که هیچ کنترل واقعی روی سیستم نداره به عبارتی اگه برنامه ویروس باشد و یا خودش آلوده باشد حتی اگر درایوی را هم format کنه ، همه این اتفاقات در یک محیط شبیه سازی شده رخ میده و در حالت معمولی هیچ اتفاقی متوجه اطلاعات خودمون نمیشه و اختیار دومش هم به شما اجازه میزان در دسترس بودن منابع ویندوز را برای برنامه میدهد

موفق باشید

:تشویق: ای ول و ممنون
واسه suspend کزدن تمام برنامه های مخرب نظرتون را بفرمائید و اینکه بهتر نیست جوری برنامه را بنویسم که آنتی ها نتونن تشخیص بدن ؟
راهی هست ؟ بنظر شما میشه یه برنامه کوچیک نوشت که اول آنتی ها را ببنده ؟ یا همه تسکهتی غیر مهم را قفل کنه ؟

واسه suspend کزدن تمام برنامه های مخرب نظرتون را بفرمائید و اینکه بهتر نیست جوری برنامه را بنویسم که آنتی ها نتونن تشخیص بدن ؟اینکه آنتی ویروس ها نتوانند تشخیص بدهند را نمیشه گفت 100% ممکنه چون آنتی ویروس هایی نظیر کاسپر که تاحالا نتوانسته ام اونو کنار بزنم و killش کنم و حتی suspend اما ویروس هایی بودند که وقتی کاسپر را disable میکردیم سریعا امنیتش را غیرفعال و اونو kill میکردند اما در زمان فعال بودنش غیرممکن به نظر میاد حتی برنامه های نسبتا قوی هم نتوانستند سرویس کاسپر را stop یا حذفش کنند
اما یادم نمیاد با nod32 کارکرده باشم ولی قبلا دوستان یه کدی ارائه کرده بودند که میشد با اون kernel آنتی ویروس nod32 را kill کرد اما این هم مربوط هست به نسخه های قبلی nod32؛ نسخه های جدیدش را نمیدانم

اما اینکه تسک های معمولی غیرمهم را قفل کنه میشود ؛ مثلا لیستی از برنامه های مهم را در اختیار داشته باشین که اگه تسکی در اون لیست موجود نبود suspendشود و همچنین به کاربر نیز اجازه دهد که برنامه مورد نظرشو برای جلوگیری از suspend شدن به این لیست بیافزاید

من هم همین کار که فرمودین را انجام دادم
لطف کنین بگین یه سایت خوب برای قرار دادن و آپلود میشناسین بفرمائید
xplar.com بسته شده

لطف کنین بگین یه سایت خوب برای قرار دادن و آپلود میشناسین بفرمائید
xplar.com بسته شده

پرشین گیگ رو دیدین؟ سایت مفیدی هست با مدت زمان آپلود نامحدود و 100 مگ فضا
http://persiangig.com (http://persiangig.com/)

اینطور که دیده ام پارسا اسپیس هم خوبه:
http://Parsaspace.com (http://parsaspace.com/)

موفق باشید

Salam jadidan ye trojan giram omadeh ke kheyli jaha hastesh va vaghti flash ya cd ya ... Ra be system vasl mikonim explorer basteh misheh va 2 bare baz , aval fekr kardam rundll32.exe alodast , chon ba vasle dasgah be usb farakhani misheh
Az onam nabod,daram ba regshot rosh kar mikonam
Kheyli khafane,fekr konam filesh virus ham dashteh bashe,

www.antitrojan.persiangig.com
Safhe webe barnameh

Ageh trojane jadid va khob ke pak nemisheh soragh darin plz mail konin baram,

www.antitrojan.persiangig.com
Safhe webe barnameh

Ageh trojane jadid va khob ke pak nemisheh soragh darin plz mail konin baram,

یک پیشنهاد برای دریافت سریعتر تروجان ها براتون داشتم که ارسال یک ویروس یا تروجان را برای ارسال کننده گان راحتتر میکند
یک برنامه آپلودر کوچک در آنتی تروجانتون بنویسید یا یک آپلودر در بخشی از سایتتون قرار بدین تا خیلی راحتتر بشه یک فایل را براتون فرستاد، در اینصورت فکر کنم تروجان های دوستان خیلی راحتتر براتون ارسال بشه چون بیشتر کانکشنهایی که دوستان از آن استفاده میکنند دارای سرعت پایین است و بازشدن ایمیل هم وقت زیادی را برایشان میگیرد


موفق باشید

Mamnon,nazare kheyli jalebi hastesh ,bayad saykonam toyesitam bezaram,bayad az doostan komak begiram,

Rasti benazareshoma vaseh hamin persiangig mishe ye chenin kari kard?
Kesi az dostan hast ke komak koneh?
Masalan karbar betoneh ta 2 meg befresteh?
Ya az sitehaye upload rayegan komak begiram

Mamnon,nazare kheyli jalebi hastesh ,bayad saykonam toyesitam bezaram,bayad az doostan komak begiram,

Rasti benazareshoma vaseh hamin persiangig mishe ye chenin kari kard?
Kesi az dostan hast ke komak koneh?
Masalan karbar betoneh ta 2 meg befresteh?
Ya az sitehaye upload rayegan komak begiram

سلام
برای نوشتن یک آپلودر، باید از یک هاست استفاده کنید که در این میان هاست های رایگان روی اینترنت زیاد هستند، به عنوان نمونه سایت zymic.com میتواند میزبان خوبی باشد و یا gigfa.com که یک میزبان فارسی است اما اخیرا" عضویت جدید نمی پذیرد، سایت هایی نظیر پرشین گیگ میزبان مناسبی برای این کار نیستند کما که امکان دسترسی به آنها از طریق ftp نیز وجود ندارد به همین جهت امکان ایجاد آپلودر نیست، برای ساختن یک آپلودر ساده هم فقط کافیه اسکریپت php اونو بر روی سرور قرار دهید و فرم آنرا در وبلاگ یا وبسایتتان قرار دهید که کاربر همزمان با ورود به صفحه وبتان قادر خواهد بود با فشار دادن دکمه Browser به راحتی فایل خود را انتخاب و بر روی سرورتان آپلود کند (همانند سایر آپلودر ها نظیر خودpersiangig)،

ببخشید بحث را از vb منحرف کردم

موفق باشید
یاعلی

Mamnon az hameye dostan ke komak kardan
Man ba 2 nomreh az eraee projeh khodam dar yek namayeshgah va eraee kheyli khoob va ghavi dar jalase eraee payan term nomreh 20 ra gereftam
Harchand hadafe man 20 ya ghaboli nabod
Man vaghean asheghe barnamenevisi hastam
Va baz ham thank`s

ایشالا همیشه موفق باشید ....

دوستان لطف کنند یه لینک سالم بزارن کل لینکها خرابن

http://antitrojan.persiangig.com/FAV.zip

دوستان ممنون از لطف شما
http://antitrojan.persiangig.com (http://antitrojan.persiangig.com/FAV.zip) یه سری بزنین ممنون میشم
هرچند نسخه نهایی نیستش ولی روی اکثر تروجانهای جدید که حتی آنتی ویروسهای بزرگ هم نمیشناسن ( تروجانهای دست نویس ایرانی )
خیلی خوب جواب میده و به راحتی غیر فعال و حذفشون میکنه
درضمن خدمت دوستان عرض کنم چون بعضی از سرویسهای ویندوز را غیرفعال میکنه میتونین به قسمت سرویسها برین و آن دسته از سرویسهایی را که میشناسین و نیاز دارین را دوباره فعال کنین
مثلا سرویسهای مربوط به SQL البته اگه قبلا نصبش کرده باشین
چون ممکنه یه تروجانی خودشو به نام این سرویس در سیستم شما قرار داده باشه
چون نمیشه به هیچ روشی فهمید که واقعا این سرویسهایی که در سیستم هست برای برنامه های نصب شده هستن یا برای یک تروجان
به خاطر همین برنامه من همه سرویسهای غیر اصلی ویندوز را غیر فعال میکنه
مهمترین کارش هم اینه که وقتی سیستم شما در حالت Safe mode بالا نمیاد را هم درست میکنه و قسمتهای فولدر آپشن و ... را هم اصلاح میکنه
اگه دوستان راهی برای ساخت پوشه ای به نام
Autorun.inf
که پاک نشه و مخصوصا تغییر نام هم نشه ... بلدن بفرمایند تا ما هم یاد بگیریم

اخیرا" ویروس هایی پیدا شده اند که پوشه های غیرقابل حذف که توسط برنامه هایی نظیر usb disk security ایجاد میشوند را اگرچه قابل حذف نیستند اما بدلیل قابل تغییر نام بودنشان آنها را تغییر نام میدهند که عملا" انگار دیگر فولدری با عنوان Autorun.inf وجود نداشته و براحتی فایل های Autorun.inf خود را ایجاد میکنند

تنها راهی که جواب داده ساختن دفترچه های Autorun.inf توسط برنامه های ویرایشگر هگز (نمونه اش WinHex) در درایو USB است که نه قابل حذف و نه تغییر نام میپذیرند روشی که نرم افزار "Panda USB Vaccine" از آن استفاده میکند

برای ساختن فولدر های غیر قابل حذف معمولی که برنامه هایی نظیر usb disk security از آن استفاده میکنند و حتی در cmd ویندوز هم قادر به ایجاد همچنین پوشه هایی است کافیست دستور ساختن پوشه را بصورت زیر وارد کنید تا یک پوشه غیرقابل حذف در درایو ایجاد شود:

cmd /c mkdir \\?\D:\123..

موفق باشید
یاعلی

ممنون
کسی از دوستان هستش که بتونه برنامه نویسی با وی بی انجام بده که از روش Panda USB Vaccine فایل یا پوشه غیر قابل پاک شدن درست کنه ؟
من تونستم پوشه Aux یا LPt1 یا ... را داخل پوشه Autorun.inf بسازم و حذف نشه
ولی باز هم پوشه Autorun.inf قابل تغییر نام هستش
درضمن بگم که پوشه ای که Panda USB Vaccine می سازه به راحتی پاک نمیشه
ممنون میشم اگه یه برنامه با اسمبلی یا وی بی بتونین بنویسین که اینکارو بکنه
نشد باید خودم دست بکار بشم ....

این کار (ایجاد پوشه ای که نه حذف بشه نه تغییر نام داده بشه) به آسانی آب خوردن است.
یه نمونه برنامه ضمیمه کردم که چند سال پیش با وی بی نوشتمش.(البته فقط بخش مورد علاقه و سوال دوستان رو ضمیمه کردم.این برنامه بخشی از یک مجموعه نرم افزار محافظتی بود که به سفارش کسی نوشتمش.اگر می بینید بخش هایی مثل تغییر فرمت و لغو محافظت کار نمی کنه به دلیل اینه که فایل های مربوط به اونها کنار پروژه نیست.)
روش کارش هم استفاده از ACL برای تغییر پرمیژن فایل یا پوشه است (که البته فقط روی پارتیشن های NTFS جواب میده).
از فایل xcacls.vbs ضمیمه برای این کار به جای cacls.exe خود ویندوز استفاده کنید.
دستوری هم که باید بکار ببرید چیزی شبیه اینه:


XCACLS.vbs c:\autorun.inf /G everyone:RWED;RW /E

که در اینجا autorun.inf پوشه است که ما دسترسی خواندن و نوشتن رو برای هرکسی ازش سلب می کنیم
یا حق

ممنون از دوست عزیزم
تی جان قوربان . تی دست در نوکونه
:قلب: :گیج: واسه fat هم جور بشه عالیه

باز هم ممنون از اساتید گرامی

ممنون از دوست عزیزم
تی جان قوربان . تی دست در نوکونه
:قلب: :گیج: واسه fat هم جور بشه عالیه

باز هم ممنون از اساتید گرامی

برای fat هم این امکان که فایل یا فولدر رو غیر قابل حذف و تغییر نام بکنیم هست.منتها یک کم خطرناکه :شیطان:
.اینجا علنی نمیشه مطرحش کرد.جوجه ویروس نویس ها ازش به شدت سو استفاده خواهند کرد.بعد خر بیار باقالی بار کن.اومدیم روش محافظت یاد دادیم نتیجه اش شده ویروس هایی که از خودشون در مقابل پاک شدن مقاومت نشون میدن.
اگه ویروسی از اون روش acl استفاده کنه راه برای پاک کردنش بدون فرمت کردن دیسک هست .ولی اینی که برای fat وجود داره خیلی سخت میشه پاکش کرد (مجبور به فرمت کردن دیسک خواهیم بود)
برای شما با پیام خصوصی سورسش رو می فرستم

سلام دوست عزیز ...

خواهشاً لینک دانلود آنتی تروجانت رو اصلا کن، نمیشه دانلودش کرد!!:متعجب:

مرسی شاپرکم، دلبرکم، عسلکم تونستم دانلودش کنم شیرینکم ... :قلب::بوس:

باهاش کار میکنم، اشالا به حرفه ای بودنش پی ببرم و بتونم باهاش تمام تروجانها و ویروسهای دنیا رو شناسایی و حذف کنم دلبرکم... :چشمک::قلب:

سلام علیکم
آقا فرشید آنتی تروجان جدیدتون را دانلود و امتحان کردم
اینگونه که در عمل نشان داده شد خوب نقشش رو ایفا کرده است، موفق باشید :قلب:

اما یه چیز ناخوشایند:ناراحت:
اینگونه که مشاهده کرم کجددا" بخش های مختلف ریجستری و ویندوز از جمله ProgramsAbout و برخی عناوین برنامه های مختلف ویرایش میشود (که البته لزومی برای این در جهت پاکسازی تروجان ها وجود ندارد)
به عقیده بنده اگر در نسخ بعدی برنامه تون این عملکرد برطرف شود موجب رضایتمندی بیشتر کاربران خصوصا" ان دسته از کاربران حساسی که مخالف ویرایش بدون تائید ویندوزشان هستند خواهد شد

موفق باشید
یاعلی

سلام
ببخشید ، لینک ها مثل اینکه ایراد دارند(صفحه اول)
لینک های درستش رو کجا گذاشتید؟

با این سایتی که دوستان معرفی کرده بودند:
http://www.sophos.com/en-us/threat-center/threat-analyses/viruses-and-spyware/W32~Sdbot-ACK/detailed-analysis.aspx (http://www.sophos.com/en-us/threat-center/threat-analyses/viruses-and-spyware/W32%7ESdbot-ACK/detailed-analysis.aspx)
ما می تونیم به مشخصات تمامی ویروس دسترسی پیدا کنیم؟

ببخشید ، آقای "mohsenvj" شما چه جوری آنتی تروجان رو دانلود کردید؟
میشه لینکش رو بزارید؟

آخه مگه قرصی هست که همه دردها رو دوا کنه و تاریخ مصرف هم نداشته باشه؟ بالاخره یه روزی یه تورجان دیگه میاد، همون آشو همون کاسه.

خه مگه قرصی هست که همه دردها رو دوا کنه و تاریخ مصرف هم نداشته باشه؟ بالاخره یه روزی یه تورجان دیگه میاد، همون آشو همون کاسه.

من که امتحانش نکردم ولی فکر کنم حالا حالا ها جواب بده
البته اگه منتشر نشه و دست صاحبش بمونه!

دوستان ممنون از لطف شما
راستش وقتی بشه جاهایی رو که تروجانها خودشونو قرار میدن ( منظور برای راه اندازی مجدد ) مثل startup و کلیدهای ریجستری رو پیدا کنیم
به راحتی میشه غیر فعالش کرد
البته عرض کردم برنامه من همه استارت آپهای غیر اصلی ویندوز را غیر فعال میکنه
یعنی حتی اگه برنامه IDM که در حالت اجرای خودکار باشه را هم غیر فعال میکنه
ولی یک موضوعی را خدمت منتقدان این آنتی عرض کنم
بین بد و بد تر یکی را باید انتخاب کرد
وقتی شما دارین با ویندوزی کار میکنین که برای استارت اولیه اون باید 5 دقیقه منتظر باشین و تازه 80 % cpu سیستمتون درحال استفاده هستش
خوب . چی می کنین ؟
taskmgr غیر فعال
folder Option ندارین
برنامه های منیجر پروسس ها هم کار نمیکنن
یا باید ویندوز عوض بفرمائید یا ...
خوب بهترین راه به نظر شما چیه ؟ من که میگم برنامه آنتی تروجان من ... :قهقهه:
باز هم ممنون

دوستان لینک برنامه را هم برای دانلود گذاشتم
http://s1.picofile.com/file/6613859154/FAV_1390_02_14.zip.html
من خودم هم هرکاری کردم که سایتم رو بازکنم نشد
یه جای دیگه هم براتون آپلود کردم
اگه بازهم نشد سعی میکنم جاهای مختلف آپلود کنم ولی حتما به سایت من سر بزنین و قسمت وبلگش نظر بدین و بگین تا چیکار کنم که بهتر بشه ...
شاید یه روزی تبدیل به یک محصول شد یا خدا رو چی دیدی من هم رفتم تویه یه شرکت آنتی ویروس کار کردم
:گیج:

برنامه رو دانلود کردم ، ولی موقعی که می خواستم از حالت فشرده درش بیارم Error داد.
لطفا اصلاحش کنید.
خیلی ممنون

پس چی شد؟
بی زحمت فایل رو اصلاح می کنید و دوباره آپلود کنید؟

سلام دوستان
اگه ممکنه یه سری جای آپلود خوب بهم بدین تا براتون بزارم
درضمن من همین الان هم دوباره دانولد کردم و اکستراک
http://s1.picofile.com/file/6613859154/FAV_1390_02_14.zip.html
جواب داد و سالمه
لطفا نظر دادن در وبلاگ من یادتون نره
و همینجا هم بفرمائید خیلی عالیه
ممنون از لطف همه شما دوستان
به امید روزی که یه برنامه خوب برای خلاصب از شر تمامی تروجانها داشته باشیم که ایرانی هم باشه


پاینده باد ایران ما

سلام خدمت شما
برنامه رو دانلود کردم.این نظرات من هست:
اول همه ، هیچ چیز برنامه معلوم و مشخص نیست.یکسری متن ها فارسی هست... یکسری اینگلیسی...زمینه برنامه مشکی هست...
هیچ نیازی به این کارا نیست.ظاهر برنامه رو به صورت استاندارد طراحی کنید. اگه می خواید که از این زیبانرش کنید ، فوقش ظاهرش رو Xp کنید.
همه ی دکمه ها رو یک رنگ ، یک سایز و... کنید .خلاصه شکل برنامه رو استاندارد کنید.
برنامه ما که یه برنامه مالتی مدیا نیست که بیایم و بهش افکت بدیم!! چیزی که کاربر می خواد کارایی برنامه هست و در عین حال راحتی کار با اون.

از همه ی اینها مهم تر کارایی خود برنامه هست.روی دکمه MIni clear کلیک کردم ، ماوس دیگه تکون نمی خورد... و همه ی فایل ها بسته شدند... که آخر مجبور شدم کامپیوتر رو reset کنم!
وقتی ویندوز اومد بالا ، روی مدیا پلیر که کلیک کردم ، پنجره مربوط به نصبش ظاهر شد!
عکس روی دسکتاپ ناپدید شد!.و...
برنامه رو بستم ولی هنوز یه نوشه رو دسکتاپ بود! حالا چی بود و برا چی بود نمی دونم.برنامه هم هنوز در حال اجرا بود!
حالا چه جوری باید می بستمش خدا می دونه.اگه برنامه هنوز در حال اجراست و داره کار خاصی انجام میده ، باید کاربر در جریانش باشه و آیکون برنامه در ناحیه try قرار بگیره تا بشه به راحتی به برنامه دسترسی پیدا کرد.همچنین می بایست که صفحه ای تحت عنوان " وضعیت فعلی نرم افزار " باشه تا کاربر متوجه عملکرد برنامه بشه و...
متاسفانه تو پیغام ها هم برنامه درست طراحی نشده بود.یه جای پیغام ها فارسی ، بقیه اینگلیسی .... والی آخر

در کل فکر می کنم برنامه خوبی باشه و با کارایی خوبی.:تشویق:ولی متاسفانه نکات کوچیک رو بهش توجه نکردید.
بستن همه ی پردازش ها باعث میشه که برنامه ها مثلا بدون اینکه save بشن ، بسته بشن که خوب درست نیست.
کاربر خوشش نمیاد عکس روی دسکتاپ غیب بشه و خیلی چیزای دیگه.
امیدوارم از ایراداتی که به برنامه گرفتم ناراحت نشده باشید.
موفق باشید.

سلام و ممنون دوست عزیز
در مورد ظاهر برنامه چشم
خدمت شما و همه دوستان عرض میکنم چون برنامه ساده بودش براش آموزش قرار ندادم
چون خیلی آسونه و قبلش کلی پیغام میده که آیا می خواهید برنامه اجرا بشه و شما گفتید بله و باید آماده ویروس کشی باشید و لطفا صبر کنید تا برنامه کارش رو به پایان برسونه و بازهم در جعبه پیغامش میگه در حال بستن برنامه های و پروسه ها هستش و لطفا کمی صبر کنید و باز هم عرض میکنم دلیلی نمیبینم که کاربر در زمانی که ازش خواسته شده هیچ کاری نکنه چه نیازی به حرکت دادن ماوس اجرای بازی و تایپ تویه ووورد و ... باشه ؟!!
من که برای برنامه پیغام کافی گذاشتم
درضمن بازهم ممنون
و در پنجره پیغام ها کلی پیغام میده که داره پروسه های غیر سیستمی بشه میشه و صبر کنید و بعد درحال حذف پوشه های اضافه و ... و تمیز کردن ریجستری و ... هستش
نمیدونم چرا یهو سیستم رو ریست کردین ؟ مگه شما وقتی دارین با نود کار میکنین !! یهو ریست میکنن ؟ :قهقهه: البته بلا تشبیه چون برنامه من خیلی قوی تر از اونه :قهقهه:
حالا خوبه ویندوزتون نپرید ... چون در حال تمیزکردن ریجستری بودش (و پیغام میده که باید تا پایان کار صبر بفرمائیدا )
باز هم ممنون از نظرتون .
راستی عکس دستکتاپ یه ویروس کوچولو بهتون میدم که تستش کنن و ببینین چه بلایی سر دسکتاپ میاره ... البته نظر خوبیه که عکس حذف نشه ولی حذف عکس برای تروجانهایی که عکس خودشون را روس دسکتاپ میزارن درنظر گرفته شده و البته و 100 البته سرعت سیستم هم با حذف شدن عکس دسکتاپ تغییر میکنه
چشم
ولی لطفا به تروجان و نه ویروس گرفتین هم یه تستی بفرمائید ببینین کارآیی داره و به نظر شما همش انگلیسی بشه بهتره یا همش فارسی ؟
یا هردو و یه گزینه برای تغییر زبان بزارم ؟
و اینکه پیغامهای فارسی ( بخاطر عدم نمایش در همه سیستم ها - بعلت نداشتن فارسی درست حسابی ) بصورت عکس در بیاد بهتر نیست ؟
تا یکی مثل این دوست عزیزمون که پیغامها را نخونده و حتی 3 دقیقه صبر نکرد و ریست کرد چه کنم ؟؟؟
راستی فکر نکنم بیشتر از 5 دقیقه طول بکشه و اگر کارش درست انجام بشه بعد از راه اندازی خودکار سیستم دیگه در حافظه قرار نمیگیره
چون نیازی به بدونش در حافظه نیست و کافیه هر وقت سیستم شما آلوده شد اونو یه بار اجرا و 5 دقیقه صبر کنید

راستی عکس دستکتاپ یه ویروس کوچولو بهتون میدم که تستش کنن و ببینین چه بلایی سر دسکتاپ میاره ... البته نظر خوبیه که عکس حذف نشه ولی حذف عکس برای تروجانهایی که عکس خودشون را روس دسکتاپ میزارن درنظر گرفته شده و البته و 100 البته سرعت سیستم هم با حذف شدن عکس دسکتاپ تغییر میکنه


سلام علیکم
حذف شدن عکس میتواند خیلی ناخوشاید باشد مخصوصا" برای کاربرانی که ترجیح میدهند دسکتاپ دارای یک زمینه داشته باشند تا دسکتاپی فاقد هر گونه تصویر همانطور فکر نکنم لزومی به مخفی شدن تب دسکتاپ باشد



ولی لطفا به تروجان و نه ویروس گرفتین هم یه تستی بفرمائید ببینین کارآیی داره و به نظر شما همش انگلیسی بشه بهتره یا همش فارسی ؟
یا هردو و یه گزینه برای تغییر زبان بزارم ؟

به نظر بنده از هر دو زبان استفاده کنید بهینه تر است



و اینکه پیغامهای فارسی ( بخاطر عدم نمایش در همه سیستم ها - بعلت نداشتن فارسی درست حسابی ) بصورت عکس در بیاد بهتر نیست ؟

تبدیل پیام ها به تصویر میتواند حجم برنامه را افزایش دهد و همینطور سرعت اجرای برنامه را نیز کاهش دهد،

موفق باشید

سلام خدمت شما-
باز هم عرض میکنم دلیلی نمیبینم که کاربر در زمانی که ازش خواسته شده هیچ کاری نکنه چه نیازی به حرکت دادن ماوس اجرای بازی و تایپ تویه ووورد و ... باشه ؟!! عزیز من ، قرار نبود من برم بازی کنم ، یا تو word تایپ کنم.! من می گم ماوس دیگه تکون نمی خوره! این یعنی مشکل. .کاربر این برنامه رو که می بینه ، سریعا اون رو پاک می کنه.! علت اینکه من کامپیوتر رو ریست کردم ، این بود که برنامه شما معلوم نبود داره چکار میکنه ، ماوس دیگه تکون نمی خورد و... خلاصه خیلی عصبانیم کرده بود! شما یک ProgressBar یا مثلا یک لیبل(label) در برنامه تون بزارید ، اینجوری کاربر می فهمه چقدر دیگه از عملیات برنامه تون مونده. این نظر بنده بود. راستی مگه حذف tab دسکتاپ زیر سر برنامه شما بود؟! گفتم خدایا این چرا اینجوری شد؟ چه نیازی به این کار بود؟ حالا میشه بفرمایید چجوری درستش کنم؟! در رابطه با زبان برنامه هم به نطر من انگلیسی بنویسید ، ولی یک help هم برای برنامه بزارید.

دلیلی نمیبینم که کاربر در زمانی که ازش خواسته شده هیچ کاری نکنه چه نیازی به حرکت دادن ماوس اجرای بازی و تایپ تویه ووورد و ... باشه ؟!!


قرار نبود من برم بازی کنم ، یا تو word تایپ کنم.! من می گم ماوس دیگه تکون نمی خوره! این یعنی مشکل. .کاربر این برنامه رو که می بینه ، سریعا اون رو پاک می کنه.! علت اینکه من کامپیوتر رو ریست کردم ، این بود که برنامه شما معلوم نبود داره چکار میکنه ، ماوس دیگه تکون نمی خورد و... خلاصه خیلی عصبانیم کرده بود!
سلام علیکم
احتمالا" برنامه از فرایندهایی استفاده میکند که ممکن است در صورت آزاد بودن موس این پروسه ها بسته یا مشاهده شوند و برنامه نتواند عملیات را با موفقیت به اتمام برساند


راستی مگه حذف tab دسکتاپ زیر سر برنامه شما بود؟! گفتم خدایا این چرا اینجوری شد؟ چه نیازی به این کار بود؟ حالا میشه بفرمایید چجوری درستش کنم؟!
برای برگرداندن تب به دو مسیر زیر مراجعه و داده "ClassicShell" را حذف کنید:
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\Explorer
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\policies\Explorer
البته در صورت اسکن دوباره مجددا" ورقه "Desktop" مخفی میشود

انتقادات دیگری هم است که در پست های قبل عرض شد؛

موفق باشید

سلام-
من به این مسیری که فرمودید رفتم ولی ClassicShell رو پیدا نکردم ، چرا؟
خیلی ممنون.

آخرش هم نگفتید ، با اون سایتی که دوستان معرفی کردند ، می تونینم به لیست همه ی ویروس ها دسترسی داشته باشیم؟

سلام علیکم
میتوانید داخل run نام gpedit.msc را وارد تا وارد محیط gpedit شوید سپس طبق تصویر زیر مقدار آیتم مشخص شده را بر روی disabled تنظیم کنید
در صورت مشکل مجدد آقا فرشید لطف کنند این مشکل را برطرف کنند

و یک پیشنهاد دیگر هم دارم برای آقا فرشید که شاید ترتیب اثر داده شود این است که بهتر است برای اینگونه تغییرات (قفل موس/صفحه کلید و حذف دسکتاپ و تنظیمات آن و سایر تغییرات غیر ضروری که در پست های قبل به آنها اشاره شد) از کاربر اجازه گرفته شود تا اینگونه نارضایتی ها پیش نیاید در غیراینصورت با اینکه زحمت زیادی در راه نوشتن این برنامه کشیده شده است کاربران آنرا به عنوان یک بدافزار تلقی میکنند که چند نمونه از نارضایتی ها را در همین تاپیک مشاهده میکنیم



آخرش هم نگفتید ، با اون سایتی که دوستان معرفی کردند ، می تونینم به لیست همه ی ویروس ها دسترسی داشته باشیم؟
ببخشید متوجه این قسمت از سوالتون نشدم (البته اگر مخاطب سوال بنده بودم)

موفق باشید
یاعلی

ببخشید متوجه این قسمت از سوالتون نشدم (البته اگر مخاطب سوال بنده بودم)یکی از دوستان یک سایتی رو معرفی کرده بود که می تونیم با لیست ویروس ها دسترسی داشته باشیم.(در تاپیک های قبلی)
برا همین این سوال را پرسیدم.


بازم نشد!
در مورد قسمت سمت راست پنجره ، یعنی اون جا که نوشته windows explorer. در کامپیوتر من فقط 1 آیتم هست.چرا؟

آخرش هم نگفتید ، با اون سایتی که دوستان معرفی کردند ، می تونینم به لیست همه ی ویروس ها دسترسی داشته باشیم؟

نمیشه گفت همه ویروس ها



در مورد قسمت سمت راست پنجره ، یعنی اون جا که نوشته windows explorer. در کامپیوتر من فقط 1 آیتم هست.چرا؟
ممکن است داده های این بخش حذف شده باشد، چک کنید در مسیر زیر بایستی 5 فایل حاوی داده های gpedit باشد (البته در ویندوز xp):
%windir%\system32\GroupPolicy\Adm


موفق باشید

بله-
5تا فایل هست.

دوست عزیز معذرت اگه بد حرف زدم
منظورم این بود که کاربر تا پایان عملیات برابر پیغامی که داده شده نباید کاری انجام بده چون اجرای هر برنامه دیگر ممکنه تروجانهایی که با اجرا شدن فایلهای exe اجرا میشن ( چون میدونید که یه قسمت از ریجستری هستش که میتونین توش یه تغییری بدین و بهش بگین مثلا هر برنامه exe اجرا شد اول تروجان عزیز اجرا بشه بعد برنامه ای هم که میخواسته اجرا بشه ) را دوباره به تسک بیاره و این یعنی بی فایده شدن عملیات پاکسازی
درضمن من در زیر برنامه یه لیست باکس بزرگ گذاشتم که میتونید مراحل انجام کارو ببینید !!!
یعنی واقعا شما او لیست باکس رو ندیدن ؟ و درضمن بعد از کلیلک روی گزینه Mini cleaner یه پیغام داد که حتما اونو خوندین !!!؟
خوب من به خاطر نظر این دوست عزیز یه تغییری در ظاهر برنامه دادم و مشکل برداشتن عکس هم حل کردم
راستی سعی کردم پیغام ها فارسی و در عکس و شک بر انگیز نباشه فقط باید لطف کرد و خوندشون ... همین
بازهم نظرات شما رو پذیرا هستم

http://s1.picofile.com/file/6677108648/fav_Small_.jpg
این هم تصویر برنامه
http://s1.picofile.com/file/6677108648/fav_Small_.jpg

:قهقهه:
ممنون از همه دوستان عزیزم
لطفا به وب من سر بزنید لینکش اونجا هستش

http://antitrojan.vcp.ir (http://antitrojan.vcp.ir/)

مشکلات گفته شده حل شد ولی من فکر کنم اگه صفحه کلید و ماوس فعال بشه . کاربر بیکار نشینه و شروع به کلیک حراب کاری کنه
مثلا برنامه اسکن دیسک اول ویندوز رو دیدین ؟
خوب چرا وقتی 9 ثانیه زمانی که به شما وقت میده تا از اسکن دیسک کردن در ابتدای ویندوز را کنسل کنید ولی بعد اینکه کاربر به ویندوز اجازه چک کردن دیسک رو میده دیگه نمیشه به هیچ عنوان کنسلش کرد
و هیچ پروگرس خاصی هم نداره . البته میتونم برای اطلاع کاربر بگم چند مرحله دیگه باقی مونده
مثلا الان در مرحله 1 هستیم از 10 مرحله و درحال بستن تسکها هستم
مرحله 2 پاک کردن temp
مرحله 3 اصلاح ریجستری
مرحله 4 پاک کردن استارت آپها
مرحله 6 غیر فعال کردن سرویسهای مزاحم
مرح.... و الی آخر ... نظرتون چیه ؟
راستی مکل حذف شدن tab desktop
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\policies
کلید system را به راحتی و با خیال راحت حذف کنید و یه log oof va log in بفرمائید مشکل حل میشه . البته در برنامه هم این مشکل حل شده
خدا وکیلی وقتی ویندوزتون توسط تروجان ترکیده و 100 قسمتش غیرفعال شده . بهتر نیست با یه چنین برنامه ای مشکلاتش حل بشه یا بهتره بریم و ویندوز عوض کنیم
البته من که خودم از ایمیجtrue image استفاده میکنم ولی باور کنید خیلی جاها بدردم خورده ولان بعضی از دوستام راحت دارن باهاش کار میکن البته باید یکم به پیغام هاش توجه کرد
بازهم نظر بدین خوشحال میشم و چه جوری میتونم از نظرات بقیه بچه هایی که تویه سایت هستن هم استفاده کنم ؟

باور کنید بنده هدفم جز کمک به برنامه شما و ارتقاء اون ، چیزی دیگری نیست.همچنین بقیه دوستان.
البته خودتون بهتر می دونید ، ولی بهتون گفتم ظاهر برنامتون رو استاندارد بکنید.با این عکسی که از ظاهر برنامه تون گذاشتید ، نه تنها بهتر نشده بلکه بدتر هم شده!
هیچ نیازی نیست که برنامتون زیبا باشه.مهم فقط کارایی هست.شما فعلا فقط می بایست از لحاظ امکانات ، برنامه رو ارتقاء بدید و در ورژن های بدی برسید به ظاهر و....
برنامه شما می بایست بصورت realtime کار کنه.یعنی در صورت ورود برنامه مخرب همون لحظه بتونه اون رو شناسایی کنه.
این قسمتی هم که الان هست باید تحت عنوان manual scan باشه.
البته اگه بتونید!
که اگر بتونید ، برنامه تون به یک برنامه حرفه ای نزدیک تر میشه.
بخش هایی تحت عنوان تنظیمات و... به برنامتون اضافه کنید.
نوار پیشرفت رو حتما به برنامتون اضافه کنید.
بنده چون خودم می خواستم یه آنتی ویروس طراحی کنم ، به این موارد خیلی توجه می کردم.حالا شما خودتون بهتر می دونید.
ضمنا من هر وقت می خوام وارد هر سایتی بشم با این که تیک "مرا به خاطر بسپار" رو زدم بازم از من پسورد می خواد.چرا؟
یا علی.

باز هم ممنون
دوستان یه راه حل برای پاک نشدن پوشه autorun.inf برای من پیدا کنید که بتونم پوشه ای بسازم که نشه پاک کردش
مثلان اگه با برنامه Panda vaccin کار کرده باشین این کارو انجام می دهد
save نشدن برنامه شما هم به خاطر داشتن برنامه ( احتمالا ccleaner ( باشه یا اگه با اینترنت اکسپلورر کار میکنین باید از
internet option > content > auto complate > setting > user name and password on form
را تیک بزنید مشکل انشاء الله حل میشه و موقع خالی کرد temp های اینترنت اکسپلورر پسورهای ذخیره شده را خالی نکنید
درضمن از گذاشتن پیغام های فارسی بصورت متن بی خیال شدم ( چون روی بعضی ویندوزها کار نمی کنه )
راستی برنامه من real time نیست چون عرض کردم نیازی نمی بینم که این کارو بکنم چون اصلا برنامه من بانکی نداره تا بتونه تشخیص بده که این برنامه که می خواد اجرا بشه ویروسه ؟ کرم , تروجان .... چون با کمک این برنامه هر نوع تروجانی و کرمی که در حافظه هست را خارج و استارت آپ ها برداشته می شن
البته به همین سادگی که فکر میکنین هم نیست
هرچند نمی گم نمیشه نوشت . چون من که نوشتم و شما اساتید که تویه 3 سوت مینویسین ولی باور کنین برای نحوه انجام این کارهای به ظاهر ساده چند سالی وقتم رو گرفت و با روش آزمایش و خطا به این نتیجه نیمه نهایی رسیدم
1- نظرتون چیه یه بانک به برنامه من اضافه کنم که اگه مثلا فایلی با تاریخ تولید خاص و حجم خاص به بانکش اضافه بشه در جستجوی قمت Worm Finder این فایلها را هم جستجو کنه و چون فقط یه تاریخ و یه حجم هستش فکر کنم بانکش حجم زیادی نداشته باشه
2- و نظر بعد اینکه برنامه رو به VB.net اسباب کشی کنم ( البته به تمام جوانبش فکر کنید )
مثلا الان برنامه به راحتی قابل اجرا در همه سیستم ها هستش ( بدون نیاز به فایلهای پر حجم مثل frame work , ... )
هرچند برنامه ضعفهایی هم داره که در vb .net راحت تر حل میشه مثل بستن پروسه های systemi و پروسهای قوی و من هم بیشتر به خاطر همین میخوام جابجاش کنم
3- یه کمکی از دوستان که برنامه نویسی برای 64-biti انجام دادن ... میتونم به راحتی برنامه رو برای win7 تغییر بدم یا خیلی کار میبره ؟
مثلان برنامه من با خودش cmd , regedit , msconfig و ... را همراه میکنه که برای ویندوز 7 حتما باید فایلهای خودش کنارش باشه ولی سوالم اینه که ریجستری ویندوز 7 خیلی فرق میکنه ؟ مثلا run , runonce , startup , ... جاهای اجرای برنامه در ریجستریش خیلی فرق میکنه مثلا اگه بخواهیم گزینه run را از استارت برداریم یا فعال کنیم یا .... مثل ویندوز xp هستش ؟؟...
ممنون از دوستان
و به نظر شما میشه این برنامه را در اختیاز همه قرار داد یا هنوز باگش زیاده ؟
و اینکه میشه به نام خودم ثبتش کنم ؟یا عرضشش رو نداره ؟
:گریه:

راستی برنامه برای قفل کردن autorun.inf
http://s1.picofile.com/file/6516922532/Panda_USBVaccine_vatandownload_com_.rar.html
پسوردش هم farshid
ببینین حتی با Unlocker هم نمیشه حذفش کرد و فقط format حتی روی fat32 یا ntfs هم به درستی کار میکنه . جالبه و نفهمیدم که چه جوری اینکارو میکنه و جالبه که برای قفل کردن پوشه autorun.inf در یک درایو برای اولین با شاید 30 ثانیه هم طول بده . پس حتما داره کار وقت گیری انجام میده !!

درضمن از گذاشتن پیغام های فارسی بصورت متن بی خیال شدم ( چون روی بعضی ویندوزها کار نمی کنهپس یه راهنمای فارسی در کنار برنامه قرار بدید.

راستی برنامه من real time نیست چون عرض کردم نیازی نمی بینم که این کارو بکنم چون اصلا برنامه من بانکی نداره تا بتونه تشخیص بده که این برنامه که می خواد اجرا بشه ویروسه ؟ کرم , تروجان .... چون با کمک این برنامه هر نوع تروجانی و کرمی که در حافظه هست را خارج و استارت آپ ها برداشته می شن

یعنی برنامه شما بدون هیچ حدسی اقدام به شناسایی تروجان می کنه؟
به نظر من تکنیک خوبی نیست.
اینکه ما بیایم و همه برنامه ها رو از startup حذف کنیم ، به نظر من درست نیست.
یعنی برنامه شما اصلا تروجان رو حذف نمی کنه؟!!
شما بهتره با تکنیک های هوش مصنوعی آنتی ویروس ها آشنا بشید.اینجوری می تونید امکاناتی که گفتم رو به برنامه تون اضافه کنید ، و همینجوری هم بی دلیل برنامه ها رو از startup حذف نمی کنید و براساس یک منطق درست و حسابی اقدام به شناسایی تروجان ها می نمایید.
از تکنیک re sourcing هم می تونید استفاده کنید ، ولی فکر کنم خیلی سخته ، اگه دوستان در این زمینه اطلاعاتی دارند لطفا بفرمایند تا بقیه هم استفاده کنند.
-
نظرتون چیه یه بانک به برنامه من اضافه کنم که اگه مثلا فایلی با تاریخ تولید خاص و حجم خاص به بانکش اضافه بشه در جستجوی قمت Worm Finder این فایلها را هم جستجو کنه و چون فقط یه تاریخ و یه حجم هستش فکر کنم بانکش حجم زیادی نداشته باشه
اینجوری که بازهم برنامه باید به روز بشه!
ضمن اینکه این اطلاعات از یه کرم کافی نیست.

نظر بعد اینکه برنامه رو به VB.net اسباب کشی کنم ( البته به تمام جوانبش فکر کنید (
اگه منابع در موردvb.net زیاد باشه فکر خوبیه ، البته اگه حوصلش رو داشته باشید.

و به نظر شما میشه این برنامه را در اختیاز همه قرار داد یا هنوز باگش زیاده ؟
اتفاقا به وبسایتتون اومدم ، و می خواستم همین نکته رو بهتون بگم.
نه ، به نظر من هنوز زوده.برنامه اصلا شبیه یه برنامه حرفه ای نیست.
ولی انشاا... میشه.

و اینکه میشه به نام خودم ثبتش کنم ؟یا عرضشش رو نداره ؟ اگر برنامه خوبی باشه ، چرا که نه
بنده متاسفانه نمی دونم برنامه شما چه جوری کار می کنه ، والا شاید می تونستم راهنماییتون کنم
یا علی