سلام
کسی کد این ویروس معروف رو که فولدر ها رو مخفی می کنه و یه فایل با نام همون فولدر می سازه رو داره ؟!!!
اگه چیزی شبیه به اون هم دارید دریغ نکنید
فقط می خوام بدونم چه جوری فایل ها رو مخفی می کنه که حتی وقتی ویندوز رو هم عوض می کنیم از حالت مخفی خارج نمی شن . ؟؟؟

من خودم این ویروس رو گرفته بودم ، تونستم خود ویروس رو پاک کنم ولی هر کاری می کنم نمیشه فولدر هایی که این نامرد مخفی کرده رو به حالت اولشون برگردونم - اعصابم داغون شده - اگه کسی می تونه به من کمک کنه !

--------------------------------------------------------------------------------------------
نام فایل : services.exe
محل اختفا : C:\Documents and Settings\Administrator\Local Settings\Temp
آدرس ریجستری :
HKEY_LOCAL_MACHIN\SOFTWAR\Microsoft\Windows NT\CurrentVersion\Winlogon
با نام shell از نوع string

در ضمن آیکونش هم شکله یک فولدره (که خیلی استادانه طراحی شده) ! :متعجب:

از مسولین خواهش می کنم این پست رو پاک نکنن چون مطمئنم این ویروس رایانه ی خیلی ها رو آلوده کرده و بقیه هم مشکل منو دارند :گریه:

سلام من این ویروس رو چندین و چند بار گرفتم.
ولی اصلاً نیازی به نصب مجدد ویندوز نیست.
نحوه کار این ویروس به این صورت میباشد که :
اول میاد خودش رو به نام فایلهایی که در یک فولدر هست درمیاره منتها با اکستنش exe و آیکون فولدر.
سپس به وسیله windows policy برنامه های regedit و cmd و msconfig و taskmanager رو از کار می اندازد(گاهی اوقات هنگام استفاده از دستور cmd کامپیوتر را ریستارت هم میکند) در قسمت folder option گزینه view رو مخفی میکند.
و اجازه دسترسی به بعضی از گزینه های مدیریتی رو بطور کامل از بین میبرد.
ولی من با این مشکلی که شما برخورد کرده اید تاکنون برخورد نداشتم یعنی مخفی کردن فولدرها به گونه ای که سیستم عامل هم نتواند آنها را تشخیص دهد؟؟؟؟
با یه نرم افزار third party که مخصوص file manager هست هاردتو رو چک کن ببین اصلاً فولدرهایی که میگی وجود داره یا نه؟
شاید این نسخه ای که شما میگی یه نسخه جدید از این ویروس هست.
روز خوش

من تا حالا باین ویروس برخورد نداشتم، اما نمونه های اون رو دیدم.
فکر نمی کنم بعد از حتی عوض کردن سیستم نتوان فایلها و فولدر های مخفی را آشکار کرد.
احتمالا شما بعد از اینکه سیستم عامل را عوض کرده اید دوباره روی کپی هایی از آن که در دریاو ها و پوشه های دیگر ساخته می شود کلیلک کرده اید و آنرا دوباره به کار انداخته اید.
راه شناسایی اون همونه که خودتون گفتید : آیکونی با شکل فولدر.
با حالت safe mode ویندوز را اجرا کنید و از طریق msconfig آنرا از حالت استارتاپ خارج کنید.
سپس هر فولدری که پسوند exe دارد را در کامپیوترتان در تمام پوشه ها و فولدر ها پاک کنید.
اما با اینحال باز هم احتمال این را بدهید که ممکن است تمام کپی های آنرا پاک نکرده باشید

متاسفانه یکی از نقاط ضعف ویندوز شده راه گشای ویروسها . تازگیها مد شده هر چی ویروس پیدا می شه خودشون رو همنام با پروسسهای سیستمی ویندوز معرفی میکنند . برای همین هم نمیشه از کار انداختشون .
کاری هم که این ویروس انجام می ده این که به فولدرهایی که مخفی می کنه علاوه بر خصلت hide خصلت سیستمی هم می ده کافی بود شما بعد از عوض کردن ویندوز در قسمت Folder Option گزینه مربوط به عدم نمایش فایلهای سیستمی رو غیر فعال می کردید . (البته به قول دوستان نیاز به عوض کرن ویندوز نبود ) .

سلام من این ویروس رو چندین و چند بار گرفتم.
ولی اصلاً نیازی به نصب مجدد ویندوز نیست.
نحوه کار این ویروس به این صورت میباشد که :
اول میاد خودش رو به نام فایلهایی که در یک فولدر هست درمیاره منتها با اکستنش exe و آیکون فولدر.
سپس به وسیله windows policy برنامه های regedit و cmd و msconfig و taskmanager رو از کار می اندازد(گاهی اوقات هنگام استفاده از دستور cmd کامپیوتر را ریستارت هم میکند) در قسمت folder option گزینه view رو مخفی میکند.
و اجازه دسترسی به بعضی از گزینه های مدیریتی رو بطور کامل از بین میبرد.
ولی من با این مشکلی که شما برخورد کرده اید تاکنون برخورد نداشتم یعنی مخفی کردن فولدرها به گونه ای که سیستم عامل هم نتواند آنها را تشخیص دهد؟؟؟؟
با یه نرم افزار third party که مخصوص file manager هست هاردتو رو چک کن ببین اصلاً فولدرهایی که میگی وجود داره یا نه؟
شاید این نسخه ای که شما میگی یه نسخه جدید از این ویروس هست.
روز خوش

نه این ویروسی که شما می گید سطحش خیلی پایینه !
با ویروسی که من گرفتم فرق می کنه !

من تا حالا باین ویروس برخورد نداشتم، اما نمونه های اون رو دیدم.
فکر نمی کنم بعد از حتی عوض کردن سیستم نتوان فایلها و فولدر های مخفی را آشکار کرد.
احتمالا شما بعد از اینکه سیستم عامل را عوض کرده اید دوباره روی کپی هایی از آن که در دریاو ها و پوشه های دیگر ساخته می شود کلیلک کرده اید و آنرا دوباره به کار انداخته اید.
راه شناسایی اون همونه که خودتون گفتید : آیکونی با شکل فولدر.
با حالت safe mode ویندوز را اجرا کنید و از طریق msconfig آنرا از حالت استارتاپ خارج کنید.
سپس هر فولدری که پسوند exe دارد را در کامپیوترتان در تمام پوشه ها و فولدر ها پاک کنید.
اما با اینحال باز هم احتمال این را بدهید که ممکن است تمام کپی های آنرا پاک نکرده باشید


سلام
بعد از اینکه به این ویروس آلوده شدم توی رجیستری یه سرچ زدم و مسیری که ویروس خودش رو از اونجا اجرا می کرد رو پاک کردم . و ویروس از کار افتاد
ولی فولدر هام هنوز مخفی بودن و بجاشون یه فایل اجرایی گذاشته شده بود
فایل اجرایی ها رو پاک کردم و ویندوز رو هم عوض کردم .
ولی باز هم درست نشد .
ویروس از بین رفته ولی فولدر هام هنوز مخفین !
--------------------------------------------------------------------
گفتم شاید یه تغییراتی تو رجیستری داده باشه که فولدرها مخفی شدن ، ولی همون طور که گفتم با تعویض ویندوز هم فولدر ها از حالت مخفی در نیومدن . چیکار کنم ؟؟؟!! :عصبانی++:

متاسفانه یکی از نقاط ضعف ویندوز شده راه گشای ویروسها . تازگیها مد شده هر چی ویروس پیدا می شه خودشون رو همنام با پروسسهای سیستمی ویندوز معرفی میکنند . برای همین هم نمیشه از کار انداختشون .
کاری هم که این ویروس انجام می ده این که به فولدرهایی که مخفی می کنه علاوه بر خصلت hide خصلت سیستمی هم می ده کافی بود شما بعد از عوض کردن ویندوز در قسمت Folder Option گزینه مربوط به عدم نمایش فایلهای سیستمی رو غیر فعال می کردید . (البته به قول دوستان نیاز به عوض کرن ویندوز نبود ) .


نه بابا اگه به همین سادگی ها بود که مزاحم شما نمی شدم
این راهی که شما میگید رو 100 بار رفتم ولی باز هم فولدر ها مخفین مخفی مخفی !! :عصبانی++:

وقتی هم از درایوم properties می گیرم دقیقاً مشخصه که فولدر ها وجود دارن ولی مخفی هستند . حجمشون همون حجم قبل از آلوده شدنه !

آقا اصلاً می خوایید ویروس رو آپلود کنم بررسیش کنید !؟؟

هر کی جونه کامپیوترش رو نمی خواد بگه آره

اپلود کن ببینم اسمش چیه؟

نمی دونم این persiangig چه مرگش شده

آپلود کن

سیستم من می میره برا تست ویروسااااا ، فک نمی کنم همچین چیزی امکان داشته باشه

اگر مدیران اجازه میدن بفرستش هیمنجا

این راه حل فوق العاده همین الان یادم اومد،
اگر دو تا ویندوز رو سیستمت نصب کردی با ویندوز دوم اینکار رو بکن.

در ضمن من هنوز شک دارم، شما بین فولدر خودتون و ویروسه فرق قائل شده باشید.
آخه چجوری میشه فولدر (و نه فایل) رو سیستمی کرد؟

پاک کردن این ویروس خیلی راحته ! هیچ اطلاعاتی از دست نخواهد رفت دوستان به روش از بین بردنش اشاره کردن اما برای جلوگیری از بحث از اول می گم :
جدیدا بین ویروسها مد شده که نمی زارن برنامه هایی شبیه : comand prompt - task maneger- reedit -msconfig ,.... بخصوص نرم افزار های نصب ویروس یاب اجرا بشن .بدیهیه که ویروس ها خودشون یه نرم افزارن و باید از یه جا ران بشن و برن تو حافظه . این کار معمولا با رجیستری و فایلهای استارت اپ ویندوز انجام میگیره . تو حالت safe mode اینها فایلها بارگذاری نمیشن . پس از safe mode این فایلها رو از استارت اپ بر میدارم . (معمولا این ویروس ها از قسمت استارت اپ msconfig بالا می آن ) خوب بعد از اون ویندوز رو ریستارت کنید و با یه ویروس یاب معمولی که حالا نصب میشه اونو از بین ببرید . اما برای پوشه های مخفی شده : این پوشه ها خاصیت سیستمی گرفتن که باعث میشه شما نتونین اونا رو به حالت اول در بیارین اما با دستور attrib که یادگار داس خدا بیامرز هستش این کار امکان پذیره از این دستور به حالت زیر استفاده کنین
atrrib -r -a -s -h drive:\file path
برای دیدن پوشه ها هم از dir عزیز به این حالت استفاده کنید برای اطلاعات بیشتر در مورد این دستور هم به راهنمای خودش سر بزنید
اما در مورد برگردوندن فولدر آپشن . این مورد و یادم نیست با تغییر کدوم قسمت برمیگشت یه چک می کنم و همینجا اضافه می کنم .
راستی بعضا این ویروسهای عزیز میآن خودشونو جای فایلهای ویندوز جا می زنن .مثلا یه موردش که منو یه لحظه به اشتباه انداخت اسم خودشو گذاشته بود windows explorer . یه چیز رو یادتون باشه ویندوز نمی آد از استارت اپ که بعد از لود اکسپلورر که تقریبا از آخرین قسمتهای مورد بارگذاریه سرویس های خودشو لود کنه . اونم یه چیزی مثل خود اکسپلورر ...

راستی بعضا این ویروسهای عزیز میآن خودشونو جای فایلهای ویندوز جا می زنن .مثلا یه موردش که منو یه لحظه به اشتباه انداخت اسم خودشو گذاشته بود windows explorer . یه چیز رو یادتون باشه ویندوز نمی آد از استارت اپ که بعد از لود اکسپلورر که تقریبا از آخرین قسمتهای مورد بارگذاریه سرویس های خودشو لود کنه . اونم یه چیزی مثل خود اکسپلورر ...

این راهی که شما میگید رو 100 بار رفتم ولی باز هم فولدر ها مخفین مخفی مخفی !! :عصبانی++:
وقتی هم از درایوم properties می گیرم دقیقاً مشخصه که فولدر ها وجود دارن ولی مخفی هستند . حجمشون همون حجم قبل از آلوده شدنه !
ببینید. ویروس نویسها سیستم عامل رو حفظ حفظن برای همین من اونا رو بیشتر از هکرها توی برنامه نویسی قبول دارم . اونا دقیقا میدونن وقتی کسی تنظیمات برنامشون رو بهم ریخت چه کار کنند . مثلا اونا از طریق ایجاد یک کلید در رجیستری باعث میشن هر چی تنظیمات در قسمت Folder Option انجام میشه تغییرات اعمال نشن و دوباره به حالت اول برگرده . بعضی هاشون اصلا گزینه Folder Option رو ازبین می برن . جهت اطلاع بعضی دوستان باید عرض کنم بیشتر تغییرات در این دو مسیر رجسیتری اعمال می شه :

[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Policies]


-------------------------
در ضمن فکرکنم فرصت خوبی باشه تا دوستان تجربیات خودشون رو در مورد از بین بردن ویروس بدون نرم افزارهای انتی ویرویس بیان کنند

من خودم بیشتر این ویروس ها بدون انتی ویروس از پا در اوردم به جز یکیشون که واقعا اشکمو در اورد . اسمش Bron.Tak .بدی این ویروس یا بهتره بگم Worm اینه که خیلی سریع خودشو انتشار میده (حتی توی شبکه داخلی)
این ورم حالت Safe Mode این جور چیزا حالیش نیست کافیه بخواید از یکی از ابزارها ( Regedit -Msconfig- Command Prompt) استفاده کنید سریع سیستم رو ریست میکنه نمی دونم تا حالا کسی تونسته اونو بدون انتی ویروس بکشه یا نه .:متفکر:

ابتدا بگویم این کاری از جناب MB_Danger از فروم پی سی ورلد است

در زیر به برخی از ویژگی های این ویروس اشاره می کنم :
1 . Folder Options را حذف می کند !
2 . Registry Tools را قفل می کند !
3 . Task Manager نمی تواند فایل های مربوط به این ویروس را End کند !
4 . پس از اجرا شدن ، محتویات My Documents را نمایش می دهد !
5 . اگر در کادر محاوره ای Run عبارت CMD ، Regedit ، msconfig ، Regedt32 را تایپ کنید ، سیستم بلافاصله Restart می شود !
6 . اگر روی گزینه ی Log Off یا Turn Off Computer کلیک کنید ، سیستم Restart می شود !
7 . آیکون این ویروس نیز مانند New Folder.exe شبیه آیکون یه پوشه س !
و ...
============================
همونطور که می دونید فایل های lsass.exe ، winlogon.exe و services.exe از فایل های سیستمی بوده و همیشه در حال اجرا هستند ...
اگر شما برنامه ی Process Master را اجرا کنید ، می بینید که این فایل ها در پوشه ی System32 قرار دارند .
اما اگر ویروس BronTok.A روی سیستم شما نصب باشد ، خواهید دید که سه تا فایل دیگه با همین نام ها در حال اجرا هستند !!
یعنی دو تا winlogon.exe ، دو تا lsass.exe و دو تا services.exe !
اما به راحتی میشه فهمید که کدوما ویروسن و کدوما فایل اصلی ویندوز ...
اون سه تا فایلی که مربوط به ویروس میشن ، در پوشه ای غیر از System32 قرار دارن .
مسیر دقیقشون میشه :


C:\Documents and Settings\MB_Danger
\Local Settings\Application Data

C نام همان درایویست که ویندوز در آن نصب گردیده و MB_Danger نام کاربری است که ویروس در آن اجرا شده ...
بعد از اینکه با نرم افزار Process Master متوجه شدید که کدوما ویروسن ، باید اون ها رو Kill process کنید .
اگر احیانا فایل های دیگری با نام های inetinfo.exe ، csrss.exe و smss.exe نیز در حال اجرا بودند آنها را هم Kill process کنید .
البته به شرطی که مسیرشون غیر از System32 باشه ...
حالا وقتشه که از نرم افزار Kill BronTok.A استفاده کنید .
پس از اینکه نرم افزار Kill BronTok.A کارش تموم شد ، اون رو ببندید و به منوی Start برید و روی گزینه ی Search کلیک کنید .
در سمت چپ روی گزینه ی All files and folders کلیک کنید .
در فیلد All or part of the file name عبارت Empty.pif را تایپ کنید و از روی کیبرد کلید Enter را فشار دهید .
اکنون تمام فایل های پیدا شده را پاک کنید .
دوباره در فیلد مذکور عبارت زیر را تایپ کنید و از روی کیبرد کلید Enter را فشار دهید .


*.scr,*.exe

اکنون از بین فایل های پیدا شده ، هر فایلی که آیکونش شبیه آیکون پوشه بود رو پاک کنید .

مجددا در فیلد All or part of the file name عبارت زیر را تایپ کنید و از روی کیبرد کلید Enter را فشار دهید .


*.job

تمام فایل های پیدا شده را پاک کنید .

باز هم در فیلد فوق الذکر عبارت Bron را تایپ کنید و از روی کیبرد کلید Enter را فشار دهید .
اکنون تمام فایل ها و پوشه های پیدا شده را پاک کنید .
اکنون با خیال راحت کامپیوترتان را Restart کنید .

نکته :

اگر ویندوزتان بیشتر از یک کاربر دارد ، باید تمام عملیات فوق را در همه ی کاربرها انجام دهید .

حالا وقتشه که از نرم افزار Kill BronTok.A استفاده کنید .
ببین دوست عزیز منظور من این بود که تمام کارهاش رو خودمون انجام بدیم . اگه بنا به استفاده از نرم افزاره که تو 3 سوت Kasper Sky اونو از بین می بره . مهم اینه که کاری رو که این نرم افزار Kill BronTok.A انجام میده خودمون به صورت دستی انجام بدیم . یا حداقل خودمون بتونیم برنامش رو بنویسیم . بازم می گم فقط با خود ابزارهای ویندوز .

من خودم بیشتر این ویروس ها بدون انتی ویروس از پا در اوردم به جز یکیشون که واقعا اشکمو در اورد . اسمش Bron.Tak .بدی این ویروس یا بهتره بگم Worm اینه که خیلی سریع خودشو انتشار میده (حتی توی شبکه داخلی)
این ورم حالت Safe Mode این جور چیزا حالیش نیست کافیه بخواید از یکی از ابزارها ( Regedit -Msconfig- Command Prompt) استفاده کنید سریع سیستم رو ریست میکنه نمی دونم تا حالا کسی تونسته اونو بدون انتی ویروس بکشه یا نه .:متفکر:

سلام من این ویروس رو میتونم بدون استفاده از آنتی ویروس از بین ببرم ولی نیاز به یک سیستم عامل دیگه دارم که عملاً کار جالبی نیست راه دیگه هم درست کردن یک یوزر دیگه هست (البته در xp) این کار باعث میشه شما از طریق یوزر دوم بتونی یه کارایی برای یوزر اول بکنی من هر دو روش رو تست کردم.
در کل این worm همنطور که subzero گفت یکی از وحشتناک ترین هاست واقعاً سیستم رو قفل میکنه و به هیچ عنوان نمیشه دستی جلوش رو گرفت.
به نظر من آنتی ویروسهایی مثل کاسپر و nod خودشون میان یک process لیست از تمام processهای جاری میگیرن و بعد بوسیله signature مربوطه اول proccess kill میکنند و بعد ویروس رو از بین میبرن و صد البته بعد از این عملیات شما حتماً باید دستی برای مثال خیلی از تغییراتی که ویروسی مثل bron.tak در سیستم داده رو اعمال کنی و الا سیستم عامل بدون ویروس هست ولی فلج هست و خیلی از گزینه ها کار نمیکنه.
به نظر من مایکروسافت با پیش کشیدن بحث policy در کامپیوترهای خانگی تنها کاری که کرده استفاده کننده رو به زحمت انداخته چراکه بحث policy هنگامی معنا پیدا میکنه که end user و یا حداقل یک کازبر ساده هیچگونه امکان برای تغییرات در اون رو نداشته باشه (حتی با برنامه نویسی) منظور اینهست که اصلاً در کامپیوترهای خانگی نیابید وجود داشته بلکه در سیستمهای client/server مانند win2003 + AD این بحث باید مطرح باشه(که هست) که میتوان سرور را از دسترسی یک کاربر ساده خارج کرد و اینکه خود سرور تعیین کننده policy هست و اینکه صحت و سلامت اون 99% گارانتی هست والا این بحث policy بر روی standalone workstation از نظر خیلی از کارشناسان امنیتی خنده دار هست مثل بحث +com بر روی یک کامپیوتری که برفرض مثال هیچ استفاده ای جز نرم افزارهای office و یا رومیزی ندارد.
(اینم یه نظر کارشناسانه :لبخند: )

سلام
دوستان از همتون ممنونم بلآخره فهمیدم این ویروس چیکار می کنه.
بعد از اینکه ویندوزم رو عوض کردم گفتم بذار ویروس رو یکبار دیگه اجرا کنم ببینم چه طوری فولدر ها مو باز می کنه . یه لحظه چشمم افتاد به نوار آدرس بالای پنجره ، همون جایی که آدرس جاری رو می نویسه . و دیگه تا ته راهو رفتم .
اومدم اسم فولدری که مخفی شده بود رو اونجا نوشتم دیدم به به باز شد و دیگه بقیه اش هم که کار نداشت ؛ اطلاعات رو انتقال دادم .

فقط یک نکته مهم :
فرض کنید شما یک پوشه توی درایو E با نام files دارید
به محضی که توی نوار آدرس درایو E کلید F رو بزنید اسم اون فولدر براتون نمایش داده می شه درسته ؟!
ولی وقتی من ، اول اسم ، فولدرمو می زدم اصلاً هیچ نشونه ای ازش نبود !
و وقتی اسمش رو کامل نوشتم و Enter زدم رفتم توی فولدره مخفی شده به همین راحتی !
راستی هنوز اون فولدر قبلیا مخفین و وجود دارن ولی اطلاعاتشون رو خالی کردم .

میگم این persiangig موقع آپلود کردن فایل ها رو چک می کنه ؟

این راه حل فوق العاده همین الان یادم اومد،
اگر دو تا ویندوز رو سیستمت نصب کردی با ویندوز دوم اینکار رو بکن.

در ضمن من هنوز شک دارم، شما بین فولدر خودتون و ویروسه فرق قائل شده باشید.
آخه چجوری میشه فولدر (و نه فایل) رو سیستمی کرد؟


سلام
عزیزم یک فایل application رو از یک فولدر تشخیص می دم ! (دیگه اینقدر هم ... نیستیم)

در ضمن این سوال رو هم من دارم که :
چجوری میشه فولدر (و نه فایل) رو سیستمی کرد؟

در کل ممنون که کمک کردی

ببین دوست عزیز منظور من این بود که تمام کارهاش رو خودمون انجام بدیم . اگه بنا به استفاده از نرم افزاره که تو 3 سوت Kasper Sky اونو از بین می بره . مهم اینه که کاری رو که این نرم افزار Kill BronTok.A انجام میده خودمون به صورت دستی انجام بدیم . یا حداقل خودمون بتونیم برنامش رو بنویسیم . بازم می گم فقط با خود ابزارهای ویندوز .

دوست عزیز Kill BronTok.A توسط جناب MB_Danger با VB 6.0 نوشته شده

در ضمن این سوال رو هم من دارم که :
چجوری میشه فولدر (و نه فایل) رو سیستمی کرد؟

Private Const FILE_ATTRIBUTE_SYSTEM = &H4

Private Declare Function SetFileAttributes Lib "kernel32.dll" Alias "SetFileAttributesA" (ByVal lpFileName As String, ByVal dwFileAttributes As Long) As Long

Private Sub Command1_Click()
SetFileAttributes "C:\New Folder", FILE_ATTRIBUTE_SYSTEM
End Sub

دوست عزیز Kill BronTok.A توسط جناب MB_Danger با VB 6.0 نوشته شده
منظور من اینه که برای ما روش کار یا الگوریتم این برنامه مهمه نه خود برنامه

نه بابا اگه به همین سادگی ها بود که مزاحم شما نمی شدم
این راهی که شما میگید رو 100 بار رفتم ولی باز هم فولدر ها مخفین مخفی مخفی !! :عصبانی++:

وقتی هم از درایوم properties می گیرم دقیقاً مشخصه که فولدر ها وجود دارن ولی مخفی هستند . حجمشون همون حجم قبل از آلوده شدنه !


دوست عزیز اینو یه امتحان بکن :

در رجیستری به مسیر زیر برو :


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\Advanced\Folder\Hidden\SHOWALL

مقدار CheckedValue رو به 1 تغییر بده

با دستور زیر می تونی هم فولدر و هم فایل رو سیستمی و مخفی کنی


Attrib +H +S Path

با دستور زیر می تونی هم فولدر و هم فایل رو سیستمی و مخفی کنی


Attrib +H +S Path

جناب romina2006 اگر با این کد شما به کمک تابع shell توی وی بی استفاده کنیم و مسیر هم فاصله داشته باشه جواب نمی ده ، بهتره از تابع SetFileAttribute استفاده شود

جناب romina2006 اگر با این کد شما به کمک تابع shell توی وی بی استفاده کنیم و مسیر هم فاصله داشته باشه جواب نمی ده ، بهتره از تابع SetFileAttribute استفاده شود

شما درست میگی اما اگه برنامه رو از کنار فایلی که میخواهیم اونو سیستمی کنیم اجرا کنیم دیگه مشکلی نیست فقط نام فایل نباید فاصله داشته باشه اما در کل اون تابع API راحتره !!!

جناب romina2006 اگر با این کد شما به کمک تابع shell توی وی بی استفاده کنیم و مسیر هم فاصله داشته باشه جواب نمی ده ، بهتره از تابع SetFileAttribute استفاده شود
نمی خواین بگین که دستورات cmd ویندوز مشکل دارن ؟؟؟؟:متفکر:
یه نیگاه به کد بندازین با فاصله هم کار می کنه ، یه روش دیگه هم هست ولی الان وقت نیس
با این روش همیشه کارتون را میوفته

Dim str As String

Private Sub Command1_Click()
str = """D:\New Folder\Visual Basic.pdf"""
Call Shell("attrib +h " & str, vbHide)
End Sub

آقا اصلاً می خوایید ویروس رو آپلود کنم بررسیش کنید !؟؟

هر کی جونه کامپیوترش رو نمی خواد بگه آره
آقا آپلود که نکردی ، عیبی نداره دیروز بالاخره پیداش کردم
امروزم تست کردم ، به خاطر خواسته ی دوست عزیز Sub Zero که خواسته بودن فقط از ابزارای خود ویندوز استفاده بشه ، نحوه ی پاک کردن اونو با ابزارای ویندوز اینجا می ذارم
حتی نیازی به Safe Mode هم نداریم .
پیشا پیش از کمک کسی که این ویروسو نوشته هم تشکر می کنم ، چون یه ابزارو یادش نبوده ببنده. حدس می زدم باز باشه
Microsoft Windows DOS
الان با خودتون حتما می گین اینو که اول از همه بسته، نه این با Command Prompt فرق میکنه
این همون Command.com خودمونه، که با وجود ویروس هم می تونیم ازش استفاده کنیم
برا شروع کار
Start => Run => Command.com
یا
Start => Run => Command


کدهای زیر رو درش یکی یکی تایپ کرده اجراش می کنیم، فایل bat بنویسیم راحتتره



reg delete "hklm\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /f /v Shell
reg delete "hklm\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /f /v Bron-Spizaetus
reg delete "hkcu\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /f /v Tok-Cirrhatus
del D:\DOCUME~1\USER\STARTM~1\PROGRAMS\STARTUP\Empty.p if

با این کار تمام گزینه های Startup ویروس حذف می شه ، بعدش Restart

دوباره با کدهای زیر فایلهای هسته ی ویروس رو حذف می کنیم و فعال کردن رجیستری و ...


del D:\DOCUME~1\USER\LOCALS~1\APPLIC~1\csrss.exe
del D:\DOCUME~1\USER\LOCALS~1\APPLIC~1\inetinfo.exe
del D:\DOCUME~1\USER\LOCALS~1\APPLIC~1\lsass.exe
del D:\DOCUME~1\USER\LOCALS~1\APPLIC~1\services.exe
del D:\DOCUME~1\USER\LOCALS~1\APPLIC~1\smss.exe
del D:\DOCUME~1\USER\LOCALS~1\APPLIC~1\winlogon.exe
del D:\WINDOWS\eksplorasi.exe /ah
del D:\WINDOWS\SHELLNEW\sempalong.exe /ah
reg delete "hkcu\Software\Microsoft\Windows\CurrentVersion\Pol icies\Explorer" /f /v NoFolderOptions
reg delete "hkcu\Software\Microsoft\Windows\CurrentVersion\Pol icies\System" /f /v DisableRegistryTools

فقط در همه ی این کدها به جای USER ، اسم یوزر سیستم آلوده رو می ذاریم.
بقیه ی فایلهایی که ویروس ایجاد می کنه ، بسته به هر سیستم فرق می کنه. اونارو هم با Search ساده پیدا کرده و حذف می کنیم.
سیستم ما الان کاملا پاک شده و اثری از ویروس نیس.

به نظر من مایکروسافت با پیش کشیدن بحث policy در کامپیوترهای خانگی تنها کاری که کرده استفاده کننده رو به زحمت انداخته چراکه بحث policy هنگامی معنا پیدا میکنه که end user و یا حداقل یک کازبر ساده هیچگونه امکان برای تغییرات در اون رو نداشته باشه (حتی با برنامه نویسی)
اونوقت ویندوز کاملا می شد یه اسباب بازی
ویروس نوشتن زیاد سخت نیس، همانطور که خرابکاری زیاد سخت نیس و همه می تونن ...
امیدوارم همیشه سیستمهای امنی داشته باشیم.

باتشکر فراوان از کاری که Adaman انجام دادند .

به اونایی که زیاد از ابزارهای خود ویندوز استفاده نکردن پیشنهاد میکنم توی برنامه Help And Support ویندوز
عبارت Command-line reference رو جستجو کنند و دستورات اون رو مطالعه کنند . به عنوان مثال وقتی یه ویروسی TaskManager شما رو قفل میکنه میتونید با دستور TaskList لیست پروسسهای فعال رو مشاهد کنید و یا برای غیر فعال کردن یکی از این پروسسها از دستور Taskkill استفاده کنید و یا کاری که جناب Adaman برای پاک کردن کلیدهای رجیستری با دستور Reg Delete انجام دادند .
بازم منتظر تجربیات دیگر دوستان در این زمینه هستیم .

آاونوقت ویندوز کاملا می شد یه اسباب بازی


سلام.
من یه سوال از شما میپرسم؟
شما از چه سالی با ویندوز آشنا شده اید؟(دو حالت داره یا شما تازه کار هستید و یا حداقل 7-8 سالی رو باید با ویندوز سروکله زده باشید که یه همچین جوابی رو میدید)
نکنه شما از اون دسته از کسانی هستند که از سال 1995 داشتند با ویندوز vista کار میکردنند:متفکر:
در ضمن تا قبل از اینکه ویندوز xp تولید شود بسیاری از شرکتهای بزرگ اعم از برنامه نویسی ، تولیدی و چاپخانه ها برروی اسباب بازی 98se کارخود را انجام میدادند و بسیاری از شرکتها از اسباب بازیی به نام apple macintosh به اسباب بازی 98/me به علت ارزانی شیفت کردند.
(پس با این اوصاف ما در عصر اسباب بازیهای با برنامه نویسی آشنا شده ایم و اینکه دانشمندان که از دهه 60 تا کنون در حال ساخت انواع و اقسام سیستم عامل (چه تحقیفاتی و چه کاربردی) هستند در حال ساخت اسباب بازی هستند :متفکر: )

امیدوارم که به یاد داشته باشید که تا ویندوز me چیزی به نام policy برروی ویندوز وجود نداشت (از ویندوز 98 ابزاری به نام policy manager قابل دانلود از سایت مایکروسافت بود ولی این ابزار برروی خود سیستم عامل integrated نبود)
سیستم عاملهای بسیاری چه در گذشته و چه در حال وجود داشته و دارند که از موهبتی به نام policy استفاده نمیکنند دلیل این امر خیلی ساده است ابزاری که ساخت شده ، برای یک کاربر معمولی میباشد نمونه این اسباب بازیها :
mac os X (ورژن خانگی و نه server)
من فقط یک چیزی رو اینجا بگم امکانات زیاد دلیل بر قدرت نیست بلکه در خیلی جاها ضعف یک سیستم به دلیل امکانات بیهوده ای هست که در آن وجود دارد و باعث خرابکاری کاربر میشود.
یک مثال ساده اگر در ماشین خود یک دستگاهی داشتید که بوسیله اون به راحتی میتوانستید سرسیلندرهای موتور و خیلی چیزها رو بدون باز کردن درکاپوت ماشین کنترل کنید مطمئمناً اگر شما ماشین رو خراب نمیکردید بچه شما و یا بچه همسایه اینکار رو برای شما انجام میداد.
(در ضمن permission با policy از زمین تا آسمون فرق میکنه لطفاً پست نزنید که به من این نکته رو گوشزد کنید)
در آخر قبل از نظر دادن بهتر از خوانده های خود استفاده کنید و نه از شنیده ها (خوانده ها هم بهتر است که از منابع معیتر باشد که دچار سردرگمی نشوید)

فک نمی کردم اون حرفم اینقدر به شما بر بخوره ، نکنه بیل گیس شماینننن؟؟


من یه سوال از شما میپرسم؟
شما از چه سالی با ویندوز آشنا شده اید؟(دو حالت داره یا شما تازه کار هستید و یا حداقل 7-8 سالی رو باید با ویندوز سروکله زده باشید که یه همچین جوابی رو میدید)

چون سواله جواب می دم ، با یه سیستم 386 با 4mb رم و ... و با ویندوز 3.1 (پیدا کنید سالش رو؟!!) و dos شروع کردم، اون موقع تازه کار بودم الانم تازه کارم ، دوس دارم همیشه تازه کار بمونم.

نکنه شما از اون دسته از کسانی هستند که از سال 1995 داشتند با ویندوز vista کار میکردنند:متفکر:
فک کنم شما قصد تمسخر دارید

اما جناب آقای netspc خدمتتون عرض کنم که :

end user و یا حداقل یک کازبر ساده هیچگونه امکان برای تغییرات در اون رو نداشته باشه (حتی با برنامه نویسی)
بودن یا نبودن Group Policy ملاک برای گفتن اصطلاح اسباب بازی از طرف من نبود ، چون بود و نبودش هیچ فرقی نمی کنه لااقل برا من.
حرف من سر برنامه نویسیه ، اولا کسی که برنامه نویسی بلده بهش نمی گن کاربر ساده
بعدش اینکه سیستم واقعا اسباب بازی میشه اگه سر هر کاری که بخوای انجام بدی (با برنامه نویسی) یه Access is denied سر رات سبز بشه.

به نظر من مایکروسافت با پیش کشیدن بحث policy در کامپیوترهای خانگی تنها کاری که کرده استفاده کننده رو به زحمت انداخته
نسخه ی خانگی ویندوز هیچ وقت اینو نداشته ، میتونین از Windows XP Home Edition راحت استفاده کنین ، اما این به این معنی نیست که ...در ادامه بهش می رسین

سپس به وسیله windows policy برنامه های regedit و cmd و msconfig و taskmanager رو از کار می اندازد
این کارا هیچ ربطی به policy ندارن ، فقط با رجیستریه همین و باضافه ی خود برنامه که با یه تایمر بعضی کارارو زیر نظر داره مثه ورود به msconfig ، لطفا بگین با استفاده از policy چه جوری میشه msconfig رو از کار انداخت؟؟!!:متفکر: و با توجه به حرفای شما این ویروس نمیتونه ویندوز خانگی رو که policy نداره آلوده کنه بله ؟
Group Policy MMC فقط یه ابزاره همین مثل regedit ، بود و نبودش برا یه سیستم اصلا مهم نیس ، فقط کارو راحت می کنه.
با توجه به این گفته های شما اینطور میشه فهمید که اگه یه سیستمی این ابزارو نداشته باشه ، نمیشه بعضی کارارو در اون سیستم انجام داد. این حرف مثل این می میونه که بگن سیستمی که regedit نداشته باشه ، نمیشه رجیستریشو تغییر داد.
اما تاریخچه ی این ابزار

امیدوارم که به یاد داشته باشید که تا ویندوز Me چیزی به نام policy برروی ویندوز وجود نداشت
تو ویندوز Me همچین امکانی وجود نداره ، حتما ویندوز Me شما سفارشی بوده:متفکر:
اولین بار این ابزار تو ویندوز NT 4.0 بکار گرفته شده با یه اسم دیگه و با اسم Group Policy MMC و با تغییراتی تو ویندوز 2000 و بعد XP و تا ویستا توسعه داده شده.
بازم میگم وجود این ابزار اصلا مهم نیس ، همه ی کارایی که این ابزار انجام می ده با دستکاری تو رجیستری ویندوز میشه انجامش داد (راههای زیادی داره) ، حتی تو نسخه ی Home هم میشه.

در قسمت folder option گزینه view رو مخفی میکند.
این ویروس گزینه ی ّFolder Options رو به طور کامل حذف میکنه ، بازم از طریق تغییر در رجیستری

در آخر قبل از نظر دادن بهتر از خوانده های خود استفاده کنید و نه از شنیده ها (خوانده ها هم بهتر است که از منابع معیتر باشد که دچار سردرگمی نشوید)
اگه به نظر شما پستهایی که فرستادم تا الان مشکلی دارن از نظر منبع ، بگین لطفا.
فکر نمی کنم برای چیزایی که بصورت تجربی بدست اومده باشه ، منبعی لازم باشه ، شما برا حرفاتون منبع ذکر کنید بهتره
در آخر با وجود CMD نیازی به MMC نیست هیچوقت
من آخر ندونستم رابطه ی این ویروس با Group Policy چی بوده ؟؟؟؟؟؟؟:متفکر:
یعنی ویندوز 98ویروسی نمیشه اونوقت؟؟؟؟؟؟:متفکر: یا XP Home

سلام


نسخه ی خانگی ویندوز هیچ وقت اینو نداشته ، میتونین از Windows XP Home Edition راحت استفاده کنی
از ویندوز nt 4 (و ویندوز nt 4 workstation) این گزینه با سیستم عامل ویندوز بطور کامل integrated شد. و در تمامی نسخه های بعد یعنی از سال 1996 به بعد در تمام نسخه های سرور و workstation این گزینه وجود دارد(توجه کنید از نسخه ویندوز 2000 به بعد این سیستم عامل براساس nt kernel بود و این هیچ ربطی به 95/98/98se/me ندارد پس با این اوصاف winxp هم از این امر مستثنا نیست حتی نسخه خانگی)


ین کارا هیچ ربطی به policy ندارن ، فقط با رجیستریه همین و باضافه ی خود برنامه که با یه تایمر بعضی کارارو زیر نظر داره مثه ورود به msconfig ، لطفا بگین با استفاده از policy چه جوری میشه msconfig رو از کار انداخت؟؟!! و با توجه به حرفای شما این ویروس نمیتونه ویندوز خانگی رو که policy نداره آلوده کنه بله ؟
Group Policy MMC فقط یه ابزاره همین مثل regedit ، بود و نبودش برا یه سیستم اصلا مهم نیس ، فقط کارو راحت می کنه.
با توجه به این گفته های شما اینطور میشه فهمید که اگه یه سیستمی این ابزارو نداشته باشه ، نمیشه بعضی کارارو در اون سیستم انجام داد. این حرف مثل این می میونه که بگن سیستمی که regedit نداشته باشه ، نمیشه رجیستریشو تغییر داد.

منظورم این بود که بهتره از خواندهات از منابع معتبر استفاده کنی و نه از شنیده هات :چشمک:
به این کتاب مراجعه کن:
Microsoft Windows Registry Guide, Second Edition
و همچنین این کتاب
Microsoft Windows XP Professional Resource Kit, Third Edition
اگر اطلاعات بیشتر میخوای چند راه وجود داره بری کتابهای core برای mcse رو بگیری و بخونی
ولی ساده ترین راه استفاده از یک registry monitor هست و بعدش برو از طریق group policy و یا ابزارهای مربوطه یکی از گزینه ها ویندوز رو تغییر بده بعد خواهی دید که registry monitor به شما جای تغییرات در registry را نشان میدهد.
راستی اگر از عملکرد واقعی ویندوز میخواهی سردر بیاری این کتاب رو بخون:
Microsoft Windows XP Inside Out, Second Edition (Inside Out) و اگر واقعاً به بحث امنیت در ویندوز علاقه داری بعلاوه کتابهای بالا این یکی رو هم یه نگاه بنداز:
Microsoft Windows Security Inside Out for Windows XP and Windows 2000
البته اینها تماماً کتابهای official هستند ولی کتابهای دیگر نیز وجود دارند که به شخصه بسیاری از اونها رو مطالعه کردم که چکیده مطالب کتابهای بالا و حتی گریزی به لایه های زیرین ویندوز در آنها نیز وجود دارد برخی از آنها بصورت کتاب و برخی دیگر بصورت مقاله موجود هستند که معرفی آنها از حوصله این بحث خارج هست.


بازم میگم وجود این ابزار اصلا مهم نیس ، همه ی کارایی که این ابزار انجام می ده با دستکاری تو رجیستری ویندوز میشه انجامش داد (راههای زیادی داره) ، حتی تو نسخه ی Home هم میشه.

هیچ وقت رو حرفی که مطمئن نیستی اینقدر تاکید نکن.


اگه به نظر شما پستهایی که فرستادم تا الان مشکلی دارن از نظر منبع ، بگین لطفا.
فکر نمی کنم برای چیزایی که بصورت تجربی بدست اومده باشه ،

من هیچ به وقت به دوستان جسارت نمیکم. ولی فکر کنم منظور از تالار بحث و گفتگو یعنی اینکه دوستانی با تجربه کمتر سوالی میپرسند و دوستان با تجربه تر جواب این دوستان رو با دلیل و مدرک میدهند و اینکه دوستان با تجربه به تجربیات دوستان همسطح خودشون احترام میگذارند و برای رد و یا تایید این تجربیات از راه هایی مانند سوال کردن استفاده میکنند و نه qoute گذاشتن و رد و یا تایید 100% . این اولین تجربه ای بود که من بعد از2 سال فعالیت در فورمهایی مثل پی سی سون ، آنریل و .... به دست آوردم.
در مورد تجربه : تجربه با آگاهی بالاترین علم هست ولی اگر این تجربه بدون آگاهی و فقط از روی اتفاق و شانس بدست آمده باشد خب کمی باید در اون شک کرد.

منبعی لازم باشه ، شما برا حرفاتون منبع ذکر کنید
امیدوارم منابع کافی را به شما معرفی کرده باشم ولی باز هم اگر مطئمن نیستید کمی به عقب برمیگیردیم سال 1997 میتوانید کتابهایmcse windows nt 4.0 را تهیه کنید و عیناً ببینید برای هر راهی که در مورد policy معرفی داده عیناً مثال از طریق registry آن رو هم معرفی کرده و در واقع ویندوز به registry زنده هست اشکال بزرگی که همه دوستان در بحث امنیت از آن با خبر هستند.

من آخر ندونستم رابطه ی این ویروس با Group Policy چی بوده
امیدوارم متوجه شده باشید.


فک کنم شما قصد تمسخر داری
فکر کنم زیادی تند رفتم ، یه معذرت طلبت.

دوستان از همتون ممنونم
ولی مثل اینکه بحث داره عوض می شه !

سلام
(توجه کنید از نسخه ویندوز 2000 به بعد این سیستم عامل براساس nt kernel بود و این هیچ ربطی به 95/98/98se/me ندارد پس با این اوصاف winxp هم از این امر مستثنا نیست حتی نسخه خانگی)
پس قبول داریم که ویندوز me اساسش بر پایه ی NT نیس و همینطور فاقد این ابزار ، شما در هر پست جدید حرفی که می زنید با حرفای قبلیتون کاملا در تناقضه
سایت میکروسافت همیشه در دسترسه دوست عزیز ، اونجا مشخصات نسخه خانگی هستش.مقایسه کنید با مشخصات نسخه ی Pro ویندوز . اونجا می بینیم که یکی از تفاوتهای این دو نسخه در این ابزاره


به این کتاب مراجعه کن:
Microsoft Windows Registry Guide, Second Edition
و همچنین این کتاب
Microsoft Windows XP Professional Resource Kit, Third Edition
اگر اطلاعات بیشتر میخوای چند راه وجود داره بری کتابهای core برای mcse رو بگیری و بخونی
ولی ساده ترین راه استفاده از یک registry monitor هست و بعدش برو از طریق group policy و یا ابزارهای مربوطه یکی از گزینه ها ویندوز رو تغییر بده بعد خواهی دید که registry monitor به شما جای تغییرات در registry را نشان میدهد.
راستی اگر از عملکرد واقعی ویندوز میخواهی سردر بیاری این کتاب رو بخون:
Microsoft Windows XP Inside Out, Second Edition (Inside Out) و اگر واقعاً به بحث امنیت در ویندوز علاقه داری بعلاوه کتابهای بالا این یکی رو هم یه نگاه بنداز:
Microsoft Windows Security Inside Out for Windows XP and Windows 2000
البته اینها تماماً کتابهای official هستند ولی کتابهای دیگر نیز وجود دارند که به شخصه بسیاری از اونها رو مطالعه کردم که چکیده مطالب کتابهای بالا و حتی گریزی به لایه های زیرین ویندوز در آنها نیز وجود دارد برخی از آنها بصورت کتاب و برخی دیگر بصورت مقاله موجود هستند که معرفی آنها از حوصله این بحث خارج هست.

به هر حال ممنونننننننن زحمت کشیدین
با اینکه اینا رو ازتون نخواسته بودم و لازم هم ندارم ، نه کتاب نه روش.( آرشیوم کامله )
ساده تر از مونیتور کردن رجیستری راهی هم هست که هیچی هم نمی خواد فقط یه ویندوز خالی همین، چون به این بحث مربوط نیس توضیح اضافی نداره ....
و پیرو حرفتون در مورد تجربه که به تنهایی ....
اینو می تونم بگم که این حرف رو در مورد مطالعه بگین بیشتر صدق می کنه نه ؟؟؟
مطالعه با آگاهی و یا بهتره بگیم مطالعه به همراه تجربه و کار عملی ، مطالعه به تنهایی کافی نیستو در این مورد به درد نمی خوره . مطالعه ی صرف ، کار مورخه فک کنم .
اگه بخوام در مورد چیزی هم پست بدم اول اجراش می کنم به صورت عملی بعدش ...

برای رد و یا تایید این تجربیات از راه هایی مانند سوال کردن استفاده میکنند و نه qoute گذاشتن و رد و یا تایید 100% . این اولین تجربه ای بود که من بعد از2 سال فعالیت در فورمهایی مثل پی سی سون ، آنریل و .... به دست آوردم.
اگه همچین چیزی باشه وووو من رعایت نکرده باشم ، شما هم رعایت نکردین (تجربه با آگاهی اینجا بکار می آد فک کنم ).
و فکر می کنم شروع کننده ی این بحث شما بودین که فقط روی یه اصطلاح ساده ی اسباب بازی اون همه مانور دادین.
بازم فکر می کنم نظر دادن تو یه انجمن آزاده نه ؟؟؟؟ اونم نظر من بوده . اگه شما قبول نداشتین می تونستین ردش کنین اما نه این جوری
و همچنین فکر نمی کنم چیزی که به صورت کامل توضیح داده شده و واضحه که چی میخواین بگین ، نیازی به پرسش بیهوده داشته باشه.
ولی اینو خیلی خوب می دونم که در مورد چیزی که اطلاعی ازش ندارم ، یا اطلاعاتم ناقصه نظر نادرست و دیمی نمی دم.
این دیگه تجربه نمی خوادد که، احتمال داره اون نظر ناردست ، منی که تازه کارم رو تا ثریا می روم کج:ناراحت: .


در مورد تجربه : تجربه با آگاهی بالاترین علم هست ولی اگر این تجربه بدون آگاهی و فقط از روی اتفاق و شانس بدست آمده باشد خب کمی باید در اون شک کرد.

رو تجربه اتفاقی کشف جاذبه ی نیوتن شک می کنیمممممم و هستننن زیاد از این موارد ...
شما می خواین با این حرف چی رو ثابت کنین ، که من یه تازه کارم ؟ قبلا دو سه بار تاکید داشتم رو این مورد . و یا اینکه شما خیلی استادید ؟؟؟ شکی ندارم در این مورد هم . فک کنم دیگه الان مشکلی نباشه
پس من این بحث رو بعد این پست ادامه نمی دم .
اول اینکه ثابت شد و بعد هم اینکه بیهوده است کاملا


هیچ وقت رو حرفی که مطمئن نیستی اینقدر تاکید نکن.

کاملا مطمئنم ، باور نمی کنین امتحان کنین ، با همون روشهایی که خودتون گفتین
پیرو این حرفم این همه ابزار Tweak هیچ کدام نسخه ی مجزا برا نسخه ی خانگی ندارن. جایگزین خوبی هم برا Group Policy می تونن باشن.

من آخر ندونستم رابطه ی این ویروس با Group Policy چی بوده
این سوال فکر کنم نیاز به اون همه توضیح داشته نه اصطلاح اسباب بازی و همچنین نه معرفی کتاب یا روش. و جواب شما :

امیدوارم متوجه شده باشید.
بهتر آن است که اصلا متوجه نشوم تا آن که اشتباه متوجه شوم

mehran8
دوستان از همتون ممنونم
ولی مثل اینکه بحث داره عوض می شه !

دوست عزیز خیلی متاسفم از اینکه بحث به اینجا کشید ، بابت اینم از بقیه ی دوستان کلی معذرت . دست خود آدم نیس که ، برا همه پیش می آد.

حرف آخر : لحاظ کردن امنیت هم حدی داره ، میکروسافتم اینو خوب می دونه.
مثال ساده اش اینکه یه معمار یا هر کی بیاد برا امنیت بیشتر برا خونه ها پنجره نذاره اصلا ، بله کار خوبیه امنیت بیشتر میشه ولی چند تا امکان دیگه از اون خونه گرفته می شه . کسی هم همچین خونه ای نمی خواد می ره سراغ یه خونه ی دیگه چون مجبور نیس که.
بله معمار وقتی خونه رو تحویل ما می ده امنیتش رو شاید تا 50% تا جای که تونسته تامین کرده بقیه اش با ماست که از اون استفاده می کنیم . اگه بخوایم نمی ذاریم هیچ دزدی وارد خونمون بشه و یا اگه غافل شدیم و وارد شد کاملا دست خالی برگرده . میکروسافتم اینو می دونه
تعادل تعادل تعادل بازم تعادل
یوزر Limited با سیستم فایل NTFS یه نمونه اولیه از همین خونه ی بدون پنجره اس ، امتحان کنین. 70 تا 80 درصد همین ویروسا در این یوزر کاملا ناتوانند بازم امتحان کنین. ولی آیا این کافیه ؟؟؟ مطمئنا نه ، مثل همون خونه چند تا امکان از این سیستم هم گرفته شده که بدون اونا لااقل برا من امکان نداره ، اینو میکروسافتم می دونه

حرفی با مدیران :
سلام خسته نباشین
فکر می کنم یه بند جدید به قانون فروم اضافه کنین بد نمیشه ، کاربر تازه کاری مثه من از کجا اینو باید بدونه که در مورد چیزی که درست نیس بصورت سوالی نظر بدیم . این بند اگه اضافه شه دیگه نیازی به تجربه اش نیس . ممنونم

برای رد و یا تایید این تجربیات از راه هایی مانند سوال کردن استفاده میکنند و نه qoute گذاشتن و رد و یا تایید 100% . این اولین تجربه ای بود که من بعد از2 سال فعالیت در فورمهایی مثل پی سی سون ، آنریل و .... به دست آوردم.

بچه مدیر سایت رو راضی کنید این بخش ویروس نویسی راه اندازی بشه ! (:

بابا یکی این ویروسه رو بذاره ما هم ببینیم.

دوباره با کدهای زیر فایلهای هسته ی ویروس رو حذف می کنیم و فعال کردن رجیستری و ...


del D:\DOCUME~1\USER\LOCALS~1\APPLIC~1\csrss.exe
del D:\DOCUME~1\USER\LOCALS~1\APPLIC~1\inetinfo.exe
del D:\DOCUME~1\USER\LOCALS~1\APPLIC~1\lsass.exe
del D:\DOCUME~1\USER\LOCALS~1\APPLIC~1\services.exe
del D:\DOCUME~1\USER\LOCALS~1\APPLIC~1\smss.exe
del D:\DOCUME~1\USER\LOCALS~1\APPLIC~1\winlogon.exe
del D:\WINDOWS\eksplorasi.exe /ah
del D:\WINDOWS\SHELLNEW\sempalong.exe /ah
reg delete "hkcu\Software\Microsoft\Windows\CurrentVersion\Pol icies\Explorer" /f /v NoFolderOptions
reg delete "hkcu\Software\Microsoft\Windows\CurrentVersion\Pol icies\System" /f /v DisableRegistryTools

دوست عزیز،
اگر یکی از مشخصه های این ویروس اینه که task manager رو از کار می اندازه و برنامه های csrss.exe و smss.exe و services.exe در حال اجرا هستند باید بگم که اولا task manager من فعاله(یعنی کامپیوترم ویروسی نشده) و ثانیا همین دو سه تا فایل در حال اجرا هستند و به هیچ عنوان هم end task نمی شوند .
پس اگر این برنامه ها رو خود ویندوز نیازشون داره برای چی باید اونها رو پاک کنیم(البته اگر فایل هایی به غیر از فایل اصلی ویندوز باشند یعنی فایل های مخرب با اسم فایل های ویندوز ، اونوقت قضیه فرق می کنه). در اینصورت باید این فایل ها را به غیر از جای اصلی آن فایل ها پیدا کنیم

اینم یه کد با سی شارپ دات نت.
تمام پروسس های فعال رو نشون میده و میتونید برخی از اونها رو kill کنید.
یکی از فایل هایی (فکر کنم CSRSS)رو وقتی kill کردم سیستم یه باره restart کرد مثل وقتی دکمه restart رو فشار میدی

ویروس رو از اینجا می تونین بگیرین

http://forum.p30world.com/showthread.php?t=79759

هیچ کدوم این از فایلها متعلق به ویندوز نیستن ، فقط هم اسمن با اونا

مسیر فایلهای ویروس فرق می کنه مثل :


D:\DOCUME~1\USER\LOCALS~1\APPLIC~1\lsass.exe

ولی فایل lsass.exe ویندوز تو این مسیره :


D:\Windows\system32\lsass.exe

پراسس lsass رو با Windows Task Manager هم نمیشه از کار انداخت ( البته تو ویندوزهای بدون سرویس پک فک کنم بشه )
اگه این پراسس رو با یه ابزار کمکی هم از کار بندازین ویندوز با یه پیغام 60 ثانیه ای می ره به سمت ShutDown

بعدش اینکه ویندوز از فایلهای اصلی خودش یه جورایی محافظت می کنه ، نمیشه با یه پاک کردن ساده حذفشون کرد . امتحان کنین مثلا regedit.exe رو حذف کنین ببنین چی میشه.

دوستان این آنتی ویروس رو یک نگاهی بکنید برای پاک کردن ویروس اتوران و حذف Folder optionsهستش از اینترنت کرفتم تستشم کردم فکر میکنم کد استفاده بشه یک نگاهی بندازید

یادش به خیر قبلاً چه تاپیک های توپی می زدم !

برای شو شدن میتونی از ش استفاده کنی

دوستان این آنتی ویروس رو یک نگاهی بکنید برای پاک کردن ویروس اتوران و حذف Folder optionsهستش از اینترنت کرفتم تستشم کردم فکر میکنم کد استفاده بشه یک نگاهی بندازید


پسورد فایل چیه

شرمنده عزیز پسورد www.pc7.com

ویروس برام بفرستین رام شدشو تحویل بگیرید. :شیطان:

مشکل کام شما خیلی راحت حل میشه پچ این ویروس رو میزارم فقط تو کامپیتر اجراش کن درمورد فایلهای مخفی من یه کار ابتکاری میکنم البته شاید دیگران هم بدونن بااستفاده از نرو مثلا میخوای دیتا رایت کنی تو مسیر مورد نظرت برو تمام فیلها رو میبنی حتی سیستمیها بعد پراپرتیس بگیر و تیک گزینه هایدو وردار من با فیلهای سیستمی ویندوز اینکارو کردم جواب داده

من تا حالا باین ویروس برخورد نداشتم، اما نمونه های اون رو دیدم.
فکر نمی کنم بعد از حتی عوض کردن سیستم نتوان فایلها و فولدر های مخفی را آشکار کرد.
احتمالا شما بعد از اینکه سیستم عامل را عوض کرده اید دوباره روی کپی هایی از آن که در دریاو ها و پوشه های دیگر ساخته می شود کلیلک کرده اید و آنرا دوباره به کار انداخته اید.
راه شناسایی اون همونه که خودتون گفتید : آیکونی با شکل فولدر.
با حالت safe mode ویندوز را اجرا کنید و از طریق msconfig آنرا از حالت استارتاپ خارج کنید.
سپس هر فولدری که پسوند exe دارد را در کامپیوترتان در تمام پوشه ها و فولدر ها پاک کنید.
اما با اینحال باز هم احتمال این را بدهید که ممکن است تمام کپی های آنرا پاک نکرده باشید

کاملا درسته این کار خیلی مفیده فقط سیستم که بالا اومد نباید هیچ کاری کرد حتی یه کلیک بی مورد باعث فعالیت ویروس میشه اصلش هم تو سیستم32

کاملا درسته این کار خیلی مفیده فقط سیستم که بالا اومد نباید هیچ کاری کرد حتی یه کلیک بی مورد باعث فعالیت ویروس میشه اصلش هم تو سیستم32

نه بابا دیگه اینقدرها هم که میگید خطرناک نیستن
وقتی ویندوز عوض میشه نباید مستقیم با دابل کلیک وارد درایوها شد
نباید روی هر پوشه ای کلیک کرد چون ممکنه اون پوشه نباشه و فایل ویروس با آیکن فولدر باشه که به راحتی قابل تشخیصه
برای وارد شدن به درایو ها هم باید از ادرس بار وارد شد
هیدن ها و سوپر هیدن ها رو بردارید
اونوقت فایلهای مشکوک که به راحتی قابل شناسایی هستند رو پاک کنید

سلام مهران 8
من یک زمانی یک دستور بلد بودم که تو cmd وارد میکردیم و تمامه پوشه های پنهان رو ظاهر میکرد الان دقیقا دستورش یادم نیست ولی سعی میکنم پیداش کنم و تو پیام بعدیم بزارم برات
فقط یادمه یک کلمه انگلیسی مینوشتیم بعدش /s / d و این چیزا مینوشتیم