درخاست راهنمایی برای حذف ویروس SMSvchost.exe

[amir.coder 322]

سلام خدمت دوستان

بنده ی حقیر اطلاعات زیادی در مورد ویروسا و کارکردشون دارمو تاحالا ویروسی نبوده که به صورت دستی نتونم از بین ببرمش

چون خودم یک زمانی ویروس نویس بودم با کارکردشون کاملا آشنام .

 

چند روزه توی بخش Processes در قسمت Background Processes یک فایل مشکوک رو مشاهده کردم که پیش از این نبود

اسمش : SMSvcHost.exe هست

 

با یک سرچ ساده توی گوگل یا توی سیستمتون میبینید که این فایل مربوط به Dot Net FrameWork 4.0 هست و توی اغلب سیستم ها موجوده در مسیر :

C:\Windows\Microsoft.NET\Framework\v4.0.XXXXX

ایکس های آخر آدرس که زدم به خاطر وجود تفاوت در ورژن بنده و دوستان هست

این فایل که در این آدرسه ویروس نیست و فایل اصلی سیستم هست و مربوط به دات نت فریمورک میشه

 

اما فایل مشکوکی که من دارم در سه آدرس

 

C:\Windows\WinSxS\msil_smsvchost_b03f5f7f11d50a3a_6.2.9200.16384_none_1d5a5b840449e418

C:\Windows\WinSxS\msil_smsvchost_b03f5f7f11d50a3a_6.2. 9200.20533_none_0687c9f61df5ac1b

 C:\Windows\WinSxS\msil_smsvchost_b03f5f7f11d50a3a_4.0.9200.16384_none_b74923267f5500f8

 

هستش و به هیچ وجه حتی درحالتی که درحال اجرا نباشه قابل حذف کردن نیست

روی ویندوز که هرکاری بکنید درحال اجراست و بعد از Endprocess کردن سریعا دوباره فعال میشه

تا بحال هرویروسی دیده بودم خودش رو توسط قسمت MSconfig>startup موقع روشن شدن سیستم بالا میاورد

اما این ویروس در اون قسمت نیست ، در سربرگ سرویس هم دونه دونه بررسی کردم نبود

خلاصه وقتی داخل ویندوز هستیم درحال اجرا هست و نمیشه حذفش کرد

وقتی از Safemode بالا میایم ، درحال اجرا نیست اما باز هم نمیشه حذفش کرد و میگه :

You Need Permission to perform this action

 

از هزاران روش برای حذف کردنش استفاده کردم اما اصلا موفق نشدم ( از CMD ، نرم افزار های گوناگون و...)

با اینکه آنتی ویروس هارو قبول ندارم 4 آنتی ویروس آپدیت نصب کردم و اصلا نشناختن (واقعا که)

برخی ویروس یاب ها قسمتی برای حذف فایل هایی که حذف نمیشوند رو دارن و از اون راه هم حذف نشد

 

کسی میتونه بنده رو راهنمایی کنه ؟

قطعا ویروس جدیدی هست که آنتی ویروس ها نمیشناسنش ، و از یک روش جالب برای ری ران شدن داره استفاده میکنه که من سر در نمیارم :D

 

 

ویرایش شده ژوئن 27, 2013 توسط amir.coder

[maxel134 2370]

دوست عزیز . من فکر میکنم چون این ویروس در رجیستری  ویروس دستکاری کرده و فایل ویروسی شده در ویندوز در حال استفاده هست، برای همین شما نمی تونید به این روش پاکش کنید .و در نتیجه باید با سیستم عامل دیگه مثل لینوکس بوت کنید و بعد از ان عملیات ویروس کشی را انجام بدید.

 برای امتحان شما از سایت Dr. web این live CD  را دانلود کنید . به صورت ایزو هست.  روی یک cd  نصبش کنید و سیستم را بوت کنید  بعد سیستم را اسکن کنید و در انتها ویروس ها رو پاک کنید.  بسته به حجم هارد  ممکنه 2 تا 3 ساعت طول بکشه ولی به احتمال خیلیل زیاد مشکلتون را حل میکنه.

 

http://www.freedrweb.com/livecd/?lng=en

[OC_King 220]

سلام خدمت دوستان

بنده ی حقیر اطلاعات زیادی در مورد ویروسا و کارکردشون دارمو تاحالا ویروسی نبوده که به صورت دستی نتونم از بین ببرمش

چون خودم یک زمانی ویروس نویس بودم با کارکردشون کاملا آشنام .

 

چند روزه توی بخش Processes در قسمت Background Processes یک فایل مشکوک رو مشاهده کردم که پیش از این نبود

اسمش : SMSvcHost.exe هست

 

با یک سرچ ساده توی گوگل یا توی سیستمتون میبینید که این فایل مربوط به Dot Net FrameWork 4.0 هست و توی اغلب سیستم ها موجوده در مسیر :

C:\Windows\Microsoft.NET\Framework\v4.0.XXXXX

ایکس های آخر آدرس که زدم به خاطر وجود تفاوت در ورژن بنده و دوستان هست

این فایل که در این آدرسه ویروس نیست و فایل اصلی سیستم هست و مربوط به دات نت فریمورک میشه

 

اما فایل مشکوکی که من دارم در سه آدرس

 

C:\Windows\WinSxS\msil_smsvchost_b03f5f7f11d50a3a_6.2.9200.16384_none_1d5a5b840449e418

C:\Windows\WinSxS\msil_smsvchost_b03f5f7f11d50a3a_6.2. 9200.20533_none_0687c9f61df5ac1b

 C:\Windows\WinSxS\msil_smsvchost_b03f5f7f11d50a3a_4.0.9200.16384_none_b74923267f5500f8

 

هستش و به هیچ وجه حتی درحالتی که درحال اجرا نباشه قابل حذف کردن نیست

روی ویندوز که هرکاری بکنید درحال اجراست و بعد از Endprocess کردن سریعا دوباره فعال میشه

تا بحال هرویروسی دیده بودم خودش رو توسط قسمت MSconfig>startup موقع روشن شدن سیستم بالا میاورد

اما این ویروس در اون قسمت نیست ، در سربرگ سرویس هم دونه دونه بررسی کردم نبود

خلاصه وقتی داخل ویندوز هستیم درحال اجرا هست و نمیشه حذفش کرد

وقتی از Safemode بالا میایم ، درحال اجرا نیست اما باز هم نمیشه حذفش کرد و میگه :

You Need Permission to perform this action

 

از هزاران روش برای حذف کردنش استفاده کردم اما اصلا موفق نشدم ( از CMD ، نرم افزار های گوناگون و...)

با اینکه آنتی ویروس هارو قبول ندارم 4 آنتی ویروس آپدیت نصب کردم و اصلا نشناختن (واقعا که)

برخی ویروس یاب ها قسمتی برای حذف فایل هایی که حذف نمیشوند رو دارن و از اون راه هم حذف نشد

 

کسی میتونه بنده رو راهنمایی کنه ؟

قطعا ویروس جدیدی هست که آنتی ویروس ها نمیشناسنش ، و از یک روش جالب برای ری ران شدن داره استفاده میکنه که من سر در نمیارم :D

 

 

درود

دوست عزیز می تونید فایل های مبدا اجرای این ویروس (.exe) در یک فایل فشرده و با پسورد ذخیره کنید و برای بنده پیام خصوصی کنید روش کار کنم؟

ویرایش شده ژوئن 27, 2013 توسط OC_King

[amir.coder 322]

خیر عزیز اصلا روی ویروس کلیک راست میکنی فقط گزین پراپرتیس روشنه

چه برسه بخای رار کنی ، سریع ارور میده

نویسنده خیلی حواسش جمع بوده

[حمیدرضا نظری(hamidparniyan) 3304]

درود امیر جان میتونی با  انتی ویروس نود یا کسپراسکای که از طریق محیط بوت سیستم رو اسکن میکنه یه امتحانی بکنی!

نتیجه رو بگو!

یه راه دیگه هم برات دارم البته فعلا راه بالا رو امتحان کن!

[Gintama 311]

درود,عزیز با این نرم افزار آنلاکش کن بعد پاکش کن : البته این فایل ویروس نیست !

http://storage.emcosoftware.com/download/unlockit/UnLockITSetup.exe

ویرایش شده ژوئن 27, 2013 توسط Gintama

[AtAgAmEr 2689]

درود,عزیز با این نرم افزار آنلاکش کن بعد پاکش کن :

http://storage.emcosoftware.com/download/unlockit/UnLockITSetup.exe

سلام

 

این کلاً کارش چیه ؟؟؟ چی کار میکنه ؟؟

[Gintama 311]

سلام

 

این کلاً کارش چیه ؟؟؟ چی کار میکنه ؟؟

درود دوست عزیز,این نرم افزار فایلهایی رو که مورد استفاده ی سیستم هستن از داخل چرخه ی پردازش خارج میکنه و امکان پاک کردن یا ویرایش اونها رو به کاربر میده,گرچه تعجب میکنم از اینکه این دوستمون که به گفته ی خودشون ویروس نویس هم بودن اطلاع ندارن که این اصلاً ویروس نیست,این یه سرویس مربوط به ویندوز از خانواده ی NT برای ارتباطات برون سیستمی با سیستم SVCHOST برای برنامه های نوشته شده تحت net.4 هست ! بنده فقط راه حل پاک کردن فایل هایی که در حال استفاده هستن رو گفتم و اینکه پاک کردن یکی از سرویسهای ویندوز چه عواقبی میتونه داشته باشه به بنده مربوط نیست !

ویرایش شده ژوئن 27, 2013 توسط Gintama

[AtAgAmEr 2689]

عکس هایی از برنامه ای که Gintama در پست بالا فرمودن

 

لینک نرم افزار

 

 

If specified file or folder is locked, you can see a list of processes that are locking it. For every locking process a path to executable file and process description are reported. To unlock a resource click on the Unlock Resource button

 

 

You can manage locks of any selected process individually by switching to the contextual Actions ribbon tab and choosing an operation that should be performed. A list of available options include closing file and library handles, and process termination

 

 

You can get a detailed information about every process, that is locking a specified resource. It includes a list of process modules, process owner, startup time and other important info.

 

 

You can customize application and change a color palette and interface design by selecting a skin according with your taste. Application has a set of skins with strict and funny styles.

ویرایش شده ژوئن 27, 2013 توسط atagamer

[AtAgAmEr 2689]

یه نگاه به این لینکها هم بندازین

 

 

http://www.file.net/process/smsvchost.exe.html

 

http://blogs.msdn.com/b/asiatech/archive/2012/07/16/modifying-smsvchost-exe-config-for-wcf-some-common-mistakes.aspx

 

 

http://www.shouldiblockit.com/smsvchost.exe-2136.aspx

 

 

http://www.runscanner.net/lib/SMSvcHost.exe.html

 

 

 

در مورد به اشتراک گذاری توسط این فایل هستش

 

http://msdn.microsoft.com/en-us/library/aa702669.aspx

ویرایش شده ژوئن 27, 2013 توسط atagamer