50٪ تخفیف روی تمام دوره‌ها!
پایان تخفیف تا:
مشاهده دوره‌ها
  1. توسینسو
  2. سوالات
  3. شبکه های کامپیوتری
  4. اطلاعاتی در مورد csagtprosvc.exe و در صورت امکان از بین بردن آن
0

اطلاعاتی در مورد csagtprosvc.exe و در صورت امکان از بین بردن آن

با سلام

یکی از کلاینت های شبکه بسیار کند است که وقتی پروسس هایش را نگاه کردم، همیشه بخش قابل توجه ای از CPU را فایل csagtprosvc.exe به خود مشغول میکند.. این چه فایلی است و چگونه میتونم از بین ببرمش؟

با تشکر

پرسیده شده در 1393/10/28 توسط
آواتار مرضیه مدنی

4 پاسخ

2

سلام شما با یک ویروس از نوع تروجان مواجه هستید.

برای از بین بردن آن مراحل زیر را ادامه بدهید:

سیستم رو ریست کنید سپس F8 رو بزنید تا با Safe Mode بیایید تو ویندوز سپس Ctrl+Alt+Del بزنید تا در قسمت Process ها csagtprosvc رو بتونید Stop کنید

سپس در RUN دستور regedit رو بزن و سرچ کن و حذف کن (csagtprosvc.exe)

سپس در همون رجیستری به آدرس های زیر برو و عملیات گفته شده زیر رو انجام بده

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce "SelfdelNT"

HKEY_CURRENT_USER\Software\PAV

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings "WarnonBadCertRecving" = "0"

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings "WarnOnPostRedirect" = "0"

سپس حذف کن csagtprosvc.exe رو در قسمت های زیر

Detect and remove csagtprosvc.exe associated files listed below:

%UserProfile%\Local Settings\Temp\[random].bat
%UserProfile%\Application Data\PAV%UserProfile%\Application Data\antispy.exe

اگر موفق به انجام مراحل بالا نیستید

با نرم افزار spyhunter به احتمال زیاد میتوانید این ویروس را پاک کنید.

پاسخ در 1393/10/28 توسط
آواتار شهرام شادیانلو
1

این فایل اجرایی ظاهرا متعلق به نرم افزاری ناشناس بنام EduIQ.com Damjan Kriznik s.p(www.eduiq.com) هستش.

Csagtprosvc.exe فایل ضروری ای برای ویندوز نیست و در اکثر موارد باعث بروز مشکلاتی میشه. این فابل اجرایی در مسیر C:\Windows\System32. قرار داره و سایز معمول اون در ویندوزهای XP، 7 و 8 چیزی حدود 1,163,264 bytes،(در 44 درصد موارد) و در موراد دیگه 1,256,712 bytes، 1,231,024 bytes، 1,254,952 bytes و 1,153,024 bytes هستش.

درباره توسعه دهنده این فایل هیچ اطلاعاتی وجود نداره. این برنامه Visible نیست. این فایل با وجود اینکه در پوشه ویندوز قرار داره اما فایل اصلی ویندوز نیست و فایلی ناشناخته در این پوشه است.

اگه این فایل اجرایی دریکی از زیر پوشه های "C:\Program Files" قرار گرفته بود، به احتما 75 درصد خطرناک است و باید پاک شود. سایز این فایل 1,070,592 bytes هستش که باید به اون دقت کنید.. این نرم افزار با استفاده از پورت های سیستم به اینترنت وصل شده، عملکرد کیبورد و موس شما رو رکورد و اپلیکیشن ها رو مانیتور میکنه.

نکته مهم: برخی از فایل های آلوده از نام csagtprosvc.exe استفاده میکنند. برای مثال Backdoor.Trojan (سیمنتک) و Artemis!D67B957DF9E5 (مک آفی) .

پاسخ در 1393/10/28 توسط
آواتار احسان امجدی
1

با توجه به لینک تقریباهمه ی آنتی ها قادر به شناختن این تروجان هستند و میتونید را نصب یک ریموال این تروجان را پاک کنید.

اما پاک کردن به صورت دستی :

ابتدا پروسس و سرویس های مربوطه را ببندید سپس این فایل ها را جست و جو کنید :

csagtproconfig.exe
csagtprosvc.exe
csagtpro.exe
csprohk.dll
cspromg.exe
cspro.exe
cspro.hlp
readme_pro.txt
license_pro.txt
ebuynow.url
eweb.url
csprorc.exe
classroomspypro.exe
classroom spy configuration.lnk
classroom spy professional.lnk
classroom spy.lnk
buy license key.lnk
ctrlagt.cfg

تک تک فایل های بالا را در صورت بستن پروسسه مربوطه پاک کنید

دایرکتوری های مورد استفاده :

%programfiles%\classroom spy pro%programfiles%\classroom spy pro\conf%programfiles%\classroom spy pro\bin%autostart% \classroom spy pro

مسرهای رجیستری مورد استفاده :

        Key: SYSTEM\CURRENTCONTROLSET\SERVICES\NLCSAgent\Enum\0
        Key: Software\Microsoft\Windows\CurrentVersion\Uninstall\Classroom Spy Professional Console_is1
        Value: Inno Setup: Setup Version
        Key: System\CurrentControlSet\Services\NLCSAgent
        Value: Start
        Key: Software\Microsoft\Windows\CurrentVersion\Uninstall\Classroom Spy Professional Console_is1
        Value: Inno Setup: App Path
        Key: Software\Microsoft\Windows\CurrentVersion\Uninstall\Classroom Spy Professional Console_is1
        Value: InstallLocation
        Key: Software\Microsoft\Windows\CurrentVersion\Uninstall\Classroom Spy Professional Console_is1
        Value: Inno Setup: Icon Group
        Key: Software\Microsoft\Windows\CurrentVersion\Uninstall\Classroom Spy Professional Console_is1
        Value: Inno Setup: User
        Key: Software\Microsoft\Windows\CurrentVersion\Uninstall\Classroom Spy Professional Console_is1
        Value: DisplayName
        Key: Software\Microsoft\Windows\CurrentVersion\Uninstall\Classroom Spy Professional Console_is1
        Value: UninstallString
        Key: Software\Microsoft\Windows\CurrentVersion\Uninstall\Classroom Spy Professional Console_is1
        Value: QuietUninstallString
        Key: Software\Microsoft\Windows\CurrentVersion\Uninstall\Classroom Spy Professional Console_is1
        Value: DisplayVersion
        Key: Software\Microsoft\Windows\CurrentVersion\Uninstall\Classroom Spy Professional Console_is1
        Value: NoModify
        Key: Software\Microsoft\Windows\CurrentVersion\Uninstall\Classroom Spy Professional Console_is1
        Value: NoRepair
        Key: SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List
        Value: 5444:TCP
        Key: SYSTEM\CURRENTCONTROLSET\ENUM\ROOT\LEGACY_NLCSAGENT
        Value: NextInstance
        Key: SYSTEM\CURRENTCONTROLSET\ENUM\ROOT\LEGACY_NLCSAGENT\0000\Control
        Value: *NewlyCreated*
        Key: SYSTEM\CURRENTCONTROLSET\ENUM\ROOT\LEGACY_NLCSAGENT\0000
        Value: Service
        Key: SYSTEM\CURRENTCONTROLSET\ENUM\ROOT\LEGACY_NLCSAGENT\0000
        Value: Legacy
        Key: SYSTEM\CURRENTCONTROLSET\ENUM\ROOT\LEGACY_NLCSAGENT\0000
        Value: ConfigFlags
        Key: SYSTEM\CURRENTCONTROLSET\ENUM\ROOT\LEGACY_NLCSAGENT\0000
        Value: Class
        Key: SYSTEM\CURRENTCONTROLSET\ENUM\ROOT\LEGACY_NLCSAGENT\0000
        Value: ClassGUID
        Key: SYSTEM\CURRENTCONTROLSET\ENUM\ROOT\LEGACY_NLCSAGENT\0000
        Value: DeviceDesc
        Key: SYSTEM\CURRENTCONTROLSET\SERVICES\NLCSAgent\Enum
        Key: SYSTEM\CURRENTCONTROLSET\SERVICES\NLCSAgent\Enum
        Value: Count
        Key: SYSTEM\CURRENTCONTROLSET\SERVICES\NLCSAgent\Enum
        Value: NextInstance
        Key: SYSTEM\CURRENTCONTROLSET\SERVICES\NLCSAgent\Enum
        Value: Count
        Key: SYSTEM\CURRENTCONTROLSET\SERVICES\NLCSAgent\Enum
        Value: NextInstance
        Key: System\CurrentControlSet\Enum\Root\LEGACY_NLCSAGENT\0000\Control
        Value: ActiveService
        Key: SYSTEM\CurrentControlSet\Services\NLCSAgent
        Value: DisplayName
        Key: Software\Microsoft\Windows\CurrentVersion\Uninstall\Classroom Spy Professional Console_is1
        Value: ErrorControl
        Key: Software\Microsoft\Windows\CurrentVersion\Uninstall\Classroom Spy Professional Console_is1
        Value: ImagePath
        Key: Software\Microsoft\Windows\CurrentVersion\Uninstall\Classroom Spy Professional Console_is1
        Value: ObjectName
        Key: Software\Microsoft\Windows\CurrentVersion\Uninstall\Classroom Spy Professional Console_is1
        Value: Type

و همچنین تمامی تنظیمات مررورگر خود رو به صورت پیشفرض دربیارید

پاسخ در 1393/10/28 توسط
آواتار alireza ch12
1

سلاااام.

بسیار ممنون و سپاسگذارم از پاسخگویی همه دوستان عزیز

پاسخگویی شما بسیار بهم کمک کرد.. ولی طی سرچی که داشتم متوجه شدم فایل مربوطه فایل اجرایی برنامه classroom spy pro میباشد که یک برنامه مانیتورینگ و نظارتی است!! اجرای این نرم افزار در کامپوترهای مقصد از طریق IP و اسم آنها ممکن میگیردد و این کار مخفیانه انجام میشود یعنی کاربران متوجه حضور چنین برنامه ای نمیشوند.

همانطور که دوستان اشاره کردند بعضی از تروجان ها نیز ممکن است با همین نام فعالیت کنند.

با تشکر فراوان

پاسخ در 1393/10/30 توسط
آواتار مرضیه مدنی

پاسخ شما