اخبار فناوری اطلاعات

Leader92@live.com

نحوه از بین بردن ویروس های جدید

ویروس Win32/PSW.Agent.NDP

این ویروس باعث غیرفعال شدن گزینه show hidden files and folders در folder option می شود و باعث عدم نمایش فایلهای مخفی می شود و اجازه نمی دهد کاربرها فایلهای مخفی را از حالت مخفی بیرون بیاورند .

این ویروس با دستکاری رجیستری ویندوز باعث می شد که شما نتونید تنظیمات hidden file and folder را تغییر دهید .
به محض تغییر دادن این قسمت و خارج شدن از ان تنظیمات به حالت پیش فرض خود برمیگردند .
البته این ویروس خرابکاریهای دیگری هم انجام می دهد اول اینکه داخل تمام درایوهای شما یه فایل autorun.inf می سازد که درایوهای هارد شما را autorun می کند .

دوم اینکه دوباره داخل تمام درایوها یک فایل به نام ntde1ect می سازد که شما به محض اینکه فلاپی وارد سیستم کنید یا فلش یا mp3 pleyer را به کامپیوتر متصل کنید یک کپی از خودش به صورت hidden وارد دستگاه شما یا فلاپی شما می کند که شما متوجه ان نمی شوید .

البته فایل ntde1ect خیلی شبیه فایل ntdetect هست که داخل درایو C وجود دارد و برای بالا امدن ویندوز ضروری می باشد .
مواظب باشید این دو فایل را اشتباه نگیرید .
سوم اینکه با اجرای فایل avpo.exe به شما اجازه نمیدهد که فلش یا mp3 pleyer یا هر چیز دیگه رو از پورت USB ، safe remove کنید .






نحوه پاک کردن ویروس Win32/PSW.Agent.NDP

در حالت safe mode وارد ویندوز شوید . ( با زدن دکمه F8 قبل از بالا آمدن ویندوز حالت safe mode را انتخاب کنید )

پنجره Task Manager را باز کنید (Ctrl-Alt-Delete) و برنامه های زیر را در صورت اجرا ببندید .
wscript.exe : اگر در حال اجرا بود آن را ببندید (End process)
avpo.exe : اگر در حال اجرا بود آن را ببندید (End process)

از قسمت start برنامه Run را اجرا کنید و در عبارت cmd را در آن تایپ کنید و enter را بزنید .
در این قسمت در خط فرمان برنامه ، دستور زیر زیر را تایپ کنید و enter را بزنید .

del c:\autorun.* /f /a /s /q
این دستور را برای درایوهای دیگر اجرا کنید . با این دستور تمام فایلهایautorun موجود delete می شود .

در این مرحله در خط فرمان c:\ دستور زیر را تایپ کنید تا وارد پوشه system32 شوید :

C:\cd windows\system32
C:\windows\system32

در ادامه دستور زیر را تایپ کنید و آنرا اجرا کنید .

*.*dir /a avp

در این قسمت هر فایلی به نامهای avp0.dll و avpo.exe و avp0.exe دیده شد آنرا پاک کنید .
attrib -r -s -h avpo.exe
del avpo.exe

بعد از این مراحل تمام پنجره ها رو ببندید و برنامه registry را اجرا کنید :

(Run \regedit)
مسیر زیر را دنبال کنید :
HKEY_CURRENT_USER \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run
در این قسمت هر کلیدی که به نام avpo.exe بود را delete کنید .

در برنامه registry قسمت edit گزینه Findرا کلیک کنید و عبارت ntde1ect را جستجو کنید. تمام کلیدهای پیدا شده را delete کنید .
این کار را برای فایل avpo.exe نیز انجام دهید و تمام کلیدهای پیدا شده راdelete کنید .

در آخر کار سراغ کلید زیر بروید و مقدار CheckedValue را برابر 1 قرار دهید .

HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion
Explorer/Advanced/Folder/Hidden/SHOWALL




ويروس kernel.exe

kernel ويروسي است که هر چند دقيقه يکبار با error ي که در زير تصوير ان را قرار داده ام ظاهر مي شود . اکثر کاربران به اين ويروس گرفتار شده اند .

در واقع اين يک ويروس نيست زيرا کار مخربي روي سيستم انجام نمي دهد . در واقع يک برنامه مي باشد که شباهتي به ويروس دارد و به همين دليل هيچ يک از انتي ويروس ها قادر به شناسايي و پاک کردن ان نيستند . حتي قوي ترين و به روز ترين انتي ويروس ها .
اين ويروس از طريق صفحات html که از اينترنت ذخيره مي کنيد به وجود مي ايد .

اين ويروس سه فايل با نام هاي kernal.vbs و kernal.exe و systems.exe دارد که هر سه فايل در پوشه C:\WINDOWS\system32 ذخيره مي شوند .
در واقع اين ويروس خود را جزء پروسه هاي سيستم عامل نيز مي داند و در task manager در تب processes با نام kernel.exe در حال فعاليت مي باشد .

اين ويروس همه ي فايل هاي HTML و Htm رو آلوده ميکند و به آخر فايل ها کدهاي مخرب Vbscript رو که چند تا فايل با نام ها kernel.exe و kernel.vbs است را ايجاد ميکند .
اين ويروس حتي با تعويض سيستم عامل هم از بين نخواهد رفت .

از اثرات اين فايل آلوده:
1- ارورهاي پشت سر هم
2- باعث پايين آمدن سرعت کامپيوتر
3- باعث پايين آمدن سرعت اينترنت
4- دادن اطلاعات مثل يوزر و پسورد اينترنتتان به شخص هکر
5- آلوده کردن فايلهاي HTML




نحوه پاک کردن ويروس kernel.exe

براي پاک کردن اين ويروس شما بايد ابتدا با زدن کليد هاي ترکيبي ctrl + alt + delete وارد task manager شويد و به تب processes رفته و فايلي با نام kernel.exe را پاک کنيد .

سپس به مسير زير رفته C:\WINDOWS\system32 رفته و دو فايل با نام kernel و بک فايل با نام Systems را پيدا کرده و پاک کنيد .

توجه داشته باشيد شما در صورتي مي توانيد اين فايلها را پاک کنيد که پروسه kernel.exe را از task manager پاک کرده باشيد . در غير اين صورت اجازه پاک شدن را به شما نخواهد داد .

سپس به منوي استارت رفته و عبارت msconfig را در run تايپ کنيد و در قسمت startup اگر فايلهاي بالا وجود دارند تيک انها را برداريد و سپس کامپيوتر را ريستارت کنيد دوباره چک کنيد که ويروس در حافظه بار نشده باشد .
بعد به internet temporary از طريق مسير زير رفته و تمام محتويات ان را خالي کنيد .

:\Documents and Settings\\Local Settings\Temporary Internet Files

برنامه هايي براي از بين بردن اين ويروس

http://rapidshare.com/files/84805882/Setup.exe.html



نحوه پاک کردن ویروس BronTok.A :

در زیر به برخی از ویژگی های این ویروس اشاره می کنیم :

1 . Folder Options را حذف می کند !
2 . Registry Tools را قفل می کند !
3 . Task Manager نمی تواند فایل های مربوط به این ویروس را End کند !
4 . پس از اجرا شدن ، محتویات My Documents را نمایش می دهد !
5 . اگر در کادر محاوره ای Run عبارت CMD ، Regedit ، msconfig ، Regedt32 را تایپ کنید ، سیستم بلافاصله Restart می شود !
6 . اگر روی گزینه ی Log Off یا Turn Off Computer کلیک کنید ، سیستم Restart می شود !
7 . آیکون این ویروس شبیه آیکون یه پوشه است !

همانطور که می دانید فایل های lsass.exe ، winlogon.exe و services.exe از فایل های سیستمی بوده و همیشه در حال اجرا هستند ...
اگر شما برنامه ی Process Master را اجرا کنید ، می بینید که این فایل ها در پوشه ی System32 قرار دارند .

اما اگر ویروس BronTok.A روی سیستم شما نصب باشد ، خواهید دید که سه تا فایل دیگر با همین نام ها در
حال اجرا هستند !!
یعنی دو تا winlogon.exe ، دو تا lsass.exe و دو تا services.exe !

اما به راحتی میشود فهمید که کدام ویروسند و کدام فایل اصلی ویندوز ...
آن سه تا فایلی که مربوط به ویروس میشوند ، در پوشه ای غیر از System32 قرار دارند .
مسیر دقیقشان میشود :
C:\Documents and Settings\User\Local Settings\Application Data
C نام همان درایویست که ویندوز در آن نصب گردیده و User نام کاربری است که ویروس در آن اجرا شده ...

بعد از اینکه با نرم افزار Process Master متوجه شدید که کدام ویروسند ، باید آن ها رو Kill process کنید .
اگر احیانا فایل های دیگری با نام های inetinfo.exe ، csrss.exe و smss.exe نیز در حال اجرا بودند آنها را هم Kill process کنید .البته به شرطی که مسیرشان غیر از System32 باشد ...

حالا وقت آن است که از نرم افزار Kill BronTok.A استفاده کنید .
پس از اینکه نرم افزار Kill BronTok.A کارش تمام شد ، آن را ببندید و به منوی Start برید و روی گزینه ی Search کلیک کنید .
در سمت چپ روی گزینه ی All files and folders کلیک کنید .
در فیلد All or part of the file name عبارت Empty.pif را تایپ کنید و از روی کیبرد کلید Enter را فشار دهید .اکنون تمام فایل های پیدا شده را پاک کنید .
دوباره در فیلد مذکور عبارت زیر را تایپ کنید و از روی کیبرد کلید Enter را فشار دهید .

scr،*.exe.*

اکنون از بین فایل های پیدا شده ، هر فایلی که آیکونش شبیه آیکون پوشه بود رو پاک کنید .
مجددا در فیلد All or part of the file name عبارت زیر را تایپ کنید و از روی کیبرد کلید Enter را فشار دهید .
job.*
تمام فایل های پیدا شده را پاک کنید .

باز هم در فیلد فوق الذکر عبارت Bron را تایپ کنید و از روی کیبرد کلید Enter را فشار دهید .

اکنون تمام فایل ها و پوشه های پیدا شده را پاک کنید .

اکنون با خیال راحت کامپیوترتان را Restart کنید .

نکته : اگر ویندوزتان بیشتر از یک کاربر دارد ، باید تمام عملیات فوق را در همه ی کاربرها انجام دهید

این اموزش توسط دوست عزیزم MB_Danger تهیه شده است .





پاک کردن ويروس New Folder.exe

احتمالا تا حالا با ویروس New Folder.exe مواجه شده اید !
قسمتی از مشخصات این ویروس به شرح زیر است :
1 . آیکون آن شبیه آیکون یک پوشه است .
2 . اندازه ی آن 140 کیلوبایته .
3 . پس از اجرای این ویروس ، محتویات پوشه ی My Documents نمایش داده می شود .
4 . این ویروس تولید مثل هم می کنه !
5 . گزینه ی Turn Off Computer رو از منوی Start حذف می کنه .
6 . از اجرای Registry Tools ، windows Task Manager و System Configuration Utility جلوگیری می کنه .
7 . پس از مدتی Registry Tools و Task Manager رو غیر فعال می کنه .
8 . ظاهرا توسط شخصی به نام علی صادقی نوشته شده ، چون وقتی داشتم کدهای اسمبلی این ویروس رو مشاهده می کردم با جمله ی زیر مواجه شدم :

i am ali sadeghi,master of you
چقدر هم مغرور !
9 . فکر کنم اسم اصلی این ویروس Mahsa باشه !

...
خلاصه به درخواست یکی از دوستان ، من نشستم و ضد این ویروس رو نوشتم که می تونید از لینک زیر دانلود کنید ...
دانلود Kill New Folder.exe
http://feng1.persiangig.com/Programs/KNF.zip
خود ویروس رو هم می تونید از پیوست دانلود کنید .

پس از اینکه برنامه ی Kill New Folder.exe کار خودش رو انجام داد ، باید مابقی ویروس ها رو خودتون به صورت دستی پاک کنید .
برای پاک کردن مابقی ویروس ها به شیوه ی زیر عمل کنید :
1 . به منوی Start بروید و روی گزینه ی Search کلیک کنید تا پنجره ی مربوطه نمایش داده شود .
2 . در سمت چپ روی گزینه ی All files and folders کلیک کنید .
3 . در قسمت All or part the file name عبارت New Folder.exe را تایپ کنید و روی گزینه ی Search کلیک نمایید .
حالا تمام فایل های پیدا شده رو پاک کنید .
حواستون باشه مجددا یکی از اونا رو اجرا نکنید .



یکی از بهترین انتی ویروس ها برای از بین بردن کرمی که folder option را از بین می برد . این انتی ویروس محصول یکی از بزرگترین و بهترین سازنده انتی ویروس یعنی bitdefender است . حتما ان را دانلود کرده و سیستم خود را بعد از انجام مراحل بالا اسکن کنید .

http://www.bitdefender.com/VIRUS-157...ntok.A@mm.html




ویروس Antichrist (virus hoax)0

این ویروس یا کرم با پیغامی که می دهد در واقع شما را به راه راست هدایت می کند و به نام ویروس ستایش نیز معروف است .

این ویروس که با نام های Day of Judgmet و Antichrist هم شناخته می شود یک کرم ایرانی است که سیستم عامل های ویندوز ۳۲ بیتی را مورد حمله قرار می دهد.


از مشخصه های بارز این کرم می توان به موارد زیر اشاره کرد:

غیرفعال کردن Folder Option

باز شدن صفحه اینترنتی با عنوان Day of Judgment (به معنی روز داوری) که ترجمه انگلیسی سوره حمد بر روی پس زمینه سبز در آن مشاهده می شود.
این هم تصویر صفحه html



این صفحه در هر بار بوت شدن ویندوز به شما نشان داده می شود.همچنین در هر بار بوت شدن ویندوز پنجره ای با تیتر Antichrist و با محتوای Day of Judgment نمایش داده می شود.
در بعضی مواقع جلوی اجرای Regedit و Task Manager با آلوده شدن توسط این ویروس گرفته می شود .

سرعت کلی سیستم به شدت پایین می آید و در فهرست پروسس های ویندوز می توانید Sys.exe و در قسمت برنامه های startup نام wma.exe و blank.htm را مشاهده کنید.

و گاهی اوقات هنگام بالا امدن ویندوز یک فایل html در ادرس c:\windows\system32\blank.htm اجرا می گردد .

همچنین ویروس خود را در تمام درایوها با نام Autoplay.exe کپی می کند که با هر بار کلیک روی درایو ها منتشر می شود .
این هم متن AUTORUN این WORM .



کد:
[autorun]
کد:
open=Recycler.{645FF040-5081-101B-9F08-00AA002F954E}\sys.exe a
shell\open=Open shell\open\Command=Recycler.{645FF040-5081-101B-9F08-00AA002F954E}\sys.exe o shell\open\Default=1 shell\explore=Explore
shell\explore\Command=Recycler.{645FF040-5081-101B-9F08-00AA002F954E}\sys.exe e







اين كرم ايراني پس از اجراي فايل آن بر روي سيستم كاربر، ابتدا خودش را به صورت ‏زير بر روي سيستم كپي مي‌نمايد:‏
‎%System32%\Sys.exe
‎%Windows%\Shell.exe
‎%Windows%\vxds.exe
‎%Windows%\Help\vxds.exe
‎%Windows%\media\wma.exe

و براي اينکه با هر بار بالا آمدن سيستم اين فايل‌ها اجرا گردند، آنها را به شکل زير در ‏رجيستري ثبت مي‌کند:‏
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Shell = userinit.exe, sys.exe
Userinit = Explorer.exe shell.exe
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
vxds = %Windows%\vxds.exe

همچنين در مسير System32 فايلي با نام ‏OEMLOGO.BMP‏ به صورت ‏مخفي ايجاد مي‌کند که به شکل زير
مي‌باشد:‏
بعلاوه در همين مسير فايلي با نام ‏OEMLOGO.INI‏ به صورت مخفي مي‌سازد که ‏محتويات آن به شکل زير است:‏

[General]
Manufacturer=[Antichrist]
Model=[Day of judgment]
SupportURL=hxxp://www.antichrist.com/
LocalFile=blank.htm
[Support Information]
Line1=When comes the help of Allah, and victory,.
Line2=And thou dost see the people enter Allah's religion in crowds,.
Line3=Celebrate the praises of thy Lord, and pray for his forgiveness: ‎for he is oft-Returning (in forgiveness)..

فايل ديگري نيز در همين مسير با نام ‏blank.htm‏ به صورت مخفي ايجاد مي‌کند که با ‏اجراي آن صفحه‌اي به شکل زير به نمايش درمي‌آيد:‏
که متن انگليسي نمايش داده شده در اين صفحه ترجمه سوره حمد مي‌باشد. آنگاه براي ‏اينکه با هر بار بالا آمدن سيستم اين فايل نمايش داده شود آن را به صورت زير در ‏رجيستري ثبت مي‌کند:‏

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Blank = %System32%\blank.htm
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Blank = %System32%\blank.htm

براي اينکه مقدار ‏Home Page‏ و ‏Search Page‏ نرم‌افزار ‏Internet Explorer‏ را ‏برابر با صفحه مذکور قرار دهد، تغييرات زير را در رجيستري ايجاد مي‌نمايد:‏

HKCU\Software\Microsoft\Internet Explorer\Main
Start Page = %System32%\blank.htm
Search Page = %System32%\blank.htm

از کارهاي جالب اين ويروس اين است که در همه درايوها در داخل مسير ‏Recycler‏ ‏فولدري مخفي و با نام تصادفي ايجاد کرده و يک کپي از خودش را با نام ‏Sys.exe‏ ‏درون آن قرار مي‌دهد.

همچنين اثرات ديگري به شکل زير دارد:‏
با ايجاد تغييراتي در رجيستري باعث مي‌شود که قبل از ورود به سيستم صفحه‌اي با تيتر ‏Antichrist‏ و با متن ‏Day of judgment‏ نمايش داده شود. همچنين باعث مي‌شود ‏فايل‌هاي ‏Super Hidden‎‏ نمايش داده نشود. جلوي اجراي برنامه‌هاي ‏RegEdit‏ و ‏Task Manager‏ را گرفته و رنگ زمينه ‏Windows‏ و صفحه ‏cmd‏ را تغيير مي‌دهد. ‏بعلاوه نام ‏User‏ و ‏Organization‏ ثبت شده براي سيستم را با [Antichrist] تغيير مي‌دهد.‏
لازم به ذکر است که آخرين نگارش ضدويروس سيمانتك اين کرم اينترنتي را شناخته و به صورت کامل پاکسازي مي‌نمايد.
براي پاكسازي اثرات باقي مانده اين ويروس همانند غير فعال شدن Registry يا Folder Option و يا باز نشدن درايوها با دابل كليك بر روي آنها و غيره از ابزار پاكسازي زير يا بالاي صفحه استفاده نماييد

http://www.damsunsecurity.com/files/...id=24&20080202


نحوه از بین بردن ویروس Antichrist

متاسفانه فعلا حتی نسخه های بروزشده آنتی ویروس Eset NOD۳۲ قادر به شناسایی و خنثی نمودن این ویروس نمی باشند.
اما حداقل سه آنتی ویروس Kaspersky (در نسخه ۷ آزمایش شد) ، McAfee (نسخه ۲۰۰۸) و احتمالا آخرين نگارش ضدويروس سيمانتک (به نقل از سایت امنیتی دمسان) قادر به شناسایی و پاک کردن ویروس مذکور هستند.
من خودم انتی ویروس سیمانتک ( Norton ) را توصیه می کنم چون این انتی ویروس اولین انتی ویروسی بود که این کرم را پیدا و کاملا پاک می کند . حتما سعی کنید به طور کامل این انتی ویروس را اپدیت کنید و بعد تمام درایو ها را اسکن کنید .

برای پاک کردن این ویروس ابتدا آنتی ویروس خودتان را به آخرین بسته های بروزرسانی مجهز کنید سپس اقدام به کنترل سیستم نمایید.
توصیه می کنم که تمام هارد را برای یافتن ویروس اسکن نمایید

نکته : حتما سیستم خودتان را در حالت safe mode ویروس یابی کنید .
و از کلیک کردن روی درایو ها تا پاک شدن کامل ان خود داری کنید .

بعد از پاک شدن ویروس قسمتهای حذف شده را مانند روشهای بالا می توانید برگردانید .
و سپس باید به تمام درایو ها رفته و autoplay.exe را پاک کنید .
نکته : نحوه پاک کردن ویروس autoplay.exe یا autoran را بالا به طور کامل ذکر شده است .

به رجیستری رفته و مسیر زیر را دنبال کنید
HKEY_LOCAL_MACHINE\Software\Microsoft\windows\curr ent version\run
روی run کلیک کنید و هر چیزی سمت راست اگر گزینه های زیر وجود دارند انها را پاک کنید .
blank
igfxhkcmd
igf******per
igfxtray
vxds
همه این کارها را باید در حالت safe mode انجام دهید .
+ نوشته شده در  ساعت 10 AM  توسط msin  |