ویروس کارشناسی

[reza_17173]

دوستان پی سی من به یک ویروس مبتلا شده. اونم چه ویروسی. نه میزاره وارد رجیستری بشم نه میزاره وارد درایواهام شم نه میزاره وارد Folder Option بشم و ... حالا جالب اینجاس که وقتی صفحه Internet Explorer رو باز می کنم یک راست وارد سایت http://www.karshenasi.com میشه, و حتی از توی Internet Options هم نمیشه درستش کرد.
خب این مشخصه شخصی که این ویروس رو ساخته مال این سایته و نمی دونم هدفش هم چی بوده. ظاهرا" هم گفته که راه حلش فرمت کل هارده. چون تو همه درایوها رخنه کرده. اینجا رو بخونین:
http://www.barnamenevis.org/forum/showt ... e8&t=99275

حالا ممنون میشم اگه کسی از دوستان تا به حال به این ویروس مبتلا شده و بعد پاکش کرده به من بگه باید چی کار کنم. یا خود اون شخص هم اگه اینجارو خوند یه ندایی بده.

[Juggernaut]

.
1- AntiVirus نصب کن. Search کن.
2- ویندوزت رو عوض کن.
3- AntiVirus نصب کن. Search کن.
.

[reza_17173]

کردم این کارو Juggernaut جان. Nod32 رو Full Upgrade کردم ولی نتونست پیداش کنه. یعنی یه سری ویروس پیدا کرد, اما مشکلاتم حل نشد. یعنی مثلا" الان میخوام وارد درایو D بشم جای اینکه باز بشه به صورت Open with نمایش داده میشه... Win رو هم عوض کنم فایده ای نداره. قبلا" که ویروسی میشدم این راه حلها خوب جواب میداد ولی حالا قضیه فرق می کنه. ویروس تو همه درایوها وارد شده و چون ویروس ایرانیه AntiVirus ها فکر نمی کنم بشناسنش.
یعنی واقعا" کسی نمی دونه کار کیه؟ من Internet Explorer رو که باز می کنم یه راست وارد http://www.karshenasi.com میشه. خب حتما" این آدم مال این سایته دیگه.

[Juggernaut]

.
پسرم خوب اگر کاری که میگفتم میکردی شاید پاک می شد. من گفتم ویندوز رو عوض کن. عوض نکردی. عوض کردی؟؟؟ نه!
.
ببین فایلهات و درایوهات هیچ مشکلی ندارن و میتونی به راحتی ازشون استفاده کنی .همین که Internet Browser خودت رو میتونی اجرا کنی. یعنی به همه جا دسترسی داری!!
حالا میخوای از درایوات استفاده کنی کلیک راست کن روی درایو و Explorer رو بزن. نشد! توی Address bar اسم درایو رو تایپ کن مثلا"

کد: انتخاب همه

C:\

، نشد! از Dos استفاده کن که بری توی درایو هات! ،نشد یه برنامه Player مثله WindowsMediaPlayer رو اجرا کن بعد از توی Open برو توی درایو هات! ، نشد! هزار تا راه دیگه هست! فقط تا اینا رو امتحان نکردی نگو نمیشه.
.
.
.
خوب برای اینکه روش پاک کردنش رو بهت بگم فایل اجراییش یا هر فایلی که باعث بشه کامپیوترم ویروسی بشه رو بزار اینجا که من اجرا کنم تا منم ویروس بگیرم! بعد شاید یادت بدم!
.
.
اگر هم دیگه دیدی که واقعا" حوصله خلاقیت رو نداری به حاج پیمان! PM بده تا شاید راهش رو یادت بده!
.
ولی هیچ چی یاد نمیگیری!!!
.

یعنی واقعا" کسی نمی دونه کار کیه؟ من Internet Explorer رو که باز می کنم یه راست وارد http://www.karshenasi.com میشه. خب حتما" این آدم مال این سایته دیگه.

.
پروفایل :
memberlist.php?mode=viewprofile&u=2&sid ... f4afb4f24d
.
اگه وارد پروفایل نشد User شماره 2 رو بزن...
.
موفق باشید...
.

[reza_17173]

جناب Juggernaut ممنون از توضیحاتت. می دونی من خیلی هم شوت نیستم من همون اول این مشکلات رو حل کردم. یعنی با ترفندهام وارد رجیستری شدم, Folder Option رو برگردوندم, Internet Explorer رو به حالت Use Blank گذاشتم و ...
مشکل من این نبود که چرا نمی تونم از اینا استفاده کنم. مشکلم اینه که چرا مثلا" درایوهام مثل اول باز نمیشن یا ... احساس می کنم ویروس هنوز تو هاردمه.
ID این حاج پیمان رو از فروم barnamenevis.org قبلا" دیدم. Addاش کردم ولی On Line نمیشه که بش بگم.
شما می تونی ازش بپرسی؟

[Juggernaut]

.
اینو برای هر درایو اجرا کن

کد: انتخاب همه

C:\autorun.inf

بعد محتویاتش رو پاک کن و Crtl+S رو بزن یعنی Save!!.
.
اگر هم نشد از توی Dos پاکش کن ..البته باید Attrib بزنی.. که -h میخواد.
.
اگر هم نتونستی با نر افزاری مثل Winrar برو توی ریشه درایوت و پاکش کن. (بعد ریست میخواد!!!)
.
البته ممکنه فایلهای دیگه ای هم باشن ویا یک فولدر...بستگی داره پیدا کردنش با خود شما!
.
ولی چیزی که مهمه مشکل شما به صورت موقت حل میشه و بعد از ریست...
.
برای حل دائمی باید فایلهای اجراییش داخل system32 رو باید پاک کنی و فایل های مربوط در جاهای دیگه...
.
.
ضمنا من گفتم PM به منظور پیغام خصوصی نه پیغام توی Yahoo


.

[reza_17173]

خیلی ممنون از کمکت. با Attrib از طریق Dos تونستم پاکش کنم. بعد از Restart هم درایوهام باز شد.
فقط اینکه گفتی مشکلت موقتی حل میشه منظورتون چی بود؟ یعنی هنوز توی System32 ویروس هست؟

[Juggernaut]

.
ساختار ویروس های Autorun طوریه که فایلهای اجراییشون اونایی نیست که شما پاک کردی بلکه اونا فقط کپی هستن. و با اجرا شدن دوباره فایل اصلی ویروس دوباره Autorun توی هر درایو می سازه.
.
خوب شما باید فایل مورد نظر رو پیدا کنین و پاک کنین.
.
اینکه چطور تشخیص بدین کدوم فایله ،دیگه با خودتون.
من خودم اگر چند کیلو بایت درایوام کم و زیاد بشن میفهمم.
حالا شما که نمیدونی اول ببین توی ریشه هر درایوت فولدری که مخفی باشه و یه فایل کم حجم توش باشه هست یا نه. معمولا با پسوند Xls ، پسوند های ماکرو و ویژال بیسیک وجود داره یا نه. بعد توی فولدر System , System32 و Windows (اینا معمول هان ممکنه جای دیگه ای هم بره!)
.
اما اینا دلیل نمیشه که شما حتما ویروس رو باید اینجاهها پیدا کنین و حتما هم همین پسوند ها باشن. چون اگر اینطور بود دیگه کلمه ویروس معنی نداره!!! چون همه میدونن مشکلی پیش اومد برن کجا! و ویروس ها نسلشون منقرض می شد.
.
حالا اگه مشکلی نداری دست از سرش بردار
.

[peyman]

سلام
آقا شرمنده از اینکه به این ویروس مبتلا شدید
آنتیش رو میزارم تا اگه سیستم کس دیگه ایی آلوده شده پاکش کنه
البته دیگه الان همه آنتی ویروس ها هم میشناسنش

[reza_17173]

مرسی از کمکتون. فقط آقا پیام این فایل خودش که ویروسیه می خوام دانلودش کنم

[peyman]

مرسی از کمکتون. فقط آقا پیام این فایل خودش که ویروسیه می خوام دانلودش کنم

این فایل دقیقا عکس کارهای اون ویروس رو انجام میده
ممکنه بعضی از آنتی ویروسها بهش گیر بدن

[peyman]

این هم یه معرفی ساده از این ویروس هستش
فکر کنم براتون جالب باشه ...

[reza_17173]

مرسی. فایل رو دانلود کردم بعد از اجرا کردنش هم سیستم ریستارت شد. امیدورام دیگه شرش کم شده باشه.
می گم امروز صفحه اول سایت رو چرا هک کرده بودن؟ ولی الان انگار درست شده.
نکنه بعضی ها عصبانی شده بودن از اینکه به این ویروس مبتلا شدن.