کمک برای Win32/PSW.OnLineGames.NOY trojan

[ماراتون]

من چند وقتی هست که سیستمم به تروجان Win32/PSW.OnLineGames.NOY trojan مبتلا شده. اول باید بگم که من از ویروس کش NOD32 2.5 استفاده میکنم و هر روز آپدیت میشه و تا بحال مشکلی برام بوجود نیاورده و همه ویروسها رو شناخته و از بین برده. ولی نمیدونم این یکی دیگه چیه که تونسته فعال بمونه. این ویروی در هر درایو یک فایل Autorun.inf و 1nkbd8h.bat میسازه و هر بار که روی هر درایوی دابل کلیک میکنم اون توی یه پنجره جداگانه باز شده و ویروس کش پیغام میده. البته علاوه بر این نمیشه گزینه Show Hidden در Folder Option را فعال کرد که باعث میشه فایلهای مخفی نشان داده نشه. با اینکه خودم به صورت دستی تونستم کمی غیرفعالش کنم. البته ویروس کش از یک فایل با نام Amvo.ex and vga.sys در شاخه System32 خبر میده که میخواد فعال بشه و از این جور چیزا. الان حادترین مشکل من این هست که توی کامپیوترم شاخه های پنهان زیادی هست که من باهاشون خیلی کار دارم ولی در دسترس نیستند برای حل این مشکل کمکی کنید.

این هم گزارش انتی ویروس :

AMON | file | C:\WINDOWS\system32\drivers\vga.sys | Win32/PSW.OnLineGames.NOY trojan | deleted | NT AUTHORITY\SYSTEM | Event occurred at an attempt to access the file by the application: \??\C:\WINDOWS\system32\winlogon.exe.

AMON | file | C:\WINDOWS\system32\drivers\vga.sys | Win32/PSW.OnLineGames.NOY trojan | quarantined - deleted | Event occurred on a new file created by the application: C:\WINDOWS\system32\amvo.exe. The file was moved to quarantine. You may close this window.


AMON | file | C:\WINDOWS\system32\drivers\vga.sys | Win32/PSW.OnLineGames.NOY trojan | quarantined - deleted | Event occurred on a new file created by the application: D:\1nkbd8h.bat. The file was moved to quarantine. You may close this window.

محتویات فایل autorun :

;woA3afdiapwSael0Jos6J55L22ijDr3lw4S3ar4swSDplsA4K 3Kak07fifAK0wKArl2rf1D2Ls4s7i315klooKji9r
[AutoRun]
;KioaraeLZsd0Fl0ss8iHpjm1a3OolAwKoLK12kddaoaL26DJ
open=1nkbd8h.bat
;lS4q0fiKakcr2dl4sepm00saDUrZKFdLq44arZD1dA42r39jf wejAa1K5wDjCL2l4or3dorJ7ee0A6dAAi4qww7skoowkri3o
shell\open\Command=1nkbd8h.bat
;JwwsiaLw0wo221dr
shell\open\Default=1
;dorsZKSjkadddkD9rwr4wDcsa71JOojU2a34d8k9aK23f3q0j weljAqmae4iJ14p5J
shell\expolre\Command=1nkbd8h.bat
;mwA0I32so8kkAwws33p49eFlws1nda4LAoJ148iajsa2s4Lla ddJdsadKedOweXki3a6f9l0S7r5la5aq3Kw4fkwaZSwwrL1oK

محتویات فایل .bat هم یه چیزهای درهم برهم هست.

[mahdi7610]

سلام دوست عزیز

به گزارشی که از nod32 ارائه شده نسخه NOD32 - v.3209 به طور کامل قادر به از بین بردن این ویروس و ویروس اتوران می باشد . چون در نسخه های جدید این انتی ویروس امکانات زیادی از جمله از بین بردن ویروس اتوران اضافه شده است .

بهتره نسخه 3 به بالا را گیر بیارید و روی سیستم نصب کنید تا مشکل حل شود .

برای این که بتونید فایلهایی که به صورت مخفی شده در اومده را مشاهده کنید به ادرس زیر مراجعه کنید .

[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

موفق باشید .

[SILWESTER]

کل دستور bat اینه باقیش پیاز داقشه!

[AutoRun]

open=1nkbd8h.bat

shell\open\Command=1nkbd8h.bat

shell\open\Default=1

shell\expolre\Command=1nkbd8h.bat

[ماراتون]

سلام دوست عزیز

به گزارشی که از nod32 ارائه شده نسخه NOD32 - v.3209 به طور کامل قادر به از بین بردن این ویروس و ویروس اتوران می باشد . چون در نسخه های جدید این انتی ویروس امکانات زیادی از جمله از بین بردن ویروس اتوران اضافه شده است .

بهتره نسخه 3 به بالا را گیر بیارید و روی سیستم نصب کنید تا مشکل حل شود .

برای این که بتونید فایلهایی که به صورت مخفی شده در اومده را مشاهده کنید به ادرس زیر مراجعه کنید .

.....
موفق باشید .

اتفاقا من هم از این فروم استفاده کردم و مطالب تاپیک خیلی مفید بود تونستم دوباره فایلهای پنهان رو ظاهر کنم و قضیه فولدر آپشن هم درست شد فقط میخوام مطمئن بشم که ویروس پاک شده. متاسفانه یا خوشبختانه دیگه اون فایلها روی سیستمم نیست. (متاسفانه از او لحاظ که یکی از دوستان میخواست زحمت کشیده و اون را آنالیز کنه) ولی الان دچار یه مشکل دیگه شدم وقتی ویندوز بالا مییاد یه پنجره NotePad باز میشه که فایل Desktop.ini رو باز میکنه این فایل در قسمت Startup قرار داده شده و هر چه پاک کنم در راه اندازی بعد دوباره ظاهر میشه نمیدونم دنباله همون قضیه قبلی است یا نه. یعنی سیستم من دچارمشکل امینتی شده که بتونن بهش دسترسی داشته باشن. البته توی این چند وقت برنامه اصلی یا هسته نود هم دچار مشکل میشد بدین ترتیب که یه پنجره Error یا همون Don't Send ظاهر میشد. این هم محتویات فایل Desktop.ini

[.ShellClassInfo]
LocalizedResourceName=@%SystemRoot%\system32\shell 32.dll,-21787

[mahdi7610]

اتفاقا من هم از این فروم استفاده کردم و مطالب تاپیک خیلی مفید بود تونستم دوباره فایلهای پنهان رو ظاهر کنم و قضیه فولدر آپشن هم درست شد فقط میخوام مطمئن بشم که ویروس پاک شده. متاسفانه یا خوشبختانه دیگه اون فایلها روی سیستمم نیست. (متاسفانه از او لحاظ که یکی از دوستان میخواست زحمت کشیده و اون را آنالیز کنه) ولی الان دچار یه مشکل دیگه شدم وقتی ویندوز بالا مییاد یه پنجره NotePad باز میشه که فایل Desktop.ini رو باز میکنه این فایل در قسمت Startup قرار داده شده و هر چه پاک کنم در راه اندازی بعد دوباره ظاهر میشه نمیدونم دنباله همون قضیه قبلی است یا نه. یعنی سیستم من دچارمشکل امینتی شده که بتونن بهش دسترسی داشته باشن. البته توی این چند وقت برنامه اصلی یا هسته نود هم دچار مشکل میشد بدین ترتیب که یه پنجره Error یا همون Don't Send ظاهر میشد. این هم محتویات فایل Desktop.ini

[.ShellClassInfo]
LocalizedResourceName=@%SystemRoot%\system32\shell 32.dll,-21787

سلام دوست عزیز

Desktop.ini در واقع یک شکاف امنیتی در نحوه نمایش فولدر های ویندوز هست که باعث می شه کسی خارج از اختیارات خودش بتونه کارهایی را انجام بده .

وجود این فایل داخل فولدر باعث می شه تا ویندوز برخی اعمال خاص را در مورد اون فولدر انجام بده .

مثلا می شه پارامترهای استاندارد یک فولدر را به یک ایکون اختصاصی دلخواه تغییر داد .

پارامتر "[.ShellClassInfo]" که داخل این فایل است باعث بروز این مشکل هست اگه این پارامتر به گونه ای تعریف بشه که به CLSID یک فایل اجرایی اشاره کنه ممکنه باعث اجرای برنامه ای با اختیارات کاربر غیر مجاز شود .

شما بعد از باز شدن اون محتوای اونا خالی کنید و بعد سیو کنید و بعد هم در راه اندازی بعدی اونا با استفتاده از دستور msconfig از استارت اپ بر دارید .

البته وجود این فایل مشکل خاصی ایجاد نمی کنه به دلیل استفاده از برنامه هایی بوده که فایلهای مخفی را برگردوندن و در واقع این فایل هم مخفی بوده که فعال شده .

موفق باشی .

[ماراتون]

ممنون دریافت شد.