اموزش : یک روش جالب برای جلوگیری از الوده شدن به ویروس اتوران

[picher_s]

سلام به همه
روش Mahdi7610 یه روش توپ بود. چرا!؟!!!
من از دیروز که تاپیک رو دیدم روشهای بسیاری رو برای از بین بردن این پوشه تست کردم.
با CMD و دستورات برنامه نویسی سعی کرم اونو پاک کنم که نشد.این در حالی بود که میشه فایل ساخته شده توسط Flash_Disinfector رو با دستور ساده Del تو Dos پاک کرد!!!
تنها برنامه ای که تونست اون پوشه رو پاک کنه برنامه Unlocker بود!!!
با باز کردن فایل Autorun.inf شما دستور هایی رو میبیند که ویروس میتونه به منوی راست کلیک اضافه کنه.
برای اینکه بخواهیم از مسیر خود فایل اجرایی که Autorun رو میسازه گاه بشیم فقط باید فایل رو باز کرده و
[autorun]
open=Recycler\Autoplay.exe
دستور رو به روی Open رو ببینیم. این دستور اجرای Autorun به صورت پیشفرض هست یهنی برو به یه پوشه داخلی به نام Recycler و فایل Autoplay رو اجرا کن.
ساخت BatchFileش رو هم که همه بلدید.
فقط یه سوال میمونه!!
فایل Autorun.inf به تنهایی ویروس نیست!نمی دونم چرا خیلی به اون ویروس میگن!!؟؟؟
فایل Autorun.inf توسط هر ویروسی ممکنه ساخته شه و میتونه هیچ ربطی هم به SYS32 نداشته باشه!!
حالا این سوال پیش میاد چرا بعضی از آنتی ه اینو به عنوان ویروس میشناسن!!
آخه متن توی این فایل هست به انتی میفهمونه (از روی PatternFile در کسپر از رو هوش مصنوعیش) که ممکنه این فایل اجرا کننده یه ویروس باشه!! ( آخه کسپر بعضی مواقع به سورس کد های پاسکال منم گیر میده!! )
موفق و پیروز باشید.

[mahdi7610]

سلام به همه دوستان

تا جایی که مشخصه مسیر اصلی فایل autoplay.exe داخل پوشه ای به اسم RECYCLER در داخل همه درایوها می باشه .

به نظر من اگه ما یک فولدر به اسم autoplay.exe داخل تمامی پوشه های مربوط به RECYCLER و همچنین یک پوشه نیز داخل فولدر مربوط به system32 ایجاد کنیم می تونه تا حدودی بسیار زیادی از بروز ویروس autoplay.exe جلوگیر کنه .

این فولدر را می شه با همون دستوراتی که توی پست اول گذاشتم ایجاد کرد .

نظر شما چیه ؟

[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

موفق باشید .

[MichaelQwerty]

سلام دوستان

از طریق cmd می تونی داخل فایل autorun.inf استخراج کنی و فقط مسیر و اسم ویروس در درایو ها پیدا کنی

میشه دستورش رو بدی ؟؟

یک فایل Autorun.inf در درایو C: بساز و درونش تایپ کن برای دیدن این محتوای فایل این دستور اجرا کن:
type c:\autorun.inf

تا جایی که مشخصه مسیر اصلی فایل autoplay.exe داخل پوشه ای به اسم RECYCLER در داخل همه درایوها می باشه .

به نظر من اگه ما یک فولدر به اسم autoplay.exe داخل تمامی پوشه های مربوط به RECYCLER و همچنین یک پوشه نیز داخل فولدر مربوط به system32 ایجاد کنیم می تونه تا حدودی بسیار زیادی از بروز ویروس autoplay.exe جلوگیر کنه .

این فولدر را می شه با همون دستوراتی که توی پست اول گذاشتم ایجاد کرد .

نظر شما چیه ؟


[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

موفق باشید .

برنامه نویس مشخص میکنه اسمش چی باشه مثلا ویروسی که نوشتم اسم نداره و فقط پسوند داره (0160 نه هیچ اسمی نداره و در تمام درایوها بدون اسم کپی میشه )
فایل مادر (اصلی که وظیفه کپی رو داره اسم داره که اونم می تونستم بدون اسم کنم )این در رابطه با اسم
در رابطه با مسیر ویروس :
ویروس نویس مشخص میکنه که فایل اصلی کجا قرار بگیره دلیل این که ویروس ها در system32 قرار میگیره اینه که اکثر کاربرها از XP استفاده می کنند و بدون شک این پوشه(system32) وجود داره و نسبت به بقیه پوشه ها شلوغ تر هست و کاربر به سختی میتونه فایل سالم از نا سالم تشخیص بده . ویروس نویس هر جا که دوست داره می تونه فایل قرار بده ولی مسیر باید حتما روی سیستم وجود داشته باشه و از همه مهم تر امنیت ویروس هست
ویروس kazm_ghayze یکی از فایل هاشو درون پوشه windows قرار میده همونی که اسمش virus.exe و شاید خیلی ها ندونن چطور اجرا میشه در حالی که در این مسیر نیست:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run]
یا
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run]
و اگر هم کسی بتونه وارد safe mode بشه نمی تونه از کارش بندازه
ولی به راحتی از کار میفته ( ترفند)
اینا رو تو تاپیک های قبلی که آقا مهدی گذاشته بودن یاد گرفتم

[MichaelQwerty]

من از دیروز که تاپیک رو دیدم روشهای بسیاری رو برای از بین بردن این پوشه تست کردم.
با CMD و دستورات برنامه نویسی سعی کرم اونو پاک کنم که نشد.این در حالی بود که میشه فایل ساخته شده توسط Flash_Disinfector رو با دستور ساده Del تو Dos پاک کرد!!!

این روش دستی :
attrib -s -h -r c:\autorun.inf
حالا با دستور Del پاکش کن
از طریق برنامه نویسی:
به پستهای قبلی که گذاشتم نگاه کن
دوست عزیزم میتونی تو این دنیا چیزی رو نام ببری که کامل باشه به غیر از خدا
این که همش یه ویندوز با هزار عیب

[R@R#M@N]

سلام

درسته این دستور هم کارساز هست . من به اخر این دستور توجه نکرده بودم . فکر میکردم کارش از بین بردن فایل اتوران هست . اما مثل اینکه اخر دستور ، دستور ساخت فایل اتوران هم گذاشته شده .

مرسی .

آره دیگه !! اصل کار همون بود
خاهش میکنم

برای اینکه بخواهیم از مسیر خود فایل اجرایی که Autorun رو میسازه گاه بشیم فقط باید فایل رو باز کرده و
[autorun]
open=Recycler\Autoplay.exe
دستور رو به روی Open رو ببینیم. این دستور اجرای Autorun به صورت پیشفرض هست یهنی برو به یه پوشه داخلی به نام Recycler و فایل Autoplay رو اجرا کن.
ساخت BatchFileش رو هم که همه بلدید.

رفیق بعد از نوشته open= توی ویروسی که من بودم یه سری کد و عدد بود !!

سلام به همه دوستان

تا جایی که مشخصه مسیر اصلی فایل autoplay.exe داخل پوشه ای به اسم RECYCLER در داخل همه درایوها می باشه .

به نظر من اگه ما یک فولدر به اسم autoplay.exe داخل تمامی پوشه های مربوط به RECYCLER و همچنین یک پوشه نیز داخل فولدر مربوط به system32 ایجاد کنیم می تونه تا حدودی بسیار زیادی از بروز ویروس autoplay.exe جلوگیر کنه .

این فولدر را می شه با همون دستوراتی که توی پست اول گذاشتم ایجاد کرد .

نظر شما چیه ؟

مهدی جان اتوپلی رو راحت همه ی آنتی ویروسها شناسایی میکنن !! و میشه خیلی آسون پیداش کرد و پاکش کرد
یا حد نهایتش با یه اتوران ریموور اونو پاکش کرد
ولی بطور مثال ویروسی که من گرفته بودم توی فولدر سیستم32 بنام urretnd.exe بود
البته خود اتوران ها رو باروش مهران و همین روش شما پاک کرده بودم و سیستمم درست بود ولی show hidden file کار نمیکرد
در واقع من میخوام بدونم میشه این فایل رو تشخیص داد یا نه ؟؟؟
یعنی همون فایل اصلی اصلی که تو پوشه ی سیستم32 هست و کسی نمیدونه !!

[mahdi7610]

مهدی جان اتوپلی رو راحت همه ی آنتی ویروسها شناسایی میکنن !! و میشه خیلی آسون پیداش کرد و پاکش کرد
یا حد نهایتش با یه اتوران ریموور اونو پاکش کرد
!!

من بیشتر مد نظرم اینه که دچارش نشیم . وگرنه از بین بردنش روشها و برنامه های زیادی داره

[R@R#M@N]

آها
جواب این سوال چی ؟؟؟

ولی بطور مثال ویروسی که من گرفته بودم توی فولدر سیستم32 بنام urretnd.exe بود
البته خود اتوران ها رو باروش مهران و همین روش شما پاک کرده بودم و سیستمم درست بود ولی show hidden file کار نمیکرد
در واقع من میخوام بدونم میشه این فایل رو تشخیص داد یا نه ؟؟؟
یعنی همون فایل اصلی اصلی که تو پوشه ی سیستم32 هست و کسی نمیدونه !!

[mahdi7610]

در اکثر مواقع اسم فایل exe به همراه تعدادی کد داخل خود فایل نوت پد autorun.inf نوشته می شه .

یا در اکثر مواقع فایل exe همراه فایل نوت پد اتوران داخل درایوها و در کنار فایل نوت پد قرار داده و اگه فایلهای مخفی و سیستمی را قابل روئیت کنید اونا می تونید ببینید . و توی پوشه سیستم 32 هم باید دنبال همین فایل بگردید .

اما گاهی نیز این ویروس خیلی حرفه ای تر می شه و فقط یک فایل exe داره که داخل پوشه سیستم 32 هست و این کار را قدری مشکل می کنه . چون تشخیص فایل exe بسیار مشکل می شه . و مشکل اصلی هم همینه

موفق باشی .

[picher_s]

این روش دستی :
attrib -s -h -r c:\autorun.inf
حالا با دستور Del پاکش کن
از طریق برنامه نویسی:
به پستهای قبلی که گذاشتم نگاه کن
دوست عزیزم میتونی تو این دنیا چیزی رو نام ببری که کامل باشه به غیر از خدا
این که همش یه ویندوز با هزار عیب

سلام.
عزیز اونی رو که من گفتم برا FlashDisinfector جواب میداد!!برای پاک کردن این
لطفا اون قطعه کدی که تونستی باهاش این فولدر رو پاک کنی بزار، آخه عقل من کفاف نداد
من منتظرم دوست عزیز.

[R@R#M@N]

در اکثر مواقع اسم فایل exe به همراه تعدادی کد داخل خود فایل نوت پد autorun.inf نوشته می شه .

یا در اکثر مواقع فایل exe همراه فایل نوت پد اتوران داخل درایوها و در کنار فایل نوت پد قرار داده و اگه فایلهای مخفی و سیستمی را قابل روئیت کنید اونا می تونید ببینید . و توی پوشه سیستم 32 هم باید دنبال همین فایل بگردید .

اما گاهی نیز این ویروس خیلی حرفه ای تر می شه و فقط یک فایل exe داره که داخل پوشه سیستم 32 هست و این کار را قدری مشکل می کنه . چون تشخیص فایل exe بسیار مشکل می شه . و مشکل اصلی هم همینه

موفق باشی .

آها !! پس هنوز نمیشه
حالا یه چیزی من بگم
این فایل مگه با شروع ویندوز ران نیست ؟؟؟
پس میتونه توی MSCONFIG و قسمت استارتاپ باشه !! مخصوصآ اینکه آدرسش رو هم مینویسه !! من ویروس خودم رو همیجوری شناختم !!
اینم عکسش :



چون فایلش هم توی سیستم32 هست !!
فکرم نکنم استارتاپ دیفالت ویندوز فایل اجرایی داشته باشه که از سیستم32 ران بشه