من حدود دو هفته است كه كامپيوترم با وجود آنتي ويروس kaspersky مبتلا به اين ويروسه . اما تونستم اطلاعاتي در مورد اين ويروس به دست بيارم و اونو از بين ببرم . اگه كسي اطلاعات بيشتري در مورد اين ويروس داره به بقيه هم بگه !


ویروس Win32/PSW.Agent.NDP که به تازگی وارد اینترنت شده با غیرفعال کردن گزینه
show hidden files and folders در folder option باعث عدم نمایش فایلهای مخفی می شه و نمی زاره که کاربرها فایلهایي كه مخفی کردن رو ببینن. این ویروس با دستکاری تو رجیستری ویندوز باعث می شه که شما نتونید تنظیمات hidden file and folder را تغییر بدید. به محض تغییر دادن این قسمت و خارج شدن از اون تنظیمات به حالت پیش فرض خود برمیگرده . البته این ویروس خرابکاریهای دیگه ای هم داره اول اینکه تو تمام درایوهای شما یه فایل autorun.inf می سازه که درایوهای هارد رو autorun می کنه.
دوم اینکه دوباره تو تمام درایوها یه فایل دیگه به نام ntde1ectمی سازه که شما به محض اینکه فلاپی وارد سیستم کنید یا فلش یا mp3 pleyer را به کامپیوتر متصل کنید یه کپی از خودش به صورت hidden وارد دستگاه شما یا فلاپی شما می کنه . البته فایل ntde1ect خیلی شبیه فایل ntdetect هست که توی درایو C وجود داره و برای بالا اومدن ویندوز ضروریه . اینو گفتم یه وقت این دوتا رو با هم اشتباه نگیرید . اگر خواستید این فایلهای مخرب رو توی درایوهای هاردتون ببینید می تونید با استفاده از برنامه nero این کار رو بکنید . سوم اینکه با اجرای فایل avpo.exe به شما اجازه نمیده که فلش یا mp3 pleyer یا هر چیز دیگه رو از پورت USB ، safe remove کنید .
تا چندی پیش آنتی ویروس های node32 و Kaspersky با وجود update شدن این ویروس رو تشخیص نمی دادن اما حدود یک هفته است که آنتی ویروس node32 اگه به روز بشه این ویروس رو می شناسه و اونو delete می کنه . اما اگه شما نتونستید با آنتی ویروس این ویروس رو از بین ببرید روش پاک کردن این ویروس رو به صورت دستی براتون نوشتم که خیلی آسونه می تونید امتحان کنید که 100% جواب میده .



روش پاک کردن :


1. در حالت safe mode وارد ویندوز شوید . ( با زدن دکمه F8 قبل از بالا آمدن ویندوز حالت safe mode را انتخاب کنید )
2. پنجره Task Manager را باز کنید (Ctrl-Alt-Del) و برنامه های زیر را در صورت اجرا ببندید .
wscript.exe : اگر در حال اجرا بود آن را ببندید (End process)
avpo.exe : اگر در حال اجرا بود آن را ببندید (End process)
3. از قسمت start برنامه Run را اجرا کنید و در عبارت cmd را در آن تایپ کنید و enter را بزنید .
4. در این قسمت در خط فرمان برنامه ، دستور زیر زیر را تایپ کنید و enter را بزنید .

del c:\autorun.* /f /a /s /q

این دستور را برای درایوهای دیگر اجرا کنید . با این دستور تمام فایلهایautorun موجود delete می شود .
قبل از این کار اگر در درایوها فایل autorun دارید که فکر میکنید به دردتون می خوره ، اول از این فایل backup بگیرید بعد دستور بالا رو اجرا کنید .
5. در این مرحله در خط فرمان c:\ دستور زیر را تایپ کنید تا وارد پوشه system32 شوید :

C:\cd windows\system32
C:\windows\system32

6. در ادامه دستور زیر را تایپ کنید و آنرا اجرا کنید .

*.*dir /a avp

7. در این قسمت هر فایلی به نامهای avp0.dll و avpo.exe و avp0.exe دیده شد آنرا پاک کنید .

attrib -r -s -h avpo.exe
del avpo.exe

8. بعد از این مراحل تمام پنجره ها رو ببندید و برنامه registry را اجرا کنید :
(Run \regedit)
مسیر زیر را دنبال کنید :
HKEY_CURRENT_USER \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run

در این قسمت هر کلیدی که به نام avpo.exe بود را delete کنید .
9. در برنامه registry قسمت edit گزینه Findرا کلیک کنید و عبارت
ntde1ect را جستجو کنید. تمام کلیدهای پیدا شده را delete کنید .
این کار را برای فایل avpo.exe نیز انجام دهید و تمام کلیدهای پیدا شده راdelete کنید .
10. در آخر کار سراغ کلید زیر بروید و مقدار CheckedValue را برابر 1 قرار دهید .


HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion
Explorer/Advanced/Folder/Hidden/SHOWALL


نکته خیلی مهم : اگه این ویروس رو با آنتی ویروس از بین بردید باید مرحله 10 رو خودتون انجام بدید تا بتونید فایلهای hidden رو ببینید .
حسين آقاجان:5:

كاسپر كه انتي ويروس نيست.اگه يه بيت ديفندر داشته باشي ديگه مشكلي نداري.
اره ديگه [ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]

كاسپر كه انتي ويروس نيست.اگه يه بيت ديفندر داشته باشي ديگه مشكلي نداري.
اره ديگه [ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]

درستع بیت دیفندر جز بهترین انتی ویروسهاست اما بی انصافی که کسپر اسکای را جز انی ویروسهای معتبر ندونید

درستع بیت دیفندر جز بهترین انتی ویروسهاست اما بی انصافی که کسپر اسکای را جز انی ویروسهای معتبر ندونید

بله حق با شماست.من خودم در درجه اول بيت رو ميپسندم بعد كسپر رو.ميدونيد كه كار روسها حرف نداره(كسپر رو عرض ميكنم)

من حدود دو هفته است كه كامپيوترم با وجود آنتي ويروس kaspersky مبتلا به اين ويروسه . اما تونستم اطلاعاتي در مورد اين ويروس به دست بيارم و اونو از بين ببرم . اگه كسي اطلاعات بيشتري در مورد اين ويروس داره به بقيه هم بگه !


ویروس Win32/PSW.Agent.NDP که به تازگی وارد اینترنت شده با غیرفعال کردن گزینه
show hidden files and folders در folder option باعث عدم نمایش فایلهای مخفی می شه و نمی زاره که کاربرها فایلهایي كه مخفی کردن رو ببینن. این ویروس با دستکاری تو رجیستری ویندوز باعث می شه که شما نتونید تنظیمات hidden file and folder را تغییر بدید. به محض تغییر دادن این قسمت و خارج شدن از اون تنظیمات به حالت پیش فرض خود برمیگرده . البته این ویروس خرابکاریهای دیگه ای هم داره اول اینکه تو تمام درایوهای شما یه فایل autorun.inf می سازه که درایوهای هارد رو autorun می کنه.
دوم اینکه دوباره تو تمام درایوها یه فایل دیگه به نام ntde1ectمی سازه که شما به محض اینکه فلاپی وارد سیستم کنید یا فلش یا mp3 pleyer را به کامپیوتر متصل کنید یه کپی از خودش به صورت hidden وارد دستگاه شما یا فلاپی شما می کنه . البته فایل ntde1ect خیلی شبیه فایل ntdetect هست که توی درایو C وجود داره و برای بالا اومدن ویندوز ضروریه . اینو گفتم یه وقت این دوتا رو با هم اشتباه نگیرید . اگر خواستید این فایلهای مخرب رو توی درایوهای هاردتون ببینید می تونید با استفاده از برنامه nero این کار رو بکنید . سوم اینکه با اجرای فایل avpo.exe به شما اجازه نمیده که فلش یا mp3 pleyer یا هر چیز دیگه رو از پورت USB ، safe remove کنید .
تا چندی پیش آنتی ویروس های node32 و Kaspersky با وجود update شدن این ویروس رو تشخیص نمی دادن اما حدود یک هفته است که آنتی ویروس node32 اگه به روز بشه این ویروس رو می شناسه و اونو delete می کنه . اما اگه شما نتونستید با آنتی ویروس این ویروس رو از بین ببرید روش پاک کردن این ویروس رو به صورت دستی براتون نوشتم که خیلی آسونه می تونید امتحان کنید که 100% جواب میده .



روش پاک کردن :


1. در حالت safe mode وارد ویندوز شوید . ( با زدن دکمه F8 قبل از بالا آمدن ویندوز حالت safe mode را انتخاب کنید )
2. پنجره Task Manager را باز کنید (Ctrl-Alt-Del) و برنامه های زیر را در صورت اجرا ببندید .
wscript.exe : اگر در حال اجرا بود آن را ببندید (End process)
avpo.exe : اگر در حال اجرا بود آن را ببندید (End process)
3. از قسمت start برنامه Run را اجرا کنید و در عبارت cmd را در آن تایپ کنید و enter را بزنید .
4. در این قسمت در خط فرمان برنامه ، دستور زیر زیر را تایپ کنید و enter را بزنید .

del c:\autorun.* /f /a /s /q

این دستور را برای درایوهای دیگر اجرا کنید . با این دستور تمام فایلهایautorun موجود delete می شود .
قبل از این کار اگر در درایوها فایل autorun دارید که فکر میکنید به دردتون می خوره ، اول از این فایل backup بگیرید بعد دستور بالا رو اجرا کنید .
5. در این مرحله در خط فرمان c:\ دستور زیر را تایپ کنید تا وارد پوشه system32 شوید :

C:\cd windows\system32
C:\windows\system32

6. در ادامه دستور زیر را تایپ کنید و آنرا اجرا کنید .

*.*dir /a avp

7. در این قسمت هر فایلی به نامهای avp0.dll و avpo.exe و avp0.exe دیده شد آنرا پاک کنید .

attrib -r -s -h avpo.exe
del avpo.exe

8. بعد از این مراحل تمام پنجره ها رو ببندید و برنامه registry را اجرا کنید :
(Run \regedit)
مسیر زیر را دنبال کنید :
HKEY_CURRENT_USER \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run

در این قسمت هر کلیدی که به نام avpo.exe بود را delete کنید .
9. در برنامه registry قسمت edit گزینه Findرا کلیک کنید و عبارت
ntde1ect را جستجو کنید. تمام کلیدهای پیدا شده را delete کنید .
این کار را برای فایل avpo.exe نیز انجام دهید و تمام کلیدهای پیدا شده راdelete کنید .
10. در آخر کار سراغ کلید زیر بروید و مقدار CheckedValue را برابر 1 قرار دهید .


HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion
Explorer/Advanced/Folder/Hidden/SHOWALL


نکته خیلی مهم : اگه این ویروس رو با آنتی ویروس از بین بردید باید مرحله 10 رو خودتون انجام بدید تا بتونید فایلهای hidden رو ببینید .
حسين آقاجان:5:

ممنون دوست عزیز!!:11::11:

من هم یه کپی ازش گرفتم و در صورت مواجه شدن با این ویروس حالشو میگیرم.

مؤفق و پیروز باشید!!:10:
فرهمنــــــــــــــــــــ د

سلام

دستت درد نکنه مطلب مفیدی بود

راستش من آنتی ویروس Nod32 روی سیستمم نصبه و تا حالا ویروسی وارد کامپیوترم نشده البته قبلا که از DrWeb استفاده می کردم چندین بار ویروسی شده بود سیستمم ولی از وقتی نود32 نصب کردم حدود 9 ماهه هیچ ویروسی جرات نکرده بیاد سراغ کامپیوترم
البته هر کسی از یه انتی ویروسی خوشش میاد ولی من که با نود 32 خیلی حال می کنم

فقط باید Update بشه و دیگه ویروسا جرات نمی کنن بیان سراغ کامپیوترتون

اولا این ویروس جدید نیست و چهار پنج ماهی میشه اومده
دوما نیازی به رفتن به safe mode نیست چون من قبل از دیدن تاپیک شما خودم این تروجان رو وقتی وارد سیستمم شد دستی پاک کردم:27:

مقاله ی خوبی بود ... ولی کپی بود ها شیطون . حالا من سیوش کردم تا شاید خدای نکرده لازم بشه .

با سلام
ممنون رايانه من هم مبتلا شده انشاء اله كه با اين روش پاك بشه

با سلام و تشكر
متاسفانه مشكل من با اين روش حل نشد چون اصلا نه در system32 و نه در رجيستري اثري از avpo يا ntde1ect وجود نداشت چند بار هم با دقت مراحلي را كه دوست عزيزمون گفته اند را انجام دادم ولي نتيجه نداد
به محض اينكه checkvalue را 1 مي كنم بعد از چند لحظه دوباره صفر مي شه كلافه شدم ديگه !