در این تاپیک میخوایم در مورد ویروس مهیب saldost\w32 به تبادل نظر بپردازیم:18:.

كارشناسان امنيت اطلاعات در كشور به كاربران در مورد شيوع يك ويروس اينترنتي با نام (‪ (W32/Saldost‬كه توسط ويروس نويسان ايراني نوشته شده است، هشدار دادند.

حمیدرضا سعدی مدير نرم‌افزار يكي از شركت‌هاي امنيت اطلاعات امروز با بيان اين مطلب به ایرنا ، گفت: بر اساس مشاهدات، نسخه دوم اين ويروس نيز در اينترنت منتشر شده است.

وی افزود: اين ويروس نوشته شده به شكل يك نوار زرد رنگ در بالاي صفحه رايانه و همراه با جملات فارسي به رنگ قرمز نمايش داده مي‌شود.

اين بدافزار اينترنتي پس از اجراي فايل آن بر روي سيستم كاربر، ابتدا خودش را بر روي سيستم كپي مي‌كند و سپس با تغيير دادن كليدهايي در رجيستري باعث بروز مشكلاتي از جمله باز نشدن ‪Folder Option‬و مخفي نگه داشتن فايل‌هاي مخفي مي‌شود.

از جمله كارهاي ديگر اين ويروس اين است كه خودش را در ريشه همه درايوها با نام ‪autoply.exe‬كپي كرده و در كنار آن فايلي با نام ‪Autorun.inf‬ايجاد مي‌كند.

اين عمل باعث مي‌شود كه هر گاه كاربر بخواهد به هر شكلي وارد هر درايوي شود، فايل مربوط به كرم اجرا گردد.

نوع ‪Autorun‬ايجاد شده به گونه‌اي است كه اگر فايل ‪autoply.exe‬ كه خود كرم است از روي سيستم پاك شده ولي فايل ‪Autorun.inf‬باقي بماند، با دوبار كليك كردن بر روي نام درايو پنجره ‪Open with‬نمايش داده مي‌شود و كاربر نمي‌تواند وارد درايو شود. در اين حالت با كليك راست نمودن بر روي نام درايو و انتخاب گزينه "‪"open‬ نيز نمي‌توان وارد درايو شد:41::41:.

من دنبال روش پاک کردنشم.

برای پاک کردن سیتمتون از این ویروس به این لینک مراجعه کنید
موفق باشید.

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

سلام ...

تاپیک به بخش آنتی ویروس و نرم افزارهای امنیتی ([ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]) منتقل شد .

موفق باشید .

من گرفتمش:(
نمی دونم چرا هر ویروسی میاد من اولین نفر میگیرمش
چکککککار کنم؟؟؟

آيا به اندازه كافي ايمن هستي

در این تاپیک میخوایم در مورد ویروس مهیب saldost\w32 به تبادل نظر بپردازیم:18:.

متاسفانه شما 2 نکته را با هم اشتباه گرفتید.
1. شناختن ویروس
2. بازگشت ویندوز به حالت معمولی و رفع عیب و اشکالها بعد از خرابی.

در مورد نکته اول ... آنتی ویروس NOD32 اگر بر روی سیستم کسی نصب باشه و این ویروس بخواد خرابی هاشو
انجام بده خیلی راحت از سیستم دفاع میکنه و درجا اون ویروس رو از روی سیستم پاک میکنه و با تکه تکه کردنش
اونو در قرنطینه قرار میده. در این حالت این ویروس هیچ خرابکاری نمیتونه انجام بده چون آنتی ویروس آپدیت شده و
فعال در حال محافظت از سیستمه.

اما در مورد نکته دوم... کسانی که سیستمشون توسط این ویروس مبتلا شده هیچ کدام آنتی ویروس درست و
حسابی روی سیستمشون نصب نبوده و اگر بوده آپدیت شده نبوده. خیلی ها هفته ای یکبار به قول خودشون
آپدیت میکنند و فکر میکنند کافیه. ویروسها دقیقه ای و ثانیه ای پخش میشند و این افراد ماهی یکبار و یا هفته ای
یک با آپدیت میکنند.

در این حالت این افراد سیستمشون آلوده میشه و بعد از آلوده شده میرن و مثلا کسپرسکی و ناد 32 رو با هزار تا
پست کمک کنید این چه جوری اکتیو میشه رو نصب میکنند. تازه بعد از آپدیت کردن متوجه میشند که کسپرسکی
و یا ناد 32 یه چیزیایی پیدا کرده و پاک میکنند اما خرابی ها هنوز سر جاشه. در این حالت شما باید بدونید که هیچ
آنتی ویروسی بعد از خرابی نمیتونه سیستم رو کاملا پاک کنه. شما باید همیشه از حالت اول استفاده کنید نه
حالت دوم.

مشکل آنتی ویروسها این نیست که بعضی ها بلد نیستند از آنتی ویروس استفاده کنند. و همچنین مشکل آنتی
ویروسها این نیست که بعضی ها تنبلی میکنند و گشت و گذار در اینترنت رو به 5 دقیقه آپدیت کردن آنتی ویروس
ترجیح میدند.

همیشه پیشنهاد شده که از یک آنتی ویروس خوب و آپدیت شده با ضریب هوش مصنوعی خوب در سیستم
بصورت فعال استفاده بشه. و برای محافظت بیشتر همیشه از یک فایروال و سیستم HIPS استفاده بشه تا اگر
آنتی ویروس نتونست ویروسی رو تشخیص بده سیستم HIPS و اطلاعات شخصی اون شخص بتونه از خرابی ها
جلوگیری بکنه.

دلیل اینکه انتی ویروس ها نمی تونن این ویروس رو از بین ببرند اینه که هیچ انتی ویروسی سگنچرش رو نداره .
نکته مهم ابنه که انتی ویروش ها اونو پیدا و شناسایی می کنند ولی نه میتونن پاکش کنن نه میتونن قرنطینه کنه نه میتونه repair کنه.
اگه ایرانی ها تو همه چی اینقدر مخ داشتن الان وضع ما اینجوری نبود.

زیاد بزرگ نکنید این ویروس رو :46:
به قول امضای یکی از قدیمی های این فروم که متاسفانه اسم شریفشون رو به یاد ندارم :‌کمتر هستند کسانی که سیدی ارزشمند Hiren رو می شناسند . پست خانوم/آقای zhina_gian رو هم تایید می کنم .
و در آخر ٬ خداحافظ دردسر های اینچنینی ویندوز ! ما که رفتیم لینوکس ... :10:

تا بعد ...

با سلام؛
هركي ره حلي براي اين ويروس تونست بدست بياره ممنون مي شم من رو هم در جريان بگذاره.
با تشكر
GOZET_MP@YaHOO.COM

زیاد بزرگ نکنید این ویروس رو :46:
به قول امضای یکی از قدیمی های این فروم که متاسفانه اسم شریفشون رو به یاد ندارم :‌کمتر هستند کسانی که سیدی ارزشمند Hiren رو می شناسند . پست خانوم/آقای zhina_gian رو هم تایید می کنم .
و در آخر ٬ خداحافظ دردسر های اینچنینی ویندوز ! ما که رفتیم لینوکس ... :10:

تا بعد ...
اهه ....رفتی لینوکس...اونم بی خبر؟؟؟
حسین masterخیرندیده هم رفته لینوکس...
دنیای اوپن!!سورسه دیگه..
ماهم که دستمون ازدنیای برنامه نویسی کوتاه:41:

با سلام؛
هركي ره حلي براي اين ويروس تونست بدست بياره ممنون مي شم من رو هم در جريان بگذاره.
با تشكر
GOZET_MP@YaHOO.COM
کافیه مشخصات ویروس رو به لابراتوارNOD32ویا بقیه ی شرکت ها ایمیل کنید...
باتوجه به تجربه ام میگم .:11:..که ظرف 24تا48ساعت پچ امنیتی رو یابراتون ایمیل می کنن ویا آپدیت میکنن ..
این جوری زودتر درجریان قرارمیگیرید

اهه ....رفتی لینوکس...اونم بی خبر؟؟؟
حسین masterخیرندیده هم رفته لینوکس...
دنیای اوپن!!سورسه دیگه..
ماهم که دستمون ازدنیای برنامه نویسی کوتاه:41:


دنیای قشنگیه ٬ همه چیز Free ٬ دقدقه ی ویروس و آنتی ویروس و آپدیت و .... : خداحافظ ! :20:

یاد گرفتنش هم باور کن زیاد سخت نیست . راستش منم هیچی برنامه نویسی بارم نیست . کار کردن با لینوکس ارتباطی با برنامه نویسیش نداره ... ٬ یه سیستم عامل متفاوته . اوبونتو هم کلی راهنما و ساپورت فارسی و انگلیسی داره .

خلاصه همه اینارو گفتم بدونی با این بهونه ها درد پیری و کم حوصله بودنتو مخفی نکن پیرمرد سایت :31:

ولی تجربه میگه ٬ با اوپن !!! راحت تر میشه کار کرد :21:

تا بعد ...

ظاهرا آنتي ويروس ايراني IMEN (ايمن)محصول كمپاني mehranco.com توانسته اين ويروس ايراني w32/saldost (سل دوست به معناي سلام دوست است كه ابتداي نامه اين ويروس قرار دارد) را كاملا از بين ببرد.ويروس saldost داراي 2 نسخه A و B است كه نسخه B بعد از نسخه A منتشر شد و 2 ويروس ديگه ايراني نيز به نامهاي samazad و Alman نيز به دنبال اين ويروس منتشر شدند كه در واقع ويروس تغيير يافته saldost ميباشند.

اما دانستن اطلاعاتي در مورد اين ويروس ايراني و اينكه اين ويروس چه كارهايي را در سيستم ميتونه انجام بده خالي از لطف نيست:

اطلاعاتي در خصوص ويروس ايراني Saldost

این کرم اینترنتی ایرانی بوده که توسط ضدویروس ایمن شناسایی و پاکسازی می شود و پس از اجرای فایل ﺁن بر روی سیستم کاربر، ابتدا خودش را به صورت زیر بر روی سیستم کپی می نماید:


%TEMP%\svchost.exe
%PROGRAMFILES%\Sound Utility\Soundmax.exe
%PROGRAMFILES%\Common Files\Microsoft Shared\MSshare.exe
%WINDIR%\Web\OfficeUpdate.exe


سپس فایل خود با نام svchost.exe در مسیر %TEMP% را اجرا کرده و برای این که با هر بار راه اندازی سیستم ﺁلوده به طور خود کار اجرا گردد، خود را به شکل زیر در رجیستری ثبت می نماید:


HKLM\SOFTWARE\Microsoft\Windows\CurrentVe rsion\Run
SoundMax = %PROGRAMFILES%\Sound Utility\Soundmax.exe

سپس کلیدهای در رجیستری را به شکل زیر تغییر می دهد:


HKCU\Software\Microsoft\Windows\Curr entVersion\Explorer\Advanced
Hidden = 2
HideFileExt = 2

ShowSuperHidde n = 2
HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\Explorer
Nof olderoptions = 2

HKLM\Software\Microsoft\Windows\CurrentVersion\Pol icies\E xplorer
Nofolderoptions = 1

HKLM\SOFTWARE\Policies\Microsoft\Windows NT\ SystemRestore
DisableConfig = 1
DisableSR = 1


تغییرات فوق باعث بروز مشکلاتی از جمله باز نشدن FolderOption و مخفی نگه داشتن فایلهای مخفی می گردد که برای برطرف کردن این مشکلات می توانید برنامه زیر را از سایت ایمن دانلود کرده و ر جیستری خود را پاکسازی نمایید:


برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

همچنین کلید IsShortCut را از مسیرهای زیر در رجیستری پاک می کند:

HKEY_CLASSES_ROOT\lnkfile
HKEY_CLASSES_ROOT\piffile
HKEY_CLASSES_ROOT\InternetShortcut

و کلیدی با نام Wintek در مسیر زیر ایجاد می کند:

HKEY_CURRENT_USER\Software \

و کلید زیر را در ﺁن ایجاد می نماید:

Install = b2ed3 (Dword – Value i s in hex)
بعد از انجام کارهای فوق تمام برنامه های موجود در زمانبند ویندوز (دستور at) را پا ک کرده و با استفاده از زمانبند ویندوز فایل خود را که با نام OfficeUpdate.exe در مسیر WINDIR%\Web% وجود دارد هر روز در ساعات ۱۱:۳۰ و ۲۰:۳۰ اجرا می نماید.

یکی دیگر از کارهای این کرم این است که خود را در مسیرهای زیر با نام های فریبنده کپی می کند و از ﺁنجایی که برخی از این مسیرها مخصوص برنامه ها ی شبکه های اشتراک گذاری فایل (یا P۲P) هستند، با این کار امکان انتشار ﺁن در سراسر دنیا از طریق اینگونه برنامه ها فراهم می گردد:


%PROGRAMFILES%\Kazaa Lite \My Shared Folder\
%PROGRAMFILES%\Kazaa\My Shared Folder\
%PROGRAMFILES%\I cq\Shared Files\
%PROGRAMFILES%\emule\incoming\
%PROGRAMFILES%\Gnucleus\Do wnloads\Incoming\
%PROGRAMFILES%\KMD\My Shared Folder\
%PROGRAMFILES%\Lime wire\Shared\
%PROGRAMFILES%\XPCode\
C:\Inetpub\ftproot\

به علاوه در مسیرهایی که در ﺁنها فایل های از نوع MP3 ، JPG یا EXE وجود داشته باشد، خود را با نام zfile.exe کپی می کند. همچنین خود را با نام setup.exe و setlib.exe در مسیرهای زیر کپی می کند:

\WINDOWS\system32\config\systemprofile\My Documents\
\WINDOWS\system32\config\systemprofile\Start Menu\Programs\
\WINDOWS\system32\config\systemprofile\Start Menu\Programs\Accessories\
\WINDOWS\system32\ config\systemprofile\Start Menu\Programs\Accessories\Entertainment\
WINDOWS\system32\config\systemprofile\Start Menu\Programs\Startup\…
\WINDOWS\system32\drivers\
\WINDOWS\system32\spool\drivers\
\WINDOWS\system32\spool\drivers\w32×86\3\


اين كرم برای اينكه بتواند خود را درون شبكه تكثير كند، كامپيوترهای موجود در آن را جستجو كرده و با استفاده از درايوهای به اشتراك گذاشته شده، سعی می‌كند خودش را به شكل زير بر روی آن سيستم‌ها كپی كند:

C$\Documents and Settings\All Users\Start Menu\Programs\Startup\AdobeUpdate.exe

اين كار باعث می‌شود كه پس از راه‌اندازی آن سيستم‌ها، ويروس به طور خودكار اجرا شده و عمليات تكثيری خود را بر روی آنها انجام دهد.

از جمله كارهای جالب اين ويروس اين است كه خودش را در ريشه همه درايوها با نام autoply.exe كپی كرده و در كنار آن فايلی با نام Autorun.inf ايجاد می‌كند. اين عمل باعث می‌شود كه هر گاه كاربر بخواهد به هر شکلی وارد هر درايوی شود، فايل مربوط به كرم اجرا گردد. نوع Autorun ايجاد شده به گونه‌ايست كه اگر فايل autoply.exe كه خود كرم است از روی سيستم پاك شده ولی فايل Autorun.inf باقی بماند، با دوبار كليك كردن بر روی نام درايو پنجره Open with نمايش داده می‌شود و كاربر نمی‌تواند وارد درايو شود. در اين حالت با كليك راست نمودن بر روی نام درايو و انتخاب گزينه Open نيز نمی‌توان وارد درايو شد. برای برطرف نمودن اين مشكل بايستی فايل زير را از روی سايت ايمن دانلود نموده و آن را بر روی سيستم خود اجرا نماييد:


برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

اين كرم فايلی با نام Important.htm را در مسيرهای زير بر روی سيستم كاربر کپی می‌نمايد كه حاوی جملاتی به زبان فارسی است:

%USERPROFILE%\Desktop\
%USERPROFILE%\My Documents\

آیا این ویروس ربطی به فایل های exe داره؟


و در آخر ٬ خداحافظ دردسر های اینچنینی ویندوز ! ما که رفتیم لینوکس ... :10:

به به ! به به!
لینوکس رو عشق است
ایول، بابا دست ما رو هم بگیر!!!!!!!!

آقا من همه ی مشکلام حل شد ولی ویروس فکر نکنم پاک شده باشه ، همچنین اون فایلایی که فبلا هیدن شده دیگه unhiden نمی شه چه کنم ؟

از همتون ممنونم ...

آقا من همه ی مشکلام حل شد ولی ویروس فکر نکنم پاک شده باشه ، همچنین اون فایلایی که فبلا هیدن شده دیگه unhiden نمی شه چه کنم ؟

از همتون ممنونم ...
سلام دوست عزیز
به ادرسی که توی امضاء من هست رجوع کنید و بحث را اونجا ادامه بدید

موفق باشید .

با سلام.
می تونین از این برنامه کم حجم برای حذف کرم پیغام دهده استفاده کنین.

[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]

سلام.
کسی این ویروس را داره برامون آپلود کنه؟

با سلام.
می تونین از این برنامه کم حجم برای حذف کرم سالدوست استفاده کنین.

[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]

من با کسپرسکی اونو پاک کردم .

من چند روز پیش به همین ویروس مبتلا شدم بعد رفتم ردشو از taskbar گرفتم بعد دیدم که تو همه درایوا خدشو کپی کرده منم تو address bar اسم همه دریوا رو نوشتم مثل C: و D: و ... تا از تو همشون فایل های autorun.ini و Thumbs.exe رو پاک کردم و همچنین از msconfig تو بخش startup هم پاکش کردم سپس یک بار ری استارت کردم درست شد. مال من هر بیست دقیقه بالا مانیتورم یه جک مینوشت! جک هاشم بامزه بودن! حیف شد. من این ویروس رو از flash memory ام گرفته بودم.

میگم اگه این آنتی ویروس های بزرگ این کار هارو هم نمیتونن بکنند پس بیاین ما هم برا خودمون انتی ویروس درست کنیم.؟
میخواستم بدونم که ایا ای فایل exe این ویروس اسم های دیگه ای هم داره؟ مال من Thumbs.exe بود. مال شما چطور؟

این که اصلا در حد ویروس نیست

انتی ویروس ایمین به طور کامل حذفش می کنه

نحوه پاک کردن دستی 2 دقیقه

بستن پروسس و رد یابی ادرس ان با Process explorer

جلوگیری از هر بار اجرا شدن (استارت اپ ) و پاک کردن با نرم افزار Autoruns

پاک کردن از ریشه همه درایو ها

درست کردن فولدر اپشن از گروپ پولیسی

بهترین آنتی ویروس برای از بین بردن این ویروس های بچه گانه کاسپر اسکای 7 بدون آپ دیت هست
چون من خودم تستش کردم و الان کاسپر رتبش 1 هست

بهترین آنتی ویروس برای از بین بردن این ویروس های بچه گانه کاسپر اسکای 7 بدون آپ دیت هست
چون من خودم تستش کردم و الان کاسپر رتبش 1 هست

آره.من هم موافقم.کاسپر بهترینه

ویروس سالدوستی که تو کامپیوتر منه عملکرد متفاوتی داره. همه فایلهای مخفی رو نمایش میده و folder option رو هم از بین نبرده اما بعضی از گزینه های تب view مثل do not show hidden file and folder و show hidden file and folder رو از بین برده. من از SaldostCleaner که از سایت دانشگاه آزاد دانلود کرده بودم برای پاک کردنش استفاده کردم اما ویروس همچنان روی کامپیوتر من وجود داره. فکر می کنم این ویروس نسخه متفاوتی از سالدوست. حالا کسی می تونه راه حلی برای پاک کردنش پیشنهاد کنه؟

ویروس سالدوستی که تو کامپیوتر منه عملکرد متفاوتی داره. همه فایلهای مخفی رو نمایش میده و folder option رو هم از بین نبرده اما بعضی از گزینه های تب view مثل do not show hidden file and folder و show hidden file and folder رو از بین برده. من از SaldostCleaner که از سایت دانشگاه آزاد دانلود کرده بودم برای پاک کردنش استفاده کردم اما ویروس همچنان روی کامپیوتر من وجود داره. فکر می کنم این ویروس نسخه متفاوتی از سالدوست. حالا کسی می تونه راه حلی برای پاک کردنش پیشنهاد کنه؟
سلام

به تاپیک زیر هم سر بزنید خالی از لطف نخواهد بود . روشهای دستی برای از بین بردن این ویروس گفته شده .

روشهای حل مشکل Show Hidden Files و از بین بردن انواع ویروسهای کامپیوتری ([ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ])

موفق باشید .

سلام
من كه نتونستم اين كرم سالدوس را پاك كنم
كمككككككككككككككككككككككك

این ویروسشو از کجا میشه گیر آورد؟

به نظر شما آنتی ویروس avira premium security suite 2008 با آخرین آپدیت که الآن رو سیستمم نصبه میشه این ویروس رو شناخت؟