ورود

نسخه کامل مشاهده نسخه کامل : ویروس Antichrist



mahdi17729
17-02-2008, 14:49
این ویروس چطوری کامل پاک میشه ؟

omid.sarmad
17-02-2008, 15:28
این ویروس چطوری کامل پاک میشه ؟
سلام.آپش کن.

mahdi7610
17-02-2008, 15:43
سلام اقا مهدی . تا چند دقیقه دیگه به اموزش اضافه می کنم نحوه پاک کردنش را . این ویروس کارش خیلی جالبه . نمونش را قبلا دیدم .

mahdi7610
17-02-2008, 17:44
این ویروس چطوری کامل پاک میشه ؟
اقا مهدی به اموزش رجوع کن .
همون طور که اونجا هم گفتم . انتی ویروس های کسپراسکای ، مکافی و نورتون می تونند این ویروس را پاک کنند .
اما من برای این ویروس نورتون سیمانتک را توصیه می کنم . چون اولین انتی ویروسی که اونا شناخت norton بود . می تونی از انتی ویروس های انلاین هم استفاده کنی که خیلی بهتر هستن .
در ضمن این ویروس خیلی باهاله . یه جورایی س ی ا س ی هستش .

mahdi17729
18-02-2008, 08:54
دستت درد نکنه دارم میرم تست بکنم

mahdi17729
18-02-2008, 09:05
البته اگه لطف بکنی بگی این ویروس چطوری وارد سیستم میشه خیلی لطف کردی

mahdi7610
18-02-2008, 09:53
البته اگه لطف بکنی بگی این ویروس چطوری وارد سیستم میشه خیلی لطف کردی
سلام اقا مهدی .

راستش بیشتر امکان ورود این ویروس از طریق صفحات الوده و همچنین ایمیل های ارسال شده می باشد . وهمچنین از طریق فلش مموری ها نیز این ویروس تا حدودی قابل نفوذ پذیری می باشد .

این هم اطلاعات اضافی درباره این کرم اینترنتی

این کرم اینترنتی پس از اجرای فایل آن بر روی سیستم کاربر، ابتدا خودش را به صورت زیر بر روی سیستم کپی می‌نماید:
%System32%Sys.exe %Windows%Shell.exe %Windows%vxds.exe %Windows%Helpvxds.exe %Windows%mediawma.exe
و برای اینکه با هر بار بالا آمدن سیستم این فایل‌ها اجرا گردند، آنها را به شکل زیر در رجیستری ثبت می‌کند:
HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWinlogon Shell = userinit.exe, sys.exe Userinit = Explorer.exe shell.exe HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun vxds = %Windows%vxds.exe
همچنین در مسیر %System32% فایلی با نام OEMLOGO.BMP به صورت مخفی ایجاد می‌کند که به شکل زیر می‌شاید:
بعلاوه در همین مسیر فایلی با نام OEMLOGO.INI به صورت مخفی می‌سازد که محتویات آن به شکل زیر است:
[General] Manufacturer=[Antichrist] Model=[Day of judgment] SupportURL=[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ] LocalFile=blank.htm [Support Information] Line1=When comes the help of Allah, and victory,. Line2=And thou dost see the people enter Allah's religion in crowds,. Line3=Celebrate the praises of thy Lord, and pray for his forgiveness: for he is oft-Returning (in forgiveness)..
فایل دیگری نیز در همین مسیر با نام blank.htm به صورت مخفی ایجاد می‌کند که با اجرای آن صفحه‌ای به شکل زیر به نمایش درمی‌آید: که متن انگلیسی نمایش داده شده در این صفحه ترجمة سورة حمد می‌باشد. آنگاه برای اینکه با هر بار بالا آمدن سیستم این فایل نمایش داده شود آن را به صورت زیر در رجیستری ثبت می‌کند:
HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun Blank = %System32%lank.htm HKCUSOFTWAREMicrosoftWindowsCurrentVersionRun Blank = %System32%lank.htm
برای اینکه مقدار Home Page و Search Page نرم‌افزار Internet Explorer را برابر با صفحة مذکور قرار دهد، تغییرات زیر را در رجیستری ایجاد می‌نماید:
HKCU SoftwareMicrosoftInternet ExplorerMain Start Page = %System32%lank.htm Search Page = %System32%lank.htm
از کارهای جالب این ویروس این است که در همة درایوها در داخل مسیر Recycler فولدری مخفی و با نام تصادفی ایجاد کرده و یک کپی از خودش را با نام Sys.exe درون آن قرار می‌دهد. سپس در ریشة هر درایو فایلی با نام Autorun.inf و با محتویات زیر می‌سازد:
[autorun] open=Recycler.{نام مسیر تصادفی ایجاد شده}sys.exe a shellopen=Open shellopenCommand=Recycler.{نام مسیر تصادفی ایجاد شده}sys.exe o shellopenDefault=1 shellexplore=Explore shellexploreCommand=Recycler.
{نام مسیر تصادفی ایجاد شده}sys.exe e این کار باعث می‌شود که وقتی کاربر برای ورود به درایوی بر روی آن دوبار کلیک نماید، ابتدا فایل آلوده اجرا گردد. همچنین اثرات دیگری به شکل زیر دارد: با ایجاد تغییراتی در جیستری باعث می‌شود که قبل از ورود به سیستم صفحه‌ای با تیتر Antichrist و با متن Day of judgment نمایش داده شود. همچنین باعث می‌شود فایل‌های Super Hidden نمایش داده نشود. جلوی اجرای برنامه‌های RegEdit و Task Manager را گرفته و رنگ زمینة Windows و صفحة cmd را تغییر می‌دهد. بعلاوه نام User و Organization ثبت شده برای سیستم را تغییر می‌دهد
منبع : [ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ] en tr alc l ubs.com

mahdi17729
18-02-2008, 11:12
این کارهارو من همه رو انجام دادم ولی هنوز در قسمت log on بهمون شکل قبل مونده

صفحه سبز رنگ و اون هشدار antichrist میاد که باید ok کرد بعد توی قسمت system propeties همه اسم ها هنوز همون antichrist مونده

mahdi17729
18-02-2008, 13:19
کسی نیست ؟

mahdi7610
18-02-2008, 16:00
این کارهارو من همه رو انجام دادم ولی هنوز در قسمت log on بهمون شکل قبل مونده

صفحه سبز رنگ و اون هشدار antichrist میاد که باید ok کرد بعد توی قسمت system propeties همه اسم ها هنوز همون antichrist مونده
ببین دوست عزیز به اموزش رجوع کن . اپدیت شد . همه اون مسیر ها و فایل هایی که گفتم ویروس ایجاد می کنه را باید یکی یکی پاک کنی .
صفحه log on هم مسیرش را توی رجیستری گفتم باید بری و از اونجا پاک کنی .
باور کن انتی ویرس سیمانتک اونا به طور کامل از بین می بره .
روش های دیگه ای هم هست که باید ترجمه کنم . اگه وقت کردم می زارمش . فقط شما همه کارهایی که گفتم این ویروس انجام می ده را برو پیدا کن و پاک کن .
ویروس اتوران را هم حتما باید به طور دستی پاک کنی . چون انتی ویروس ویروس را پاک می کنه اما اتوران را نمی تونه پاک کنه و اگه روی درایو هات دوبار کلیک کنی باز ویروس فعال می شه . روش پاک کردن اتوران را توی اموزش گفتم .
اگه دقت کنی با حوصله می تونی از بین ببری .

mahdi17729
19-02-2008, 10:11
مرسی مشکلم حل شد
ولی سرعت ویندوزم افتضاح امده پایین

mahdi7610
19-02-2008, 10:40
مرسی مشکلم حل شد
ولی سرعت ویندوزم افتضاح امده پایین
با استفاده از برنامه های بهینه سازی مثل سیستم مکانیک یا tunup یا برنامه های تعمیر رجیستری محیط ویندوز را بازسازی کن . یا اگه می تونی ویندوز را ریپیر کن .
از انتی ویروس هم استفاده کن و یکبار توی safe mode سیستم را ویروس یابی کن .

faranak565
03-04-2008, 23:22
سلام،norton را up to date کردم اما در حالت safe mode کار نمی کند.چه کار کنم؟ این antichristمن را بیچاره کرده!!!