این ویروس اسمش NOD32-RAMGUARD.V.2009.EXE
توی کل اینترنت فقط توی سایت prevx اثری ازش هست

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید
یه سایت فارسی هم اطلاعاتیدر موردش نوشته ولی در مورد پاک کردنش چیزی نیست


هنگامي که وارد درايو آلوده ميشويد ويروس فعال ميشود و Nod32krn.exe به تسک منيجر قسمت پروسس اضافه ميشود اگر آنتي ويروس nod32 بر روي سيستم شما نصب باشد ويروس به krn.exe مربوط به Nod32 چسبيده و آن را در تسک منيجر قسمت CPU 100% ميکند يعني CPU به صورت 100% مشود حال اگر NOD32 نصب نباشد اين ويروس بهCSRSS که يک فايل سيستمي ميباشد چسبيده و ان را 60 تا 90 درصد تغيير ميدهد - اين ويروس با نام nod32krn.exe در System32 و ديگري با نام csrss.exe در مسير c:/Documents and Settings/xxxxxx/Local Settings/Temp قرار ميگيرد. با نرم افزار Security taskmanager ميتوان آن دو را که در taskmanager مشغول فعاليت هستند در قرنطينه نگه داشت و از کارکرد آنها جلوگيري کرد در اين زمان cpu به حالت عادي بر ميگردد

اين تمام فعاليت ويروس است اما من با نرم افزار Security TaskManager به دقت هنگامي که درايو آلوده را باز ميکردم نگاه کردم و متوجه شدم اين ويروس در درايو آلوده در Recycler با نام Nod32-RAMGuard.v.2009.exe قرار دارد و پس از فعال شدن دو فايل Nod32krn.exe و CSRSS.exe را به وجود مياورد

[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]

اما هنگامي که به درايو آلوده مراجعه کردم تا ويروس اصلي را از بين ببرم اصلا چيزي در Recycler وجود نداشت حتي هنگامي که فايلهاي سيستمي و هيدن را باز کردم !!!!!

و هنگامي که ويروس فعال باشد اگر CD يا DVD يا حتي فلش مموري وارد سيستم باشد ويروس کارهايي بر روي آن انجام ميود چرا که چراغ فلش مموري خاموش و روشن ميشود( به معني انجام کاري ) و درايوهاي سي دي مشغول خواندن سي دي ميشوند !!

و حالا فقط نميدانم چگونه منشا ويروس را از بين ببرم البته اگر بر روي Nod32krn.exe يا CSRSS.exe کليک کنيد باز هم ويروس فعال ميشود اما اينها را ميتوان از بين برد اما منشا ويروس حتي ديده هم نميشود

اين تمام تحقيقات من در 4 روز آلوده شدن سيستمم به اين ويروس بود حال راه و چاره چيست ؟

من دو ويروس Nod32krn.exe و CSRSS.exe را در يک فايل زيپ براي شما فرستاده ام تا بر روي آن تحقيقاتي انجام دهيد فقط مراقب باشيد چون بلافاصله پس از Extract آن ويروس فعال ميشود

ويروس: [ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ] ([ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ])

[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]








برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

من خودم هم با کاسپرسکی اپدیت شده چکش می کنم چیزی پیدا نمی کنه. فقط توی قسمت control app اجازه فعالیت بهش نمی دم اما دوباره یکی دیگه درست می شه که پی در پی پیغام خطر که فایل های NOD32KRN.EXE و CSRSS.EXE رفتارشون مشکوک به worm.p2p.generic است رو میده که اگه لیمیتش کنی دوباره همین پیام میاد و اگه اجازه فعالیت بهش ندی یکی دیگه درست میشه

لطفا کمک کنید

لطفا یکی کمک کنه
تنها امیدم اینجاست

به نام خدا
سلام دوست عزیز
من تقریبا با تمام آنتی ویروسها چک کردم پاک نکرد
من منتظرم دوستان برنامه نویس کمکت کنند وگرنه یه راه سخت هست که من کل ویروسهای جدید را به این روش پاک میکنم
اگر دوستان نتوانستند کمک کنند این روش را براتون میذارم
پس یه کم صبر کنید

دوست عزيز نود 4 آپديت شده براحتي ويروس رو ميشناسه و خيلي راحت هم پاكش كرد . اينم عكسش :
NOD32KRN.EXE

[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ] ([ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ])

CSRSS.EXE

[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ] ([ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ])

اين دو ويروسو به سايت كسپر فرستادم شما فردا نزديكاي ظهر آپديتش كن حتما به ديتابيس اضاف ميكنن يا به نظر من همين نود 4 رو نصب كن كه واقعا عالي كار ميكنه البته آپديت شدش .

و اما دوستانيكه فايلو اكستركت كردن اگه آنتي ويروسشون ويروسو نشناخته باشه اينكارو بكنن :
اين ويروس به محض اكستركت شدن خودشو تو شاخه
x:\document and setting\xxx\local settings\temp
با نام TRTEMP-Nod32krn\Nod32krn.exe كپي ميكنه ، يه اين مسير برين و فايل مربوطه رو پاك كنين .

x : نام درايو ويندوز
xxx : User Name

این ویروس اسمش NOD32-RAMGUARD.V.2009.EXE
توی کل اینترنت فقط توی سایت prevx اثری ازش هست

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید یه سایت فارسی هم اطلاعاتیدر موردش نوشته ولی در مورد پاک کردنش چیزی نیست


برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنیدمن خودم هم با کاسپرسکی اپدیت شده چکش می کنم چیزی پیدا نمی کنه. فقط توی قسمت control app اجازه فعالیت بهش نمی دم اما دوباره یکی دیگه درست می شه که پی در پی پیغام خطر که فایل های NOD32KRN.EXE و CSRSS.EXE رفتارشون مشکوک به worm.p2p.generic است رو میده که اگه لیمیتش کنی دوباره همین پیام میاد و اگه اجازه فعالیت بهش ندی یکی دیگه درست میشه
لطفا کمک کنید

سلام

کسپر يه removalTools براي اين کرم انتشار داده که شما در مسير زير ميتونيد اونو دون کنيد.


برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

بعد از Extract فقط روي فايله klwk کليک کنيد تا پروسز هاشو ار حافظه بيرون ببره

صبر کنيد تا کارش تموم بشه.

الان تو Run اين فايل رو با پارامتر s/ اجرا کنيد مثال: f:\klwk.com /s تا کل هاردتون پاک سازي بشه.

اين برنامه utility کارهاي ديگه هم ميکنه که در فايل
برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

نوشته شدن.

برگرفته از

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید


موفق و پيروز باشيد.

از همه تون تشکر می کنمقبلا گفتم این ویروس یا کرم نمی زاره eset کار خودشو بکنهاما من ویندوزو دوباره نصب کردم و قبل از اینکه ویروس فعال بشه eset 3 رو نصب و آپدیت کردم که پاکش کرد(خودم هم چند روزه پیش اینو به kaspersky lab گزارش دادم)

سلام
من در حالت معمولي كه ميزنم براي پاك سازي كل درايو ها
هنگ ميكنه
از طريق
safe mode
هم اقدام كردم ولي فقط
قسمت
system32
رو چك كرد و درايوهاي ديگه رو اسكن نكرد
ميشه بگين بايد چه كنم؟
ممنون

سلام دوباره

مشكل اصلا حل نميشه!

اين برنامه klwk هم معلوم نيست چرا اينجوريه...

من اسكن كردم ولي اصلا ويروس nod32krn رو پاك نكرد!!!
ميخواستم عكس بفرستم ولي ديگه برنامه هاي كامپيوتر هم به سختي اجرا ميشه
اصلا هيچي شناسايي نكرده!!!
تو قسمت
C:\WINXPSP2\system32
هم فايل nod32krn وجود داره!
بعد از اسكن البته....

و پاك نشده

اگه بخوام كل درايو ها رو هم بزنم
اول درايو c رو اسكن ميكنه و هيچي شناسايي نميشه
بعد هم شروع به اسكن درايو d ميكنه و بعد از يه خورده اسكن فايل ها هنگ ميكنه سيستم...........

ديگه نميشه

خواهشا كمك كنيد چه كنم من؟؟؟

نميدونم چرا كسپراسكاي كه همش آپديت ميكنم نتونست اين ويروس رو پاك كنه!

انتي ويروس NOD32
رو هم نصب كردم
ولي وقتي ميخوام آپديت كنم يا اسكن كنم سيستم هنگ ميكنه
اون ويروس اجرا ميشه و فضاي cpu رو پر ميكنه

لطفا راهنمايي كنيد

ممنون

اين نرم افزارو امتحان كن :


برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

سلام
به مسیری که میگم توجه کن
start/run/cmd و بعد از باز کردن برنامه دستور \cd را اجرا کن بعد دستور attrib را اجرا کن ببین به غیر از فایلهای خود سیستم فایل مشکوک دیگری نیست اگر بود دستور attrib -s -h c:\namefilevirus.pasvandsh بعد تو این مسیر ویروس نمایان میشه و میتونید آن را خیلی راحت Shift+Delete کنید.

سلام

فکرش رو هم نکن حل میشه.
حالا میخواهیم بریم سراغه کشتن دستی این ویروس:
1- برنامه زیر رو دون کن و دکمه List Process And tsk رو بزن و متن log رو اینجا paste کن.

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید
2- برنامه rootkit unhookerرو دون کن و عکس قسمته process هاش رو بزرا.
3- unlocker رو بنصب.

با برنامه معرفی شده در 2 پروسز ویروس رو پیدا کن و دکمه Force kill+File Erase رو بزن.
اگه پاک نشد با unlocker به مسیره ویروس برو پیداش کن و پاکش کن.
در اخر اگر پاک نشد با یه سیستم عامل لایو بالا بیا و سیستم فایل رو پاک کن.
موفق باشید.

ممنون بابت راهنمايي
الان اون كاراي ديگه رو هم انجام ميدم
خدا كنه پاك شه...اعصاب خورد كنه!



-- PID ---------- List All task ----Visible---------------------------------
3276 -> Kill LSASS-SMSS-KGH & Any Process Ver1.6 Writed By Mahdi Sharifi
3276 -> Kill LSASS-SMSS-KGH and any process ver 1.6 Create By Mahdi Sharifi
2384 -> ويروس Nod32 - Page 2 - P30World Forums - Microsoft Internet Explorer - [Working Offline]
2384 -> ويروس Nod32 - P30World Forums - Microsoft Internet Explorer
3052 -> Facebook | - Microsoft Internet Explorer
204 -> Program Manager
-- PID ---------- List All task ----Hidden-------------------------------------
204 -> Start Menu
204 -> CiceroUIWndFrame
2384 -> SysFader
2384 -> SysFader
3052 -> SysFader
904 -> PCSuite Preferences
904 -> PCSuite Tray
2384 -> MCI command handling window
2384 -> DDE Server Window
3052 -> MCI command handling window
3052 -> DDE Server Window
904 -> Nokia PC Suite
1948 -> USB Media Module
1948 -> SerLa
204 -> MCI command handling window
204 -> Connections Tray
960 -> NVSVCPMMWindowClass
204 -> Power Meter
204 -> MS_WebcheckMonitor
936 -> ymsgr-tray-wnd
804 -> Notification Wnd for RNAdmin
780 -> MediaCenter
704 -> Hidden Main Window
-- PID -------------- List All Process ----------------------------
0 -> System Idle Process
4 -> System
1040 -> \SystemRoot\System32\smss.exe
1144 -> csrss.exe
1168 -> \??\C:\WINXPSP2\system32\winlogon.exe
1220 -> C:\WINXPSP2\system32\services.exe
1232 -> C:\WINXPSP2\system32\lsass.exe
1392 -> C:\WINXPSP2\system32\svchost.exe
1456 -> svchost.exe
1688 -> C:\WINXPSP2\System32\svchost.exe
1728 -> C:\WINXPSP2\system32\svchost.exe
2020 -> svchost.exe
204 -> C:\WINXPSP2\Explorer.EXE
496 -> C:\WINXPSP2\system32\spoolsv.exe
704 -> C:\WINXPSP2\system32\RunDll32.exe
780 -> C:\WINXPSP2\system32\RUNDLL32.EXE
804 -> C:\Program Files\Common Files\Real\Update_OB\realsched.exe
916 -> C:\WINXPSP2\system32\mfnsvc.exe
936 -> C:\Program Files\Yahoo!\Messenger\ymsgr_tray.exe
960 -> C:\WINXPSP2\system32\nvsvc32.exe
188 -> C:\WINXPSP2\system32\svchost.exe
1412 -> C:\WINXPSP2\system32\wscntfy.exe
2456 -> alg.exe
904 -> E:\nokia 5700\Nokia PC Suite 6\LaunchApplication.exe
1948 -> C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
3052 -> C:\Program Files\Internet Explorer\iexplore.exe
2384 -> C:\Program Files\Internet Explorer\IEXPLORE.EXE
3276 -> C:\Documents and Settings\manya\Desktop\JKill.exe
;
--- Startup ->-- HKLM\Software\..\Run --------------------
Cmaudio=RunDll32 cmicnfg.cpl,CMICtrlWnd
NvCplDaemon=RUNDLL32.EXE C:\WINXPSP2\system32\NvCpl.dll,NvStartup
nwiz=nwiz.exe /install
NvMediaCenter=RUNDLL32.EXE C:\WINXPSP2\system32\NvMcTray.dll,NvTaskbarInit
AVP="C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe"
NeroFilterCheck=C:\WINXPSP2\system32\NeroCheck.exe
TkBellExe="C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
;
--- Startup ->--HKCU\Software\..\Run --------------------
Yahoo! Pager="C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe" -quiet

ويروس نبود تو عكس هم نيست فرستادم!
شايد چون اجرا نكردم رو سيستم ويروس نيست؟؟؟
الان دوباره امتحان ميكنم
[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]

سلام مجدد
روي يكي از درايوها كليك كردم و ويروس فعال شد
و رفت به قسمت process برنامه
گزينه Force kill+File Erase رو زدم ولي فايده اي نداشت و دوباره ساخته ميشد!
رفتم تو قسمتي كه ويروس بود يعني system32
كليك راست كردم روش و گزينه unlocker رو زدم
ارور داد

لطفا اگه نميشه توضيحي در مورد

در اخر اگر پاک نشد با يه سيستم عامل لايو بالا بيا و سيستم فايل رو پاک کن.

بدين كه متوجه نشدم
ممنون

error:
cannot connect to Eset NOD32 update website.you must update NOD32 to active its protect.

سيستم لايو يا زنده يه نوع ويندوزه كه از رو سيدي بوت ميشه و به همين خاطر به راحتي ميتونين فايلاهاي ويروس رو به علت عدم اجرا شدن توسط ويندوز خودتون ،پاك كنين .
يكي از ويندوز هاي زنده درون Hiren Boot Cd موجود هست ميتونين از پست زير دان كنين :


برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

مرسي استاد ولي حجمش رو هم ديدين؟
من دسترسي به اينترنت پر سرعت ندارم
واسه يه ويروس مزخرف 200 كيلوبايتي بايد چه كارايي كه بكنم !!!
الان بعضي برنامه هاي ويندوز هم اصلا اجرا نميشه
هنگ هم ميكنه همش
خواهشا يه كمكي بكنين
نميتونم اين ويندوز رو دانلود كنم
ححجمش زياده
ممنون

تو جهنم یعنی یه کافی نت پیدا نمیشه ؟!! بری دان کنی .

سلام الان با نرم افزار unlocker از تمام درايوها ويروس رو پاك كردم چيكار كنم ديگه؟ :20:
ممنون

پاك كردم
ولي همچنان ويروس هست!!!

چه ويروسيه اين؟
ويندوز لايو هم پس نتيجه اي نخواهد داشت؟؟؟

سلام الان با نرم افزار unlocker از تمام درايوها ويروس رو پاك كردم چيكار كنم ديگه؟ :20:
ممنون

سلام رفیق.

شما باید همون فایله اصلی که الان در حاله اجرا هست رو پاک کنید، نه بقیه فایلهای که توسط ویروس انتشار داده میشن.


چه ويروسيه اين؟
ويندوز لايو هم پس نتيجه اي نخواهد داشت؟؟؟

چرا دوباره با Rootkit unhooker تلاش نمیکنی؟!
رفیق سمج تر از باگل ندیدم که همش از هوک استفاده کرده بود!! اما با ویندوز لایو راخپحت برطرف شد.

یه پیشتنهاده دیگه ERD commander داری؟!
اصولا Empror تو بوت cdهاش قرارش می داد.

سلام
راستش ويروس رو پاك كرده بودم كه متاسفانه دوباره اومد !!!
و باز هم مث اون روز با unlocker پاك نميشه و ارور ميده ...

smss
هم گرفته
ويروسه نه؟
چون همش يه پنجره باز ميشه
اعصابم خورد شد

ويندوز لايو هم تونستم بخرم
اگه ميشه آموزش اونو بدين
خب من اين كارارو كردم و باز دوباره ويروس اومد تكليف چيه؟؟؟

خسته شدم!

ممنون

سلام بهترین راه برای شما اینه که nod 4 نصب کنی و فایل آپدیت را که در حد 20مگ هستدانلود کنی وسپس nod را از طریق فایل آپدیت کنی
موفق باشید

آنتي جان عزيز مرسي ، اما نسخه جديد يعني 4.0.424 آپديتش در حدود 3.5 مگابايت هست . واما شما دوست عزيز Manya برنامه اي كه گفته بودم رو يعني Prevx به همراه كرك ، بهت پيغام خصوصي زدم و مطمئنم كه مشكلت رو حل خواهد كرد .

سلام. خوبين؟ من ويزوس SysFader دارم. چط.ري بايد بكشمش؟

سلام. خوبين؟ من ويزوس SysFader دارم. چط.ري بايد بكشمش؟
سلام دوست عزیز
عضویت شما را در سایت تبریک عرض میکنم
شما بهتر است در همان صفحه اصلی اورژانس سیستم های آلوده گزینه ارسال مطلب جدید را انتخاب کنید
ودر تاپیک جدید اطلااتی از سیستمتان بدهید
مثلا آنتی ویروستون چیه؟
از کجا دونستید ویروس دارید ؟
سیستمتان چه مشکلاتی دارد
موفق باشید

سلام. خوبين؟ من ويزوس SysFader دارم. چط.ري بايد بكشمش؟

sysfader.exe ويروس نيست و از فايلهاي سيستمي هست كه وظيفه مربوط به Fade in , fade Out منوها و پنجره هاي ويندوز رو بر عهده داره و زماني كه رم سيستم شما بيش از حد اشغال بشه و به اصطلاح ويندوز در حال نزديك به هنگ قرار بگيره اين فايل ارور خواهد به خاطر اينكه منابع لازم جهت اجرا رو از دست ميده .
اولين كاري من بعد نصب ويندوز انجام ميدم غير فعال كردن خاصيت هاي نمايشي ويندوز هست تا با اين مشكلات روبرو نشم . شما هم براي رفع اين مشكل و ارور ميتونين مسير زير رو دنبال كنين .
1- روي my computer راست كليك كنين و Properties رو انتخاب كنين يا ميتونين رو كيبورد دكمه هاي win+pause Break رو همزمان فشار بدين .
2- به تب Advance برين و در بخش Performance توش settings رو بزنين .
3- در همون تب اول در بخش كادر از بالا به پايين تيك چهار گزينه اول رو بردارين و همه پنجره هاي باز رو ok كنين .

اگر مشكل شما حل نشد طبق گفته دوستمون آنتي عزيز ، تاپيك جداگانه بازكنين و حتما سيستم رو با يك آنتي ويروس آپديت شده اسكن كنين .

سلام شما مي تونيد اين ويروس رو با آنتي ويروس Nod32-RAMGuard.v.2009 Remover از روي سيستم خودتون از بين ببريد

فقط كافيه كه به وبلاگ Parsecity.blogfa.com مراجعه كنيد و اين آنتي ويروس رو دانلود كنيد !!!


ممنون.:5:

:31:

براي دانلود آنتي ويروس NOD32-RAMGuard.v.2009.exe به وبلاگ Parsecity.blogfa.com مراجعه كنيد!!!

:31:

salam .man amin hastam .man to in adress [ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]

ya ante viroos ghave dedam an ra ba shoma peshnahad mekonam