اطلاعيه ويروس جديد Jomoong2(Final)[1].avi [آرشيو] - P30World Forums

golmohammadi

26-05-2009, 02:09

با سلام
چند دقيقه پيش از يه نفر يه فايل گرفتم به اين اسم Jomoong2(Final)[1].avi
فايل زيپ را بازش كردم
اول فكر كردم فايل تورنت هست
بعد ديدم نه كمي حجمش زياده
و حجمش هم نزديك 500 كيلو بايته و avi تصويري هم نميتونه باشه و exe بايد باشه
خلاصه مشكوك بودم بهش
بازش كردم يهو ديدم سيستم بهم ريخت
با اينكه انتي ويروس Nod 32 هم روشن بود و امروز هم اپديت شده بود ولي چيزي نشناخت
من قبلا يادمه يه ويروس براي شوخي ديده بودم
هيچ صدمه اي به سيستم نميزد و فقط كارايي ميكرد كه طرفو بترسونه و با يه ريستارت همه چي درست ميشد
فكر كردم اينم مثل اوناست
اما بعد ديدم نه بابا فرق ميكنه
نزديك ساعت يه نوشته اومد كه ويروسي شدين نويسنده هم يادم رفت يه ايروني
خلاصه خود بخود تايپ ميكرد
قسمتهاي مختلف را روشن خامش ميكرد
بين پنجره ها سويچ ميكرد
My Computerرا باز ميكرد و ...
ديدم چاره اي نيست يه لاگاف كردم
بعد ديدم نه خير تموم شدني نيست
نزديك 100 تا يوزر با نام jomoong ... ساخته بود و همونجا هنگ ميكرد
خلاصه با safe mode اومدم بالا
اول اون فايل را پاك كردم
بعد بزحمت تمامي يوزرها را پاك كردم
رفتم My Computer را بازش كردم ديدم همه چي بهم خورده
نام درايوها شده Jomoong2
توي هر درايو هم يه پوشه با نام ahmad هست كه داخلش ahmad و خلاصه خيلي پوشه تو هم ساخته شده
راست كليك هم از كار افتاده
Folder Options و Run هم غير فعال شده
اينترفيس ويندوز كمي تغيير پيدا كرده
خلاصه مقداري بهم ريخته
تو گوگل سرچ كردم چيزي يافت نشد واسه همين اينجا زدم تا بقيه هم مطلع بشند
چون مقداري فايل در درايو c داشتم مجبور شدم فايلهامو كپي كنم جاي ديگه بعد فوري ويندوز نصب كنم
فكر كنم بعد از پاك كردن فايل ويروس ديگه همه چي تموم بشه
ولي براي احتياط ويندوز هم عوض ميكنم
اگر جاي اين تاپيك اشتباهي بود منتقلش كنيد

SAMCRO

26-05-2009, 02:13

چرا حالا بازش کردی ؟؟ : دی
اسم سایتی چیزی نزده بود واسه تبلیغ ؟؟؟

saeed774

26-05-2009, 02:21

دوست عزيز اگه براتون مقدور باشه ويروس رو فشردش كنين و براش پسورد بذارين و يكجا آپ كنين .

muhakh

26-05-2009, 05:59

لطفا ویروس رو به ما هم بدین ببینیم چیه.

picher_s

26-05-2009, 10:59

سلام

1- jkill رو دون و دكمه list all tasl ,.. رو بزن و ليست و متنش رو اينجا paste كن.
2- برنامه avz4 رو دون و اجرا كن و عملكردش رو بزار.
3- برنامه rootkit unhooker رو دون و از تب پروسز هاش عكس بگير و بزار.

كشتنش نبايد سخت باشه.
موفق باشيد.

golmohammadi

26-05-2009, 11:18

چ
را حالا بازش کردی ؟؟ : دی
اسم سایتی چیزی نزده بود واسه تبلیغ ؟؟؟
اره همينو بگو
چون يه نفر بهم داد از سايت نگرفتم
واسه همين گمراه شدم و شك نكردم
هيچ چيزي تبليغ نميكنه
فقط اسم نويسنده اش را تو تسك بار ميزنه
در وحله اول ادم خوشش مياد :ي

دوست عزيز اگه براتون مقدور باشه ويروس رو فشردش كنين و براش پسورد بذارين و يكجا آپ كنين .

لطفا ویروس رو به ما هم بدین ببینیم چیه.
باشه اينكارو ميكنم

سلام

1- jkill رو دون و دكمه list all tasl ,.. رو بزن و ليست و متنش رو اينجا paste كن.
2- برنامه avz4 رو دون و اجرا كن و عملكردش رو بزار.
3- برنامه rootkit unhooker رو دون و از تب پروسز هاش عكس بگير و بزار.

كشتنش نبايد سخت باشه.
موفق باشيد.

كشتن نياز نداره
ويروسيه كه با كليك كردن روش عمل ميكنه
يعني در حالت عادي حتي وقتي از زيپ خارج شده بازم عمل نميكنه
ويروس اتوران هم تو درايوها نديدم شايد هم انتي ويروس نذاشته و يا پاك كرده
در ضمن با administrator اومدم همه چي درست بودة تسك منيجر ران فولدر اپشنز و ...)
بعد منظورتو دقيق بگو
يه توضيح مختصري هم در مورد اون 3 تا چيز كه گفتي بگو

golmohammadi

26-05-2009, 11:31

فكر نميكنين تو سايت بذارم مشكل داشته باشه ؟
اگه خواستين با پيغام خصوصي بدم تا تستش كنين

saeed774

26-05-2009, 13:58

شما اگه براش پسورد بذارين هيييچ مشكلي پيش نمياد . ميخوام فايل رو به Nod و Kaspersky بفرستم .
پسورد هم يادتون نره اينجا حتما ذكر كنين .

تو سيستم خودتون هم پسوند فايل رو به XXX تغيير بدين ويروس خنثي ميشه منتهي بعد اينكه يكجا آپ كردين اين كارو انجام بدين .

golmohammadi

26-05-2009, 17:46

شما اگه براش پسورد بذارين هيييچ مشكلي پيش نمياد . ميخوام فايل رو به Nod و Kaspersky بفرستم .
پسورد هم يادتون نره اينجا حتما ذكر كنين .

تو سيستم خودتون هم پسوند فايل رو به XXX تغيير بدين ويروس خنثي ميشه منتهي بعد اينكه يكجا آپ كردين اين كارو انجام بدين .

نه ديگه بيخيال
ويندوزو عوض كدم
با پسوندش هم كاري ندارم
اينم لينك دانلودش
پسوردش هم 9989

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

saeed774

26-05-2009, 20:29

آنتی ویروس هایی که این ویروس رو شناسائی کردن :

a-squared 4.0.0.101 2009.05.26 Worm.Win32.VB.li!IK

Sophos 4.42.0 2009.05.26 Mal/SillyFDC-A

TrendMicro 8.950.0.1092 2009.05.26 Possible_Otorun8

این ویروس رو به کسپر و نود هم فرستادم .

golmohammadi

26-05-2009, 21:47

آنتی ویروس هایی که این ویروس رو شناسائی کردن :

a-squared 4.0.0.101 2009.05.26 Worm.Win32.VB.li!IK

Sophos 4.42.0 2009.05.26 Mal/SillyFDC-A

TrendMicro 8.950.0.1092 2009.05.26 Possible_Otorun8

این ویروس رو به کسپر و نود هم فرستادم .

پس چطور نود نشناخته ؟

saeed774

27-05-2009, 12:20

آنتي ويروس كسپر اين ويروس رو تو ديتابيسش قرار داد :
اينم متني كه به ايميل من فرستاده :

Jomoong2(Final).avi.exe_ - Worm.Win32.AutoRun.fyf

New malicious software was found in this file. It's detection will be included in the next update. Thank you for your help

لينك آناليز اين ويروس تو سايت Virus Total :

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

[ali]

27-05-2009, 14:13

پس چطور نود نشناخته ؟
سلام
Sophos که معمولا کوچکترین مورد را مخرب می شناسه و درصد خطای بالایی داره ...

من از طریق سایت برای آنالیز فایل را فذستادم شاید زودتر از ایمیل چک کنند!

راستی دوستان گول اون 500 مگی که زیر نام فایل می یاد نخورد یارو اسم کامپانی را این گذاشته.

اگر خواستید تست کنید فایلو از دیپ فریز استفاده کنید.
[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]

[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]

golmohammadi

27-05-2009, 22:13

براي گزارش ويروس به شركتهاي انتي ويروس بايد از طريق ايميل اقدام كرد؟
يا جاي ديگه اي هست ؟

[ali]

27-05-2009, 23:22

براي گزارش ويروس به شركتهاي انتي ويروس بايد از طريق ايميل اقدام كرد؟
يا جاي ديگه اي هست ؟
سلام
بعضی آنتی ویروس ها از هر دو طریق میشه.مثلا برای nod32 از سایت و ایمیل زیر استفاده کنید:
[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]
samples@eset.com
برای اطلاع بیشتر این پست را مطالعه کنید.

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

saeed774

28-05-2009, 01:48

تو پستي كه آدرس دادين اشاره شده كه پسورد فايل بايد Virus يا Infected بايد باشه در حاليكه من تا بحال بيش از 30 بار با انواع پسوردهايي كه خودم تعيين كردم به هر دو سايت نود و كسپر ويروس فرستادم و خيلي زود هم جوابشو دادن و تو ديتابيس قرار دادن .

نمونش همين ويروس كه پسوردش 9989 هست و من با همين پسورد فرستادم و نتيجشو هم كه تو پست بالا ديدين .

saeed774

28-05-2009, 23:21

بالاخره Nod32 هم اين ويروس يا بهتر بگم كرم رو تو ديتابيسش قرار داد :
كرم با نام زير شناخته ميشه :

Win32/VB.NRM Worm

saeed774

29-05-2009, 15:40

آنتی ویروس Norton یا Symantec هم این ویروس رو به دیتابیسش اضاف کرد :

[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]

[ali]

29-05-2009, 16:22

تو پستي كه آدرس دادين اشاره شده كه پسورد فايل بايد Virus يا Infected بايد باشه در حاليكه من تا بحال بيش از 30 بار با انواع پسوردهايي كه خودم تعيين كردم به هر دو سايت نود و كسپر ويروس فرستادم و خيلي زود هم جوابشو دادن و تو ديتابيس قرار دادن .

نمونش همين ويروس كه پسوردش 9989 هست و من با همين پسورد فرستادم و نتيجشو هم كه تو پست بالا ديدين
سیاست ها تغییر می کنند.

Nod32 هم اين ويروس يا بهتر بگم كرم رو تو ديتابيسش قرار داد
بعد از این همه وقت..
البته این کرم قبلا توی دیتا بیسش بوده احتمالا ویروس نویسه سورسشو گیر آورده و دستکاری کرده.

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]

golmohammadi

29-05-2009, 22:21

بچه ها ممنون از همگي