سلام
اول یه توضیح کوچولو درباره Persistence بدم بعد بگم سوالم چیه...
همونطور که میدونید برنامه هایی (یا ویروس) که Persistence هستند رو اگه از تو تسک منیجر پروسسش رو ببندیم دوباره اجرا میشه یا اگه از تو استارت آپ غیرفعالش کنیم بعد از ریست دوباره فعال میشه و یا حتی اگه یکم سریع عمل کنیم و بعد از اینکه از داخل تسک منیجر بستیمش فایلش رو سریع از تو هارد پاک کنیم باز هم فایلش ساخته میشه و ادامه ماجرا!

حالا میخواستم ببینم راهی برای پاک کردن یا از کار انداختنش به غیر از سیف مد وجود داره یا نه؟
مرسی

همین الان یک مورد این چنین رو با کسپر اسکای ویروس ریموال تول پاک کردم
سیف مود هم لازم نداشت
فقط memory و hidden ها و... همه رو تیک بزنید اسکن کنه

همین الان یک مورد این چنین رو با کسپر اسکای ویروس ریموال تول پاک کردم
سیف مود هم لازم نداشت
فقط memory و hidden ها و... همه رو تیک بزنید اسکن کنه

ممنون:11:
ولی حواسم نبود که بگم دنبال یه راه دستی میگردم نه با آنتی ویروس...

راه دستی نمیشه
با Comodo RKill تست کردم میبندی و پاک میکنی پروسس رو ولی نمیشه

با Comodo cleaning هم تست کردم نتونست پاکش کنه
کسپر ولی کار کرد

راه دستی داره ، من یکبار با لینوکس Portable تونستم یکی از اینا رو پاک کنم
معمولا فایل اصلی این نوع ویروس ها تو شاخه Windows\System32 میشینه
قبل از restart کردن ویندوز و رفتن داخل لینوکس از داخل msconfig و شاخه startup تیک لود شدنش رو بردارید ، داخل رجیستری رو هم به نام همین ویروس رو سرچ کنید و تمام کلیدهایی که مربوط بهش هستن رو پاک کنید ، بلافاصله سیستم رو restart کنید و وارد لینوکس بشید ، برید به مسیر اصلی ویروس و فایل ریشه رو پاک کنید

هر سیستم مجازی که بتونی اجرا کنی میشه روش ویروس ها رو پاک کرد
مثلا win mini و .....
هر سیستم مجازی که یه مقدار حافظه از روی هارد بر می داره و به عنوان رم استفاده می کنه و از روی اون حافظه بالا می یاد که البته raed only هم هست

هر سیستم مجازی که بتونی اجرا کنی میشه روش ویروس ها رو پاک کرد
مثلا win mini و .....
هر سیستم مجازی که یه مقدار حافظه از روی هارد بر می داره و به عنوان رم استفاده می کنه و از روی اون حافظه بالا می یاد که البته raed only هم هست

تو بعضی هاشون هم رم رو مثل یک درایو نشون میده و داخلش قابل تغییره

دوست عزیز نرم افزار autoruns میتونه کمک کنه بهت
در شمن وقتی شما پاک میکنی فایل و و بعد ریستارت میبینی دوباره سر جاشه یعنی حتما ویروس یه کپی از خودش تو محل دیگه ای داشته
شما با همین autoruns میتونی پاکش کنی

نمونه این ویروسی که میگم (البته این فایل سرور یه تروجانه...)
پسورد:123

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید
این ویروس بعد از اجرا میره داخل Temp و هر دفعه از همونجا اجرا میشه، حالا من یه راهی برای پاک کردنش به جز رفتن با سیف مد و یا استفاده از برنامه های جانبی میخوام(یه راه دستی البته اگه بشه)

با سلام
دوست عزیز راه های زیادی هست که به صورت دستی می توان مخرب را حذف کرد.
در این مورد چون شما میدونید به چه اسمی و در کجا ذخیره شده و چه Process Name داره می توانید از روش زیر عمل کنید.
1- برنامه Notepad را باز کنید.
2- کد های زیر را در ان کپی کنید :

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

3- سپس بر روی دکمه save کلیک کنید . این فایل را با هر نامی که دوست دارید اما فقط با پسوند bat یا cmd ذخیره کنید.
4- در نهایت بر روی ان راست کلیک کرده و Run as admin را انتخاب کنید.
----------
البته این راه تا زمانی درست کار می کند که هم اطلاعات شما درست باشد و هم فایل taskkill.exe و cmd.exe الوده نشده باشند.
من دارم روی یک toolkit کار می کنم که تا چند وقت دیگه برای دانلود می گذارم. این toolkit توانایی های زیادی به کاربر می دهد که هم بتواند دستی مخرب را شناسایی و پاک کند و هم از طریق ضد ویروس.
از جمله ویژگی های این toolkit :
1- گزارش گیری کامل از سیستم و شناسایی برخی از مخرب های فعال.
2- مصون کردن درایوهای سیستم از ویروس های خود اجرا و ini
3- غیر فعال و فعال کردن سیستم خود اجرای ویندوز
4- برگرداندن تمام خراب کاری های مخرب (از جمله فعال کردن registry و system restore و safe mode و ...)
5- شناسایی مخرب های در flash و توانایی اسکن کامل ان و حذف مخرب های ان.
6- ترمیم فایل های اصلی سیستم مانند explorer.exe و winlogon.exe و ... بدون نیاز به دی وی دی ویندوز.
7- قابلیت به روز رسانی سیستم
8- و ...
این toolkit می تواند در کنار هر ضد ویروسی نصب شود.
با تشکر

با سلام
دوست عزیز راه های زیادی هست که به صورت دستی می توان مخرب را حذف کرد.
در این مورد چون شما میدونید به چه اسمی و در کجا ذخیره شده و چه Process Name داره می توانید از روش زیر عمل کنید.
1- برنامه Notepad را باز کنید.
2- کد های زیر را در ان کپی کنید :

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

3- سپس بر روی دکمه save کلیک کنید . این فایل را با هر نامی که دوست دارید اما فقط با پسوند bat یا cmd ذخیره کنید.
4- در نهایت بر روی ان راست کلیک کرده و Run as admin را انتخاب کنید.
----------
البته این راه تا زمانی درست کار می کند که هم اطلاعات شما درست باشد و هم فایل taskkill.exe و cmd.exe الوده نشده باشند.
من دارم روی یک toolkit کار می کنم که تا چند وقت دیگه برای دانلود می گذارم. این toolkit توانایی های زیادی به کاربر می دهد که هم بتواند دستی مخرب را شناسایی و پاک کند و هم از طریق ضد ویروس.
از جمله ویژگی های این toolkit :
1- گزارش گیری کامل از سیستم و شناسایی برخی از مخرب های فعال.
2- مصون کردن درایوهای سیستم از ویروس های خود اجرا و ini
3- غیر فعال و فعال کردن سیستم خود اجرای ویندوز
4- برگرداندن تمام خراب کاری های مخرب (از جمله فعال کردن registry و system restore و safe mode و ...)
5- شناسایی مخرب های در flash و توانایی اسکن کامل ان و حذف مخرب های ان.
6- ترمیم فایل های اصلی سیستم مانند explorer.exe و winlogon.exe و ... بدون نیاز به دی وی دی ویندوز.
7- قابلیت به روز رسانی سیستم
8- و ...
این toolkit می تواند در کنار هر ضد ویروسی نصب شود.
با تشکر

سلام

با این روشی هم که شما میگید نمیشه چون دقیقا همون کارایی رو میکنه که تو پست اول گفتم، یعنی اول پروسسش رو میبنده (که در اینصورت دوباره اجرا میشه) و بعد هم از حالت سیستمی و هیدن درمیاره و در آخر هم میخواد فایل رو پاک کنه که اگه فایل رو هم پاک کنه هومنطور که گفتم دوباره ساخته میشه و اجرا!

با اینکه میدونستم نمیشه ولی امتحان کردم نشد...

با سلام
من منظور شما را بد متوجه شدم.
چنین مخرب های چندین روش برای برگشت دارند :
1- با استفاده از System Restore (یعنی System Restore را به گونه ای config می کنند که در دوره های زمانی ثابت این مخرب را Restore کند)
2- یک مخرب دیگر که یا از Resource و یا از sfx استفاده کرده در حال اجراست و در دوره های زمانی ثابت چک می کند اگر مخرب وجود نداشته باشد ان را ایجاد می کند (یا ب عبارت دیگر extract می کند)
*
در این مواقه بهترین راه استفاده از AV Portable و Rescue Disk است اما چون شما نمی خواهید از AV استفاده کنید کار های زیر را می توانید انجام دهید انجام دهید.
1- با نرم افزار Disk Mon باید مکان ایجاد مخرب را زیر نظر بگیرید و متوجه بشید که ایا مخرب دیگری ان را ایجاد می کند یا از طریق System Restore این کار انجام می شود.
2- سپس با استفاده از دستورات زیر در cmd لیست تمام process ها را می گیریم و بررسی می کنیم که کدام یک مخرب است.(یکی از روش ها به این صورت است که process های که به ان ها مشکوک هستیم در virus total تست کنیم):

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

3- بعد از شناسایی مخرب دیگر (که احتمال وجودش بیش از 90% است) با استفاده از روشی که در پست قبل گفتم این مخرب را پاک کرده و با استفاده از روش زیر System Restore را غیر فعال می کنیم :
[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]
و سپس از همان روش که در پست قبل توضیح داده بودم فایل مخرب در پوشه temp را حذف می کنیم.
--------------
البته خیلی بهتر است که موارد بالا را به غیر از لیست process ها با یک script مانند bat انجام دهید که سریع عمل کند.(برای غیر فعال کردن System Restore هم از Registry استفاده کنید).
--------------
اگر نتوانستید process مخرب را تشخیص دهید در پ.خ اعلام کنید تا از طریق تلفن یا Team Viewer یا ... به شما کمک کنم.
اگر هم script را نتوانستید بنویسید در همین تاپیک اعلام کنید (البته با جزئیاتی که لازمه) تا برای شما این script را بنویسم.
***در ضمن اگر امکان دارد این مخرب را فشرده کنید و اپلود کنید و در پ.خ برای من بفرستید(پیشاپیش متشکرم).
با تشکر

با سلام
من منظور شما را بد متوجه شدم.
چنین مخرب های چندین روش برای برگشت دارند :
1- با استفاده از System Restore (یعنی System Restore را به گونه ای config می کنند که در دوره های زمانی ثابت این مخرب را Restore کند)
2- یک مخرب دیگر که یا از Resource و یا از sfx استفاده کرده در حال اجراست و در دوره های زمانی ثابت چک می کند اگر مخرب وجود نداشته باشد ان را ایجاد می کند (یا ب عبارت دیگر extract می کند)
*
در این مواقه بهترین راه استفاده از AV Portable و Rescue Disk است اما چون شما نمی خواهید از AV استفاده کنید کار های زیر را می توانید انجام دهید انجام دهید.
1- با نرم افزار Disk Mon باید مکان ایجاد مخرب را زیر نظر بگیرید و متوجه بشید که ایا مخرب دیگری ان را ایجاد می کند یا از طریق System Restore این کار انجام می شود.
2- سپس با استفاده از دستورات زیر در cmd لیست تمام process ها را می گیریم و بررسی می کنیم که کدام یک مخرب است.(یکی از روش ها به این صورت است که process های که به ان ها مشکوک هستیم در virus total تست کنیم):

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

3- بعد از شناسایی مخرب دیگر (که احتمال وجودش بیش از 90% است) با استفاده از روشی که در پست قبل گفتم این مخرب را پاک کرده و با استفاده از روش زیر System Restore را غیر فعال می کنیم :
[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]
و سپس از همان روش که در پست قبل توضیح داده بودم فایل مخرب در پوشه temp را حذف می کنیم.
--------------
البته خیلی بهتر است که موارد بالا را به غیر از لیست process ها با یک script مانند bat انجام دهید که سریع عمل کند.(برای غیر فعال کردن System Restore هم از Registry استفاده کنید).
--------------
اگر نتوانستید process مخرب را تشخیص دهید در پ.خ اعلام کنید تا از طریق تلفن یا Team Viewer یا ... به شما کمک کنم.
اگر هم script را نتوانستید بنویسید در همین تاپیک اعلام کنید (البته با جزئیاتی که لازمه) تا برای شما این script را بنویسم.
***در ضمن اگر امکان دارد این مخرب را فشرده کنید و اپلود کنید و در پ.خ برای من بفرستید(پیشاپیش متشکرم).
با تشکر
سلام
پروسس دیگه ای نداره فقط و فقط یه پروسس ایجاد میکنه!
صفحه قبل هم به صورت فشرده گذاشتمش...

با سلام
بله دوست عزیز حق با شماست.
اما من میدونم که باید یک process دیگر هم وجود داشته باشد.
با اجازه شما من این مخرب را انالیز کردم و متوجه شدم که process ای را با نام notepad.exe ایجاد می کند یا به عبارت دیگر :
این مخرب فایل notepad.exe که در مسیر c:\windows\system32 قرار دارد را الوده کرده است.
همچنین این مخرب یک فایل با نام sample.exe در ادرس c:\test ایجاد می کند که باز هم مخرب است.
این مخرب نیز خود را در سیستم به عنوان برنامه خود اجرا معرفی کرده و همچنین به همراه process مخصوص ویندوز یعنی winlogon نیز اجرا می کند.
حال کار های که باید انجام شود.
1- تمام process های مشکوک (Persistant.exe, nNotepad.exe) باید end process بشوند و فایل مخربی که در بالا بام برده شده است نیز باید حذف گردد(البته این مراحل باید سریع و پشت سر هم انجام شود تا مخرب نتواند دوباره خود را اجرا کند).
2- کافیگ خود اجرای مخرب نیز باید حذف شود.
3- بعد از این کار ها حتما سیستم خود را با یک ضدویروس قدرتمند اسکن کنید تا فایل های اسیب دیده (فایل های میزبان ویروس) نیز شناسایی شوند. مثلا یکی از فایل ها notepad.exe است که نباید اجرا شود و شما میتونید این فایل را از داخل دی وی دی سیستم عامل و یا یکی از دوستانتان که دقیقا سیستم عامل مشابه دارد جایگذین کنید و یا این که وینروز خود را repair کنید(البته قبلش فایل notepad.exe را حذف کنید).
-----
برای این کار های که گفتم ابتدا یک فایل با نام removal.reg بسازید و ان را edit کنید و دستورات زیر را در ان کپی کنید :
برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید
سپس یک فایل با نام removal.bat بسازید و ان را edit کنید و دستورات زیر را در ان کپی کنید :
برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید
سپی این دو فایل را در یکی از درایوهاتون (به غیر از درایو c) کپی کنید و بر روی فایل removal.bat راست کلیک کنید و گذینه run as admin را انتخاب کنید.
چون notepad شما الوده است گفتم شاید درست نباشد که خودتان این کد ها را ایجاد کنید :

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید
کلمه عبور :

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید
-----
تا این جای کار می توان دستی عمل کرد اما به هر حال ما به یک database قدرتمند نیاز داریم که از پاک سازی سیستم اطمینان داشته باشیم. به شما توصیه می کنم یک سوئیت امنیتی قدرتمند (hips, cloud, hirestic, ...) استفاده کنید و بعد از بروز رسانی سیستم را اسکن کنید. همچنین به نظرم بهتر است خود اجرای کل سیستم را نیز غیر فعال کنید.
-----
توجه :
1- این کد ها با فرض این که ویندوز شما در درایو c نصب شده است نوشته شدند. در صورتی که ویندوز شما در درایوی دیگر نصب باشد با اجرای این فایل ها سیستم شما ممکن است اجرا نشود. در نتیجه اگر ویندوز را در درایوی دیگر نصب کردید بگید تا کد ها را برایتان تغییر دهم.
2- اگر باز هم مخرب اجرا شد بعد از اجرای فایل سریع system restore را غیر فعال کنید و سیستم را restart کنید.
3- نتایج ویروس توتال : [ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ] 98cdffc116aa10/analysis/1340097675/

امیدارم تونسته باشم کمکتون کنم.
با تشکر