خوبه، پس به سلامتی ....:26::26:نقل قول:
بنظرت michaelqwerty مرد خوبیه براش؟؟!!
-------
من با همون سورسه که گزاشتم تونستم پروسه رو خارج کنم.
خوبه، پس به سلامتی ....:26::26:نقل قول:
بنظرت michaelqwerty مرد خوبیه براش؟؟!!
-------
من با همون سورسه که گزاشتم تونستم پروسه رو خارج کنم.
سلام دوستان
ویروس تقریبا جالبی اگه کاربر ی که دچار این ویروس میشه اطلاعی از طرز کار ویروس نداشته باشه دچار توهم میشه
هر فایلی یا فولدری که نامش hldrrr.exe یا srosa.sys باشه اوا غیر قابل پاک شدن و غیر قابل رویت میشه
فایل های ویروس مخفی یا سیستمی نمیشن بلکه از یه الگو که خود ویندوز برای مخفی کردن پوشه های درون فولدر Temporary Internet Files استفاده میشه ویروس استفاده میکنه
من وقتی فایل hldrrr.exe را از پوشه drivers پاک کردم ویروس از کار نیفتاد باید حتما درایور رو هم از کار مینداختم
اگه فقط مشکل hldrrr.exe بود میشد باستفاده از permissions for run جلوی اجرا شدن فایل رو در هنگام بالا آمدن ویندوز گرفت
ولی srosa.sys همه کاره هست
اشتباهی snapshot ای که از VMware گرفته بودم پاک کردم هر چی تنظیمت توش دادیم رفت هوا:19:
حالا درست شد دوباره تونستم یه نگاهی به این ویروس بندازم.
نمیدونم چرا اصلا حواسم به فایل srosa.sys نبود که همچین فایلیم هست، MichaelQwerty حق با شماست همه کارارو srosa.sys انجام میده
اون پوشه ویندوز که گفتی رو نمیدونم ولی این ویروس تابع NtQueryDirectoryFile رو هوک میکنه که از دیدwindows explorer مخفی بمونه
به اضافه ی هوک کردن این توابع
برای از کار انداختنش هم فعلا نظری ندارم:31:کد:NtDeleteFile
NtCreateFile
NtOpenFile
NtSetInformationFile
NtLoadDriver
NtOpenProcess
NtQuerySystemInformation
NtSetValueKey
NtDeleteKey
NtDeleteValueKey
NtEnumerateKey
NtEnumerateValueKey
NtQueryKey
اگه با Process Monitor نگاه کنید میبینید که این ویروسه هر فایلی رو که شما میخواهید باز کنید اون براتون باز میکنه!!!
یه چیزه جالب تر بگم:
من یه سری نرم افزار خودم با سورس های اینترنت سر هم کردم و باهاشون کار میکنم. آقا این ویروسه اینقد باحاله که بعد از اجرای این نرم افزار سریع اونو میبنده!!! یعنی میاد سورس فایل شما(مثل آنتی ها) رو برای بررسی دستور ها می خونه!
من که تستیدم hldrr رو اگه بتونیم پاک کنیم مشکل حل میشه و میتونیم بقیه کار ها رو هم انجام بدیم.
یه چیزه دیگه ام اینه که دلیل پایین اوردن سیستم اینه(از رو Process Monitor) همش داره کلید Safeboot در رجیستری رو پاک میکنه.
My Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlS et\Control\SafeBoot
Trojan Remover از روی عملکردش تشخیصش میده (از رو درایور مخفی و کلید رجیستری مخفی که به RUN اضافه میکنه) اما هر چی تلاش میکنه نمی تونه کاری از پیش ببره.
هنوز هیچ راه حلی ازش توسط آنتی ها ندیدم!!!
picher_s جان شما فایل hldrrr.exe رو با Process Monitor مونیتور کردین چون من وقتی می خوام برسیش کنم یه اررور میده که
داری برنامه رو مونیتور میکنه و خارج میشه البته به خاطر اون پروتکتور لعنتیشه همون Themida :41:
با RootKit Unhooker میشه راحت پاکش کرد بدون اینکه نیاز به رستارت سیستم باشه
اگه بتونیم کاری مثل این نرم افزار کنیم، پرونده این ویروس رو برای همیشه میتونیم ببندیم:31:
سلام رفیق گفته شما درسته.نقل قول:
منم با RootKit Unhooker تونستم.اما حالا این برنامه چکار میکنه معلوم نیست!!
اینم تحلیل همون نرم افزار (RootKit Unhooker )شماست
جالب بود میگفت از Api برای پنهان کردن پروسزش استفاده کرده!!کد:>Processes
!!!!!!!!!!!Hidden process: D:\WINXPSP3\system32\drivers\hldrrr.exe
Process Id: 1744
EPROCESS Address: 0x85F9EB28
>Hooks
tkrnlpa.exe-->NtOpenProcess, Type: Inline - RelativeJump at address 0x805CB428 hook handler located in [srosa.sys]
ntkrnlpa.exe-->NtQuerySystemInformation, Type: Inline - RelativeJump at address 0x806110B8 hook handler located in [srosa.sys]