با سلام
این مخرب یکی از جدیدترین مخرب های است که شناسایی شده است.
در واقع باید بگم این یک مخرب نیست بلکه دو مخرب است.
مخرب اول که kaspersky و سایر ضد ویروس ها ان را شناسایی و پاکسازی میکنند(مانند p o-rn.exe و s-e--x -y.exe و passwords.exe , ...).
مخرب دیگر که می تواند هر نامی مانند Untitled.exe و ... داشته باشد که معمولا ایکن خود را notepad و windows media player قرار می دهد.
مخرب دوم نیمی از ضدویروس ها مانند kaspersky و symantec و ... ان را شناسایی نمی کنند (حتی mbam).
برای پاکسازی مخرب اول می توانید از malwarebytes anti malware استفاده کنید و یا از kaspersky removal tools را از لینک زیر دانلود و سیستم را اسکن کنید :
[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
اما برای مخرب دوم که نیمی از ضد ویروس ها ان را شناسایی نمی کنند باید از روش زیر عمل کنید.
نتایج virus total برای مخرب دوم :
[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
همان گونه که میبینید kaspersky و Symantec و ... هنوز این مخرب را شناسایی نکردند(البته در تلاش هستم که برایشان submit کنم).
این مخرب پوشه زیر را ایجاد می کند :
کد:
C:\Documents and Settings\All Users\Application Data\Microsoft\Dr Watson
این مخرب فایل های زیر را می سازد :
کد:
C:\Documents and Settings\All Users\Application Data\Microsoft\Dr Watson\drwtsn32.log
C:\Documents and Settings\All Users\Application Data\Microsoft\Dr Watson\user.dmp
و فایل های زیر را اجرا می کند :
کد:
C:\TEST\sample.exe
C:\WINDOWS\system32\drwtsn32.exe
(این فایل ها توسط مخرب اول ایجاد شده اند)
و خود را با نام svchost.exe در task manager معرفی می کند و مقدار رجیستری به ادرس زیر را از 0 به 1 تغییر می دهد :
کد:
LM\Software\Microsoft\DrWatson\NumberOfCrashes
برای پاک سازی این مخرب می توانید از نرم افزار پرتابل Dr.WEB استفاده کنید. این ضدویروس portable با نام cureit شناخته می شود.
برای دانلود ان از لینک زیر استفاده کنید و کل سیستم را اسکن کنید :
کد:
http://download.geo.drweb.com/pub/drweb/cureit/kew4f67l.exe
امیدوارم مشکلتون حل بشه.
با تشکر
