معرفي ويروس w32.jeefo

[bookworm]

اين ويروس را شايد بتوان از خطرناكترين نوع ويروس ها دانست كه در فاصله بسيار كوتاهي مي توانند تقريباً تمام فايل هاي EXE كامپيوتر را مبتلا كنند.

اين ويروس بر روي فايل هاي اجرايي تاٌثير گذاشته و يواش يواش تمام آنها را مانند يك كرم مي خورد، يعني آنها را بي اثر ميكند و مانع از اجراي آنها مي شوند.

اصلي ترين خوراك آنها فايل هاي اجرايي Flash مي باشد كه اگر در داخل يك پوشه به فرض مثال هزار فايل از اين گونه فايل ها باشد، در عرض كمتر از دو هفته حتي يك فايل سالم هم پيدا نخواهيد كرد.

كامپيوتر خود من از راه اينترنت به اين ويروس مسخره مبتلي شده بود و وقتي كه ديدم فايل ها و برناهه هايم كه تعداد آن ها بسيار زياد هم بود به طرز مشكوكي در حال خراب شدن مي باشند، به ويروسي بودن كامپيوترم مشكوك شدم. بخاطر همين برنامه ضد ويروس نورتون را نصب كردم. به محض چك كردن هارد كامپيوتر شروع كرد به پيدا كردن اين ويروس لعنتي. زماني كه عمل چك كردن تمام شد، نتيجه كار باور نكردني بود، نزديك به دو هزار ويروس كه همه آنها هم w32.jeefo بودند، در كامپيوترم پيدا شدند و اين يعني به باد رفتن چهار سال زحمت من براي جمع آوري بهترين و به روز ترين نرم افزار هاي جهان.

به هر حال ويروس ها را به وسيله اين برنامه از روي كامپيوتر پاك كردم كه البته فايل هاي آلوده را پاك كردم. تقريباً حدود دو سوم كل برنامه هايم را از دست دادم.

خوشبختانه تعدادي از آن ها را كه از مدتها پيش كه بر روي CD رايت كرده بودم را توانستم دوباره به دست بيارم هر چند كه ديگر Version آنها قديمي شده بود.

چند راه ساده براي تشخيس اين ويروس مخرب:
1- اولين راه و ساده ترين راه اين است كه از كليد هاي تركيبي Ctrl+Alt+Del استفاده كنيد و از پنجره آمده، تب دوم يعني Processes را انتخاب كنيد، سپس تعداد فايل هاي SVCHOST.EXE را بشماريد. تعداد آنها در بعضي مواقع، چهار تا مي باشد كه البته در هشتاد درصد موارد، پنج تا مي باشد. تا پنج تا، طبيعي مي باشد ولي اگر به ششمي رسيد، يقين بدانيد كه حداقل ويندوز شما اين ويروس را دارد. در واقع SVCHOST.EXE دومي همان ويروس w32.jeefo مي باشد كه از اين نام براي گول زدن كاربران مبتدي استفاده كرده و وارد مسير ويندوز شده و هميشه در مسير مي باشد تا با هر بار بوت شدن كامپيوتر شروع به گشتن و نابود كردن فايل هاي اجرايي نمايد.

2- دومين راه شناسايي، تغير شكل اجباري صفحه آبي رنگ Welcome مي باشد كه شكل آن به صورت كلاسيك تغيير كرده و امكان تغيير دوباره آن هم نمي باشد.

3- سومين راه هم كه بستگي به استفاده از نرم افزار ACD See 4.0 pps مي باشد كه هر بار بخواهيد آن را اجرا كنيد، يك پيغام Ok خواهد آمد و دوباره بايد آن را اجرا كنيد تا برنامه اجرا شود، يعني دو بار اجرا.

به هر حال اين سه راه را نبايد قطعي دانست و بايد از يك برنامه ضد ويروس كه من Norton Antivirus را پيشنهاد مي كنم استفاده كنيد.
البته اين ويروس جزو ويروس هاي 2004 مي باشد، پس از ورژن 2004 ضد ويروس براي شناسايي استفاده كنيد.

اين ويروس قدرت نفوض و تكثير زيادي را دارد پس وقت را از دست ندهيد و همين امروز كامپيوتر خود را براي اطمينان از عدم وجود آن، چك كنيد.

[RONN!E]

ولی تعداد فایل های Svchost.exe من شش تا بود و وقتی با انتی ویروس چک کردم هیچ اثری از ویروس نبود.

[ZiTaNiX]

آخ گفتی عزیز
منم مثل شما شده بودم
هر چی برنامه دانلود کرده بودم خراب کرد
مجبور شده همه رو دوباره دانلود کنم

[AHT]

به نظر من هم بدترین نوع ویروسه

[mpsjavad]

با ســـلام ..

مشخصات ویروس: w32.jeefo

درجه ریسک: کاربر خانگی:کم کاربر سازمانی:کم

تاریخ کشف:۳۰ مه ۲۰۰۳

منبع: نامعلوم !!!

حجم: فایل های آلوده تا اندازه ۳۶۳۵۲ بایت بزرگ می شوند.

نوع: ویروس

زیرمجموعه: Win32

خصوصیات ویروس: .......

این ویروس آلوده کننده فایل های ۳۲ بیتی است که فایل های Windows PE را روی کامپیوتر قربانی آلوده می کند.وقتی یک فایل آلوده بر روی کامپیوتر قربانی اجرا شود. فایل SVHOST.EXE با حجم ۳۶۳۵۲ بایت به پوشه %WinDir% انتقال پیدا کرده و فایل خود را با خصوصیات سیستم تنظیم می کند.در ویندوز 9x ویروس برای در اختیار گرفتن سیستم کلید زیر را به رجیستری اضافه می کند.

HKEY_LOCAL_MACHINE\Software\MIcrosoft\Windows\_Cur rentVersion\RunServices

"PowerManager=%WinDire%\SVHOST.exe"

در سیستم ویندوز های NT-2000-XP این فایل به عنوان یک سرویس و با خصوصیات زیر روی سیستم نصب می شود.

Description: manger the power save feature of the computer

Display Name: Power Manager

Start Type:Automatic

Account:Local System

در مرحله اول که به حافظه انتقال پیدا کرد ویروس مرتبا سعی می کند تا PE فایل ها را روی کامپیوتر قربانی آلوده می کند.

نشانه های آلودگی:

وجود SVHOST.exe با حجم ۳۶۳۵۲ بایت در %WinDir% و در سربرگ پروسس تسك منيجر ... توجه: یک فایل سالم با همین نام در پوشه سیستم c:\Windows\system\svhost.exe وجود دارد.فایل های آلوده دارای حجمی برابر با ۳۶۳۵۲ بایت دارند.


دوستاني كه در مورد فايل SVCHOST.EXE دنبال مطلب ميگردن و ميخوان بدونن كه كارش چيه و اصلا كدومش ويروس هست و كاركرد شون طبيعي هست يا نه به ادرس هاي زير برن :

-- اين ادرس از سايت مايكروسافت هست برا اينكه بفهميد چه فايل هايي اصليت وينندوزشما هستن و پروسس اون ها مانعي نداره ... و يكسري اموزش براي تشخيص و ...

کد:

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

-- اين هم يكسري مشكلات افراد مختلف كه با فايل SVCHOST.EXE دارند و تقريبا راه حل هاي افراد ديگه ... بدك نيست .

کد:

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

اين ها رو هم داشته باشيد و با مال خودتون مطابقت بديد :

Name Executable Priority ThreadsCPU Usage
MEM Usage Started
[System Process] [System Process] Low (0) 1 0
0 K 01/11/2004 05:07:57
Application Layer Gateway Service (alg.exe) alg.exe Normal (8) 6 0
0 K 01/11/2004 05:07:57
ATI External Event Utility EXE Module (Ati2evxx.exe) C:\WINDOWS\system32\Ati2evxx.exe
Normal (8) 3 0 1920 K
01/11/2004 0527
ATI External Event Utility EXE Module (Ati2evxx.exe) C:\WINDOWS\System32\Ati2evxx.exe
Normal (8) 4 0 2056 K
01/11/2004 05:08:26
ATI Utilitiy (atiptaxx.exe) C:\Program Files\ATI Technologies\ATI
Control Panel\atiptaxx.exe Normal (8) 2 0 4300 K
01/11/2004 0557
Common Client CC App (ccApp.exe) C:\Program Files\Common Files\Symantec
Shared\ccApp.exe Normal (8) 29 0 13560 K
01/11/2004 0554
Symantec Event Manager Service (ccEvtMgr.exe) C:\Program Files\Common Files\Symantec
Shared\ccEvtMgr.exe Normal (8) 17 0 3196 K
01/11/2004 05:09:58
CorrectConnect (CConnect.exe) C:\Program Files\CConnect\CConnect.exe
Normal (8) 19 0 5584 K
01/11/2004 0508
Common Client Proxy Service. (ccPxySvc.exe) C:\Program Files\Norton Internet Security
\ccPxySvc.exe Normal (8) 10 0 4420 K
01/11/2004 0508
CookiePatrol.exe C:\PROGRA~1\PESTPA~1\CookiePatrol.exe
Normal (8) 3 0 2180 K
01/11/2004 0500
Client/Server Runtime Server Subsystem (csrss.exe) C:\WINDOWS\System32\csrss.exe High
(13) 12 0 0 K 01/11/2004 05:07:57
Dkservice (DkService.exe) C:\Program Files\Executive Software
\Diskeeper\DkService.exe Normal (8) 4 0 3508 K
01/11/2004 0503
eEBSVC.exe C:\Program Files\Common Files\EPSON
\EBAPI\eEBSVC.exe Normal (8) 20 0 2728 K
01/11/2004 0504
GHOSTS~2.EXE C:\PROGRA~1\Symantec\NORTON~1
\GHOSTS~2.EXE Normal (8) 3 0 2152 K
01/11/2004 0504
gwum.exe C:\Program Files\Gigabyte\Gigabyte Windows
Utility Manager\gwum.exe Normal (8) 2 0 4248 K
01/11/2004 0510
Local Security Authority Service (lsass.exe) C:\WINDOWS\system32\lsass.exe
Normal (9) 13 0 1012 K
01/11/2004 05:08:25
Norton AntiVirus Auto-Protect Service (navapsvc.exe) C:\Program Files\Norton AntiVirus
\navapsvc.exe Normal (8) 9 0 944 K
01/11/2004 0505
NISUM.EXE C:\Program Files\Norton Internet Security
\NISUM.EXE Normal (8) 4 0 3860 K
01/11/2004 0506
Microsoft Intellimouse Monitor (point32.exe) C:\Program Files\Microsoft IntelliPoint
\point32.exe Normal (8) 4 0 4108 K
01/11/2004 0556
PPControl.exe C:\PROGRA~1\PESTPA~1\PPControl.exe
Normal (8) 4 0 2064 K
01/11/2004 0500
PPMemCheck (PPMemCheck.exe) C:\PROGRA~1\PESTPA~1\PPMemCheck.exe
Normal (8) 7 0 9924 K
01/11/2004 0559
Program Manager C:\WINDOWS\Explorer.EXE Normal (8)
12 0 50944 K 01/11/2004 0531
schedul2.exe C:\Program Files\Common Files\Acronis
\Schedule2\schedul2.exe Normal (8) 4 0 1624 K
01/11/2004 05:09:58
Windows Service Controller (services.exe) C:\WINDOWS\system32\services.exe
Normal (9) 16 0 4168 K
01/11/2004 05:08:25
SLEE503.exe C:\WINDOWS\System32\SLEE503.exe
Normal (8) 2 0 852 K
01/11/2004 0507
Session Manager Subsystem (smss.exe) C:\WINDOWS\System32\smss.exe
Normal (1 3 0 372 K
01/11/2004 05:07:57
Printer Spooler Service (spoolsv.exe) C:\WINDOWS\system32\spoolsv.exe
Normal (8) 16 0 7756 K
01/11/2004 05:08:29
SVCHOST.EXE SVCHOST.EXE Normal (8) 8
0 0 K 01/11/2004 05:07:57
Service Host Process (svchost.exe) C:\WINDOWS\System32\svchost.exe
Normal (8) 7 0 4652 K
01/11/2004 0507
SVCHOST.EXE SVCHOST.EXE Normal (8) 4
0 0 K 01/11/2004 05:07:57
Service Host Process (svchost.exe) C:\WINDOWS\System32\svchost.exe
Normal (8) 56 0 18524 K
01/11/2004 05:08:27
SVCHOST.EXE SVCHOST.EXE Normal (8) 10
0 0 K 01/11/2004 05:07:57
Service Host Process (svchost.exe) C:\WINDOWS\system32\svchost.exe
Normal (8) 15 0 4660 K
01/11/2004 05:08:26
svchost.exe error :( | Other Problems | Nibble Guru - Tech Support, Computer Help, Tech Help | Get F C:\Program Files\Mozilla
Firefox\firefox.exe Normal (8) 9 0 46544 K
01/11/2004 08:53:09
System System Normal (8) 90 0
212 K01/11/2004 05:07:57
Tablet.exe C:\WINDOWS\System32\Tablet.exe High
(13) 9 0 3592 K 01/11/2004 0508
TimeZone.exe C:\Program Files\Microsoft Time Zone
\TimeZone.exe Normal (8) 5 0 4136 K
01/11/2004 0504
Type32 (type32.exe) C:\Program Files\Microsoft IntelliType Pro
\type32.exe Normal (8) 3 0 4648 K
01/11/2004 0555
Windows Logon Process (winlogon.exe) C:\WINDOWS\system32\winlogon.exe High
(13) 24 0 3708 K 01/11/2004 05:08:25
WinTasks Pro C:\Program Files\LIUtilities\WinTasks
\wintasks.exe Normal (8) 7 0 30920 K
01/11/2004 11:59:36
wscntfy.exe C:\WINDOWS\system32\wscntfy.exe
Normal (8) 1 0 1980 K
01/11/2004 0527
Report created 01/11/2004 1418 by WinTasks Pro

بدرود .............


....

..
.

[*عیسی*]

آخ گفتی عزیز
منم مثل شما شده بودم
هر چی برنامه دانلود کرده بودم خراب کرد
مجبور شده همه رو دوباره دانلود کنم

من هم باهات واقعا هم دردم خیلی ویروس زد حالیه

[linker]

يكي ي پچ معرفي كنه

[mpsjavad]

يكي ي پچ معرفي كنه

با ســــلام ..

اين فايل رو بعد از دانلود از حالت فشرده خارج كنيد سپس بر روي فايل اجرايي كليك دو ضرب كنيد .. البته نميشه اسمش رو پچ گذاشت بلكه به دنبال فايل هاي الوده ميگرده ...


[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

حجم حدود 76 كيلو بايت ...

[Meisam]

با ســــلام ..

اين فايل رو بعد از دانلود از حالت فشرده خارج كنيد سپس بر روي فايل اجرايي كليك دو ضرب كنيد .. البته نميشه اسمش رو پچ گذاشت بلكه به دنبال فايل هاي الوده ميگرده ...


[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

حجم حدود 76 كيلو بايت ...

سلام
در مورد ویروس w32.jeefo بهترین برنامه همینی هست که محمد عزیز معرفی کرده
این برنامه بطور اتومات فایل های آلوده رو پیدا میکنه و تعمیرشون میکنه و نیازی نیست اون فایل ها رو پاک کنید!
البته بهترین روش برای استفاده ی این فایل اینه که این فایل رو برروی یه فلاپی بریزید و سپس ویندوز رو به صورت سیف مد بالا بیارید و از روی فلاپی این فایل رو اجرا کنید
ممنون

[alireza2005]

باتشكر از زحمات دوستان عزيز همگي موفق باشيد.