پاک کردن ویروسی که Persistence هست!

[I-Tech]

با سلام
دوست عزیز راه های زیادی هست که به صورت دستی می توان مخرب را حذف کرد.
در این مورد چون شما میدونید به چه اسمی و در کجا ذخیره شده و چه Process Name داره می توانید از روش زیر عمل کنید.
1- برنامه Notepad را باز کنید.
2- کد های زیر را در ان کپی کنید :

کد:

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

3- سپس بر روی دکمه save کلیک کنید . این فایل را با هر نامی که دوست دارید اما فقط با پسوند bat یا cmd ذخیره کنید.
4- در نهایت بر روی ان راست کلیک کرده و Run as admin را انتخاب کنید.
----------
البته این راه تا زمانی درست کار می کند که هم اطلاعات شما درست باشد و هم فایل taskkill.exe و cmd.exe الوده نشده باشند.
من دارم روی یک toolkit کار می کنم که تا چند وقت دیگه برای دانلود می گذارم. این toolkit توانایی های زیادی به کاربر می دهد که هم بتواند دستی مخرب را شناسایی و پاک کند و هم از طریق ضد ویروس.
از جمله ویژگی های این toolkit :
1- گزارش گیری کامل از سیستم و شناسایی برخی از مخرب های فعال.
2- مصون کردن درایوهای سیستم از ویروس های خود اجرا و ini
3- غیر فعال و فعال کردن سیستم خود اجرای ویندوز
4- برگرداندن تمام خراب کاری های مخرب (از جمله فعال کردن registry و system restore و safe mode و ...)
5- شناسایی مخرب های در flash و توانایی اسکن کامل ان و حذف مخرب های ان.
6- ترمیم فایل های اصلی سیستم مانند explorer.exe و winlogon.exe و ... بدون نیاز به دی وی دی ویندوز.
7- قابلیت به روز رسانی سیستم
8- و ...
این toolkit می تواند در کنار هر ضد ویروسی نصب شود.
با تشکر

سلام

با این روشی هم که شما میگید نمیشه چون دقیقا همون کارایی رو میکنه که تو پست اول گفتم، یعنی اول پروسسش رو میبنده (که در اینصورت دوباره اجرا میشه) و بعد هم از حالت سیستمی و هیدن درمیاره و در آخر هم میخواد فایل رو پاک کنه که اگه فایل رو هم پاک کنه هومنطور که گفتم دوباره ساخته میشه و اجرا!

با اینکه میدونستم نمیشه ولی امتحان کردم نشد...

[M.Hashemi]

با سلام
من منظور شما را بد متوجه شدم.
چنین مخرب های چندین روش برای برگشت دارند :
1- با استفاده از System Restore (یعنی System Restore را به گونه ای config می کنند که در دوره های زمانی ثابت این مخرب را Restore کند)
2- یک مخرب دیگر که یا از Resource و یا از sfx استفاده کرده در حال اجراست و در دوره های زمانی ثابت چک می کند اگر مخرب وجود نداشته باشد ان را ایجاد می کند (یا ب عبارت دیگر extract می کند)
*
در این مواقه بهترین راه استفاده از AV Portable و Rescue Disk است اما چون شما نمی خواهید از AV استفاده کنید کار های زیر را می توانید انجام دهید انجام دهید.
1- با نرم افزار Disk Mon باید مکان ایجاد مخرب را زیر نظر بگیرید و متوجه بشید که ایا مخرب دیگری ان را ایجاد می کند یا از طریق System Restore این کار انجام می شود.
2- سپس با استفاده از دستورات زیر در cmd لیست تمام process ها را می گیریم و بررسی می کنیم که کدام یک مخرب است.(یکی از روش ها به این صورت است که process های که به ان ها مشکوک هستیم در virus total تست کنیم):

کد:

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

3- بعد از شناسایی مخرب دیگر (که احتمال وجودش بیش از 90% است) با استفاده از روشی که در پست قبل گفتم این مخرب را پاک کرده و با استفاده از روش زیر System Restore را غیر فعال می کنیم :
[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
و سپس از همان روش که در پست قبل توضیح داده بودم فایل مخرب در پوشه temp را حذف می کنیم.
--------------
البته خیلی بهتر است که موارد بالا را به غیر از لیست process ها با یک script مانند bat انجام دهید که سریع عمل کند.(برای غیر فعال کردن System Restore هم از Registry استفاده کنید).
--------------
اگر نتوانستید process مخرب را تشخیص دهید در پ.خ اعلام کنید تا از طریق تلفن یا Team Viewer یا ... به شما کمک کنم.
اگر هم script را نتوانستید بنویسید در همین تاپیک اعلام کنید (البته با جزئیاتی که لازمه) تا برای شما این script را بنویسم.
***در ضمن اگر امکان دارد این مخرب را فشرده کنید و اپلود کنید و در پ.خ برای من بفرستید(پیشاپیش متشکرم).
با تشکر

[I-Tech]

با سلام
من منظور شما را بد متوجه شدم.
چنین مخرب های چندین روش برای برگشت دارند :
1- با استفاده از System Restore (یعنی System Restore را به گونه ای config می کنند که در دوره های زمانی ثابت این مخرب را Restore کند)
2- یک مخرب دیگر که یا از Resource و یا از sfx استفاده کرده در حال اجراست و در دوره های زمانی ثابت چک می کند اگر مخرب وجود نداشته باشد ان را ایجاد می کند (یا ب عبارت دیگر extract می کند)
*
در این مواقه بهترین راه استفاده از AV Portable و Rescue Disk است اما چون شما نمی خواهید از AV استفاده کنید کار های زیر را می توانید انجام دهید انجام دهید.
1- با نرم افزار Disk Mon باید مکان ایجاد مخرب را زیر نظر بگیرید و متوجه بشید که ایا مخرب دیگری ان را ایجاد می کند یا از طریق System Restore این کار انجام می شود.
2- سپس با استفاده از دستورات زیر در cmd لیست تمام process ها را می گیریم و بررسی می کنیم که کدام یک مخرب است.(یکی از روش ها به این صورت است که process های که به ان ها مشکوک هستیم در virus total تست کنیم):

کد:

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

3- بعد از شناسایی مخرب دیگر (که احتمال وجودش بیش از 90% است) با استفاده از روشی که در پست قبل گفتم این مخرب را پاک کرده و با استفاده از روش زیر System Restore را غیر فعال می کنیم :
[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
و سپس از همان روش که در پست قبل توضیح داده بودم فایل مخرب در پوشه temp را حذف می کنیم.
--------------
البته خیلی بهتر است که موارد بالا را به غیر از لیست process ها با یک script مانند bat انجام دهید که سریع عمل کند.(برای غیر فعال کردن System Restore هم از Registry استفاده کنید).
--------------
اگر نتوانستید process مخرب را تشخیص دهید در پ.خ اعلام کنید تا از طریق تلفن یا Team Viewer یا ... به شما کمک کنم.
اگر هم script را نتوانستید بنویسید در همین تاپیک اعلام کنید (البته با جزئیاتی که لازمه) تا برای شما این script را بنویسم.
***در ضمن اگر امکان دارد این مخرب را فشرده کنید و اپلود کنید و در پ.خ برای من بفرستید(پیشاپیش متشکرم).
با تشکر

سلام
پروسس دیگه ای نداره فقط و فقط یه پروسس ایجاد میکنه!
صفحه قبل هم به صورت فشرده گذاشتمش...

[M.Hashemi]

با سلام
بله دوست عزیز حق با شماست.
اما من میدونم که باید یک process دیگر هم وجود داشته باشد.
با اجازه شما من این مخرب را انالیز کردم و متوجه شدم که process ای را با نام notepad.exe ایجاد می کند یا به عبارت دیگر :
این مخرب فایل notepad.exe که در مسیر c:\windows\system32 قرار دارد را الوده کرده است.
همچنین این مخرب یک فایل با نام sample.exe در ادرس c:\test ایجاد می کند که باز هم مخرب است.
این مخرب نیز خود را در سیستم به عنوان برنامه خود اجرا معرفی کرده و همچنین به همراه process مخصوص ویندوز یعنی winlogon نیز اجرا می کند.
حال کار های که باید انجام شود.
1- تمام process های مشکوک (Persistant.exe, nNotepad.exe) باید end process بشوند و فایل مخربی که در بالا بام برده شده است نیز باید حذف گردد(البته این مراحل باید سریع و پشت سر هم انجام شود تا مخرب نتواند دوباره خود را اجرا کند).
2- کافیگ خود اجرای مخرب نیز باید حذف شود.
3- بعد از این کار ها حتما سیستم خود را با یک ضدویروس قدرتمند اسکن کنید تا فایل های اسیب دیده (فایل های میزبان ویروس) نیز شناسایی شوند. مثلا یکی از فایل ها notepad.exe است که نباید اجرا شود و شما میتونید این فایل را از داخل دی وی دی سیستم عامل و یا یکی از دوستانتان که دقیقا سیستم عامل مشابه دارد جایگذین کنید و یا این که وینروز خود را repair کنید(البته قبلش فایل notepad.exe را حذف کنید).
-----
برای این کار های که گفتم ابتدا یک فایل با نام removal.reg بسازید و ان را edit کنید و دستورات زیر را در ان کپی کنید :

کد:

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

سپس یک فایل با نام removal.bat بسازید و ان را edit کنید و دستورات زیر را در ان کپی کنید :

کد:

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

سپی این دو فایل را در یکی از درایوهاتون (به غیر از درایو c) کپی کنید و بر روی فایل removal.bat راست کلیک کنید و گذینه run as admin را انتخاب کنید.
چون notepad شما الوده است گفتم شاید درست نباشد که خودتان این کد ها را ایجاد کنید :

کد:

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

کلمه عبور :

کد:

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

-----
تا این جای کار می توان دستی عمل کرد اما به هر حال ما به یک database قدرتمند نیاز داریم که از پاک سازی سیستم اطمینان داشته باشیم. به شما توصیه می کنم یک سوئیت امنیتی قدرتمند (hips, cloud, hirestic, ...) استفاده کنید و بعد از بروز رسانی سیستم را اسکن کنید. همچنین به نظرم بهتر است خود اجرای کل سیستم را نیز غیر فعال کنید.
-----
توجه :
1- این کد ها با فرض این که ویندوز شما در درایو c نصب شده است نوشته شدند. در صورتی که ویندوز شما در درایوی دیگر نصب باشد با اجرای این فایل ها سیستم شما ممکن است اجرا نشود. در نتیجه اگر ویندوز را در درایوی دیگر نصب کردید بگید تا کد ها را برایتان تغییر دهم.
2- اگر باز هم مخرب اجرا شد بعد از اجرای فایل سریع system restore را غیر فعال کنید و سیستم را restart کنید.
3- نتایج ویروس توتال : [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

امیدارم تونسته باشم کمکتون کنم.
با تشکر