ورژن جديد ويروس نيوفلدر را چطوري ميشه پاك كرد نميذاره انتي ويروس هم بياد بالا
ورژن جديد ويروس نيوفلدر را چطوري ميشه پاك كرد نميذاره انتي ويروس هم بياد بالا
ویروس خطرناک سالیتی win32.Sality Virus
این ویروس در چند ماه گذشته جزء شایع ترین ویروسها بوده است و انواع مختلفی دارد .
غیرفعال کردن Alt+Ctrl+Delete یا همان تسک منیجر Task Manager ، از کار افتادن Regedit ( رجیستری ویندوز) ،همچنین محدود کردن دسترسی به سایتهای آنتی ویروس ، بستن آنتی ویروس و همچنین خراب کردن فایلهای اجرایی سیستم مختصری از اعمال این ویروس است .
من در این مبحث به عملکرد کلی این ویروس میپردازم و در ادامه روشی برای حذف این ویروس آموزش داده ام.
عناوین این ویروس و اسامی مورد شناسایی انتی ویروسهای معروف را در این صفحه مشاهده نمایید :
کد:برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید
شیوه آلوده سازی ویرس Sality
این ویروس پس از اجرا ، فایل آلوده ای را با نامی تصادفی و پسوند SYS در مسیر زیر قرار می دهد :
%System%\drivers
این کامپوننت آلوده ، در واقع یک Device Driver میباشد که مانند یک rootkit در سطح کرنل سیستم عمل می کند و به ویروس اجازه می دهد که خودش و عملکردش را در سیستم مخفی کند . از آنجایی که این شیوه تنها در سیستمهای مبتنی بر ویندوز ان تی (Windows NT-based operating systems) قابل اجراست .
لذا ویندوزهای NT/2000/XP/2003 در معرض آلودگی این ویروس هستند .
من در یکی از سیستمهای آلوده به این ویروس ، پراسسی به نام SCVHOST.exe را مشاهده کردم که در واقع پراسس اصلی ویروس بود .
توجه کنید که نام SCVHOST.exe بسیار شبیه فایل سیستمی SVCHOST.exe میباشد وتنها دو حرف C و V جابجا شده اند .
در واقع وجود یکی از پراسسهای زیر در سربرگ Processes ممکن است یکی از نشانه های آلودگی سیستم به ویروس Sality باشد :
blastclnnn.exe
hinhem.scr
SCVHOST.exe
این ویروس متن زیر را در فایل SYSTem.ini موجود در شاخه ویندوز اضافه می کند :
[MCIDRV_VER]
DEVICEMB=
که منظور از random number یک عدد تصادفی است .
همچنین کلید رجیستری زیر را در رجیستری ویندوز ایجاد می کند که ترکیبی است از نام کامپیوتر و یک عدد سه رقمی تصادفی :
HKCU\Software\<3 random numbers>
مثلا :
HKCU\Software\EliassMaleki498
در این کلید ویروس متغیرهای مورد استفاده خود را ایجاد می کند .
در یکی از سیستمهای آلوده من مسیر رجیستری زیر را که توسط ویروس ایجاد شده بود یافتم :
HKCU\Software\ACS-IR914
که ACS-IR نام کامپیوتر و عدد 914 همان عدد سه رقمی تصادفی بود.
این ویروس همچنین کلیه درایوهای محلی و یا شبکه ای و یا قابل حمل مانند فلش دیسکهای متصل به سیستم را یافته و خود را در آنها کپی می کند .
این ویروس همانند بسیاری از ویروسهای جدید با استفاده از ایجاد فایل Autorun.inf در درایوها و حافظه های فلش از این روش برای تکثیر خود بهره میگیرد .
وجود فایل Autorun.inf در هر نوع درایوی موجب می شود به محض دابل کلیک کردن بر روی درایو دستورات موجود در Autorun.inf اجرا شود که این دستورات ، دستوراتی شامل اجرای مجدد ویروس و تکثیر مجدد در کلیه درایوهاست .
بارگذاری ویروسها و بدافزارهای دیگر :
این ویروس با اتصال به دامینها و سایتهای زیر ، بدافزارهای دیگری را نیز دانلود کرده و به سیستم آلوده منتقل می کند :
89.119.67.154
bjerm.mass.hc.ru
klkjwre77638dfqwieuoi888.info
kukutrustnet777.info
kukutrustnet777888.info
kukutrustnet888.info
kukutrustnet987.info
lpbmx.ru
mattfoll.eu.interia.pl
st1.dist.su.lt
[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
غیر فعال کردن Task Manager و Registry Editor و Show Hidden Files
این ویروس ضمن از کار انداختن تسک منیجر Task Manager یا همان Alt+Ctrl+Delete موجب از کار افتادن ویرایشگر رجیستری (Regedit) نیز میگردد .
در صورت آلوده شدن سیستم به تین ویروس Folder Option نیز در مواقعی حذف می شود و یا در صورت وجود ، عملکرد نمایش فایهای مخفی و سیستمی نیز غیرفعال میگردد .
( در واقع وقتی شما گزینه
Show hidden files and folders
Hide extensions for known file types
را انتخاب میکنید و همچنین گزینه
Hide protected operating system files (Recommended)
را علامتدار می کنید باز فایهای سیستمی و مخفی نمایش نمی یابد )
در یکی از نسخه ها با جرای دستور بازگرداندن تسک منیجر بای چند لحظه تسک منیجر کار می کند ولی بسرعت غیر فعال میگردد .
بالا نیامدن سیستم در حالت Safe Mode
این ویروس موجب می شود سیستم در حالت سیف مود (Safe Mode) نیز بالا نیاید و پس از چند لحظه ری استارت شود !
تخریب و آلوده کردن فایلهای SCR و EXE
از بدترین اعمالی که این ویروس انجام می دهد خراب کردن فایلهای اجرایی سیستم با پسوند exe و SCR میباشد بطوریکه اغلب فایلهای exe و SCR موجود در درایو C را آلوده کردن و کدهایی را در آنها تزریق می کند و در نتیجه فایهای فوق نیز بعنوان ویروس Sality شناخته می شوند و بکلی خراب می شوند .
همچنین بسیاری از فایلهای اجرایی درایوهای دیگر را بطور تصادفی آلوده می کند .
حذف فایلها و بستن پراسسهای خاص:
این ویروس همچنین ممکن است فایلهای با پسوندهای زیر را حذف کند :
*.AVC
*.VDB
جالب اینجاست این ویروس به شما اجازه نصب برنامه های آنتی ویروس را می دهد اما به محض اجرای آنتی ویروس آن را می بندد ! من از کسپرسکی استفاده کردم که پس از اجرای کسپرسی پس از حدود 2 ثانیه انتی ویروس توسط ویروس فوق بسته می شود !
این ویروس فایلها یا پراسسهایی که اسامی آنها دارای کلمات زیر میباشد را حذف کرده و یا می بندد (Terminate and Delete the Process )
لیست این کلمات را در این صفحه میتوانید مشاهده کنید.
کد:برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید
خاتمه اجرای سرویسهای خاصی در ویندوز
Terminates Services
این ویروس سرویسهای در حال اجرای سیستم را که به نامهای زیر هستند را خاتمه می دهد :
لیست این پراسسها را در اینجا ببینید .
کد:برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید
جلوگیری از دسترسی و اتصال به وب سایتهای خاص :
این ویروس دسترسی سیستم را به سایتهای اینترنتی خاصی را محدود می کند . این عمل را از طریق الحاق یک فایل SYS که وظیفه انجام IP Traffic Filter Device Driver را دارد ، انجام می دهد .
لذا کلیه سایتها و دامینتهایی که اسامی آنها دارای کلمات زیر میباشد بلوکه شده و دسترسی سیستم آلوده به آنها محدود میگردد
upload_virus
sality-remov
virusinfo.
cureit.
drweb.
onlinescan.
spywareinfo.
ewido.
virusscan.
windowsecurity.
spywareguide.
bitdefender.
pandasoftware.
agnmitum.
virustotal.
sophos.
trendmicro.
etrust.com
symantec.
mcafee.
f-secure.
eset.com
kaspersky
نکته قابل توجه : ممکن است سیستمی آلوده به این ویروس باشد اما با توجه به چند ریختی بودن ویروس ، اسامی بعضی از فایلها و یا مسیرهای ذکر شده متفاوت باشد اما بسیاری از عملکردها ، مانند از کارفتادن تسک منیجر و رجیستری در کلیه نسخه های این ویروس مشترک است .
منبع : wordship
ویروس خطرناک سالیتی win32.Sality Virusاین ویروس در چند ماه گذشته جزء شایع ترین ویروسها بوده است و انواع مختلفی دارد .غیرفعال کردن Alt+Ctrl+Delete یا همان تسک منیجر Task Manager ، از کار افتادن Regedit ( رجیستری ویندوز) ،همچنین محدود کردن دسترسی به سایتهای آنتی ویروس ، بستن آنتی ویروس و همچنین خراب کردن فایلهای اجرایی سیستم مختصری از اعمال این ویروس است .من در این مبحث به عملکرد کلی این ویروس میپردازم و در ادامه روشی برای حذف این ویروس آموزش داده ام.عناوین این ویروس و اسامی مورد شناسایی انتی ویروسهای معروف را در این صفحه مشاهده نمایید :آلوده سازی ویرس Salityاین ویروس پس از اجرا ، فایل آلوده ای را با نامی تصادفی و پسوند SYS در مسیر زیر قرار می دهد :%System%\driversاین کامپوننت آلوده ، در واقع یک Device Driver میباشد که مانند یک rootkit در سطح کرنل سیستم عمل می کند و به ویروس اجازه می دهد که خودش و عملکردش را در سیستم مخفی کند . از آنجایی که این شیوه تنها در سیستمهای مبتنی بر ویندوز ان تی (Windows NT-based operating systems) قابل اجراست .لذا ویندوزهای NT/2000/XP/2003 در معرض آلودگی این ویروس هستند .من در یکی از سیستمهای آلوده به این ویروس ، پراسسی به نام SCVHOST.exe را مشاهده کردم که در واقع پراسس اصلی ویروس بود .توجه کنید که نام SCVHOST.exe بسیار شبیه فایل سیستمی SVCHOST.exe میباشد وتنها دو حرف C و V جابجا شده اند .در واقع وجود یکی از پراسسهای زیر در سربرگ Processes ممکن است یکی از نشانه های آلودگی سیستم به ویروس Sality باشد :blastclnnn.exehinhem.scrSCVHOST.exeاین ویروس متن زیر را در فایل SYSTem.ini موجود در شاخه ویندوز اضافه می کند :[MCIDRV_VER]DEVICEMB=که منظور از random number یک عدد تصادفی است .همچنین کلید رجیستری زیر را در رجیستری ویندوز ایجاد می کند که ترکیبی است از نام کامپیوتر و یک عدد سه رقمی تصادفی :HKCU\Software\مثلا :HKCU\Software\EliassMaleki498در این کلید ویروس متغیرهای مورد استفاده خود را ایجاد می کند .در یکی از سیستمهای آلوده من مسیر رجیستری زیر را که توسط ویروس ایجاد شده بود یافتم :HKCU\Software\ACS-IR914که ACS-IR نام کامپیوتر و عدد 914 همان عدد سه رقمی تصادفی بود.این ویروس همچنین کلیه درایوهای محلی و یا شبکه ای و یا قابل حمل مانند فلش دیسکهای متصل به سیستم را یافته و خود را در آنها کپی می کند .این ویروس همانند بسیاری از ویروسهای جدید با استفاده از ایجاد فایل Autorun.inf در درایوها و حافظه های فلش از این روش برای تکثیر خود بهره میگیرد .وجود فایل Autorun.inf در هر نوع درایوی موجب می شود به محض دابل کلیک کردن بر روی درایو دستورات موجود در Autorun.inf اجرا شود که این دستورات ، دستوراتی شامل اجرای مجدد ویروس و تکثیر مجدد در کلیه درایوهاست .بارگذاری ویروسها و بدافزارهای دیگر :این ویروس با اتصال به دامینها و سایتهای زیر ، بدافزارهای دیگری را نیز دانلود کرده و به سیستم آلوده منتقل می کند :89.119.67.154bjerm.mass.hc.ruklkjwre77638dfqwieuo i888.infokukutrustnet777.infokukutrustnet777888.in fokukutrustnet888.infokukutrustnet987.infolpbmx.ru mattfoll.eu.interia.plst1.dist.su.ltwww.klkjwre9fq wieluoi.infoغیر فعال کردن Task Manager و Registry Editor و Show Hidden Filesاین ویروس ضمن از کار انداختن تسک منیجر Task Manager یا همان Alt+Ctrl+Delete موجب از کار افتادن ویرایشگر رجیستری (Regedit) نیز میگردد .در صورت آلوده شدن سیستم به تین ویروس Folder Option نیز در مواقعی حذف می شود و یا در صورت وجود ، عملکرد نمایش فایهای مخفی و سیستمی نیز غیرفعال میگردد .( در واقع وقتی شما گزینهShow hidden files and foldersHide extensions for known file typesرا انتخاب میکنید و همچنین گزینهHide protected operating system files (Recommended)را علامتدار می کنید باز فایهای سیستمی و مخفی نمایش نمی یابد )در یکی از نسخه ها با جرای دستور بازگرداندن تسک منیجر بای چند لحظه تسک منیجر کار می کند ولی بسرعت غیر فعال میگردد .بالا نیامدن سیستم در حالت Safe Modeاین ویروس موجب می شود سیستم در حالت سیف مود (Safe Mode) نیز بالا نیاید و پس از چند لحظه ری استارت شود !تخریب و آلوده کردن فایلهای SCR و EXEاز بدترین اعمالی که این ویروس انجام می دهد خراب کردن فایلهای اجرایی سیستم با پسوند exe و SCR میباشد بطوریکه اغلب فایلهای exe و SCR موجود در درایو C را آلوده کردن و کدهایی را در آنها تزریق می کند و در نتیجه فایهای فوق نیز بعنوان ویروس Sality شناخته می شوند و بکلی خراب می شوند .همچنین بسیاری از فایلهای اجرایی درایوهای دیگر را بطور تصادفی آلوده می کند .حذف فایلها و بستن پراسسهای خاص:این ویروس همچنین ممکن است فایلهای با پسوندهای زیر را حذف کند :*.AVC*.VDBجالب اینجاست این ویروس به شما اجازه نصب برنامه های آنتی ویروس را می دهد اما به محض اجرای آنتی ویروس آن را می بندد ! من از کسپرسکی استفاده کردم که پس از اجرای کسپرسی پس از حدود 2 ثانیه انتی ویروس توسط ویروس فوق بسته می شود !این ویروس فایلها یا پراسسهایی که اسامی آنها دارای کلمات زیر میباشد را حذف کرده و یا می بندد (Terminate and Delete the Process )لیست این کلمات را در این صفحه میتوانید مشاهده کنید.کد:برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنیداجرای سرویسهای خاصی در ویندوزTerminates Servicesاین ویروس سرویسهای در حال اجرای سیستم را که به نامهای زیر هستند را خاتمه می دهد :لیست این پراسسها را در اینجا ببینید .کد:برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنیداز دسترسی و اتصال به وب سایتهای خاص :این ویروس دسترسی سیستم را به سایتهای اینترنتی خاصی را محدود می کند . این عمل را از طریق الحاق یک فایل SYS که وظیفه انجام IP Traffic Filter Device Driver را دارد ، انجام می دهد .لذا کلیه سایتها و دامینتهایی که اسامی آنها دارای کلمات زیر میباشد بلوکه شده و دسترسی سیستم آلوده به آنها محدود میگرددupload_virussality-removvirusinfo.cureit.drweb.onlinescan.spywareinfo .ewido.virusscan.windowsecurity.spywareguide.bitde fender.pandasoftware.agnmitum.virustotal.sophos.tr endmicro.etrust.comsymantec.mcafee.f-secure.eset.comkasperskyنکته قابل توجه : ممکن است سیستمی آلوده به این ویروس باشد اما با توجه به چند ریختی بودن ویروس ، اسامی بعضی از فایلها و یا مسیرهای ذکر شده متفاوت باشد اما بسیاری از عملکردها ، مانند از کارفتادن تسک منیجر و رجیستری در کلیه نسخه های این ویروس مشترک است .منبع : urcکد:برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید
سلام
شما ابتدا از Combofix رو دون و اجرا کنید.
سپس نود32 رو بنصبید.کد:برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید
موفق باشید.
سلام بر و بچ باحال خودم
من با کاسپر آپدیت شده تونستم این ویروس رو بگیرم
ویرانه نه آن است که جمشید بناکرد
ویرانه نه آنست که فرهاد فرو ریخت
ویرانه دل ماست که با هر نظر دوست
صد بار بنا گشت و دگر بار فرو ریخت
ویروس من هم دقیقا همینه .
آواست در هنگام بالا آمدن سیستم این فایل رو دوبار شناسایی میکنه که بعد از پاک کردن دومین بار دیگه خبری نمیشه .
همچنین آواست در اتصال به اینترنت هر از چند مدتی یه فایل exe از temp پیدا میکنه که میزنم پاکشون میکنه .کد:برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید
بعد از بالا اومدن سیستم هم میخاد آواست رو end task کنه که نمیتونه .
حالا کسی نمیدونه اینو چه جوری باید پاکش کنیم ؟؟؟ یا باید ویندو از نو ویندوز از نو![]()
سلام
برید به پسته 1 از تاپیک زیر ویروس sality (سالیتی) و روش پاک کردن آن (Remove Sality)
موفق باشید.کد:برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید
انتی ویروس اویرا به راحتی سالیتی را از بین می برد البته باید اپدیت شود![]()
سلام
من یه ویروس گرفتم که فولدرهایی که چند بار باز میکنم رو تبدیل به EXE میکنه ودیگه باز نمیشن!!!
حالا نمیدونم چه کار کردم که ویروسه از کار افتاده ولی فایل هایی که EXE کرده بود(و الان درست شدن) Hidden شدن و تیک Hidden هم غیر فعال شده و برداشته نمیشه!!!
حالا چیکار کنم تا تیک Hidden برداشته بشه ؟
Last edited by sargeras; 24-05-2009 at 10:17.
هم اکنون 1 کاربر در حال مشاهده این تاپیک میباشد. (0 کاربر عضو شده و 1 مهمان)