همفكري براي رهايي كامل از magic ps و آثار آن

**AveCina** · 11-07-2005, 13:23

راستي من الان كه گفتين svchost سيستم خودمو چك كردم ديدم تويه Process هام 6 تا از این فعال هستند ! یعنی من هم الان آلودم و باید به قول آقا فرهاد تیر خلاصی رو به خودم بزنم !

**drweblog** · 11-07-2005, 13:34

نوشته شده توسط saman_uv

ویندوز عوض کن خودتم علاف نکن

عزيزم با عوض كردن ويندوز از بين نمي رود :cry:
حتا با fdisk كردن ممكن است كه خودش از بين برود ولي اعمالي را كه در نتيجه آلوده شدن سيستم انجام مي دهد كماكان انجام مي دهد :cry: مثل پاك كردن آرشيو offlin ها

**KhalijefarS** · 11-07-2005, 13:44

svchost.exe یکی از فیلهای اصلی ویندوز ه . و نباید اون رو پاک کرد
برخی ویروسها یا تروجانها برای فعالیت و ناشناس ماندن خود روی این فایل مینشینند. ( مثل jeefo .w32)
iبه همین دلیل باید اونا رو تو حالت safemode ویروسیابی کرد و از بین برد ..
:mrgreen:

**drweblog** · 11-07-2005, 13:46

نوشته شده توسط avecina

راستي من الان كه گفتين svchost سيستم خودمو چك كردم ديدم تويه Process هام 6 تا از این فعال هستند ! یعنی من هم الان آلودم و باید به قول آقا فرهاد تیر خلاصی رو به خودم بزنم !

دوستان لطف كنيد ببينيد آيا در سيستم هاي شما هم در قسمت process هاتون svchost داريد يا نه
دوستان لطف كنيد و بنده رو راهنمايي كنيد.بنده در قسمت process هام يك svchost وجود دارد كه اگر اون رو end process كنم عملي شبيه به blaster انجام ميده ( 60 ثانيه به طور معكوس مي شمارد و سپس سيستم رو restart مي كند)

**AveCina** · 11-07-2005, 13:57

براي رفع اون مشكل خاموش شدن از اين دستور استفاده كن :
برو تويه Run تایپ کن CMD بعد اینتر کن !
در صفحه ای که باز میشه تایپ کن shutdown -a
صفحه بسته میشه و مشکلت حله !

**Harry Potter** · 11-07-2005, 20:50

مثلا دوستان گفته بودند كه از norton 2005 آپديت شده براي پاك كردنش استفاده كنند ولي اين رو بنده به عرض شما برسونم كه kaspersky 2005 بدون اينكه اپديت هم بشو اين تروجان رو پاك مي كند ولي هيچكدوم از اين ويروسياب ها انو (البته از همه مهمتر آثار مخربش رو ) به طور كامل نمي تونند از بين ببرند

حالا شما از نورتون استفاده بکن ضرر نداره !

ضمنا یک راه حل ساده و ابتکاری برای خلاصی از دست این تروجان ! :
با استفاده از خود نرم افزار magic ps یک سرور بسازید اما هیچ کدوم از گزینه ها رو تیک نزیند ، آدرس ایمیل هم وارد نکنید! بعد فایلی رو که ساختید اجرا کنید تا از شر تروجان قبلی خلاص بشید! (تروجان جدید هم هیچ ضرری نداره)

**d_oxid** · 11-07-2005, 21:35

براي آلوده نشدن در خانه فقط نبايد **** بود.....تو كافي نت هم اول با يه ايدي بيخودي لاگين شو.......موقه لاگين شدن دسكتاپو نگا كن......اگه مجيكي باشه يه صفحه پي ام يك دهمه ثانيه باز و بسته ميشه.....وگر نه هيچ اتفاقي نميفته

**saman_uv** · 12-07-2005, 02:22

نوشته شده توسط drweblog

نوشته شده توسط saman_uv

ویندوز عوض کن خودتم علاف نکن

عزيزم با عوض كردن ويندوز از بين نمي رود :cry:
حتا با fdisk كردن ممكن است كه خودش از بين برود ولي اعمالي را كه در نتيجه آلوده شدن سيستم انجام مي دهد كماكان انجام مي دهد :cry: مثل پاك كردن آرشيو offlin ها

با تعویض ویندوز ازبین میره اکثر تروجانها رو ریجیستری میشینن و با عوض کردن ویندوز ازبین میرن

نوشته شده توسط s-s

کامپیوتر من الوده شده بود هرچی گشتم یه نرم افزار پیدا کنم
تا ازبین ببرمش نتونستم ولی خوب این مطلبو پیدا کردم.من خودم این کارا رو کردم حالا پاک شده یا نه خدا می دونه!!!!!!!!!

ابتدا از منوی start گزینه RUN را انتخاب می كنيد

سپس تايپ كنيدRegedit بعد از باز شدن پنجره

Registry Editor به زير شاخه های زير برويد .

HKEY_CURRENT_USERSoftwareMicrosoft

WindowsCurrentVersion un

و همچنين به كليد :

HKEY_LOCAL_MACHINESOFTWARE

MicrosoftWindowsCurrentVersionRun

خب حالا بايد داخل اين دو كليد در ريجستری به دنبال متغيير SVCHOST يا svchostبگرديد
و اگر وجود داشت آن را پاك كنيد و يك بار سيستم خود را راه اندازی مجدد كنيد

اکثر تروجانها امکان disabel کردن ریجیستری رو دارن

یه سوالم داشتم از کجا میفهمین به تروجان الوده شدین؟؟؟

**mpsjavad** · 13-07-2005, 12:49

با سلام ..

اينم از ويروس ياب مخصوص سر آش پز

حجم تنها 75 كيلو بايت فشردش 61 كيلو بايته

کد:

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

خصوصيات ويروس‌ياب:
زبان برنامه نويسي: ويژوال بيسيك (نسخه 6)
با استفاده از كدهاي API به ميزان وفور
حجم برنامه: تنها 75 KB
قابل اجرا در: ويندوز XP، ME، 2000 و - (ويندوزهاي 98 در صورتي كه فايلهاي مخصوص ويژوال بيسيك (MSVBVM06.DLL) را در شاخه سيستم خود داشته باشيد.)
تنها يه نكته براي استفاده در ويندوز اكس پي و شايد هم 2000 اينه كه بايد يه بار اين برنامه رو اجرا كنيد و بزارين بگرده. بعد كامپيوتر رو ريست كنيد و دوباره بگردين كه كامل ويروس از بين بره. (توي ملنيوم يا 98 اتومات كار ميكنه و ريست هم نميخواد)

نويسنده: ؟ ( توي خود نرم افزار نوشته )

مدت زمان نگارش: حدود 3 ساعت
قيافه: بي‌ريخت
كارايي: اين برنامه با شناسايي ويروس در حافظه آن را از اجرا خارج كرده و سپس به شناسايي محل قرار گرفتن فايل اجرايي آن بر روي هارد ديسك مي‌پردازد كه در مرحله بعد اين فايل نيز پاك ميگردد. سپس تمامي رد پاهاي برنامه از رجيستري نيز حذف ميگردد تا تمامي توانايي اجراي ويروس از بين برود.
قابليت شناسايي: Magic PS نسخه 1.41 به قبل با اين برنامه قابل شناسايي و حذف ميباشد.

توضيحاتي در مورد Magic PS و مصاحبه اي با نوسينده اين ويروس ياب

اصلا اين كه ميگي چي هست؟
ايني كه داريم دربارش صحبت ميكنيم يه برنامه جاسوسه
برنامه - جاسوس - مگه ميشه؟
بابام جان، برنامه جاسوس به برنامه‌اي ميگن كه اطلاعات كامپيوتر شما رو ميدزده و به يه نفر ديگه كه ميتونه ازشون استفاده كنه ميفرسته
اوا خاك بر سرم ننه، حالا چي ميدزده اين بي‌مروت؟
وقتي ميگيم اطلاعات منظور هرچي تو كامپيوترتونه ديگه. يه وقت يكي مياد اكانت اينترنت شما رو ميدزده، يكي مياد رمز ايميل شما رو برميداره، اگه خارجكي هم باشين و از كارت اعتباري براي خريد تو اينترنت استفاده ميكنين، اين برنامه ميتونه رمز كارت شما رو لو بده.
واي اين كه خيلي ترسناكه. يعني ميگي مسريه؟ همه ميگيرن؟ مثل ايدز ميمونه؟
معلومه كه ترسناكه، البته هميشه آلوده شدن شخص تقصير خودشه (تقريبا مثل ايدز). معمولا ما ها كه كمتر اطلاعات داريم ميايم و هرچي از اين و اون به دستمون رسيد رو اجرا مي‌كنيم(كاملا مثل ايدز)، چه از طريق ايميل، چه از طريق دوستاي ناباب، چه CD و چه انتقال اطلاعات از هر طريق ممكن اين اطلاعات به دستمون رسيده باشه. پس مواظب خودتون باشين و هركي بهتون هر چي داد زود اجراش نكنين، هرچند اسمي داشته باشه كه نتونين طاقت بيارين و بازش نكنين.
حالا ما چيكار كنيم كه آلوده نشيم؟
همونطور كه گفتم سعي كنيد هر چي به دستتون رسيد فوري باز نكنيد. اگه يه Email دريافت كرديد و ديديد يه پيوست (Attachment) داره به اسم Love يا نميدونم Beauty Screen Saver يا هر اسم جالب ديگه يهويي حول نكنيد كه واي ببين كدوم عزيزي برام اينو فرستاده و زودي بازش كنيد. خوب اينجوري درجا ويروس ميگيرن. يادتونه مامانتون كوچيكتر كه بودين هميشه بهتون ميگفت از دست غريبه‌ها چيزي نگيرين؟ اينم همينطوريه. از ناشناس چيز نگيرين حتي اگه اداي عاشقاي حرفه‌اي رو در آورد.
راه پيشگيري چيزي داره؟
بهترين راه حل هميشه داشتن يه ضد ويروس قوي و جديده. من كه خودم شخصا Norton AntiVirus رو پيشنهاد ميدم. ( نظز شخصي هست توجه كنيد .. شما از كاسپر هم استفاده كردي مشكلي نيست همين طور مكافي و بيتي و .. :mrgreen: ) با كلي ضد ويروس ديگه هم كار كردم ولي هيچكدوم به اطمينان و قدرت اين نميرسه.( اينم يه خالي بندي ديگه

)

برين از دوستي، فاميلي، كسي كه ميشناسين يه CD بگيرين كه توش نورتون ( يا كلا انتي ويروس ) داشته باشه. هر ورژني (Version) هم بود مهم نيست. بعد يه سر بزنيد سايت خود نورتون ( منظور انتب ويروس مربوط هست ) قسمت Update مشخصات ويروس‌ها كه هر روز آپديت ميشه و از اونجا اين فايل 4 مگابايتي رو دانلود كنيد. (فايل 7 مگيه يا فايل 1.5 مگيا رو دانلود نكنيد ها) توصيه من اينه كه حداقل ماهي يه بار اين كار رو بكنيد. (نكرديد هر 2 ماه يه بار آپديت كنيد، نخواستين 3 ماه يه بار،نشد 4 ماه يه‌بار، اصلا به من چه كه چند ماه يه بار) و بعد اجراش كنيد كه ويروس‌يابتون به روز بشه. اينجوري احتمال گرفتن ويروس خيلي كمتر ميشه.
اينجوري كه گفتي هوس كردم منم يه بار از اين برنامه بد، بدا استفاده كنم.
ميل خودتونه. ببينين معمولا اين برنامه‌هاي دزد و جاسوس رو يه سري برنامه‌نويس حرفه‌اي مينويسن، اونام كه نميان به خاطر چشم و ابروي من مفت و مجاني برنامه بنويسن، حتما يه چيزي توش داره كه همچين جونورايي درست ميكنن. معمولا اين برنامه‌هاي دزد هم براي شما دزدي ميكنن هم براي نويسنده، يعني وقتي شما اجرا ميكنيدشون اطلاعات شما رو كش ميرن و ميبرن ميدن به صاحابش و اطلاعات اون بنده خدايي هم كه شما خواستين آلوده كنين رو ميدن به شما. در اصل يه جاسوس دو جانبه هستن.

حالا راجب ضد ويروست بگو! اصلا بگو ببينيم براي چي اين كارو كردي؟ مگه بيكاري؟
نه بيكار نيستم ولي اول كه گفتم اين دوستمون آقا آرش اينو از ما خواست ما هم اجابت كرديم، گفتيم صواب داره.
در ضمن من از اينجور كارها بدم نمياد، ميشه يه امتحان براي خودم. برنامه نويسي سيستمي رو خيلي دوست دارم. مخصوصا وقتي به كارهاي امنيتي و شبكه مربوط بشه. اينم اولين نوع ضد ويروس من بود كه نوشم. خودم كلي كيف كردم.

اينجاهاش ديگه يخورده تخصصيه اگه نخواستين نخونين:
1- ويروس رو اول يه چك كردم ولي چون زياد از تو مايه‌هاي كرك وارد نيستم نتونستم خيلي وارد فايل اجراييش بشم. با يه Trace مشخص شد كه از UPX براي فشرده كردن EXE استفاده كرده ولي با يه برنامه ديگه كه نتونستم بفهمم چيه روش يه Protection گذاشته بود كه خلاصه بيخيال شدم و نتونستم بازش كنم.
حتي ممكنه از يه نسخه UPX تغيير كرده استفاده كرده باشه؟! چون اين برنامه Open Source است. (Open Source به برنامه‌هايي ميگن كه نويسنده كد اصلي برنامه رو بصورت رايگان در اختيار ديگران قرار ميده تا اونها هم بتونن كد رو ببينن و ياد بگيرن، ولي اگه كسي تغييري توي كد اصلي داد بايد بالاش بنويسه كه اين كد رو از كجا ورداشتم و مال كيه.)
2- با يه نگاه تو فايل اجرايي Server (همون فايلي كه براي مقتول فرستاده ميشه) يه چيزاي عجيبي ديدم: مثل اينكه اين جناب اسب تروا كه قراره براي شما كار كنه و ID و رمز مسنجر طرف رو براي شما ارسال كنه كارهاي ديگه‌اي هم انجام ميدن. فكر كنم اگه درست فهميده باشم اكانت اينترنت ايشون رو براي سازنده ارسال ميكنه. اينجوري اگه فرض كنيم هر شب 10 نفر جديد از اين برنامه در كل ايران استفاده كنن و هر كدوم يه كارت 30 ساعته داشته باشن، ميكنه از قرار شبي 300 ساعت اينترنت مفت و مجاني در همه جاي ايران كه سراي من است.
3- اولش ميترسيدم فايل Server رو اجرا كنم ولي بعد يواش يواش دل شير پيدا كردم و فكر كنم تا حالا بيش از 200 مرتبه اجراش كردم. كلا برنامه بي آزاري به نظرم رسيد. (البته نه براي همه: حتي شما دوست عزيز) كافيه يه بار اين برنامه خوشگل و هوس انگيز رو اجرا كنيد تا اكانت شما هم لو بره. در كل كد قشنگي داشت. با دلفي نوشته بودنش و منم از دلفي زياد سر در نميارم. با اين حال استفاده ماهرانه از API توش واضح بود كه به نظرم جالب اومد.
4- از نويسندش خوشم اومد. يه مهندس اجتماعي حرفه‌اي بوده، ميدونسته مردم ايران از چه چيزايي خوششون مياد و دنبال چه چيزايي هستن. مخصوصا اسمهايي كه براي Server انتخاب كرده بود برام جالب بود مثلا:
Scooter.exe Khafan.exe MyPic.jpg.scr Love.exe Yahoo_Cracker.exe Boos.exe Hediye_tehrani.exe Arian.exe Googoosh.exe
بابا طرف روانشناسه. والا اگه براي منم خيلي از اين فايلها بياد شايد باز كنم

5- روش فرستادن اطلاعاتش هم فكر نو بود. تا حالا نديده بودم. معمولا تروجان ها از يه پورت استفاده ميكنن و براي همين هم زود به دام FireWall ها و برنامه‌هاي مشابه ميوفتن ولي اين يكي از مسنجر استفاده ميكنه كه خيلي هم بي سر و صدا و آب زير كاهانه كارش رو ميكنه.
6- در آخر هم از نويسنده يا نويسندگان محترم اين برنامه خواهش ميكنم اين بنده حقير رو اعدام نكنن. بابا شما يه برنامه نوشتين مردم رو بيچاره كنين، ما هم يه برنامه نوشتيم اون بيچاره‌ها رو با چاره كنيم. يه وقت به سرتون نزنه از اين گناهاي كبيره بكنين و بياين همگي بريزين سر ماها. اين دفعه رو بي خيال شين. حتي جرات نكردم اسم خودم رو توي برنامه بنويسم

اميدوارم به درد همه شما عزيزان بخوره .. همين طور كه به درد من خورد :twisted:

**AveCina** · 13-07-2005, 12:55

آقا جواد مصاحبه هه خیلی باحال بود !

مشاهده نتيجه نظر خواهي: آيا تا به حال سيستم شما آلوده به مجيك پي اس شده است؟

نام تاپيک: همفكري براي رهايي كامل از magic ps و آثار آن

اختيارات تاپيک

Thread Information

Users Browsing this Thread

User Tag List

قوانين ايجاد تاپيک در انجمن