خوبه، پس به سلامتی ....بنظرت michaelqwerty مرد خوبیه براش؟؟!!
-------
من با همون سورسه که گزاشتم تونستم پروسه رو خارج کنم.
خوبه، پس به سلامتی ....بنظرت michaelqwerty مرد خوبیه براش؟؟!!
-------
من با همون سورسه که گزاشتم تونستم پروسه رو خارج کنم.
سلام دوستان
ویروس تقریبا جالبی اگه کاربر ی که دچار این ویروس میشه اطلاعی از طرز کار ویروس نداشته باشه دچار توهم میشه
هر فایلی یا فولدری که نامش hldrrr.exe یا srosa.sys باشه اوا غیر قابل پاک شدن و غیر قابل رویت میشه
فایل های ویروس مخفی یا سیستمی نمیشن بلکه از یه الگو که خود ویندوز برای مخفی کردن پوشه های درون فولدر Temporary Internet Files استفاده میشه ویروس استفاده میکنه
من وقتی فایل hldrrr.exe را از پوشه drivers پاک کردم ویروس از کار نیفتاد باید حتما درایور رو هم از کار مینداختم
اگه فقط مشکل hldrrr.exe بود میشد باستفاده از permissions for run جلوی اجرا شدن فایل رو در هنگام بالا آمدن ویندوز گرفت
ولی srosa.sys همه کاره هست
اشتباهی snapshot ای که از VMware گرفته بودم پاک کردم هر چی تنظیمت توش دادیم رفت هوا
حالا درست شد دوباره تونستم یه نگاهی به این ویروس بندازم.
نمیدونم چرا اصلا حواسم به فایل srosa.sys نبود که همچین فایلیم هست، MichaelQwerty حق با شماست همه کارارو srosa.sys انجام میده
اون پوشه ویندوز که گفتی رو نمیدونم ولی این ویروس تابع NtQueryDirectoryFile رو هوک میکنه که از دیدwindows explorer مخفی بمونه
به اضافه ی هوک کردن این توابع
برای از کار انداختنش هم فعلا نظری ندارمکد:برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید![]()
اگه با Process Monitor نگاه کنید میبینید که این ویروسه هر فایلی رو که شما میخواهید باز کنید اون براتون باز میکنه!!!
یه چیزه جالب تر بگم:
من یه سری نرم افزار خودم با سورس های اینترنت سر هم کردم و باهاشون کار میکنم. آقا این ویروسه اینقد باحاله که بعد از اجرای این نرم افزار سریع اونو میبنده!!! یعنی میاد سورس فایل شما(مثل آنتی ها) رو برای بررسی دستور ها می خونه!
من که تستیدم hldrr رو اگه بتونیم پاک کنیم مشکل حل میشه و میتونیم بقیه کار ها رو هم انجام بدیم.
یه چیزه دیگه ام اینه که دلیل پایین اوردن سیستم اینه(از رو Process Monitor) همش داره کلید Safeboot در رجیستری رو پاک میکنه.
My Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlS et\Control\SafeBoot
Trojan Remover از روی عملکردش تشخیصش میده (از رو درایور مخفی و کلید رجیستری مخفی که به RUN اضافه میکنه) اما هر چی تلاش میکنه نمی تونه کاری از پیش ببره.
هنوز هیچ راه حلی ازش توسط آنتی ها ندیدم!!!
Last edited by picher_s; 27-02-2009 at 09:24.
picher_s جان شما فایل hldrrr.exe رو با Process Monitor مونیتور کردین چون من وقتی می خوام برسیش کنم یه اررور میده که
داری برنامه رو مونیتور میکنه و خارج میشه البته به خاطر اون پروتکتور لعنتیشه همون Themida
با RootKit Unhooker میشه راحت پاکش کرد بدون اینکه نیاز به رستارت سیستم باشه
اگه بتونیم کاری مثل این نرم افزار کنیم، پرونده این ویروس رو برای همیشه میتونیم ببندیم![]()
سلام رفیق گفته شما درسته.
منم با RootKit Unhooker تونستم.اما حالا این برنامه چکار میکنه معلوم نیست!!
اینم تحلیل همون نرم افزار (RootKit Unhooker )شماست
جالب بود میگفت از Api برای پنهان کردن پروسزش استفاده کرده!!کد:برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید
هم اکنون 1 کاربر در حال مشاهده این تاپیک میباشد. (0 کاربر عضو شده و 1 مهمان)