مبتلا شدن به Spyware

[AHT]

چی جوری میشه اين Spy رو که به خاطر دانلود کرک گرفتم پاک کرد
تو صفحه پیشفرض IE این اومده

Detected SPYware! System error #384
__________________________________________________ ________________________


Your IP address is 217.218.210.10. Using this address a remote computer has gained anaccess to your computer and probably is collecting the information about the sites you've visited and the files contained in the folder Temporary Internet Files. Attention! Ask for help or install the software for deleting secret information about the sites you visited.

__________________________________________________ ________________________

Your computer is full of evidences!

ISP of transmission: x
Your IP address: x
They know you're using: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; Media Center PC 3.0; .NET CLR 1.0.3705)
Your computer is: Windows XP
Risk status for further investigation: VERY HIGH RISK



To protect from the Spyware - click here
To prevent information transmission - click here
To delete the history of your activity, click here

[M.R.M]

سلام امير حسن عزيز.
متاسفانه به مشكل تقريبا دشواري برخورد كرديد. چند توصيه مفيد براي شما دارم كه در ساده ترين حالت ممكن است بهترين نتيجه را براي حل مشكل شما در بر داشته باشد و نيازي به مراحل بعدي نباشد.
ابتدا يك آنتي اسپاي قوي ( مانند SpySweeper و يا AD-Aware محصول شركت Lavasoft ) را بر روي سيستم خود نصب نماييد و سيستم را با آن كنترل نماييد. بهتر است از محصولات Lavasoft استفاده نماييد ، زيرا در مورد اين مشكل بهترين انتخاب ميتواند باشد. آدرس سايت اين شركت :
[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
سپس حتما از برنامه SpyBot نيز در كنار آن استفاده نماييد و سيستم خود را با آن نيز چك نماييد و موارد مشكوك را حذف نماييد.
پس از اين مراحل وجود اين فايلها را در مسير نصب ويندوز خود بررسي نماييد ( منظور از C نام درايو اصلي ويندوز ميباشد ) :
C:\WINDOWS\secure.html
C:\WINDOWS\SYSTEM\KEYHOST.exe
C:\WINDOWS\reg32.exe
در صورتي كه هر يك از اين فايلها را پس از كنترل سيستم با نرم افزارهايي كه نام بردم ، يافتيد در حالت Safe Mode وارد ويندوز شده و اين فايلها را از مسير ذكر شده حذف نماييد.
توجه داشته باشيد كه اين فايلها قطعا آثاري در رجيستري ويندوز نيز به جاي گذارده اند ، اما در صورت استفاده از آنتي ويروس قوي و به روز و يك فايروال مطمئن تقريبا ميتوانيد مطمئن باشيد كه هيچ مشكلي براي شما پيش نخواهد آمد.
اگر اين سه فايل را در مسير هاي ذكر شده يافتيد حتما در اينجا اطلاع دهيد تا بتوانم شما را بيشتر راهنمايي كنم و مشكل را از ريشه حذف نماييد.
با اين روشها ميتوانيد اميد داشته باشيد كه مشكل برطرف شود ، در غير اين صورت بايد كمي بيشتر وارد جزئيات شويم.
اميدوارم مشكلتان با همين تدابير برطرف شود.
شاد و پيروز و موفق باشيد.

[AHT]

ممنون محمد رضا خان
من فکر می کردم و آنتی ویروس هم میشه پاکش کرد

[AHT]

محمد رضا خان فکر کنم پاک شد با این برنامه SpySweeper
ممنون

[M.R.M]

سلام امير حسن عزيز.
خواهش ميكنم دوست عزيز. خوشحالم كه مشكلتان برطرف شد. اما بهتر است باز هم جوانب احتياط را رعايت كنيد چون ممكن است برطرف شدن مشكل ظاهري باشد ( اين را بر اساس عملكردهاي مختلف اين مشكل در سيستم هاي مختلف گفتم ).
شاد و پيروز و موفق باشيد.

[mydelphi]

دوست عزيز ميشه درباره اين مشكل و نحوه بوجود آمدن اون براي من توضيح بدهيد كه اصلا چه كاري داره بروي سيستم انجام ميده ........

متشكرم

[AHT]

من وقتی کرکی از سایت Crackz.ws دانلود کردم و این توش بود
بعد وقتی IE رو باز کردم صفحه پیشفرضش این نوشته ها اومده بود

[mydelphi]

بالاخره كسي نگفت چطور سيستم آلودخ ميشه و چه كاري ميكنه و .....

[M.R.M]

سلام Mydelphi عزيز.
ابتدا به علت تاخير به وجود آمده در پاسخگويي جدا از شما عذر خواهي ميكنم و اميدوارم بنده را ببخشيد.
اما در مورد اين مشكل :
اين مشكل دقيقا مشخص نيست كه علت اصلي اش Adware است يا Malware و يا حتي Spyware !!!
اما ما فرض ميكنيم كه همان طور كه در پيغام خطا گفته شده است ، يك Spyware ميباشد.
اين مشكل همان طور كه براي امير حسن عزيز به وجود آمده است ، ميتواند از اجراي فايل آلوده به اين Spyware آغاز شود. اين فايل آلوده معمولا در فايلهاي كرك فراوان وجود دارد و براي مثال با نام Crack.exe درون پوشه كرك و در كنار پوشه كرك اصلي برنامه قرار ميگيرد. اگر كاربر به اشتباه آن را اجرا نمايد دچار آلودگي آن ميشود كه در ادامه خواهم گفت به چه شكل.
اگر يك آنتي ويروس به روز و قدرتمند داشته باشد ميتواند قبل از اجرا آن را شناسايي و نابود نمايد و اما اگر سهوا اجرا گردد ممكن است به اين سادگي كه امير حسن عزيز توانست از شر آن خلاصي يابد ، از بين نرود !!!
اگر شما اين فايل آلوده را اجرا نماييد به صورت كاملا غير محسوس سه فايل با نامهاي KEYHOST.exe و reg32.exe و secure.html در سيستم شما ايجاد ميشود كه ممكن است اين نامها به صورت Randomize انتخاب شوند . فايلهاي اجرايي در قسمت Process استارت آپ قرار گرفته و كنترل داده هاي ارسالي و دريافتي كاربر را در هنگام برقراري تماس با اينترنت به عهده ميگيرند و نه تنها ممكن است جاسوسي نمايند بلكه ممكن است مانع از ارتباط صحيح شما با اينترنت بشوند.
صفحه secure.html به صورت پيش فرض به عنوان صفحه home مرورگرهاي سيستم قرار ميگيرد ( نه تنها IE بلكه حتي ميتواند Mozilla و Opera و Netscape و ... را نيز در بر بگيرد ). اسن صفحه پيغامي به صورت كلي زير در مرورگر ظاهر ميكند :

کد:

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

همان طور كه مشاهده ميكنيد شبيه يك تبليغ ميباشد كه ميخواهد شما را به آدرسهاي خاصي كه مد نظرش است هدايت نمايد.
متاسفانه مشكل اين جاست كه نام اين فايلها ممكن است تغيير كند و نميتوان براي آنها به صورت كلي تصميم گيري نمود.
اما فصل مشترك تمام آنها همين صفحه html است كه به عنوان پيش فرض مرورگر قرار ميگيرد.
در كل نرم افزارهايي مانند Lavasoft Ad-Aware و Spysweeper ادعا كرده اند كه ميتوانند از عهده انواع اين بر فرض ما Spyware بر بيايند و آن را به صورت كامل نابود نمايند ، اما هنوز هم مواردي از اين مشكل وجود دارند كه با اين برنامه ها هم برطرف نشده اند !
بنابراين توصيه ميكنم حتما از يك آنتي ويروس قدرتمند استفاده نماييد و در اجراي هر فايلي ( مخصوصا كرك ها ) كمي تامل و دقت بيشتري به خرج دهيد تا گرفتار اين مشكل نشويد و در واقع پيشگيري نماييد.
اميدوارم توضيحات كافي بوده باشد ، در صورتي كه باز هم سوالي بود در خدمت هستم.
شاد و پيروز و موفق باشيد.

[AHT]

محمد رضا خان برای من این صفحه ی پیش فرض از بین نرفت یعنی صفحه پیش فرضم همین بود تا این که دستی عوضش کردم
اگه از بین نرفته باشه باز هم آلوده هستم یا نه
ممنون از توضیحات کاملت