هنگامي که وارد درايو آلوده ميشويد ويروس فعال ميشود و Nod32krn.exe به تسک منيجر قسمت پروسس اضافه ميشود اگر آنتي ويروس nod32 بر روي سيستم شما نصب باشد ويروس به krn.exe مربوط به Nod32 چسبيده و آن را در تسک منيجر قسمت CPU 100% ميکند يعني CPU به صورت 100% مشود حال اگر NOD32 نصب نباشد اين ويروس بهCSRSS که يک فايل سيستمي ميباشد چسبيده و ان را 60 تا 90 درصد تغيير ميدهد - اين ويروس با نام nod32krn.exe در System32 و ديگري با نام csrss.exe در مسير c:/Documents and Settings/xxxxxx/Local Settings/Temp قرار ميگيرد. با نرم افزار Security taskmanager ميتوان آن دو را که در taskmanager مشغول فعاليت هستند در قرنطينه نگه داشت و از کارکرد آنها جلوگيري کرد در اين زمان cpu به حالت عادي بر ميگردد
اين تمام فعاليت ويروس است اما من با نرم افزار Security TaskManager به دقت هنگامي که درايو آلوده را باز ميکردم نگاه کردم و متوجه شدم اين ويروس در درايو آلوده در Recycler با نام Nod32-RAMGuard.v.2009.exe قرار دارد و پس از فعال شدن دو فايل Nod32krn.exe و CSRSS.exe را به وجود مياورد
اما هنگامي که به درايو آلوده مراجعه کردم تا ويروس اصلي را از بين ببرم اصلا چيزي در Recycler وجود نداشت حتي هنگامي که فايلهاي سيستمي و هيدن را باز کردم !!!!!
و هنگامي که ويروس فعال باشد اگر CD يا DVD يا حتي فلش مموري وارد سيستم باشد ويروس کارهايي بر روي آن انجام ميود چرا که چراغ فلش مموري خاموش و روشن ميشود( به معني انجام کاري ) و درايوهاي سي دي مشغول خواندن سي دي ميشوند !!
و حالا فقط نميدانم چگونه منشا ويروس را از بين ببرم البته اگر بر روي Nod32krn.exe يا CSRSS.exe کليک کنيد باز هم ويروس فعال ميشود اما اينها را ميتوان از بين برد اما منشا ويروس حتي ديده هم نميشود
اين تمام تحقيقات من در 4 روز آلوده شدن سيستمم به اين ويروس بود حال راه و چاره چيست ؟
من دو ويروس Nod32krn.exe و CSRSS.exe را در يک فايل زيپ براي شما فرستاده ام تا بر روي آن تحقيقاتي انجام دهيد فقط مراقب باشيد چون بلافاصله پس از Extract آن ويروس فعال ميشود
ويروس:
[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
ویروس Nod32
جواب بصورت نقل قول
نوشته شده توسط arash n
