مخفی کردن پوشه های شاخه اصلی و ایجاد shortcut آنها

[OQyanoOoOS]

سلام دوستان؛
تمام مراحلی رو که گفته بودید انجام دادم ولی ویروس محترم همچنان پابرجا است!
ضمنا سایت

کد:

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

باز نمی شد.


کاری که این Malware انجام میده اینه:
1) در شاخه اصلی فلش یا هارد، پوشه ای بوجود آورده به نام RECYCLER كه درون آن یک فایل اجرایی به نام e5188982.exe قرار گرفته است. (این فایل رو دستی پاک کردم ولی بازم بر میگرده)
2) در شاخه ی اصلیِ فلش یا هارد اکسترنال، تمام پوشه ها را مخفی كرده (system file نه hidden) و بجاشون shortcut هايي همنام با آن پوشه ها ایجاد می کند. این shortcut ها به پوشه system32 هدایت شده اند.

NOD32 روی سیستم نصب بود ولی هیچ چی پیدا نکرد.
نرم افزارهای پیشنهادی شما یک کارهایی کردند مثلا e5188982 رو شناسايي و پاک کردند ولی این فایل بر میگرده و سایر اثرات نیز به قوت خودش باقیه.


نمی دونم چرا اجازه ندارم فایل attach کنم بخاطر همین فایلها رو اینجا آپلود کردم!

کد:

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

فایل e5188982.exe رو هم نتونستم آپلود کنم.

[Dr Hannibal]

الان ویروس توتال سالمه

اما دقیقا اون فایل ویروس ( exe ) رو اول با winrar با پسورد آرشیو کنید. اینجا آپلود کنید.

کد:

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

اگه ویروس رو اینجا بذارید مشکل تقریبا قابل حله.

اما با همون نرم افزار MBAM یک بار کل هارد رو اسکن کنید. ( نه فقط درایو ویندوز ) هر موردی پیدا کرد پاک کنید در خواست ریست رو تایید کنید.

موفق باشید

[Dr Hannibal]

اما با همون نرم افزار MBAM یک بار کل هارد رو فرمت کنید.

دوست گلم این اشتباه تایپی بود. منظورم اسکن بود.

[MrGee]

تمام مراحلی رو که گفته بودید انجام دادم ولی ویروس محترم همچنان پابرجا است!

يعني هيچ كدوم از اين برنامه ها نتونستن ويروس به اين تابلويي رو حذف كنند؟؟

فایل e5188982.exe رو هم نتونستم آپلود کنم.

قبل از آپلود بايد فايل رو zip كنيد

NOD32 روی سیستم نصب بود ولی هیچ چی پیدا نکرد.

..........

[OQyanoOoOS]

virustotal نشناختش.

وقتی روی آرشیو رمز گذاشتم آپلود شد ولی قبلا نمیشد e5188982 رو بصورت آرشیو معمولی آپلود کنم! در همون آدرس قبلی آپلود کردم. گزارش اسکن جدید (کل هارد و هارد اکسترنال توسط mbam) رو هم همونجا گذاشتم.

کد:

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

دوست گلم این اشتباه تایپی بود. منظورم اسکن بود.

من كه متوجه اين اشتباه نشده بودم.

يعني هيچ كدوم از اين برنامه ها نتونستن ويروس به اين تابلويي رو حذف كنند؟؟

تا اون موقع که پست اول رو فرستادم نتونسته بودن! ولی بعد از چند بار اسکن کردن و restart و اینا .... بالاخره فایل e5188982.exe حذف شد و دیگه برنگشته. اما هنوز پوشه هایی که در شاخه اصلی هستن بصورت فایل سیستمی باقی موندن. (فکر کنم این قسمت رو باید دستی درست کنم)

[MrGee]

پسورد فايل؟؟؟؟

[Dr Hannibal]

تا اون موقع که پست اول رو فرستادم نتونسته بودن! ولی بعد از چند بار اسکن کردن و restart و اینا .... بالاخره فایل e5188982.exe حذف شد و دیگه برنگشته. اما هنوز پوشه هایی که در شاخه اصلی هستن بصورت فایل سیستمی باقی موندن. (فکر کنم این قسمت رو باید دستی درست کنم)

ویروس حذف شده ،

چه پوشه های رو می فرمایید به شکل سیستمی باقی مونده ؟ اگه ریسایکلبین یا سیستم ولوم اینفرمیشن منظورتونه ، اینها باید باشند.

[OQyanoOoOS]

پسورد فايل؟؟؟؟

OMG چرا یادم رفت؟! Pass: 1

ویروس حذف شده ،

مچکرم!

چه پوشه های رو می فرمایید به شکل سیستمی باقی مونده ؟ اگه ریسایکلبین یا سیستم ولوم اینفرمیشن منظورتونه ، اینها باید باشند.

نه! یکی پوشه DATA است که backup اطلاعات هارده. یکی هم پوشه programs که backup برنامه های نصب شده روی سیستمه. دو سه تا پوشه فرعی هم هست که چندان مهم نیستن و میشه پاکشون کرد.



ویرایش: اوه! اینو یادم رفت بگم که روی دسکتاپم دوتا فایل Desktop.ini هست!! چیکارشون کنم؟

[MrGee]

الان virustotal بالا مياد؟
اين ويروس يه فايل مشكوك به نام Opbobc.exe درست مي كنه كه يه مورد مشابه ديدم كه توش virustotal بالا نمي ياد و يكي از فايلهاي ويروس هم همين نام رو داره كه وقتي سيستم به اينترنت وصله مي ره خودش رو آپديت مي كنه و ويروس هاي جديد دانلود مي كنه

شما آنتي ويروست رو عوض كنيد و اون رو آپديت نگه دار چون ممكنه ويروس هنوز حذف نشده باشه

[Dr Hannibal]

ویرایش: اوه! اینو یادم رفت بگم که روی دسکتاپم دوتا فایل Desktop.ini هست!! چیکارشون کنم؟

هیچ مشکلی نیست ، حتی میتونید دستی پاک کنید.

فقط یک بار از طریق سیف مد برید و این فایل رو ببینید هست یا نه ، اگر بود پاک کنید.

کد:

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

موفق باشید.