پاک کردن ویروسی که Persistence هست!

[I-Tech]

سلام
اول یه توضیح کوچولو درباره Persistence بدم بعد بگم سوالم چیه...
همونطور که میدونید برنامه هایی (یا ویروس) که Persistence هستند رو اگه از تو تسک منیجر پروسسش رو ببندیم دوباره اجرا میشه یا اگه از تو استارت آپ غیرفعالش کنیم بعد از ریست دوباره فعال میشه و یا حتی اگه یکم سریع عمل کنیم و بعد از اینکه از داخل تسک منیجر بستیمش فایلش رو سریع از تو هارد پاک کنیم باز هم فایلش ساخته میشه و ادامه ماجرا!

حالا میخواستم ببینم راهی برای پاک کردن یا از کار انداختنش به غیر از سیف مد وجود داره یا نه؟
مرسی

[M e i s a m]

همین الان یک مورد این چنین رو با کسپر اسکای ویروس ریموال تول پاک کردم
سیف مود هم لازم نداشت
فقط memory و hidden ها و... همه رو تیک بزنید اسکن کنه

[I-Tech]

همین الان یک مورد این چنین رو با کسپر اسکای ویروس ریموال تول پاک کردم
سیف مود هم لازم نداشت
فقط memory و hidden ها و... همه رو تیک بزنید اسکن کنه

ممنون
ولی حواسم نبود که بگم دنبال یه راه دستی میگردم نه با آنتی ویروس...

[M e i s a m]

راه دستی نمیشه
با Comodo RKill تست کردم میبندی و پاک میکنی پروسس رو ولی نمیشه

با Comodo cleaning هم تست کردم نتونست پاکش کنه
کسپر ولی کار کرد

[Pami]

راه دستی داره ، من یکبار با لینوکس Portable تونستم یکی از اینا رو پاک کنم
معمولا فایل اصلی این نوع ویروس ها تو شاخه Windows\System32 میشینه
قبل از restart کردن ویندوز و رفتن داخل لینوکس از داخل msconfig و شاخه startup تیک لود شدنش رو بردارید ، داخل رجیستری رو هم به نام همین ویروس رو سرچ کنید و تمام کلیدهایی که مربوط بهش هستن رو پاک کنید ، بلافاصله سیستم رو restart کنید و وارد لینوکس بشید ، برید به مسیر اصلی ویروس و فایل ریشه رو پاک کنید

[avril]

هر سیستم مجازی که بتونی اجرا کنی میشه روش ویروس ها رو پاک کرد
مثلا win mini و .....
هر سیستم مجازی که یه مقدار حافظه از روی هارد بر می داره و به عنوان رم استفاده می کنه و از روی اون حافظه بالا می یاد که البته raed only هم هست

[avril]

هر سیستم مجازی که بتونی اجرا کنی میشه روش ویروس ها رو پاک کرد
مثلا win mini و .....
هر سیستم مجازی که یه مقدار حافظه از روی هارد بر می داره و به عنوان رم استفاده می کنه و از روی اون حافظه بالا می یاد که البته raed only هم هست

تو بعضی هاشون هم رم رو مثل یک درایو نشون میده و داخلش قابل تغییره

[jax2]

دوست عزیز نرم افزار autoruns میتونه کمک کنه بهت
در شمن وقتی شما پاک میکنی فایل و و بعد ریستارت میبینی دوباره سر جاشه یعنی حتما ویروس یه کپی از خودش تو محل دیگه ای داشته
شما با همین autoruns میتونی پاکش کنی

[I-Tech]

نمونه این ویروسی که میگم (البته این فایل سرور یه تروجانه...)
پسورد:123

کد:

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

این ویروس بعد از اجرا میره داخل Temp و هر دفعه از همونجا اجرا میشه، حالا من یه راهی برای پاک کردنش به جز رفتن با سیف مد و یا استفاده از برنامه های جانبی میخوام(یه راه دستی البته اگه بشه)

[M.Hashemi]

با سلام
دوست عزیز راه های زیادی هست که به صورت دستی می توان مخرب را حذف کرد.
در این مورد چون شما میدونید به چه اسمی و در کجا ذخیره شده و چه Process Name داره می توانید از روش زیر عمل کنید.
1- برنامه Notepad را باز کنید.
2- کد های زیر را در ان کپی کنید :

کد:

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

3- سپس بر روی دکمه save کلیک کنید . این فایل را با هر نامی که دوست دارید اما فقط با پسوند bat یا cmd ذخیره کنید.
4- در نهایت بر روی ان راست کلیک کرده و Run as admin را انتخاب کنید.
----------
البته این راه تا زمانی درست کار می کند که هم اطلاعات شما درست باشد و هم فایل taskkill.exe و cmd.exe الوده نشده باشند.
من دارم روی یک toolkit کار می کنم که تا چند وقت دیگه برای دانلود می گذارم. این toolkit توانایی های زیادی به کاربر می دهد که هم بتواند دستی مخرب را شناسایی و پاک کند و هم از طریق ضد ویروس.
از جمله ویژگی های این toolkit :
1- گزارش گیری کامل از سیستم و شناسایی برخی از مخرب های فعال.
2- مصون کردن درایوهای سیستم از ویروس های خود اجرا و ini
3- غیر فعال و فعال کردن سیستم خود اجرای ویندوز
4- برگرداندن تمام خراب کاری های مخرب (از جمله فعال کردن registry و system restore و safe mode و ...)
5- شناسایی مخرب های در flash و توانایی اسکن کامل ان و حذف مخرب های ان.
6- ترمیم فایل های اصلی سیستم مانند explorer.exe و winlogon.exe و ... بدون نیاز به دی وی دی ویندوز.
7- قابلیت به روز رسانی سیستم
8- و ...
این toolkit می تواند در کنار هر ضد ویروسی نصب شود.
با تشکر