آموزش پاک کردن برنامه ی مخربی که Folder Option را حذف می کند

Posted on اکتبر 25, 2008. Filed under: ویروس, آنتی ویروس |

امروز قصد دارم شیوه ی پاک کردن کرم BronTok.A رو آموزش بدم .
این کرم نسبت به کرم New Folder.exe خیلی حرفه ای تر نوشته شده …
البته با Visual Basic 6.0 نوشتنش .
در زیر به برخی از ویژگی های این کرم اشاره می کنم :
1 . Folder Options را حذف می کند !
2 . Registry Tools را قفل می کند !
3 . Task Manager نمی تواند فایل های مربوط به این کرم را End کند !
4 . پس از اجرا شدن ، محتویات My Documents را نمایش می دهد !
5 . اگر در کادر محاوره ای Run عبارت CMD ، Regedit ، msconfig ، Regedt32 را تایپ کنید ، سیستم بلافاصله Restart می شود !
6 . اگر روی گزینه ی Log Off یا Turn Off Computer کلیک کنید ، سیستم Restart می شود !
7 . آیکون این کرم نیز مانند New Folder.exe شبیه آیکون یه پوشه س !
8 . این کرم توسط فایل inetinfo.exe انتشار پیدا می کند .
در صورتی که Victim از Firewall استفاده کند ( مثل ZoneAlarm ) متوجه فعالیت این فایل خواهد شد که مدام مجوز تایید اتصال به اینترنت را از Victim می خواهد !
9 . سرعت سیستم را پایین می آورد .
10 . مانع فعالیت برخی برنامه ها ( مانند Nero ) می شود .
11 . اگر Victim برنامه ای اجرا کند که تیتر یکی از پنجره های آن برابر با عناوین زیر باشد ، بلافاصله کامپیوترش Restart می شود .

کد:
.@ @. .ASP .EXE .HTM .JS .PHP ADMIN ADOBE AHNLAB ALADDIN ALERT ALWIL ANTIGEN APACHE APPLICATION ARCHIEVE ASDF ASSOCIATE AVAST AVG AVIRA BILLING@ BLACK BLAH BLEEP BUILDER CANON CENTER CILLIN CISCO CMD. CNET COMMAND COMMAND PROMPT CONTOH CONTROL CRACK DARK DATA DATABASE DEMO DETIK DEVELOP DOMAIN DOWNLOAD ESAFE ESAVE ESCAN EXAMPLE FEEDBACK FIREWALL FOO@ ---- FUJITSU GATEWAY GOOGLE GRISOFT GROUP HACK HAURI HIDDEN HP. IBM. INFO@ INTEL. KOMPUTER LINUX LOG OFF WINDOWS LOTUS MACRO MALWARE MASTER MCAFEE MICRO MICROSOFT MOZILLA MYSQL NETSCAPE NETWORK NEWS NOD32 NOKIA NORMAN NORTON NOVELL NVIDIA OPERA OVERTURE PANDA PATCH POSTGRE PROGRAM PROLAND PROMPT PROTECT PROXY RECIPIENT REGISTRY RELAY RESPONSE ROBOT SCAN SCRIPT HOST SEARCH R SECURE SECURITY SEKUR SENIOR SERVER SERVICE SHUT DOWN SIEMENS SMTP SOFT SOME SOPHOS SOURCE SPAM SPERSKY SUN. SUPPORT SYBARI SYMANTEC SYSTEM CONFIGURATION TEST TREND TRUST UPDATE UTILITY VAKSIN VIRUS W3. WINDOWS SECURITY.VBS WWW XEROX XXX YOUR ZDNET ZEND ZOMBIE


و …
============================
همونطور که می دونید فایل های lsass.exe ، winlogon.exe و services.exe از فایل های سیستمی بوده و همیشه در حال اجرا هستند …
اگر شما برنامه ی Process Master را اجرا کنید ، می بینید که این فایل ها در پوشه ی System32 قرار دارند .
اما اگر کرم BronTok.A روی سیستم شما نصب باشد ، خواهید دید که سه تا فایل دیگه با همین نام ها در حال اجرا هستند !!
یعنی دو تا winlogon.exe ، دو تا lsass.exe و دو تا services.exe !
اما به راحتی میشه فهمید که کدوما کرمن و کدوما فایل اصلی ویندوز …
اون سه تا فایلی که مربوط به کرم میشن ، در پوشه ای غیر از System32 قرار دارن .
مسیر دقیقشون میشه :

کد:
C:\Documents and Settings\MB_Danger                          \Local Settings\Application Data


C نام همان درایویست که ویندوز در آن نصب گردیده و MB_Danger نام کاربری است که کرم در آن اجرا شده …
بعد از اینکه با نرم افزار Process Master متوجه شدید که کدوما کرمن ، باید اون ها رو Kill process کنید .
اگر احیانا فایل های دیگری با نام های inetinfo.exe ، csrss.exe و smss.exe نیز در حال اجرا بودند آنها را هم Kill process کنید .
البته به شرطی که مسیرشون غیر از System32 باشه …
حالا وقتشه که از نرم افزار Kill BronTok.A استفاده کنید .
پس از اینکه نرم افزار Kill BronTok.A کارش تموم شد ، اون رو ببندید و به منوی Start برید و روی گزینه ی Search کلیک کنید .
در سمت چپ روی گزینه ی All files and folders کلیک کنید .
در فیلد All or part of the file name عبارت Empty.pif را تایپ کنید و از روی کیبرد کلید Enter را فشار دهید .
اکنون تمام فایل های پیدا شده را پاک کنید .
دوباره در فیلد مذکور عبارت زیر را تایپ کنید و از روی کیبرد کلید Enter را فشار دهید .

کد:
*.scr,*.exe


اکنون از بین فایل های پیدا شده ، هر فایلی که آیکونش شبیه آیکون پوشه بود رو پاک کنید .

مجددا در فیلد All or part of the file name عبارت زیر را تایپ کنید و از روی کیبرد کلید Enter را فشار دهید .

کد:
*.job


تمام فایل های پیدا شده را پاک کنید .

باز هم در فیلد فوق الذکر عبارت Bron را تایپ کنید و از روی کیبرد کلید Enter را فشار دهید .
اکنون تمام فایل ها و پوشه های پیدا شده را پاک کنید .
اکنون با خیال راحت کامپیوترتان را Restart کنید .

دو نکته :

1 . اگر ویندوزتان بیشتر از یک کاربر دارد ، باید تمام عملیات فوق را در همه ی کاربرها انجام دهید .
2 . قبل از انجام مراحل فوق اگر احیانا Anti Virus خاصی بر روی سیستم دارید آن را غیر فعال کنید .

منبع: انجمن های پی سی ورلد

Make a Comment

پاسخی بگذارید

در پایین مشخصات خود را پر کنید یا برای ورود روی شمایل‌ها کلیک نمایید:

نشان‌وارهٔ وردپرس.کام

شما در حال بیان دیدگاه با حساب کاربری WordPress.com خود هستید. بیرون رفتن / تغییر دادن )

تصویر توییتر

شما در حال بیان دیدگاه با حساب کاربری Twitter خود هستید. بیرون رفتن / تغییر دادن )

عکس فیسبوک

شما در حال بیان دیدگاه با حساب کاربری Facebook خود هستید. بیرون رفتن / تغییر دادن )

عکس گوگل+

شما در حال بیان دیدگاه با حساب کاربری Google+ خود هستید. بیرون رفتن / تغییر دادن )

درحال اتصال به %s

Liked it here?
Why not try sites on the blogroll...

%d وب‌نوشت‌نویس این را دوست دارند: