تروجاناي جديد دارم، چه كار كنم؟

[رايان استار]

:exclamation:سيستمم چند تا تروجان و يه ويروس داشت با kaspersky پاكشون كردم. اما اثرشون هنوز هست. شكل بعضي از آيكنا خودبخود عوض شده، از همه بدتر تو Folder option گزينه Show hidden Files and Folders‌عمل نمي كند و دوباره خود بخود بر مي گرده رو Don't show. اسم تروجانا و ويروس اينه:
Tro jan program trojan.win32.patched.ap
Virus.win32.downloader.l
Trojan program trojan-Downloader.win32.banload.dxo
Virus packed.win32.nsanti.r

[XSS]

:exclamation:سيستمم چند تا تروجان و يه ويروس داشت با kaspersky پاكشون كردم. اما اثرشون هنوز هست. شكل بعضي از آيكنا خودبخود عوض شده، از همه بدتر تو Folder option گزينه Show hidden Files and Folders‌عمل نمي كند و دوباره خود بخود بر مي گرده رو Don't show. اسم تروجانا و ويروس اينه:
Tro jan program trojan.win32.patched.ap
Virus.win32.downloader.l
Trojan program trojan-Downloader.win32.banload.dxo
Virus packed.win32.nsanti.r

پس هنوز سیستم شما ویروس داره که وقتی Show hidden Files and Folders رو تیک میزنی اتوماتیک تیکش برداشته میشه. بهتره ویندوزت رو عوض کنی

شکل آیکن ها چجوری شده؟ بصورت برنامه بدون آیکن در اومده یا یه آیکون خاصی داره؟ این برنامه هایی که آیکنشون عوض شده اجرا میشن یا نه؟
اگر شکل آیکن ها بصورت برنامه بدون آیکن شده و برنامه اجرا نمیشه علتش اینه که ویروس خواسته خودش رو تو برنامه شما Inject یا Bind کنه که این کارش باعث خراب شدن برنامه شده.
در کل فکر نکنم بشه برای برنامه هایی که میگی آیکنشون عوض شده کاری کرد.

[lord_viper]

HKEY_LOCAL_MACHIN\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden
'CheckedValue
اینجا مقدارشو از 0 به 1 تنظیم کن خوب میشه مشکل اولت
مشکل دومتم بگو ایکون چه فایلهایی از ین رفتن؟
ایا این فایلها اجرا میشن؟

[Di Di]

سیستم شما هنوز آلوده هست. متاسفانه کاسپر قادر به شناسایی این کرم نیست. در واقع این متکامل ترین نمونه از خانواده NewFolde هاست !
مشخصات :

نام عمومی : SSVCIHOST.exe به حجم : 244 KB به صورت پک شده با UPX
طبق معمول با VB6 نوشته شده اما بسیار مختصر و مفید تا شناسائی نشه.
توسط فایل اتورانی که در روت اصلی درایوهای همراه، رم های موبایل یا کولدیسکها می سازه اجرا می شه اما این بار این فایل اتوران بهینه سازی شده. دیگه خبری از به هم ریختن حروف در منوی راست کلیک نیست و در فایل اتوران از چهار دستور Open و Shellexe cute و Shell\Open\command و Shell=Open استفاده می کنه تا حتی فقط با باز شدن درایو نیز اجرا بشه.
پس از اجرا شاخه پلیسی در رجیستری رو تغییر می ده تا فولدر آپشن ، رجیستری و تسک منیجر باز نشن. خودش رو در روت اصلی ویندوز و در شاخه System32 و باهمین نام ذخیره می کنه. در SafeMode هم اجرا می شه و از همه خطرناک تر این بار به جای کپی دیوانه وار خود در شاخه های مختلف ، به درون SystemVolumeInfo نفوذ کرده ( در واقع از خودش بک آپ تهیه می کنه ) و در اونجا باقی می مونه تا با عوض کردن ویندوز همچنان روی سیستم باقی بمونه_ هرچند غیر فعال _

راه مبارزه :

با استفاده از یک تسک منیجر دیگه به راحتی می تونی پروسه برنامه رو متوقف کنی _ تسک منیجر ویندوز بهترین گزینه هست فقط کافیه کپشن اون رو عوض کنی _ و از طریق گروپ پلیسی، فولدر آپشن و رجیستری و .. رو بر گردونی و برنامه رو هم برای خودت نگهداری!!

اگر از اون دسته اشخاصی هستید که تا تقی به توقی می خوره ویندوز عوض می کنید! باید بعد از نصب مجدد هر کدوم از درایوهاتون رو کاملا جستجو کنید تا اثری از برنامه باقی نمونه.

[Di Di]

دوستای خوبم لطفا سوالاتتون رو داخل فروم مطرح کنید.

فرموديد كه از تسك منيجر استفاده كنم يعني با تسك منيجر يكي ديگه
مقايسه كنم؟ اسمي كه گفتيد مطمئن هستيد كه صحيح است؟ چنين اسمي در تسك منيجر نبود!!!!!!!!!!!
بخش دوم مبارزه كه بايد از گروپ پليسي استفاده بشه را بيشتر توضيح بديد.
ممنون

در وحله اول باید بگم یکی از احتمالات، وجود این برنامه روی کامپیوتر شما هست و ممکنه مشکل شما مربوط به شبه ویروس دیگه ای باشه. تازه همین خانواده NEwFolders هم انواع و اقسام خیلی مختلفی داره که حداقل اسماشون با هم فرق داره.
بدیهیه که الزاما نباید دنبال یک نام خاص در تسک منیجر بگیرید بلکه باید به دنبال نامهای نا آشنا باشید. (تازه اگه در تسک منیجر قابل رویت باشه.)
اما در این جور مواقع بهترین کار جستجو در شاخه System32 هست. باید دنبال فایلهای اجرائی بگردید که حجمی کمتر از 300KB دارن. همین تازگی ها روی سیستم قرار گرفتن و به احتمال زیاد هایدن هم هستن. از همه مهمتر اینکه فایلهای ویروس هیچ وقت شناسنامه ندارن یعنی زمانی که موس رو روی اونها ببرید به جز حجم و تاریخ ساخت چیز دیگه ای برای نمایش وجود نداره در صورتی که هر کدوم از فایلهای اجرایی اصلی ویندوز دارای شناسنامه هستند.

شما همین الان هم توسط همین کاسپری که این برنامه رو شناسائی هم نمی کنه قادرید ویروس رو پیدا کنید. کاسپر نسخه 7 به عدش دیگه ویروس اسکن نیست بلکه ویروس لب ( آزمایشگاه ویروس ) هست. یعنی شما با استفاده از این برنامه می تونیدبدون هیچ نگرانی جدیدترین ویروس ها رو آزمایش کنید و عمل کرد اونها رو زیر نظر بگیرید. کاسپر اسکای واقعا بی نظیره.

اما در مورد گروپ پلیسی :
تا قبل از این برای ویرایش اطلاعات رجیستری باید از طریق برنامه RegEdit وارد عمل می شدیم ولی ماکروسافت در ویندوز XP برنامه گروپ پلیسی رو قرار داد تا کار در رجیستری رو راحت تر و قابل فهم تر کنه.
در زمانی که برنامه RegEdit توسط برنامه هایی از این دست غیر فعال می شه راحت ترین کار استفاده از این برنامه است. باید در منوی RUn عبارت GPEdit.msc رو تایپ کنید. در اینجا به سراغ گزینه Adminstaror رفته و در قسمت Windows Explorer گزینه Remove Folder Options رو ابتدا فعال و سپس غیر فعال کنید.
همین کار رو برای بقیه گزینه ها هم انجام بدید و بعد از طریق رجیستری کلیدهای مربوط به اجرای اون رو پاک کنید تا سیستم کاملا تمیز شه.

[lord_viper]

معمولا رو ویروسهای پک شده nod32 بهتر ازkasper جواب میده

[zer0tent]

بهترین راه استفاده از انتی ویروسAntiVir PE Premium است سه سوت پاکش می کنه