Aziz Man In Virus Ro Gerefetam Joziyato Payin Migam Bar Enable Kardane Taks Manager
System32 : Kernel.exe Kernel.vbs MEM.exe share.exe append.exe debug.exe dlh9jkd1q2.exe dlh9jkd1q6.exe dlh9jkd1q7.exe dlh9jkd1q8.exe edlin.exe Systems.exe And Other Name
Windows : Winupdate.exe
Inha Mahal Va Fake Name Virus Bood , Hala Jaye Regisetry
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop Hamechiz Ba "No" Shoroo Mishe Mesle Nodesktop Change
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
Too In Ghesmate Meghdare "DisableTaskMgr" Ro Az 1 Be 0 Taghir Bedid Ta Taskman Faal Beshe Hamchenin Meghdare Wallpaper Ro Be "C:\WINDOWS\Web\Wallpaper\windows XP.jpg" Thaghir Bedid
Esme Virus Ha "Trojan Ha"Va Gheyre
Win32/Nuwar.gen worm
Win32/Rootkit.Agent.DP trojan
Win32/TrojanDownloader.Small.AWA trojan
Win32/Prorat trojan
Win32/Spy.ProAgent.NAB trojan
Win32/TrojanDownloader.Busky.AZ trojan
The End
Tavajoh Konid Ke Agar Az Too Run Ham Varesh Darid Baz Ham Ejra Mishe Va Bala Miyad Va Amma Desktop Ham Nemitoonid Dorostesh Konid Tanha Rah Be Nazare Man Ineke WINDOWS AVAZ KONID
Bebakhshid Ke Farsi Naneveshtam
Monitoram Sookht Ba Laptop Connectam Label Nadare
In Hameye Ettelaat Man Az In Virus Ke Mogheye Ejra Ham Esmesh RUN.EXE Hastesh
Felan Bye
لطفا فارسی بنویسید .
در صورت تکرار حتما پاک خواهد شد .
البت چندتا روش دیگه هم وجود داره .
zonealarm نصب کن که spyware داره
پیدا میکنه من تست کردم باید اپدیت باشه البته
سلام
این ویروس قابلیت انتشار بسیار بالایی دارد و به راحتی از طریق یک برنامه اسکریپ تکثیر میشود. راه انتقال آن معمولا فایل های html که درون یک سایت قرار داده شده و آدرس آن از طریق برنامه یاهو مسنجر منتشر میشود.
این کرم کلیه فایل های وب شما مانند HTML, HTN, HTT را آلوده می کند و با هر بار اتصال شما به اینترنت و لوگین کردن در برنامه Yahoo Messenger یاهو مسنجر، لیست دوستان شما را استخراج می کند و خودش را به تمام آنها منتقل می کند. انتقال زمانی کامل میشود که دوستان شما لینک اینترنتی ناخواسته شما را که بدون دخالت شما از طریق مسنجر ارسال شده را مشاهده کنند و یا بعبارتی بر روی آن تنها کلیک کنند.
این برنامه یک کد اسکریپت به تمام فایل های از نوع html آن ضمیمه میکند و معمولا به همراه مشکلاتی کار کردن با کامپیوتر را مختل میکند. مخصوصا هنگام کار با visual studio .net بدلیل تخریب فایل های html آن موجب می شود که پیغام های خطای گوناگونی ظاهر شود.
افرادی که طراح صفحات وب هستند با این ویروس همچنان مشکل دارند و بسیاری از فایل هایشان با این ویروس خطرناک تخریب شده است و قابل بار گذاری نیست.
همواره هر html دو فایل kernel.vbs و TSP32v.dll را در دایرکتوری ویندوز سیستم 32 کپی می کند و مسیر اجرای آن را در رجیستری ثبت می کند تا با هر بار بالا آمدن سیستم، ویروس با سرعت بیشتر گسترده تر شود و سیستم شما آلوده تر گردد.
![[تصویر: 14lgxw.jpg]](http://i36.tinypic.com/14lgxw.jpg)
توجه : پس از اجرای برنامه ضد ویروس کرنل FASIX، ابتدا درایو c را انتخاب کنبد و دکمه جستجو را بزنید. حداقل 5 دقیقه زمان نیاز است تا برنامه درایو هارد شما را جستجو کند و فایل های مورد نظر را انتخاب کند، لذا صبور باشید. پس از این مرحله دکمه remove infected files را کلیک کنید تا برنامه فایل های آلوده را شناسایی و اصلاح کند. این کار را برای سایر درایوها جداگانه انجام دهید.
لینک دانلود
[
attachment=1312]
توضیحات
موفق باشید
بهتون تبريك مي گم. كار زيبايي انجام داديد كه آنتي ويروس هايي مثل ناد32 نمي تونن به اين خوبي از پسش بر بيان.
اگه ممكنه در مورد عملكرد برنامه يه مقدار توضيح بديد و چرا در حذف اين كد اسكريپت از برخي فايل ها مشكل داره..
اگه ممکنه فایل ویروس یا سایت انتشار رو برام ارسال کنید تا آنالیز کنم.
Added to Casit AntiVirus 1.0
Di Di نوشته است:بهتون تبريك مي گم. كار زيبايي انجام داديد كه آنتي ويروس هايي مثل ناد32 نمي تونن به اين خوبي از پسش بر بيان.
اگه ممكنه در مورد عملكرد برنامه يه مقدار توضيح بديد و چرا در حذف اين كد اسكريپت از برخي فايل ها مشكل داره..
ممنونم
این برنامه به روش بازگشتی مسیری رو که تعیین می کنیم به دنبال فایل های مورد نظر جستجو می کنه و آدرس اونها رو لیست می کنه. در نهایت در بخش دوم از روی این لیست یکی یکی فایل ها رو مورد بررسی قرار میده و درون اونها به دنبال کلمات کلیدی اسکریپت میگرده. وجود یک کلمه لزوما بیانگر ویروس نیست و یک ماشین حالت (State machine) شرایط دیگری رو هم چک می کنه. در نهایت در صورت تشخیص صحیح، اون ناحیه از HTML رو حذف می کنه.
فایلهایی که در نامشون از کاراکترهای غیرعادی! استفاده شده که تعدادشون معمولا خیلی کم هست با این روش باز نشدند و من وقت کافی برای استفاده از یونی کد و روشهای دیگه رو نداشتم که بررسی کنم. این برنامه را واسه اینکه کارم رو راه بیندازم و خیری به دوستان برسه نوشتم.
سورس کد دلفی برنامه در ادامه ضمیمه شده.
موفق و پیروز باشید.
