با سلام فكر كنم اين يك ويروس جديدي باشه شايدم !! نميدونم خودتون بررسي كنين
يك هفته اي ميشه كه افتاده به جون سيستمم كاسپر هم كه نميشناسدش نود پيدا ميكنه ولي بعد پاك كردنش دوباره نوشته ميشه رو فلش ديسك .
اينارم تو يك فايل اوتوران مينويسه :
کد:
[autorun]
open=RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\spoolsv.exe
icon=%SystemRoot%\system32\SHELL32.dll,4
action=Open folder to view files
shell\open=Open
shell\open\command=RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\spoolsv.exe
shell\open\default=1
اينم خود ويروس
مثل اينکه آنتی ويروس هاست ويروس رو از داخل فايل rar پاک کرده
برای rar پسّورد بزار.
نه پاك نشده
خصوصيتهاي فايلو يادم رفته عادي كنم الان system+Hidden+ReadOnly هست با تغيير تنظيمات نمايش ميتونيد فايلو ببينيد .
اين (ويروس) خودشو كپي مي كنه تو هر حافظه موجود چه تو پارتيشنها و چه تو فلش مشخص هم نيست كه چه پروسه اي اين كارو انجام ميده ؟؟
(يعني من پيداش نكردم)حجمشم كه خيلي عاليه
در ضمن تو هر درايوي يك پوشه به اسم RECYCLER ميزنه وتوش يك پوشه ديگه با اسمهاي طولاني كه به شكل رسايكل بين هستن برا همين نميشه رفت تو پوشه ها رو ديد كه توشون چي هست (اين رو شكر تونستم برم توشو ببينم)
تو اين پوشه ها دو تا فايل هست
كه هر دو رو با اسم همون پوشه كپي كردم
در ضمن هر بار كه پاك ميكنم يك پوشه جديد با يك اسم متفاوت توليد ميكنه
اينم اون دو تا فايل
سلام
بعد از اينکه ويروس غير فعال شد spoolsv.exe رو توی درايو فلش سرچ کن اگه با همين حجم 14KB چيزی پيدا شد پاکش کن.
آقا مجتبی میشه یه توضیح بدی که این بدافزار چجوری تونسته حال ما رو بگیره؟ کجا لونه میکنه؟
لونش تو سطل اشغال درايو ويندز هست تمام کار هاش هم به وسيله explorer.exe انجام ميده به خاطر همين هست هيچ پروسه نداره
اگه explorer.exe رو ببندی ويروس هم غير فعال ميشه بعدش استارت آپش رو پاک کن بعد دوباره explorer.exe رو باز کن همين.