نحوه از کار انداختن ویروس سیاسی

[zacaria]

سلام
حسين جان من ويروست رو رو سيستم خودم اجرا كردم:
1- فكر كنم خودشو در استارآپ قرار داده بود چون در هر بار ريستارت دوباره شروع به كار مي كرد.
2-همون طور كه خودت اشاره كردي كپشن پنجره ها و منوي استارت و دكمه ها رو عوض ميكرد.
3-وقتي روي درايو ها دابل كليك ميكردي بلافاصله بعد از باز شدن درايو، اونو مي بست.
4- در راست كليك روي آيكن درايو و انتخاب گزينه open هم اين طور مي شد.
5- اما وقتي درايو را از نوار آدرس انتخاب مي كردي باز مي شد.
6- هر 4 -5 ثانيه يه بار يه صدايي از هارد مي اومد(يه خورده نگرانم كرد)

من اول يه اكونت جديد ساختم، اما در اونجا هم ويرست به كار خودش ادامه داد.
بنابراين در مرحله دوم از سيستم ريستور استفاده كردم.
بعد از اين كار ديگه خبري از ويروس نيست. يعني نشانه از فعاليت ويروس ديده نمي شه، اما نمي تونم به قطع يقين بگم كه از كار افتاده! اگه خبري ازش شد بهت ميگم
موفق باشي

[Payman62]

سلام.
حسین جان ویروس جالبی نوشتی.

این از اسکن مکافی که برنامت رو به عنوان ویروس شناسایی کرد. W32/Generic!worm

ویروس کپشن پنجره ها یا کلیدهایی که موس روشون میره رو تغییر میده. هر پنجره ای که باز کنی یا هر کلیدی که بیای روش کلیک کنی یا میشه hoseinvig یا format یا mohajer یا close یا goraz یا ... . خلاصه بد جور میره رو اعصاب.

ویروس پس از اجرا تو استارت آپ میشینه. برای جلوگیری از برداشتن برنامه از استارت آپ یه تایمر تو برنامه موجوده که در هر ثانیه برنامه رو در استارت آپ قرار میده. به این دلیل اول باید برنامه رو بست بعد از استارت آپ برش داشت. ولی برای بستن برنامه 2 تا مشکل وجود داره که در ادامه توضیح میدم.

ویروس پس از اجرا تو مسیر WINDOWS\system\csrss.exe میشینه و یه فایل هم از تو ریسورس تو مسیر WINDOWS\Services.exe اکسترکت میکنه. انتخاب نام های csrss و services برای این فایل ها بی دلیل نبوده. هدف حسین جلوگیری از بسته شدن پروسه این فایل ها در تسک منجر بوده. چون 2 پروسه سیستمی به همین نام ها موجوده که تسک منجر اجازه بسته شدنشون رو نمیده. حالا اگه برنامه X با نام این پروسه های سیستمی اجرا شه تسک منجر به اشتباه میفته و اجازه بسته شدن پروسه برنامه X رو هم نمیده. این اولین مشکل بستن ویروس هست.

فایل csrss ویروس اصلی هست که کپشن ها رو تغییر میده. وظیفه فایل services هم جلوگیری از بسته شدن ویروس هست. به این ترتیب که تو یه تایمر این 2 تا فایل هم دیگه رو اجرا میکنن. تا به محض بسته شدن یکی توسط دیگری بلافاصله اجرا شه و به این صورت ویروس همیشه اجرا میمونه. این هم دومین مشکل بستن ویروس هست.

ویروس تو یه تایمر در همه درایو ها 2 تا فایل با نام های microsoft.exe و Autorun.inf ایجاد میکنه. تا در صورت از کار افتادن ویروس یا نصب ویندوز با 2 بار کلیک رو نام درایو مجددا ویروس فعال شه و کارشو شروع کنه. یه اشکال برنامه همینه. چون در هر ثانیه چراغ فلاپی درایو روشن میشه و صداش در میاد. البته برای ویروس به این تابلویی مهم نیست.

آنتی این ویروس رو نوشتم که با اجازه حسین این جا قرارش دادم.

[HoseinVig]

سلام مرسی دانلودیدید
آقا پیمان کارت علی بود اما آنتیت رو هنوز تست نکردم چون جایی هستم که نمیتونم....
در مورد آنتی ویروس ها فقط مکافی و پاندا میشناسنش که البته فکر میکنم ماله پکر باشه که اون قابل رفعه.
چراغ فلاپی هم نباید روشن بشه (خوبه گفتی) علتش اینه که من اینو با لپتاپم نوشتم و اون طفلی هم که فلاپی درایو نداره واسه همین اصلا یادم به فلاپی درایو نبود، به هر حال نقص بزرگیه و اینم قابل رفعه.
به محض اینکه آنتیت رو تست کردم نتیجشو میگم .
{يه خرده اي کلمات ر بيشتر کنيد.}
چه کلماتی به نظرتون جالبه بگید تا اضافه کنم.

[Payman62]

سلام.
چراغ فلاپی زیادم مهم نیست. اگه ویروس مخفیانه تخریب میکرد مشکل حساب میشد. ولی این ویروس اون قدر پنجره ها رو به هم میریزه که طرف دیگه به فلاپی نگاه نمیکنه.

[t3r!p3000]

حالا سورس ویروست رو هم قرار بده .
جالب بود .

جای دوری نمی ره .

[Rink8]

بهتره دوباره بريد ويروس بنويسيد
اما ويروس هاي نوشته شده نيز از دست آنتي ويروس هاي قدرتمند در امان نيستند
آنتي ويروسي که جناب Peyman? نوشته اند هيچ کاري تنها عملکرد فيزيکي اش Rest کردن سيستم است و هيچ کاري از دستش بر نمي آيد...
آنتي ويروس Kaspersky البته نسخه جديدش با قرنطيه کردن فايل CRss.exe ويروس Hossinvig را از پاي در مي آورد و با خيال راحت بريد در درايو ها و دوفايل ايجاد شده به نام هاي microsoft.exe و autorun.inf را با خيال راحت پاک کنيد...

[tak-fanar]

http://www.k2-4u.com/amir/mypro/TakFanar...V-irus.zip

[HoseinVig]

بهتره دوباره بريد ويروس بنويسيد
اما ويروس هاي نوشته شده نيز از دست آنتي ويروس هاي قدرتمند در امان نيستند
آنتي ويروسي که جناب Peyman? نوشته اند هيچ کاري تنها عملکرد فيزيکي اش Rest کردن سيستم است و هيچ کاري از دستش بر نمي آيد...
آنتي ويروس Kaspersky البته نسخه جديدش با قرنطيه کردن فايل CRss.exe ويروس Hossinvig را از پاي در مي آورد و با خيال راحت بريد در درايو ها و دوفايل ايجاد شده به نام هاي microsoft.exe و autorun.inf را با خيال راحت پاک کنيد...

من با سایت ویروس توتال فایلمو تست کردم و کاسپر نشناختش !!!!

----------------------------------------------------------------------------------
آقا پیمان درباره آنتی که نوشتی توضیح میدی(یا سورس)
که چجوری بستیشو...
---------------------------------------------------------------------------------
سورس هم میزاریم حالا اجازه بدین یکم ....

[Rink8]

بابا کاسپرسکي بايد Active شده باشه.
ممکن است کاسپر شما Active نشده باشد يا متعلق به نسخه هاي قبلي باشد
يا به دلايل زير تمامي موارد مرتبط با Kaspersky يعني Firewall و... رانيز مي بايست فعال کنيد

[Di Di]

دوست عزيز
فرمودن با ويروس توتال اسكن كردن يعني آپديت ترين( آپديت تقريبا هر روز انجام مي شه ) نسخه هاي هر آنتي ويروس كه البته صد در صد اكتيو هستن

[Payman62]

آنتي ويروسي که جناب Peyman? نوشته اند هيچ کاري تنها عملکرد فيزيکي اش Rest کردن سيستم است و هيچ کاري از دستش بر نمي آيد...

سلام.
ورودت رو به سایت تبریک میگم.
فکر میکنم سیستم شما مشکل داره. یه آنتی نصب کن.

آقا پیمان درباره آنتی که نوشتی توضیح میدی(یا سورس)
که چجوری بستیشو...

حسین جان پروسه های csrss و Services فقط از تسک منجر قابل بستن نیستن. در واقع این فقط نقطه ضعف تسک منجره. من با استفاده از API ها به راحتی پروسه های ویروست رو بستم و بعد هم پاکشون کردم. سورسشم میذارم.