کمک در مورد یک ویروس

[BiBi]

با سلام خدمت همه اساتید
در همه درایوهای سیستم من این دو تا فایل به نامهای kazme__gheyz.exe و autorun.inf ایجاد شده اند، ضمنا صفحه home page اینترنت ایکپلورر هم به http://www.kazmegheyz.zip.io تغییر کرده است. چیز دیگه ای نمی دونم. لطفا کمکم کنید. من تازه کارم و نیاز به کمک اساتید دارم.

[Di Di]

سلام دوست عزيز
قبلا در هيمن بخش مفصلا در مورد نحوه از بين بردن اين ويروس توضيح دادم و ديگر دوستان هم روي اون فعاليت كردن.

اصلا نگران نباشيد چيز مهمي نيست و به سادگي مي تونيد با استفاده از راهنمائي هاي دوستان از شرش خلاص بشيد من هم سعي مي كنم روش كار كنم و آنتي اون رو بزارم رو سايت چون ظاهرا سيستم هاي زيادي به اون آلوده شدن.

[HoseinVig]

درباره این ویروس توی سایت زیاد بحث شد اما این آنتی رو ندیدم کسی بده.
آنتی این ویروس توسط خود نویسنده ویروس ساخته شده که بهتر از بقیه کار میکنه و حتی تنظیماتی رو که ویروس توی ویندوز تغییر داده رو به حالت اول بر میگردونه...
ضمنا با توجه به اینکه این ویروس در چند ورژن مختلف منتشر شد این آنتی برای تمام ورژن ها ساخته شده
پیوست شد

[Scorpion]

این دکمه تشکر را ندیدین ؟؟؟؟

[HoseinVig]

دلیلش بروز شدنه mybb هستش که آقا هادی زحمتشو کشیدن یکم همه چیز بهم ریخته بزودی همه چیز درست میشه

[babyy]

سلام
--------------
این اطلا عات هم واسه کمک به نوشتن آنتی این ویروس هست و واسه کمک به پاک کردن دستی
خودم با تابع ExitProcces کتاب خانه Kernel32 مشکل پیدا کردم ، نمیتونم آنتی ویروس رو بنویسم.
البته من هنور دلیل اینکه چرا این قدر راحت پاک میشه رو نفهمیدم ، از جایی هم که سازندش به جای استفاده از توابع API برای بدست آوردن لیست درایو ها و پوشه ها از کنترل های Dir و Drive استفاده کرده ، که سرعت کند تری دارن،به نظر میرسه نا شی باشه ، اما خیلی خوب تونسته پخشش کنه ، که بازم چگونگیش واسه من جای سواله .
-----------------------------
اول باید ویروس رو از پروسس خارج کنین.(نه با Task Manager ، چون بجای این برنامه ویروس اجرا میشه،، با هر برنامه ایی که پروسس رو میبنده مثل LordPE )
------
بعد با Explorer (اول با حالت explorer وارد my computer بشین و بعد ،،،، منظورم exploreri که تو راست کلیک روی درایو ها هست ، نیست) داخل درایو ها بشین و ویروس و فایل اتو رانش رو پاک کنین
اگه از طریق گزینه هایی که تو راست کلیک درایو ها هست وارد درایو بشین ، ویروس اجرا میشه ، و همه زحمتاتون به باد میره ، این کلید ها هم برای همون درایو در رجستری ساخته میشه
HKEY_USERS\S-1-5-21-796845957-492894223-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{783ce383-5f58-11dd-bd8e-806d6172696f}\Shell\open\Command (Default=J:\kazme__gheyz.exe /open)
HKEY_USERS\S-1-5-21-796845957-492894223-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{783ce383-5f58-11dd-bd8e-806d6172696f}\Shell\explore\Command (Default=J:\kazme__gheyz.exe /Explore)
HKEY_USERS\S-1-5-21-796845957-492894223-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{783ce383-5f58-11dd-bd8e-806d6172696f}\Shell\AutoPlay\Command (Default=J:\kazme__gheyz.exe /open)
(که البته شاید این SID ها تو کامپوتر شما یه چیز دیگه باشه)
-- اگه اول فایل kazme__gheyz.exe رو تو پوشه system 32 پاک کنین ، بهتره--
-----
طریقه ی بالا اومدنش با این کلید هست :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon (Shell=%HOMEDRIVE%\windows\explorer.exe, kazme__gheyz.exe)
------
اگه این 4 تا دستور رو تو run بزنید و یا اجرا کنین برنامه اجرا میشه :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe (Debugger=kazme__gheyz.exe)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit.exe (Debugger=kazme__gheyz.exe)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mmc.exe (Debugger=kazme__gheyz.exe)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\cmd.exe (Debugger=kazme__gheyz.exe)
-----
امکان داره بعد از پاک کردن ، بعضی از درایوا ، هنگام داخل شدن،ERROR بدن ، که دلیلش پاک کردن کلید هایی هست که تو مرحله 2 گفتم ، با ری اسارت کردن درست میشه (دقت کنید که حتما کلیدی که تو مرحله 3 گفتم پاک کنید تا دیگه بالا نیاد)
اگه میپرسید چطوری این کلید ها رو پاک کنیم ،در حالی که اگه وارد رجیستری بشیم برنامه اجرا میشه، میتونید اول برنامه رو از پروسس خارج کنید ، و بعد فایلی که ضمیمه کردم رو بگیرید،کلیک راست کنید،و گزینه INSTALL رو بزنید ، حالا به regedit دسترسی دارین ، (بازم تاکید میکنم حتما از procces باید خارخ کنید ویروس رو).

آخر سر هم تو رجیستری kazme__gheyz.exe رو سرج کنید و نتایج رو پاک کنید ، من تقریبا 30 تا کلید پیدا کرده بودم .

یا حق

[saeed450]

درباره این ویروس توی سایت زیاد بحث شد اما این آنتی رو ندیدم کسی بده.
آنتی این ویروس توسط خود نویسنده ویروس ساخته شده که بهتر از بقیه کار میکنه و حتی تنظیماتی رو که ویروس توی ویندوز تغییر داده رو به حالت اول بر میگردونه...
ضمنا با توجه به اینکه این ویروس در چند ورژن مختلف منتشر شد این آنتی برای تمام ورژن ها ساخته شده
پیوست شد

اين انتي ويروس ويروس كاظم رو كامل از سيستم پاك ميكنه ؟؟

[toopdanlod]

سلام دوستان
من چند روز پیش یه ویروس گرفتم که خودش رو روی فایهای Exe قرار می داد و هر وقت هر فایل Exe ای رو که اجرا می کردم این ویروس بیشتر خودشو منتشر می کرد. البته به کمک آنتی ویروس کسپر 2009 و 2010 پاکشون کردم اما هنوز یه فایل به نام klwtblfs.exe هر چند وقت یه بار توی Processes باز می شه و بعد از چند ثانیه بسته می شه یا از توی لیست خودشو مخفی می کنه. حالا من نمی دونم این همون ویروس یا نه؟؟؟؟؟

[Mr.pRoGraMmer]

بابا زشته این ویروسها مال 100 سال پیشه جای صحبت کردن نداره اخه

[Payman62]

سلام.
toopdanlod جان برای سوال جدید تاپیک جدید بزن لطفا.
تاپیک جدید رو بزن تا پاسخت رو بدم. تاپیک جدید به این دلیله که سوال ها از هم تفکیک بشن. سعی کن عنوان مناسب هم انتخاب کنی. مثلا "پروسه مشکوک klwtblfs.exe "

[saeed450]

اره سوال منم بي جواب موند .

چون هنوز حس ميكنم كاظم توي كامپيوترم وجود داره . مطمئن نيستم اين انتي 270kb اين ويروس رو پاك كرده باشه