قبلا در مورد این ویروس توضیح داده بودم اما توضیحات کامل نبود اما این بار می خوام در چند قسمت توضیحات کامل در مورد این ویروس و نحوه پاک کردن اون و نحوه برگرداندن تنظیمات رجیستری بعد از پاک کردن سیستم رو کاملا اموزش بدم
قبلا در مورد این ویروس توضیح داده بودم اما توضیحات کامل نبود اما این بار می خوام در چند قسمت توضیحات کامل در مورد این ویروس و نحوه پاک کردن اون و نحوه برگرداندن تنظیمات رجیستری بعد از پاک کردن سیستم رو کاملا اموزش بدم
سلام
بعضی ها فکر کردن که من دست از سر ویروسا برداشتم و رفتم سراغ عشق و عاشقی اما:
باور کنین این ویروسا دست از سر کچل ما برنمیدارن
امروز صبح از تهران رسیدم نیشابور و وقتی رفتم کافی نت دیدم که:
چنان گشته خر تو خر اینجا غریب که غوغای محشر شود عنقریب
یعنی:
سیستم سرور ویروسی بود هر چند لحظه یه بار ریبوت می شد و از همه بد تر اینکه:
بعضی انتی ویروس ها اصلا نصب نمی شدن و انتی ویروس nod32 , kaspersky , maccaffee , zonealarm, panda را که تونستم نصب کنم اجرا نمی شدن!!!!
و چون اصلا از ویندوز اکس پی خوشم نمیاد پاکش کردم و ویندوز سرور نصب کردم اما باز هم انتی ویروسهای بالا البته چند تاش که روی ویندوز سرور نصب نشدن و بقیه هم اجرا نشدن و حتی اسکن انلاین از سایت های بیت دفندر و نود و سیمانتک هم جواب نداد یعنی وسطای کار قطع می شد.البته nod تا وقتی که قطع نشده بود 359 تا فایل الوده که همه هم exe بودن رو شناخت اما پاک نشد
اخر کار از سایت سافت ارشیو که البته ف.ی-ل=ت-ر هم هست یه نسخه از nod 32 رو دانلود کردم که خوشبختانه نصب و اجرا شد اما
ویروسی که این بلا رو سرم اورد اسمش sality.NAU بود که نود هم حال داد و تمام فایل های exe الوده رو پاک کرد یعنی تمام نرم افزار های نصب شده و درایور ها ولی بعد از چند بار اسکن الان سیستم راه افتاده و بعد از نصب نرم افزارها و درایور ها دارم این چرندیاتو می نویسم
خوش باشین و امیدوارم ویروسی نشین
راستی اگه دیدین انتی ویروس سیستمتون غیر فعال شده و یه چیزی شبیه انتی ویروس که خودشو شبیه نرم افزار های کاربردی ویندوز کزده و اسمش چیزی شبیه microsoft system antivirus 2008 یا 2009 هست و مثل انتی ویروسا سیستم رو اسکن می کنه و چند تا ویروس می شناسه و حتی پیغام پاک کردن اونا رو می ده و ظاهرا پاک می کنه:
مطمئن باشین که خودش ویروسه و
بیچاره شدین مثل من
بای
توضیحات کامل و روش پاک کردن ویروس sality
چند وقته که یه ویروس که هنوز نمی دونم اسم و رسمش چیه افتاده به جون کامپیوترم واین بلاهارو سر کامپیوترنازنینم اورده:
۱-ایجاد فایل های زیر در تمام درایوها که حجم همه شون صفر کیلوبایته:
acrobat.exe
autorun.exe
و چند تای دیگه که اسمشون یادم نیست
۲- فولدر اپشن رو مخفی می کنه
۳- ری استور restore سیستم رو غیر فعال می کنه
۴- کامپیوتر به حالت سیف مد safe mode بالا نمیاد یعنی اصلا این گزینه رو نداره
۵-اصلاح رجیستری regedit رو می بنده
۶-سرعت سیستم خیلی پایینه البته میشه با استفاده از task manager از اجرای اون ظاهرا روی سیستم جلوگیری کرد ولی در واقع توی سیستم هست. همچنین توی استارت آپ قرار می گیره
۷- اگه با اکرونیس یا نرم افزار های مشابه از ویندوز ایمیج گرفته باشی نمی تونی ایمیج رو برگردونی و از شر ویروس راحت بشی
۸- با انتی ویروس های سیمانتک. کاسپر. بیت دفندر. پاندا و ند۳۲ که همه شون اپ دیت هم بودن تست زدم اما هیچکدومشون نمی تونن پاکش کنن
۹-حتی سایت بیت دفندر که انتی ویروس انلاین داره نتونست سیستم رو اسکن کنه و خطا میده
۱۰-مجبور شدم ویندوز عوض کنم(تا الان ۳ بار)
هرکی بهم بگه چیجوری میشه پاکش کرد و دوباره راه نفوذشو بست جایزه داره
توضیحات زیر از سایت سیمانتک انتخاب شده که بعد از پاک سازی سیستم از ویروس باید به روش زیر رجیستری ویندوز را اصلاح کرد
البته قبل از این کار باید restore ویندوز را غیر فعال کرد
Click Start > Run.
Type regedit
Click OK.
Note: If the registry editor fails to open the threat may have modified the registry to prevent access to the registry editor. Security Response has developed a tool to resolve this problem. Download and run this tool, and then continue with the removal.
Navigate to and delete the following entries:
HKEY_CURRENT_USER\Software\Wintek\"Install" = "[INFECTION TIME]"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"Soundmax" = "%ProgramFiles%\Sound Utility\Soundmax.exe"
Restore the following registry entries to their original values, if required:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\"Hidden" = "2" HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\"HideFileExt" = "2" HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\"ShowSuperHidden" = "2" HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\"Nofolderoptions" = "1" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\"Nofolderoptions" = "1"
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore\"DisableConfig" = "1"
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore\"DisableSR" = "1"
Exit the Registry Editor.
Note: If the risk creates or modifies registry subkeys or entries under HKEY_CURRENT_USER, it is possible that it created them for every user on the compromised computer. To ensure that all registry subkeys or entries are removed or restored, log on using each user account and check for any HKEY_CURRENT_USER items listed above.
این چند روزه نبودم و وقتی به کافی نت اومدم دیدم این بار ویروسی که قبلا فقط توی یکی از سیستم ها بود و ما هم سریع ویندوز عوض می کردیم افتاده به جون همه سیستم ها.
۱-این ویروس آیکون Folder Options کامپیوتر شما را غیر فعال میکند
۲- یک نوار زرد رنگ در بالاى صفحه مونیتور ظاهر و جملات فارسى قرمز رنگ در آن ظاهر میشود و با حروف قرمز رنگ جملات توهین آمیز نسبت به مسایل مذهبی و اجتماعی نمایش می دهد
۳- یک فایل HTM با نام Important بر روى Desktop کامپیوتر شما ظاهر مى شودو در هر بار Restart اگر آن را پاک هم بکنید باز آن را تولید می کند.
۴- این ویروس توی درایو سی شاخه program file دو فولدر به نام های xpcode و sound utility ایجاد می کند و فایل اپ دیت بیشتر نرم افزار های نصب شده روی سیستم رو الوده می کند مثلا اکروبات ریدر و افیس.
دانشگاه ازاد مشهد یک فایل برای دانلود گذاشته بود که ادعا کرده بود این ویروس رو پاک می کند البته قبلآ باید نرم افزار ۱.۱ Net Framework نصب شده باشد .
من این فایل را امتحان کردم و پاک هم می کرد اما با اولین ری استارت رو باره فعال می شد.
البته بر خلاف اینکه گفته شده انتی ویروس ها این ویروس را نمی شناسند سیمانتک ان را می شناسد البته با اسم w32.linkfars
W32.Linkfars is a worm that spreads by copying itself to removable drives, file-sharing application folders, and shared folders by replacing existing .exe files. It may also create .html files that display a message in Persian.
من خودم این ویروس را با سیمانتک پاک کردم البته این انتی ویروس فایل های الوده و فولدر اپشن رو درست می کند اما دو تا فایل اچ تی ام ال که با نام important توی دسکتاپ و مای داکیومنت ایجاد می شود را پاک نمی کند که باید بصورت دستی انها را پاک کرد.