طریقه نابودی ویروس boot.exe

rahpoyan.ir

Member
با سلام
امروز می خوام یکی از قوی‌ترین ویروس‌هایی رو که کامپیوترهای کاربران ایرانی رو تهدید می‌کنه معرفی کنم.
این ویروس برای هیچ یک از ویروس‌یاب های
مکافی
نود
کسپر اسکای
نورتون و...
قابل شناسایی نیست:eek::eek:.
طریقه عملکرد این ویروس:
این ویروس با قرار گرفتن در فولدر SYSTEM32 ویندوز و قراردادن خود در Start up تاریخ دستگاه شما را به دو سال قبل بر می‌گرداند و با ساختن Autorun در محیط اصلی هر درایو ورود شما را به داخل هر درایو(از طریق My computer ) با مشکل روبرو می‌کند. بطوری که هنگامی که روی نام هر درایو کلیک می‌کنید آن را در پنجره‌ی جدیدی باز می‌کند و در هر ثانیه چندین بار درایو را Refresh می‌کند.
عقب کشیدن تاریخ دستگاه شما این مشکل را ایجاد می‌کند که ویروس‌یاب شما به data base (اطلاعات) بروز شده جدید که شما برای آنتی ویروس خود آپدیت (بروز) کرده‌اید اصلا رجوع نمی‌کند و عملا به یک ویروس‌یاب قدیمی و بدون فایل‌های بروز شده تبدیل می‌شود.
اگر از ویروس‌یاب‌های کرک شده استفاده می‌کنید نمی‌توانید تاریخ دستگاه را جلو بکشید چون در اینصورت آنتی ویروس شما اعلام انقضاء تاریخ استفاده میکند.
2 نکته خیلی مهم:
1) این ویروس همان تروجان معروف یعنی boot.exe نیست !
2) حتما می دانید که الزاما نباید رایانه شما تمام علائم را داشته باشد، تنها کافی است یکی از علائم را داشته باشید، شک نکنید که همین ویروس است. معمولا کار ویروس از عقب کشیدن ساعت شروع می شود ولی این به معنی الزام نیست.
ابزار مورد نیاز برای امحاء ویروس:
با توجه به اینکه هیچیک از ویروس‌یاب‌های موجود توانایی قتل این ویروس را ندارند شما می بایست آن را به صورت دستی به قتل رسانید.
نرم افزارهای مورد نیاز:
1)نرم افزار ProcX یا چیزی شبیه آن که قادر باشه تمام processes موجود رو نشون بده و ببنده.
* ضمنا بهتره process master رو بی‌خیال شین چون اولا به هیچ درد نمی‌خوره، دوما حجمش خیلی بالاست، کرکش سخت و طاقت فرساست.
2) نرم افزار Start up محصول شرکت ExtraMile Software یا یه چیزی شبیه آن که قادر باشه تمام برنامه‌هایی که ابتدای ویندوز اجرا می‌شن رو نشون بده و بتونه اون رو حذف کنه.
* بهتره نرم افزارهای دیگه رو رها کنید چون حجمشون به قدرتشون نمی ارزه.
هر دو نرم افزار رو میتونید از لینک های زیر به حجم های k55 و k102 دانلود کنید. تازه هر دوتا رایگان هستند و نیازی به کرک ندارند.
http://files.myopera.com/amirr177/blog/startup.exe
http://files.myopera.com/amirr177/blog/PX.exe
3) برنامه Nero Burning Rom ترجیحا نسخه 6(Ultra Edition) که البته میشه بدون اون هم اقدام کرد، ولی تضمینی نیست.
4) یه کاربر حرفه‌ای مثل خودم: پیشنهاد می‌کنم اگه حرفه‌ای نیستید دست نزنید و یه خورده با ویروس کنار بیائید تا یه آنتی ویروسی، چیزی بیاد یا یه آدم حرفه‌ای بیارید.
خوب اگه همچی آمادست شروع می کنیم.
طریقه اعدام ویروس:
1) بعد از روشن شدن کامپیوتر (امیدوارم بلد باشید این کار رو بکنید) و بالا اومدن ویندوز بدون آنکه در هیچ یک از درایوها وارد شوید برنامه Procx را با نام PX اجرا کنید.
* نکته: اگه می‌خواهید که بدون کلیک مستقیم وارد درایو‌ها شوید، باید وارد My computer شوید، حالا روی منوی کِرکِره‌ای بالا کلیک کنید تا منو باز شود. حالا در منو، روی درایو مورد نظر کلیک کنید.
2) حالا بگردید دنبال این فایل‌ها در برنامه و اون‌ها رو Terminate کنید.
Loinplay.exe – boot.exe – system32.exe - یا یه همچین چیزی و خلاصه هرچی که بنظرتون اضافه میاد.
Project1 یا 2 یا هرچندتا که بود
3) حالا بدن بستن این پنجره سراغ Nero و data cd رو انتخاب کنید.
حالا ok کنید و وارد درایوها شوید(به غیر از c:) و تمام فایل های boot.exe و autorun.ini
4) حالا برنامه start up رو بازکنید و تمام فایل‌های که نامشون در بالا اومده بود رو غیرفعال کنید(تیکشون رو بردارید وclean up رو فشار بدید)
کار تمومه ساعت و تاریخ رو تنظیم کنید و رایانه را Restart کنید.
ضمنا برای اینکه بفهمید حرفه ای هستید یا نه کافی است ببینید که این کار را انجام داده اید یا نه. زیرا حرفه‌ای ها از خراب شدن ویندوز نمی‌ترسند!!!
اگه ساعت بعد از restart بازم عقب رفت، یعنی کارها رو درست انجام نداده‌اید و اگه بازهم مشکل ادامه داشت از من بپرسید.
متشکرم
تشکر و رای یادتون نره
 
آخرین ویرایش:

navidba

Well-Known Member
این تشکر و رای یادتون نره دیگه چیه؟؟...

در کل جالب بود...اگه خود ویروس هم برای دانلود بزاری خوب میشه...
 

roomezonline

New Member
با سلام
امروز می خوام یکی از قوی‌ترین ویروس‌هایی رو که کامپیوترهای کاربران ایرانی رو تهدید می‌کنه معرفی کنم.
این ویروس برای هیچ یک از ویروس‌یاب های
مکافی
نود
کسپر اسکای
نورتون و...
قابل شناسایی نیست:eek::eek:.
طریقه عملکرد این ویروس:
این ویروس با قرار گرفتن در فولدر SYSTEM32 ویندوز و قراردادن خود در Start up تاریخ دستگاه شما را به دو سال قبل بر می‌گرداند و با ساختن Autorun در محیط اصلی هر درایو ورود شما را به داخل هر درایو(از طریق My computer ) با مشکل روبرو می‌کند. بطوری که هنگامی که روی نام هر درایو کلیک می‌کنید آن را در پنجره‌ی جدیدی باز می‌کند و در هر ثانیه چندین بار درایو را Refresh می‌کند.
عقب کشیدن تاریخ دستگاه شما این مشکل را ایجاد می‌کند که ویروس‌یاب شما به data base (اطلاعات) بروز شده جدید که شما برای آنتی ویروس خود آپدیت (بروز) کرده‌اید اصلا رجوع نمی‌کند و عملا به یک ویروس‌یاب قدیمی و بدون فایل‌های بروز شده تبدیل می‌شود.
اگر از ویروس‌یاب‌های کرک شده استفاده می‌کنید نمی‌توانید تاریخ دستگاه را جلو بکشید چون در اینصورت آنتی ویروس شما اعلام انقضاء تاریخ استفاده میکند.
2 نکته خیلی مهم:
1) این ویروس همان تروجان معروف یعنی boot.exe نیست !
2) حتما می دانید که الزاما نباید رایانه شما تمام علائم را داشته باشد، تنها کافی است یکی از علائم را داشته باشید، شک نکنید که همین ویروس است. معمولا کار ویروس از عقب کشیدن ساعت شروع می شود ولی این به معنی الزام نیست.
ابزار مورد نیاز برای امحاء ویروس:
با توجه به اینکه هیچیک از ویروس‌یاب‌های موجود توانایی قتل این ویروس را ندارند شما می بایست آن را به صورت دستی به قتل رسانید.
نرم افزارهای مورد نیاز:
1)نرم افزار ProcX یا چیزی شبیه آن که قادر باشه تمام processes موجود رو نشون بده و ببنده.
* ضمنا بهتره process master رو بی‌خیال شین چون اولا به هیچ درد نمی‌خوره، دوما حجمش خیلی بالاست، کرکش سخت و طاقت فرساست.
2) نرم افزار Start up محصول شرکت ExtraMile Software یا یه چیزی شبیه آن که قادر باشه تمام برنامه‌هایی که ابتدای ویندوز اجرا می‌شن رو نشون بده و بتونه اون رو حذف کنه.
* بهتره نرم افزارهای دیگه رو رها کنید چون حجمشون به قدرتشون نمی ارزه.
هر دو نرم افزار رو میتونید از لینک های زیر به حجم های k55 و k102 دانلود کنید. تازه هر دوتا رایگان هستند و نیازی به کرک ندارند.
http://files.myopera.com/amirr177/blog/startup.exe
http://files.myopera.com/amirr177/blog/PX.exe
3) برنامه Nero Burning Rom ترجیحا نسخه 6(Ultra Edition) که البته میشه بدون اون هم اقدام کرد، ولی تضمینی نیست.
4) یه کاربر حرفه‌ای مثل خودم: پیشنهاد می‌کنم اگه حرفه‌ای نیستید دست نزنید و یه خورده با ویروس کنار بیائید تا یه آنتی ویروسی، چیزی بیاد یا یه آدم حرفه‌ای بیارید.
خوب اگه همچی آمادست شروع می کنیم.
طریقه اعدام ویروس:
1) بعد از روشن شدن کامپیوتر (امیدوارم بلد باشید این کار رو بکنید) و بالا اومدن ویندوز بدون آنکه در هیچ یک از درایوها وارد شوید برنامه Procx را با نام PX اجرا کنید.
* نکته: اگه می‌خواهید که بدون کلیک مستقیم وارد درایو‌ها شوید، باید وارد My computer شوید، حالا روی منوی کِرکِره‌ای بالا کلیک کنید تا منو باز شود. حالا در منو، روی درایو مورد نظر کلیک کنید.
2) حالا بگردید دنبال این فایل‌ها در برنامه و اون‌ها رو Terminate کنید.
Loinplay.exe – boot.exe – system32.exe - یا یه همچین چیزی و خلاصه هرچی که بنظرتون اضافه میاد.
Project1 یا 2 یا هرچندتا که بود
3) حالا بدن بستن این پنجره سراغ Nero و data cd رو انتخاب کنید.
حالا ok کنید و وارد درایوها شوید(به غیر از c:) و تمام فایل های boot.exe و autorun.ini
4) حالا برنامه start up رو بازکنید و تمام فایل‌های که نامشون در بالا اومده بود رو غیرفعال کنید(تیکشون رو بردارید وclean up رو فشار بدید)
کار تمومه ساعت و تاریخ رو تنظیم کنید و رایانه را Restart کنید.
ضمنا برای اینکه بفهمید حرفه ای هستید یا نه کافی است ببینید که این کار را انجام داده اید یا نه. زیرا حرفه‌ای ها از خراب شدن ویندوز نمی‌ترسند!!!
اگه ساعت بعد از restart بازم عقب رفت، یعنی کارها رو درست انجام نداده‌اید و اگه بازهم مشکل ادامه داشت از من بپرسید.
متشکرم
تشکر و رای یادتون نره



من نویسنده این ویروس رو میشناسم دوست نزدیک منه به قول خودش چون سرور ویروس رو آورده پایین به راحتی قابل پاک شده چون در غیر اینصورت ویروس طوری نوشته شده که شما با پاک کردن اون با اولین کانکت شدنش به نت دوباره دانلود میشه و شروع به کار میکنه - گفته چون من قصد انتشار رو نداشتم فقط جهت تست در چت روم ویروس رو به یه دوست کرجی داده که همین کافی بود برای انتشار ویروس در ایران
اسمش مصطفی هست هرکس میخواد باهاش صحبت کنه به آیدی من پی ام بده تا شمارش رو بهتون بدم

Just BOOT.EXE
 

r.ghost

New Member
ویروس boot.exe نوشته شده بوسیله یک ایرانی
با سلام خدمت دوستان عزیز
عید تان مبارک
smilingsmiley.gif

ویروس boot.exe که حتما باهاش دارید دست و پنجه نرم می کنید کار یه دوست یا ... ایرانی هستش (مصطفی شماره همراه : 09358630202 ) که رویه خیلی از سیستم های ایرانی پخش شده درجه خطرش بالاست ( یوزر پس سند میکنه )
این ویروس به طور AUTORUN خودشو از رویه فلش یا ... جا به جا میکنه ( هیچ آنتی ویروسی تا به حال پیداش نکرده برایه nod میلش کردم فعلا جواب نداده )

امروز با 5 ساعت کار روش تونستم یه کمیشو باز کنم و اطلاعاتی در موردش در بیارم

1- با vb6 نوشته شده.
2- فایل ویروس رو با نام loinplay.exe ( ممکن هست نامه فایل رو برای هر سیستم مغییر پروسس کنه دقت کنید مثل : Project1 و mlogginf32 و logginf32 ) در C:\WINDOWS\system32 قرار می ده و با تغییرات در ریجیستری باعث می شه با هر بار لود شدن سیستم اجرا بشه
smilingsmiley.gif


HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run\

3- به صورت آنلاین فایل AOSMTP.dll رو از رویه نت دانلود می کنه ( از آدرس http://roomezonline.persiangig.ir/password/AOSMTP.dll) و در مسیر C:\WINDOWS\system32 کپی می کنه ( این فایل لازم برای اجرای ویروس هست اگه هم پاکش کنید خود ویروس دوباره دانلودش می کنه )

4 - در تسک با شماره آیدی 32770# اجرا می شه و حجم بالایی از cpu رو میگیره
5- ساعت سیستم رو kill می کنه و به 2006 تغییرش میده.

روش پاک کردن ویروس :

[SIZE=+0]ابتدا كليد هاي CTRL+ALT+DELETE رو با هم بزنید[/SIZE] [SIZE=+0] بعد از باز شدن TaskManeger سربرگ Processes رو انتخاب كنید[/SIZE]
[SIZE=+0] بعد بر حسب نام مرتب كنید .
[/SIZE]
[SIZE=+0] تمامي perocess هايي كه جلوشون [/SIZE][SIZE=+0]نام كاربر ويندوز شم[/SIZE][SIZE=+0] نوشته رو به جز Explorer.exe و Taskmge.exe رو End Proceess كنید.
از منوي Tools گزينه آخر Folder Option و بعد View رو انتخاب کنید در قسمت Hidden files and folders گزینه
[/SIZE][SIZE=+0]Show [/SIZE][SIZE=+0]Hidden files and folders رو انتخاب کنید و تیک دو گزینه پایین را بردارید ok کنید .
My Computer رو باز کنید در قسمت address درایو ها رو یکی یکی باز کنید و فایل boot.exe و
[/SIZE]AUTORUN رو پاک کنید ( مراقب باشید فایل رو اجرا نکنید )

[SIZE=+0] فایل [/SIZE]loinplay.exe رو در درایو ویندوز سرچ کنید و پاکش کنید.
در ریجیستری HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run\ کلید system32 رو پاک کنید
حالا سیستم رو ریستارت کنید و تموم
smilingsmiley.gif


مشکلی بود در خدمتیم
smilingsmiley.gif
 

جدیدترین ارسال ها

بالا