عجب ویروس نامردی !

d@nyal · Oct 10, 2006

آقا سلام علیکم ! :wink:

عجب زمونه ای شده !

دوماه پیش بود که کامپیوترم آلوده به جانوری(ویروس سابق!) شد که خفن منو پیچوند ! (واما اصل داستان ):

اصولا من با کامپایلر ها خیلی کار می کنم . بخصوص با توربو پاسکال و توربو سی پلاس پلاس . با ورود این ویروس به کامپیوتر بنده ، با اجرای هر گونه فایل تحت داس ، ویندوز ریستارت میشد (و می شود ! ) . البته این قضیه ی ریستارت شده فقط مخصوص فایل های داس نبود . هنگام نصب بعضی از نرم افزار ها هم یک دفعه ای می بینی وسط راه کامپیوتر رفت رو ریستارت ! ( :-?

) از بس دنبال راه حلش گشتم دیگه خسته شدم . خلاصه (سرتون رو درد نیارم ! ) گفتیم که نه شیر شتر نه دیدار عرب ! نه نرم افزار نصب می کنیم و نه ریستارت میشیم . و اینجا بود که یک زندگی مسالمت آمیز با این جانور گرامی آغاز کردیم ! نه من کاری به نصب نرم افزار و برنامه نویسی داشتم و نه این با من کاری داشت ! (یادم رفت بگم موقع ورود به REG EDIT هم ویندوز ریسارت می شد ) .

این کار تا جایی ادامه داشته که دیروز گرفتار ویروس w32.KMeth شدیم ! (دو ویروس در یک دستگاه ! :lol:

)
جیرینگی پریدم IT WORLD (خدا پرهام رو حفظ کنه !

) اومدیم این ویروس جدید رو پاک کنیم که دیدیم ای دل غافل ! :

1 - مرورگر اینترنت اکسپلورر و نرم افزار پیغام رسان یاهو مسنجر را به طور کامل ببندید و اتصال اینترنت خود را نیز قطع کنید.
2 - حال برای دسترسی‌ به بخش Reg Edit ابتدا به منوی Start و بخش Run وارد شده و سپس عبارت زیر را وارد و دستور را اجرا کنید :

REG add HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableRegistryTools /t REG_DWORD /d 0 /f

3 - برای دسترسی‌ به Task Manager نیز مجددا به منوی Run وارد شده و دستور زیر را اجرا کنید :
REG add HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableTaskMgr /t REG_DWORD /d 0 /f

4 - حال برای تغییر صفحه پیش فرض مرورگر اینترنت اکسپلورر به منوی Run بروید و عبارت regedit را وارد کرده و پس از آن به مسیر های زیر بروید و تمام متغیر هایی‌ که سایت nsl-school.org در آن وجود دارد را تغییر داده و به جای آن سایت دیگری مانند گوگل (google.com) را وارد کنید :

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main

HKEY_ LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main

HKEY_USERS\Default\Software\Microsoft\Internet Explorer\Main

5 - پس از آن نیاز است تا عملکرد ویروس در سیستم را متوقف کرده که اینکار با وارد شدن Task Manager (استفاده از کلید های ترکیبی‌ Ctrl+Alt+Delete) و کلیک کردن بر روی End Task برای تمامی‌ فایل های svhost32.exe صورت می گیرد.
6 - حال مجدد با وارد شدن به Reg Edit و بخش جستجو در آن به دنبال تمامی‌ عبارت های svhost بگردید و آنها را حذف کنید.
7 - اگر هنوز فایل های svhost32.exe و svhost.exe در پوشه Windows و Temp را پاک نکردید، پس از این مراحل نوبت به حذف آنهاست.
8 - در این مرحله سیستم شما از وجود این ویروس پاک شده است و پس از راه اندازی مجدد سیستم می‌ توانید بدون مشکل از آن استفاده کنید.

یعنی اینکه برای پایک کردن این ویروس جدیده باید سری به REG EDIT بزنیم ! که این برای من غیر ممکنه . چون ویروس قبلیه با ورود به REGEDIT ویندوز رو ریستارت می کنه !

-- لپ کلام : آقا شما چاره کار رو می دونید ؟ چجوی می تونم اول از شر این ویروس قدیمیه خلاص بشم ؟

چاکریم ! :: دانیال :cry:

javadsoltani · Oct 11, 2006

سلام اول اینکه طریقه نابودی اون ویروس دوم رو در آدرس زیر همراه ویروس کشش اومده:
http://forum.iranvig.com/showthread.php?tid=4797

و دوم با نشونه هایی که دادی فکر می کنم ویروس اولت کرم برونتوک باشه که اگر این طور بود آنتی ویروسش رو از آدرس:
http://dargprog.persiangig.com/Program/AntiBrontokA/ABrontok.zip
دانلود کن. آنتی ویروسش همراه سور کد وی بی که فکر می کنم برای شما که برنامه نویس هستی خوشایند تر باشه.

برای اطلاعات بیشتر هم درباره کرم برونتوک و طریفه نابودی دستیش به آدرس زیر برو:
http://www.iranvig.com/modules.php?name=News&file=article&sid=3411

javadsoltani · Oct 11, 2006

نه اینطور نیست!
آخه چرا بچه مردم رو می ترسونی؟!
اون کرم فقط سه فایل آلوده interanat.exe، svhost32.exe و svhost.exe رو در شاخه سیستم ایجاد می کنه و به بقیه فایل ها هم کاری نداره.
در ضمن این کرم زمانی نشر پیدا می کنه که شما از سیستم یاهو مسنجر استفاده کنی