اطلاعیه

**Pixel3** · 2008-12-15T15:57:39

پاسخ : همیاری برای مقابله با ویروس ها (مشکلات مربوط به ویروس رو اینجا مطرح کنین)

سلام

برنامه Trojan Remover رو نصب کنید ، اگر ندارید upload کنم ، حجم زیپش 6 مگ هست .

**abedjoon** · 2008-12-15T16:35:47

پاسخ : همیاری برای مقابله با ویروس ها (مشکلات مربوط به ویروس رو اینجا مطرح کنین)

سلام
دو تا از ویروس ها که من میشناسم و فایلا رو داغون میکنن pate و jeefo هستن.
دومی خطرناکتره و اکثر فایل های نصب و setup بعد از تمیز شدن هم قابل بازیابی نیستن.
ولی برا اولی در اکثر موارد (بالای 99 درصد) بعد از تمیز کردن فایل یه سری صفزر اضافی آخر فایل اضافه میمونه که موقع اجرای فایل اندازه ی واقعی فایل گزارش میشه که شما با توجه به مابه التفاوت میتونید به تعداد مورد نیاز از صفر های آخر فایل کمک کنین.
برای ویرایش فایل از یک hex editor استفاده کنین.

**abedjoon** · 2008-12-15T16:55:03

پاسخ : همیاری برای مقابله با ویروس ها (مشکلات مربوط به ویروس رو اینجا مطرح کنین)

سلام دوستان
کسپرجان در مورد ایتن ویروسه که فرمودی باید بگم که بعضی از این کرم ها واقعا با وجود کرم بودنسشون کرم دارن میرن بدنه ی فایلای exe رو خالی میکنن خودشونو جاش میذارن. من که انتی ویروس نودم جلوی این کرمو گرفت.
بارهمین ندیدم این از هموناست یا نه. چون نود تا جایی که بتونه فایلو پاک نمیکنه و فقط تمیزش میکنه.
میگم اندازه ی فایلتو نگاه کن ببین همون اندازه ی قبلیشه یا اینکه کوچیکتر شده.

راستی از سیدی های بوتبل انتی ویروس استفاده کن ببین چه خبره.
در مورد اثرات این ویروس هم یه سرچی بکن شاید کمک کنه.

**kasper** · 2008-12-15T17:20:45

پاسخ : همیاری برای مقابله با ویروس ها (مشکلات مربوط به ویروس رو اینجا مطرح کنین)

سلام.
از توجهتون ممنونم.
راستش من دفعات قبلی که تو اینترنت سرچ کردم چیز خاصی در مورد این ویروس پیدا نکردم. اما امروز که سرچیدم کلی مطلب در مورد پیدا کردم. جالبه. فکر کنم کار همین ویروسه که نمی ذاشت گوگل نتایج بهتری نشون بده !
این ویروس خیلی خفنتر از اون چیزیه که به نظر میرسه. عمرا nod32 نتونه پیداش کنه. تازه اگه پیداشم بکنه نمی تونه clean کنه. در واقع در بهترین حالت تعدادی از فایلها رو clean میکنه و بقیه رو هم delete می کنه. این مطلب رو تو یه سیستم دیگه متوجه شدم.

یه جا نوشته بود که فقط panda internet security 2008 تونسته clean کنه.
کسی با پاندا کار کرده؟ update ش چه فنتیه ؟ میشه update هاشو نگهداشت؟ مهمتر از همه اینکه میشه فایلهای update شو از خود سایتش دانلود کرد؟

بهترین روش همونطوری که جناب بهرام خان گفتند اینه که بعد از نصب ویندوز سریعا با یه انتی ویروس update شده اسکن کنم. اما دیگه حوصله عوض کردن ویندوز ندارم. دقیقترش اینه که وقتشو ندارم. می خوام از همه چی مطمئن بشم و بعدش عوض کنم.

دفعه قبلی هم که ویندوز رو عوض کردم تو هیچکدام از درایو ها نرفتم. فقط حواسم نبود موقع نصب مودم ( واسه بروز کردن انتی ویروس ) گفتم که فایلهشو از تو درایو برداره که سریعا ویروس اجرا شد.

فعلا که یه پاندا گرفتم منتها نصب نمیشه. البته کسپر رو هم دارم که شوته. واس خودش باز و بسته میشه.

دو سه مدل برنامه کوچیک یا همون removal tools گرفتم که اونام هیچ چی نمی فهمن. :angry:

دو تا سوال :
این ویروس فقط به فایلهای exe می چسبه؟

سوال مهمتر: اگه من فایلهای exe رو فشرده بکنم ( با winrar و با پسوند rar. ) دیگه هیچ ویروسی نمی تونه بچسبه بهشون؟

**bahramicq** · 2008-12-15T18:01:28

پاسخ : همیاری برای مقابله با ویروس ها (مشکلات مربوط به ویروس رو اینجا مطرح کنین)

اکثر فایل های sfx من که از دست رفت فکر کنم تمام فایل های exe قربانی بشن ، برنامه torjan remover هم که از اسمش معلومه که چیکارس

**kasper** · 2008-12-16T08:49:52

پاسخ : همیاری برای مقابله با ویروس ها (مشکلات مربوط به ویروس رو اینجا مطرح کنین)

سلام.
trojan remover که هیچ کاری نکرد.
از اولشم می دونستم نصب این برنامه های کوچیک هیچ فایده ای نداره.

خب خوشبختانه پاندا نصب نشد!
به خاطر نصب پاندا مجبور شدم کسپر اسکای رو remove کنم و بعد که خواستم دوباره اونو نصب کنم اونم نصب نشد!
در نتیجه الان هیچ انتی ویروسی نصب نیست رو سیستمم.

من هفته دیگه ویندوز رو عوض می کنم. می خوام بدونم که کدوم انتی ویروس رو بعد از نصب ویندوز نصب کنم ؟
می خوام که حتی المقدور اون انتی ویروس بتونه ویروس رو clean کنه نه اینکه فایلو دیلیت کنه.
یه جا گفته بود پاندا.
یه جا گفته بود نورتون.

یه سوال: در اینگونه موارد فرقی نداره که نسخه anti virus را نصب کنم یا internet security ؟؟
چون فکر می کنم نسخه anti virus از هر انتی ویروسی سریعتر از نسخه internet security بروز میشه. درسته؟
از طرفی میگم که ممکنه نسخه anti virus نتونه بخوبی internet security عمل کنه؟ درسته؟
میشه یه توضیحی در مورد تفاوتهای اساسی anti virus و internet security بدید؟
خواهشا سوالات رو جواب بدید. دو تا سوال هم تو پست قبلی داشتم.
ممنونم.

**abedjoon** · 2008-12-16T09:30:49

پاسخ : همیاری برای مقابله با ویروس ها (مشکلات مربوط به ویروس رو اینجا مطرح کنین)

سلام
internet security با انتی ویروس فرقش اینه که یه سری چیزای اضافی تر مثل firewall و antispyware و ... داره.
و در مورد این ویروس هم فرقی نداره کدومو نصب کنی. در مورد اپدیت سریعتر انتی ویروس فکر نمیکنم اینطور باشه.
چون هر انتی ویروسی تو زیر مجموعه ی internet security همون شرکت وجود داره و اگه بالفرض فقط خود ماژول انتی ویروس اپدیت بشه باید هر دوتا با هم اپدیت شن . پس فرقی نداره.
مگر اینکه در حالت خیلی خاصی ، فقط ماژول antispyware ش اپدیت شه که در اینصورت مال انتی ویروس نیست. ولی اصلا نیازی به توجه به این موضوع نیست.
سرعت اپدیت ها برابره .

از لحاظ اندازه ی فایل اپدیت هم زیاد با هم فرقی ندارن.
www.antivir.com رو هم امتحان کن ببین چیکار میکنه.

پاندا هم فکر کنم کنده.
راستش من قبلا یکی از ورژن های قدیمیشو نصب کردم که سرعتش واقعا افتضاح بود.
فکر کنم اسمش کوالا باشه بهتره. :mrgreen:

www.av-comparatives.org

**ocsillator** · 2008-12-16T16:47:00

پاسخ : همیاری برای مقابله با ویروس ها (مشکلات مربوط به ویروس رو اینجا مطرح کنین)

ابتدا بگم که چون رجیستری باز نمیشه میتونی از نرم افزارهایی که رجیستری رو باز می کنن استفاده کنی. ( یه سرچ کنی 10 تا پیدا میشه) . حالا راه حل اصلی و همه اطلاعات لازم رو بخون :

Win32.Sality.aa

Win32.Sality.aa Aliases as the different name for the same virus:Virus.Win32.Sality.aa (Kaspersky), Virus:Win32/Sality.AM (Microsoft), W32/Sality.ah (McAfee) %variable%.sys (5509 B)

%variable% stands for a random text.

The following files are dropped into the %temp% folder:
%variableA%.exe (7680 B)
%variableB%.exe (8192 B)
%variableA%, %variableB% stand for a random text. The files are then executed.

The virus registers itself as a system service using the following name: IPFILTERDRIVER

The following Registry entries are created:
[HKEY_CURRENT_USER\Software\%username%914]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\SharedAccess\Parameters\FirewallPolicy\Standard Profile\AuthorizedApplications\List]
“%filename%” = “%filename%:*:Enabled:ipsec”

The performed command creates an exception in the Windows Firewall program.

The following Registry entries are set:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Internet Settings]
“GlobalUserOffline” = 0
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\policies\system]
“EnableLUA” = 0
The following Registry entries are deleted:
[HKEY_USERS\Software\Microsoft\Windows\CurrentVersi on\Ext\Stats]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Ext\Stats]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Ext\Stats]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Explorer\Browser Helper Objects]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\Browser Helper Objects]
[HKEY_CURRENT_USER\System\CurrentControlSet\Control \SafeBoot]
[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Contro l\SafeBoot]
Tags: Win32.Sality.aa

Win32.Sality.aa Summary
# Virus Name:Win32.Sality.aa
# Detected By:Kaspersky antivirus program
# Virus Win32.Sality.aa Detected times:234561times
# Win32.Sality.aa Overall Risk:Medium 734562
# Win32.Sality.aa file size:3645620 bytes
# Win32.Sality.aawas first Detected by Kaspersky on Monday, August 18th, 2008 , 5:24 am,Win32.Sality.aa is a new threats of Hacking,Malware,Spam,worm. Remove Win32.Sality.aa instruction:
[color=red]
1.Temporarily Disable System Restore;2.Reboot computer in SafeMode;3.delte Win32.Sality.aa virus files and kill Win32.Sality.aa file task process(if have);4.Delete/Modify any values added to the registry by Win32.Sality.aa ;5.delete IE temp files,restart the computer and run a whole scan with Kaspersky. Win32.Sality.aa virus files as following[/color

]:

**anahita_hita** · 2008-12-26T01:08:23

پاسخ : همیاری برای مقابله با ویروس ها (مشکلات مربوط به ویروس رو اینجا مطرح کنین)

سلام
نمونه اون فایل ها که گفتم ایجاد می کنه رو پ کردم
می شه ببینینش؟

http://www.4shared.com/file/77560537/f297d57a/ReadMe.html

http://www.4shared.com/file/77561122/2453df0d/File.html

یه مشکلی که هست اینه که اون کامپیوتر مصدوم ، مودم و قابلیت اتصال به اینتر نت رو نداره در نتیجه نمی تونم آنتی ویروسش رو پدیت کنم
ضمنا ویروس رو از حالت اجرا خارج کردم و این فایلهایی که گفتم توی درایوا ایجاد می کنه رو پاک کردم اما باز چند لحظه بعد ایجاد شدن !!!
من نمی دونم باید چی کارش کنم.
الان هم این فایلا اومدن روی فلشم دوباره و من براتون پ کردم
راستی روی سیستم خودم Kasper sky پدیت شده دارم اما هیچ ویروسی رو روی فلشم تشخیص نمی ده!!!!!!!!!
با نود پدیت شده هم تست کردم اما اونم پیداش نکرد
لطفا راهنماییم کنین
ممنون

**abedjoon** · 2008-12-26T01:58:45

پاسخ : همیاری برای مقابله با ویروس ها (مشکلات مربوط به ویروس رو اینجا مطرح کنین)

سلام
خب یکی از راه ها اینه که این نام فایل ها رو به بلک لیست ویندوز اضافه کنین.
سعی کنین spybot search and destroy رو هم نصب کنین تا مواظب فایلای startup و اضافه نشدن ویروس به اونا بصورت فعال باشه. البته شما هم با جواب درست و به موقع دادن به سوالاش باید کمکش کنین . فقط هر چیزی رو با عجله نزنین. فقط یه چیزی که در مورد این نرم افزار باید عرض کنم اینه که اگه جلوی اضافه شد به startupآ‌ رو برا یه ویروس گرفتید و اونم داره تقلا میکنه این کارو بکنه و موفق نمیشه اینجا یادتو باشه از restart و shutdown برا بیرون رفتن استفاده نکنین. مستقیما دکمه ی reset رو بزنین. البته الان که شما اینطور فرمودین معلومه که ویروس خودشو به startup اضافه کرده ، پس باید با رفتن به msconfig اونو از لیست سرویس ها یا فایل های startup حذف کنید و spybot هم نباید جلوشو بگیره. یعنی در این مواقع باید به msconfig اجازه ی انجام کارو بدید.
البته من نمیگم این لزوما عمل میکنه . امکان داره ویروسه خودشو به بدنه ی فایلای حیاتی ویندوز بچسبونه و همراهشون بالا بیاد. اون موقع قضیه پیچیده تر میشه. چون من این ویروسو از نزدیک ندیدم (در حالت فعال ندیدم) و البته نمیدونم چه فایلا و سرویسایی رو به startupآ‌ اضافه میکنه نمیتونم بگم دقیقا چیکار کنید. ولی مطمئنم با بخرج دادن یه کم ابتکار (و البته حوصله) میتونید از پسش بر بیاید . :rolleyes:
ببنیید من بازم عرض میکنم مجموعه ای از کارای مختلف اگه کنارهم انجام بگیره اثرش خیلی بالاتره.
منظورم اینه که در کنار این کارا هم شما میتونید AUTORUN رو غیرفعال کنید. اینطوری عملا خطر autorun ویروس روی فلشتون به صفر میرسه و
چیزای دیگه ای که تو او تاپیک عرض کردم.

بعد اینکه 4shared هم خودش kaspersky داره در صورتیکه این ویروسو نشناخته شرم آوره:NO: :NO:
antivir رو امتحان کردید؟ فکر کنم اونو بشناسه.

نتیجه رو بفرمایید.

**abedjoon** · 2008-12-26T02:10:27

پاسخ : همیاری برای مقابله با ویروس ها (مشکلات مربوط به ویروس رو اینجا مطرح کنین)

سلام
آها به محض تموم شدن دانلود ، نود32 من اونو شناخت:
win32/Autorun.Delf.S worm
این اسم این کرم پسته.
ای بابا . خانم اناهیتا . خواهش میکنم از یک انتی ویروس اپدیت شده استفاده کنید. الان این مشکل باید زودتر و راحت تر و بی دردسرتر از اینا حل میشد ، اگه یه انتی ویروس اپدیت شده داشتید.
ولی الان اگه رو یه سیستمی که ویندوزش نود32 اپدیت شده رو داره این هاردو وصل کنین میتونین راحت این کرمو پاک کنین. ولی اگه رو همین کامپیوتر میخواین کار کنین نصب نود32 شما رو لزوما از انجام همه کارایی که تو پست قبلی یا تو اون تاپیک عرض کردم بی نیاز نمیکنه.

ولی به هر حال تبریک میگم. :applause:

**anahita_hita** · 2008-12-26T11:19:49

پاسخ : همیاری برای مقابله با ویروس ها (مشکلات مربوط به ویروس رو اینجا مطرح کنین)

سلام
به به ! چه خوب شد :applause:
یک قدم رو به جلو . مرسی آقای بابازاده
زحمت کشیدید

kasper خودم که پدیت شده است و نمی گیرتش . برای گرفتنش فلشم رو چند جا کافی نت هم بردم که نود پدیت شده و سیمانتک پدیت شده هم داشتن اما اونا هم نگرفتن
حالا نمی دونم شما چه جوری نودتون تونست بگیرتش
ولی بهرحال pc سرپرستم که به نت وصل نمی شه . هنوزم نمی دونم باید دقیقا چی کارش کنم

oo:
بهرحال از اینکه زحمت کشیدید و پیداش کردید خیلی ممنونم :job:

**abedjoon** · 2008-12-26T11:54:07

پاسخ : همیاری برای مقابله با ویروس ها (مشکلات مربوط به ویروس رو اینجا مطرح کنین)

سلام
خب راه های مختلفی هست برا حل مشکلی که فرمودین:
یه روش ، اپدیت افلاین که همون کپی فایلهای emxxxxx.dat از محل نصب نود32 هست.
یعنی شما نود رو نصب کنین . بعد برین فایل هایی که با em شروع میشن و پسوند dat دارن رو از پوشه ی نصب نود 32 اپدیت شده بریزین رو فلش و بعد کپی کنین تو پوشه ی نصب نود32 ای که رو کامپیوتر ویروسی نصب کردین. بعد یه ریست کنین تا ورژن نود32 اپدیت شده رو نشون بده.
انتی ویروس من اپدیتش برا 25/12/2008  بود که این فایلو شناخت.

**abedjoon** · 2008-12-26T12:41:49

پاسخ : همیاری برای مقابله با ویروس ها (مشکلات مربوط به ویروس رو اینجا مطرح کنین)

سلام دوستان
خواهش میکنم تاپیک جدید برا اینجور موارد نزنین .
چون فقط در اینصورت کار منو زیاد میکنین.
این تاپیک هم پیشنهاد arvinfx جان بود که ایجادش کردم.
خب یاعلی مدد ... کمربدها را ببیندیم.

**Ahp_online** · 2008-12-26T13:44:52

پاسخ : همیاری برای مقابله با ویروس ها (مشکلات مربوط به ویروس رو اینجا مطرح کنین)

سلام
دوستان همانطور که می دانید ویروس Autorun.inf را هیچ آنتی ویروسی نمی شناسه من یک نرم افزار پیدا کردم که شما وقتی اون را اجرا می کنید در تمام درایو های هارد و حتی فلش یک newfolder به اسم Autorun.inf می سازد که به صورت hiden است شما آن را پاک نکنید با این کار دیگر هارد شما این ویروس را نمی گیرد. این نرم افزار بسیار کم حجم را از لینک زیر دانلود کنید بعد از دانلود یک فایلی بنام Noautorun.bat وجود دارد آن را با کنید وبعد y را بزنید یک بار بیشتر نیاز نیست این کار را انجام بدید. بعد بر روی Noautoran2.bat کلیک کنید پس از اجرا USB Disk Security V5.0.0.76 (Portable).exe را کلیک کنید تا باز شود سپس به قسمت Usb tool رفته و Acquir immunti کلیک کنید و سپس با هر پیغام کلیک ok را بزنید با این کار فولدر روی تمام درایو ها کپی میشود اگر فلش شما وصل باشد روی فلش هم کپی می کند.

دقت داشته باشید که مراحل را به همین ترتیب انجام دهید چون امکان سوختن فلش هست ولی برای هارد مشکلی پیش نمی آید اگر مراحل را به همین ترتیب انجام دهید مشکلی پیش نمی آید.

فایل های پیوست شده

Anti.rar (976.6 کیلو بایت, 4 مشاهدات)

اطلاعیه

مشکلات مربوط به ویروس و انتی ویروس رو اینجا

دیدگاه

دیدگاه

دیدگاه

دیدگاه

دیدگاه

دیدگاه

دیدگاه

دیدگاه

دیدگاه

دیدگاه

دیدگاه

دیدگاه

دیدگاه

دیدگاه

دیدگاه