با سلام خدمت همه اساتید
در همه درایوهای سیستم من این دو تا فایل به نامهای kazme__gheyz.exe و autorun.inf ایجاد شده اند، ضمنا صفحه home page اینترنت ایکپلورر هم به
http://www.kazmegheyz.zip.io تغییر کرده است. چیز دیگه ای نمی دونم. لطفا کمکم کنید. من تازه کارم و نیاز به کمک اساتید دارم.
سلام دوست عزيز
قبلا در هيمن بخش مفصلا در مورد نحوه از بين بردن اين ويروس توضيح دادم و ديگر دوستان هم روي اون فعاليت كردن.
اصلا نگران نباشيد چيز مهمي نيست و به سادگي مي تونيد با استفاده از راهنمائي هاي دوستان از شرش خلاص بشيد من هم سعي مي كنم روش كار كنم و آنتي اون رو بزارم رو سايت چون ظاهرا سيستم هاي زيادي به اون آلوده شدن.
درباره این ویروس توی سایت زیاد بحث شد اما این آنتی رو ندیدم کسی بده.
آنتی این ویروس توسط خود نویسنده ویروس ساخته شده که بهتر از بقیه کار میکنه و حتی تنظیماتی رو که ویروس توی ویندوز تغییر داده رو به حالت اول بر میگردونه...
ضمنا با توجه به اینکه این ویروس در چند ورژن مختلف منتشر شد این آنتی برای تمام ورژن ها ساخته شده
پیوست شد
این دکمه تشکر را ندیدین ؟؟؟؟
دلیلش بروز شدنه mybb هستش که آقا هادی زحمتشو کشیدن یکم همه چیز بهم ریخته بزودی همه چیز درست میشه
سلام
--------------
این اطلا عات هم واسه کمک به نوشتن آنتی این ویروس هست و واسه کمک به پاک کردن دستی
خودم با تابع ExitProcces کتاب خانه Kernel32 مشکل پیدا کردم ، نمیتونم آنتی ویروس رو بنویسم.
البته من هنور دلیل اینکه چرا این قدر راحت پاک میشه رو نفهمیدم ، از جایی هم که سازندش به جای استفاده از توابع API برای بدست آوردن لیست درایو ها و پوشه ها از کنترل های Dir و Drive استفاده کرده ، که سرعت کند تری دارن،به نظر میرسه نا شی باشه ، اما خیلی خوب تونسته پخشش کنه ، که بازم چگونگیش واسه من جای سواله .
-----------------------------
اول باید ویروس رو از پروسس خارج کنین.(نه با Task Manager ، چون بجای این برنامه ویروس اجرا میشه،، با هر برنامه ایی که پروسس رو میبنده مثل LordPE )
------
بعد با Explorer (اول با حالت explorer وارد my computer بشین و بعد ،،،، منظورم exploreri که تو راست کلیک روی درایو ها هست ، نیست) داخل درایو ها بشین و ویروس و فایل اتو رانش رو پاک کنین
اگه از طریق گزینه هایی که تو راست کلیک درایو ها هست وارد درایو بشین ، ویروس اجرا میشه ، و همه زحمتاتون به باد میره ، این کلید ها هم برای همون درایو در رجستری ساخته میشه
HKEY_USERS\S-1-5-21-796845957-492894223-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{783ce383-5f58-11dd-bd8e-806d6172696f}\Shell\open\Command (Default=J:\kazme__gheyz.exe /open)
HKEY_USERS\S-1-5-21-796845957-492894223-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{783ce383-5f58-11dd-bd8e-806d6172696f}\Shell\explore\Command (Default=J:\kazme__gheyz.exe /Explore)
HKEY_USERS\S-1-5-21-796845957-492894223-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{783ce383-5f58-11dd-bd8e-806d6172696f}\Shell\AutoPlay\Command (Default=J:\kazme__gheyz.exe /open)
(که البته شاید این SID ها تو کامپوتر شما یه چیز دیگه باشه)
-- اگه اول فایل kazme__gheyz.exe رو تو پوشه system 32 پاک کنین ، بهتره--
-----
طریقه ی بالا اومدنش با این کلید هست :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon (Shell=%HOMEDRIVE%\windows\explorer.exe, kazme__gheyz.exe)
------
اگه این 4 تا دستور رو تو run بزنید و یا اجرا کنین برنامه اجرا میشه :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe (Debugger=kazme__gheyz.exe)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit.exe (Debugger=kazme__gheyz.exe)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mmc.exe (Debugger=kazme__gheyz.exe)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\cmd.exe (Debugger=kazme__gheyz.exe)
-----
امکان داره بعد از پاک کردن ، بعضی از درایوا ، هنگام داخل شدن،ERROR بدن ، که دلیلش پاک کردن کلید هایی هست که تو مرحله 2 گفتم ، با ری اسارت کردن درست میشه (دقت کنید که حتما کلیدی که تو مرحله 3 گفتم پاک کنید تا دیگه بالا نیاد)
اگه میپرسید چطوری این کلید ها رو پاک کنیم ،در حالی که اگه وارد رجیستری بشیم برنامه اجرا میشه، میتونید اول برنامه رو از پروسس خارج کنید ، و بعد فایلی که ضمیمه کردم رو بگیرید،کلیک راست کنید،و گزینه INSTALL رو بزنید ، حالا به regedit دسترسی دارین ، (بازم تاکید میکنم حتما از procces باید خارخ کنید ویروس رو).
آخر سر هم تو رجیستری kazme__gheyz.exe رو سرج کنید و نتایج رو پاک کنید ، من تقریبا 30 تا کلید پیدا کرده بودم .
یا حق