هر چی دلت بخواد کامپیوتر -موبایل-ماهواره
کامپیوتر -موبایل-ماهواره - نرم افزار- آموزش- عکس موزیک -کلیپ کرک و سریال برنامه ها و....هر چی دلت بخواد کامپیوتر -موبایل-ماهواره
کامپیوتر -موبایل-ماهواره - نرم افزار- آموزش- عکس موزیک -کلیپ کرک و سریال برنامه ها و....برنامه ازبین بردن ویروس جدید Kazme_gheyz.exe (یا همان TR/Crypt.C
را میتوانید از لینک زیر دریافت کنید (لینک اصلاح گردید) :
لینک مستقیم دانلود Kazm Remover حجم : 450 کیلوبایت / نوع فایل : Zip
( این ویروس توسط یک ایرانی ساخته شده )
قبل از دانلود لطفا به توضیحات زیر نیز توجه کنید :ابتدا برنامه را از حالت فشرده خارج کنید ( کلیک راست روی فایل و انتخاب Extract Files ).
سپس برنامه را یکبار اجرا کنید و سپس سیستم را ری استارت کنید و مجددا برنامه را اجرا کنید .
قبل از ری استارت کردن سیستم ، در پنجره RUN عبارت Regedit.exe را نوشته و اجرا کنید تا وارد برنامه ویرایش رجیستری شوید .
سپس به منوی EDIT
رفته و گزینه Find
را انتخاب کنید و در آن عبارت Kazm را بنویسید
و هر عبارتی که پیدا کردید آن را حذف کنید و همینطور ادامه دهید و کلیه این عبارات در رجیستری را پاک کنید . ( با زدن F3 عبارت بعدی جستجو می شود ).
توجه : بهیچوجه در طی انجام این کارها روی درایوها دابل کلیک نکنید چون ویروس مجددا فعال می شود .
برای باز کردن درایو در پنجره RUN نام درایو مورد نظر به همراه یک دونقطه بنویسید و OK بزنید .
مثلا برای باز کردن درایو سی
روی ادامه مطلب کلیک کنید
را میتوانید از لینک زیر دریافت کنید (لینک اصلاح گردید) :
لینک مستقیم دانلود Kazm Remover حجم : 450 کیلوبایت / نوع فایل : Zip
قبل از دانلود لطفا به توضیحات زیر نیز توجه کنید :ابتدا برنامه را از حالت فشرده خارج کنید ( کلیک راست روی فایل و انتخاب Extract Files ).
سپس برنامه را یکبار اجرا کنید و سپس سیستم را ری استارت کنید و مجددا برنامه را اجرا کنید .
قبل از ری استارت کردن سیستم ، در پنجره RUN عبارت Regedit.exe را نوشته و اجرا کنید تا وارد برنامه ویرایش رجیستری شوید .
سپس به منوی EDIT
رفته و گزینه Find
را انتخاب کنید و در آن عبارت Kazm را بنویسید
و هر عبارتی که پیدا کردید آن را حذف کنید و همینطور ادامه دهید و کلیه این عبارات در رجیستری را پاک کنید . ( با زدن F3 عبارت بعدی جستجو می شود ).
توجه : بهیچوجه در طی انجام این کارها روی درایوها دابل کلیک نکنید چون ویروس مجددا فعال می شود .
برای باز کردن درایو در پنجره RUN نام درایو مورد نظر به همراه یک دونقطه بنویسید و OK بزنید .
مثلا برای باز کردن درایو سی
را بنویسید .
برای آنکه دوباره به این ویروس آلوده نشوید یک آنتی ویروس بروز شده نصب کنید و همچنین سی دی ها و فلش مموری های خود را نیز اسکن کنید .
برای آشنایی با عملکرد این ویروس و دیگر اطلاعات راجع به آن به مقاله زیر را بخوانید.
( اختصاصی www.ACS.ir )
ویروس W32/Nahkos.E.worm (نامگذاری پاندا ) یا TR/Crypt.CFI.Gen (نامگذاری آنتی وایر) که با ایجاد فایلی به نام Kazme__gheyz.exe در تمامی درایوها شناخته می شود اخیرا با تغییراتی درونی مجددا انتشار یافته است . ( این ویروس توسط یک ایرانی ساخته شده )
تقریبا تمامی انتی ویروسهای معروف (به جز Panda و Avira AntiVir ) از شناخت و حذف کامل این ویروس عاجزند .
نسخه قبلی این ویروس که با نام P2P-Worm.Win32.Malas.d شناخته میشد در حال حاضر تقریبا توسط تمام آنتی ویروسهای معروف قابل شناسایی و حذف است .
آنتی ویروس Panda هر دو نسخه جدید و قبلی را با نام W32/Nahkos.E.worm می شناسد .
لینک پاندا در مورد این ویروس :
من نسخه ای از فایل اصلی این ویروس را که 65 کیلوبایت حجم داشت را در سایت www.Virustotal.com آپلود کردم که جدول زیر نتیجه بررسی آن توسط آنتی ویروسهای معروف جهان را نشان می دهد :
(CET) By Eliass Maleki Moaf / www.ACS.IR
File size: 66560 bytes
Result: 12/32 : 37.5%
Antivirus | Version | Last Update | Result |
AhnLab-V3 | 2008.5.22.1 | 2008.05.26 | - |
AntiVir | 7.8.0.19 | 2008.05.26 | TR/Crypt.CFI.Gen |
Authentium | 5.1.0.4 | 2008.05.26 | W32/VB-EMU:VB-Backdoor-HRS-based!Maximus |
Avast | 4.8.1195.0 | 2008.05.26 | - |
AVG | 7.5.0.516 | 2008.05.25 | - |
BitDefender | 7.2 | 2008.05.26 | - |
CAT-QuickHeal | 9.50 | 2008.05.24 | - |
ClamAV | 0.92.1 | 2008.05.26 | - |
DrWeb | 4.44.0.09170 | 2008.05.26 | BACKDOOR.Trojan |
eSafe | 7.0.15.0 | 2008.05.25 | Suspicious File |
eTrust-Vet | 31.4.5823 | 2008.05.26 | - |
Ewido | 4.0 | 2008.05.26 | - |
F-Prot | 4.4.4.56 | 2008.05.23 | W32/VB-EMU:VB-Backdoor-HRS-based!Maximus |
F-Secure | 6.70.13260.0 | 2008.05.26 | Suspicious:W32/Malware!Gemini |
Fortinet | 3.14.0.0 | 2008.05.26 | Intete!tr |
GData | 2.0.7306.1023 | 2008.05.23 | - |
Ikarus | T3.1.1.26.0 | 2008.05.26 | Trojan.Crypt.CFI |
Kaspersky | 7.0.0.125 | 2008.05.26 | - |
McAfee | 5302 | 2008.05.23 | - |
Microsoft | 1.3520 | 2008.05.26 | - |
NOD32v2 | 3131 | 2008.05.26 | - |
Norman | 5.80.02 | 2008.05.23 | W32/Smalltroj.EGPF |
Panda | 9.0.0.4 | 2008.05.25 | W32/Nahkos.E.worm |
Prevx1 | V2 | 2008.05.26 | - |
Rising | 20.46.02.00 | 2008.05.26 | - |
Sophos | 4.29.0 | 2008.05.26 | Mal/Behav-210 |
Sunbelt | 3.0.1123.1 | 2008.05.17 | - |
Symantec | 10 | 2008.05.26 | - |
TheHacker | 6.2.92.318 | 2008.05.23 | - |
VBA32 | 3.12.6.6 | 2008.05.26 | - |
VirusBuster | 4.3.26:9 | 2008.05.25 | - |
Webwasher-Gateway | 6.6.2 | 2008.05.26 | Trojan.Crypt.CFI.Gen |
با نگاهی به نتیجه بررسی و اسکن فایل Kazme__gheyz.exe توسط لابراتوار VirusTotal متوجه خواهید شد که Kaspersky Internet Security , McAfee , Bitdefender , Nod32 و همچنین AVG قادر به شناسایی این فایل آلوده نیستند !این ویروس دقیقا مانند ویروس مالاس (یا سالدوست) در کلیه درایوها کامپیوتر فایلی به نام Autorun.inf ایجاد می کند و با دابل کلیک روی هر درایو مجددا فعال و اجرا می شود .
در صورتیکه این دو فایل را حذف کنیم در عرض چند ثانیه مجددا ایجاد می شود و دوباره نسخه ای از خود را در کلیه درایوها کپی می کند !
همچنین به محض اتصال فلش دیسک یا کارت مموری به سیستم ، نسخه ای از ویروس به این حافظه ها منتقل می شوند .
از جمله نکات جالبی که در مورد این ویروس باید به آن اشاره کردن اینست که به محض اجرا شدن در سیستم ، آنتی ویروس موجود در سیستم را ازکار می اندازد .
من فایل Kazme__gheyz.exe را در سیستم خودم که روی آن NOD32 آپدیت شده نصب بود ، اجرا کردم و با کمال تعجب نه تنها NOD32 نتوانست این ویروس را شناسایی کند بلکه سیستم پس از چند لحظه ری استارت شد و NOD32 نیز کاملا از کار افتاد ! و با اجرای مجدد آن با پیام زیر مواجه شدم :همچنین بر روی سیستم دیگری که کسپرسکی اینترنت سکیوریتی 7 آپدیت شده نصب بود نیز این ویروس موجب از کارافتادن ویروس کش شد !
فایل Autorun.inf ایجاد شده توسط این ویروس (Malas.D.1 ) تقریبا توسط همه آنتی ویروسها شناخته میشود ولی بدلیل ذخیره فایلهای پشتیبان این ویروس در مسیرهای مختلف سیستم ، این فایل نیز مجددا ایجاد می شود .
این فایل حاوی عبارات زیر است :
shell\AutoPlay=Open Safely...
shell\AutoPlay\Command=kazme__gheyz.exe /open
shell\open=Open
shell\open\Command=kazme__gheyz.exe /open
shell\open\Default=1
shell\explore=Explore
shell\explore\Command=kazme__gheyz.exe /Explore
توجه کنید که تمام فایلهای ایجاد شده توسط این ویروس خصوصیت مخفی (Hidden) و سیستمی (System) دارند و در حالت عادی قابل مشاهده نیستند .
نکته : برای مشاهد کلیه فایلهای مخفی و همچنین سیستمی میبایست وارد My computer شده و به مسیر زیر بروید :
سپس گزینه Show Hidden Files And folders را تیکدار
و گزینه Hide Protected Operating System Files را از حالت انتخاب خارج نمایید .طریقه حذف :از آنجایی که این نسخه نسبت به نسخه قبلی تغییر کرده است ، اطلاعات دقیقی از روش حذف و عملکرد آن توسط لابراتوارهای امنیتی ارائه نشده و به نکاتی ساده بسنده شده است و موارد گفته شده نتیجه تجربیات خودم میباشد .
در نسخه قبلی می توانستید با پیدا کردن فایل Kazme__gheyz.exe در TaskManager و بستن آن و حذف دستی کلیه فایلهایی که مشابه آن هستند و همچنین حذف مدخلهای رجیستری ایجاد شده ( با جستجوی کلمه Kazm در رجیستری ) این ویروس را حذف کنید . همچنین میتوانید اینجا ویا اینجا مطالعه کنید .
نسخه قبلی در مواردی رجیستری و TaskManager را از کار می انداخت که برای رفع مشکلات فوق میتوانید به مقالات دیگر من مراجعه کنید .
برای حذف کامل نسخه جدید این ویروس ( که 65 کیلوبایت حجم دارد ) بهترین توصیه من استفاده از آنتی ویروس Avira Antivir میباشد ( البته باید بروز شده باشد ).
اما نسخه جدید به جز کپی فایل Kazme__gheyz.exe و Autorun.inf در کلیه درایوها ، دو فایل با نام Service.exe و FSP32.exe را در Windows\System32 و نیز فایلی با نام Virus.exeرا در پوشه Windows ایجاد می کند .
لذا هربار که فایلها را از درایوها پاک کنید ، دوباره ایجاد می شوند .
در بعضی از سیستمها فایل دیگری نیز در مسیر windows\system32\drivers توسط این ویروس ایجاد می شود که باز 65 کیلوبایت است و hideproc.sys نام دارد اما با نام TR/Click.VB.QJ.9 که یک نوع تروجان است شناخته می شود (نامگذاری آنتی وایر)
این ویروس همچنین در رجیستری ویندوز در مسیر
متغیری به نام Shell ایجاد می کند که موجب می شود تا با هربار اجرای Explorer.exe این ویروس مجددا ایجاد و فعال گردد.
این ویروس صفحه خانگی و شروع (HomePage) اینترنت اکسپلورر را به آدرس
http://www.kazemjoon.mihanblog.com که آدرس یکی از توزیع کنندگان ایرانی این تروجان است تغییر می دهد .
با حذف فایلهای گفته شده و همچنین حذف مسیر رجیستری فوق ویروس ازبین می رود .
نکته بسیار مهم : در طی انجام عمل پاکسازی هیچ درایوی را با دابل کلیک باز نکنید و تنها از طریق نوشتن نام درایو به همراه دونقطه در پنجره RUN درایو مورد نظر را باز کنید .
