هر چی دلت بخواد کامپیوتر -موبایل-ماهواره

کامپیوتر -موبایل-ماهواره - نرم افزار- آموزش- عکس موزیک -کلیپ کرک و سریال برنامه ها و....

هر چی دلت بخواد کامپیوتر -موبایل-ماهواره

کامپیوتر -موبایل-ماهواره - نرم افزار- آموزش- عکس موزیک -کلیپ کرک و سریال برنامه ها و....

برنامه ازبین بردن ویروس جدید Kazme_gheyz.exe (یا همان TR/Crypt.C

برنامه ازبین بردن ویروس جدید Kazme_gheyz.exe (یا همان TR/Crypt.CFI.GEN )
را میتوانید از لینک زیر دریافت کنید (لینک اصلاح گردید)  :
 
لینک مستقیم دانلود Kazm Remover  حجم :   450 کیلوبایت / نوع فایل : Zip

( این ویروس توسط یک ایرانی ساخته شده )

قبل از دانلود لطفا به توضیحات زیر نیز توجه کنید :ابتدا برنامه را از حالت فشرده خارج کنید ( کلیک راست روی فایل و انتخاب Extract Files ).
سپس برنامه را یکبار اجرا کنید و سپس سیستم را ری استارت کنید و مجددا برنامه را اجرا کنید .
قبل از ری استارت کردن سیستم ، در پنجره  RUN عبارت   Regedit.exe  را نوشته و اجرا کنید تا وارد برنامه ویرایش رجیستری شوید .
سپس به منوی  EDIT
رفته و گزینه  Find
را انتخاب کنید و در آن عبارت  Kazm را بنویسید
و هر عبارتی که پیدا کردید آن را حذف کنید و همینطور ادامه دهید و کلیه این عبارات در رجیستری را پاک کنید . ( با زدن F3 عبارت بعدی جستجو می شود ).
توجه : بهیچوجه در طی انجام این کارها روی درایوها دابل کلیک نکنید چون ویروس مجددا فعال می شود .
برای باز کردن درایو در پنجره  RUN نام درایو مورد نظر به همراه یک دونقطه بنویسید و OK بزنید .
مثلا برای باز کردن درایو سی

:C
روی ادامه مطلب کلیک کنید
برنامه ازبین بردن ویروس جدید Kazme_gheyz.exe (یا همان TR/Crypt.CFI.GEN )
را میتوانید از لینک زیر دریافت کنید (لینک اصلاح گردید)  :
 
لینک مستقیم دانلود Kazm Remover  حجم :   450 کیلوبایت / نوع فایل : Zip


قبل از دانلود لطفا به توضیحات زیر نیز توجه کنید :ابتدا برنامه را از حالت فشرده خارج کنید ( کلیک راست روی فایل و انتخاب Extract Files ).
سپس برنامه را یکبار اجرا کنید و سپس سیستم را ری استارت کنید و مجددا برنامه را اجرا کنید .
قبل از ری استارت کردن سیستم ، در پنجره  RUN عبارت   Regedit.exe  را نوشته و اجرا کنید تا وارد برنامه ویرایش رجیستری شوید .
سپس به منوی  EDIT
رفته و گزینه  Find
را انتخاب کنید و در آن عبارت  Kazm را بنویسید
و هر عبارتی که پیدا کردید آن را حذف کنید و همینطور ادامه دهید و کلیه این عبارات در رجیستری را پاک کنید . ( با زدن F3 عبارت بعدی جستجو می شود ).
توجه : بهیچوجه در طی انجام این کارها روی درایوها دابل کلیک نکنید چون ویروس مجددا فعال می شود .
برای باز کردن درایو در پنجره  RUN نام درایو مورد نظر به همراه یک دونقطه بنویسید و OK بزنید .
مثلا برای باز کردن درایو سی

:C

را بنویسید .
برای آنکه دوباره به این ویروس آلوده نشوید یک آنتی ویروس بروز شده نصب کنید و همچنین سی دی ها و فلش مموری های خود را نیز اسکن کنید .
برای آشنایی با عملکرد این ویروس و دیگر اطلاعات راجع به آن به مقاله زیر را بخوانید.

عملکرد تروجان Kazme_gheyz.exe  بهمراه روش حذف و ازبین بردن این ویروس
( اختصاصی www.ACS.ir )

ویروس W32/Nahkos.E.worm (نامگذاری پاندا ) یا TR/Crypt.CFI.Gen (نامگذاری آنتی وایر) که با ایجاد فایلی به نام Kazme__gheyz.exe در تمامی درایوها شناخته می شود اخیرا با تغییراتی درونی مجددا انتشار یافته است . ( این ویروس توسط یک ایرانی ساخته شده )


تقریبا تمامی انتی ویروسهای معروف (به جز Panda و Avira AntiVir ) از شناخت و حذف کامل این ویروس عاجزند .
نسخه قبلی این ویروس که با نام P2P-Worm.Win32.Malas.d شناخته میشد در حال حاضر تقریبا توسط تمام آنتی ویروسهای معروف قابل شناسایی و حذف است .
 آنتی ویروس Panda هر دو نسخه جدید و قبلی را با نام W32/Nahkos.E.worm می شناسد .

لینک پاندا در مورد این ویروس :
من نسخه ای از فایل اصلی این ویروس را که 65 کیلوبایت حجم داشت را در سایت www.Virustotal.com آپلود کردم که جدول زیر نتیجه بررسی آن توسط آنتی ویروسهای معروف جهان را نشان می دهد :
File kazme__gheyz.exe received on 05.26.2008 15:26:47
 (CET) By Eliass Maleki Moaf / www.ACS.IR
File size: 66560 bytes
Result: 12/32 : 37.5%

Antivirus

Version

Last Update

Result

AhnLab-V3

2008.5.22.1

2008.05.26

-

AntiVir

7.8.0.19

2008.05.26

TR/Crypt.CFI.Gen

Authentium

5.1.0.4

2008.05.26

W32/VB-EMU:VB-Backdoor-HRS-based!Maximus

Avast

4.8.1195.0

2008.05.26

-

AVG

7.5.0.516

2008.05.25

-

BitDefender

7.2

2008.05.26

-

CAT-QuickHeal

9.50

2008.05.24

-

ClamAV

0.92.1

2008.05.26

-

DrWeb

4.44.0.09170

2008.05.26

BACKDOOR.Trojan

eSafe

7.0.15.0

2008.05.25

Suspicious File

eTrust-Vet

31.4.5823

2008.05.26

-

Ewido

4.0

2008.05.26

-

F-Prot

4.4.4.56

2008.05.23

W32/VB-EMU:VB-Backdoor-HRS-based!Maximus

F-Secure

6.70.13260.0

2008.05.26

Suspicious:W32/Malware!Gemini

Fortinet

3.14.0.0

2008.05.26

Intete!tr

GData

2.0.7306.1023

2008.05.23

-

Ikarus

T3.1.1.26.0

2008.05.26

Trojan.Crypt.CFI

Kaspersky

7.0.0.125

2008.05.26

-

McAfee

5302

2008.05.23

-

Microsoft

1.3520

2008.05.26

-

NOD32v2

3131

2008.05.26

-

Norman

5.80.02

2008.05.23

W32/Smalltroj.EGPF

Panda

9.0.0.4

2008.05.25

W32/Nahkos.E.worm

Prevx1

V2

2008.05.26

-

Rising

20.46.02.00

2008.05.26

-

Sophos

4.29.0

2008.05.26

Mal/Behav-210

Sunbelt

3.0.1123.1

2008.05.17

-

Symantec

10

2008.05.26

-

TheHacker

6.2.92.318

2008.05.23

-

VBA32

3.12.6.6

2008.05.26

-

VirusBuster

4.3.26:9

2008.05.25

-

Webwasher-Gateway

6.6.2

2008.05.26

Trojan.Crypt.CFI.Gen



با نگاهی به نتیجه بررسی و اسکن فایل  Kazme__gheyz.exe توسط لابراتوار VirusTotal متوجه خواهید شد که Kaspersky Internet Security , McAfee , Bitdefender , Nod32  و همچنین AVG قادر به شناسایی این فایل آلوده نیستند !این ویروس دقیقا مانند ویروس مالاس (یا سالدوست) در کلیه درایوها کامپیوتر فایلی به نام Autorun.inf ایجاد می کند و با دابل کلیک روی هر درایو مجددا فعال و اجرا می شود .

 در صورتیکه این دو فایل را حذف کنیم در عرض چند ثانیه مجددا ایجاد می شود و دوباره نسخه ای از خود را در کلیه درایوها کپی می کند !
همچنین به محض اتصال فلش دیسک یا کارت مموری به سیستم ، نسخه ای از ویروس به این حافظه ها منتقل می شوند .
از جمله نکات جالبی که در مورد این ویروس باید به آن اشاره کردن اینست که به محض اجرا شدن در سیستم ، آنتی ویروس موجود در سیستم را ازکار می اندازد .

من فایل Kazme__gheyz.exe را در سیستم خودم که روی آن NOD32  آپدیت شده نصب بود ، اجرا کردم و با کمال تعجب نه تنها NOD32 نتوانست این ویروس را شناسایی کند بلکه سیستم پس از چند لحظه ری استارت شد و  NOD32 نیز کاملا از کار افتاد ! و با اجرای مجدد آن با پیام زیر مواجه شدم :همچنین بر روی سیستم دیگری که کسپرسکی اینترنت سکیوریتی 7  آپدیت شده نصب بود نیز این ویروس موجب از کارافتادن ویروس کش شد !
فایل  Autorun.inf  ایجاد شده توسط این ویروس (Malas.D.1 )  تقریبا توسط همه آنتی ویروسها شناخته میشود ولی بدلیل ذخیره فایلهای پشتیبان این ویروس در مسیرهای مختلف سیستم ، این فایل نیز مجددا ایجاد می شود .
این فایل حاوی عبارات زیر است :

 OPEN=kazme_gheyz.exe
shell\AutoPlay=Open Safely...
shell\AutoPlay\Command=kazme__gheyz.exe /open
shell\open=Open
shell\open\Command=kazme__gheyz.exe /open
shell\open\Default=1
shell\explore=Explore
shell\explore\Command=kazme__gheyz.exe /Explore


توجه کنید که تمام فایلهای ایجاد شده توسط این ویروس خصوصیت مخفی (Hidden) و سیستمی (System) دارند و در حالت عادی قابل مشاهده نیستند .

نکته : برای مشاهد کلیه فایلهای مخفی و همچنین سیستمی میبایست وارد My computer‌ شده و به مسیر زیر بروید :

Tools=>Folder Option=>View


سپس گزینه Show Hidden Files And folders‌ را تیکدار
و گزینه Hide Protected Operating System Files‌  را از حالت انتخاب خارج نمایید .طریقه حذف :از آنجایی که این نسخه نسبت به نسخه قبلی تغییر کرده است ، اطلاعات دقیقی از روش حذف  و عملکرد آن توسط لابراتوارهای امنیتی ارائه نشده و به نکاتی ساده بسنده شده است و موارد گفته شده نتیجه تجربیات خودم میباشد .
در نسخه قبلی می توانستید با پیدا کردن فایل Kazme__gheyz.exe در TaskManager و بستن آن و حذف دستی کلیه فایلهایی که مشابه آن هستند  و همچنین حذف مدخلهای رجیستری ایجاد شده ( با جستجوی کلمه Kazm در رجیستری ) این ویروس را حذف کنید . همچنین میتوانید اینجا  ویا اینجا  مطالعه کنید .
نسخه قبلی در مواردی رجیستری و TaskManager را از کار می انداخت که برای رفع مشکلات فوق میتوانید به مقالات دیگر من مراجعه کنید .

برای حذف کامل نسخه جدید این ویروس ( که 65 کیلوبایت حجم دارد ) بهترین توصیه من استفاده از آنتی ویروس Avira Antivir میباشد ( البته باید بروز شده باشد ).
اما نسخه جدید به جز کپی فایل Kazme__gheyz.exe  و Autorun.inf در کلیه درایوها ، دو فایل با نام Service.exe و FSP32.exe را در Windows\System32 و نیز فایلی با نام Virus.exe‌را در پوشه Windows ایجاد می کند .
لذا هربار که فایلها را از درایوها پاک کنید ، دوباره ایجاد می شوند .
در بعضی از سیستمها فایل دیگری نیز در مسیر windows\system32\drivers  توسط این ویروس ایجاد می شود که باز 65 کیلوبایت است و hideproc.sys نام دارد اما با نام TR/Click.VB.QJ.9 که یک نوع تروجان است شناخته می شود (نامگذاری آنتی وایر‌)
این ویروس همچنین در رجیستری ویندوز در مسیر

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon


متغیری به نام Shell ایجاد می کند که موجب می شود تا با هربار اجرای Explorer.exe این ویروس مجددا ایجاد و فعال گردد.
این ویروس صفحه خانگی و شروع (HomePage) اینترنت اکسپلورر را به آدرس
http://www.kazemjoon.mihanblog.com که آدرس یکی از توزیع کنندگان ایرانی این تروجان است تغییر می دهد .
با حذف فایلهای گفته شده و همچنین حذف مسیر رجیستری فوق ویروس ازبین می رود .
نکته بسیار مهم : در طی انجام عمل پاکسازی هیچ درایوی را با دابل کلیک باز نکنید و تنها از طریق نوشتن نام درایو به همراه دونقطه در پنجره RUN درایو مورد نظر را باز کنید .
آ-ر-آ یکشنبه 26 آبان‌ماه سال 1387 ساعت 06:42 ب.ظ
نظرات 0 + ارسال نظر
برای نمایش آواتار خود در این وبلاگ در سایت Gravatar.com ثبت نام کنید. (راهنما)
ایمیل شما بعد از ثبت نمایش داده نخواهد شد