چرا نود 32 با اینکه ویروس پیدا میکنه ولی پاکش نمیکنه

[Service Manual]

سلام

دیشب یک سیستم مشتری برای من آورده بود که ویروسی بود. ویروسهاش رو با کاسپر زدم بگیره. 2746 ویروس پیدا کرد!! بعد که همه رو پاک کرد دیدم رجیستری و سی ام دی و دیوایس منیجر و تاسک منیجر اجرا نمیشن. ولی با قفل کردن عادی فرق داشتند و وقتی اجراشون میکردی میگفت اصلا همچین فایلی نیست:
windows cannot find 'regedit'

خلاصه نمیشد هیچجوری وارد اینها شد. تو اینترنت خیلی گشتم. سایتهای ایرانی که یکی دو جا کاربرها همین مشکل رو داشند که بعضی هم آنتی ویروسشون نود32 بود بعضی کاسپر و بعد از ویروس کشی دقیقا همین مشکل رو داشتند ولی به جواب نرسیده بودند

سایتهای خارجی هم همینطور بود. همه راه حلهای طولانی داده بودند که هیچ یک جواب نمیداد

به بدبختی راه حلی براش پیدا کردم و فایل HOST رو ویرایش کردم و موفق شدم regedit رو اون هم با یک فایل جانبی باز کنم. که وقتی بازش کردم کلیدهای این ابزارها رو سرچ کردم و دیدم یک جایی به عنوان فایل دیگری تعریف شدند و برای همین اجرا نمیشن. و برشون داشتم و درست شد.

حالا که کلیدهای ویروس رو پیدا کرده بودم برای اینکه ببینم هیچ جایی راه حل داشته یا نه تو اینترنت کلیدهای فوق رو سرچ کردم و چندتا سایت آمد. همه آنها یک مطلب رو کپی کرده بودند و گفته شده بود از نرم افزار malwarebytes استفاده کنید. !!

من که امروز این رو تست نکرده بودم کنجکاو شدم و دوباره کلیدهایی که ویروس ایجاد کرده بود برگردوندم و بعد از نصب و آپدیت این آنتی مالوار زدم روی حالت quick رجیستری و ریشه ویندوز رو سرچ کردم و بلافاصله کلیدها رو شناسایی و حدف کرد!

من عکس و log فایل رو براتون اینجا اضافه میکنم که ببینید. این یکی از موردهایی بود که گفتم این آنتی مالوار شاهکار میکنه! و معمولا ویروسهایی که هیچ آنتی ویروسی نمیشناسه این حذف میکنه. اگر اول این رو تست کرده بودم نیاز به این همه وقتی که گذاشتم برای حذف دستی نبود

مشاهده فایل‌پیوست 36759
​

سلام

قبلا يک نرم افزار براي ويندوز XP گذاشته بودم ، فکر مي کنم اين مشکلات رو حل کنه ، ويروس هاي قديمي هم که باعث بروز مشکلات در ويندوز XP ميشن بعد از نصب آنتي ويروس Eset Smart Security پاک خواهند شد اما تغييراتي که ويروس در رجيستري داده رو اصلاح نمي کنند ! حتي اگر سيستم شما يک ويروس Autorun قديمي مربوط به چند سال پيش گرفته باشه بعد از نصب آنتي ويروس پاک ميشه اما تغييرات ايجاد شده در رجيستري مثل باز نشدن Regedit يا MSConfig و .... اصلاح نميشه ! حالا دليلش چيه من نميدونم ، اما اينو مطمئنم که اگر ميخواستند يک تغيير ساده در رجيستري توسط آنتي ويروس ايجاد کنند ميتونستند اما براي چي اينکار رو نمي کنند نمي دونم ؟

باز يابي فولدر آپشن ، رجيستري اديتور و .....​

 

[nekooee]

آره برای من هم جالبه که چرا اینکار رو نمیکنند. البته بعضی تغییرات رو شاید برای این اعمال نمیکنند که مثلا میگن شاید ادمین ویندوز خودش رجیستری رو غیر فعال کرده و نمیخواد باز بشه! اما در مورد ویروسی که بالا گفتم یک سری کلید اضافه شده بود که مثلا رجیستری رو به عنوان یک فایل عکس معرفی میکرد و کامالا مشخصه چنین کلیدی فقط توسط ویروس ایجاد شده.!

این ویروسه از یک ترفند جدید برای از کار انداختن اینها استفاده کرده بود من امتحان کردم اون فایلهایی که رجیستری و بقیه رو باز میکرد جواب نمیدادند. روش معمول ویروسها اینه که یک کلید اضافه میکردند به عنوان disable در هر کدوم از اینها و بهش مقدار یک میدادند و برنامه های اصلاح مشکل این کلید رو حذف میکردند یا مقدار 0 بهش میدادند. (البته اونهایی که من داشتم اینجور بود) اما این یکی از یک روش خیلی جالب استفاده کرده بود و حتی در قسمت امنیت هم کلیدهای دیگری تعریف کرده بود که باید همه اینها رو حذف میکردید تا فعال میشدند و فقط با حذف کلیدهای اصلی در مسیر هر یک کاری پیش نمیرفت. تو اون log که گذاشتم میتونید محل کلیدها رو ببینید

من اول فکر کردم فایلهای اجرایی اینها خراب شدند. حتی اکثر سایتهای خارجی هم در جواب این سوال گفته بودند فایلهای اجراییتون خراب شده که ویندوز نمیتونه پیداشون کنه. ولی بعد دیدم نخیر ایراد از جای دیگه هست

البته این malwarebyte هم اگر کلیدی تغییر بدید حذف یا ویرایش نمیکنه مثلا فکر کنم اگر همون کلید disable هم درست کنید و مقدار یک بدید این کاری نمیکنه ولی کلیدهایی که مستقل با ویروسها درست میشن تو دیتابیسش داره و حذف میکنه

برای این ویروس یک سری خط انتهای host اضافه میشه که malwarebytes اونها رو حذف میکنه و این کلیدها رو پیدا میکنه و حذف میکنه:

 Keys Infected:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\cmd.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mmc.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit.exe (Security.Hijack) -> Quarantined and deleted successfully.

Registry Values Infected:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Explorer.exe\Debugger (Security.Hijack) -> Value: Debugger -> Quarantined and deleted successfully.

Registry Data Items Infected:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

​

برای یک ادم معمولی پیدا کردن این کلیدها و حذفش واقعا غیر ممکن هست.

تو یک سایت فارسی زبان دیگه دیدم این مشکل سال 2008 بیان شده بود و هنوز هم کسی جوابی نداده بود براش. پس مشخصه ویروس از سال 2008 هست و خیلی جدیدم نیست