مراقب رايانه‌های خود در مقابل ويروس اينترنتی ايرانی سالدوست باشيد

1. virus : ۲۵م آبان ۱۳۸۶ ساعت ۴:۲۳ ب.ظ

   چگونه می شود این ویروس را پاک کرد؟

2. azara : ۵م آذر ۱۳۸۶ ساعت ۳:۰۲ ب.ظ

   خوب! بله منم دارم
   اما چیکارش کنم؟ اینو بگید!!

3. Samira : ۷م آذر ۱۳۸۶ ساعت ۴:۴۸ ب.ظ

   اطلاعات مفید است

4. titan : ۹م آذر ۱۳۸۶ ساعت ۱۲:۴۲ ب.ظ

   kafi ast do file htm ra az dex and document com e khod pak karde va vared regedit shavid va file WinSock۲ ra kamel pak konid hal com ra restart karde be soraghe drive ha miravim baraye pak kardane autohaye virousi bayad joft file haye an ra ba haman asami va ba pasvandhaye .exe va inf be roye dofile e mamoli dar yek makane digar copy past karde va baad file haye jadid ra darone tak take drive ha copy mikonim dar in sorat windows file haye ghabli ra pak khahad kard have a good time

5. amir : ۲۰م دی ۱۳۸۶ ساعت ۱۰:۳۶ ق.ظ

   خصوصيات :

   این کرم اینترنتی ایرانی بوده که توسط ضدویروس ایمن شناسایی و پاکسازی می شود و پس از اجرای فایل ﺁن بر روی سیستم کاربر، ابتدا خودش را به صورت زیر بر روی سیستم کپی می نماید:

   %TEMP%\svchost.exe
   %PROGRAMFILES%\Sound Utility\Soundmax.exe
   %PROGRAMFILES%\Common Files\Microsoft Shared\MSshare.exe
   %WINDIR%\Web\OfficeUpdate.exe

   سپس فایل خود با نام svchost.exe در مسیر %TEMP% را اجرا کرده و برای این که با هر بار راه اندازی سیستم ﺁلوده به طور خود کار اجرا گردد، خود را به شکل زیر در رجیستری ثبت می نماید:

   HKLM\SOFTWARE\Microsoft\Windows\CurrentVe rsion\Run
   SoundMax = %PROGRAMFILES%\Sound Utility\Soundmax.exe

   سپس کلیدهای در رجیستری را به شکل زیر تغییر می دهد:

   HKCU\Software\Microsoft\Windows\Curr entVersion\Explorer\Advanced
   Hidden = ۲
   HideFileExt = ۲

   ShowSuperHidde n = ۲
   HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
   Nof olderoptions = ۲

   HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\E xplorer
   Nofolderoptions = ۱

   HKLM\SOFTWARE\Policies\Microsoft\Windows NT\ SystemRestore
   DisableConfig = ۱
   DisableSR = ۱

   تغییرات فوق باعث بروز مشکلاتی از جمله باز نشدن FolderOption و مخفی نگه داشتن فایلهای مخفی می گردد که برای برطرف کردن این مشکلات می توانید برنامه زیر را از سایت ایمن دانلود کرده و ر جیستری خود را پاکسازی نمایید:

   www.ImenAntiVirus.com/RegRepair.zip

   همچنین کلید IsShortCut را از مسیرهای زیر در رجیستری پاک می کند:

   HKEY_CLASSES_ROOT\lnkfile
   HKEY_CLASSES_ROOT\piffile
   HKEY_CLASSES_ROOT\InternetShortcut

   و کلیدی با نام Wintek در مسیر زیر ایجاد می کند:

   HKEY_CURRENT_USER\Software \

   و کلید زیر را در ﺁن ایجاد می نماید:

   Install = b۲ed۳ (Dword - Value i s in hex)

   بعد از انجام کارهای فوق تمام برنامه های موجود در زمانبند ویندوز (دستور at) را پا ک کرده و با استفاده از زمانبند ویندوز فایل خود را که با نام OfficeUpdate.exe در مسیر WINDIR%\Web% وجود دارد هر روز در ساعات ۱۱:۳۰ و ۲۰:۳۰ اجرا می نماید.

   یکی دیگر از کارهای این کرم این است که خود را در مسیرهای زیر با نام های فریبنده کپی می کند و از ﺁنجایی که برخی از این مسیرها مخصوص برنامه ها ی شبکه های اشتراک گذاری فایل (یا P۲P) هستند، با این کار امکان انتشار ﺁن در سراسر دنیا از طریق اینگونه برنامه ها فراهم می گردد:

   %PROGRAMFILES%\Kazaa Lite \My Shared Folder\
   %PROGRAMFILES%\Kazaa\My Shared Folder\
   %PROGRAMFILES%\I cq\Shared Files\
   %PROGRAMFILES%\emule\incoming\
   %PROGRAMFILES%\Gnucleus\Do wnloads\Incoming\
   %PROGRAMFILES%\KMD\My Shared Folder\
   %PROGRAMFILES%\Lime wire\Shared\
   %PROGRAMFILES%\XPCode\
   C:\Inetpub\ftproot\

   به علاوه در مسیرهایی که در ﺁنها فایل های از نوع MP۳ ، JPG یا EXE وجود داشته باشد، خود را با نام zfile.exe کپی می کند. همچنین خود را با نام setup.exe و setlib.exe در مسیرهای زیر کپی می کند:

   \WINDOWS\system۳۲\config\systemprofile\My Documents\
   \WINDOWS\system۳۲\config\systemprofile\Start Menu\Programs\
   \WINDOWS\system۳۲\config\systemprofile\Start Menu\Programs\Accessories\
   \WINDOWS\system۳۲\ config\systemprofile\Start Menu\Programs\Accessories\Entertainment\
   WINDOWS\system۳۲\config\systemprofile\Start Menu\Programs\Startup\…
   \WINDOWS\system۳۲\drivers\
   \WINDOWS\system۳۲\spool\drivers\
   \WINDOWS\system۳۲\spool\drivers\w۳۲×۸۶\۳\

   اين كرم برای اينكه بتواند خود را درون شبكه تكثير كند، كامپيوترهای موجود در آن را جستجو كرده و با استفاده از درايوهای به اشتراك گذاشته شده، سعی می‌كند خودش را به شكل زير بر روی آن سيستم‌ها كپی كند:

   C$\Documents and Settings\All Users\Start Menu\Programs\Startup\AdobeUpdate.exe

   اين كار باعث می‌شود كه پس از راه‌اندازی آن سيستم‌ها، ويروس به طور خودكار اجرا شده و عمليات تكثيری خود را بر روی آنها انجام دهد.

   از جمله كارهای جالب اين ويروس اين است كه خودش را در ريشه همه درايوها با نام autoply.exe كپی كرده و در كنار آن فايلی با نام Autorun.inf ايجاد می‌كند. اين عمل باعث می‌شود كه هر گاه كاربر بخواهد به هر شکلی وارد هر درايوی شود، فايل مربوط به كرم اجرا گردد. نوع Autorun ايجاد شده به گونه‌ايست كه اگر فايل autoply.exe كه خود كرم است از روی سيستم پاك شده ولی فايل Autorun.inf باقی بماند، با دوبار كليك كردن بر روی نام درايو پنجره Open with نمايش داده می‌شود و كاربر نمی‌تواند وارد درايو شود. در اين حالت با كليك راست نمودن بر روی نام درايو و انتخاب گزينه Open نيز نمی‌توان وارد درايو شد. برای برطرف نمودن اين مشكل بايستی فايل زير را از روی سايت ايمن دانلود نموده و آن را بر روی سيستم خود اجرا نماييد:

   www.imenantivirus.com/NoAutorun.zip

   اين كرم فايلی با نام Important.htm را در مسيرهای زير بر روی سيستم كاربر کپی می‌نمايد كه حاوی جملاتی به زبان فارسی است:

   %USERPROFILE%\Desktop\
   %USERPROFILE%\My Documents\

   یکی از نشانه‌های ویروس به نمايش درآوردن نواری زرد رنگ در بالای صفحه همراه با جملاتی فارسی با رنگ قرمز است.

6. حبيب : ۵م اسفند ۱۳۸۶ ساعت ۵:۵۳ ب.ظ

   بسيار متشكرممممممممممممممممممم

7. علي اسكندري : ۱۱م اردیبهشت ۱۳۸۷ ساعت ۵:۴۴ ب.ظ

   دستتون درد نكنه واقعا كارتون عالي بود

8. فرشاد : ۲۷م اردیبهشت ۱۳۸۷ ساعت ۳:۰۳ ق.ظ

   بنده با آنتی ویروس کاسپر اسکای تنها مشکلم که open with بود را حل کردم و ویروس رو کشتم اما پس از مدتها سرعت سیستمم بسیار پایین اومد ایا ممکنه هنوز اثاری ازش باشه؟ممنون میشم جواب بدید یا بهم میل بزنید.

9. ali : ۱۴م خرداد ۱۳۸۷ ساعت ۷:۴۹ ب.ظ

   ویروس کش دارد این ویروس

   یا این ویروس چگونه از بین می رود

   چرا جواب عدد غلط است