ويروس جديد Win32/PSW.Agent.NDP ntde1ect

واضح آرشیو وب فارسی:سایت ریسک: hossein_6114-10-2007, 09:16 AMمن حدود دو هفته است كه كامپيوترم با وجود آنتي ويروس kaspersky مبتلا به اين ويروسه . اما تونستم اطلاعاتي در مورد اين ويروس به دست بيارم و اونو از بين ببرم . اگه كسي اطلاعات بيشتري در مورد اين ويروس داره به بقيه هم بگه ! ویروس Win32/PSW.Agent.NDP که به تازگی وارد اینترنت شده با غیرفعال کردن گزینه show hidden files and folders در folder option باعث عدم نمایش فایلهای مخفی می شه و نمی زاره که کاربرها فایلهایي كه مخفی کردن رو ببینن. این ویروس با دستکاری تو رجیستری ویندوز باعث می شه که شما نتونید تنظیمات hidden file and folder را تغییر بدید. به محض تغییر دادن این قسمت و خارج شدن از اون تنظیمات به حالت پیش فرض خود برمیگرده . البته این ویروس خرابکاریهای دیگه ای هم داره اول اینکه تو تمام درایوهای شما یه فایل autorun.inf می سازه که درایوهای هارد رو autorun می کنه. دوم اینکه دوباره تو تمام درایوها یه فایل دیگه به نام ntde1ectمی سازه که شما به محض اینکه فلاپی وارد سیستم کنید یا فلش یا mp3 pleyer را به کامپیوتر متصل کنید یه کپی از خودش به صورت hidden وارد دستگاه شما یا فلاپی شما می کنه . البته فایل ntde1ect خیلی شبیه فایل ntdetect هست که توی درایو C وجود داره و برای بالا اومدن ویندوز ضروریه . اینو گفتم یه وقت این دوتا رو با هم اشتباه نگیرید . اگر خواستید این فایلهای مخرب رو توی درایوهای هاردتون ببینید می تونید با استفاده از برنامه nero این کار رو بکنید . سوم اینکه با اجرای فایل avpo.exe به شما اجازه نمیده که فلش یا mp3 pleyer یا هر چیز دیگه رو از پورت USB ، safe remove کنید . تا چندی پیش آنتی ویروس های node32 و Kaspersky با وجود update شدن این ویروس رو تشخیص نمی دادن اما حدود یک هفته است که آنتی ویروس node32 اگه به روز بشه این ویروس رو می شناسه و اونو delete می کنه . اما اگه شما نتونستید با آنتی ویروس این ویروس رو از بین ببرید روش پاک کردن این ویروس رو به صورت دستی براتون نوشتم که خیلی آسونه می تونید امتحان کنید که 100% جواب میده . روش پاک کردن : 1. در حالت safe mode وارد ویندوز شوید . ( با زدن دکمه F8 قبل از بالا آمدن ویندوز حالت safe mode را انتخاب کنید ) 2. پنجره Task Manager را باز کنید (Ctrl-Alt-Del) و برنامه های زیر را در صورت اجرا ببندید . wscript.exe : اگر در حال اجرا بود آن را ببندید (End process) avpo.exe : اگر در حال اجرا بود آن را ببندید (End process) 3. از قسمت start برنامه Run را اجرا کنید و در عبارت cmd را در آن تایپ کنید و enter را بزنید . 4. در این قسمت در خط فرمان برنامه ، دستور زیر زیر را تایپ کنید و enter را بزنید . del c:autorun.* /f /a /s /q این دستور را برای درایوهای دیگر اجرا کنید . با این دستور تمام فایلهایautorun موجود delete می شود . قبل از این کار اگر در درایوها فایل autorun دارید که فکر میکنید به دردتون می خوره ، اول از این فایل backup بگیرید بعد دستور بالا رو اجرا کنید . 5. در این مرحله در خط فرمان c: دستور زیر را تایپ کنید تا وارد پوشه system32 شوید : C:cd windowssystem32 C:windowssystem32 6. در ادامه دستور زیر را تایپ کنید و آنرا اجرا کنید . *.*dir /a avp 7. در این قسمت هر فایلی به نامهای avp0.dll و avpo.exe و avp0.exe دیده شد آنرا پاک کنید . attrib -r -s -h avpo.exe del avpo.exe 8. بعد از این مراحل تمام پنجره ها رو ببندید و برنامه registry را اجرا کنید : (Run egedit) مسیر زیر را دنبال کنید : HKEY_CURRENT_USER SOFTWARE Microsoft Windows CurrentVersion Run در این قسمت هر کلیدی که به نام avpo.exe بود را delete کنید . 9. در برنامه registry قسمت edit گزینه Findرا کلیک کنید و عبارت ntde1ect را جستجو کنید. تمام کلیدهای پیدا شده را delete کنید . این کار را برای فایل avpo.exe نیز انجام دهید و تمام کلیدهای پیدا شده راdelete کنید . 10. در آخر کار سراغ کلید زیر بروید و مقدار CheckedValue را برابر 1 قرار دهید . HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion Explorer/Advanced/Folder/Hidden/SHOWALL نکته خیلی مهم : اگه این ویروس رو با آنتی ویروس از بین بردید باید مرحله 10 رو خودتون انجام بدید تا بتونید فایلهای hidden رو ببینید . حسين آقاجان:5: capitan black14-10-2007, 10:11 AMكاسپر كه انتي ويروس نيست.اگه يه بيت ديفندر داشته باشي ديگه مشكلي نداري. اره ديگه http://www.world-of-smilies.com/wos_ugly/UGLEY.gif mahdi761014-10-2007, 10:42 AMكاسپر كه انتي ويروس نيست.اگه يه بيت ديفندر داشته باشي ديگه مشكلي نداري. اره ديگه http://www.world-of-smilies.com/wos_ugly/UGLEY.gif درستع بیت دیفندر جز بهترین انتی ویروسهاست اما بی انصافی که کسپر اسکای را جز انی ویروسهای معتبر ندونید capitan black14-10-2007, 10:59 AMدرستع بیت دیفندر جز بهترین انتی ویروسهاست اما بی انصافی که کسپر اسکای را جز انی ویروسهای معتبر ندونید بله حق با شماست.من خودم در درجه اول بيت رو ميپسندم بعد كسپر رو.ميدونيد كه كار روسها حرف نداره(كسپر رو عرض ميكنم) Farahmand Farshidy14-10-2007, 06:21 PMمن حدود دو هفته است كه كامپيوترم با وجود آنتي ويروس kaspersky مبتلا به اين ويروسه . اما تونستم اطلاعاتي در مورد اين ويروس به دست بيارم و اونو از بين ببرم . اگه كسي اطلاعات بيشتري در مورد اين ويروس داره به بقيه هم بگه ! ویروس Win32/PSW.Agent.NDP که به تازگی وارد اینترنت شده با غیرفعال کردن گزینه show hidden files and folders در folder option باعث عدم نمایش فایلهای مخفی می شه و نمی زاره که کاربرها فایلهایي كه مخفی کردن رو ببینن. این ویروس با دستکاری تو رجیستری ویندوز باعث می شه که شما نتونید تنظیمات hidden file and folder را تغییر بدید. به محض تغییر دادن این قسمت و خارج شدن از اون تنظیمات به حالت پیش فرض خود برمیگرده . البته این ویروس خرابکاریهای دیگه ای هم داره اول اینکه تو تمام درایوهای شما یه فایل autorun.inf می سازه که درایوهای هارد رو autorun می کنه. دوم اینکه دوباره تو تمام درایوها یه فایل دیگه به نام ntde1ectمی سازه که شما به محض اینکه فلاپی وارد سیستم کنید یا فلش یا mp3 pleyer را به کامپیوتر متصل کنید یه کپی از خودش به صورت hidden وارد دستگاه شما یا فلاپی شما می کنه . البته فایل ntde1ect خیلی شبیه فایل ntdetect هست که توی درایو C وجود داره و برای بالا اومدن ویندوز ضروریه . اینو گفتم یه وقت این دوتا رو با هم اشتباه نگیرید . اگر خواستید این فایلهای مخرب رو توی درایوهای هاردتون ببینید می تونید با استفاده از برنامه nero این کار رو بکنید . سوم اینکه با اجرای فایل avpo.exe به شما اجازه نمیده که فلش یا mp3 pleyer یا هر چیز دیگه رو از پورت USB ، safe remove کنید . تا چندی پیش آنتی ویروس های node32 و Kaspersky با وجود update شدن این ویروس رو تشخیص نمی دادن اما حدود یک هفته است که آنتی ویروس node32 اگه به روز بشه این ویروس رو می شناسه و اونو delete می کنه . اما اگه شما نتونستید با آنتی ویروس این ویروس رو از بین ببرید روش پاک کردن این ویروس رو به صورت دستی براتون نوشتم که خیلی آسونه می تونید امتحان کنید که 100% جواب میده . روش پاک کردن : 1. در حالت safe mode وارد ویندوز شوید . ( با زدن دکمه F8 قبل از بالا آمدن ویندوز حالت safe mode را انتخاب کنید ) 2. پنجره Task Manager را باز کنید (Ctrl-Alt-Del) و برنامه های زیر را در صورت اجرا ببندید . wscript.exe : اگر در حال اجرا بود آن را ببندید (End process) avpo.exe : اگر در حال اجرا بود آن را ببندید (End process) 3. از قسمت start برنامه Run را اجرا کنید و در عبارت cmd را در آن تایپ کنید و enter را بزنید . 4. در این قسمت در خط فرمان برنامه ، دستور زیر زیر را تایپ کنید و enter را بزنید . del c:autorun.* /f /a /s /q این دستور را برای درایوهای دیگر اجرا کنید . با این دستور تمام فایلهایautorun موجود delete می شود . قبل از این کار اگر در درایوها فایل autorun دارید که فکر میکنید به دردتون می خوره ، اول از این فایل backup بگیرید بعد دستور بالا رو اجرا کنید . 5. در این مرحله در خط فرمان c: دستور زیر را تایپ کنید تا وارد پوشه system32 شوید : C:cd windowssystem32 C:windowssystem32 6. در ادامه دستور زیر را تایپ کنید و آنرا اجرا کنید . *.*dir /a avp 7. در این قسمت هر فایلی به نامهای avp0.dll و avpo.exe و avp0.exe دیده شد آنرا پاک کنید . attrib -r -s -h avpo.exe del avpo.exe 8. بعد از این مراحل تمام پنجره ها رو ببندید و برنامه registry را اجرا کنید : (Run egedit) مسیر زیر را دنبال کنید : HKEY_CURRENT_USER SOFTWARE Microsoft Windows CurrentVersion Run در این قسمت هر کلیدی که به نام avpo.exe بود را delete کنید . 9. در برنامه registry قسمت edit گزینه Findرا کلیک کنید و عبارت ntde1ect را جستجو کنید. تمام کلیدهای پیدا شده را delete کنید . این کار را برای فایل avpo.exe نیز انجام دهید و تمام کلیدهای پیدا شده راdelete کنید . 10. در آخر کار سراغ کلید زیر بروید و مقدار CheckedValue را برابر 1 قرار دهید . HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion Explorer/Advanced/Folder/Hidden/SHOWALL نکته خیلی مهم : اگه این ویروس رو با آنتی ویروس از بین بردید باید مرحله 10 رو خودتون انجام بدید تا بتونید فایلهای hidden رو ببینید . حسين آقاجان:5: ممنون دوست عزیز!!:11::11: من هم یه کپی ازش گرفتم و در صورت مواجه شدن با این ویروس حالشو میگیرم. مؤفق و پیروز باشید!!:10: فرهمنــــــــــــــــــــ د DrXoX14-10-2007, 06:29 PMسلام دستت درد نکنه مطلب مفیدی بود راستش من آنتی ویروس Nod 32 روی سیستمم نصبه و تا حالا ویروسی وارد کامپیوترم نشده البته قبلا که از DrWeb استفاده می کردم چندین بار ویروسی شده بود سیستمم ولی از وقتی نود32 نصب کردم حدود 9 ماهه هیچ ویروسی جرات نکرده بیاد سراغ کامپیوترم البته هر کسی از یه انتی ویروسی خوشش میاد ولی من که با نود 32 خیلی حال می کنم فقط باید Update بشه و دیگه ویروسا جرات نمی کنن بیان سراغ کامپیوترتون mmghp3011-11-2007, 03:48 PMاولا این ویروس جدید نیست و چهار پنج ماهی میشه اومده دوما نیازی به رفتن به safe mode نیست چون من قبل از دیدن تاپیک شما خودم این تروجان رو وقتی وارد سیستمم شد دستی پاک کردم:27: Sam@n11-11-2007, 05:19 PMمقاله ی خوبی بود ... ولی کپی بود ها شیطون . حالا من سیوش کردم تا شاید خدای نکرده لازم بشه . mehdiz_135919-11-2007, 06:13 PMبا سلام ممنون رايانه من هم مبتلا شده انشاء اله كه با اين روش پاك بشه mehdiz_135920-11-2007, 10:56 AMبا سلام و تشكر متاسفانه مشكل من با اين روش حل نشد چون اصلا نه در system32 و نه در رجيستري اثري از avpo يا ntde1ect وجود نداشت چند بار هم با دقت مراحلي را كه دوست عزيزمون گفته اند را انجام دادم ولي نتيجه نداد به محض اينكه checkvalue را 1 مي كنم بعد از چند لحظه دوباره صفر مي شه كلافه شدم ديگه ! سایت ما را در گوگل محبوب کنید با کلیک روی دکمه ای که در سمت چپ این منو با عنوان +1 قرار داده شده شما به این سایت مهر تأیید میزنید و به دوستانتان در صفحه جستجوی گوگل دیدن این سایت را پیشنهاد میکنید که این امر خود باعث افزایش رتبه سایت در گوگل میشود

این صفحه را در گوگل محبوب کنید

[ارسال شده از: سایت ریسک]

[مشاهده در: www.ri3k.eu]

[تعداد بازديد از اين مطلب: 504]