سلام به شما دوستان عزیزم ...
امیدوارم مثل همیشه حالتون خوب و خوش باشه .
من هم به نوبه ی خودم عید سعید فطر رو به همه تبریک میگم و امیدوارم طاعات و عباداتتون تا به اینجا مقبول حق واقع شده باشه
امروز قصد دارم شیوه ی پاک کردن کرم BronTok.A رو آموزش بدم .
این کرم نسبت به کرم New Folder.exe خیلی حرفه ای تر نوشته شده ...
البته با Visual Basic 6.0 نوشتنش .
در زیر به برخی از ویژگی های این کرم اشاره می کنم :
1 . Folder Options را حذف می کند !
2 . Registry Tools را قفل می کند !
3 . Task Manager نمی تواند فایل های مربوط به این کرم را End کند !
4 . پس از اجرا شدن ، محتویات My Documents را نمایش می دهد !
5 . اگر در کادر محاوره ای Run عبارت CMD ، Regedit ، msconfig ، Regedt32 را تایپ کنید ، سیستم بلافاصله Restart می شود !
6 . اگر روی گزینه ی Log Off یا Turn Off Computer کلیک کنید ، سیستم Restart می شود !
7 . آیکون این کرم نیز مانند New Folder.exe شبیه آیکون یه پوشه س !
8 . این کرم توسط فایل inetinfo.exe انتشار پیدا می کند .
در صورتی که Victim از Firewall استفاده کند ( مثل ZoneAlarm ) متوجه فعالیت این فایل خواهد شد که مدام مجوز تایید اتصال به اینترنت را از Victim می خواهد !
9 . سرعت سیستم را پایین می آورد .
10 . مانع فعالیت برخی برنامه ها ( مانند Nero ) می شود .
11 . اگر Victim برنامه ای اجرا کند که تیتر یکی از پنجره های آن برابر با عناوین زیر باشد ، بلافاصله کامپیوترش Restart می شود .
کد:برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید
و ...
============================
همونطور که می دونید فایل های lsass.exe ، winlogon.exe و services.exe از فایل های سیستمی بوده و همیشه در حال اجرا هستند ...
اگر شما برنامه ی [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ] را اجرا کنید ، می بینید که این فایل ها در پوشه ی System32 قرار دارند .
اما اگر کرم BronTok.A روی سیستم شما نصب باشد ، خواهید دید که سه تا فایل دیگه با همین نام ها در حال اجرا هستند !!
یعنی دو تا winlogon.exe ، دو تا lsass.exe و دو تا services.exe !
اما به راحتی میشه فهمید که کدوما کرمن و کدوما فایل اصلی ویندوز ...
اون سه تا فایلی که مربوط به کرم میشن ، در پوشه ای غیر از System32 قرار دارن .
مسیر دقیقشون میشه :
کد:برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید
C نام همان درایویست که ویندوز در آن نصب گردیده و MB_Danger نام کاربری است که کرم در آن اجرا شده ...
بعد از اینکه با نرم افزار Process Master متوجه شدید که کدوما کرمن ، باید اون ها رو Kill process کنید .
اگر احیانا فایل های دیگری با نام های inetinfo.exe ، csrss.exe و smss.exe نیز در حال اجرا بودند آنها را هم Kill process کنید .
البته به شرطی که مسیرشون غیر از System32 باشه ...
حالا وقتشه که از نرم افزار [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ] استفاده کنید .
پس از اینکه نرم افزار Kill BronTok.A کارش تموم شد ، اون رو ببندید و به منوی Start برید و روی گزینه ی Search کلیک کنید .
در سمت چپ روی گزینه ی All files and folders کلیک کنید .
در فیلد All or part of the file name عبارت Empty.pif را تایپ کنید و از روی کیبرد کلید Enter را فشار دهید .
اکنون تمام فایل های پیدا شده را پاک کنید .
دوباره در فیلد مذکور عبارت زیر را تایپ کنید و از روی کیبرد کلید Enter را فشار دهید .
کد:برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید
اکنون از بین فایل های پیدا شده ، هر فایلی که آیکونش شبیه آیکون پوشه بود رو پاک کنید .
مجددا در فیلد All or part of the file name عبارت زیر را تایپ کنید و از روی کیبرد کلید Enter را فشار دهید .
کد:برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید
تمام فایل های پیدا شده را پاک کنید .
باز هم در فیلد فوق الذکر عبارت Bron را تایپ کنید و از روی کیبرد کلید Enter را فشار دهید .
اکنون تمام فایل ها و پوشه های پیدا شده را پاک کنید .
اکنون با خیال راحت کامپیوترتان را Restart کنید .
دو نکته :
1 . اگر ویندوزتان بیشتر از یک کاربر دارد ، باید تمام عملیات فوق را در همه ی کاربرها انجام دهید .
2 . قبل از انجام مراحل فوق اگر احیانا Anti Virus خاصی بر روی سیستم دارید آن را غیر فعال کنید .
موفق باشید .