28-09-2007, 07:41 AM
در اين مقاله قصد داريم شيوه ي پاک کردن ويروس BronTok.A رو آموزش بدهيم .
اين ويروس نسبت به ويروس New Folder.exe خيلي حرفه اي تر نوشته شده البته با Visual Basic 6.0 نوشتنش .
در زير به برخي از ويژگي هاي اين ويروس اشاره مي کنم :
1) Folder Options را حذف مي کند !
2) Registry Tools را قفل مي کند !
3) Task Manager نمي تواند فايل هاي مربوط به اين ويروس را End کند !
4) پس از اجرا شدن ، محتويات My Documents را نمايش مي دهد !
5) اگر در کادر محاوره اي Run عبارت CMD ، Regedit ، msconfig ، Regedt32 را تايپ کنيد ، سيستم بلافاصله Restart مي شود !
5) اگر روي گزينه ي Log Off يا Turn Off Computer کليک کنيد ، سيستم Restart مي شود !
6) آيکون اين ويروس نيز مانند New Folder.exe شبيه آيکون يه پوشه س ! و همونطور که مي دونيد فايل هاي lsass.exe ، winlogon.exe و services.exe از فايل هاي سيستمي بوده و هميشه در حال اجرا هستند ...
اگر شما برنامه ي Process Master
را اجرا کنيد ، مي بينيد که اين فايل ها در پوشه ي System32 قرار دارند .
اما اگر کرم BronTok.A روي سيستم شما نصب باشد ، خواهيد ديد که سه تا فايل ديگه با همين نام ها در حال اجرا هستند !!
يعني دو تا winlogon.exe ، دو تا lsass.exe و دو تا services.exe ! اما به راحتي ميشه فهميد که کدوما کرمن و کدوما فايل اصلي ويندوز ...
اون سه تا فايلي که مربوط به کرم ميشن ، در پوشه اي غير از System32 قرار دارن .
مسير دقيقشون ميشه :
C: Documents and SettingsMB_Danger
Local SettingsApplication Data
C نام همان درايويست که ويندوز در آن نصب گرديده و MB_Danger نام کاربري است که کرم در آن اجرا شده ... بعد از اينکه با نرم افزار Process Master متوجه شديد که کدوما کرمن ، بايد اون ها رو Kill process کنيد .
اگر احيانا فايل هاي ديگري با نام هاي inetinfo.exe ، csrss.exe و smss.exe نيز در حال اجرا بودند آنها را هم Kill process کنيد . البته به شرطي که مسيرشون غير از System32 باشه ...
حالا وقتشه که از نرم افزار Kill BronTok.A (http://feng?.persiangig.com/Programs/Kil...onTok.A7z) استفاده کنيد .
پس از اينکه نرم افزار Kill BronTok.A کارش تموم شد ، اون رو ببنديد و به منوي Start بريد و روي گزينه ي Search کليک کنيد .
در سمت چپ روي گزينه ي All files and folders کليک کنيد . در فيلد All or part of the file name عبارت Empty.pif را تايپ کنيد و از روي کيبرد کليد Enter را فشار دهيد .
اکنون تمام فايل هاي پيدا شده را پاک کنيد . دوباره در فيلد مذکور عبارت زير را تايپ کنيد و از روي کيبرد کليد Enter را فشار دهيد .
.scr,*.exe
اکنون از بين فايل هاي پيدا شده ، هر فايلي که آيکونش شبيه آيکون پوشه بود رو پاک کنيد . مجددا در فيلد All or part of the file name عبارت زير را تايپ کنيد و از روي کيبرد کليد Enter را فشار دهيد .
.job
تمام فايل هاي پيدا شده را پاک کنيد . باز هم در فيلد فوق الذکر عبارت Bron را تايپ کنيد و از روي کيبرد کليد Enter را فشار دهيد . اکنون تمام فايل ها و پوشه هاي پيدا شده را پاک کنيد .
اکنون با خيال راحت کامپيوترتان را Restart کنيد .
نکته : اگر ويندوزتان بيشتر از يک کاربر دارد ، بايد تمام عمليات فوق را در همه ي کاربرها انجام دهيد .
منبع :www.p30download.com
اين ويروس نسبت به ويروس New Folder.exe خيلي حرفه اي تر نوشته شده البته با Visual Basic 6.0 نوشتنش .
در زير به برخي از ويژگي هاي اين ويروس اشاره مي کنم :
1) Folder Options را حذف مي کند !
2) Registry Tools را قفل مي کند !
3) Task Manager نمي تواند فايل هاي مربوط به اين ويروس را End کند !
4) پس از اجرا شدن ، محتويات My Documents را نمايش مي دهد !
5) اگر در کادر محاوره اي Run عبارت CMD ، Regedit ، msconfig ، Regedt32 را تايپ کنيد ، سيستم بلافاصله Restart مي شود !
5) اگر روي گزينه ي Log Off يا Turn Off Computer کليک کنيد ، سيستم Restart مي شود !
6) آيکون اين ويروس نيز مانند New Folder.exe شبيه آيکون يه پوشه س ! و همونطور که مي دونيد فايل هاي lsass.exe ، winlogon.exe و services.exe از فايل هاي سيستمي بوده و هميشه در حال اجرا هستند ...
اگر شما برنامه ي Process Master
را اجرا کنيد ، مي بينيد که اين فايل ها در پوشه ي System32 قرار دارند .
اما اگر کرم BronTok.A روي سيستم شما نصب باشد ، خواهيد ديد که سه تا فايل ديگه با همين نام ها در حال اجرا هستند !!
يعني دو تا winlogon.exe ، دو تا lsass.exe و دو تا services.exe ! اما به راحتي ميشه فهميد که کدوما کرمن و کدوما فايل اصلي ويندوز ...
اون سه تا فايلي که مربوط به کرم ميشن ، در پوشه اي غير از System32 قرار دارن .
مسير دقيقشون ميشه :
C: Documents and SettingsMB_Danger
Local SettingsApplication Data
C نام همان درايويست که ويندوز در آن نصب گرديده و MB_Danger نام کاربري است که کرم در آن اجرا شده ... بعد از اينکه با نرم افزار Process Master متوجه شديد که کدوما کرمن ، بايد اون ها رو Kill process کنيد .
اگر احيانا فايل هاي ديگري با نام هاي inetinfo.exe ، csrss.exe و smss.exe نيز در حال اجرا بودند آنها را هم Kill process کنيد . البته به شرطي که مسيرشون غير از System32 باشه ...
حالا وقتشه که از نرم افزار Kill BronTok.A (http://feng?.persiangig.com/Programs/Kil...onTok.A7z) استفاده کنيد .
پس از اينکه نرم افزار Kill BronTok.A کارش تموم شد ، اون رو ببنديد و به منوي Start بريد و روي گزينه ي Search کليک کنيد .
در سمت چپ روي گزينه ي All files and folders کليک کنيد . در فيلد All or part of the file name عبارت Empty.pif را تايپ کنيد و از روي کيبرد کليد Enter را فشار دهيد .
اکنون تمام فايل هاي پيدا شده را پاک کنيد . دوباره در فيلد مذکور عبارت زير را تايپ کنيد و از روي کيبرد کليد Enter را فشار دهيد .
.scr,*.exe
اکنون از بين فايل هاي پيدا شده ، هر فايلي که آيکونش شبيه آيکون پوشه بود رو پاک کنيد . مجددا در فيلد All or part of the file name عبارت زير را تايپ کنيد و از روي کيبرد کليد Enter را فشار دهيد .
.job
تمام فايل هاي پيدا شده را پاک کنيد . باز هم در فيلد فوق الذکر عبارت Bron را تايپ کنيد و از روي کيبرد کليد Enter را فشار دهيد . اکنون تمام فايل ها و پوشه هاي پيدا شده را پاک کنيد .
اکنون با خيال راحت کامپيوترتان را Restart کنيد .
نکته : اگر ويندوزتان بيشتر از يک کاربر دارد ، بايد تمام عمليات فوق را در همه ي کاربرها انجام دهيد .
منبع :www.p30download.com