پرتال فناوری اطلاعات ایران

ویروس boot.exe که حتما باهاش دارید دست و پنجه نرم می کنید کار یه دوست یا ... ایرانی هستش که روی خیلی از سیستم های ایرانی پخش شده درجه خطرش بالاست ( یوزر پس سند میکنه )
این ویروس به طور AUTORUN خودشو از رویه فلش یا ... جا به جا میکنه ( هیچ آنتی ویروسی تا به حال پیداش نکرده برایه nod میلش کردم فعلا جواب نداده )

امروز با 5 ساعت کار روش تونستم یه کمیشو باز کنم و اطلاعاتی در موردش در بیارم

1- با vb6 نوشته شده.
2- فایل ویروس رو با نام loinplay.exe ( ممکن هست نامه فایل رو برای هر سیستم مغییر پروسس کنه دقت کنید مثل : Project1 و mlogginf32 و logginf32 ) در C:WINDOWSsystem32 قرار می ده و با تغییرات در ریجیستری باعث می شه با هر بار لود شدن سیستم اجرا بشه

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurre ntVersionRun

3- به صورت آنلاین فایل AOSMTP.dll رو از رویه نت دانلود می کنه ( از آدرسhttp://roomezonline.persiangig.ir/password/AOSMTP.dll) و در مسیر C:WINDOWSsystem32 کپی می کنه ( این فایل لازم برای اجرای ویروس هست اگه هم پاکش کنید خود ویروس دوباره دانلودش می کنه )

4 - در تسک با شماره آیدی 32770# اجرا می شه و حجم بالایی از cpu رو میگیره
5- ساعت سیستم رو kill می کنه و به 2006 تغییرش میده.

روش پاک کردن ویروس :

ابتدا كلید های CTRL+ALT+DELETE رو با هم بزنید بعد از باز شدن TaskManeger سربرگ Processes رو انتخاب كنید
بعد بر حسب نام مرتب كنید .

تمامی perocess هایی كه جلوشون نام كاربر ویندوز شم نوشته رو به جز Explorer.exe و Taskmge.exe رو End Proceess كنید.
از منوی Tools گزینه آخر Folder Option و بعد View رو انتخاب کنید در قسمت Hidden files and folders گزینه Show Hidden files and folders رو انتخاب کنید و تیک دو گزینه پایین را بردارید ok کنید .
My Computer رو باز کنید در قسمت address درایو ها رو یکی یکی باز کنید و فایل boot.exe و AUTORUN رو پاک کنید ( مراقب باشید فایل رو اجرا نکنید )

فایل loinplay.exe رو در درایو ویندوز سرچ کنید و پاکش کنید.
در ریجیستری HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurre ntVersionRun کلید system32 رو پاک کنید
حالا سیستم رو ریستارت کنید و تموم

نوع مطلب : مقالات وآموزشها،
برچسب ها :
لینک های مرتبط :

نظرات

شنبه 19 مهر 1393
رضا عارفان

یکشنبه 20 فروردین 1396 06:59 ب.ظ

manicure

I'm really impressed with your writing skills as well as with
the layout on your blog. Is this a paid theme or did you modify
it yourself? Either way keep up the nice quality writing, it's rare to see a nice blog like this one these days.

شنبه 19 فروردین 1396 08:23 ب.ظ

manicure

Simply wish to say your article is as astounding.
The clarity in your submit is simply great and that i can think you are an expert in this subject.
Well with your permission allow me to take hold of your feed to stay updated with imminent
post. Thanks one million and please continue the gratifying
work.

شنبه 19 فروردین 1396 01:46 ب.ظ

BHW

Hey There. I discovered your blog using msn. This is an extremely well written article.

I'll make sure to bookmark it and return to read extra of your useful info.
Thank you for the post. I will definitely comeback.

یکشنبه 13 فروردین 1396 03:51 ب.ظ

BHW

You're so awesome! I don't believe I've truly read something like that before.
So great to find somebody with original thoughts on this issue.
Really.. thanks for starting this up. This site is something that is needed on the internet, someone with a little
originality!