تبلیغات
پرتال فناوری اطلاعات ایران - ویروس Recycler یا W32.Lecna.H
 
پرتال فناوری اطلاعات ایران
SKype:reza.arefan www.facebook.com/reza.arefan
درباره وبلاگ



مدیر وبلاگ : رضا عارفان
موضوعات
مطالب اخیر
پیوندهای روزانه
آمار وبلاگ
  • کل بازدید :
  • بازدید امروز :
  • بازدید دیروز :
  • بازدید این ماه :
  • بازدید ماه قبل :
  • تعداد نویسندگان :
  • تعداد کل پست ها :
  • آخرین بازدید :
  • آخرین بروز رسانی :

ویروس recycler که نام علمی آن W32.Lecna.H می باشد در تمام درایوها فایل autorun.inf و پوشه ای سیستمی به نام recycler را کپی می کند.با وصل کردن فلش مموری به سیستم آن هم آلوده این ویروس می شود.
این ویروس از یک فایل batch برای تغییر رجیستری و اجرای خودش همرا با startup ویندوز استفاده می کند.
همچنین فایلهای زیر را می سازد:

کد:
AUTORUN.INF
confi.exe
Config.ini
Recycler.exe
uninstx.exe
keyvect.dll
netscv.exe


این ویروس بسیار خطرناک بوده و با متصل شدن به سایت های مخرب ، کدهای خطرناک و مخرب را دانلود می کند که باعث سرقت اطالاعات محرمانه شما می شوند.این سایت عموما به آدرس های زیر هستند:

کد:
http://www.km-nyc.com/thrMilitary/thrba
http://www.km-nyc.com/thrMilitary/thrap
http://www.km-nyc.com/thrMilitary/thrmya or http://tmtech.com.cn/thrMilitary/thrba
http://tmtech.com.cn/thrMilitary/thrap
http://tmtech.com.cn/thrMilitary/thrmya


اکثر آنتی ویروس ها این ویروس را شناسایی کرده اما قادر به پاک کردن آن نمی باشد.

روش پاک سازی

1.دکمه های ctrl+alt+del را زده تا پنجره task manager باز شود.در میان پروسه ها CTFMON.EXE پیدا کرده و آن را قطع کنید.
2.فایل CTFMON.EXE را جستجو و سپس پاک کنید.
3.از منوی start به run رفته و بنویسید msconfig و سپس در پنجره باز شده به تب startup رفته و تیک گزینه CTFMON.EXE را بردارید و Ok کنید.
4.ویندوز را restart کنید و با safe mode بالا بیایید.(به این صورت که پشت سر هم F8 را زده،safe mode را انتخاب کرده و با یوزر خودتان وارد شوید.

5.حالا بدون اینکه کلیک اضافی کنید از منوی استارت وارد run شوید و بنویسید cmd تا وارد محیط command prompt شوید سپس با استفاده از دستور زیر صفات system file/folder , hidden , read only را از فایل autorun.inf و پوشه recycler بگیرید و بعد با وارد شدن به هر درایو این دو را پاک کنید.

کد:
ATTRIB -R -H -S d:filename


جای [d:] نام درایو و جای filename نام فایل را پوشه را بنویسید.این کار برای باری تمام درایو ها و همه فایل های autorun.inf و پوشه recylcer انجام دهید.مثال:

کد:
ATTRIB -R -H -S c:autorun.inf

6.محتویات سطل آشغال را پاک کنید.

7.در run بنویسید regedit را وارد ویرایشگر رجیستری شوید.سپس کلیدهای زیر را پیدا و پاک کنید.

کد:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun "Windows Recycled" = "%System%Recycler.exe" HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun "uninstx.exe" = "%System%uninstx.exe" HKEY_LOCAL_MACHINESOFTWAREMicrosoftNetWorkSetup "pid" = [RANDOM NUMBER] HKEY_LOCAL_MACHINESOFTWAREMicrosoftNetWorkSetup "hostid" = [ENCRYPTED HEXIDECIMAL CHARACTERS


و کلیدهای زیر را پیدا کرده و مقدارشان را به حالت اولیه برگردانید.

کد:
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced "HideFileExt" = "0" HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced "HideFileExt" = "1"


8.ویندوز را ری استارت کرده و پیشنهاد می شود که با یک آنتی ویروس آپدیت شده اسکن کنید.

نکته بسیار مهم:

سیستم های با فرمت درایو ntfs در هر درایو فولدری به نام recycler دارند که ویروس نمی باشد.یعنی همین اول نگویید که ویروس است.اگر علائم ویروس مثل ارور و ... را دیدید یعنی این ویروس که همنام فولدر سیستمی می باشد سیستمتان را آلوده کرده است که به روش بالا آن را پاکسازی کنید.

منبع: 
Abolfazl.E
ترفندستان





نوع مطلب : مقالات وآموزشها، 
برچسب ها :
لینک های مرتبط :

       نظرات
شنبه 19 مهر 1393
رضا عارفان
یکشنبه 20 فروردین 1396 11:42 ق.ظ
I do not know if it's just me or if everybody else encountering issues with your
site. It seems like some of the written text within your posts
are running off the screen. Can someone else please comment
and let me know if this is happening to them as well? This may
be a problem with my browser because I've had this
happen previously. Thank you
یکشنبه 20 فروردین 1396 12:20 ق.ظ
My brother recommended I might like this blog.
He was entirely right. This post actually made my day.
You cann't imagine simply how much time I had spent for this info!
Thanks!
جمعه 18 فروردین 1396 06:09 ب.ظ
Hmm is anyone else experiencing problems with the pictures on this blog loading?
I'm trying to determine if its a problem on my end or if it's the blog.
Any suggestions would be greatly appreciated.
دوشنبه 14 فروردین 1396 03:05 ق.ظ
First off I would like to say superb blog! I had a quick question in which I'd like
to ask if you don't mind. I was interested to find out how you center
yourself and clear your head before writing. I've had a difficult time
clearing my thoughts in getting my thoughts out.

I truly do enjoy writing however it just seems like the first 10
to 15 minutes are lost just trying to figure out how to begin. Any ideas or tips?
Cheers!
 
لبخندناراحتچشمک
نیشخندبغلسوال
قلبخجالتزبان
ماچتعجبعصبانی
عینکشیطانگریه
خندهقهقههخداحافظ
سبزقهرهورا
دستگلتفکر