تبلیغات
پرتال فناوری اطلاعات ایران - ویروس Recycler یا W32.Lecna.H
 
پرتال فناوری اطلاعات ایران
SKype:reza.arefan www.facebook.com/reza.arefan
درباره وبلاگ



مدیر وبلاگ : رضا عارفان
موضوعات
مطالب اخیر
پیوندهای روزانه
آمار وبلاگ
  • کل بازدید :
  • بازدید امروز :
  • بازدید دیروز :
  • بازدید این ماه :
  • بازدید ماه قبل :
  • تعداد نویسندگان :
  • تعداد کل پست ها :
  • آخرین بازدید :
  • آخرین بروز رسانی :

ویروس recycler که نام علمی آن W32.Lecna.H می باشد در تمام درایوها فایل autorun.inf و پوشه ای سیستمی به نام recycler را کپی می کند.با وصل کردن فلش مموری به سیستم آن هم آلوده این ویروس می شود.
این ویروس از یک فایل batch برای تغییر رجیستری و اجرای خودش همرا با startup ویندوز استفاده می کند.
همچنین فایلهای زیر را می سازد:

کد:
AUTORUN.INF
confi.exe
Config.ini
Recycler.exe
uninstx.exe
keyvect.dll
netscv.exe


این ویروس بسیار خطرناک بوده و با متصل شدن به سایت های مخرب ، کدهای خطرناک و مخرب را دانلود می کند که باعث سرقت اطالاعات محرمانه شما می شوند.این سایت عموما به آدرس های زیر هستند:

کد:
http://www.km-nyc.com/thrMilitary/thrba
http://www.km-nyc.com/thrMilitary/thrap
http://www.km-nyc.com/thrMilitary/thrmya or http://tmtech.com.cn/thrMilitary/thrba
http://tmtech.com.cn/thrMilitary/thrap
http://tmtech.com.cn/thrMilitary/thrmya


اکثر آنتی ویروس ها این ویروس را شناسایی کرده اما قادر به پاک کردن آن نمی باشد.

روش پاک سازی

1.دکمه های ctrl+alt+del را زده تا پنجره task manager باز شود.در میان پروسه ها CTFMON.EXE پیدا کرده و آن را قطع کنید.
2.فایل CTFMON.EXE را جستجو و سپس پاک کنید.
3.از منوی start به run رفته و بنویسید msconfig و سپس در پنجره باز شده به تب startup رفته و تیک گزینه CTFMON.EXE را بردارید و Ok کنید.
4.ویندوز را restart کنید و با safe mode بالا بیایید.(به این صورت که پشت سر هم F8 را زده،safe mode را انتخاب کرده و با یوزر خودتان وارد شوید.

5.حالا بدون اینکه کلیک اضافی کنید از منوی استارت وارد run شوید و بنویسید cmd تا وارد محیط command prompt شوید سپس با استفاده از دستور زیر صفات system file/folder , hidden , read only را از فایل autorun.inf و پوشه recycler بگیرید و بعد با وارد شدن به هر درایو این دو را پاک کنید.

کد:
ATTRIB -R -H -S d:filename


جای [d:] نام درایو و جای filename نام فایل را پوشه را بنویسید.این کار برای باری تمام درایو ها و همه فایل های autorun.inf و پوشه recylcer انجام دهید.مثال:

کد:
ATTRIB -R -H -S c:autorun.inf

6.محتویات سطل آشغال را پاک کنید.

7.در run بنویسید regedit را وارد ویرایشگر رجیستری شوید.سپس کلیدهای زیر را پیدا و پاک کنید.

کد:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun "Windows Recycled" = "%System%Recycler.exe" HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun "uninstx.exe" = "%System%uninstx.exe" HKEY_LOCAL_MACHINESOFTWAREMicrosoftNetWorkSetup "pid" = [RANDOM NUMBER] HKEY_LOCAL_MACHINESOFTWAREMicrosoftNetWorkSetup "hostid" = [ENCRYPTED HEXIDECIMAL CHARACTERS


و کلیدهای زیر را پیدا کرده و مقدارشان را به حالت اولیه برگردانید.

کد:
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced "HideFileExt" = "0" HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced "HideFileExt" = "1"


8.ویندوز را ری استارت کرده و پیشنهاد می شود که با یک آنتی ویروس آپدیت شده اسکن کنید.

نکته بسیار مهم:

سیستم های با فرمت درایو ntfs در هر درایو فولدری به نام recycler دارند که ویروس نمی باشد.یعنی همین اول نگویید که ویروس است.اگر علائم ویروس مثل ارور و ... را دیدید یعنی این ویروس که همنام فولدر سیستمی می باشد سیستمتان را آلوده کرده است که به روش بالا آن را پاکسازی کنید.

منبع: 
Abolfazl.E
ترفندستان





نوع مطلب : مقالات وآموزشها، 
برچسب ها :
لینک های مرتبط :

       نظرات
شنبه 19 مهر 1393
رضا عارفان
 
لبخندناراحتچشمک
نیشخندبغلسوال
قلبخجالتزبان
ماچتعجبعصبانی
عینکشیطانگریه
خندهقهقههخداحافظ
سبزقهرهورا
دستگلتفکر