رهایی کامل از ویروس Smart Fortress 2012

این روزها اکثر کامپیوترهای شخصی آلوده به این تروجان می‌شوند و یکی از جالب‌ترین تروجان های ممکن می‌باشد! همه چیز را می‌بندد!

این تروجان در شکل یک آنتی ویروس غیر واقعی (McAfee: FakeAlert-SecurityTool.bt, Generic FaleAlert.ama) به سیستم قربانی حمله کرده و تقاضای اسکن رایگان می‌کند؛ بعد از اسکن نزدیک ۱۰۰ عدد ویروس در سیستم شما پیدا می کند که برای حذف آنها باید نرم‌افزار کذایی را خریداری کنید! و به غیر از Explorer.exe و چند مورد دیگر چیزی را نمی‌توانید اجرا کنید! چون آنها را آلوده به ویروس می‌داند!

یکی دیگر از نشانه‌های این تروجان یک آنتی‌ویروس غیر واقعی (Fake) به شکل زیر می‌باشد:

تنها راه خلاصی از این تروجان وحشت ناک که در مواردی با تغییر ویندوز هم از بین نمی‌رود را در ادامه مطلب می‌توانید مشاهده نمایید.

تنها راه خلاصی از این تروجان وحشتناک که در مواردی با تغییر ویندوز هم از بین نمی‌رود را در زیر می‌نویسیم:

اول ) این برنامه‌ی کذایی (تروجان) را با کد زیر ثبت کنید (Active):

AA39754E-715219CE

در این صورت نرم‌افزار به شما اجازه می‌دهد از همه نرم‌افزارهای دیگر استفاده کنید. ولی کار ما تمام نشده و سیستم آلوده هست!

دوم ) اصل فایل را از برنامه‌های نصب شده در کنترل پنل پاک کنید (با رفتن مرحله‌ی اول تنها این راه ممکن است.)

سوم ) فایل زیر را پاک کنید :

%AppData\%{random characters}\{random characters}.exe

یا

C:\ProgramData\{random characters}\{random characters}.exe

چهارم ) {می توان از این مرحله چشم پوشی کرد.} من از ویروس Change Log گرفتم که موارد زیر را تولید می کند؛

می‌توانید آنها را هم پاک کنید:

File System

دقت کنید در اینجا ۵۲۹C50F6007459265E197DE0D151FC4E هست ولی در هر سیستم یک عدد رندم می‌باشد.

===============

Adds the folder C:\Documents and Settings\All Users\Application Data\529C50F6007459265E197DE0D151FC4E

Adds the file 529C50F6007459265E197DE0D151FC4E”=”13:29 16/03/12 328 bytes

In the existing folder C:\Documents and Settings\{username}\Desktop

Adds the file Smart Fortress 2012.lnk”=”13:29 16/03/12 1324 bytes

Adds the folder C:\Documents and Settings\{username}\Start Menu\Programs\Smart Fortress 2012

Adds the file Smart Fortress 2012.lnk”=”13:29 16/03/12 1336 bytes

Registry

دقت کنید در اینجا ۵۲C5 هست ولی در هر سیستم یک عدد رندم می باشد.

===============

[HKEY_CLASSES_ROOT%s]

“(Default)”=”‘529C5′”

[HKEY_CLASSES_ROOT\529C5]

“Content Type”=”‘application/x-msdownload'”

“(Default)”=”‘Application'”

[HKEY_CLASSES_ROOT\529C5\shell\startcommand]

“IsolatedCommand”=”‘”%1″ %*'”

“(Default)”=”‘”%1″ %*'”

[HKEY_CLASSES_ROOT\529C5\shell\runascommand]

“IsolatedCommand”=”‘”%1″ %*'”

“(Default)”=”‘”%1″ %*'”

[HKEY_CLASSES_ROOT\529C5\shell\opencommand]

“IsolatedCommand”=”‘”%1″ %*'”

“(Default)”=”‘”C:\Documents and Settings\All Users\Application

Data529C50F6007459265E197DE0D151FC4E529C50F6007459265E197DE0D151FC4E.exe”

-s “%1″ %*'”

[HKEY_CLASSES_ROOT\529C5\Default\Icon]

“(Default)”=”‘%1′”

[HKEY_CLASSES_ROOT.exe]

“(Default)”=”‘529C5′”

[HKEY_CURRENT_USER\Software\Classes%s]

“(Default)”=”‘529C5′”

[HKEY_CURRENT_USER\Software\Classes.exe]

“(Default)”=”‘529C5′”

[HKEY_CURRENT_USER\Software\Classes\529C5]

“Content Type”=”‘application/x-msdownload'”

“(Default)”=”‘Application'”

[HKEY_CURRENT_USER\Software\Classes\529C5\shell\startcommand]

“IsolatedCommand”=”‘”%1″ %*'”

“(Default)”=”‘”%1″ %*'”

[HKEY_CURRENT_USER\Software\Classes\529C5\shell\runascommand]

“IsolatedCommand”=”‘”%1″ %*'”

“(Default)”=”‘”%1″ %*'”

[HKEY_CURRENT_USER\Software\Classes\529C5\shell\opencommand]

“IsolatedCommand”=”‘”%1″ %*'”

“(Default)”=”‘”C:\Documents and Settings\All Users\Application

Data\529C50F6007459265E197DE0D151FC4E529C50F60074\59265E197DE0D151FC4E.exe”

-s “%1″ %*'”

[HKEY_CURRENT_USER\Software\Classes\529C5\Default\Icon]

“(Default)”=”‘%1′”

یک راه هم هست که می توانید از cmd.exe اقدام کنید! ولی چون تروجان آن را هم می بندد موقتا به نام explorer.exe تغییر دهید! (از این روش تغییر نام برای مرورگرها و نرم افزارهای دیگرهم می توانید استفاده کنید)

[دانش کامپیوتری (Mehrdad32.Ir)]

نوشته‌های مرتبط

دیدگاه بگذارید

avatar
  مشترک  
اطلاع از