ويروس W32/Nahkos.E.worm نامگذاري پاندا يا TR/Crypt.CFI.Gen نامگذاري آنتي واير كه با ايجاد فايلي به نام Kazme__gheyz.exe در تمامي درايوها شناخته مي شود اخيرا با تغييراتي دروني مجددا انتشار يافته است . گفته ميشود اين ويروس توسط يك ايراني ساخته شده است.
تقريبا تمامي انتي ويروسهاي معروف (به جز Panda و Avira AntiVir ) از شناخت و حذف كامل اين ويروس عاجزند .
نسخه قبلي اين ويروس كه با نام P2P-Worm.Win32.Malas.d شناخته ميشد در حال حاضر تقريبا توسط تمام آنتي ويروسهاي معروف قابل شناسايي و حذف است.
آنتي ويروس Panda هر دو نسخه جديد و قبلي را با نام W32/Nahkos.E.worm مي شناسد .
با نگاهي به نتيجه بررسي و اسكن فايل Kazme__gheyz.exe توسط لابراتوارVirusTotal متوجه خواهيد شد كه Kaspersky Internet Security , McAfee , Bitdefender , Nod32 و همچنين AVG قادر به شناسايي اين فايل آلوده نيستند !
اين
ويروس دقيقا مانند ويروس مالاس (يا سالدوست) در كليه درايوها كامپيوتر
فايلي به نام Autorun.inf ايجاد مي كند و با دابل كليك روي هر درايو مجددا
فعال و اجرا مي شود .
در صورتيكه اين دو فايل را حذف كنيم در عرض چند ثانيه مجددا ايجاد مي شود و دوباره نسخه اي از خود را در كليه درايوها كپي مي كند !
همچنين به محض اتصال فلش ديسك يا كارت مموري به سيستم ، نسخه اي از ويروس به اين حافظه ها منتقل مي شوند .
از
جمله نكات جالبي كه در مورد اين ويروس بايد به آن اشاره كردن اينست كه به
محض اجرا شدن در سيستم ، آنتي ويروس موجود در سيستم را ازكار مي اندازد .
فايل
Autorun.inf ايجاد شده توسط اين ويروس (Malas.D.1 ) تقريبا توسط همه آنتي
ويروسها شناخته ميشود ولي بدليل ذخيره فايلهاي پشتيبان اين ويروس در
مسيرهاي مختلف سيستم ، اين فايل نيز مجددا ايجاد مي شود .
توجه كنيد كه
تمام فايلهاي ايجاد شده توسط اين ويروس خصوصيت مخفي (Hidden) و سيستمي
(System) دارند و در حالت عادي قابل مشاهده نيستند .
نكته : براي مشاهد كليه فايلهاي مخفي و همچنين سيستمي ميبايست وارد My computer شده و به مسير زير برويد :
سپس گزينه Show Hidden Files And folders را تيكدار
و گزينه Hide Protected Operating System Files را از حالت انتخاب خارج نماييد .
نسخه جديد به جز كپي فايل Kazme__gheyz.exe و Autorun.inf در كليه درايوها ، دو فايل با نام Service.exe و FSP32.exe را در Windows\System32 و نيز فايلي با نام Virus.exeرا در پوشه Windows ايجاد مي كند .
لذا هربار كه فايلها را از درايوها پاك كنيد ، دوباره ايجاد مي شوند .
در بعضي از سيستمها فايل ديگري نيز در مسير windows\system32\drivers توسط اين ويروس ايجاد مي شود كه باز ۶۵ كيلوبايت است و hideproc.sys نام دارد اما با نام TR/Click.VB.QJ.9 كه يك نوع تروجان است شناخته مي شود (نامگذاري آنتي واير)
اين ويروس همچنين در رجيستري ويندوز در مسير Tools=>Folder Option=>View
كد:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
متغيري به نام Shell ايجاد مي كند كه موجب مي شود تا با هربار اجراي Explorer.exe اين ويروس مجددا ايجاد و فعال گردد.
اين ويروس صفحه خانگي و شروع (HomePage) اينترنت اكسپلورر را به آدرس
كد:
http://www.kazemjoon.mihanblog.com
.
كه آدرس يكي از توزيع كنندگان ايراني اين تروجان است تغيير مي دهد .
با حذف فايلهاي گفته شده و همچنين حذف مسير رجيستري فوق ويروس ازبين مي رود .
نكته بسيار مهم : در طي انجام عمل پاكسازي هيچ درايوي را با دابل كليك باز نكنيد و تنها از طريق نوشتن نام درايو به همراه دونقطه در پنجره RUN درايو مورد نظر را باز كنيد .
روش دوم :
نحوه پاك كردن ويروس kazm_gheyz
ابتدا به قسمت search برويد و دنبال regedit.exe و taskmgr.exe بگرديد و بعد نام انها را اينطور تغيير دهيد . regedit1.exe و taskmgr1.exe
سپس taskmgr1.exe را اجرا كنيد و در تب proccesses به دنبال پروسه اي به نام kazm_gheyz … يا چيزي شبيه به ان بگرديد بعد end proccess را بزنيد تا بسته شود .
از داخل تمام درايوهاتون دو فايل kazm_gheyz.exe و autorun.info را پيدا و پاك كنيد (shift – delete )
نحوه پاك كردن ويروس autorun.info را در ابتداي اموزش ذكر كرده ام .
حالا فايل regedit1 را اجرا كنيد و از منوي edit گزينه find را انتخاب كنيد و كلمه kazm را سرچ كنيد هرجا كه پيدا شد كليد delete را بزنيد و پاك كنيد براي يافت گزينه بعدي F3 را بزنيد و بازهم پاك كنيد تا همه رجيستري از اين نام پاك شود
به internet explorer برويد و از منوي tools گزينه internet options را انتخاب كنيد و home page را روي use blanked بزنيد
اگه ويروس از بين نرفت اين كارها را چند بار تكرار كنيد تا ديگر اثري از ان باقي نماند .
اين هم برنامه هايي كه اين ويروس را از بين مي برند mycomputer
را باز كنيد و از منوي tools گزينه folder options ا انتخاب كنيد و به تب
view بريد و تيك show hidden files and folders را بزاريد و تيك دو تا
گزينه پايينيش كه با hide شروع ميشه را برداريد و apply كنيد
http://kazmegheyz.persiangig.com/KGH%20Killer.zip/download
------------------------------------------------------------------------------------------------------------------------
:: برنامه حذف ویروس "کظم غیض" Kazme__Gheyz Remover
را میتوانید از لینک زیر دریافت کنید (لینک اصلاح گردید) :
دریافت برنامه حذف ویروس کظم غیض : Kazme__Gheyz Cleaner
یا
لینک مستقیم دانلود Kazm Remover
حجم : 450 کیلوبایت / نوع فایل : Zip
قبل از دانلود لطفا به توضیحات زیر نیز توجه کنید :ابتدا برنامه را از حالت فشرده خارج کنید ( کلیک راست روی فایل و انتخاب Extract Files ).
سپس برنامه را یکبار اجرا کنید و سپس سیستم را ری استارت کنید و مجددا برنامه را اجرا کنید .
قبل از ری استارت کردن سیستم ، در پنجره RUN عبارت Regedit.exe را نوشته و اجرا کنید تا وارد برنامه ویرایش رجیستری شوید .
سپس به منوی EDIT
رفته و گزینه Find
را انتخاب کنید و در آن عبارت Kazm را بنویسید
و هر عبارتی که پیدا کردید آن را حذف کنید و همینطور ادامه دهید و کلیه این عبارات در رجیستری را پاک کنید . ( با زدن F3 عبارت بعدی جستجو می شود ).
توجه : بهیچوجه در طی انجام این کارها روی درایوها دابل کلیک نکنید چون ویروس مجددا فعال می شود .
برای باز کردن درایو در پنجره RUN نام درایو مورد نظر به همراه یک دونقطه بنویسید و OK بزنید .
مثلا برای باز کردن درایو سی
برای آنکه دوباره به این ویروس آلوده نشوید یک آنتی ویروس بروز شده نصب کنید و همچنین سی دی ها و فلش مموری های خود را نیز اسکن کنید .
برای آشنایی با عملکرد این ویروس و دیگر اطلاعات راجع به آن به مقاله قبلی من در لینک زیرنسخه جديد ويروس " Kazme Gheyz " و درماندگي Nod32 , Kaspersky,McAfee,Bitdefender,AVG !
مراجعه کنید .
خوشحال می شوم اگر ایراد برنامه را هم با من درمیان بگذارید .
با تشکر - الیاس ملکی معاف
بر گرفته شده از وبلاگ مهندس الیاس ملکی معاف
من مهدی غلامی میاندهی کارشناس نرم افزار کامپیوتر و دانشجوی کارشناسی ارشد هستم . امیدوارم لحظات خوبی را در این وبلاگ داشته باشید.