close
تبلیغات در اینترنت
ویروس Recycler یا W32.Lecna.H
دوشنبه 04 تیر 1397
نویسنده : مدیریت |

ويروس recycler که نام علمي آن W32.Lecna.H مي باشد در تمام درايوها فايل autorun.inf و پوشه اي سيستمي به نام recycler را کپي مي کند.با وصل کردن فلش مموري به سيستم آن هم آلوده اين ويروس مي شود.
اين ويروس از يک فايل batch براي تغيير رجيستري و اجراي خودش همرا با startup ويندوز استفاده مي کند.
همچنین فایلهای زیر را می سازد:

کد:
AUTORUN.INF
confi.exe
Config.ini
Recycler.exe
uninstx.exe
keyvect.dll
netscv.exe


اين ويروس بسيار خطرناک بوده و با متصل شدن به سايت هاي مخرب ، کدهاي خطرناک و مخرب را دانلود مي کند که باعث سرقت اطالاعات محرمانه شما مي شوند.این سایت عموما به آدرس های زیر هستند:

کد:
http://www.km-nyc.com/thrMilitary/thrba
http://www.km-nyc.com/thrMilitary/thrap
http://www.km-nyc.com/thrMilitary/thrmya or http://tmtech.com.cn/thrMilitary/thrba
http://tmtech.com.cn/thrMilitary/thrap
http://tmtech.com.cn/thrMilitary/thrmya


اکثر آنتي ويروس ها اين ويروس را شناسايي کرده اما قادر به پاک کردن آن نمي باشد.

روش پاک سازي

1.دکمه هاي ctrl+alt+del را زده تا پنجره task manager باز شود.در ميان پروسه ها CTFMON.EXE پيدا کرده و آن را قطع کنيد.
2.فايل CTFMON.EXE را جستجو و سپس پاک کنيد.
3.از منوي start به run رفته و بنويسيد msconfig و سپس در پنجره باز شده به تب startup رفته و تيک گزينه CTFMON.EXE را برداريد و Ok کنيد.
4.ويندوز را restart کنيد و با safe mode بالا بياييد.(به اين صورت که پشت سر هم F8 را زده،safe mode را انتخاب کرده و با يوزر خودتان وارد شويد.

5.حالا بدون اينکه کليک اضافي کنيد از منوي استارت وارد run شويد و بنويسيد cmd تا وارد محيط command prompt شويد سپس با استفاده از دستور زير صفات system file/folder , hidden , read only را از فايل autorun.inf و پوشه recycler بگيريد و بعد با وارد شدن به هر درايو اين دو را پاک کنيد.

کد:
ATTRIB -R -H -S d:filename


جاي [d:] نام درايو و جاي filename نام فايل را پوشه را بنويسيد.اين کار براي باري تمام درايو ها و همه فايل هاي autorun.inf و پوشه recylcer انجام دهيد.مثال:

کد:
ATTRIB -R -H -S c:autorun.inf

6.محتويات سطل آشغال را پاک کنيد.

7.در run بنويسيد regedit را وارد ويرايشگر رجيستري شويد.سپس کلیدهای زیر را پیدا و پاک کنید.

کد:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun "Windows Recycled" = "%System%Recycler.exe" HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun "uninstx.exe" = "%System%uninstx.exe" HKEY_LOCAL_MACHINESOFTWAREMicrosoftNetWorkSetup "pid" = [RANDOM NUMBER] HKEY_LOCAL_MACHINESOFTWAREMicrosoftNetWorkSetup "hostid" = [ENCRYPTED HEXIDECIMAL CHARACTERS


و کلیدهای زیر را پیدا کرده و مقدارشان را به حالت اولیه برگردانید.

کد:
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced "HideFileExt" = "0" HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced "HideFileExt" = "1"


8.ويندوز را ري استارت کرده و پيشنهاد مي شود که با يک آنتي ويروس آپديت شده اسکن کنيد.

نکته بسیار مهم:

سیستم های با فرمت درایو ntfs در هر درایو فولدری به نام recycler دارند که ویروس نمی باشد.یعنی همین اول نگویید که ویروس است.اگر علائم ویروس مثل ارور و ... را دیدید یعنی این ویروس که همنام فولدر سیستمی می باشد سیستمتان را آلوده کرده است که به روش بالا آن را پاکسازی کنید.

منبع:
Abolfazl.E
ترفندستان

امتیاز : نتیجه : 5 امتیاز توسط 7 نفر مجموع امتیاز : 20


نمایش این کد فقط در ادامه مطلب

تاریخ : سه شنبه 31 ارديبهشت 1392 | نظرات ()بازدید : 9400

انتشار ویروسی خطرناک از طریق USB تاریخ : پنجشنبه 29 خرداد 1393
خطای The disk is write protected تاریخ : یکشنبه 18 خرداد 1393
ویروس A.s.K.jpg.exe تاریخ : جمعه 16 اسفند 1392
ویروس boot.exe تاریخ : جمعه 16 اسفند 1392
فایلهای پنهان شده تحت فایلهای دیگر در سیستم فایل ntfs تاریخ : جمعه 16 اسفند 1392
وقت آن رسیده که تاریخ : چهارشنبه 06 آذر 1392
مقایسه نموداری تست آنتی ویروس ها در ماه مارس 2013 تاریخ : سه شنبه 08 مرداد 1392
هک حساب بانکی شما و افزایش امنیت حساب اینترنتی تاریخ : پنجشنبه 27 تیر 1392
ويروس Godzilla یا MS32DLL.dll.vbs تاریخ : پنجشنبه 20 تیر 1392
ویروس Recycler یا W32.Lecna.H تاریخ : سه شنبه 31 اردیبهشت 1392


نام
ایمیل (منتشر نمی‌شود) (لازم)
وبسایت
:) :( ;) :D ;)) :X :? :P :* =(( :O @};- :B /:) :S
نظر خصوصی
مشخصات شما ذخیره شود ؟ [حذف مشخصات] [شکلک ها]
کد امنیتی