کاربری
کاربر گرامی به خوش آمدید . اگر این نخستین بازدید شما از سایت است , لطفا ثبت نام کنید:
نمایش نتایج: از شماره 1 تا 1 , از مجموع 1
  1. #1
    دیگه صاحب خونه هستن مدال ها:
    Most Popular

    تاریخ عضویت
    ۱۳۹۱-فروردین-۱۸
    محل سکونت
    یه گوشه خلوت شیراز
    نوشته ها
    2,711
    امتیاز : 18,843
    سطح : 86
    Points: 18,843, Level: 86
    Level completed: 99%, Points required for next Level: 7
    Overall activity: 0%
    افتخارات:
    Social50000 Experience PointsTagger First ClassVeteran
    تشکر کردن : 9,547
    تشکر شده 17,700 در 2,736 پست
    مخالفت
    0
    مخالفت شده 3 در 3 پست

    پیش فرض جدا و نابود سازی وارم gphone.exe

    این کرم اولین بار در سال 2009 ساخته شد و آن چنان هوشمند نبود است .اما به مرور با هوش با هوش تر گریده

    نشانه شناخت این کرم :

    یک پنجره حاویه یک پیغام برای شما بر روی Desktop نمایش می دهد که در اول خط آن نوشته است gphone.exe یک دیسک نیست و آن را بر روی سیستم قرار دهید . در کل gphone.exe را یک دیسک می داند که باید حتما بر روی سیستم باشد و به هیچ وجه پیغام برداشته نمی شود .

    کار هایی که بر روی سیستم انجام می دهد :

    خودش را در تماما Drive ها و Directory ها پخش می کند و Folder Option را هم پاک می کند و فایل های خود را مخفی می کند همینطور در Task Manager و همچین Task Manager را هم می بندد و در نتیجه تمام Drive هایی که خود را در آن ها پخش کرده است بجز درایوی که ویندوز در آن نصب شده است می بندد و اجازه ورود به کاربر داده نمی شود . بعد از بستن Task Manager هم gpedit.msc و همینطور regedit را می بندد البته در ویندوز های XP . که شما می توانید از طریق قسمت mmc که در Run وارد می کنید تمام این برنامه هایی که گفته شد را مجدد باز کنید . در ویندوز ویستا و 7 به نحوی دیگر عمل می کند . ما مبنی را بر روی XP می گذاریم .

    این کرم خود را از طریق yahoo messenger و یا Google Talk توسعه می دهد به این صورت که برای Add List شما ایمیل هایی آلوده می فرستند .

    خوب شما می توایند با انجام روش های زیر که بیان می شود بر این کرم مقلوب شوید :

    این کرم خود را از طریق سایت خود به صورت مخفیانه به روز می کند که در وحله اول باید دسترسی به این سایت را در سیستممان ببندیم .

    بدین منظور ما وارد آدرس زیر می شویم :

    کد:
    C:\Windows\System32\drivers\etc
    C همان درایوی هست که ما ویندوز را در آن نصب کردیم .
    در این مسیر فایل hosts را Edit می کنیم با دادن پسوند txt. و در آخر خط آن IP localhost خودمان را می دهیم و مقابل آن آدرس سایت مورد نظرمان که می خواهیم آن را مصدود کنیم که به صورت زیر می شود :
    کد:
    127.0.0.1 rnd009.googlepages.com
    127.0.0.1 www.rnd009.googlepages.com
    و در آخر تغییرات را ذخیره می کنیم و پسوند فایل که txt. هست را بر می داریم یعنی بدون هیچ پسوندی ذخیره می کنیم . حال خواهید دید که دیگر کاربر نمی تواند وارد آن سایت شود .

    شما این کار را هم می توانستید از طریق خود Browser هایتان انجام دهید ولی باید تک تک برای آن ها مشخص کنید.

    که برای دو Browser IE , FireFox توضیح می دهیم همین کار را :

    IE :
    بدین منظور :
    کد:
    Tools/Internet Options/content
    و در قسمت content Advisor بر روی Enable کلیک کنید و آدرس سایت مورد نظرتان را بدهید و بر روی Never کلیک کنید و بعد یک Password برای تنظیمات خود انتخاب کنید .

    FireFox :
    بدین منظور :
    کد:
    Tools/Options/Content
    و بعد بر روی گزینه دوم ( Exceptions ) کلیک کنید و آدرس سایتتان را وارد کنید و بر روی گزینه Block کلیک کنید .

    بعد از این کار ها ما باید Process های فعال این کرم را ببندیم و برای این کار ما نیاز به داشتن Task Manager داریم که خوب قبلا این کرم زحمت بستن آن را کشیده است و ما باید مراحل فعال سازی آن را انجام دهیم که باز هم برای ما فایده ای ندارد زیرا Process های فعال آن مخفی هستند بدین منظور از Tools که در آخر مبحث ضمیمه کردم و برای راحتی کار نوشتیم استفاده کنید . برنامه به شما همان محیط Task Manager را می دهد و Process های مخفی را هم به شما نمایش می دهد و همینطور می توانید آن ها را غیر فعال کنید و در قسمت دیگر آن می توانید فایل هایی که گفته می شود را در Directory های مختلف جستجو کنید و حتی اگر آنها مخفی باشند که هستند پیدا کنید و پاکشان کنید .

    Process هایی که باید در Task Manager غیر فعال کنید :
    کد:
    DEFAULT_NOT_SET.exe
    New Folder.exe
    gphone.exe
    ممکن هست پروسس DEFAULT_NOT_SET.exe وجود نداشته باشد اشکالی ندارد .

    بعد از اینکار می رویم برای پاک کردن رد پا های این کرم و در نهایت خود کرم را نابود کنیم .
    همیشه یادتان باشد که برای نابودی کرم ها باید اول مکان هایی که برای انجام عملیات از آن ها استفاده می کنند را نابود کنید و بعد آخر کار به خود کرم اصلی حمله کنید تا دیگر قدرتی برای خود نداشته باشد .

    این کرم در Regedit تغییراتی ایجاد می کند که آدرس های آن مکان ها را به شما عزیزان می دهم و شما به آن مکان ها بروید و آن ها را پاک کنید .

    مکان در رجیستری :
    کد:
    HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\WorkgroupCrawler\Shares\"shared " = "[ROOT FOLDER]\New Folder.exe"
    HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run\"Yahoo Messengger" = "%System%\gphone.exe"
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\"Shell" = "Explorer.exe gphone.exe"
    HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\S chedule\”AtTaskMaxHours” = "0"
    HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\S chedule\"NextAtJobId" = "2"
    HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\System\"DisableTaskMgr" = "1"
    HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\System\"DisableRegistryTools" = "1"
    HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\Explorer\"NofolderOptions" = "1"
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\"Default_Page_URL" = "http://rnd009.googlepages.com/google.html"
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\"Default_Search_URL" = "http://rnd009.googlepages.com/google.html"
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\"Search Page" = "http://rnd009.googlepages.com/google.html"
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\"Start Page" = "http://rnd009.googlepages.com/google.html"
    HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\"Start Page" = "http://rnd009.googlepages.com/google.html"
    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Int ernet Explorer\Control Panel\"HomePage" = "1"
    HKEY_CURRENT_USER\Software\Policies\Microsoft\Inte rnet Explorer\Control Panel\"HomePage" = "1
    "
    بعد از این کار هم می رویم سراغ قسمت دیگر آن ما اگر اکنون اول gphone.exe را پاک کنیم فایده ای ندارد زیرا باز هم ساخته می شود در نتیجه می فهمیم که باید اول فایل های به نام های زیر را پاک کنیم

    فایل های مورد نظر :
    کد:
    %DriveLetter%\autorun.inf
    %Windir%\Tasks\At1.job
    [ROOT FOLDER]\autorun.inf
    C:\disk.txt
    %System%\autorun.ini
    %System%\setting.ini
    با این کار ما کلا کرم را فلج کردیم حال می رویم سراغ خود کرم ناقولا

    فایل های اصلی خود کرم :
    کد:
    %Windir%\gphone.exe
    %System%\gphone.exe
    %System%\DEFAULT_NOT_SET.exe
    C:\Documents and Settings\All Users\Desktop\gphone.exe
    %Temp%\gphone.exe
    %System%\gphone.exe
    %DriveLetter%\New Folder.exe
    %DriveLetter%\gphone.exe
    [ROOT FOLDER]\New Folder.exe
    [ROOT FOLDER]\gphone.exe
    حال دیگر کامل کرم را نابود کردیم .

    بنده به شما پیشنهاد می کنم تک تک تنها فایل های گفته شده را در برنامه ضمیمه شده وارد کنید و در تک تک درایو هایتان آن ها را جستجو کنید ممکن است غیر از مسیر هایی که در بالا گفتم در مکان های دیگری هم پخش شده باشند .

    حال نوبت به آن می رسد که بعد از جنگ خرابی ها را مرمت کنیم . باید Folder Options را بر گردانید و همینطور Task Manager و ...

    که بنده پیوند هایی برای کمک به شم می دهم :

    فعال کردن gpedit.msc در صورت نیاز :
    کد:
    http://forums.techarena.in/windows-software/1101487.htm
    فعال کردن Regedit در صورت نیاز :
    کد:
    Start>>Run>>gpedit.msc>>System>>Prevent Access to Registry Editing Tools (set this to DISABLED
    )
    فعال کردن Task Manager
    کد:
    http://www.softwaretipsandtricks.com...indown-xp.html
    شاد پیروز باشید
    ==--==--==--==--==--==

    ==--==--==--==--==--==

  2. 2 کاربر از پست مفید عرض از مبدا تشکر کرده اند .


اطلاعات موضوع

کاربرانی که در حال مشاهده این موضوع هستند

در حال حاضر 1 کاربر در حال مشاهده این موضوع است. (0 کاربران و 1 مهمان ها)

علاقه مندی ها (Bookmarks)

علاقه مندی ها (Bookmarks)

مجوز های ارسال و ویرایش

  • شما نمیتوانید موضوع جدیدی ارسال کنید
  • شما امکان ارسال پاسخ را ندارید
  • شما نمیتوانید فایل پیوست کنید.
  • شما نمیتوانید پست های خود را ویرایش کنید
  •  
درباره ما

جامعه مجازی رهپویان به عنوان شبکه اجتماعی اعضاء کانون فرهنگی رهپویان وصال از سال 1381 و به عنوان یکی از قدیمی ترین تالارهای گفتمان فضای وب فارسی مشغول به فعالیت می باشد. تمامی تلاش دست اندرکاران مجموعه، فراهم آوردن محیطی سالم، مفید و آموزنده برای کاربران گرامی می باشد بدیهی است مطالب درج شده نظرات کانون رهپویان وصال نبوده و نظرات رسمی در سایت رهپویان وصال درج می گردد.

ارسال پیام به مدیر سایت
session بارگذاری مجدد کد امنیتی مندرج در تصویر را وارد کنید:
شادی روح 14 شهید کانون فرهنگی رهپویان وصال صلوات

Content Relevant URLs by vBSEO 3.6.1