پاسخ : هر سوالی از vb دارید بپرسید





ما دیگه چه کنیم؟؟؟شما بگین
نحوه پاک کردن ویروس W32/Saldost

این بد افزار اینترنتی پس از اجرای فایل آن بر روی سیستم کاربر، ابتدا خودش را بر روی سیستم کپی میآ‌کند و سپس با تغییر دادن کلیدهایی در رجیستری باعث بروز مشکلاتی از جمله باز نشدن ‪ Folder Option‬و مخفی نگه داشتن فایلآ‌های مخفی میآ‌شود.
از جمله کارهای دیگر این ویروس این است که خودش را در ریشه همه درایوها با نام ‪ autoply.exe‬کپی کرده و در کنار آن فایلی با نام ‪ Autorun.inf‬ایجاد میآ‌کند.
این عمل باعث میآ‌شود که هر گاه کاربر بخواهد به هر شکلی وارد هر درایوی شود، فایل مربوط به کرم اجرا گردد.
نوع ‪ Autorun‬ایجاد شده به گونهآ‌ای است که اگر فایل ‪ autoply.exe‬که خود کرم است از روی سیستم پاک شده ولی فایل ‪ Autorun.inf‬باقی بماند، با دوبار کلیک کردن بر روی نام درایو پنجره ‪ Open with‬نمایش داده میآ‌شود و کاربر نمیآ‌تواند وارد درایو شود. در این حالت با کلیک راست نمودن بر روی نام درایو و انتخاب گزینه open‬ نیز نمیآ‌توان وارد درایو شد.

این کرم اینترنتی ایرانی بوده که توسط ضدویروس ایمن شناسایی و پاکسازی می شود و پس از اجرای فایل ﺁن بر روی سیستم کاربر، ابتدا خودش را به صورت زیر بر روی سیستم کپی می نماید:
%TEMP%\svchost.exe
%PROGRAMFILES%\Sound Utility\Soundmax.exe
%PROGRAMFILES%\Common Files\Microsoft Shared\MSshare.exe
%WINDIR%\Web\OfficeUpdate.exe

سپس فایل خود با نام svchost.exe در مسیر %TEMP% را اجرا کرده و برای این که با هر بار راه اندازی سیستم ﺁلوده به طور خود کار اجرا گردد، خود را به شکل زیر در رجیستری ثبت می نماید:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVe rsion\Run
SoundMax = %PROGRAMFILES%\Sound Utility\Soundmax.exe

سپس کلیدهای در رجیستری را به شکل زیر تغییر می دهد:

HKCU\Software\Microsoft\Windows\Curr entVersion\Explorer\Advanced
Hidden = ۲
HideFileExt = ۲
ShowSuperHidde n = ۲

HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\Explorer
Nof olderoptions = ۲

HKLM\Software\Microsoft\Windows\CurrentVersion\Pol icies\E xplorer
Nofolderoptions = ۱

HKLM\SOFTWARE\Policies\Microsoft\Windows NT\ SystemRestore
DisableConfig = ۱
DisableSR = ۱

تغییرات فوق باعث بروز مشکلاتی از جمله باز نشدن FolderOption و مخفی نگه داشتن فایلهای مخفی می گردد که برای برطرف کردن این مشکلات می توانید برنامه زیر را از سایت ایمن دانلود کرده و ر جیستری خود را پاکسازی نمایید:

http://www.imenantivirus.com/RegRepair.zip

همچنین کلید IsShortCut را از مسیرهای زیر در رجیستری پاک می کند:
HKEY_CLASSES_ROOT\lnkfile

HKEY_CLASSES_ROOT\piffile

HKEY_CLASSES_ROOT\InternetShortcut

و کلیدی با نام Wintek در مسیر زیر ایجاد می کند:
HKEY_CURRENT_USER\Software \
و کلید زیر را در ﺁن ایجاد می نماید:
Install = b۲ed۳ (Dword – Value i s in hex)

بعد از انجام کارهای فوق تمام برنامه های موجود در زمانبند ویندوز (دستور at) را پا ک کرده و با استفاده از زمانبند ویندوز فایل خود را که با نام OfficeUpdate.exe در مسیر WINDIR%\Web% وجود دارد هر روز در ساعات ۱۱:۳۰ و ۲۰:۳۰ اجرا می نماید.

یکی دیگر از کارهای این کرم این است که خود را در مسیرهای زیر با نام های فریبنده کپی می کند و از ﺁنجایی که برخی از این مسیرها مخصوص برنامه ها ی شبکه های اشتراک گذاری فایل (یا P۲P) هستند، با این کار امکان انتشار ﺁن در سراسر دنیا از طریق اینگونه برنامه ها فراهم می گردد:

%PROGRAMFILES%\Kazaa Lite \My Shared Folder\
%PROGRAMFILES%\Kazaa\My Shared Folder\
%PROGRAMFILES%\I cq\Shared Files\
%PROGRAMFILES%\emule\incoming\
%PROGRAMFILES%\Gnucleus\Do wnloads\Incoming\
%PROGRAMFILES%\KMD\My Shared Folder\
%PROGRAMFILES%\Lime wire\Shared\
%PROGRAMFILES%\XPCode\
C:\Inetpub\ftproot\
به علاوه در مسیرهایی که در ﺁنها فایل های از نوع MP۳ ، JPG یا EXE وجود داشته باشد، خود را با نام zfile.exe کپی می کند. همچنین خود را با نام setup.exe و setlib.exe در مسیرهای زیر کپی می کند:
\WINDOWS\system۳۲\config\systemprofile\My Documents\

\WINDOWS\system۳۲\config\systemprofile\Start Menu\Programs\

\WINDOWS\system۳۲\config\systemprofile\Start Menu\Programs\Accessories\

\WINDOWS\system۳۲\ config\systemprofile\Start Menu\Programs\Accessories\Entertainment\

WINDOWS\system۳۲\config\systemprofile\Start Menu\Programs\Startup\…

\WINDOWS\system۳۲\drivers\

\WINDOWS\system۳۲\spool\drivers\

\WINDOWS\system۳۲\spool\drivers\w۳۲×۸۶\۳\

این کرم برای اینکه بتواند خود را درون شبکه تکثیر کند، کامپیوترهای موجود در آن را جستجو کرده و با استفاده از درایوهای به اشتراک گذاشته شده، سعی میآ‌کند خودش را به شکل زیر بر روی آن سیستمآ‌ها کپی کند:

C$\Documents and Settings\All Users\Start Menu\Programs\Startup\AdobeUpdate.exe

این کار باعث میآ‌شود که پس از راهآ‌اندازی آن سیستمآ‌ها، ویروس به طور خودکار اجرا شده و عملیات تکثیری خود را بر روی آنها انجام دهد.
از جمله کارهای جالب این ویروس این است که خودش را در ریشه همه درایوها با نام autoply.exe کپی کرده و در کنار آن فایلی با نام Autorun.inf ایجاد میآ‌کند.

این عمل باعث میآ‌شود که هر گاه کاربر بخواهد به هر شکلی وارد هر درایوی شود، فایل مربوط به کرم اجرا گردد.
نوع Autorun ایجاد شده به گونهآ‌ایست که اگر فایل autoply.exe که خود کرم است از روی سیستم پاک شده ولی فایل Autorun.inf باقی بماند، با دوبار کلیک کردن بر روی نام درایو پنجره Open with نمایش داده میآ‌شود و کاربر نمیآ‌تواند وارد درایو شود. در این حالت با کلیک راست نمودن بر روی نام درایو و انتخاب گزینه Open نیز نمیآ‌توان وارد درایو شد. برای برطرف نمودن این مشکل بایستی فایل زیر را از روی سایت ایمن دانلود نموده و آن را بر روی سیستم خود اجرا نمایید:

http://www.imenantivirus.com/NoAutorun.zip

این کرم فایلی با نام Important.htm را در مسیرهای زیر بر روی سیستم کاربر کپی میآ‌نماید که حاوی جملاتی به زبان فارسی است:
%USERPROFILE%\Desktop\
%USERPROFILE%\My Documents\
یکی از نشانهآ‌های ویروس به نمایش درآوردن نواری زرد رنگ در بالای صفحه همراه با جملاتی فارسی با رنگ قرمز است

پاسخ : هر سوالی از vb دارید بپرسید

ممنون که وقت گذاشتید . فقط 2 دقیقه خوشحال بودم بعد حالم گرفته شد .
برنامه Trojan.Win32.Delf.aam رو نصب و اجرا کردم . اولش خوب بود و فایل های
مخفی آشکار شد ولی این برنامه هم مثل برنامه های قبلی که خودم داشتم از کار
می افته . به شکل زیر نگاه کنید :

http://aks98.com/images/e7j5ns4526mpfld5vdy.jpg

هرقت تیک show hidden رو میزنم و بعد از ok از برنامه خارج میشم دوباره به حالت
اول خودش بر میگرده . در شکل بالا کاملا دیده میشه .

پاسخ : هر سوالی از vb دارید بپرسید

یه سوال در مورد VB داشتم
چرا فایلهای اجرائی vb نیاز به runtime های مخصوص خودشون دارن ؟مثل MSVB60.dll
میکروسافت چرا برای این محصول خودش این چندتا دونه dll را هم ضمیمه ویندوزش نکرده ؟