ویروس Kazme_Gheyz.exe

روش اول :

ویروس W32/Nahkos.E.worm نامگذاری پاندا یا TR/Crypt.CFI.Gen نامگذاری آنتی وایر که با ایجاد فایلی به نام Kazme__gheyz.exe در تمامی درایوها شناخته می شود اخیرا با تغییراتی درونی مجددا انتشار یافته است . این ویروس توسط یک ایرانی ساخته شده

تقریبا تمامی انتی ویروسهای معروف (به جز Panda و Avira AntiVir ) از شناخت و حذف کامل این ویروس عاجزند .

نسخه قبلی این ویروس که با نام P2P-Worm.Win32.Malas.d شناخته میشد در حال حاضر تقریبا توسط تمام آنتی ویروسهای معروف قابل شناسایی و حذف است .

آنتی ویروس Panda هر دو نسخه جدید و قبلی را با نام W32/Nahkos.E.worm می شناسد .

با نگاهی به نتیجه بررسی و اسکن فایل Kazme__gheyz.exe توسط لابراتوار VirusTotal متوجه خواهید شد که Kaspersky Internet Security , McAfee , Bitdefender , Nod32 و همچنین AVG قادر به شناسایی این فایل آلوده نیستند !

این ویروس دقیقا مانند ویروس مالاس (یا سالدوست) در کلیه درایوها کامپیوتر فایلی به نام Autorun.inf ایجاد می کند و با دابل کلیک روی هر درایو مجددا فعال و اجرا می شود .

در صورتیکه این دو فایل را حذف کنیم در عرض چند ثانیه مجددا ایجاد می شود و دوباره نسخه ای از خود را در کلیه درایوها کپی می کند !

همچنین به محض اتصال فلش دیسک یا کارت مموری به سیستم ، نسخه ای از ویروس به این حافظه ها منتقل می شوند .

از جمله نکات جالبی که در مورد این ویروس باید به آن اشاره کردن اینست که به محض اجرا شدن در سیستم ، آنتی ویروس موجود در سیستم را ازکار می اندازد .

من فایل Kazme__gheyz.exe را در سیستم خودم که روی آن NOD32 آپدیت شده نصب بود ، اجرا کردم و با کمال تعجب نه تنها NOD32 نتوانست این ویروس را شناسایی کند بلکه سیستم پس از چند لحظه ری استارت شد و NOD32 نیز کاملا از کار افتاد ! و با اجرای مجدد آن با پیام زیر مواجه شدم :

همچنین بر روی سیستم دیگری که کسپرسکی اینترنت سکیوریتی 7 آپدیت شده نصب بود نیز این ویروس موجب از کارافتادن ویروس کش شد !

فایل Autorun.inf ایجاد شده توسط این ویروس (Malas.D.1 ) تقریبا توسط همه آنتی ویروسها شناخته میشود ولی بدلیل ذخیره فایلهای پشتیبان این ویروس در مسیرهای مختلف سیستم ، این فایل نیز مجددا ایجاد می شود .

توجه کنید که تمام فایلهای ایجاد شده توسط این ویروس خصوصیت مخفی (Hidden) و سیستمی (System) دارند و در حالت عادی قابل مشاهده نیستند .

نکته : برای مشاهد کلیه فایلهای مخفی و همچنین سیستمی میبایست وارد My computer شده و به مسیر زیر بروید :

Tools=>Folder Option=>View

سپس گزینه Show Hidden Files And folders را تیکدار

و گزینه Hide Protected Operating System Files را از حالت انتخاب خارج نمایید .

برای حذف کامل نسخه جدید این ویروس ( که 65 کیلوبایت حجم دارد ) بهترین توصیه من استفاده از آنتی ویروس Avira Antivir میباشد ( البته باید بروز شده باشد ).

اما نسخه جدید به جز کپی فایل Kazme__gheyz.exe و Autorun.inf در کلیه درایوها ، دو فایل با نام Service.exe و FSP32.exe را در Windows\System32 و نیز فایلی با نام Virus.exeرا در پوشه Windows ایجاد می کند .

لذا هربار که فایلها را از درایوها پاک کنید ، دوباره ایجاد می شوند .

در بعضی از سیستمها فایل دیگری نیز در مسیر windows\system32\drivers توسط این ویروس ایجاد می شود که باز 65 کیلوبایت است و hideproc.sys نام دارد اما با نام TR/Click.VB.QJ.9 که یک نوع تروجان است شناخته می شود (نامگذاری آنتی وایر‌)

این ویروس همچنین در رجیستری ویندوز در مسیر

کد:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

متغیری به نام Shell ایجاد می کند که موجب می شود تا با هربار اجرای Explorer.exe این ویروس مجددا ایجاد و فعال گردد.

این ویروس صفحه خانگی و شروع (HomePage) اینترنت اکسپلورر را به آدرس

کد:

http://www.kazemjoon.mihanblog.com

که آدرس یکی از توزیع کنندگان ایرانی این تروجان است تغییر می دهد .

با حذف فایلهای گفته شده و همچنین حذف مسیر رجیستری فوق ویروس ازبین می رود .

نکته بسیار مهم : در طی انجام عمل پاکسازی هیچ درایوی را با دابل کلیک باز نکنید و تنها از طریق نوشتن نام درایو به همراه دونقطه در پنجره RUN درایو مورد نظر را باز کنید .

++++++++++++++++++++++++++++++++++++++++++++++++++ ++++++++++

روش دوم :

نحوه پاک کردن ویروس kazm_gheyz

ابتدا به قسمت search بروید و دنبال regedit.exe و taskmgr.exe بگردید و بعد نام انها را اینطور تغییر دهید . regedit1.exe و taskmgr1.exe

سپس taskmgr1.exe را اجرا کنید و در تب proccesses به دنبال پروسه ای به نام kazm_gheyz ... یا چیزی شبیه به ان بگردید بعد end proccess را بزنید تا بسته شود .

mycomputer را باز کنید و از منوی tools گزینه folder options ا انتخاب کنید و به تب view برید و تیک show hidden files and folders را بزارید و تیک دو تا گزینه پایینیش که با hide شروع میشه را بردارید و apply کنید

از داخل تمام درایوهاتون دو فایل kazm_gheyz.exe و autorun.info را پیدا و پاک کنید (shift - delete )

نحوه پاک کردن ویروس autorun.info را در ابتدای اموزش ذکر کرده ام .

حالا فایل regedit1 را اجرا کنید و از منوی edit گزینه find را انتخاب کنید و کلمه kazm را سرچ کنید هرجا که پیدا شد کلید delete را بزنید و پاک کنید برای یافت گزینه بعدی F3 را بزنید و بازهم پاک کنید تا همه رجیستری از این نام پاک شود

به internet explorer بروید و از منوی tools گزینه internet options را انتخاب کنید و home page را روی use blanked بزنید

اگه ویروس از بین نرفت این کارها را چند بار تکرار کنید تا دیگر اثری از ان باقی نماند .

این هم انتی ویروسی هایی که این ویروس را از بین می برند

http://rapidshare.com/files/83546664/anti_kazme_gheyz.zip

http://shahedi.persiangig.ir/KazmRemover.zip