رهایی کامل از ویروس Smart Fortress 2012. این روزها اکثر کامپیوترهای شخصی آلوده به این تروجان میشوند و یکی از جالبترین تروجان های ممکن میباشد! همه چیز را میبندد!
این تروجان در شکل یک آنتی ویروس غیر واقعی (McAfee: FakeAlert-SecurityTool.bt, Generic FaleAlert.ama) به سیستم قربانی حمله کرده و تقاضای اسکن رایگان میکند؛ بعد از اسکن نزدیک 100 عدد ویروس در سیستم شما پیدا می کند که برای حذف آنها باید نرمافزار کذایی را خریداری کنید! و به غیر از Explorer.exe و چند مورد دیگر چیزی را نمیتوانید اجرا کنید! چون آنها را آلوده به ویروس میداند!
یکی دیگر از نشانههای این تروجان یک آنتیویروس غیر واقعی (Fake) به شکل زیر میباشد:
تنها راه خلاصی از این تروجان وحشت ناک که در مواردی با تغییر ویندوز هم از بین نمیرود را در ادامه مطلب میتوانید مشاهده نمایید.
Smart Fortress 2012
تنها راه خلاصی از این تروجان وحشتناک که در مواردی با تغییر ویندوز هم از بین نمیرود را در زیر مینویسیم:
اول ) این برنامهی کذایی (تروجان) را با کد زیر ثبت کنید (Active):
AA39754E-715219CE
در این صورت نرمافزار به شما اجازه میدهد از همه نرمافزارهای دیگر استفاده کنید. ولی کار ما تمام نشده و سیستم آلوده هست!
دوم ) اصل فایل را از برنامههای نصب شده در کنترل پنل پاک کنید (با رفتن مرحلهی اول تنها این راه ممکن است.)
سوم ) فایل زیر را پاک کنید :
%AppData\%{random characters}\{random characters}.exe
یا
C:\ProgramData\{random characters}\{random characters}.exe
چهارم ) {می توان از این مرحله چشم پوشی کرد.} من از ویروس Change Log گرفتم که موارد زیر را تولید می کند؛
میتوانید آنها را هم پاک کنید:
File System
دقت کنید در اینجا 529C50F6007459265E197DE0D151FC4E هست ولی در هر سیستم یک عدد رندم میباشد.
===============
Adds the folder C:\Documents and Settings\All Users\Application Data\529C50F6007459265E197DE0D151FC4E
Adds the file 529C50F6007459265E197DE0D151FC4E”=”13:29 16/03/12 328 bytes
In the existing folder C:\Documents and Settings\{username}\Desktop
Adds the file Smart Fortress 2012.lnk”=”13:29 16/03/12 1324 bytes
Adds the folder C:\Documents and Settings\{username}\Start Menu\Programs\Smart Fortress 2012
Adds the file Smart Fortress 2012.lnk”=”13:29 16/03/12 1336 bytes
Registry
دقت کنید در اینجا 52C5 هست ولی در هر سیستم یک عدد رندم می باشد.
===============
[HKEY_CLASSES_ROOT%s]
“(Default)”=”‘529C5′”
[HKEY_CLASSES_ROOT\529C5]
“Content Type”=”‘application/x-msdownload'”
“(Default)”=”‘Application'”
[HKEY_CLASSES_ROOT\529C5\shell\startcommand]
“IsolatedCommand”=”‘”%1″ %*'”
“(Default)”=”‘”%1″ %*'”
[HKEY_CLASSES_ROOT\529C5\shell\runascommand]
“IsolatedCommand”=”‘”%1″ %*'”
“(Default)”=”‘”%1″ %*'”
[HKEY_CLASSES_ROOT\529C5\shell\opencommand]
“IsolatedCommand”=”‘”%1″ %*'”
“(Default)”=”‘”C:\Documents and Settings\All Users\Application
Data529C50F6007459265E197DE0D151FC4E529C50F6007459265E197DE0D151FC4E.exe”
-s “%1″ %*'”
[HKEY_CLASSES_ROOT\529C5\Default\Icon]
“(Default)”=”‘%1′”
[HKEY_CLASSES_ROOT.exe]
“(Default)”=”‘529C5′”
[HKEY_CURRENT_USER\Software\Classes%s]
“(Default)”=”‘529C5′”
[HKEY_CURRENT_USER\Software\Classes.exe]
“(Default)”=”‘529C5′”
[HKEY_CURRENT_USER\Software\Classes\529C5]
“Content Type”=”‘application/x-msdownload'”
“(Default)”=”‘Application'”
[HKEY_CURRENT_USER\Software\Classes\529C5\shell\startcommand]
“IsolatedCommand”=”‘”%1″ %*'”
“(Default)”=”‘”%1″ %*'”
[HKEY_CURRENT_USER\Software\Classes\529C5\shell\runascommand]
“IsolatedCommand”=”‘”%1″ %*'”
“(Default)”=”‘”%1″ %*'”
[HKEY_CURRENT_USER\Software\Classes\529C5\shell\opencommand]
“IsolatedCommand”=”‘”%1″ %*'”
“(Default)”=”‘”C:\Documents and Settings\All Users\Application
Data\529C50F6007459265E197DE0D151FC4E529C50F60074\59265E197DE0D151FC4E.exe”
-s “%1″ %*'”
[HKEY_CURRENT_USER\Software\Classes\529C5\Default\Icon]
“(Default)”=”‘%1′”
یک راه هم هست که می توانید از cmd.exe اقدام کنید! ولی چون تروجان آن را هم می بندد موقتا به نام explorer.exe تغییر دهید! (از این روش تغییر نام برای مرورگرها و نرم افزارهای دیگرهم می توانید استفاده کنید)
[دانش کامپیوتری (Mehrdad32.Ir)]
