مدتی است ویروسی با نام های fbi وfbi.gov.id با مضمون Moneypak و اسامی دیگر از هکران ناشناسی در حال انتشار است که مرورگر را قفل میکند و میخواهد مقداری پول به حساب GreenDot Moneypak بریزید تا ظرف سه روز سیستم تان به حالت قبل بازگردد!!
با تحقیقاتی که انجام دادیم به این نتیجه رسیدیم که این ویروس (Hijacker-malware)در ایران از طریق سرورهای یکی از فیلرشکنها به سیستم ها نفوذ کرده و پس از گرفتن عکس (در صورت نصب وب کم) سیستم را آلوده کرده و مرورگر را قفل میکند و در چند روز اخیر این ویروس تغییر داده شده و شدیدتر گردیده است بطوریکه سبب قفل شدن کامل رایانه می شود.
عکسی که این ویروس نشان میدهد مشابه با شکل های زیر است:
2
3
4
راه حل ها:
راه حل پیشنهادی ما:
در صورتی که کامپیوتر شما قفل شده . اگر کاربر حرفه ای هستید ، از طریق برنامه hirenboot vd یا blcboot یا active boot disk suite نسبت به ساخت یک یوزر جدید در ویندوز در محیط بوت اقدام کنید.سپس وارد یوزر ساخته شده شوید و نسبت به حذف ویروس به یکی از روشهای زیر اقدام کنید:
2- راه حل پیشنهادی ما:
نصب برنامه قدرتمند spyhunter . که سیستم شما را چک و ویروس کشی می کند. دانلود از این لینک
(در صورتیکه ویندوز بطور کلی قفل شده باید کامپیوتر را خاموش کرده و سپس روشن کنید و با زدن کلید f8 گزینه safemode with network رو انتخاب و وارد ویندوز شوید.برای حذف دستی از طریق روش دستی (افراد حرفه ای) به راه حل 3 مراجعه شود.یا از همین روش استفاده کنید: در ویندوز کلید های ctrlو R را همزمان فشار دهید تا run باز شود و سپس در کادر ان آدرس زیر را جهت دانلود spyhunter وارد کنید:
iexplore http://www.spywarehelpcenter.com/remove
ضمنا با توجه به اینکه این شرکت برنامه های خود را به ایران نمی فروشد کرک اش رو اینجا براتون ساختیم میتونید دانلود کنید:
http://iranci.persiangig.com/VirusRemover/patchshunter.exe/download
و دانلود برنامه spyhunter از سایت سازنده اش و لینک کمکی ازسافت 98.*حجم حدود 45 مگابایت*
3- کاربران حرفه ای:
از طریق یکی از روش های فوق وارد ویندوز شده و یکی از دو مسیر زیر را در پیش بگیرید:
الف - فایل مورد نظر در مسیرهای زیر را حذف کنید:
C:Documents and SettingsStart MenuProgramsStartup ctfmon.lnk
C:Documents and SettingsStart MenuProgramsStartup.lnk
C:UsersAppDataRoamingMicrosoftWindowsStart MenuProgramsStartup ctfmon.lnk
C:UsersAppDataRoamingMicrosoftWindowsStart MenuProgramsStartup .lnk
C:UsersAppData.exe
C:Documents and SettingsLocal SettingsTemp.exe
C:UsersAppDataRoaming.exe
C:Program Datalsass.exe
C:Program Data.exe
در ورژن جدید ویروس ، روش بالا جواب نمیدهد!
ب – وارد regedit شوید.به مسیر زیر بروید: (در همون حالت sfe mode)
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun
و از سمت راست فایل ctfmon را حذف کنید.
و این مسیر رو هم باز کنید و این بار shell رو از سمت راست حذف کنید:
HKEY_CURRENT_USERSoftwareMicrosoftWindowsNTCurrentVersionWinlogon
و اصل ویروس رو در یکی از سه مسیر زیر حذف کنید!
- C:/Programdata/(random alpha numerics).exe
- C:/Users(username)/0.(random numbers).exe
- C:/UsersUsername/AppData/(random alpha numerics).exe
4- دانلود یکی از ابزارهای bitdefender با حجم 16 مگابایت و اجرای آن.
از این لینک
آنالیز - مرکز اطلاعات سایبری