عملكرد تروجان Kazme_gheyz.exe  بهمراه روش حذف و ازبين بردن اين ويروس
( اختصاصي www.ACS.ir )

ويروس W32/Nahkos.E.worm (نامگذاری پاندا ) یا TR/Crypt.CFI.Gen (نامگذاری آنتی وایر) كه با ايجاد فايلي به نام Kazme__gheyz.exe در تمامي درايوها شناخته مي شود اخيرا با تغييراتي دروني مجددا انتشار يافته است . ( اين ويروس توسط يك ايراني ساخته شده )



تقريبا تمامي انتي ويروسهاي معروف (به جز Panda و Avira AntiVir ) از شناخت و حذف كامل اين ويروس عاجزند .
نسخه قبلی این ویروس که با نام P2P-Worm.Win32.Malas.d شناخته میشد در حال حاضر تقریبا توسط تمام آنتی ویروسهای معروف قابل شناسایی و حذف است .
 آنتی ویروس Panda هر دو نسخه جدید و قبلی را با نام W32/Nahkos.E.worm می شناسد .

لینک پاندا در مورد اين ویروس :

من نسخه ای از فایل اصلی این ویروس را که 65 کیلوبایت حجم داشت را در سایت www.Virustotal.com آپلود کردم كه جدول زیر نتیجه بررسی آن توسط آنتی ویروسهای معروف جهان را نشان می دهد :

File kazme__gheyz.exe received on 05.26.2008 15:26:47
 (CET) By Eliass Maleki Moaf / www.ACS.IR
File size: 66560 bytes
Result: 12/32 : 37.5%

Antivirus

Version

Last Update

Result

AhnLab-V3

2008.5.22.1

2008.05.26

-

AntiVir

7.8.0.19

2008.05.26

TR/Crypt.CFI.Gen

Authentium

5.1.0.4

2008.05.26

W32/VB-EMU:VB-Backdoor-HRS-based!Maximus

Avast

4.8.1195.0

2008.05.26

-

AVG

7.5.0.516

2008.05.25

-

BitDefender

7.2

2008.05.26

-

CAT-QuickHeal

9.50

2008.05.24

-

ClamAV

0.92.1

2008.05.26

-

DrWeb

4.44.0.09170

2008.05.26

BACKDOOR.Trojan

eSafe

7.0.15.0

2008.05.25

Suspicious File

eTrust-Vet

31.4.5823

2008.05.26

-

Ewido

4.0

2008.05.26

-

F-Prot

4.4.4.56

2008.05.23

W32/VB-EMU:VB-Backdoor-HRS-based!Maximus

F-Secure

6.70.13260.0

2008.05.26

Suspicious:W32/Malware!Gemini

Fortinet

3.14.0.0

2008.05.26

Intete!tr

GData

2.0.7306.1023

2008.05.23

-

Ikarus

T3.1.1.26.0

2008.05.26

Trojan.Crypt.CFI

Kaspersky

7.0.0.125

2008.05.26

-

McAfee

5302

2008.05.23

-

Microsoft

1.3520

2008.05.26

-

NOD32v2

3131

2008.05.26

-

Norman

5.80.02

2008.05.23

W32/Smalltroj.EGPF

Panda

9.0.0.4

2008.05.25

W32/Nahkos.E.worm

Prevx1

V2

2008.05.26

-

Rising

20.46.02.00

2008.05.26

-

Sophos

4.29.0

2008.05.26

Mal/Behav-210

Sunbelt

3.0.1123.1

2008.05.17

-

Symantec

10

2008.05.26

-

TheHacker

6.2.92.318

2008.05.23

-

VBA32

3.12.6.6

2008.05.26

-

VirusBuster

4.3.26:9

2008.05.25

-

Webwasher-Gateway

6.6.2

2008.05.26

Trojan.Crypt.CFI.Gen


با نگاهي به نتيجه بررسي و اسكن فايل  Kazme__gheyz.exe توسط لابراتوار VirusTotal متوجه خواهيد شد كه Kaspersky Internet Security , McAfee , Bitdefender , Nod32  و همچنين AVG قادر به شناسايي اين فايل آلوده نيستند !

اين ويروس دقيقا مانند ويروس مالاس (يا سالدوست) در كليه درايوها كامپيوتر فايلي به نام Autorun.inf ايجاد مي كند و با دابل كليك روي هر درايو مجددا فعال و اجرا مي شود .

 در صورتیکه این دو فایل را حذف کنیم در عرض چند ثانیه مجددا ایجاد می شود و دوباره نسخه ای از خود را در کلیه درایوها کپی می کند !
همچنین به محض اتصال فلش دیسک یا کارت مموری به سیستم ، نسخه اي از ویروس به این حافظه ها منتقل می شوند .
از جمله نکات جالبی که در مورد این ویروس باید به آن اشاره کردن اینست که به محض اجرا شدن در سیستم ، آنتی ویروس موجود در سیستم را ازکار می اندازد .

من فایل Kazme__gheyz.exe را در سیستم خودم که روی آن NOD32  آپدیت شده نصب بود ، اجرا کردم و با کمال تعجب نه تنها NOD32 نتوانست این ویروس را شناسایی کند بلکه سیستم پس از چند لحظه ری استارت شد و  NOD32 نیز كاملا از کار افتاد ! و با اجرای مجدد آن با پیام زیر مواجه شدم :

  

همچنين بر روي سيستم ديگري كه كسپرسكي اينترنت سكيوريتي 7  آپديت شده نصب بود نيز اين ويروس موجب از كارافتادن ويروس كش شد !
فايل  Autorun.inf  ايجاد شده توسط اين ويروس (Malas.D.1 )  تقريبا توسط همه آنتي ويروسها شناخته ميشود ولي بدليل ذخيره فايلهاي پشتيبان اين ويروس در مسيرهاي مختلف سيستم ، اين فايل نيز مجددا ايجاد مي شود .
اين فايل حاوي عبارات زير است :
 OPEN=kazme_gheyz.exe
shell\AutoPlay=Open Safely...
shell\AutoPlay\Command=kazme__gheyz.exe /open
shell\open=Open
shell\open\Command=kazme__gheyz.exe /open
shell\open\Default=1
shell\explore=Explore
shell\explore\Command=kazme__gheyz.exe /Explore


توجه كنيد كه تمام فايلهاي ايجاد شده توسط اين ويروس خصوصيت مخفي (Hidden) و سيستمي (System) دارند و در حالت عادي قابل مشاهده نيستند .

نكته : براي مشاهد كليه فايلهاي مخفي و همچنين سيستمي ميبايست وارد My computer‌ شده و به مسير زير برويد :
Tools=>Folder Option=>View

سپس گزينه Show Hidden Files And folders‌ را تيكدار
و گزينه Hide Protected Operating System Files‌  را از حالت انتخاب خارج نماييد .

طریقه حذف :
از آنجایی که این نسخه نسبت به نسخه قبلی تغییر کرده است ، اطلاعات دقیقی از روش حذف  و عملکرد آن توسط لابراتوارهای امنیتی ارائه نشده و به نکاتی ساده بسنده شده است و موارد گفته شده نتيجه تجربيات خودم ميباشد .
در نسخه قبلی می توانستید با پیدا کردن فایل Kazme__gheyz.exe در TaskManager و بستن آن و حذف دستی کلیه فایلهایي كه مشابه آن هستند  و همچنین حذف مدخلهای رجیستری ایجاد شده ( با جستجوی کلمه Kazm در رجيستري ) این ویروس را حذف کنید . همچنين ميتوانيد اينجا  ويا اينجا  مطالعه كنيد .
نسخه قبلی در مواردی رجیستری و TaskManager را از کار می انداخت که برای رفع مشکلات فوق میتوانید به مقالات دیگر من مراجعه کنید .

برای حذف کامل نسخه جدید این ویروس ( كه 65 كيلوبايت حجم دارد ) بهترین توصیه من استفاده از آنتی ویروس Avira Antivir میباشد ( البته باید بروز شده باشد ).
اما نسخه جدید به جز کپی فایل Kazme__gheyz.exe  و Autorun.inf در کلیه درایوها ، دو فایل با نام Service.exe و FSP32.exe را در Windows\System32 و نيز فايلي با نام Virus.exe‌را در پوشه Windows ايجاد می کند .
لذا هربار که فایلها را از درایوها پاک کنید ، دوباره ایجاد می شوند .
در بعضي از سيستمها فايل ديگري نيز در مسير windows\system32\drivers  توسط اين ويروس ايجاد مي شود كه باز 65 كيلوبايت است و hideproc.sys نام دارد اما با نام TR/Click.VB.QJ.9 كه يك نوع تروجان است شناخته مي شود (نامگذاري آنتي واير‌)
اين ويروس همچنين در رجيستري ويندوز در مسير
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

متغيري به نام Shell ايجاد مي كند كه موجب مي شود تا با هربار اجراي Explorer.exe اين ويروس مجددا ايجاد و فعال گردد.
این ویروس صفحه خانگی و شروع (HomePage) اینترنت اکسپلورر را به آدرس
http://www.kazemjoon.mihanblog.com که آدرس یکی از توزیع کنندگان ایرانی این تروجان است تغییر می دهد .

با حذف فايلهاي گفته شده و همچنين حذف مسير رجيستري فوق ويروس ازبين مي رود .
نکته بسیار مهم : در طی انجام عمل پاکسازی هیچ درایوی را با دابل کلیک باز نکنید و تنها از طریق نوشتن نام درایو به همراه دونقطه در پنجره RUN درایو مورد نظر را باز کنید .


من امروز توانستم برنامه كوچكي كه اين تروجان را بكلي ازبين ميبرد را بنويسم و بارها آن را اجرا كردم و با موفقيت ويروس فوق را حذف كرد.
 


در صورتيكه نتوانستيد با توضيحات گفته شده اين ويروس را كاملا حذف كنيد برنامه پاكسازي اين ويروس را مي توانم بصورت رايگان براي شما ارسال كنم . آدرس ميل خودتان را در بخش نظرات قرار دهيد و  به من ميل بزنيد .
 آدرس ايميل من : eliass_maleki @ yahoo.com هست .
 ( حجم اين فايل كمتر از 500 كيلوبايت ميباشد)
این فایل را برای عموم در این پست گذاشته ام : دانلود برنامه حذف کننده ويروس "کظم غیض" Kazme__Gheyz Cleaner
البته در چند روز آينده فايل را براي دانلود همه افراد در سايت قرار خواهم داد.
آنتي ويروس Avira AntiVir  را ميتوانيد از لينك زير دريافت كنيد .

كلمات كليدي اين مطلب :
روش حذف Kazm autorun فايل ويروس تروجان وورم كظم غيض كزم غيز كزم قيز قيض چگونه نابود کردن ویروس
Kazm_gheyz.exe kazme_gheyz.exe kazmgheyz.exe
  طرریقه پاک کردن حذف کردن کزم غیز غیض قیض قیذ کذم کذم قیز ازبین بردن کkazme_gheyz   kazme__gheyz Virus.exe
FSP32.exe autorun.inf  اتوران دات اينف آي ان اف اتو ران
ايراد مشكل اشكال Problem Error open drive local drive cant open open with openwith
درايوها مشكل دارند باز نمي شوند ارور ميدهد نود ناد حذف شده دانلود Download danlod
ويروسي كه ويروس كش را از كار مي اندازد برنامه ویروس کش ويروس کظم غيض . طریقه نحوه
Trojan Malas Worm hide hidden files system Atribute آنتی ویروس آنتی کظم
فايلهاي مخفي سيستمي ReadOnly
Removal tools trojan cleander Kazm Remove how to clean delete kazme__gheyz.exe