نمایش نتایج: از شماره 1 تا 10 از مجموع 10
سپاس ها 3سپاس
  • 1 توسط th95
  • 2 توسط Hakimi

موضوع: روش از بین بردن ویروس Win32/Serpip.A

  
  1. #1
    نام حقيقي: مهدی

    عضو عادی شناسه تصویری mehdi_zx
    تاریخ عضویت
    May 2010
    محل سکونت
    تهران
    نوشته
    367
    سپاسگزاری شده
    34
    سپاسگزاری کرده
    95

    روش از بین بردن ویروس Win32/Serpip.A

    سلام در تاریخ 2012/7/10 یک ویروس منتظر شده به نام Win32/Serpip.A این ویروس خودشو به فایلهای exe می چسبانه و باعث میشه اون فایل انتی ویروس ویرئس بشناسش F:\kes8.1.0.831_wksfswin_en.exe - Win32/Serpip.A virus - cleaned - quarantined و فایل exe را quarantined ببره من تو سایت esat یک مطلب دیدم
    Threat Encyclopaedia
    Win32/Serpip.A

    Aliases: Worm.Win32.Fipp.a (Kaspersky), Virus:Win32/Morto.A (Microsoft), W32.Morto.B (Symantec), W32/Pift (McAfee)
    Type of infiltration: Virus
    Size: 47 KB
    Affected platforms: Microsoft Windows
    Signature database version: 7286 (20120710)




    Short description

    Win32/Serpip.A is a file infector. Installation

    When executed, the virus moves the following files (source, destination):
    • %system%\wmicuclt.exe, %system%\wmicuclt



    The virus creates copies of the following files (source, destination):
    • %system%\wscript.exe, %system%\wmicuclt.exe



    The virus modifies the following file:
    • %system%\wmicuclt.exe



    The virus writes the program code of the malware into the file.

    The virus registers itself as a system service using the following name:
    • Remote Access Connection Service (%system%\wmicuclt.exe)



    The following Registry entries are created:
    • [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Servic es\
      360rp]
      "Start" = 4
    • [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Servic es\
      zhudongfangyu]
      "Start" = 4
    • [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Servic es\
      ekrn]
      "Start" = 4



    The virus creates and runs a new thread with its own program code within the following processes:
    • svchost.exe



    Executable file infection

    Win32/Serpip.A is a file infector.

    The virus searches for executables with one of the following extensions:
    • .exe



    Executables are infected by appending the code of the virus to the last section.

    The size of the inserted code is 47 KB.

    The host file is modified in a way that causes the virus to be executed prior to running the original code.

    The virus inserts the following text/marker into the header of the infected executable files:
    • PPIF



    The marker is used to determine whether the file is already infected or not. Spreading

    Win32/Serpip.A is a virus that spreads via shared folders.

    The virus tries to copy itself into shared folders of machines on a local network.

    The following usernames are used:
    • administrator
    • admin
    • user
    • test



    The following passwords are used:
    • 0
    • 1
    • 3
    • 3.1415926
    • 7
    • 12



    If it succeeds, the virus creates copies of the following files (source, destination):
    • \\%hostname%\ADMIN$\system32\wscript.exe,
      \\%hostname%\ADMIN$\system32\wmicuclt.exe



    It infects the following files:
    • \\%hostname%\ADMIN$\system32\wmicuclt.exe



    The file is then remotely executed.

    The virus registers itself as a system service using the following name:
    • Remote Access Connection Service (wmicuclt.exe)



    Other information

    The virus connects to the following addresses:
    • d.ppns.info
    • .e.ppift.net.
    • .e.ppift.com.
    • .e.ppift.in.



    The virus can download and execute a file from the Internet.

    The virus may create and run a new thread with its own program code within any running process.

    The virus may delete the following Registry entries:
    • [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\
      Run]
      "V3 Session Process"
      "MSC"
      "F-Secure Manager"
      "F-Secure TNB"
      "a-squared"
      "IKARUS-GuardX"
      "ShStatEXE"
      "Sophos AutoUpdate Monitor"
      "AVP"
      "AVG_TRAY"
      "egui"
      "360sd"
      "360Tray"
      "G Data AntiVirusTray Application"
      "BDAgent"
      "BitDefender Antiphishing Helper"
      "avgnt"
      "kxesc"
      "Trend Micro Client Framework"
      "RavTRAY"
      "APVXDWIN"
    • [HKEY_USERS\%variable%\SOFTWARE\Microsoft\Windows\C urrentVersion\
      Run]
      "V3 Session Process"
      "MSC"
      "F-Secure Manager"
      "F-Secure TNB"
      "a-squared"
      "IKARUS-GuardX"
      "ShStatEXE"
      "Sophos AutoUpdate Monitor"
      "AVP"
      "AVG_TRAY"
      "egui"
      "360sd"
      "360Tray"
      "G Data AntiVirusTray Application"
      "BDAgent"
      "BitDefender Antiphishing Helper"
      "avgnt"
      "kxesc"
      "Trend Micro Client Framework"
      "RavTRAY"
      "APVXDWIN"



    A string with variable content is used instead of %variable%.
    ولی روش از بین بردنش ننوشته بود ممنون می شوم یکی راهنمای کنه برای از بین بردن این ویروس چی کار می شه کرد







    موضوعات مشابه:

  2. #2
    نام حقيقي: مهدی

    عضو عادی شناسه تصویری mehdi_zx
    تاریخ عضویت
    May 2010
    محل سکونت
    تهران
    نوشته
    367
    سپاسگزاری شده
    34
    سپاسگزاری کرده
    95
    دوستا یک کمک می کنند این ویروس جدیدا منتشر شده و به کلیه فایلهای exe میچسبه و باعث ازبین رفتن اون فایل می شه دوستان تو شبکه ای این ویروس نیفتاده از مدیران انجمن خواهشمند هستم برای از بین بردن این ویروس راه کاری ارعه بدن با تشکر



  3. #3
    نام حقيقي: Mohammad

    عضو ویژه شناسه تصویری th95
    تاریخ عضویت
    Sep 2008
    نوشته
    4,263
    سپاسگزاری شده
    5765
    سپاسگزاری کرده
    2674
    نوشته های وبلاگ
    20
    یکی از فایلهای آلوده شده رو فشرده کنید (با Winrar) رمز هم روش بذارید و اپلود کنید تا ما هم بررسی کنیم


    VMwares سپاسگزاری کرده است.

  4. #4
    نام حقيقي: مهدی

    عضو عادی شناسه تصویری mehdi_zx
    تاریخ عضویت
    May 2010
    محل سکونت
    تهران
    نوشته
    367
    سپاسگزاری شده
    34
    سپاسگزاری کرده
    95
    متاسفانه همون طور که شما گفتین دارم این کارو می کنم یک فایلی که از شرکت به خانه اوردم حجمش زیاده و قابل اپلود نیست ولی حتما این کار را م یکنم دقیقا این ویروس دونوع فعالیت داره یکی تمامی فایلهای exe را به عنوان ویروس می شناسه و می بره در قسمت قرطینه ولی اگر فایل از قرطینه خارج کنی فایل قابل درست هست ولی باز ویروسی هست و دومین مشکلی که تو شبکه به وجود اورده remote desktop غیر فعال می کنه هرچی تو فرم های و گوگل سرچ کردم مطلبی گیرم نیامد جز اونی که تو سایت esat گفته بود من برام مهم نیست فایل اجرای را به عنوان ویروس می شناسه می خواهم بدانم که جه طوری باید پاکش کرد از شبکه چون هر چی کار کنی تو شبکه با وجود این ویروس می شه دوباره کاری ممنون می شوم دوستان و اساتید بنده یک جستجوی در این مورد بکنند به ببیند روشی برای از بین بردن این ویروس هست



  5. #5
    نام حقيقي: مهدی

    عضو عادی شناسه تصویری mehdi_zx
    تاریخ عضویت
    May 2010
    محل سکونت
    تهران
    نوشته
    367
    سپاسگزاری شده
    34
    سپاسگزاری کرده
    95
    Firefox Setup 13.0.1
    این مرورکر فایر فاکس هست که به این ویرس الوده شده پسورد فایل persian



  6. #6
    نام حقيقي: محمد حکیمی

    Administrator شناسه تصویری Hakimi
    تاریخ عضویت
    Dec 2002
    محل سکونت
    تهران
    نوشته
    6,549
    سپاسگزاری شده
    6798
    سپاسگزاری کرده
    1035
    نوشته های وبلاگ
    4
    فایل کم حجم تر نداشتین؟!
    یه فایل چند کیلوبایتی بذارین که بشه درست بررسی کرد.

    تکمیل:
    این هم یک ویروس است مانند بقیه ویروس ها و نکته خاصی ندارد. فقط Antivirus تان باید مناسب و به روز باشد تا بتواند آن را شناسایی و فایل های ویروسی را پاک کند. برای نمونه آنتی ویروس های محصول Microsoft به خوبی آن را می شناسند و ویروس را از فایل جدا کرده و حذف می کنند.
    http://www.microsoft.com/security/po...tid=2147658559


    mehdi_zx و l_f سپاسگزاری کرده‌اند.

  7. #7
    نام حقيقي: الهه

    عضو عادی
    تاریخ عضویت
    Jun 2012
    محل سکونت
    Izmir
    نوشته
    104
    سپاسگزاری شده
    12
    سپاسگزاری کرده
    107
    آنتی ویروس که اینو شناسائی میکنه !
    کسپر و نورتون

    برای پاک کردن به صورت دستی هم فایلهای رجیستری معرفی شده در سایت eset رو اپک کنید
    سایتهایی که بهشون لاگین میکنه رو با آی پی لوکال به فایل هاست خودتون اضافه کنید
    فایلهایی هم که ایجاد میکنه رو پاک کنید



  8. #8
    نام حقيقي: مهدی

    عضو عادی شناسه تصویری mehdi_zx
    تاریخ عضویت
    May 2010
    محل سکونت
    تهران
    نوشته
    367
    سپاسگزاری شده
    34
    سپاسگزاری کرده
    95
    شناسایی می شه ولی قدرت از بین بردنش نداره یعنی اگر فایل Exe توسط این ویروس الوده بشه قدرت اینکه سالم کنه اون فایل ویروسی را نداره و قسمت سالم از قسمت الوده جدا کنه انتی ویرس اون فایل را به عنوان ویروس می شناسه و اون فایل دیگه قابل استفاده نیست و ریموت دسکتاب غیر فعال می کنه در کل به این اسونی از بین نمی ره



  9. #9
    نام حقيقي: محمد حکیمی

    Administrator شناسه تصویری Hakimi
    تاریخ عضویت
    Dec 2002
    محل سکونت
    تهران
    نوشته
    6,549
    سپاسگزاری شده
    6798
    سپاسگزاری کرده
    1035
    نوشته های وبلاگ
    4
    همانطور که عرض کردم آنتی ویروس های محصول مایکروسافت مانند Security Essentials و Forefront Endpoint Protection قدرت پاکسازی فایل ویروسی را دارند.



  10. #10
    نام حقيقي: امیرحسین فتوحی

    عضو عادی شناسه تصویری Star-x
    تاریخ عضویت
    Jan 2011
    محل سکونت
    نیشابور
    نوشته
    743
    سپاسگزاری شده
    347
    سپاسگزاری کرده
    198
    http://free.avg.com/za-en/remove-serpip
    من که نتونستم وارد بشم، شما اگه تونستی خوش بحالت!



کلمات کلیدی در جستجوها:

how to remove worm.win32.fipp.a

ویروس .exe

روش کشتن ویروس win32

سورس ویروس Win32

پاک کردن ویروس .exe

ویروس win32

از بین بردن ویروس .exe

وسروس win32 executed in svchost

ازبين بردن ويروس .exe

از بين بردن ويروس win32

راه از بين بردن ويروس مهدي

از بین برنده ویروس Conficker Virus Remover - Conficker

serpip b virus

serpip virus

egui.exe پاک کردن

ویروس exe

روش از بين بردن ويروس fipp

Morto.A virus حذف ویروس

يعني جه win32 application

svchost ازبین بردن ویروس

fipp.a ویروس روش انتشار

fipp ویروس

virus fipp.a

serpip.b virus remover

براي از بين بردن ويروس win32 چه كار بايد كرد

برچسب برای این موضوع

مجوز های ارسال و ویرایش

  • شما نمی توانید موضوع جدید ارسال کنید
  • شما نمی توانید به پست ها پاسخ دهید
  • شما نمی توانید فایل پیوست ضمیمه کنید
  • شما نمی توانید پست های خود را ویرایش کنید
  •