ویروس با پسوند eml.*

سلام دوستان یه ویروسی تو شبکه یه شرکتی افتاده پدر مارو در آورده .این ویروس با پسوند eml کل شبکه پخش شده و به اسم اون کامپیوتر روی بقیه کامپیتر ها یه پاکت نامه میسازه با پسوند eml .
آنتی ویروس این شرکت [B][U]K7 [/U][/B]!!!!!!! البته [B][U]اورجینال[/U][/B] !!! هستش . این آنتی ویروس تنها کاری که میکنه روی این ویروس وقتی روی او پاکت نامه کلیک میکنی پاکش میکنه و یا وقتی اسکن میکنی چه بصورت لوکالی چه بصورت اکسترنالی فقط اون پاکت نامه هارو پاک میکنه ( البته تو حالت لوکالی کامل پاک نمیکنه ) .
و به مرور سیستم از کار می افته و هیچ نرم افزاری دیگه کار نمیکنه .
اول اینو بگم امکان تعویض آنتی ویروس نیستش .

بنظرتون چیکار کنم روی چند تا از سیستمها نرمافزار تروجان کیلر نصب کردم پیداشون میکنه اما فقط همون پاکت نامه هارو

منتظرم دوستانی که به این مشکل بر خوردن راهنمایی کنن .

دوست عزیز من با توجه به این مشکل انتی ویروست اصلی نیست شما یه انتی ویروس شرهقش یا جی دیتا نصب کن البطه لایسنس دار مشکلت خل میشه این ویروس روی dll ویندوز اسیب ایجاد میکنه و باعث از کار افتادن فایل های پرسس dll میشه
اگه راهنمایی خواستی من در خدمت شما هستم

[COLOR="silver"][SIZE=1]- - - ادامه - - -[/SIZE][/COLOR]

اویرا یا جی دیتا

دوست من آنتی ویروس اورجینال هست و لایسنس داره
و خدمتتون گفتم امکان تعویض آنتی ویروس نیست

کاوه جان از نظر شما اصلی بودن انتی ویروس پولی که پرداخت کردید ولی از نظر من که سالها در حوزه پشتیبانی انتیوروسی چون اویرا و جی دیتا و مکافی و کسپر کار کردم این نوع ویروس از طریق ایمیل میاد
[COLOR=#070F14][FONT=Verdana]1- Restart your computer in safe mood[/FONT][/COLOR]
[COLOR=#070F14][FONT=Verdana]2- Search the files with the extention '.eml' Click start and then click at search type .eml only in the search box and select all drives for it then search and delete all the files.[/FONT][/COLOR]
[COLOR=#070F14][FONT=Verdana]3- Type regedit in RUN and then OK.Press Ctrl + F and type runouse then find it and delete all the entries which showed up.[/FONT][/COLOR]

[COLOR="silver"][SIZE=1]- - - ادامه - - -[/SIZE][/COLOR]

[COLOR=#000000][FONT=Arial][h=1]W32/Chir-B[/h][TABLE="width: 770"]
[TR]
[TD][FONT=Flama-Medium]Category:[/FONT][/TD]
[TD]Viruses and Spyware[/TD]
[TD][FONT=Flama-Medium]Protection available since:[/FONT][/TD]
[TD]29 Jul 2002 00:00:00 (GMT)[/TD]
[/TR]
[TR]
[TD][FONT=Flama-Medium]Type:[/FONT][/TD]
[TD]Win32 executable file virus[/TD]
[TD][FONT=Flama-Medium]Last Updated:[/FONT][/TD]
[TD]25 Sep 2014 01:35:47 (GMT)[/TD]
[/TR]
[TR]
[TD][FONT=Flama-Medium]Prevalence:[/FONT][/TD]
[TD][IMG]https://www.sophos.com/en-us/medialibrary/Images/Content/Threat%20Center/Threat%20Levels/ithreat0.gif?la=en[/IMG][/TD]
[TD][/TD]
[TD][/TD]
[/TR]
[/TABLE]


[/FONT][/COLOR]
[COLOR=#000000][FONT=Arial]


[COLOR=#666666][URL="https://www.sophos.com/en-us/products/free-tools/virus-removal-tool.aspx"][IMG]https://www.sophos.com/en-us/medialibrary/Images/Common/promoicondl_small.gif?la=en?w=17&h=16&as=1[/IMG][FONT=Flama-Medium]Download our free Virus Removal Tool[/FONT] - Find and remove threats your antivirus missed[/URL][/COLOR]


[LIST]
[*=left][URL="https://www.sophos.com/en-us/threat-center/threat-analyses/viruses-and-spyware/W32~Chir-B.aspx"]Summary[/URL]
[*=left][URL="https://www.sophos.com/en-us/threat-center/threat-analyses/viruses-and-spyware/W32~Chir-B/detailed-analysis.aspx"]More information[/URL][/LIST]


W32/Chir-B is an email worm, an EXE file infector and an HTM/HTML file
infector.

The worm component of the virus attempts to spread via email by sending
itself to email addresses found in the Windows address book, plus address
found in files matching:
*.ADC
*R.DB
*.DOC
*.XLS

The email will have the following characteristics:
From: <username>@yahoo.com or imissyou@btamail.net.cn
Subject line: <username> is comming!
The body of the email will be blank.
Attached file: Name of infected file.

The email contains the Iframe exploit and a MIME exploit to run the virus
automatically when the email is viewed.

When run the virus will copy itself into the Windows system folder as
runouce.exe and sets the registry entry
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Runonce to point to
this new copy of the virus. This will cause the virus to be started when
Windows starts up. The virus continually monitors this registry entry so
that any attempt to change or delete the entry will result in the entry
being reset with the value described above.

On the first of the month the virus will overwrite the first 1234 bytes of
files matching *.ADC, *R.DB, *.DOC and *.XLS with garbage.

The virus searches for HTM and HTML files on both the local system and
network drives. If files of this type are found in a folder then a file
named readme.eml is created in that folder and a line of HTML code is appended
to the HTM and HTML files. The HTML code contains a short JavaScript
component that is intended to open the file readme.eml. The file readme.eml
contains a base64 encoded copy of the virus.

A second EML file with the same contents as readme.eml may also appear in
folders on network drives. This file will have the filename
<computername>.eml.

The virus also infects Windows executables on both local and network
drives, but will not infect files in folders matching "wind*" or "winn*",
including all sub folders of those folders.
As a result of this files in folders with names such as Windows or Winnt will
not be infected.

W32/Chir-B employs a technique which will cause the virus to be restarted
if its process is terminated.


[h=3]Free Mac Anti-Virus[/h]
[LIST]
[*=left][URL="https://www.sophos.com/en-us/products/free-tools/sophos-antivirus-for-mac-home-edition.aspx"]Download our free Anti-Virus for Mac OS X[/URL][/LIST]

[h=3]Popular Topics[/h]
[LIST]
[*=left][URL="http://blogs.sophos.com/"]Sophos Blog[/URL]
[*=left][URL="https://www.sophos.com/en-us/security-news-trends/whitepapers.aspx"]Sophos Whitepapers[/URL]
[*=left][URL="https://www.sophos.com/en-us/products/free-trials.aspx"]Try us for free[/URL][/LIST]



[COLOR=#666666][URL="https://www.sophos.com/en-us/products/free-trials.aspx"][IMG]https://www.sophos.com/en-us/medialibrary/Images/Common/download25x25.gif?la=en?w=25&h=25&as=1[/IMG][FONT=Flama-Medium]Try Sophos products for free[/FONT]
Download now[/URL]

[/COLOR]
[/FONT][/COLOR]

[COLOR="silver"][SIZE=1]- - - ادامه - - -[/SIZE][/COLOR]

1-یه سی دی بوت انتی ویروس اویرا یا کسپر به روز شده ژیدا کن در حالت بود سیستم رو اسکن کن مشکلت حل میشه
2- شرکت https://www.sophos.com واسه این ویروس یه نرم افزار تولید کرده که دانلود کن پاک میکنه
اینم لینکش https://www.sophos.com/en-us/threat-center/threat-analyses/viruses-and-spyware/W32~Chir-B/detailed-analysis.aspx

[COLOR="silver"][SIZE=1]- - - ادامه - - -[/SIZE][/COLOR]

یه نرم افزار هم معرفی میکنم نصب کن حتما کمکت میکنه herdProtectScan.exe
ببخشید نتونستم خوب راهنمایی کنم

ممنون از راهنمایی جامعت
الان همرو تست میکنم