مدتی است که ویروس ایرانی کظم غیظ در میان کامپیوترها پخش شده این ویروس از یک وبلاگ هاستینگ معروف ایرانی در حال پخش شدن است.

درباره کار این ویروس باید این را هم بیان کنم که اولا توانایی بستن پنجره های باز شده را دارا می باشد علی الخصوص در هنگام کار با اینترنت و پنجره مرورگرها. ثانیا اجازه نصب بعضی از آنتی ویروس ها را نمی دهد. همچنین مانند بسیاری از نرم افزار های مخرب از سرعت ویندوز می کاهد. و در آخر ممکن است با یک بار ری استارت کردن سیستم دیگر ویندوز بوت نشود.

حال چطوری از شرش خلاص بشیم.

نرم افزاری بنام anti kazme gheyz در بازار پخش شده است. با توجه به عدم اعتماد به آن و همچنین شک اینکه این ضد ویروس توسط همان گروه نویسنده ویروس تهیه شده و ترفندی برای انتقال ویرویس بیشتر به کامپیوتر قربانیان است، باعث شده که افراد کمتری از این ضد ویروس استفاده کنند. همچنین تا بحال گزارش مستندی درباره مفید بودن ۱۰۰ در ۱۰۰ این ضد ویروس اعلام نشده است. شما قادرید که این ضد ویروس را از لینک زیر دانلود کنید؛

http://rs206.rapidshare.com/files/83546664/anti_kazme_gheyz.zip

اما روش دیگری که تست آن جواب داده است اینست که ابتدا باید از طریق سی دی ویندوز سیستم را بوت کنید سپس درایو ویندوز را فرمت کرده و دوباره ویندوز را نصب کنید این کار باعث غیر فعال شدن ویروس می شود. پس از اتمام مراحل نصب ویندوز به هیچ وجه حتی My Computer راهم باز نکنید و بلافاصله برنامه آنتی ویروس قوی مانند KasperSky بر روی کامپیوتر نصب کرده و کامپیوتر با بصورت کامل Scan Virus کنید. دقت کنید که قبل از اتمام کار و Restart کردن کامپیوتر هیچ برنامه ای را باز نکرده و به هیچ جایی از کامپیوتر سر نزنید. بعد از اینکار کامپیوتر شما پاک می شود. دقت کنید که همیشه آنتی ویروس خود را بروز نگه داشته و از باز کردن برنامه ها و مراجعه به سایت های مشکوک جداً خودداری کنید.

در جایی دیگر آقای راما شکیبا دانشجوی ترم ۴ نرم افزار دانشگاه آزاد قزوین روشی مانند روش بالا ولی با کمی تفاوت بیان کرده است که ممکن است برای کسانیکه روش بالا کارا نبوده مفید واقع شود؛

ابتدا باید از طریق سی دی ویندوز سیستم را بوت کنید سپس درایو ویندوز را فرمت کرده و دوباره ویندوز را نصب کنید این کار باعث غیر فعال شدن ویروس می شود. پس از اتمام مراحل نصب ویندوز به هیچ وجه حتی My Computer راهم باز نکنید وقبل از هر کاری گزینه ی Run در منوی را انتخاب کنید و نام یکی از درایو هایتان را در آن بنویسید مثلا: : C سپس در Folder Option در قسمت View تیک گزینه ی Hide prptected opreating system files را بر دارید با بر داشتن تیک یک پیغام Warning به شما داده می شود که باید آنرا Yes کنید . حالا می توانید ویروس را در درایو خود ببیند اگر دقت کنید یک فایل دیگر با نام autorun.inf هم وجود دارد که باید آنرا به هم راه فایل Kazme_Gheyz پاک کنید. برای همه ی درایو ها این کار را انجام دهید.سپس برای اطمینان در سرچ ویندوز با نام kazm برای تمام درایو ها سرچ کنید و فایل های پیدا شده را پاک کنید.بعد از آن در Run تایپ کنید regedit تا رجیستری باز شود سپس کلید های ctrl و F را بگیرید ودر پنجره باز شده تایپ کنید kazm تا کلید های مربوط به ویروس را پیدا کند هر کلید را که پیدا کرد مطمئن شوید که ویروس است سپس آن را پاک کنید و با کلید F3 کلید های دیگر را پیدا کنید.
در نهایت برای اطمینان کامل NOD32 را نصب کرده و سیستم را جست و جو کنید.
باید بگویم اگر در مرحله آخر ویروس یابی را انجام ندهید نمی توانید اطمینان به پاک شدن سیستم داشته باشید.
در آخر نکات مهم را یاد آوری می کنم :

۱- تا انجام تمام کار ها قبل از نصب NOD32 اصلا My Computer را باز نکنید چون این ویروس از نوع Aoutorun است و با این کار مجددا فعال می شود.
۲-به هیچ وجه تا انجام تمام کار ها سیستم را ری استارت نکنید.

از انجایی که سیستم خود من هم به این ویروس آلوده شده بود و از هیچ جایی نتوانستم کمکی برای پاک کردن آن بگیرم این مطالب را که خودم بعد از ۲۴ ساعت تلاش به آنها پی بردم در اینجا نوشتم . امیدوارم در صورت آلوده شدن با این ویروس این نوشته ها به شما کمک کند.

البته درجایی دیگر آرش نظر خود رو بدین صورت بیان کرده؛
منم این ویروس رو گرفتم این ویروس دو تا فایل به اسم Virus.exe در Windows و service.exe در system32. اگه دو تا فایل الکی exe. با همین اسم ها درست کنیم و در browse آن ها جایگزین کنیم ویروس از کار می افته . حالا برای جلوگیری از دوباره فعال شدن فایل ها آن ها را read-only می کنیم . تا دیگه فعال نشه.

این ترفند کار می کنه اما چون فایل آسیب دیده ممکنه درایو ها با اون فایل های الکی باز بشه که فقط باید آن ها رو Close کنید تا وارد درایو بشید این مشکل رو هنوز حل نکردم.

این ویروس خودشو تویsystemroot%E Explorer.exe % کپی کرده وتا وقتی که desktop و explorer.exe کار می کنن . ویروس کپی و اجرا می شه برای حذف فایل های ویروس قبل از جایگزینی فایل Service.exe رو از task manger غیر فعال End task کنید.

در پایان پیشنهاد انقلابی هم اینست که تمامی کامپیوتر را فرمت کرده و از اول شروع کنید که ناخوشایندترین کاری است که میشه انجام داد.

منابع:
انجمن های تخصصی iran-eng.com
انجمن های تخصصی ilearn.ir
انجمن های تخصصی ittoolbox.com