چهار شنبه ۶ مرداد ۱۳۸۹, ۱۰:۳۶
منبع مطلب سايت pcworld.
دقيقا اصل مطلب رو كپي كردم.چون به درد خودم خيلي خورد.
روشهای حل مشکل Show Hidden Files و از بین بردن انواع ویروسهای کامپیوتری
سلام دوستان عزیزم
اکثر کاربرانی که به اینقسمت مراجعه می کنند مشکل همگی غیر فعال شدن گزینه Show Hidden Files می باشد .
بنابراین دست به کار شدم تا بتونم روشهای از بین بردن این ویروس را پیدا کنم تاشما راحتر بتونید این ویروس را از روی سیستم خود پاک کنید .
در اين تاپيکقصد دارم راه ها و برنامه هایی را براتون قرار بدم که بتونيد از طريق اين راه هاگزينه ي Show Hidden Files رو که در برنامه ي Folder Option مربوط به Windows Explorer هست را اگر کار نمي کند برگردونيد .
( يعني شما تيک Show Hidden Files رو ميزنيد ولي کار نمي کند و وقتي بر مي گرديد هنوز روي Do Not Show Hidden Files هست ! ) این مشکل به دلیل وجود ویروسهایی متعددی روی سیستم شما بوده است که با پاکشدن انها توسط انتی ویروس ها آثارشون باقي مانده .
حالا از کجاها بفهمیم کهکامیپوتر ما ویروس گرفته است .
موقعي که شما وارد My Computer مي شويد و روي درايو هاي ان راست کليک مي کنيد و در اين هنگام يک گزينهبا يک زبان نامفهوم مطابق عکسي که قرار داده ام را مي بينيد .
یا اینکه وقتی روی درایو هایتان دوبار کلیک می کنید محتوای درایوهای شما در یک صفحه جدید باز می شود .
یا موقع دابل کلیک کردن روی درایو هایتانپنجره Open With باز می شود و به شما می گوید Choose the program you want to use to open this file
یا هنگام کلیک بر روی درایو هایتان error ی به شما داده میشود .
یعنی سیستم شما ویروسی شده است . این ویروس ، ویروس autorun.inf می باشد . نحوه پاک کردن این ویروس را در قسمت پایین گفته ام .
همچنين اينويروس باعث از بين رفتن و پاک شدن Folder Options خواهد شد
و اگر شما گزينه هاي Show hidden files and folders و Hide protected operating system files (Recommended) را مارک دار کنيد با ok کردن پنجره اين گزينه کار نخواهند کرد . ودوباره به حالت اوليه باز خواهند گشت .
همچنين اين ويروس باعث غير فعال شدن Task Manageو Registry Editor خواهد شد .
اگر شما رويگزينه command prompt يا cmd نيز کليک کنيد يا باز نخواهد شد و پيغام زير را خواهدداد يا اينکه به سرعت باز و بسته خواهد شد .
the command prompt has been disabled by your administrator
راههاي ورود اين ويروس از طريق قطعاتيخواهد بود که از طريق usb با سيستم شما ارتباط دارند . قطعاتي مانند فلش مموري ها ( کولديسک ) ، موبايل ها ، رم ريدر ها و ...
نحوه از ببن بردن ویروس autorun.inf
روش اول :
ابتدا وارد My Computer شوید .
بعد از مشاهده لیست درایوها از نواربالا بروی گزینه Tools کلیک کرده سپس گزینه Folder Options را انتخاب کنید
درپنجره جدید باز شده گزینه View را انتخاب کنید و بروی گزینه Show hidden files and folders کلیک کنید تا دایره آن توپر شود .
کمی پایینتر تیک گزینه Hide Protected Operationg System Files را بر دارید.حالا ok کنید
سپس با راست کلیک کردن و زدن open وارد درایو هایتان شوید
(حتما یادتون باشه با راست کلیک کردن و زدن open وارد درایو هایتان شوید اگر دوبار روی درایوی کلیک کنید باز هم ویروس فعال خواهد شدو دوباره همه چیز به حالت اول بر خواهد گشت . پس حتما با راست کلیک کردن و زدن open وارد درایوهایتان شوید)
سپس دنبال یک فایل به نام autorun.inf بگرید و ان را پاککنید برای همه درایو ها این کار را انجام بدید .
بعد از این کار بلافاصله بدونهیچ معطلی سیستم خودتون را ریستارت کنید . یادتون نره حتما حتما بدون انجام هیچکاری سیستم را ریستارت کنید .
روش دوم :
copy.exe تروجانی است که گاهی اوقات در تمامی درایو های شما قرارمیگیره و با هر بار کلیک بر روی درایو ها فایل autorun.inf فایل این فایل را اجرامی کنه .
یکی از روشهای پاک کردن این ویروس این است که ابتدا شما باید پروسههای temp1.exe و temp2.exe رو از بین ببرید . برای این کار ابتدا باید سیستم را بهصورت safe mode راه اندازی کنید .
شما نباید روی درایو ها یتان دابل کلیککنید چون با این کار ویروس autorun.inf که در درایو هایتان قرار دارد باعث فعال شدنپروسه های temp1.exe و temp2.exe می شود .
بعد از راه اندازی سیستم به صورت safe mode شما باید با راست کلیک کردن و زدن گزینه open وارد درایو c ویندوز شده وبه پوشه windows و بعد هم پوشه system32 رفته و دو فایل temp1.exe و temp2.exe راحذف کنید .
البته در بعضی از نسخه های ویروس copy.exe ویروس autorun.inf حتی درون پوشه %win% هم وجود داره بنابراین حتما حتما برای ورود به درایوها پوشه هارا با راست کلیک باز کنید .
نکته : قبل از اینکار باید ابتدا این پروسه هارا از Task Manager پاک کنید . برای این کار با زدن کلید های ترکیبی ctrl + alt + delete وارد Task Manager بشید و پروسه های temp1.exe و temp2.exe را از لیست processes با کلیک بر روی انها و زدن end process حذف کنید .
ویروس autorun.inf با هر بار فعال شدن موجب میشه که دو فایل xcopy.exe و host.exe درونهمون درایو فعال بشن و دوباره دو فایل temp1.exe و temp2.exe رو بسازن.
شمانباید فایل های xcopy.exe را با فایل های خود windows که درون پوشه ی system32 هستند اشتباه بگیرید .
برای تشخیص ویروس xcopy.exe و فایل xcopy.exe که در پوشه system32 است باید از حجم انها این دو را شناسایی کرد اگر فایل xcopy.exe حجمیمعادل 32 کیلو بایت داشت مربوط به خود ویندوز می باشد در غیر این صورت ویروس خواهدبود .
حالا فایلهای سیستمی را مانند ورش اول از حالت هایدن خارج کنید وویروسautorun.inf را پاک کنید و بعد هم به درایوهای خودتون نگاه کنید اگر فایلهاییبا عنوان xcopy.exe و host.exe بودند با خیال راحت پاک کنید .
نحوه پاک کردن ویروس Copy.exe
اسامی دیگر این ویروس host.exe, xcopy.exe, temp1.exe, temp2.exe and svchost.exe,Salga-A worm
این ویروس یکی از خطرناک ترین ویروس ها هست که بهعنوان یک پروسه در سیستم شروع به فعالیت و انتشار خودش می کنه و با توجه به اینکهبعضی از انتی ویروسها به صورت نامناسب این ویروس را پاک می کنند باعث نمایش یکپیغام در زمان دابل کلیک کردن روی درایو و یا فولدر در محیط ویندوز می شوند .
برای پاک کردن دستی این کرم شما باید ابتدا همه پروسه هایی که بانام های host.exe, xcopy.exe, temp1.exe, temp2.exe and svchost.exe,Salga-A worm هستند را پیدا کنید و انها را پاک کنید .
تذکر : مواظب باشید این فایلها را با فایلهای اساسی سیستم عاملاشتباه نگیرید .
مهم :یکی از دلایل اصلی به وجود امدناین مشکل ویروس Autorun.inf هست که شما باید طبق روش هایی که در اموزش گفته ام انرا پاک کنید . این کار را حتما انجام دهید . یعنی حتما باید ابتدا ویروس Autorun.inf را طبق اموزش باید از بین ببرید .
سپس به این ادرس در رجیستری رفته و اگر کلیدی به اسم Copy.exe درزیر منوی MountPoints2 وجود داشت ان را پاک کنید .
كد:
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\MountPoints2
با این برنامه به طور کامل می توانید این ویروسرا از بین ببرید .
كد:
راههاي دستي براي از بينبردن ویروسی که Show Hidden Files را غیر فعال می کند .
1- از Start Menu وارد Run بشيد و در اونجا تايپکنيد : regedit
وقتي صفحه ي رجيستري باز شد ، از سمت چپ وارد اين مسير بشيد :
كد:
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\Advanced
دراين قسمت ، در ليست متغير هايي که سمت راست وجود دارند ، متغير آبي رنگي ( DWORD Value ) رو به نام Hidden پيدا کنيد و روی ان دابل کليک کنيد . اگر مقدارش ( Value data ) به 0 تغيير کرده ، ان را به 1 یا 2 تغییر دهید و OK کنيد . حالا رجيستري روببنديد و ريستارت کنيد .
2- مسير زير رو دنبال کنيد :
كد:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\Advanced\Folder\Hidden
اکنوندر سمت راست پنجره ي Regedit روي Type دو بار کليک کرده و مقدار آن رو برابر با group قرار دهيد ( يعني در پنجره اي که باز ميشه کلمه ي group رو تايپ کنيد ).
با اين کار تونستيد Show Hidden Files از دست رفته را که دیده نمی شدبرگردونید .
3-مسير زير رو دنبال کنيد :
كد:
HK LocalMachine\Software\Microsoft\Windows\CurrentVer sion\Explorer\Advanced\Folder\Hidden\SHOWALL
درسمت راست پنجره ي Regedit مقدار CheckedValue رو برابر با 1 قراربديد.
گرفتن و اجرا کردن این برنامه . وقتی برنامه را اجرا کردید بهاخطار داده شده توجهی نکنید و روی ok کلیک کنید .
كد:
روشی بسیار مفید وبسیار مهم برای رفع تمامی مشکلات
این فایل batch یکی از بهترین روشها برای از بین بردن تمامی ویروسها و همچنین از بین بردنویروس autoran.inf و همچنین فعال کردن گزینه Show hidden files می باشد . پیشنهادمی کنم حتما این فایل را که حجمی ندارد را دانلود کنید و بعد هم اجرا کنید .
ابتدا فایل زیر را دانلود کنید و ان ار توی دسکتاپ ذخیره کنید و بعد همفقط کافی روی اون کلیک کنید تا اجرا شود . بعد از اجرا شدن هر جا از شما سوال پرسیدشما کلید Y را بزنید و بعد هم اینتر را بزنید در اخر تمام ایکونهای دسکتاپ شماناپدید خواهد شد .
در این حالت کلید های ترکیبی CTRL + ALT + DELETE رابزنید تا پنجره task manager باز بشه و بعد از باز شدن تسک منجر به تب shut down برید و گزینه log off را انتخاب کنید بعد از لاگ اف شدن وارد سیتسم شوید .
كد:
راههای دستی برایبرگرداندن قسمتهای حذف شده از سیستم شما .
فعال ساختن ( Registry ( Regedit :
روشاول :
ابتدا وارد منوی start شده و روی گزینه run کلیک کنید و کلمه gpedit.msc را تایپ کنید .
در صفحه Group Policy به مسیر پایین بروید:
User Configuration> Administrative Templates> System
بعد از کلیک نمودنبروی System در سمت راست پنجره Group Policy بالای
Prevent access to registry editing tools دابل کلیک نموده و در تب Setting گزینه Disable را علامت دار نموده وبالای کلید OK کلیک نمایید اما پنجره Group Policy را نبندید!
حالا Regedit فعالشده است و شما میتوانید واردش شوید.
روش دوم :
مسیر زیر را داخل note pad کپی کرده و سپسبا نام Regedit.reg ذخیره کنید و بعد ان را اجرا کنید .
كد:
Windows Registry Editor Version 5.00
REG add HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\System /v DisableRegistryTools /t REG_DWORD /d 0 /f
برگرداندن Run :
در صفحه Group Policy به مسیر پایینبروید:
User Configuration> Administrative Templates> Start Menu and Taskbar
بعد از کلیک نمودن بروی Start Menu and Taskbar، در سمت راست پنجره Group Policy بروی گزینهRemove Run menu from Start Menu دابل کلیک نموده و در تب Setting گزینه Disable را علامت دار نمایید. حالا گزینه Run فعال شدهاست.
برگرداندن Folder Option :
برایبرگرداندن Folder Option به مسیر زیر در پنجره Group Policy بروید:
User Configuration> Administrative Templates> Windows Components> Windows Explorer
بعد از کلیک نمودن بروی Windows Explorer، در سمت راست پنجره Group Policy بروی Removes the Folder Options menu item from the Tools menu دابل کلیکنموده و از تب Setting گزینه Disable را علامت دار نمایید و بروی کلید OK کلیکنمایید .
فعال کردن task manager
برایفعال ساختن Task Manager در کادر محاوروی Run عبارت Gpedit.msc را تایپ نموده واینتر کن و سپس به مسیر پایین برو:
User Configuration > Administrative Templates > System
حالا در زیر شاخه System برویCtr + Alt + Del کلیک کن وسپس در سمت راست صفحه Group Policy بروی Remove Task Manager دابل کلیک نموده و درتب Setting کزینه Disable را علامت دار کن. بعد از آن بروی کلید OK کلیک نموده وپنجره Group Policy را ببند.
روش دوم :
مسیر زیر را داخل note pad کپی کرده وسپس با نام task manager.reg ذخیره کنید و بعد ان را اجرا کنید .
كد:
Windows Registry Editor Version 5.00
REG add HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\System /v DisableTaskMgr /t REG_DWORD /d 0 /f
استفاده از برنامه ای کهدر زیر برای شما معرفی کرده ام
این برنامه قادربه انجام کارهای زیر می باشد .
از بين بردن ويروس هاي ravmon.exe و mdm.exe و SCVHOST.exe و SVCHOST.ini
فعال کردن قسمتهاي زير
NoFolderOptions, NoControlPanel, DisableTaskMgr, DisableRegistryTools, DisableCMD
و بهحالت پيش فرض برگرداندن قسمتهاي زير
كد:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Explorer\Advanced\Folder\Hidden\NOH IDDEN]
“CheckedValue”=dword:00000002
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Explorer\Advanced\Folder\Hidden\NOH IDDEN]
“DefaultValue”=dword:00000002
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\C
urrentVersion\Explorer\Advanced\Folder\Hidden\SHOW ALL]
“CheckedValue”=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Explorer\Advanced\Folder\Hidden\SHO WALL]
“DefaultValue”=dword:00000002
كد:
بعداز اجرا کردن برنامه سیستم خود را ریستارت کنید .
پاک کردن برنامه ی مخربی کهپوشه ها را مخفی ( Super Hidden ) می کند
نامدقیق این برنامه ی مخرب Trojan.Win32.Delf.aam است .
با زبان برنامه نویسی Borland Delphi نوشته شده .
آی...... این Malware * مانند کرم های New Folder.exe و BronTok.A شبیه آی...... یک پوشه است !
بنابراین به سرعت منتشر میشود .
این برنامه ی مخرب تمام پوشه های Open شده توسط قربانی را Super Hidden می کند و یک نسخه از خودش را با همان نام در همان مـسـیـر کـپـی می کـنـدکـه اگـر Victim * آن را اجرا کـنـد هم Malware اجرا می شـود و هم محـتـوی پوشـه ی Super Hidden نمایـش داده می شود !!
یعنی اگه Victim مبتدی باشه به زودیمتوجه نمیشه که چه بلایی داره سر پوشه هاش میاد !
هــمــانــطـــور کـه میدانـیــد برای آشـکار کـردن فایـل ها و پوشـه های Super Hidden باید ابتدا در Folder Options\View روی گزینه ی Show hidden files and folders کلیک کنید و پس ازآن تیک گزینه ی (Hide protected operating system files (Recommended را بردارید وبه پیغام امنیتی پاسخ مثبت و شستی OK را فشار دهید .
این Malware به Victim اجازه ی آشکار کردن پوشه ها و فایل های Super Hidden را نمی دهد !
ضمنا Registry Tools ، Windows Task Manager و Folder Options را Disable نمی کند .
پر واضح است که این برنامه ی مخرب از آشکار کردن پسوند فایل ها هم جلوگیریمی کنه !
برای پاک کردن این ویروس می توانید از برنامه ای که نوشتم استفادهکنید .
كد:
نحوه پاک کردن ویروس W32/Saldost
این بدافزار اینترنتی پس از اجرایفایل آن بر روی سیستم كاربر، ابتدا خودش را بر روی سیستم كپی میكند و سپس با تغییردادن كلیدهایی در رجیستری باعث بروز مشكلاتی از جمله باز نشدن Folder Optionومخفی نگه داشتن فایلهای مخفی میشود.
از جمله كارهای دیگر این ویروس ایناست كه خودش را در ریشه همه درایوها با نام autoply.exeكپی كرده و در كنار آنفایلی با نام Autorun.infایجاد میكند.
این عمل باعث میشود كه هر گاهكاربر بخواهد به هر شكلی وارد هر درایوی شود، فایل مربوط به كرم اجرا گردد.
نوع Autorunایجاد شده به گونهای است كه اگر فایل autoply.exeكه خود كرم است ازروی سیستم پاك شده ولی فایل Autorun.infباقی بماند، با دوبار كلیك كردن بر روینام درایو پنجره Open withنمایش داده میشود و كاربر نمیتواند وارد درایو شود. در این حالت با كلیك راست نمودن بر روی نام درایو و انتخاب گزینه “”openنیزنمیتوان وارد درایو شد
این کرم اینترنتیایرانی بوده که توسط ضدویروس ایمن شناسایی و پاکسازی می شود و پس از اجرای فایل ﺁنبر روی سیستم کاربر، ابتدا خودش را به صورت زیر بر روی سیستم کپی می نماید:
كد:
%TEMP%\svchost.exe
%PROGRAMFILES%\Sound Utility\Soundmax.exe
%PROGRAMFILES%\Common Files\Microsoft Shared\MSshare.exe
%WINDIR%\Web\OfficeUpdate.exe
سپس فایل خود با نام svchost.exe در مسیر %TEMP% را اجرا کرده و برای این که با هر بار راه اندازی سیستم ﺁلوده به طور خودکار اجرا گردد، خود را به شکل زیر در رجیستری ثبت می نماید:
كد:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVe rsion\Run
SoundMax = %PROGRAMFILES%\Sound Utility\Soundmax.exe
سپس کلیدهای دررجیستری را به شکل زیر تغییر می دهد:
كد:
HKCU\Software\Microsoft\Windows\Curr entVersion\Explorer\Advanced
Hidden = ۲
HideFileExt = ۲
ShowSuperHidde n = ۲
HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\Explorer
Nof olderoptions = ۲
HKLM\Software\Microsoft\Windows\CurrentVersion\Pol icies\E xplorer
Nofolderoptions = ۱
HKLM\SOFTWARE\Policies\Microsoft\Windows NT\ SystemRestore
DisableConfig = ۱
DisableSR = ۱
تغییرات فوق باعث بروز مشکلاتی از جمله باز نشدن FolderOption و مخفی نگه داشتن فایلهای مخفی می گردد که برای برطرف کردن این مشکلاتمی توانید برنامه زیر را از سایت ایمن دانلود کرده و ر جیستری خود را پاکسازینمایید:
كد:
همچنینکلید IsShortCut را از مسیرهای زیر در رجیستری پاک می کند:
كد:
HKEY_CLASSES_ROOT\lnkfile
HKEY_CLASSES_ROOT\piffile
HKEY_CLASSES_ROOT\InternetShortcut
و کلیدی با نام Wintek در مسیر زیر ایجاد می کند:
HKEY_CURRENT_USER\Software \
و کلید زیر را در ﺁن ایجاد می نماید:
Install = b۲ed۳ (Dword - Value i s in hex)
بعد از انجام کارهای فوقتمام برنامه های موجود در زمانبند ویندوز (دستور at) را پا ک کرده و با استفاده اززمانبند ویندوز فایل خود را که با نام OfficeUpdate.exe در مسیر WINDIR%\Web% وجوددارد هر روز در ساعات ۱۱:۳۰ و ۲۰:۳۰ اجرا می نماید.
یکی دیگر از کارهای این کرماین است که خود را در مسیرهای زیر با نام های فریبنده کپی می کند و از ﺁنجایی کهبرخی از این مسیرها مخصوص برنامه ها ی شبکه های اشتراک گذاری فایل (یا P۲P) هستند،با این کار امکان انتشار ﺁن در سراسر دنیا از طریق اینگونه برنامه ها فراهم میگردد:
كد:
%PROGRAMFILES%\Kazaa Lite \My Shared Folder\
%PROGRAMFILES%\Kazaa\My Shared Folder\
%PROGRAMFILES%\I cq\Shared Files\
%PROGRAMFILES%\emule\incoming\
%PROGRAMFILES%\Gnucleus\Do wnloads\Incoming\
%PROGRAMFILES%\KMD\My Shared Folder\
%PROGRAMFILES%\Lime wire\Shared\
%PROGRAMFILES%\XPCode\
C:\Inetpub\ftproot\
به علاوه در مسیرهایی که در ﺁنها فایل های از نوع MP۳ ، JPG یا EXE وجود داشته باشد، خود را با نام zfile.exe کپی می کند. همچنین خودرا با نام setup.exe و setlib.exe در مسیرهای زیر کپی می کند:
كد:
\WINDOWS\system۳۲\config\systemprofile\My Documents\
\WINDOWS\system۳۲\config\systemprofile\Start Menu\Programs\
\WINDOWS\system۳۲\config\systemprofile\Start Menu\Programs\Accessories\
\WINDOWS\system۳۲\ config\systemprofile\Start Menu\Programs\Accessories\Entertainment\
WINDOWS\system۳۲\config\systemprofile\Start Menu\Programs\Startup\…
\WINDOWS\system۳۲\drivers\
\WINDOWS\system۳۲\spool\drivers\
\WINDOWS\system۳۲\spool\drivers\w۳۲×۸۶\۳\
اين كرم برای اينكه بتواندخود را درون شبكه تكثير كند، كامپيوترهای موجود در آن را جستجو كرده و با استفادهاز درايوهای به اشتراك گذاشته شده، سعی میكند خودش را به شكل زير بر روی آنسيستمها كپی كند:
كد:
C$\Documents and Settings\All Users\Start Menu\Programs\Startup\AdobeUpdate.exe
اينكار باعث میشود كه پس از راهاندازی آن سيستمها، ويروس به طور خودكار اجرا شده وعمليات تكثيری خود را بر روی آنها انجام دهد.
از جمله كارهای جالب اين ويروس ايناست كه خودش را در ريشه همه درايوها با نام autoply.exe كپی كرده و در كنار آنفايلی با نام Autorun.inf ايجاد میكند.
اين عمل باعث میشود كه هر گاه كاربربخواهد به هر شکلی وارد هر درايوی شود، فايل مربوط به كرم اجرا گردد.
نوع Autorun ايجاد شده به گونهايست كه اگر فايل autoply.exe كه خود كرم است از رویسيستم پاك شده ولی فايل Autorun.inf باقی بماند، با دوبار كليك كردن بر روی نامدرايو پنجره Open with نمايش داده میشود و كاربر نمیتواند وارد درايو شود. در اينحالت با كليك راست نمودن بر روی نام درايو و انتخاب گزينه Open نيز نمیتوان وارددرايو شد. برای برطرف نمودن اين مشكل بايستی فايل زير را از روی سايت ايمن دانلودنموده و آن را بر روی سيستم خود اجرا نماييد:
كد:
اينكرم فايلی با نام Important.htm را در مسيرهای زير بر روی سيستم كاربر کپی مینمايدكه حاوی جملاتی به زبان فارسی است:
كد:
%USERPROFILE%\Desktop\
%USERPROFILE%\My Documents\
یکی از نشانههای ویروس به نمايش درآوردننواری زرد رنگ در بالای صفحه همراه با جملاتی فارسی با رنگ قرمزاست
معرفی برنامه SmitFraudFix
SmitFraudFix ابزاری است برای از بینبردن ویروسهای مانند adware و malware و تروجان و پاکسازی رجیستری
ابتدابرنامه را از لینک زیر دانلود کنید . و ان را روی دسکتاپ قرار بدید .
كد:
کامپیوتررا در حالت safe mode راه اندازی کنید
برای این کار سیستم را ریستارت کنید وقبل از بالا امدن ویندوز کلید F8 را چند مرتبه پشت سر هم بزنید .
از صفحه بازشده گزینه safe mode را انتخاب کنید . و سپس وارد یوزر خودتان شوید .
برنامه Smitfraudfix.exe را اجرا کنید . منتظر بمانید تا صفحه زیر ظاهر شود
سپس یکی از کلید های روی صفحه کلید را فشار دهید تا صفحه زیر ظاهرشود .
عدد 2 را انتخاب کنید یعنی Clean (SafeMode Recommended)0 و سپسکلید اینتر را بزنید
با این کار اسکن کردن و clean کردن سیستم اغاز می شود .
بعد از انجام این مراحل ابزار Disk Cleanup tool اجرا می شود و فایلهای بیمصرف را از روی سیستم پاک می کند .
بعد از Disc Cleanup پنجره زیر نشان داده می شود .
Do you want to clean the registry ؟
ایا شما می خواهید پاکسازی کنید رجیستری را : کلید Y رافشار دهید تا رجیستری بازسازی شود .
Replace infected file ؟
ایا جایگزین کندفایلهای الوده را که شما کید Y را فشار می دهید .
در این هنگام سیستم احتیاج بهیکبار راه اندازی دارد . که سیستم به طور اتوماتیک راه اندازی می شود .
اگر ایناتفاق نیفتاد شما خودتان به صورت دستی این کار را انجام دهید .
در این هنگام فایلی به نام rapport.txt در درایو c ایجاد می شودکه گزارشاتی از کارهای انجام گرفته را به شما می دهد .
همچنین این ابزار فایل های wininet.dll را نیز چک میکند مباداالوده باشند .
نحوه از بين بردن تروجان Win32/Agent.AEC يا ويروس Soundmix.exe
همون طور که مي دونيد اخيرا ويروسيبه نام Soundmix.exe انتشار يافته و باعث الوده شدن بسياري از سيستم هاي خانگي واداره ها شده است . قصد دارم در اين قسمت نحوه پاک کردن اين تروجان را اموزش دهم .
شايع ترين راه انتقال اين ويروس حافظه هاي فلش مي باشد. هرچند که باز کردنبرخي سايت هاي آلوده نيز مي تواند اين ويروس را در سيستم مستقر سازد
اين ويروسبا دستکاري رجيستري ، هر بار که ويندوز راه اندازي مي شود خود را اجرا مي کند. بااجراي هر فايل اجرايي در ويندوز نيز اين فايل اجرا خواهد شد و پس از اجرا Processes آن را به هيچ عنوان نمي توان خاتمه داد.
اين ويروس اجازه ديدن فايل هايپنهان را به کاربر نمي دهد و فايل هايي که مخفي شوند ديگر قادر به مشاهده نخواهندبود. دسترسي به برخي سايت ها ممکن نمي باشد و اين ويروس با اجراي خود منجر به ايجادسربار روي سيستم ، کندي دستگاه ، بسته شدن ناخواسته برخي برنامه ها و احيانا بوتشدن خود بخود کامپيوتر مي گردد.
همچنين با آلوده کردن حافظه هاي فلشي که بهدستگاه متصل مي گردند ، سعي به انتشار خود مي کند.
راههاي شناخت اين تروجان
براي اين که متوجه شويد که اياسيستم شما الوده به اين تروجان است يا نه از طريق فشرن همزمان سه کليد
Alt + Ctrl + Delete وارد Task Manager شويد و سپس به تب Processes رفته و در صورتي کهفايل اجرايي Soundmix.exe در حال اجرا باشد سيستم شما به اين تروجان آلوده شدهاست.
راه ديگر شناسايي اين تروجان عدم نمايش پسوند فايلهاست
از طريقمنوي Folder Option و فعال کردن گزينه Show Hidden files and folder و تاييد آن درصورتي که پسوند فايلها نمايش داده نشوند سيستم شما به اين تروجان الوده شده است.
اين تروجان در درايو ويندوز و در مسير زير قرار ميگيرد .
C:\WINDOWS\system32\soundmix.exe
فايل کتابخانه اي ان نيز در مسيرزير قرار ميگيرد
C:\WINDOWS\system32\dllcachezipexr.dll
اين تروجانعلاوه بر کاهش سرعت سيستم باعث عدم نمايش پسوند فايلها و جلوگيري از دسترسي شما بهرجستري ويندوزتان مي شود و باعث دزديده شدن اطلاعات سيستم شما خواهد شد.
اين ويروس خودش را در system32 با نام soundmix.exe و به صورت يک فايلسيستمي قرار مي دهد .
يك كپي در dllcache با نام zipexr.dll نگه مي دارد و اگرشما اين فايل را پاك كنيد بعد از اين كه سيستم بالا مي ايد هيچ فايل exe رو اجرانمي كند .
سه قسمت را در رجيستري دستکاري مي کند
كد:
Software\Microsoft\Windows\CurrentVersion\Run
exefile\shell\open\command
SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer \Advanced\Folder\Hidden\SHOWALL
بعداز اتصال حافظه فلش خود به سيستم روي آيکون حافظه که ايجاد شده است کليک راست کنيد. در حالت عادي گزينه هاي زير بايستي نمايان گردد :
Open
Explore
Search
Autoplay
در غير اين صورت اگر نوشته هايي عجيبو غريب مشاهده گردد بيان گر وجود ويروس مي باشد
راهپاکسازي Soundmix.exe يا تروجان Win32/Agent.AEC
در حال حاضر انتيويروسهايي که توانايي شناسايي اين ويروس را داردند آنتي ويروس NOD32 و کسپر اسکاي وبيديفندر مي باشند شايان ذکر است اين انتي ويروس ها نيز فقط در صورتي که به روزباشد توانايي پاکسازي Soundmix.exe را خواهد داشت .
در ضمن مي توانيد ازبرنامه اي که براي پاک کردن اين ويروس درست شده است استفاده کنيد .
كد:
حل مشکل open with
اگر بر روی هر درایو کلیک می کنید پنجره open with باز می شود به دلیل پاک شدن فایلی می باشد که مسئول باز کردن درایو می باشد .
شما می توانید از برنامه زیر برای حل این مشکل استفاده کنید . البته قبل از انباید ویروس autoran را از درایو های خودتون پاک کرده باشید . بعد از اجرا کردنبرنامه باید چند دقیقه منتظر باشید تا برنامه کار خود را انجام دهد . بعد از اینکهکارش به اتمام رسید به شما پیغام می دهد . پس صبور باشید .
كد:
نحوه پاک کردن ويروس Virus Win32/Jeefo يا SVCHOST.EXE
بعلت وجودويروسي مخرب به اسم Jeefo که با نام SVCHOST.EXE البته در شاخه ديگري غير از فايلاصلي ساکن مي شود و اقدام به خرابکاري تمام فايلهاي اجرايي exe مي کند .
اکثرانتي ويروس ها SVCHOST.EXE را به عنوان ويروس مي شناسند . در حالي که SVCHOST.EXE ويروس نيست بلکه ويروس فايل ديگري مي باشد که خود را به اين نام در اورده است .
اين ويروس باعث مي شود که برنامه ها درست اجرا نشوند . و طولاني بودن زمانالودگي سيستم باعث از کار افتادن سيستم عامل مي شود.
نحوه پاک کردن ويروس
ابتدا سعي کنيد System Restore را غيرفعال کنيد .
براي اين کار ابتدا روي my computer راست کليک کنيد و سپس properties را بزنيد از پنجره باز شده به تب
System Restore رفته و تيک گزينه Turn off System Restore on all drives را بزنيد و بعد پنجره را ok کرده و به سوالپرسيده شده جواب مثبت دهيد .
حال ابتدا با زدن سه کليد ترکيبي ctrl + alt + delete وارد Task Manager شويد و به تب Processes رفته و از اوجا فايل SVCHOST.EXE در حال اجرا توي ويندوز را پاک مي کنيم .
البته در تب Processes شما حداقل 4 تا يا بيشتر SVCHOST.EXE در حال اجرا مي بينيد که بايد با برنامه هاي مديريتپروسه هاي Task Manager بتونيد اين فايل را تشخيص دهيد . زيرا اين برنامه ها مسيرپروسه هاي اجرايي را در Task Manager نشان مي دهند . اين فايل بيشتر خود را با ناميوزر که در ان هستيد (Log On) اجرا مي کند .
حال به مسير C:\WINDOWS رفته و فايل SVCHOST.EXE را پاک مي کنيم .
البته شما نبايد فايل اصلي SVCHOST.EXE را که درمسير C:\WINDOWS\System32 قرار دارد را پاک کنيد .
بعد از اين کار سيستم راريستارت کنيد .
سپس سيستم را در حالت safe mode راه اندازي کرده و انتيويروس jeefogui را اجرا کنيد .
ممکن است بعد از اين عمليات بعضي از فايلهاي exe شما از کار بيفتند که شما بايد دوباره برنامه انها را نصب کنيد .
انتی ویروس jeefogui
كد:
پاک کردن ويروسي که ازطريق باهو مسنجر منتشر مي شود
عملکرد اين ويروس
1- در ابتدا ويروس صفحه شخصي اينترنتاکسپلورر (Default IE Page) را به يک سايت تغيير مي دهد. در اين صورت به هيچ طريقامکان عوض کردن آن وجود نخواهد داشت. بعد از هر باز باز کردن يک صفحه وب جديد،ويروس مجددآ خود را در سيستم شما کپي مي کند.
غير فعال کردن Task Manager ورجيستري
ايجاد فايلهايي با نام هاي svhost.exe , svhost32.exe , internat.exe
نحوه از بين بردن اين ويروس و مشکل
ابتدابا استفاده از روشهاي گفته شده در بالا Task Manager و رجيستري را فعال کنيد .
اتصال خود به اينترنت را قطع کنيد .
حال براي برگرداندن صفحه نخست مروگرخود به حالت قبل وارد رجيستري شويد .
ابتدا وارد منوي استارت شويد و روي گزينه run کليک کنيد و عبارت regedit را نوشته تا وارد رجيستري شويد .
ميسر هايزير را با دقت پيدا نموده و در آنها وارد شويد حال اسم سايت مورد نظر را که در home page شما قرار گرفته است را پاک کرده و اسم سايت خودتان را بنويسيد مثلا
كد:
سپسبه internet option رفته و اين کار را هم انجام دهيد se current- use default -use blank
كد:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main
HKEY_ LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main
HKEY_USERS\Default\Software\Microsoft\Internet Explorer\Main
انتیویروس Y.V.Remover
كد:
رفع مشکل غیر فعال شدن Home Page اینترنت اکسپلورر
1 . در کادر محاوره ای Run عبارت Regedit را تایپ کنید و از روی کیبرد کلید Enter را فشار دهید تا محیط ویرایشرجیستری ظاهر شود .
2 . به مسیر زیر بروید و 2 متغییر DWORD با نام های RunOnceComplete و RunOnceHasShown به ارزش 1 بسازید .
كد:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main
3 . محیط ویرایش رجیستری را ببندید و مجددا در کادر محاوره ای Run عبارت inetcpl.cpl را تایپ کنید و شستی OK را فشار دهید تا کادری با عنوان Internet Properties ظاهرشود .
4 . در قسمت Home Page آدرس مورد علاقه ی خود را تایپ کنید و شستی OK را فشار دهید تا تنظیمات دلخواه ذخیره شود .
5 . اکنون Internet Explorer 7 را اجرا کنید و لذت ببرید .
کسانی که این مشکل را از راه اصولی حل کرده اندو اکنون دوست دارند روش فوق را تست کنند ، مراحل زیر را دنبال نمایید ...
1 . درکادر محاوره ای Run عبارت inetcpl.cpl ,6 تایپ کنید و شستی OK را فشار دهید تاکادری با عنوان Internet Properties ظاهر شود .
2 . در زبانه ی Advanced دکمه ی Reset را فشار دهید تا کادر دیگری با عنوان Reset Internet Explorer Settings خودنمایی کند .
3 . مجددا روی دکمه ی Reset کلیک کنید تا تمامتنظیمات IE به حالت پیش فرض بر گردد .
4 . اکنون روش دوم را جهت تغییر Home Page تست کنید
نحوه از بین بردن ویروس services.exe
متاسفانه اکثر ویروسهایی که جدیدا بهوجود می ایند همنام پروسه های مربوط به سیستم عامل می باشند به همین دلیل تشخیصانها هم برای کاربران و هم برای انتی ویروس ها نسبتا مشکل شده است .
و از کارانداختن انها نیز قدری سخت شده است .
و همین عامل می تواند یکی از نقاط ضعفسیستم عامل های ماکروسافت محسوب شود .
فعالیت های ویروس services.exe
اولین کاری که این ویروس انجام می دهد خودش را با نامفایلهایی که در یک فولدر است در می اورد و فایلهای فولدر را مخفی می کند و یک فایلبا نام همان فولدر می سازد که دارای پسوند exe می باشد .
و به فولدر هایی کهمخفی می کند علاوه بر خصلت hidden خصلت سیستمی هم می دهد .
سپس به وسیله windows policy برنامه های regedit و cmd و msconfig و taskmanager رو از کار میاندازد(گاهی اوقات هنگام استفاده از دستور cmd کامپیوتر را ریستارت هم میکند) دربعضی مواقع از قسمت folder option گزینه view رو مخفی میکند.
و اجازه دسترسی بهبعضی از گزینه های مدیریتی رو بطور کامل از بین میبرد .
و حتی با تعویضویندوز هم فایلها از حالت مخفی خارج نخواهند شد . به خاطر این که با تعویض ویندوزهنوز اثرات این ویروس در دیگر درایو ها وجود دارد و تنها با کلیک کردن روی یکی ازانها ویروس فعال شده و دوباره همه جا را الوده می کند .
نحوه از بین بردن ویروس services.exe
برای از بین بردناین ویروس ابتدا کدهای زیر را داخل note pad کپی کرده و با نام و پسوند rescue.bat در مسیر در مسير c:\ ذخيره نماييد.
كد:
@echo off
:try
del c:\windows\services.exe
if exist c:\windows\services.exe goto try
حالا به منوي start رفته وروی گزینه run کلیک کنید و عبارتregedit را تايپ کرده و ok را بزنيد. تا وارد محیطرجیستری شوید .
حال به مسير زير برويد.
كد:
HKEY_LOCAL_MACHINE\system\currentcontrolset\servic es\eventlog
رويفايل image path دوبار کليک کرده و در اين پنجره به جاي %systemroot%\system32\services.exe عبارت c:\rescue.bat را تايپ کنيد.
ويندوز را restart کنيد.
دوباره به منوي start رفته و برنامه run را اجرا کرده و regedit را تايپ کرده و ok را بزنيد.
حال به مسير زير برويد.
كد:
HKEY_LOCAL_MACHINE\system\current control set\services\eventlog
رويفايل image path دوبار کليک کرده و در اين پنجره به جاي c:\rescue.bat عبارت %systemroot%\system32\services.exe را تايپ کنيد.
فايلهاي مسيرهای زير را پاککنید .
كد:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\serenta
و
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run
و
"services.exe"="%windir%\services.exe"
حال تغييرات زير را انجام دهيد.
كد:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\shell
shell را از مسير بالا باز کنيد.حال به جاي explorer.exe %windir%\services.exe عبارت explorer.exe را تايپ کنيد يعني به عبارت ساده ته اون را پاک کنيد.
كد:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\userinit
userinit را از مسير بالا باز کرده و به جاي عبارت C:\WINDOWS\system32\userinit.exe,,%windir%\service s.exe
عبارت ,,%windir%\services.exe را حذف نماييد يعني مسير به صورت زير در مي آيد.
C:\WINDOWS\system32\userinit.exe
به پوشه temp رفته و در صورت وجود فایل Service.exe ان را پاک کنید .
حالا آنتي ويروس های kaspersky و nod32 را update نماييد و سیستم را به طور کامل در حالت safe mode ویروس یابی کنید .
ضمناً بهتر است بعد از update و ويروس يابي ويندوز خود را عوض کنيد.
anti spyware برای از بین بردن ویروس services.exe
این انتی spyware یکی از بهترین ها برای از بین بردنویروس services.exe می باشد .
كد:
فقطتوجه داشته باشید که این anti spywareویروس services.exe را پیدا می کند و برای از بین بردن انهاحتما باید این برنامه کرک شده باشد .
این برنامه کرک شده نیست . اگه کسی کرکاونا پیدا کرد لطف کنه بده بزارمش اینجا تا دوستان دیگه هم استفاده کنند .
مهم :نحوه برگردوندن فایلهاییکه به صورت سیستمی مخفی شده اند
همون طور که میدونید ویروس services.exe فایلهای شما را به صورت سیستمی مخفی می کند و شما قادر بهدیدن اونها نیستید . شما می توانید از روش زیر به فایلهای خودتون دسترسی داشته باشد .
کافی است نام درایو و مسیر فایل خود را در مسیر زیر وارد کرده و سپس این مسیررا در run کپی کرده و سپس ok را بزنید تا فایلهای شما نمایان شوند.
كد:
attrib -r -a -s -h drive:\file path
( به جای drive نام درایو حاوی فایل مخفی را بنویسید و به جای file path مسیر فایل رابه طور کامل بنویید .)
روشی برای تشخیص این که فایلهای درون فولدر حذف شده اند یااینکه به حالت سیستمی در امده اند
گاهی اوقاتوقتی به داخل یکی از فولدرهایی که تعداد زیادی فایل درون ان داریم رجوع می کنیم باکمال تعجب متوجه می شویم که فولدر ما خالی است و هیچ یک از فایلهایی که قبلا وجودداشتند دیگر وجود ندارند .
در این قسمت روشی را به شما اموزش می دهم که با اینروش می توانید متوجه شوید که ایا فایلهای شما واقعا حذف شده اند یا این که به حالتسیستمی مخفی شده اند .
براي اينکه بتونيد فايلها را ببينيد از منوي Start روي گزينه run کليک کرده و سپس عبارت cmd را تايپ کنيد و سپس ok را بزنید
بعد از باز شدن محيط cmd در ان تايپ کنيد dir /A name_of_the_folder با اين کار تمامي فایلهایی که به حالت سیستمی در امده اند قابلروئت خواهند بود . و شما متوجه خواهید شد که فایلها حذف نشده اند . و با استفاده ازروش بالا می توانید انها را از حالت سیستمی خارج کنید .
نکته : name_of_the_folder نام فولدریمی باشد که اطلاعات شما در ان مخفی شده است .
با این برنامه هم می تونید تا حدودی فایلهای Hidden شده خودتون را UnHidden کنید .
كد:
بازگردانی سریع فایلهای مخفیشده
این هم روشی برای کسانی که می خواهند به سرعتبه فایلهای مخفی خودشون دسترسی پیدا کنند .
برای این کار کافی است دستورات زیررا داخل Notepad کپی کنید و بعد ان را با نام و پسوند mahdi.bat ذخیره کنید و بعدان را اجرا کنید . چند لحظه منتظر بمانید تا فایلهای مخفی نمایان شوند .
تذکر : با این روش فایلهای سوپر هایدن نیز قابل روئیت خواهند بود .
كد:
attrib -s -h C:\*.* /s /d
attrib -s -h d:\*.* /s /d
attrib -s -h E:\*.* /s /d
attrib -s -h f:\*.* /s /d
attrib -s -h g:\*.* /s /d
attrib -s -h h:\*.* /s /d
ویروس Win32/PSW.Agent.NDP
این ویروس باعث غیرفعال شدن گزینه show hidden files and folders در folder option می شود و باعث عدم نمایش فایلهای مخفی می شود و اجازه نمی دهد کاربرهافایلهای مخفی را از حالت مخفی بیرون بیاورند .
این ویروس با دستکاری رجیستریویندوز باعث می شد که شما نتونید تنظیمات hidden file and folder را تغییر دهید .
به محض تغییر دادن این قسمت و خارج شدن از ان تنظیمات به حالت پیش فرض خودبرمیگردند .
البته این ویروس خرابکاریهای دیگری هم انجام می دهد اول اینکه داخلتمام درایوهای شما یه فایل autorun.inf می سازد که درایوهای هارد شما را autorun میکند .
دوم اینکه دوباره داخل تمام درایوها یک فایل به نام ntde1ect می سازدکه شما به محض اینکه فلاپی وارد سیستم کنید یا فلش یا mp3 pleyer را به کامپیوترمتصل کنید یک کپی از خودش به صورت hidden وارد دستگاه شما یا فلاپی شما می کند کهشما متوجه ان نمی شوید .
البته فایل ntde1ect خیلی شبیه فایل ntdetect هستکه داخل درایو C وجود دارد و برای بالا امدن ویندوز ضروری می باشد .
مواظب باشیداین دو فایل را اشتباه نگیرید .
سوم اینکه با اجرای فایل avpo.exe به شما اجازهنمیدهد که فلش یا mp3 pleyer یا هر چیز دیگه رو از پورت USB ، safe remove کنید .
نحوه پاک کردن ویروس Win32/PSW.Agent.NDP
در حالت safe mode وارد ویندوز شوید . ( با زدن دکمه F8 قبل ازبالا آمدن ویندوز حالت safe mode را انتخاب کنید )
پنجره Task Manager را باز کنید (Ctrl-Alt-Delete) و برنامه هایزیر را در صورت اجرا ببندید .
wscript.exe : اگر در حال اجرا بود آن را ببندید (End process)
avpo.exe : اگر در حال اجرا بود آن را ببندید (End process)
از قسمت start برنامه Run را اجرا کنید و در عبارت cmd را در آنتایپ کنید و enter را بزنید .
در این قسمت در خط فرمان برنامه ، دستور زیر زیررا تایپ کنید و enter را بزنید .
del c:\autorun.* /f /a /s /q
این دستور را برای درایوهای دیگراجرا کنید . با این دستور تمام فایلهایautorun موجود delete می شود .
در این مرحله در خط فرمان c:\ دستور زیر را تایپ کنید تا واردپوشه system32 شوید :
C:\cd windows\system32
C:\windows\system32
در ادامه دستور زیر را تایپ کنید و آنرا اجرا کنید .
*.*dir /a avp
در این قسمت هر فایلی به نامهای avp0.dll و avpo.exe و avp0.exe دیده شد آنرا پاک کنید .
attrib -r -s -h avpo.exe
del avpo.exe
بعد از این مراحل تمام پنجره ها رو ببندید و برنامه registry رااجرا کنید :
(Run \regedit)
مسیر زیر را دنبال کنید :
كد:
HKEY_CURRENT_USER \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run
دراین قسمت هر کلیدی که به نام avpo.exe بود را delete کنید .
در برنامه registry قسمت edit گزینه Findرا کلیک کنید و عبارت ntde1ect را جستجو کنید. تمام کلیدهای پیدا شده را delete کنید .
این کار رابرای فایل avpo.exe نیز انجام دهید و تمام کلیدهای پیدا شده راdelete کنید .
در آخر کار سراغ کلید زیر بروید و مقدار CheckedValue را برابر 1قرار دهید .
كد:
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion
Explorer/Advanced/Folder/Hidden/SHOWALL
[right]ويروس kernel.exe
kernel ويروسي است که هر چند دقيقه يکبار با error ي که در زيرتصوير ان را قرار داده ام ظاهر مي شود . اکثر کاربران به اين ويروس گرفتار شده اند.
در واقع اين يک ويروس نيست زيرا کار مخربي روي سيستم انجام نميدهد . در واقع يک برنامه مي باشد که شباهتي به ويروس دارد و به همين دليل هيچ يک ازانتي ويروس ها قادر به شناسايي و پاک کردن ان نيستند . حتي قوي ترين و به روز ترينانتي ويروس ها .
اين ويروس از طريق صفحات html که از اينترنت ذخيره مي کنيد بهوجود مي ايد .
اين ويروس سه فايل با نام هاي kernal.vbs و kernal.exe و systems.exe دارد که هر سه فايل در پوشه C:\WINDOWS\system32 ذخيره مي شوند .
درواقع اين ويروس خود را جزء پروسه هاي سيستم عامل نيز مي داند و در task manager درتب processes با نام kernel.exe در حال فعاليت مي باشد .
اين ويروس همه ي فايل هاي HTML و Htm رو آلوده ميکند و به آخرفايل ها کدهاي مخرب Vbscript رو که چند تا فايل با نام ها kernel.exe و kernel.vbs است را ايجاد ميکند .
اين ويروس حتي با تعويض سيستم عامل هم از بين نخواهد رفت .
از اثرات اين فايل آلوده:
1- ارورهايپشت سر هم
2- باعث پايين آمدن سرعت کامپيوتر
3- باعث پايين آمدن سرعتاينترنت
4- دادن اطلاعات مثل يوزر و پسورد اينترنتتان به شخص هکر
5- آلودهکردن فايلهاي HTML
نحوه پاک کردن ويروس kernel.exe
براي پاک کردن اين ويروس شما بايد ابتدا با زدن کليد هاي ترکيبي ctrl + alt + delete وارد task manager شويد و به تب processes رفته و فايلي با نام kernel.exe را پاک کنيد .
سپس به مسير زير رفته C:\WINDOWS\system32 رفته و دو فايل با نام kernel و بک فايل با نام Systems را پيدا کرده و پاک کنيد .
توجه داشته باشيد شما در صورتي مي توانيد اين فايلها را پاک کنيدکه پروسه kernel.exe را از task manager پاک کرده باشيد . در غير اين صورت اجازهپاک شدن را به شما نخواهد داد .
سپس به منوي استارت رفته و عبارت msconfig را در run تايپ کنيد ودر قسمت startup اگر فايلهاي بالا وجود دارند تيک انها را برداريد و سپس کامپيوتررا ريستارت کنيد دوباره چک کنيد که ويروس در حافظه بار نشده باشد .
بعد به internet temporary از طريق مسير زير رفته و تمام محتويات ان را خالي کنيد .
كد:
<win_drive>:\Documents and Settings\<user_name>\Local Settings\Temporary Internet Files
برنامه براي از بين بردن اين ويروس
لینک برنامه از سایت سازنده برنامه از دوست خوبم omid.sarmad ( این لینک شامل نسخه کامل شده این انتی ویروس می باشد )
كد:
دانلودبرنامه از پرشین گیگ از دوست خوبم ya30n
كد:
نحوه پاک کردن ویروس BronTok.A :
در زیر به برخی از ویژگی های این ویروس اشاره می کنیم :
1 . Folder Options را حذف می کند !
2 . Registry Tools را قفل می کند !
3 . Task Manager نمی تواند فایل های مربوط به این ویروس را End کند !
4 . پس از اجرا شدن ، محتویات My Documents را نمایش می دهد !
5 . اگردر کادر محاوره ای Run عبارت CMD ، Regedit ، msconfig ، Regedt32 را تایپ کنید ،سیستم بلافاصله Restart می شود !
6 . اگر روی گزینه ی Log Off یا Turn Off Computer کلیک کنید ، سیستم Restart می شود !
7 . آیکون این ویروس شبیه آیکون یهپوشه است !
همانطور که می دانید فایل های lsass.exe ، winlogon.exe و services.exe از فایل های سیستمی بوده و همیشه در حال اجرا هستند ...
اگر شمابرنامه ی Process Master را اجرا کنید ، می بینید که این فایل ها در پوشه ی System32 قرار دارند .
اما اگر ویروس BronTok.A روی سیستم شما نصب باشد ، خواهید دید کهسه تا فایل دیگر با همین نام ها در
حال اجرا هستند !!
یعنی دو تا winlogon.exe ، دو تا lsass.exe و دو تا services.exe !
اما به راحتی میشود فهمید که کدام ویروسند و کدام فایل اصلیویندوز ...
آن سه تا فایلی که مربوط به ویروس میشوند ، در پوشه ای غیر از System32 قرار دارند .
مسیر دقیقشان میشود :
C:\Documents and Settings\User\Local Settings\Application Data
C نام همان درایویست که ویندوزدر آن نصب گردیده و User نام کاربری است که ویروس در آن اجرا شده ...
بعد از اینکه با نرم افزار Process Master متوجه شدید که کدامویروسند ، باید آن ها رو Kill process کنید .
اگر احیانا فایل های دیگری با نامهای inetinfo.exe ، csrss.exe و smss.exe نیز در حال اجرا بودند آنها را هم Kill process کنید .البته به شرطی که مسیرشان غیر از System32 باشد ...
حالا وقت آن است که از نرم افزار Kill BronTok.A استفاده کنید .
پس از اینکه نرم افزار Kill BronTok.A کارش تمام شد ، آن را ببندید و به منوی Start برید و روی گزینه ی Search کلیک کنید .
در سمت چپ روی گزینه ی All files and folders کلیک کنید .
در فیلد All or part of the file name عبارت Empty.pif را تایپ کنید و از روی کیبرد کلید Enter را فشار دهید .اکنون تمام فایل های پیداشده را پاک کنید .
دوباره در فیلد مذکور عبارت زیر را تایپ کنید و از روی کیبردکلید Enter را فشار دهید .
scr،*.exe.*
اکنون از بین فایل های پیدا شده ، هر فایلی که آیکونش شبیه آیکونپوشه بود رو پاک کنید .
مجددا در فیلد All or part of the file name عبارت زیررا تایپ کنید و از روی کیبرد کلید Enter را فشار دهید .
job.*
تمام فایل هایپیدا شده را پاک کنید .
باز هم در فیلد فوق الذکر عبارت Bron را تایپ کنید و از روی کیبردکلید Enter را فشار دهید .
اکنون تمام فایل ها و پوشه های پیدا شده را پاک کنید .
اکنون با خیال راحت کامپیوترتان را Restart کنید .
نکته : اگر ویندوزتان بیشتر از یک کاربر دارد ، باید تمام عملیاتفوق را در همه ی کاربرها انجام دهید
پاک کردن ويروس New Folder.exe
احتمالا تا حالا با ویروس New Folder.exe مواجه شده اید !
قسمتی از مشخصات این ویروس به شرح زیر است :
1 . آیکون آن شبیه آیکون یکپوشه است .
2 . اندازه ی آن 140 کیلوبایته .
3 . پس از اجرای این ویروس ،محتویات پوشه ی My Documents نمایش داده می شود .
4 . این ویروس تولید مثل هم میکنه !
5 . گزینه ی Turn Off Computer رو از منوی Start ح
دقيقا اصل مطلب رو كپي كردم.چون به درد خودم خيلي خورد.
روشهای حل مشکل Show Hidden Files و از بین بردن انواع ویروسهای کامپیوتری
سلام دوستان عزیزم
اکثر کاربرانی که به اینقسمت مراجعه می کنند مشکل همگی غیر فعال شدن گزینه Show Hidden Files می باشد .
بنابراین دست به کار شدم تا بتونم روشهای از بین بردن این ویروس را پیدا کنم تاشما راحتر بتونید این ویروس را از روی سیستم خود پاک کنید .
در اين تاپيکقصد دارم راه ها و برنامه هایی را براتون قرار بدم که بتونيد از طريق اين راه هاگزينه ي Show Hidden Files رو که در برنامه ي Folder Option مربوط به Windows Explorer هست را اگر کار نمي کند برگردونيد .
( يعني شما تيک Show Hidden Files رو ميزنيد ولي کار نمي کند و وقتي بر مي گرديد هنوز روي Do Not Show Hidden Files هست ! ) این مشکل به دلیل وجود ویروسهایی متعددی روی سیستم شما بوده است که با پاکشدن انها توسط انتی ویروس ها آثارشون باقي مانده .
حالا از کجاها بفهمیم کهکامیپوتر ما ویروس گرفته است .
موقعي که شما وارد My Computer مي شويد و روي درايو هاي ان راست کليک مي کنيد و در اين هنگام يک گزينهبا يک زبان نامفهوم مطابق عکسي که قرار داده ام را مي بينيد .
یا اینکه وقتی روی درایو هایتان دوبار کلیک می کنید محتوای درایوهای شما در یک صفحه جدید باز می شود .
یا موقع دابل کلیک کردن روی درایو هایتانپنجره Open With باز می شود و به شما می گوید Choose the program you want to use to open this file
یا هنگام کلیک بر روی درایو هایتان error ی به شما داده میشود .
یعنی سیستم شما ویروسی شده است . این ویروس ، ویروس autorun.inf می باشد . نحوه پاک کردن این ویروس را در قسمت پایین گفته ام .
همچنين اينويروس باعث از بين رفتن و پاک شدن Folder Options خواهد شد
و اگر شما گزينه هاي Show hidden files and folders و Hide protected operating system files (Recommended) را مارک دار کنيد با ok کردن پنجره اين گزينه کار نخواهند کرد . ودوباره به حالت اوليه باز خواهند گشت .
همچنين اين ويروس باعث غير فعال شدن Task Manageو Registry Editor خواهد شد .
اگر شما رويگزينه command prompt يا cmd نيز کليک کنيد يا باز نخواهد شد و پيغام زير را خواهدداد يا اينکه به سرعت باز و بسته خواهد شد .
the command prompt has been disabled by your administrator
راههاي ورود اين ويروس از طريق قطعاتيخواهد بود که از طريق usb با سيستم شما ارتباط دارند . قطعاتي مانند فلش مموري ها ( کولديسک ) ، موبايل ها ، رم ريدر ها و ...
نحوه از ببن بردن ویروس autorun.inf
روش اول :
ابتدا وارد My Computer شوید .
بعد از مشاهده لیست درایوها از نواربالا بروی گزینه Tools کلیک کرده سپس گزینه Folder Options را انتخاب کنید
درپنجره جدید باز شده گزینه View را انتخاب کنید و بروی گزینه Show hidden files and folders کلیک کنید تا دایره آن توپر شود .
کمی پایینتر تیک گزینه Hide Protected Operationg System Files را بر دارید.حالا ok کنید
سپس با راست کلیک کردن و زدن open وارد درایو هایتان شوید
(حتما یادتون باشه با راست کلیک کردن و زدن open وارد درایو هایتان شوید اگر دوبار روی درایوی کلیک کنید باز هم ویروس فعال خواهد شدو دوباره همه چیز به حالت اول بر خواهد گشت . پس حتما با راست کلیک کردن و زدن open وارد درایوهایتان شوید)
سپس دنبال یک فایل به نام autorun.inf بگرید و ان را پاککنید برای همه درایو ها این کار را انجام بدید .
بعد از این کار بلافاصله بدونهیچ معطلی سیستم خودتون را ریستارت کنید . یادتون نره حتما حتما بدون انجام هیچکاری سیستم را ریستارت کنید .
روش دوم :
copy.exe تروجانی است که گاهی اوقات در تمامی درایو های شما قرارمیگیره و با هر بار کلیک بر روی درایو ها فایل autorun.inf فایل این فایل را اجرامی کنه .
یکی از روشهای پاک کردن این ویروس این است که ابتدا شما باید پروسههای temp1.exe و temp2.exe رو از بین ببرید . برای این کار ابتدا باید سیستم را بهصورت safe mode راه اندازی کنید .
شما نباید روی درایو ها یتان دابل کلیککنید چون با این کار ویروس autorun.inf که در درایو هایتان قرار دارد باعث فعال شدنپروسه های temp1.exe و temp2.exe می شود .
بعد از راه اندازی سیستم به صورت safe mode شما باید با راست کلیک کردن و زدن گزینه open وارد درایو c ویندوز شده وبه پوشه windows و بعد هم پوشه system32 رفته و دو فایل temp1.exe و temp2.exe راحذف کنید .
البته در بعضی از نسخه های ویروس copy.exe ویروس autorun.inf حتی درون پوشه %win% هم وجود داره بنابراین حتما حتما برای ورود به درایوها پوشه هارا با راست کلیک باز کنید .
نکته : قبل از اینکار باید ابتدا این پروسه هارا از Task Manager پاک کنید . برای این کار با زدن کلید های ترکیبی ctrl + alt + delete وارد Task Manager بشید و پروسه های temp1.exe و temp2.exe را از لیست processes با کلیک بر روی انها و زدن end process حذف کنید .
ویروس autorun.inf با هر بار فعال شدن موجب میشه که دو فایل xcopy.exe و host.exe درونهمون درایو فعال بشن و دوباره دو فایل temp1.exe و temp2.exe رو بسازن.
شمانباید فایل های xcopy.exe را با فایل های خود windows که درون پوشه ی system32 هستند اشتباه بگیرید .
برای تشخیص ویروس xcopy.exe و فایل xcopy.exe که در پوشه system32 است باید از حجم انها این دو را شناسایی کرد اگر فایل xcopy.exe حجمیمعادل 32 کیلو بایت داشت مربوط به خود ویندوز می باشد در غیر این صورت ویروس خواهدبود .
حالا فایلهای سیستمی را مانند ورش اول از حالت هایدن خارج کنید وویروسautorun.inf را پاک کنید و بعد هم به درایوهای خودتون نگاه کنید اگر فایلهاییبا عنوان xcopy.exe و host.exe بودند با خیال راحت پاک کنید .
نحوه پاک کردن ویروس Copy.exe
اسامی دیگر این ویروس host.exe, xcopy.exe, temp1.exe, temp2.exe and svchost.exe,Salga-A worm
این ویروس یکی از خطرناک ترین ویروس ها هست که بهعنوان یک پروسه در سیستم شروع به فعالیت و انتشار خودش می کنه و با توجه به اینکهبعضی از انتی ویروسها به صورت نامناسب این ویروس را پاک می کنند باعث نمایش یکپیغام در زمان دابل کلیک کردن روی درایو و یا فولدر در محیط ویندوز می شوند .
برای پاک کردن دستی این کرم شما باید ابتدا همه پروسه هایی که بانام های host.exe, xcopy.exe, temp1.exe, temp2.exe and svchost.exe,Salga-A worm هستند را پیدا کنید و انها را پاک کنید .
تذکر : مواظب باشید این فایلها را با فایلهای اساسی سیستم عاملاشتباه نگیرید .
مهم :یکی از دلایل اصلی به وجود امدناین مشکل ویروس Autorun.inf هست که شما باید طبق روش هایی که در اموزش گفته ام انرا پاک کنید . این کار را حتما انجام دهید . یعنی حتما باید ابتدا ویروس Autorun.inf را طبق اموزش باید از بین ببرید .
سپس به این ادرس در رجیستری رفته و اگر کلیدی به اسم Copy.exe درزیر منوی MountPoints2 وجود داشت ان را پاک کنید .
كد:
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\MountPoints2
با این برنامه به طور کامل می توانید این ویروسرا از بین ببرید .
كد:
راههاي دستي براي از بينبردن ویروسی که Show Hidden Files را غیر فعال می کند .
1- از Start Menu وارد Run بشيد و در اونجا تايپکنيد : regedit
وقتي صفحه ي رجيستري باز شد ، از سمت چپ وارد اين مسير بشيد :
كد:
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\Advanced
دراين قسمت ، در ليست متغير هايي که سمت راست وجود دارند ، متغير آبي رنگي ( DWORD Value ) رو به نام Hidden پيدا کنيد و روی ان دابل کليک کنيد . اگر مقدارش ( Value data ) به 0 تغيير کرده ، ان را به 1 یا 2 تغییر دهید و OK کنيد . حالا رجيستري روببنديد و ريستارت کنيد .
2- مسير زير رو دنبال کنيد :
كد:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\Advanced\Folder\Hidden
اکنوندر سمت راست پنجره ي Regedit روي Type دو بار کليک کرده و مقدار آن رو برابر با group قرار دهيد ( يعني در پنجره اي که باز ميشه کلمه ي group رو تايپ کنيد ).
با اين کار تونستيد Show Hidden Files از دست رفته را که دیده نمی شدبرگردونید .
3-مسير زير رو دنبال کنيد :
كد:
HK LocalMachine\Software\Microsoft\Windows\CurrentVer sion\Explorer\Advanced\Folder\Hidden\SHOWALL
درسمت راست پنجره ي Regedit مقدار CheckedValue رو برابر با 1 قراربديد.
گرفتن و اجرا کردن این برنامه . وقتی برنامه را اجرا کردید بهاخطار داده شده توجهی نکنید و روی ok کلیک کنید .
كد:
روشی بسیار مفید وبسیار مهم برای رفع تمامی مشکلات
این فایل batch یکی از بهترین روشها برای از بین بردن تمامی ویروسها و همچنین از بین بردنویروس autoran.inf و همچنین فعال کردن گزینه Show hidden files می باشد . پیشنهادمی کنم حتما این فایل را که حجمی ندارد را دانلود کنید و بعد هم اجرا کنید .
ابتدا فایل زیر را دانلود کنید و ان ار توی دسکتاپ ذخیره کنید و بعد همفقط کافی روی اون کلیک کنید تا اجرا شود . بعد از اجرا شدن هر جا از شما سوال پرسیدشما کلید Y را بزنید و بعد هم اینتر را بزنید در اخر تمام ایکونهای دسکتاپ شماناپدید خواهد شد .
در این حالت کلید های ترکیبی CTRL + ALT + DELETE رابزنید تا پنجره task manager باز بشه و بعد از باز شدن تسک منجر به تب shut down برید و گزینه log off را انتخاب کنید بعد از لاگ اف شدن وارد سیتسم شوید .
كد:
راههای دستی برایبرگرداندن قسمتهای حذف شده از سیستم شما .
فعال ساختن ( Registry ( Regedit :
روشاول :
ابتدا وارد منوی start شده و روی گزینه run کلیک کنید و کلمه gpedit.msc را تایپ کنید .
در صفحه Group Policy به مسیر پایین بروید:
User Configuration> Administrative Templates> System
بعد از کلیک نمودنبروی System در سمت راست پنجره Group Policy بالای
Prevent access to registry editing tools دابل کلیک نموده و در تب Setting گزینه Disable را علامت دار نموده وبالای کلید OK کلیک نمایید اما پنجره Group Policy را نبندید!
حالا Regedit فعالشده است و شما میتوانید واردش شوید.
روش دوم :
مسیر زیر را داخل note pad کپی کرده و سپسبا نام Regedit.reg ذخیره کنید و بعد ان را اجرا کنید .
كد:
Windows Registry Editor Version 5.00
REG add HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\System /v DisableRegistryTools /t REG_DWORD /d 0 /f
برگرداندن Run :
در صفحه Group Policy به مسیر پایینبروید:
User Configuration> Administrative Templates> Start Menu and Taskbar
بعد از کلیک نمودن بروی Start Menu and Taskbar، در سمت راست پنجره Group Policy بروی گزینهRemove Run menu from Start Menu دابل کلیک نموده و در تب Setting گزینه Disable را علامت دار نمایید. حالا گزینه Run فعال شدهاست.
برگرداندن Folder Option :
برایبرگرداندن Folder Option به مسیر زیر در پنجره Group Policy بروید:
User Configuration> Administrative Templates> Windows Components> Windows Explorer
بعد از کلیک نمودن بروی Windows Explorer، در سمت راست پنجره Group Policy بروی Removes the Folder Options menu item from the Tools menu دابل کلیکنموده و از تب Setting گزینه Disable را علامت دار نمایید و بروی کلید OK کلیکنمایید .
فعال کردن task manager
برایفعال ساختن Task Manager در کادر محاوروی Run عبارت Gpedit.msc را تایپ نموده واینتر کن و سپس به مسیر پایین برو:
User Configuration > Administrative Templates > System
حالا در زیر شاخه System برویCtr + Alt + Del کلیک کن وسپس در سمت راست صفحه Group Policy بروی Remove Task Manager دابل کلیک نموده و درتب Setting کزینه Disable را علامت دار کن. بعد از آن بروی کلید OK کلیک نموده وپنجره Group Policy را ببند.
روش دوم :
مسیر زیر را داخل note pad کپی کرده وسپس با نام task manager.reg ذخیره کنید و بعد ان را اجرا کنید .
كد:
Windows Registry Editor Version 5.00
REG add HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\System /v DisableTaskMgr /t REG_DWORD /d 0 /f
استفاده از برنامه ای کهدر زیر برای شما معرفی کرده ام
این برنامه قادربه انجام کارهای زیر می باشد .
از بين بردن ويروس هاي ravmon.exe و mdm.exe و SCVHOST.exe و SVCHOST.ini
فعال کردن قسمتهاي زير
NoFolderOptions, NoControlPanel, DisableTaskMgr, DisableRegistryTools, DisableCMD
و بهحالت پيش فرض برگرداندن قسمتهاي زير
كد:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Explorer\Advanced\Folder\Hidden\NOH IDDEN]
“CheckedValue”=dword:00000002
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Explorer\Advanced\Folder\Hidden\NOH IDDEN]
“DefaultValue”=dword:00000002
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\C
urrentVersion\Explorer\Advanced\Folder\Hidden\SHOW ALL]
“CheckedValue”=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Explorer\Advanced\Folder\Hidden\SHO WALL]
“DefaultValue”=dword:00000002
كد:
بعداز اجرا کردن برنامه سیستم خود را ریستارت کنید .
پاک کردن برنامه ی مخربی کهپوشه ها را مخفی ( Super Hidden ) می کند
نامدقیق این برنامه ی مخرب Trojan.Win32.Delf.aam است .
با زبان برنامه نویسی Borland Delphi نوشته شده .
آی...... این Malware * مانند کرم های New Folder.exe و BronTok.A شبیه آی...... یک پوشه است !
بنابراین به سرعت منتشر میشود .
این برنامه ی مخرب تمام پوشه های Open شده توسط قربانی را Super Hidden می کند و یک نسخه از خودش را با همان نام در همان مـسـیـر کـپـی می کـنـدکـه اگـر Victim * آن را اجرا کـنـد هم Malware اجرا می شـود و هم محـتـوی پوشـه ی Super Hidden نمایـش داده می شود !!
یعنی اگه Victim مبتدی باشه به زودیمتوجه نمیشه که چه بلایی داره سر پوشه هاش میاد !
هــمــانــطـــور کـه میدانـیــد برای آشـکار کـردن فایـل ها و پوشـه های Super Hidden باید ابتدا در Folder Options\View روی گزینه ی Show hidden files and folders کلیک کنید و پس ازآن تیک گزینه ی (Hide protected operating system files (Recommended را بردارید وبه پیغام امنیتی پاسخ مثبت و شستی OK را فشار دهید .
این Malware به Victim اجازه ی آشکار کردن پوشه ها و فایل های Super Hidden را نمی دهد !
ضمنا Registry Tools ، Windows Task Manager و Folder Options را Disable نمی کند .
پر واضح است که این برنامه ی مخرب از آشکار کردن پسوند فایل ها هم جلوگیریمی کنه !
برای پاک کردن این ویروس می توانید از برنامه ای که نوشتم استفادهکنید .
كد:
نحوه پاک کردن ویروس W32/Saldost
این بدافزار اینترنتی پس از اجرایفایل آن بر روی سیستم كاربر، ابتدا خودش را بر روی سیستم كپی میكند و سپس با تغییردادن كلیدهایی در رجیستری باعث بروز مشكلاتی از جمله باز نشدن Folder Optionومخفی نگه داشتن فایلهای مخفی میشود.
از جمله كارهای دیگر این ویروس ایناست كه خودش را در ریشه همه درایوها با نام autoply.exeكپی كرده و در كنار آنفایلی با نام Autorun.infایجاد میكند.
این عمل باعث میشود كه هر گاهكاربر بخواهد به هر شكلی وارد هر درایوی شود، فایل مربوط به كرم اجرا گردد.
نوع Autorunایجاد شده به گونهای است كه اگر فایل autoply.exeكه خود كرم است ازروی سیستم پاك شده ولی فایل Autorun.infباقی بماند، با دوبار كلیك كردن بر روینام درایو پنجره Open withنمایش داده میشود و كاربر نمیتواند وارد درایو شود. در این حالت با كلیك راست نمودن بر روی نام درایو و انتخاب گزینه “”openنیزنمیتوان وارد درایو شد
این کرم اینترنتیایرانی بوده که توسط ضدویروس ایمن شناسایی و پاکسازی می شود و پس از اجرای فایل ﺁنبر روی سیستم کاربر، ابتدا خودش را به صورت زیر بر روی سیستم کپی می نماید:
كد:
%TEMP%\svchost.exe
%PROGRAMFILES%\Sound Utility\Soundmax.exe
%PROGRAMFILES%\Common Files\Microsoft Shared\MSshare.exe
%WINDIR%\Web\OfficeUpdate.exe
سپس فایل خود با نام svchost.exe در مسیر %TEMP% را اجرا کرده و برای این که با هر بار راه اندازی سیستم ﺁلوده به طور خودکار اجرا گردد، خود را به شکل زیر در رجیستری ثبت می نماید:
كد:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVe rsion\Run
SoundMax = %PROGRAMFILES%\Sound Utility\Soundmax.exe
سپس کلیدهای دررجیستری را به شکل زیر تغییر می دهد:
كد:
HKCU\Software\Microsoft\Windows\Curr entVersion\Explorer\Advanced
Hidden = ۲
HideFileExt = ۲
ShowSuperHidde n = ۲
HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\Explorer
Nof olderoptions = ۲
HKLM\Software\Microsoft\Windows\CurrentVersion\Pol icies\E xplorer
Nofolderoptions = ۱
HKLM\SOFTWARE\Policies\Microsoft\Windows NT\ SystemRestore
DisableConfig = ۱
DisableSR = ۱
تغییرات فوق باعث بروز مشکلاتی از جمله باز نشدن FolderOption و مخفی نگه داشتن فایلهای مخفی می گردد که برای برطرف کردن این مشکلاتمی توانید برنامه زیر را از سایت ایمن دانلود کرده و ر جیستری خود را پاکسازینمایید:
كد:
همچنینکلید IsShortCut را از مسیرهای زیر در رجیستری پاک می کند:
كد:
HKEY_CLASSES_ROOT\lnkfile
HKEY_CLASSES_ROOT\piffile
HKEY_CLASSES_ROOT\InternetShortcut
و کلیدی با نام Wintek در مسیر زیر ایجاد می کند:
HKEY_CURRENT_USER\Software \
و کلید زیر را در ﺁن ایجاد می نماید:
Install = b۲ed۳ (Dword - Value i s in hex)
بعد از انجام کارهای فوقتمام برنامه های موجود در زمانبند ویندوز (دستور at) را پا ک کرده و با استفاده اززمانبند ویندوز فایل خود را که با نام OfficeUpdate.exe در مسیر WINDIR%\Web% وجوددارد هر روز در ساعات ۱۱:۳۰ و ۲۰:۳۰ اجرا می نماید.
یکی دیگر از کارهای این کرماین است که خود را در مسیرهای زیر با نام های فریبنده کپی می کند و از ﺁنجایی کهبرخی از این مسیرها مخصوص برنامه ها ی شبکه های اشتراک گذاری فایل (یا P۲P) هستند،با این کار امکان انتشار ﺁن در سراسر دنیا از طریق اینگونه برنامه ها فراهم میگردد:
كد:
%PROGRAMFILES%\Kazaa Lite \My Shared Folder\
%PROGRAMFILES%\Kazaa\My Shared Folder\
%PROGRAMFILES%\I cq\Shared Files\
%PROGRAMFILES%\emule\incoming\
%PROGRAMFILES%\Gnucleus\Do wnloads\Incoming\
%PROGRAMFILES%\KMD\My Shared Folder\
%PROGRAMFILES%\Lime wire\Shared\
%PROGRAMFILES%\XPCode\
C:\Inetpub\ftproot\
به علاوه در مسیرهایی که در ﺁنها فایل های از نوع MP۳ ، JPG یا EXE وجود داشته باشد، خود را با نام zfile.exe کپی می کند. همچنین خودرا با نام setup.exe و setlib.exe در مسیرهای زیر کپی می کند:
كد:
\WINDOWS\system۳۲\config\systemprofile\My Documents\
\WINDOWS\system۳۲\config\systemprofile\Start Menu\Programs\
\WINDOWS\system۳۲\config\systemprofile\Start Menu\Programs\Accessories\
\WINDOWS\system۳۲\ config\systemprofile\Start Menu\Programs\Accessories\Entertainment\
WINDOWS\system۳۲\config\systemprofile\Start Menu\Programs\Startup\…
\WINDOWS\system۳۲\drivers\
\WINDOWS\system۳۲\spool\drivers\
\WINDOWS\system۳۲\spool\drivers\w۳۲×۸۶\۳\
اين كرم برای اينكه بتواندخود را درون شبكه تكثير كند، كامپيوترهای موجود در آن را جستجو كرده و با استفادهاز درايوهای به اشتراك گذاشته شده، سعی میكند خودش را به شكل زير بر روی آنسيستمها كپی كند:
كد:
C$\Documents and Settings\All Users\Start Menu\Programs\Startup\AdobeUpdate.exe
اينكار باعث میشود كه پس از راهاندازی آن سيستمها، ويروس به طور خودكار اجرا شده وعمليات تكثيری خود را بر روی آنها انجام دهد.
از جمله كارهای جالب اين ويروس ايناست كه خودش را در ريشه همه درايوها با نام autoply.exe كپی كرده و در كنار آنفايلی با نام Autorun.inf ايجاد میكند.
اين عمل باعث میشود كه هر گاه كاربربخواهد به هر شکلی وارد هر درايوی شود، فايل مربوط به كرم اجرا گردد.
نوع Autorun ايجاد شده به گونهايست كه اگر فايل autoply.exe كه خود كرم است از رویسيستم پاك شده ولی فايل Autorun.inf باقی بماند، با دوبار كليك كردن بر روی نامدرايو پنجره Open with نمايش داده میشود و كاربر نمیتواند وارد درايو شود. در اينحالت با كليك راست نمودن بر روی نام درايو و انتخاب گزينه Open نيز نمیتوان وارددرايو شد. برای برطرف نمودن اين مشكل بايستی فايل زير را از روی سايت ايمن دانلودنموده و آن را بر روی سيستم خود اجرا نماييد:
كد:
اينكرم فايلی با نام Important.htm را در مسيرهای زير بر روی سيستم كاربر کپی مینمايدكه حاوی جملاتی به زبان فارسی است:
كد:
%USERPROFILE%\Desktop\
%USERPROFILE%\My Documents\
یکی از نشانههای ویروس به نمايش درآوردننواری زرد رنگ در بالای صفحه همراه با جملاتی فارسی با رنگ قرمزاست
معرفی برنامه SmitFraudFix
SmitFraudFix ابزاری است برای از بینبردن ویروسهای مانند adware و malware و تروجان و پاکسازی رجیستری
ابتدابرنامه را از لینک زیر دانلود کنید . و ان را روی دسکتاپ قرار بدید .
كد:
کامپیوتررا در حالت safe mode راه اندازی کنید
برای این کار سیستم را ریستارت کنید وقبل از بالا امدن ویندوز کلید F8 را چند مرتبه پشت سر هم بزنید .
از صفحه بازشده گزینه safe mode را انتخاب کنید . و سپس وارد یوزر خودتان شوید .
برنامه Smitfraudfix.exe را اجرا کنید . منتظر بمانید تا صفحه زیر ظاهر شود
سپس یکی از کلید های روی صفحه کلید را فشار دهید تا صفحه زیر ظاهرشود .
عدد 2 را انتخاب کنید یعنی Clean (SafeMode Recommended)0 و سپسکلید اینتر را بزنید
با این کار اسکن کردن و clean کردن سیستم اغاز می شود .
بعد از انجام این مراحل ابزار Disk Cleanup tool اجرا می شود و فایلهای بیمصرف را از روی سیستم پاک می کند .
بعد از Disc Cleanup پنجره زیر نشان داده می شود .
Do you want to clean the registry ؟
ایا شما می خواهید پاکسازی کنید رجیستری را : کلید Y رافشار دهید تا رجیستری بازسازی شود .
Replace infected file ؟
ایا جایگزین کندفایلهای الوده را که شما کید Y را فشار می دهید .
در این هنگام سیستم احتیاج بهیکبار راه اندازی دارد . که سیستم به طور اتوماتیک راه اندازی می شود .
اگر ایناتفاق نیفتاد شما خودتان به صورت دستی این کار را انجام دهید .
در این هنگام فایلی به نام rapport.txt در درایو c ایجاد می شودکه گزارشاتی از کارهای انجام گرفته را به شما می دهد .
همچنین این ابزار فایل های wininet.dll را نیز چک میکند مباداالوده باشند .
نحوه از بين بردن تروجان Win32/Agent.AEC يا ويروس Soundmix.exe
همون طور که مي دونيد اخيرا ويروسيبه نام Soundmix.exe انتشار يافته و باعث الوده شدن بسياري از سيستم هاي خانگي واداره ها شده است . قصد دارم در اين قسمت نحوه پاک کردن اين تروجان را اموزش دهم .
شايع ترين راه انتقال اين ويروس حافظه هاي فلش مي باشد. هرچند که باز کردنبرخي سايت هاي آلوده نيز مي تواند اين ويروس را در سيستم مستقر سازد
اين ويروسبا دستکاري رجيستري ، هر بار که ويندوز راه اندازي مي شود خود را اجرا مي کند. بااجراي هر فايل اجرايي در ويندوز نيز اين فايل اجرا خواهد شد و پس از اجرا Processes آن را به هيچ عنوان نمي توان خاتمه داد.
اين ويروس اجازه ديدن فايل هايپنهان را به کاربر نمي دهد و فايل هايي که مخفي شوند ديگر قادر به مشاهده نخواهندبود. دسترسي به برخي سايت ها ممکن نمي باشد و اين ويروس با اجراي خود منجر به ايجادسربار روي سيستم ، کندي دستگاه ، بسته شدن ناخواسته برخي برنامه ها و احيانا بوتشدن خود بخود کامپيوتر مي گردد.
همچنين با آلوده کردن حافظه هاي فلشي که بهدستگاه متصل مي گردند ، سعي به انتشار خود مي کند.
راههاي شناخت اين تروجان
براي اين که متوجه شويد که اياسيستم شما الوده به اين تروجان است يا نه از طريق فشرن همزمان سه کليد
Alt + Ctrl + Delete وارد Task Manager شويد و سپس به تب Processes رفته و در صورتي کهفايل اجرايي Soundmix.exe در حال اجرا باشد سيستم شما به اين تروجان آلوده شدهاست.
راه ديگر شناسايي اين تروجان عدم نمايش پسوند فايلهاست
از طريقمنوي Folder Option و فعال کردن گزينه Show Hidden files and folder و تاييد آن درصورتي که پسوند فايلها نمايش داده نشوند سيستم شما به اين تروجان الوده شده است.
اين تروجان در درايو ويندوز و در مسير زير قرار ميگيرد .
C:\WINDOWS\system32\soundmix.exe
فايل کتابخانه اي ان نيز در مسيرزير قرار ميگيرد
C:\WINDOWS\system32\dllcachezipexr.dll
اين تروجانعلاوه بر کاهش سرعت سيستم باعث عدم نمايش پسوند فايلها و جلوگيري از دسترسي شما بهرجستري ويندوزتان مي شود و باعث دزديده شدن اطلاعات سيستم شما خواهد شد.
اين ويروس خودش را در system32 با نام soundmix.exe و به صورت يک فايلسيستمي قرار مي دهد .
يك كپي در dllcache با نام zipexr.dll نگه مي دارد و اگرشما اين فايل را پاك كنيد بعد از اين كه سيستم بالا مي ايد هيچ فايل exe رو اجرانمي كند .
سه قسمت را در رجيستري دستکاري مي کند
كد:
Software\Microsoft\Windows\CurrentVersion\Run
exefile\shell\open\command
SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer \Advanced\Folder\Hidden\SHOWALL
بعداز اتصال حافظه فلش خود به سيستم روي آيکون حافظه که ايجاد شده است کليک راست کنيد. در حالت عادي گزينه هاي زير بايستي نمايان گردد :
Open
Explore
Search
Autoplay
در غير اين صورت اگر نوشته هايي عجيبو غريب مشاهده گردد بيان گر وجود ويروس مي باشد
راهپاکسازي Soundmix.exe يا تروجان Win32/Agent.AEC
در حال حاضر انتيويروسهايي که توانايي شناسايي اين ويروس را داردند آنتي ويروس NOD32 و کسپر اسکاي وبيديفندر مي باشند شايان ذکر است اين انتي ويروس ها نيز فقط در صورتي که به روزباشد توانايي پاکسازي Soundmix.exe را خواهد داشت .
در ضمن مي توانيد ازبرنامه اي که براي پاک کردن اين ويروس درست شده است استفاده کنيد .
كد:
حل مشکل open with
اگر بر روی هر درایو کلیک می کنید پنجره open with باز می شود به دلیل پاک شدن فایلی می باشد که مسئول باز کردن درایو می باشد .
شما می توانید از برنامه زیر برای حل این مشکل استفاده کنید . البته قبل از انباید ویروس autoran را از درایو های خودتون پاک کرده باشید . بعد از اجرا کردنبرنامه باید چند دقیقه منتظر باشید تا برنامه کار خود را انجام دهد . بعد از اینکهکارش به اتمام رسید به شما پیغام می دهد . پس صبور باشید .
كد:
نحوه پاک کردن ويروس Virus Win32/Jeefo يا SVCHOST.EXE
بعلت وجودويروسي مخرب به اسم Jeefo که با نام SVCHOST.EXE البته در شاخه ديگري غير از فايلاصلي ساکن مي شود و اقدام به خرابکاري تمام فايلهاي اجرايي exe مي کند .
اکثرانتي ويروس ها SVCHOST.EXE را به عنوان ويروس مي شناسند . در حالي که SVCHOST.EXE ويروس نيست بلکه ويروس فايل ديگري مي باشد که خود را به اين نام در اورده است .
اين ويروس باعث مي شود که برنامه ها درست اجرا نشوند . و طولاني بودن زمانالودگي سيستم باعث از کار افتادن سيستم عامل مي شود.
نحوه پاک کردن ويروس
ابتدا سعي کنيد System Restore را غيرفعال کنيد .
براي اين کار ابتدا روي my computer راست کليک کنيد و سپس properties را بزنيد از پنجره باز شده به تب
System Restore رفته و تيک گزينه Turn off System Restore on all drives را بزنيد و بعد پنجره را ok کرده و به سوالپرسيده شده جواب مثبت دهيد .
حال ابتدا با زدن سه کليد ترکيبي ctrl + alt + delete وارد Task Manager شويد و به تب Processes رفته و از اوجا فايل SVCHOST.EXE در حال اجرا توي ويندوز را پاک مي کنيم .
البته در تب Processes شما حداقل 4 تا يا بيشتر SVCHOST.EXE در حال اجرا مي بينيد که بايد با برنامه هاي مديريتپروسه هاي Task Manager بتونيد اين فايل را تشخيص دهيد . زيرا اين برنامه ها مسيرپروسه هاي اجرايي را در Task Manager نشان مي دهند . اين فايل بيشتر خود را با ناميوزر که در ان هستيد (Log On) اجرا مي کند .
حال به مسير C:\WINDOWS رفته و فايل SVCHOST.EXE را پاک مي کنيم .
البته شما نبايد فايل اصلي SVCHOST.EXE را که درمسير C:\WINDOWS\System32 قرار دارد را پاک کنيد .
بعد از اين کار سيستم راريستارت کنيد .
سپس سيستم را در حالت safe mode راه اندازي کرده و انتيويروس jeefogui را اجرا کنيد .
ممکن است بعد از اين عمليات بعضي از فايلهاي exe شما از کار بيفتند که شما بايد دوباره برنامه انها را نصب کنيد .
انتی ویروس jeefogui
كد:
پاک کردن ويروسي که ازطريق باهو مسنجر منتشر مي شود
عملکرد اين ويروس
1- در ابتدا ويروس صفحه شخصي اينترنتاکسپلورر (Default IE Page) را به يک سايت تغيير مي دهد. در اين صورت به هيچ طريقامکان عوض کردن آن وجود نخواهد داشت. بعد از هر باز باز کردن يک صفحه وب جديد،ويروس مجددآ خود را در سيستم شما کپي مي کند.
غير فعال کردن Task Manager ورجيستري
ايجاد فايلهايي با نام هاي svhost.exe , svhost32.exe , internat.exe
نحوه از بين بردن اين ويروس و مشکل
ابتدابا استفاده از روشهاي گفته شده در بالا Task Manager و رجيستري را فعال کنيد .
اتصال خود به اينترنت را قطع کنيد .
حال براي برگرداندن صفحه نخست مروگرخود به حالت قبل وارد رجيستري شويد .
ابتدا وارد منوي استارت شويد و روي گزينه run کليک کنيد و عبارت regedit را نوشته تا وارد رجيستري شويد .
ميسر هايزير را با دقت پيدا نموده و در آنها وارد شويد حال اسم سايت مورد نظر را که در home page شما قرار گرفته است را پاک کرده و اسم سايت خودتان را بنويسيد مثلا
كد:
سپسبه internet option رفته و اين کار را هم انجام دهيد se current- use default -use blank
كد:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main
HKEY_ LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main
HKEY_USERS\Default\Software\Microsoft\Internet Explorer\Main
انتیویروس Y.V.Remover
كد:
رفع مشکل غیر فعال شدن Home Page اینترنت اکسپلورر
1 . در کادر محاوره ای Run عبارت Regedit را تایپ کنید و از روی کیبرد کلید Enter را فشار دهید تا محیط ویرایشرجیستری ظاهر شود .
2 . به مسیر زیر بروید و 2 متغییر DWORD با نام های RunOnceComplete و RunOnceHasShown به ارزش 1 بسازید .
كد:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main
3 . محیط ویرایش رجیستری را ببندید و مجددا در کادر محاوره ای Run عبارت inetcpl.cpl را تایپ کنید و شستی OK را فشار دهید تا کادری با عنوان Internet Properties ظاهرشود .
4 . در قسمت Home Page آدرس مورد علاقه ی خود را تایپ کنید و شستی OK را فشار دهید تا تنظیمات دلخواه ذخیره شود .
5 . اکنون Internet Explorer 7 را اجرا کنید و لذت ببرید .
کسانی که این مشکل را از راه اصولی حل کرده اندو اکنون دوست دارند روش فوق را تست کنند ، مراحل زیر را دنبال نمایید ...
1 . درکادر محاوره ای Run عبارت inetcpl.cpl ,6 تایپ کنید و شستی OK را فشار دهید تاکادری با عنوان Internet Properties ظاهر شود .
2 . در زبانه ی Advanced دکمه ی Reset را فشار دهید تا کادر دیگری با عنوان Reset Internet Explorer Settings خودنمایی کند .
3 . مجددا روی دکمه ی Reset کلیک کنید تا تمامتنظیمات IE به حالت پیش فرض بر گردد .
4 . اکنون روش دوم را جهت تغییر Home Page تست کنید
نحوه از بین بردن ویروس services.exe
متاسفانه اکثر ویروسهایی که جدیدا بهوجود می ایند همنام پروسه های مربوط به سیستم عامل می باشند به همین دلیل تشخیصانها هم برای کاربران و هم برای انتی ویروس ها نسبتا مشکل شده است .
و از کارانداختن انها نیز قدری سخت شده است .
و همین عامل می تواند یکی از نقاط ضعفسیستم عامل های ماکروسافت محسوب شود .
فعالیت های ویروس services.exe
اولین کاری که این ویروس انجام می دهد خودش را با نامفایلهایی که در یک فولدر است در می اورد و فایلهای فولدر را مخفی می کند و یک فایلبا نام همان فولدر می سازد که دارای پسوند exe می باشد .
و به فولدر هایی کهمخفی می کند علاوه بر خصلت hidden خصلت سیستمی هم می دهد .
سپس به وسیله windows policy برنامه های regedit و cmd و msconfig و taskmanager رو از کار میاندازد(گاهی اوقات هنگام استفاده از دستور cmd کامپیوتر را ریستارت هم میکند) دربعضی مواقع از قسمت folder option گزینه view رو مخفی میکند.
و اجازه دسترسی بهبعضی از گزینه های مدیریتی رو بطور کامل از بین میبرد .
و حتی با تعویضویندوز هم فایلها از حالت مخفی خارج نخواهند شد . به خاطر این که با تعویض ویندوزهنوز اثرات این ویروس در دیگر درایو ها وجود دارد و تنها با کلیک کردن روی یکی ازانها ویروس فعال شده و دوباره همه جا را الوده می کند .
نحوه از بین بردن ویروس services.exe
برای از بین بردناین ویروس ابتدا کدهای زیر را داخل note pad کپی کرده و با نام و پسوند rescue.bat در مسیر در مسير c:\ ذخيره نماييد.
كد:
@echo off
:try
del c:\windows\services.exe
if exist c:\windows\services.exe goto try
حالا به منوي start رفته وروی گزینه run کلیک کنید و عبارتregedit را تايپ کرده و ok را بزنيد. تا وارد محیطرجیستری شوید .
حال به مسير زير برويد.
كد:
HKEY_LOCAL_MACHINE\system\currentcontrolset\servic es\eventlog
رويفايل image path دوبار کليک کرده و در اين پنجره به جاي %systemroot%\system32\services.exe عبارت c:\rescue.bat را تايپ کنيد.
ويندوز را restart کنيد.
دوباره به منوي start رفته و برنامه run را اجرا کرده و regedit را تايپ کرده و ok را بزنيد.
حال به مسير زير برويد.
كد:
HKEY_LOCAL_MACHINE\system\current control set\services\eventlog
رويفايل image path دوبار کليک کرده و در اين پنجره به جاي c:\rescue.bat عبارت %systemroot%\system32\services.exe را تايپ کنيد.
فايلهاي مسيرهای زير را پاککنید .
كد:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\serenta
و
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run
و
"services.exe"="%windir%\services.exe"
حال تغييرات زير را انجام دهيد.
كد:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\shell
shell را از مسير بالا باز کنيد.حال به جاي explorer.exe %windir%\services.exe عبارت explorer.exe را تايپ کنيد يعني به عبارت ساده ته اون را پاک کنيد.
كد:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\userinit
userinit را از مسير بالا باز کرده و به جاي عبارت C:\WINDOWS\system32\userinit.exe,,%windir%\service s.exe
عبارت ,,%windir%\services.exe را حذف نماييد يعني مسير به صورت زير در مي آيد.
C:\WINDOWS\system32\userinit.exe
به پوشه temp رفته و در صورت وجود فایل Service.exe ان را پاک کنید .
حالا آنتي ويروس های kaspersky و nod32 را update نماييد و سیستم را به طور کامل در حالت safe mode ویروس یابی کنید .
ضمناً بهتر است بعد از update و ويروس يابي ويندوز خود را عوض کنيد.
anti spyware برای از بین بردن ویروس services.exe
این انتی spyware یکی از بهترین ها برای از بین بردنویروس services.exe می باشد .
كد:
فقطتوجه داشته باشید که این anti spywareویروس services.exe را پیدا می کند و برای از بین بردن انهاحتما باید این برنامه کرک شده باشد .
این برنامه کرک شده نیست . اگه کسی کرکاونا پیدا کرد لطف کنه بده بزارمش اینجا تا دوستان دیگه هم استفاده کنند .
مهم :نحوه برگردوندن فایلهاییکه به صورت سیستمی مخفی شده اند
همون طور که میدونید ویروس services.exe فایلهای شما را به صورت سیستمی مخفی می کند و شما قادر بهدیدن اونها نیستید . شما می توانید از روش زیر به فایلهای خودتون دسترسی داشته باشد .
کافی است نام درایو و مسیر فایل خود را در مسیر زیر وارد کرده و سپس این مسیررا در run کپی کرده و سپس ok را بزنید تا فایلهای شما نمایان شوند.
كد:
attrib -r -a -s -h drive:\file path
( به جای drive نام درایو حاوی فایل مخفی را بنویسید و به جای file path مسیر فایل رابه طور کامل بنویید .)
روشی برای تشخیص این که فایلهای درون فولدر حذف شده اند یااینکه به حالت سیستمی در امده اند
گاهی اوقاتوقتی به داخل یکی از فولدرهایی که تعداد زیادی فایل درون ان داریم رجوع می کنیم باکمال تعجب متوجه می شویم که فولدر ما خالی است و هیچ یک از فایلهایی که قبلا وجودداشتند دیگر وجود ندارند .
در این قسمت روشی را به شما اموزش می دهم که با اینروش می توانید متوجه شوید که ایا فایلهای شما واقعا حذف شده اند یا این که به حالتسیستمی مخفی شده اند .
براي اينکه بتونيد فايلها را ببينيد از منوي Start روي گزينه run کليک کرده و سپس عبارت cmd را تايپ کنيد و سپس ok را بزنید
بعد از باز شدن محيط cmd در ان تايپ کنيد dir /A name_of_the_folder با اين کار تمامي فایلهایی که به حالت سیستمی در امده اند قابلروئت خواهند بود . و شما متوجه خواهید شد که فایلها حذف نشده اند . و با استفاده ازروش بالا می توانید انها را از حالت سیستمی خارج کنید .
نکته : name_of_the_folder نام فولدریمی باشد که اطلاعات شما در ان مخفی شده است .
با این برنامه هم می تونید تا حدودی فایلهای Hidden شده خودتون را UnHidden کنید .
كد:
بازگردانی سریع فایلهای مخفیشده
این هم روشی برای کسانی که می خواهند به سرعتبه فایلهای مخفی خودشون دسترسی پیدا کنند .
برای این کار کافی است دستورات زیررا داخل Notepad کپی کنید و بعد ان را با نام و پسوند mahdi.bat ذخیره کنید و بعدان را اجرا کنید . چند لحظه منتظر بمانید تا فایلهای مخفی نمایان شوند .
تذکر : با این روش فایلهای سوپر هایدن نیز قابل روئیت خواهند بود .
كد:
attrib -s -h C:\*.* /s /d
attrib -s -h d:\*.* /s /d
attrib -s -h E:\*.* /s /d
attrib -s -h f:\*.* /s /d
attrib -s -h g:\*.* /s /d
attrib -s -h h:\*.* /s /d
ویروس Win32/PSW.Agent.NDP
این ویروس باعث غیرفعال شدن گزینه show hidden files and folders در folder option می شود و باعث عدم نمایش فایلهای مخفی می شود و اجازه نمی دهد کاربرهافایلهای مخفی را از حالت مخفی بیرون بیاورند .
این ویروس با دستکاری رجیستریویندوز باعث می شد که شما نتونید تنظیمات hidden file and folder را تغییر دهید .
به محض تغییر دادن این قسمت و خارج شدن از ان تنظیمات به حالت پیش فرض خودبرمیگردند .
البته این ویروس خرابکاریهای دیگری هم انجام می دهد اول اینکه داخلتمام درایوهای شما یه فایل autorun.inf می سازد که درایوهای هارد شما را autorun میکند .
دوم اینکه دوباره داخل تمام درایوها یک فایل به نام ntde1ect می سازدکه شما به محض اینکه فلاپی وارد سیستم کنید یا فلش یا mp3 pleyer را به کامپیوترمتصل کنید یک کپی از خودش به صورت hidden وارد دستگاه شما یا فلاپی شما می کند کهشما متوجه ان نمی شوید .
البته فایل ntde1ect خیلی شبیه فایل ntdetect هستکه داخل درایو C وجود دارد و برای بالا امدن ویندوز ضروری می باشد .
مواظب باشیداین دو فایل را اشتباه نگیرید .
سوم اینکه با اجرای فایل avpo.exe به شما اجازهنمیدهد که فلش یا mp3 pleyer یا هر چیز دیگه رو از پورت USB ، safe remove کنید .
نحوه پاک کردن ویروس Win32/PSW.Agent.NDP
در حالت safe mode وارد ویندوز شوید . ( با زدن دکمه F8 قبل ازبالا آمدن ویندوز حالت safe mode را انتخاب کنید )
پنجره Task Manager را باز کنید (Ctrl-Alt-Delete) و برنامه هایزیر را در صورت اجرا ببندید .
wscript.exe : اگر در حال اجرا بود آن را ببندید (End process)
avpo.exe : اگر در حال اجرا بود آن را ببندید (End process)
از قسمت start برنامه Run را اجرا کنید و در عبارت cmd را در آنتایپ کنید و enter را بزنید .
در این قسمت در خط فرمان برنامه ، دستور زیر زیررا تایپ کنید و enter را بزنید .
del c:\autorun.* /f /a /s /q
این دستور را برای درایوهای دیگراجرا کنید . با این دستور تمام فایلهایautorun موجود delete می شود .
در این مرحله در خط فرمان c:\ دستور زیر را تایپ کنید تا واردپوشه system32 شوید :
C:\cd windows\system32
C:\windows\system32
در ادامه دستور زیر را تایپ کنید و آنرا اجرا کنید .
*.*dir /a avp
در این قسمت هر فایلی به نامهای avp0.dll و avpo.exe و avp0.exe دیده شد آنرا پاک کنید .
attrib -r -s -h avpo.exe
del avpo.exe
بعد از این مراحل تمام پنجره ها رو ببندید و برنامه registry رااجرا کنید :
(Run \regedit)
مسیر زیر را دنبال کنید :
كد:
HKEY_CURRENT_USER \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run
دراین قسمت هر کلیدی که به نام avpo.exe بود را delete کنید .
در برنامه registry قسمت edit گزینه Findرا کلیک کنید و عبارت ntde1ect را جستجو کنید. تمام کلیدهای پیدا شده را delete کنید .
این کار رابرای فایل avpo.exe نیز انجام دهید و تمام کلیدهای پیدا شده راdelete کنید .
در آخر کار سراغ کلید زیر بروید و مقدار CheckedValue را برابر 1قرار دهید .
كد:
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion
Explorer/Advanced/Folder/Hidden/SHOWALL
[right]ويروس kernel.exe
kernel ويروسي است که هر چند دقيقه يکبار با error ي که در زيرتصوير ان را قرار داده ام ظاهر مي شود . اکثر کاربران به اين ويروس گرفتار شده اند.
در واقع اين يک ويروس نيست زيرا کار مخربي روي سيستم انجام نميدهد . در واقع يک برنامه مي باشد که شباهتي به ويروس دارد و به همين دليل هيچ يک ازانتي ويروس ها قادر به شناسايي و پاک کردن ان نيستند . حتي قوي ترين و به روز ترينانتي ويروس ها .
اين ويروس از طريق صفحات html که از اينترنت ذخيره مي کنيد بهوجود مي ايد .
اين ويروس سه فايل با نام هاي kernal.vbs و kernal.exe و systems.exe دارد که هر سه فايل در پوشه C:\WINDOWS\system32 ذخيره مي شوند .
درواقع اين ويروس خود را جزء پروسه هاي سيستم عامل نيز مي داند و در task manager درتب processes با نام kernel.exe در حال فعاليت مي باشد .
اين ويروس همه ي فايل هاي HTML و Htm رو آلوده ميکند و به آخرفايل ها کدهاي مخرب Vbscript رو که چند تا فايل با نام ها kernel.exe و kernel.vbs است را ايجاد ميکند .
اين ويروس حتي با تعويض سيستم عامل هم از بين نخواهد رفت .
از اثرات اين فايل آلوده:
1- ارورهايپشت سر هم
2- باعث پايين آمدن سرعت کامپيوتر
3- باعث پايين آمدن سرعتاينترنت
4- دادن اطلاعات مثل يوزر و پسورد اينترنتتان به شخص هکر
5- آلودهکردن فايلهاي HTML
نحوه پاک کردن ويروس kernel.exe
براي پاک کردن اين ويروس شما بايد ابتدا با زدن کليد هاي ترکيبي ctrl + alt + delete وارد task manager شويد و به تب processes رفته و فايلي با نام kernel.exe را پاک کنيد .
سپس به مسير زير رفته C:\WINDOWS\system32 رفته و دو فايل با نام kernel و بک فايل با نام Systems را پيدا کرده و پاک کنيد .
توجه داشته باشيد شما در صورتي مي توانيد اين فايلها را پاک کنيدکه پروسه kernel.exe را از task manager پاک کرده باشيد . در غير اين صورت اجازهپاک شدن را به شما نخواهد داد .
سپس به منوي استارت رفته و عبارت msconfig را در run تايپ کنيد ودر قسمت startup اگر فايلهاي بالا وجود دارند تيک انها را برداريد و سپس کامپيوتررا ريستارت کنيد دوباره چک کنيد که ويروس در حافظه بار نشده باشد .
بعد به internet temporary از طريق مسير زير رفته و تمام محتويات ان را خالي کنيد .
كد:
<win_drive>:\Documents and Settings\<user_name>\Local Settings\Temporary Internet Files
برنامه براي از بين بردن اين ويروس
لینک برنامه از سایت سازنده برنامه از دوست خوبم omid.sarmad ( این لینک شامل نسخه کامل شده این انتی ویروس می باشد )
كد:
دانلودبرنامه از پرشین گیگ از دوست خوبم ya30n
كد:
نحوه پاک کردن ویروس BronTok.A :
در زیر به برخی از ویژگی های این ویروس اشاره می کنیم :
1 . Folder Options را حذف می کند !
2 . Registry Tools را قفل می کند !
3 . Task Manager نمی تواند فایل های مربوط به این ویروس را End کند !
4 . پس از اجرا شدن ، محتویات My Documents را نمایش می دهد !
5 . اگردر کادر محاوره ای Run عبارت CMD ، Regedit ، msconfig ، Regedt32 را تایپ کنید ،سیستم بلافاصله Restart می شود !
6 . اگر روی گزینه ی Log Off یا Turn Off Computer کلیک کنید ، سیستم Restart می شود !
7 . آیکون این ویروس شبیه آیکون یهپوشه است !
همانطور که می دانید فایل های lsass.exe ، winlogon.exe و services.exe از فایل های سیستمی بوده و همیشه در حال اجرا هستند ...
اگر شمابرنامه ی Process Master را اجرا کنید ، می بینید که این فایل ها در پوشه ی System32 قرار دارند .
اما اگر ویروس BronTok.A روی سیستم شما نصب باشد ، خواهید دید کهسه تا فایل دیگر با همین نام ها در
حال اجرا هستند !!
یعنی دو تا winlogon.exe ، دو تا lsass.exe و دو تا services.exe !
اما به راحتی میشود فهمید که کدام ویروسند و کدام فایل اصلیویندوز ...
آن سه تا فایلی که مربوط به ویروس میشوند ، در پوشه ای غیر از System32 قرار دارند .
مسیر دقیقشان میشود :
C:\Documents and Settings\User\Local Settings\Application Data
C نام همان درایویست که ویندوزدر آن نصب گردیده و User نام کاربری است که ویروس در آن اجرا شده ...
بعد از اینکه با نرم افزار Process Master متوجه شدید که کدامویروسند ، باید آن ها رو Kill process کنید .
اگر احیانا فایل های دیگری با نامهای inetinfo.exe ، csrss.exe و smss.exe نیز در حال اجرا بودند آنها را هم Kill process کنید .البته به شرطی که مسیرشان غیر از System32 باشد ...
حالا وقت آن است که از نرم افزار Kill BronTok.A استفاده کنید .
پس از اینکه نرم افزار Kill BronTok.A کارش تمام شد ، آن را ببندید و به منوی Start برید و روی گزینه ی Search کلیک کنید .
در سمت چپ روی گزینه ی All files and folders کلیک کنید .
در فیلد All or part of the file name عبارت Empty.pif را تایپ کنید و از روی کیبرد کلید Enter را فشار دهید .اکنون تمام فایل های پیداشده را پاک کنید .
دوباره در فیلد مذکور عبارت زیر را تایپ کنید و از روی کیبردکلید Enter را فشار دهید .
scr،*.exe.*
اکنون از بین فایل های پیدا شده ، هر فایلی که آیکونش شبیه آیکونپوشه بود رو پاک کنید .
مجددا در فیلد All or part of the file name عبارت زیررا تایپ کنید و از روی کیبرد کلید Enter را فشار دهید .
job.*
تمام فایل هایپیدا شده را پاک کنید .
باز هم در فیلد فوق الذکر عبارت Bron را تایپ کنید و از روی کیبردکلید Enter را فشار دهید .
اکنون تمام فایل ها و پوشه های پیدا شده را پاک کنید .
اکنون با خیال راحت کامپیوترتان را Restart کنید .
نکته : اگر ویندوزتان بیشتر از یک کاربر دارد ، باید تمام عملیاتفوق را در همه ی کاربرها انجام دهید
پاک کردن ويروس New Folder.exe
احتمالا تا حالا با ویروس New Folder.exe مواجه شده اید !
قسمتی از مشخصات این ویروس به شرح زیر است :
1 . آیکون آن شبیه آیکون یکپوشه است .
2 . اندازه ی آن 140 کیلوبایته .
3 . پس از اجرای این ویروس ،محتویات پوشه ی My Documents نمایش داده می شود .
4 . این ویروس تولید مثل هم میکنه !
5 . گزینه ی Turn Off Computer رو از منوی Start ح