Virtual World Virus نحوه ی دستی از بین بردن ویروس ها آخرین مطالب
آرشیو وبلاگ چهارشنبه 2 تیرماه سال 1389 :: 04:05 ب.ظ :: نویسنده : Bet6z
در این اواخر تعدادی از مشتریان در تماس با من اظهار میدارند که کامپیوتر آنها به ویروسی آلوده شده که کلیه فایلهای داخلی پوشه ها را حذف می کند و از من در مورد ریکاوری این فایلها سوال می کنند غافل از اینکه این ویروس فایلها را حذف نکرده است .
بلکه کلیه پوشه ها را مخفی و سیستمی کرده و از دید کاربر پنهان نموده است و برای رد گم کنی فایلهایی با آیکانی شبیه پوشه و با نام پوشه های مخفی شده ایجاد می کند که کاربر با وارد شده به آن با پوشه ای خالی مواجه می شود !!
عمکرد این ویروس
مخفی و سیستمی کردن کلیه پوشه ها کپی خود در تمام پوشه هایی که کاربر وارد آنها می شود یا آنها را مرور می کند . تنظیم عدم نمایش فایلهای مخفی سیستمی و پسوند فایلها تغییرات در رجیستری
این ویروس از طریق مراجعه و ویزیت سایتهای آلوده و همچنین دانلود کرکها و فایلهای مشکوک به سیستم کاربران وارد می شود .
این ویروس با ترفند بسیار جالبی ابتدا با استفاده از تنظیم خصوصیات سیستمی ، تمام پوشه هایی که کاربر بر روی آن کلیک می کند را ، بصورت سیستمی مخفی می کند و سپس خودش را با اسامی همنام آن پوشه ها ایجاد می کند که آیکن آنها به شکل پوشه است و هنگامی که کاربر روی آنها دابل کلیک می کند با پوشه خالی مواجه می شود و گمان می کند پوشه های وی حذف شده است .
درواقع بسیاری از کابران به محض آلوده سدن به این ویروس اظهار میدارند که ویروس تمام محتویات پوشه های آنها را حذف کرده است و بسیاری نیز به فکر ریکاوری سیستم خود می افتند !
این ویروس همچنین خاصیت نمایش پسوند فایلها را غیرفعال می کند تا کپی هایی که از خود ایجاد کرده و پسوند Exe دارند قابل شناسایی نباشد و از آنجا که با دستکاری رجیستری آیکان فایلهای کاربردی و Exe را به شکل فولدر تغییر می دهد ، خود را همانند پوشه خالی نمایش می دهد .
طریقه حذف و پاکسازی ویروس هایدر :
1. ابتدا System Restore را غیرفعال کنید .
2. سپس بایستی سیستم را در حالت Safe Mode بوت کنید .
3. در صورتی که در تسک منیجر ، پراسسی به نام isass.exe مشاهده می کنید آن را انتخاب کرده و روی آن کلیک راست نموده و End Task Tree را کلیک کنید .
4. سپس با اجرای برنامه ی ویرایش رجیستری ویندوز ( نوشتن عبارت Regedit.exe در پنجره RUN و کلیک OK )
کلیدهای زیر در رجیستری را حذف کنید : ( این مسیر موجب اجرای ویروس در هرباری اجرای ویندوز می شود ) کد: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ Services\CSNetManagerXp ImagePath = "%System%\isass.exe" نکته : منظور از %System% پوشه سیستمی ویندوز است . این پوشه در Windows 2000 با مسیر C:\WINNT\System32 و در Windows XP و Server 2003 با مسیر C:\Windows\System32 میباشد .
5. کلیدهای زیر در رجیستری را اصلاح کنید :
برای اصلاح نمایش پسوند فایلها مقدار متغیر HideFileExt را ز 1 به مقدار صفر تغییر دهید (در مسیر زیر : ) کد: HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft> Windows>CurrentVersion>Explorer>Advanced>Folder>HideFileExt مقدار متغیر SuperHidden را نیز از مسیر کد: HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft> Windows>CurrentVersion>Explorer>Advanced>Folder>SuperHidden از مقدار فعلی صفر به مقدار یک تغییر دهید . برای اصلاح و برگرداندن آیکان فایلهای اجرایی Exe در رجیستری ادیتور به مسیر کد: HKEY_LOCAL_MACHINE>SOFTWARE>Classes>exefile رفته و مقدار متغیر default را از مقدار "File Folder" به " Application " تغییر دهید . در پایان به مسیر کد: HKEY_CURRENT_USER> Software>Microsoft>Windows> CurrentVersion>Explorer>Advanced رفته و مقدار دو متغیر HideFileExt و ShowSuperHidden را به صورت زیر اصلاح کنید : HideFileExt از مقدار فعلی 1 به مقدار صفر ShowSuperHidden از مقدار فعلی صفر به مقدار یک 6. از برنامه ویرایش رجیستری خارج شوید و سیستم را ری استارت نمایید . پس از بالا آمدن سیستم بایستی کلیه فایلهای آلوده ای که همنام با "پوشه های مخفی سیستمی شده" میباشند و دارای پسوند exe هستند را به صورت دستی پاک کنید . |
||
تمامی حقوق این وبلاگ محفوظ است |طراحی : پیچک
|