Trojan.Win32.Hider.i ویروسی که تمام پوشه ها را مخفی می کند

در این اواخر تعدادی از مشتریان در تماس با من اظهار میدارند که کامپیوتر آنها به ویروسی آلوده شده که کلیه فایلهای داخلی پوشه ها را حذف می کند و از من در مورد ریکاوری این فایلها سوال می کنند غافل از اینکه این ویروس فایلها را حذف نکرده است .

بلکه کلیه پوشه ها را مخفی و سیستمی کرده و از دید کاربر پنهان نموده است و برای رد گم کنی فایلهایی با آیکانی شبیه پوشه و با نام پوشه های مخفی شده ایجاد می کند که کاربر با وارد شده به آن با پوشه ای خالی مواجه می شود !!

عمکرد این ویروس

مخفی و سیستمی کردن کلیه پوشه ها

کپی خود در تمام پوشه هایی که کاربر وارد آنها می شود یا آنها را مرور می کند .

تنظیم عدم نمایش فایلهای مخفی سیستمی و پسوند فایلها

تغییرات در رجیستری

این ویروس از طریق مراجعه و ویزیت سایتهای آلوده و همچنین دانلود کرکها و فایلهای مشکوک به سیستم کاربران وارد می شود .

این ویروس با ترفند بسیار جالبی ابتدا با استفاده از تنظیم خصوصیات سیستمی ، تمام پوشه هایی که کاربر بر روی آن کلیک می کند را ، بصورت سیستمی مخفی می کند و سپس خودش را با اسامی همنام آن پوشه ها ایجاد می کند که آیکن آنها به شکل پوشه است و هنگامی که کاربر روی آنها دابل کلیک می کند با پوشه خالی مواجه می شود و گمان می کند پوشه های وی حذف شده است .

درواقع بسیاری از کابران به محض آلوده سدن به این ویروس اظهار میدارند که ویروس تمام محتویات پوشه های آنها را حذف کرده است و بسیاری نیز به فکر ریکاوری سیستم خود می افتند !

این ویروس همچنین خاصیت نمایش پسوند فایلها را غیرفعال می کند تا کپی هایی که از خود ایجاد کرده و پسوند Exe دارند قابل شناسایی نباشد و از آنجا که با دستکاری رجیستری آیکان فایلهای کاربردی و Exe را به شکل فولدر تغییر می دهد ، خود را همانند پوشه خالی نمایش می دهد .

طریقه حذف و پاکسازی ویروس هایدر :

1. ابتدا System Restore را غیرفعال کنید .

2. سپس بایستی سیستم را در حالت Safe Mode بوت کنید .

3. در صورتی که در تسک منیجر ، پراسسی به نام isass.exe مشاهده می کنید آن را انتخاب کرده و روی آن کلیک راست نموده و End Task Tree را کلیک کنید .

4. سپس با اجرای برنامه ی ویرایش رجیستری ویندوز

( نوشتن عبارت Regedit.exe در پنجره RUN و کلیک OK )

کلیدهای زیر در رجیستری را حذف کنید :

( این مسیر موجب اجرای ویروس در هرباری اجرای ویندوز می شود )

کد:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\

Services\CSNetManagerXp

ImagePath = "%System%\isass.exe"

نکته : منظور از %System% پوشه سیستمی ویندوز است . این پوشه در Windows 2000 با مسیر C:\WINNT\System32 و در Windows XP و Server 2003 با مسیر C:\Windows\System32 میباشد .

5. کلیدهای زیر در رجیستری را اصلاح کنید :

برای اصلاح نمایش پسوند فایلها مقدار متغیر HideFileExt را ز 1 به مقدار صفر تغییر دهید (در مسیر زیر : )

کد:

HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>

Windows>CurrentVersion>Explorer>Advanced>Folder>HideFileExt

مقدار متغیر SuperHidden را نیز از مسیر

کد:

HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>

Windows>CurrentVersion>Explorer>Advanced>Folder>SuperHidden

از مقدار فعلی صفر به مقدار یک تغییر دهید .

برای اصلاح و برگرداندن آیکان فایلهای اجرایی Exe در رجیستری ادیتور به مسیر

کد:

HKEY_LOCAL_MACHINE>SOFTWARE>Classes>exefile

رفته و مقدار متغیر default را از مقدار "File Folder" به " Application " تغییر دهید .

در پایان به مسیر

کد:

HKEY_CURRENT_USER> Software>Microsoft>Windows>

CurrentVersion>Explorer>Advanced

رفته و مقدار دو متغیر HideFileExt و ShowSuperHidden را به صورت زیر اصلاح کنید :

HideFileExt از مقدار فعلی 1 به مقدار صفر

ShowSuperHidden از مقدار فعلی صفر به مقدار یک

6. از برنامه ویرایش رجیستری خارج شوید و سیستم را ری استارت نمایید .

پس از بالا آمدن سیستم بایستی کلیه فایلهای آلوده ای که همنام با "پوشه های مخفی سیستمی شده" میباشند و دارای پسوند exe هستند را به صورت دستی پاک کنید .