نحوه پاک کردن ویروس W32/Saldost

W32/Saldost یکی از ویروسهایی است که از یک ویروس خارجی کپی برداری و سپس دستکاری شده است ، بسیاری از نرم افزارهای امنیتی معروف به سختی قادر به شناسایی آن و یا حذف کامل آن هستند و اخیرا نسخه های مشابهی از آن در اینترنت منتشر شده است.

این ویروس در واقع نسخه خاصی از دو ویروس Malas و همچنین Sality میباشد .

این ویروس اغلب اعمال زیر را انجام می دهد :

یک نوار زرد رنگ در بالای صفحه رایانه و همراه با جملات فارسی به رنگ قرمز نمایش داده می‌شود. جملاتی که بیشتر توسط این ویروس نمایش می یابد شعارها و جملاتی بر علیه جمهوری اسلامی ایران ، باورها و ارزشهای جامعه میباشد .

یک فایل HTM با نام Important یا Harf یا نامهایی دیگر بر روى Desktop کامپیوتر شما ظاهر مى شود که در آن نیز جملاتی برعلیه ارزشها نوشته شده است .

.این ویروس گزینه Folder Options کامپیوتر شما را غیر فعال میکند.

همچنین این ویروس دو فایل مخفی و سیستمی به نامهای Autorun.exe یا autoply.exe و Autorun.inf را در کلیه درایوهای هارد ایجاد می کند و موجب می شود که با دابل کلیک کردن روی درایوها ، فایل اجرایی اتوران اجرا شده و درایو مورد نظر در پنجره ای دیگر باز شود و یا در نسخه هایی اصلا درایو باز نشود .

کپی شدن فایل Autorun.inf موجب می شود حتی اگر به صورت دستی یا توسط آنتی ویروس فایل اجرایی دیگر (Autorun.exe یاautoply.exe ) حذف گردد دیگر درایوها با دابل کلیک باز نمی شوند و حتی با کلیک راست روی درایوها و انتخاب Open نیر باز نمی شوند . تنها راه بازکردن درایوها نوشتن نام درایو به ههراه دونقطه (  در پنجره RUN میباشد .

(مثلا :c )

این بدافزار اینترنتی پس از اجرای فایل ، بر روی سیستم کاربر، ابتدا خودش را بر روی سیستم کپی می‌کند و سپس با تغییر دادن کلیدهایی در رجیستری باعث بروز مشکلاتی از جمله باز نشدن

Folder Option و مخفی نگه داشتن فایل‌های مخفی و سیستمی می‌شود.

این کرم اینترنتی ایرانی بوده که توسط ضدویروس ایمن شناسایی و پاکسازی می شود و پس از اجرای فایل ﺁن بر روی سیستم کاربر، ابتدا خودش را به صورت زیر بر روی سیستم کپی می نماید:

کد:

%TEMP%\svchost.exe

%PROGRAMFILES%\Sound Utility\Soundmax.exe

%PROGRAMFILES%\Common Files\Microsoft Shared\MSshare.exe

%WINDIR%\Web\OfficeUpdate.exe

سپس فایل خود با نام svchost.exe در مسیر %TEMP% را اجرا کرده و برای این که با هر بار راه اندازی سیستم ﺁلوده به طور خود کار اجرا گردد، خود را به شکل زیر در رجیستری ثبت می نماید:

کد:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVe rsion\Run

SoundMax = %PROGRAMFILES%\Sound Utility\Soundmax.exe

سپس کلیدهای در رجیستری را به شکل زیر تغییر می دهد:

کد:

HKCU\Software\Microsoft\Windows\Curr entVersion\Explorer\Advanced

Hidden = ۲

HideFileExt = ۲

ShowSuperHidde n = ۲

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer

Nof olderoptions = ۲

HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\E xplorer

Nofolderoptions = ۱

HKLM\SOFTWARE\Policies\Microsoft\Windows NT\ SystemRestore

DisableConfig = ۱

DisableSR = ۱

تغییرات فوق باعث بروز مشکلاتی از جمله باز نشدن FolderOption و مخفی نگه داشتن فایلهای مخفی می گردد که برای برطرف کردن این مشکلات می توانید برنامه زیر را از سایت ایمن دانلود کرده و ر جیستری خود را پاکسازی نمایید:

http://www.imenantivirus.com/RegRepair.zip

همچنین کلید IsShortCut را از مسیرهای زیر در رجیستری پاک می کند:

کد:

HKEY_CLASSES_ROOT\lnkfile

HKEY_CLASSES_ROOT\piffile

HKEY_CLASSES_ROOT\InternetShortcut

و کلیدی با نام Wintek در مسیر زیر ایجاد می کند:

کد:

HKEY_CURRENT_USER\Software \

و کلید زیر را در ﺁن ایجاد می نماید:

کد:

Install = b۲ed۳ (Dword - Value i s in hex)

بعد از انجام کارهای فوق تمام برنامه های موجود در زمانبند ویندوز (دستور at) را پاک کرده و با استفاده از زمانبند ویندوز فایل خود را که با نام OfficeUpdate.exe در مسیر WINDIR%\Web% وجود دارد هر روز در ساعات ۱۱:۳۰ و ۲۰:۳۰ اجرا می نماید.

یکی دیگر از کارهای این کرم این است که خود را در مسیرهای زیر با نام های فریبنده کپی می کند و از ﺁنجایی که برخی از این مسیرها مخصوص برنامه ها ی شبکه های اشتراک گذاری فایل (یا P۲P) هستند، با این کار امکان انتشار ﺁن در سراسر دنیا از طریق اینگونه برنامه ها فراهم می گردد:

کد:

%PROGRAMFILES%\Kazaa Lite \My Shared Folder\

%PROGRAMFILES%\Kazaa\My Shared Folder\

%PROGRAMFILES%\I cq\Shared Files\

%PROGRAMFILES%\emule\incoming\

%PROGRAMFILES%\Gnucleus\Do wnloads\Incoming\

%PROGRAMFILES%\KMD\My Shared Folder\

%PROGRAMFILES%\Lime wire\Shared\

%PROGRAMFILES%\XPCode\

C:\Inetpub\ftproot\

به علاوه در مسیرهایی که در ﺁنها فایل های از نوع MP۳ ، JPG یا EXE وجود داشته باشد، خود را با نام zfile.exe کپی می کند. همچنین خود را با نام setup.exe و setlib.exe در مسیرهای زیر کپی می کند:

کد:

\WINDOWS\system۳۲\config\systemprofile\My Documents\

\WINDOWS\system۳۲\config\systemprofile\Start Menu\Programs\

\WINDOWS\system۳۲\config\systemprofile\Start Menu\Programs\Accessories\

\WINDOWS\system۳۲\ config\systemprofile\Start Menu\Programs\Accessories\Entertainment\

WINDOWS\system۳۲\config\systemprofile\Start Menu\Programs\Startup\…

\WINDOWS\system۳۲\drivers\

\WINDOWS\system۳۲\spool\drivers\

\WINDOWS\system۳۲\spool\drivers\w۳۲×۸۶\۳\

این کرم برای اینکه بتواند خود را درون شبکه تکثیر کند، کامپیوترهای موجود در آن را جستجو کرده و با استفاده از درایوهای به اشتراک گذاشته شده، سعی می‌کند خودش را به شکل زیر بر روی آن سیستم‌ها کپی کند:

کد:

C$\Documents and Settings\All Users\Start Menu\Programs\Startup\AdobeUpdate.exe

این کار باعث می‌شود که پس از راه‌اندازی آن سیستم‌ها، ویروس به طور خودکار اجرا شده و عملیات تکثیری خود را بر روی آنها انجام دهد.

از جمله کارهای جالب این ویروس این است که خودش را در ریشه همه درایوها با نام autoply.exe کپی کرده و در کنار آن فایلی با نام Autorun.inf ایجاد می‌کند.

این عمل باعث می‌شود که هر گاه کاربر بخواهد به هر شکلی وارد هر درایوی شود، فایل مربوط به کرم اجرا گردد.

نوع Autorun ایجاد شده به گونه‌ایست که اگر فایل autoply.exe که خود کرم است از روی سیستم پاک شده ولی فایل Autorun.inf باقی بماند، با دوبار کلیک کردن بر روی نام درایو پنجره Open with نمایش داده می‌شود و کاربر نمی‌تواند وارد درایو شود. در این حالت با کلیک راست نمودن بر روی نام درایو و انتخاب گزینه Open نیز نمی‌توان وارد درایو شد.

برای برطرف نمودن این مشکل بایستی فایل زیر را از روی سایت ایمن دانلود نموده و آن را بر روی سیستم خود اجرا نمایید:

http://www.imenantivirus.com/NoAutorun.zip

این کرم فایلی با نام Important.htm را در مسیرهای زیر بر روی سیستم کاربر کپی می‌نماید که حاوی جملاتی به زبان فارسی است:

کد:

%USERPROFILE%\Desktop\

%USERPROFILE%\My Documents\

یکی از نشانه‌های ویروس به نمایش درآوردن نواری زرد رنگ در بالای صفحه همراه با جملاتی فارسی با رنگ قرمز است

نکاتی اضافی در مورد این ویروس

روشی که در زیر گفته ایم ممکن است در نسخه های مختلف این ویروس مقداری با هم متفاوت باشند اما اصول و پایه کار به همین صورت است و کمی تلاش و خلاقیت شما را نیز طلب می کند .

قبل از هر چیز Task Manager را اجرا کنید ( با زدن کلیدهای Alt , CTRL , Del به صورت همزمان ) و برنامه های مشکوکی مانند Systray.exe و Userinit.exe و Spoolsv.exe و Soundman.exe و Sounmax.exe را با زدن دکمه End Task ببندید .

همچنین در بعضی از نسخه ها لازم است پروسس Svchost.exe را نیز با کلیک راست کردن و انتخاب End Process Tree ببینید . ( البته چندین Svchost.exe وجود دارد که شما باید پروسسی که در ستون UserName نام کابر فعلی جلوی Svchost.exe نوشته شده را ببندید )

سپس باید به صورت دستی فایلهای Autorun.inf و Autorun.exe و Autoply.exe موجود در درایوهای آلوده را حذف کنید .

نحوه از بین بردن این ویروس ها در مقاله گفته شده است از ان روشها استفاده کنید .

برنامه برای از بین بردن Autoply.exe

http://dl3u.savefile.com/2f365e0f7bc6d264fc3c6bbf64df41af/Autoply_Remover_2_.zip

دانلود برنامه حذف اتوران اجرایی و اتوران از درایوها که باعث باز نشدن درایوها می شود

http://www.justupit.com/download.php?id=a8765f9f8b05dc8fb5d9ab5f5da32a27

برای برگرداندن فولدرآپشن و Taskmanager و رجیستری در مقاله توضیح داده شده است .

نکته : برای فعال کردن حالت نمایش کلیه فایلهای سیستمی و مخفی وارد My Computer شده و سپس به منوهای زیر بروید :

Tools=>FolderOptions=>View

سپس گزینه Show Hidden Files And Filders را فعال کنید .

همچنین گزینه Hide protected operating system files را غیرفعال نمایید .

توجه کنید که درایوها را با دابل کلیک باز نکنید و فقط با روش گفته شده در بالا (استفاده از RUN و تایپ نام درایو به همراه : ) درایوها را باز کنید . ( مثلا :C )

به درایوی که ویندوز در آن نصب شده بروید و در مسیر Program files پوشه XpCode را حذف کنید .

به درایوی که ویندوز در آن نصب شده بروید و وارد پوشه Documents and Settings شده و در آنجا وارد پوشه ای که به نام کاربر فعلی میباشد شده و سپس در پوشه Local Settings فایل Startup.exe را حذف کنید . ( توجه کنید که Local Settings نیز پوشه ای مخفی و سیستمی است ) در همین پوشه وارد پوشه Temp شده و کلیه فایلهای موجود در آن (خصوصا Systray.exe) را حذف کنید .

در پنجره Run عبارت MsConfig را نوشته و در بخش Startup کلیه گزینه ها را از حالت انتخاب خارج کنید ( هیچکدام تیکدار نباشند ) .

از پوشه Startup ( واقع در C:\Documents and Settings\ user\Start Menu\Programs\Startup ) برنامه هایی که کلمه Update را دارند حذف کنید . ( مانند Office Update ویا Adobe Update )

حال سیستم را ری استارت کنید .

پس از راه اندازی مجدد سیستم ، یکبار کل سیستم را با آنتی ویروس بروز شده اسکن کنید و درصورت رفع مشکل باز در پنجره Run عبارت MsConfig را نوشته و در بخش Startup گزینه هایی را که غیرفعال کرده بودید را به حالت قبل درآورید .

نکته : در یکی از نسخه های این ویروس در بخش Startup فایلی به نام Soundman.exe یا SoundMax.exe نیز وجود دارد که باید غیر فعال شود و این فایل نیز از مسیر \Sound Utility\Soundmax.exe حذف گردد.

همچنین از طریق رجیستری در مسیر

کد:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\SoundMax

باید Soundmax یا Soundman.exe را حذف کنید .

در یکی از نسخه ها هم که من جدیدا آن را مشاهده کردم ویروس فایلی را با نام Svchost.exe در مسیر

کد:

C:\Documents and Settings\Currentuser \Local Settings\Temp

ایجاد می کند که باید آن را نیز حذف کنید . همانطور که در بالا نیز گفتم ابتدا باید پروسس Svchost.exe را در تسک منیجر یافته و با کلیک راست کردن و انتخاب End Process Tree ببندید و سپس آن را حذف کنید . ( البته چندین Svchost.exe وجود دارد که شما باید پروسسی که در ستون UserName نام کابر فعلی جلوی Svchost.exe نوشته شده را ببندید )

* منظور از Currentuser نام کابر فعلی است . مثلا در سیستم من این مسیر به شکل زیر بود :

کد:

C:\Documents and Settings\Eliass\Local Settings\Temp

و نیز در مسیر \Windows\Web\ نیز توسط این ویروس فایلی با نامهایی مشابه Office , OfficeUpdate.exe و غیره ایجاد می کند که بایستی آنها را نیز حذف کنید .

از آنتی ویروس Nod32 و همچین Kaspersky نیز میتوانید برای شناسایی و حذف این ویروس استفاده کنید . ( البته بایستی این دو انتی ویروس آپدیت شده باشند و ممکن است ویروس فوق با نامهای Malas یا Sality و یا P2p.Worm.Generic شناسایی کنند)

انتی ویروس سیمانتک به راحتی این ویروس را با نام w32.linkfars شناسایی کرده و از بین می برد .

این ویروس در نسخه های جدید با نام W32/Nahkos توسط آنتی ویروس پاندا شناسایی می شود .

ویروس کش مک آفی(McAfee) این ویروس را با عنوان W32/Bindo.worm می شناسد .

آنتی ویروس سوفوس با نام Troj/Yusufali-A و آنتی‌ویروس کوئیک‌هیل با نام‌های “Win32.Malas.c” و “Win32.Malas.A” و “Trojan.Win32.VB.zu” این ویروس را شناسایی می کند .

اما بهترین پیشنهاد من در حال حاضر استفاده از آنتی ویروس Avira Antivir میباشد .(این آنتی ویروس این ویروس را با نام Worm.Malas.C می شناسد )

آنتی ویروس را نصب کنید و سپس آن را از طریق اینترنت بروزرسانی نمایید سپس یکبار سیستم را ری استارت کنید و عمل اسکن را انجام دهید .