این روشی که الان مشاهده می کنید از روشهایی هست که خودم روی چندین سیستم امتحان کردم و جزء روشهای خوب برای الوده نشدن به ویروس اتوران هستش . و یکی از روشهایی که می شه به راحتی و به صورت دستی این ویروس را از روی سیستم حذف کرد .
من خودم هنوز هم برای از بین بردن ویروس اتوران از انتی ویروس استفاده نمی کنم و به نظرم روش دستی بهترین روش باری حذف این ویروس هستش .
با این روش می تونید تا حدود بسیار زیادی از ورود ویروس اتوران به درایوهاتون جلوگیری کنید .
بنابراین به همه شما دوستان پیشنهاد می کنم حتما این روش را انجام دهید .
همون طور که می دونید یکی از دلایل و مشکلات اصلی که همه کاربران اینترنت با اون دست و پنجه نرم می کنند ویروس Autorun.inf می باشد .
ویروسی که بسیار حرفه ای طراحی شده و در موردش توی پست اول مطالبی را برای شما نوشته ام .
اما برای اینکه درایوهای شما از الوده شدن به ویروس Autorun.inf در امان باشند . بهترین راه غلبه بر این ویروس و اجازه ندادن به نشستن این ویروس روی درایوهای شما می باشد .
همون طور که می دونید فایلهای سیستمی ویندوز به راحتی قابل پاک شدن نیستند . و همه دوستان نیز می دونند که 2 فایل هم نام به هیچ وجه نمی تونند کنار هم قرار بگیرند .
پس مسئله تا حدودی ساده شد .
یعنی ما باید یک فایل سیستمی ایجاد کنیم که به راحتی قابل پاک شدن نباشه . و در ضمن باید این فایل را همنام ویروس Autorun.inf درست کنیم .
حالا اگه شما یک کولدیسک الوده به سیستم وصل کنید ویروس اتوران اقدام به نشستن در root درایوهای شما خواهد کرد اما وقتی این فایل به یک فایل همنام خود برخورد کند باید خود را جایگزین ان کند . اما چون فایلی که ما درست کردیم به صورت سیستمی هست و قابل پاک شدن نیست بنابراین ویروس اتوران در نشستین روی درایوهای ما ناتوان خواهد بود .
و جالبه بدونید ما این فایل سیستمی را به صورت Folder درست میکنیم تا با فایل Notepad ویروس اتوران اشتباه گرفته نشه . و شما را دچار سردرگمی نکنه .
و وقتی شما به root درایوهاتون مراجعه کردید شکی نداشته باشید که ایا این فایل autorun.inf ویروس هست یا فایلی که شما ساخته اید هست .
حتی خیلی از دوستان گله می کنند که فایلی به اسم Desktop.ini در root درایوهاشون وجود داره و ترس از این که نکنه این مورد هم ویروس باشه . که در موردش توی انجمن بارها گفته ایم که مربوط به شکاف امنیتی فولدر ها می باشد .
ما برای این مورد هم یک فولدر با نام Desktop.ini به صورت سیستمی ایجاد می کنیم تا خیال شما را از این که دچار این مشکل نیز نشوید راحت کند .
ابتدا به منوی استارت رفته و روی گزینه RUN کلیک کنید و سپس عبارت cmd را تایپ کنید و کلید اینتر را بزنید .
همان طور که می دونید ویروس autorun.inf توی ریشه همه درایوهای شما قرار میگیره . پس ما باید فایلهای خودمون را توی ریشه همه درایوها ایجاد کنیم .
برای وارد شدن به ریشه درایو C کافیه عبارت CD\ را تایپ کنید و کلید اینتر را بزنید .
برای ساخت فولدری به صورت سیستمی و با نام autorun.inf از دستوراتی که داخل عکس مشاهده می کنید استفاده کنید . این کار را برای همه درایوهای خودتون انجام دهید .
حالا به داخل درایوهای خودتون برید و سپس منوی tools و بعد هم Folder options را بزنید و به تب View برید و تیک گزینه Show Hidden Files and Folders را بزنید و سپس تیک گزینه hide protected operating system files را برداید و روی دکمه ok کلیک کنید .
همون طور که مشاده می کنید داخل هر درایو شما 2 فولدر به نام های autorun.inf و desktop.ini ایجاد شده است که این فولدر ها مانع از ورود ویروس اتوران به داخل درایوهای شما خواهند شد .
این ویروس درایوهای سیستم شما را دچار مشکل می کند و اجازه باز شدن به انها را نمی دهد و شما باید برای وارد شدن به درایوها روی انها راست کلیک کنید و با زدن open وارد شوید .
حتی گاهی با راست کلیک و زدن open هم شما قادر به وارد شدن به درایوهای خود نیستید
این ویروس در اکثر مواقع همراه ویروس بسیار معروف autorun.inf در ریشه درایو های شما قرار می گیره و مانع از باز شدن درایوهای شما می شود .
این ویروس باعث حذف قسمتهای مختلف ویندوز نیز می شود مثل folder option
در ضمن این ویروس می خواهد خود را داخل همه درایوها تکثیر کند به همین دلیل چون داخل درایو فلاپی هیچ دیسکی وجود ندارد باعث می شود صدای عجیب و غریبی از فلاپی دیسک به صدا در اید .
نحوه از بین بردن ویروس
برای از بین بردناین ویروس ابتدا باید بتونید ویروس اتوران را از بین ببردید .
در مورد از بین بردن ویروس اتوران توی پست اول توضیحات کاملی داده ام .
سپس اقدام به از بین بردن این ویروس کنید .
این ویروس را انتی ویروس nod32 در صورت اپدیت بودن و استفاده از نسخه های جدید این انتی ویروس قادر به پاک کردن هست .
ابتدا برنامه را از حالت فشرده خارج کنید و بعد برنامه yaremover.exe را اجرا کنید تا شروع به پاک کردن این ویروس بکند . در کنار این برنامه یک فایل به اسم x.reg هست که نباید اون را پاک کنید و باید همراه برنامه باشه .
http://khourjavan.parsaspace.ir/anti%20ntde1ect.rar
برای از بین بردن ویروس اتوران نیز از برنامه زیر استفادم کنید
http://www.downloadpuppy.com//getfile.php?id=bqU
در زیر به برخی از ویژگی های این ویروس اشاره می کنیم :
1 . Folder Options را حذف می کند !
2 . Registry Tools را قفل می کند !
3 . Task Manager نمی تواند فایل های مربوط به این ویروس را End کند !
4 . پس از اجرا شدن ، محتویات My Documents را نمایش می دهد !
5 . اگر در کادر محاوره ای Run عبارت CMD ، Regedit ، msconfig ، Regedt32 را تایپ کنید ، سیستم بلافاصله Restart می شود !
6 . اگر روی گزینه ی Log Off یا Turn Off Computer کلیک کنید ، سیستم Restart می شود !
7 . آیکون این ویروس شبیه آیکون یه پوشه است !
همانطور که می دانید فایل های lsass.exe ، winlogon.exe و services.exe از فایل های سیستمی بوده و همیشه در حال اجرا هستند ...
اگر شما برنامه ی Process Master را اجرا کنید ، می بینید که این فایل ها در پوشه ی System32 قرار دارند .
اما اگر ویروس BronTok.A روی سیستم شما نصب باشد ، خواهید دید که سه تا فایل دیگر با همین نام ها در
حال اجرا هستند !!
یعنی دو تا winlogon.exe ، دو تا lsass.exe و دو تا services.exe !
اما به راحتی میشود فهمید که کدام ویروسند و کدام فایل اصلی ویندوز ...
آن سه تا فایلی که مربوط به ویروس میشوند ، در پوشه ای غیر از System32 قرار دارند .
مسیر دقیقشان میشود :
کد:
C:\Documents and Settings\User\Local Settings\Application Data
C نام همان درایویست که ویندوز در آن نصب گردیده و User نام کاربری است که ویروس در آن اجرا شده ...
بعد از اینکه با نرم افزار Process Master متوجه شدید که کدام ویروسند ، باید آن ها رو Kill process کنید .
اگر احیانا فایل های دیگری با نام های inetinfo.exe ، csrss.exe و smss.exe نیز در حال اجرا بودند آنها را هم Kill process کنید .البته به شرطی که مسیرشان غیر از System32 باشد ...
حالا وقت آن است که از نرم افزار Kill BronTok.A استفاده کنید .
پس از اینکه نرم افزار Kill BronTok.A کارش تمام شد ، آن را ببندید و به منوی Start برید و روی گزینه ی Search کلیک کنید .
در سمت چپ روی گزینه ی All files and folders کلیک کنید .
در فیلد All or part of the file name عبارت Empty.pif را تایپ کنید و از روی کیبرد کلید Enter را فشار دهید .اکنون تمام فایل های پیدا شده را پاک کنید .
دوباره در فیلد مذکور عبارت زیر را تایپ کنید و از روی کیبرد کلید Enter را فشار دهید .
کد:
scr،*.exe.*
اکنون از بین فایل های پیدا شده ، هر فایلی که آیکونش شبیه آیکون پوشه بود رو پاک کنید .
مجددا در فیلد All or part of the file name عبارت زیر را تایپ کنید و از روی کیبرد کلید Enter را فشار دهید .
کد:
job.*
تمام فایل های پیدا شده را پاک کنید .
باز هم در فیلد فوق الذکر عبارت Bron را تایپ کنید و از روی کیبرد کلید Enter را فشار دهید .
اکنون تمام فایل ها و پوشه های پیدا شده را پاک کنید .
اکنون با خیال راحت کامپیوترتان را Restart کنید .
نکته : اگر ویندوزتان بیشتر از یک کاربر دارد ، باید تمام عملیات فوق را در همه ی کاربرها انجام دهید
مدتی بود که تعدادی از کاربران خبر از الوده شدن به ویروسی به نام Kaspersky.exe را می دادند . و برای خودم هم این ویروس ناشناخته بود . تا اینکه خودم هم به این ویروس گرفتار شدم .
جالب اینجا بود که ایکون این ویروسو اسم ان و تمام مشخصات اون شبیه به خود انتی ویروس کسپراسکای بود .
اسم پروسس ان هم همین Kaspersky.exe بود که وقتی میخواستم از طریق انتی ویروس پروسس رو بن کنم خود انتی ویروس از کار می افتاد .
اختلالاتی که توی سیستم بوجود میاورد این بود که اولا یک درایو مجازی میساخت به اسم X که توی اون هر چند لحظه یه عکس از دسکتاپ میگرفت و اونجا ذخیره میکرد.
حجم هر عکس هم حدود 2 مگ بود . حالا تصور کنید هر 5 ثانیه هم یدونه عکس بگیره ! کلاً نصف هارد و اشغال میکرد هر دفعه ! جالب اینجا بود که انتی ویروس ها هم نمیتونستن پاکش کنن ! حتی خود کسپر 2009 که اپدیت هم بود !
تا اینکه دنبال راه حل برای حل این مشکل بودم که متاسفانه توی سایتهای ایرانی چیزی در مورد این ویروس نبود و من در سایتهای خارجی به دنبال راه حل برای این مشکل می گشتم تا این که فقط توی یک سایت خارجی یه برنامه معرفی کرده بود به اسم RegRun Reanimator
منم دانلودش کردم و نصبش کردم . شاید باورتون نشه اما توی 10 دقیقه تمام سیستم رو اسکن کرد و هرچی ویروس از این قبیل بود ( این ویروسهایی که میرن توی درایو و یک اتوران میسازن و درایو برای باز شدن ایراد پیدا میکنه ) رو پاک کرد و سیستم شد پاک پاک !!
می تونید این برنامه را از سایت زیر دانلود کنید .
http://www.greatis.com/security/download.htm
البته این برنامه خیلی معروفه ومجانی هم نیست:
فایل فشرده رو باز کنید و فایل داخل آن را در دایرکتوری برنامه نصب شده قرار دهید.
http://rapidshare.com/files/133394603/aspr_keys.rarhttp://rapidshare.com/files/133394603/aspr_keys.rar
ویروس Blaster با استفاده از ضعف موجود در ویندوز XP باعث می شود تا سیستم شما پس از گذشت 60 ثانیه از اتصال به اینترنت ، خاموش شود
برای مقابله با این مشکل کارهای گفته شده را انجام دهید .
فایل زیر را که مربوط به شرکت ماکروسافت می باشد را از لینک زیر دریافت کنید و ان را نصب کنید .
http://download.microsoft.com/download/c/d/d/cdd7ac92-e4cc-4b1e-bc2f-7a61b46b23bf/WindowsXP-KB824146-x86-ENU.exe
بعد از نصب وصله امنیتی ماکروسافت سیستم خودتون را ریستارت کنید .
تا این مرحله سیستم شما از آلوده شدن های بعدی مصون شده است . حال نیاز به پاک نمودن ویروس از روی هارد شما می باشد
فایل ضد ویروس با نام FIXBLAST.exe را از سایت Symantec دریافت کرده و آنرا اجرا کنید .
http://securityresponse.symantec.com/avcenter/FixBlast.exe
این فایل با جستجوی کامل هارد شما فعالیت کرم (MSBLAST) را متوقف نموده و باعث می شود کدهای ریجستری که توسط آن در ویندوز وارد شده اند حذف گردند .
پس از پایان جستجو ، برای آخرین بار سیستم خود را ریست نمایید .
توجه :
اگر شرایط به گونه ای باشد که سیستم شما قبل از دریافت این فایلها خاموش شود ، کافیست دکمه Start و سپس Run را کلیک نموده و در کادر مربوط عبارت shutdown -a را تایپ نمایید . این روش باعث می شود خاموش شدن دستگاه شما موقتاً ، متوقف شود.
W32/Saldost یکی از ویروسهایی است که از یک ویروس خارجی کپی برداری و سپس دستکاری شده است ، بسیاری از نرم افزارهای امنیتی معروف به سختی قادر به شناسایی آن و یا حذف کامل آن هستند و اخیرا نسخه های مشابهی از آن در اینترنت منتشر شده است.
این ویروس در واقع نسخه خاصی از دو ویروس Malas و همچنین Sality میباشد .
این ویروس اغلب اعمال زیر را انجام می دهد :
یک نوار زرد رنگ در بالای صفحه رایانه و همراه با جملات فارسی به رنگ قرمز نمایش داده میشود. جملاتی که بیشتر توسط این ویروس نمایش می یابد شعارها و جملاتی بر علیه جمهوری اسلامی ایران ، باورها و ارزشهای جامعه میباشد .
یک فایل HTM با نام Important یا Harf یا نامهایی دیگر بر روى Desktop کامپیوتر شما ظاهر مى شود که در آن نیز جملاتی برعلیه ارزشها نوشته شده است .
.این ویروس گزینه Folder Options کامپیوتر شما را غیر فعال میکند.
همچنین این ویروس دو فایل مخفی و سیستمی به نامهای Autorun.exe یا autoply.exe و Autorun.inf را در کلیه درایوهای هارد ایجاد می کند و موجب می شود که با دابل کلیک کردن روی درایوها ، فایل اجرایی اتوران اجرا شده و درایو مورد نظر در پنجره ای دیگر باز شود و یا در نسخه هایی اصلا درایو باز نشود .
کپی شدن فایل Autorun.inf موجب می شود حتی اگر به صورت دستی یا توسط آنتی ویروس فایل اجرایی دیگر (Autorun.exe یاautoply.exe ) حذف گردد دیگر درایوها با دابل کلیک باز نمی شوند و حتی با کلیک راست روی درایوها و انتخاب Open نیر باز نمی شوند . تنها راه بازکردن درایوها نوشتن نام درایو به ههراه دونقطه ( در پنجره RUN میباشد .
(مثلا :c )
این بدافزار اینترنتی پس از اجرای فایل ، بر روی سیستم کاربر، ابتدا خودش را بر روی سیستم کپی میکند و سپس با تغییر دادن کلیدهایی در رجیستری باعث بروز مشکلاتی از جمله باز نشدن
Folder Option و مخفی نگه داشتن فایلهای مخفی و سیستمی میشود.
این کرم اینترنتی ایرانی بوده که توسط ضدویروس ایمن شناسایی و پاکسازی می شود و پس از اجرای فایل ﺁن بر روی سیستم کاربر، ابتدا خودش را به صورت زیر بر روی سیستم کپی می نماید:
کد:
%TEMP%\svchost.exe
%PROGRAMFILES%\Sound Utility\Soundmax.exe
%PROGRAMFILES%\Common Files\Microsoft Shared\MSshare.exe
%WINDIR%\Web\OfficeUpdate.exe
سپس فایل خود با نام svchost.exe در مسیر %TEMP% را اجرا کرده و برای این که با هر بار راه اندازی سیستم ﺁلوده به طور خود کار اجرا گردد، خود را به شکل زیر در رجیستری ثبت می نماید:
کد:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVe rsion\Run
SoundMax = %PROGRAMFILES%\Sound Utility\Soundmax.exe
سپس کلیدهای در رجیستری را به شکل زیر تغییر می دهد:
کد:
HKCU\Software\Microsoft\Windows\Curr entVersion\Explorer\Advanced
Hidden = ۲
HideFileExt = ۲
ShowSuperHidde n = ۲
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
Nof olderoptions = ۲
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\E xplorer
Nofolderoptions = ۱
HKLM\SOFTWARE\Policies\Microsoft\Windows NT\ SystemRestore
DisableConfig = ۱
DisableSR = ۱
تغییرات فوق باعث بروز مشکلاتی از جمله باز نشدن FolderOption و مخفی نگه داشتن فایلهای مخفی می گردد که برای برطرف کردن این مشکلات می توانید برنامه زیر را از سایت ایمن دانلود کرده و ر جیستری خود را پاکسازی نمایید:
http://www.imenantivirus.com/RegRepair.zip
همچنین کلید IsShortCut را از مسیرهای زیر در رجیستری پاک می کند:
کد:
HKEY_CLASSES_ROOT\lnkfile
HKEY_CLASSES_ROOT\piffile
HKEY_CLASSES_ROOT\InternetShortcut
و کلیدی با نام Wintek در مسیر زیر ایجاد می کند:
کد:
HKEY_CURRENT_USER\Software \
و کلید زیر را در ﺁن ایجاد می نماید:
کد:
Install = b۲ed۳ (Dword - Value i s in hex)
بعد از انجام کارهای فوق تمام برنامه های موجود در زمانبند ویندوز (دستور at) را پاک کرده و با استفاده از زمانبند ویندوز فایل خود را که با نام OfficeUpdate.exe در مسیر WINDIR%\Web% وجود دارد هر روز در ساعات ۱۱:۳۰ و ۲۰:۳۰ اجرا می نماید.
یکی دیگر از کارهای این کرم این است که خود را در مسیرهای زیر با نام های فریبنده کپی می کند و از ﺁنجایی که برخی از این مسیرها مخصوص برنامه ها ی شبکه های اشتراک گذاری فایل (یا P۲P) هستند، با این کار امکان انتشار ﺁن در سراسر دنیا از طریق اینگونه برنامه ها فراهم می گردد:
کد:
%PROGRAMFILES%\Kazaa Lite \My Shared Folder\
%PROGRAMFILES%\Kazaa\My Shared Folder\
%PROGRAMFILES%\I cq\Shared Files\
%PROGRAMFILES%\emule\incoming\
%PROGRAMFILES%\Gnucleus\Do wnloads\Incoming\
%PROGRAMFILES%\KMD\My Shared Folder\
%PROGRAMFILES%\Lime wire\Shared\
%PROGRAMFILES%\XPCode\
C:\Inetpub\ftproot\
به علاوه در مسیرهایی که در ﺁنها فایل های از نوع MP۳ ، JPG یا EXE وجود داشته باشد، خود را با نام zfile.exe کپی می کند. همچنین خود را با نام setup.exe و setlib.exe در مسیرهای زیر کپی می کند:
کد:
\WINDOWS\system۳۲\config\systemprofile\My Documents\
\WINDOWS\system۳۲\config\systemprofile\Start Menu\Programs\
\WINDOWS\system۳۲\config\systemprofile\Start Menu\Programs\Accessories\
\WINDOWS\system۳۲\ config\systemprofile\Start Menu\Programs\Accessories\Entertainment\
WINDOWS\system۳۲\config\systemprofile\Start Menu\Programs\Startup\…
\WINDOWS\system۳۲\drivers\
\WINDOWS\system۳۲\spool\drivers\
\WINDOWS\system۳۲\spool\drivers\w۳۲×۸۶\۳\
این کرم برای اینکه بتواند خود را درون شبکه تکثیر کند، کامپیوترهای موجود در آن را جستجو کرده و با استفاده از درایوهای به اشتراک گذاشته شده، سعی میکند خودش را به شکل زیر بر روی آن سیستمها کپی کند:
کد:
C$\Documents and Settings\All Users\Start Menu\Programs\Startup\AdobeUpdate.exe
این کار باعث میشود که پس از راهاندازی آن سیستمها، ویروس به طور خودکار اجرا شده و عملیات تکثیری خود را بر روی آنها انجام دهد.
از جمله کارهای جالب این ویروس این است که خودش را در ریشه همه درایوها با نام autoply.exe کپی کرده و در کنار آن فایلی با نام Autorun.inf ایجاد میکند.
این عمل باعث میشود که هر گاه کاربر بخواهد به هر شکلی وارد هر درایوی شود، فایل مربوط به کرم اجرا گردد.
نوع Autorun ایجاد شده به گونهایست که اگر فایل autoply.exe که خود کرم است از روی سیستم پاک شده ولی فایل Autorun.inf باقی بماند، با دوبار کلیک کردن بر روی نام درایو پنجره Open with نمایش داده میشود و کاربر نمیتواند وارد درایو شود. در این حالت با کلیک راست نمودن بر روی نام درایو و انتخاب گزینه Open نیز نمیتوان وارد درایو شد.
برای برطرف نمودن این مشکل بایستی فایل زیر را از روی سایت ایمن دانلود نموده و آن را بر روی سیستم خود اجرا نمایید:
http://www.imenantivirus.com/NoAutorun.zip
این کرم فایلی با نام Important.htm را در مسیرهای زیر بر روی سیستم کاربر کپی مینماید که حاوی جملاتی به زبان فارسی است:
کد:
%USERPROFILE%\Desktop\
%USERPROFILE%\My Documents\
یکی از نشانههای ویروس به نمایش درآوردن نواری زرد رنگ در بالای صفحه همراه با جملاتی فارسی با رنگ قرمز است
نکاتی اضافی در مورد این ویروس
روشی که در زیر گفته ایم ممکن است در نسخه های مختلف این ویروس مقداری با هم متفاوت باشند اما اصول و پایه کار به همین صورت است و کمی تلاش و خلاقیت شما را نیز طلب می کند .
قبل از هر چیز Task Manager را اجرا کنید ( با زدن کلیدهای Alt , CTRL , Del به صورت همزمان ) و برنامه های مشکوکی مانند Systray.exe و Userinit.exe و Spoolsv.exe و Soundman.exe و Sounmax.exe را با زدن دکمه End Task ببندید .
همچنین در بعضی از نسخه ها لازم است پروسس Svchost.exe را نیز با کلیک راست کردن و انتخاب End Process Tree ببینید . ( البته چندین Svchost.exe وجود دارد که شما باید پروسسی که در ستون UserName نام کابر فعلی جلوی Svchost.exe نوشته شده را ببندید )
سپس باید به صورت دستی فایلهای Autorun.inf و Autorun.exe و Autoply.exe موجود در درایوهای آلوده را حذف کنید .
نحوه از بین بردن این ویروس ها در مقاله گفته شده است از ان روشها استفاده کنید .
برنامه برای از بین بردن Autoply.exe
http://dl3u.savefile.com/2f365e0f7bc6d264fc3c6bbf64df41af/Autoply_Remover_2_.zip
دانلود برنامه حذف اتوران اجرایی و اتوران از درایوها که باعث باز نشدن درایوها می شود
http://www.justupit.com/download.php?id=a8765f9f8b05dc8fb5d9ab5f5da32a27
برای برگرداندن فولدرآپشن و Taskmanager و رجیستری در مقاله توضیح داده شده است .
نکته : برای فعال کردن حالت نمایش کلیه فایلهای سیستمی و مخفی وارد My Computer شده و سپس به منوهای زیر بروید :
Tools=>FolderOptions=>View
سپس گزینه Show Hidden Files And Filders را فعال کنید .
همچنین گزینه Hide protected operating system files را غیرفعال نمایید .
توجه کنید که درایوها را با دابل کلیک باز نکنید و فقط با روش گفته شده در بالا (استفاده از RUN و تایپ نام درایو به همراه : ) درایوها را باز کنید . ( مثلا :C )
به درایوی که ویندوز در آن نصب شده بروید و در مسیر Program files پوشه XpCode را حذف کنید .
به درایوی که ویندوز در آن نصب شده بروید و وارد پوشه Documents and Settings شده و در آنجا وارد پوشه ای که به نام کاربر فعلی میباشد شده و سپس در پوشه Local Settings فایل Startup.exe را حذف کنید . ( توجه کنید که Local Settings نیز پوشه ای مخفی و سیستمی است ) در همین پوشه وارد پوشه Temp شده و کلیه فایلهای موجود در آن (خصوصا Systray.exe) را حذف کنید .
در پنجره Run عبارت MsConfig را نوشته و در بخش Startup کلیه گزینه ها را از حالت انتخاب خارج کنید ( هیچکدام تیکدار نباشند ) .
از پوشه Startup ( واقع در C:\Documents and Settings\ user\Start Menu\Programs\Startup ) برنامه هایی که کلمه Update را دارند حذف کنید . ( مانند Office Update ویا Adobe Update )
حال سیستم را ری استارت کنید .
پس از راه اندازی مجدد سیستم ، یکبار کل سیستم را با آنتی ویروس بروز شده اسکن کنید و درصورت رفع مشکل باز در پنجره Run عبارت MsConfig را نوشته و در بخش Startup گزینه هایی را که غیرفعال کرده بودید را به حالت قبل درآورید .
نکته : در یکی از نسخه های این ویروس در بخش Startup فایلی به نام Soundman.exe یا SoundMax.exe نیز وجود دارد که باید غیر فعال شود و این فایل نیز از مسیر \Sound Utility\Soundmax.exe حذف گردد.
همچنین از طریق رجیستری در مسیر
کد:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\SoundMax
باید Soundmax یا Soundman.exe را حذف کنید .
در یکی از نسخه ها هم که من جدیدا آن را مشاهده کردم ویروس فایلی را با نام Svchost.exe در مسیر
کد:
C:\Documents and Settings\Currentuser \Local Settings\Temp
ایجاد می کند که باید آن را نیز حذف کنید . همانطور که در بالا نیز گفتم ابتدا باید پروسس Svchost.exe را در تسک منیجر یافته و با کلیک راست کردن و انتخاب End Process Tree ببندید و سپس آن را حذف کنید . ( البته چندین Svchost.exe وجود دارد که شما باید پروسسی که در ستون UserName نام کابر فعلی جلوی Svchost.exe نوشته شده را ببندید )
* منظور از Currentuser نام کابر فعلی است . مثلا در سیستم من این مسیر به شکل زیر بود :
کد:
C:\Documents and Settings\Eliass\Local Settings\Temp
و نیز در مسیر \Windows\Web\ نیز توسط این ویروس فایلی با نامهایی مشابه Office , OfficeUpdate.exe و غیره ایجاد می کند که بایستی آنها را نیز حذف کنید .
از آنتی ویروس Nod32 و همچین Kaspersky نیز میتوانید برای شناسایی و حذف این ویروس استفاده کنید . ( البته بایستی این دو انتی ویروس آپدیت شده باشند و ممکن است ویروس فوق با نامهای Malas یا Sality و یا P2p.Worm.Generic شناسایی کنند)
انتی ویروس سیمانتک به راحتی این ویروس را با نام w32.linkfars شناسایی کرده و از بین می برد .
این ویروس در نسخه های جدید با نام W32/Nahkos توسط آنتی ویروس پاندا شناسایی می شود .
ویروس کش مک آفی(McAfee) این ویروس را با عنوان W32/Bindo.worm می شناسد .
آنتی ویروس سوفوس با نام Troj/Yusufali-A و آنتیویروس کوئیکهیل با نامهای “Win32.Malas.c” و “Win32.Malas.A” و “Trojan.Win32.VB.zu” این ویروس را شناسایی می کند .
اما بهترین پیشنهاد من در حال حاضر استفاده از آنتی ویروس Avira Antivir میباشد .(این آنتی ویروس این ویروس را با نام Worm.Malas.C می شناسد )
آنتی ویروس را نصب کنید و سپس آن را از طریق اینترنت بروزرسانی نمایید سپس یکبار سیستم را ری استارت کنید و عمل اسکن را انجام دهید .
این ویروس فایلهای زیر را در مسیرهای گفته شده ایجاد می کند
Killer.exe : این فایل را در مسیر c:\windows\ ایجاد می کند
lsass.exe : در مسیر c:\documents and settings\all users\start menu\programs\startup ایجاد می کند
: xmss.exe این فایل را توی ریشه همه درایوها ایجاد می کنه و همچین در مسیر c:\windows
autorun.inf : این فایل هم که توی ریشه همه درایو ها ایجاد می شه
Funny UST Scandal.avi.exe : این فایل هم که توی همه درایو ها و همچنین توی مسیر c:\Windows ایجاد می شود
همچنین در رجیستری تغییراتی داده و فایلهای زیر را در مسیر های گفته شده ایجاد می کند .
کد:
HKLM\Software\Microsoft\WindowNT\CurrentVersion\Winlogon\shell HKCU\Software\Microsoft\windows\Currentversion\Run\Runonce
برای از بین بردن این ویروس ابتدا باید پروسه های مربوط به این ویروس را از task manager پاک کنید . پروسه های مربوط به این ویرس killer.exe , b.lsass.exe , c.smss.exe می باشند که باید انها را END کنید .
حالا به منوی استارت رفته و سپس دکمه RUN را زده و cmd را تایپ کنید تا وارد محیط کامند شوید .
دستورات زیر را به ترتیب اجرا کنید .
کد:
1 – cd\
2 - attrib -h -s smss.exe
3 - attrib -h -s autorun.inf
4 – شماره های 2 و 3 را برای تمامی درایو ها تکرار کنید .
5 - حالا بدون دابل کلیک کردن روی درایوی با نوشتن اسم درایو در address bar وارد درایو شوید و فایلهای smss.exe , autorun.in f, Funny UST Scandal.avi.exe را از داخل درایو ها پاک کنید .
6 - دوباره وارد محیط cmd شوید و دستور cd c:\windows را تایپ کنید تا وارد پوشه windows شوید
7 – حالا دستور attrib -h -s smss.exe را تایپ کنید
8 – حالا دستورهای delete smss.exe و delete lsass.exe را تایپ کنید
حالا باید اثرات ایجاد شده توی رجیستری را نیز بازسازی کنیم . به دو مسیر زیر بروید و اگر فایل killer.exe و مسیر c:\windows\smss.exe و explorer.exe, xmss.exe وجود داشت پاک کنید .
کد:
HKLM\Software\Microsoft\WindowNT\CurrentVersion\Winlogon\shell
HKCU\Software\Microsoft\windows\Currentversion\Run\Runonce
برنامه ای برای از بین بردن این ویروس
http://troublefixers.com/wp-content/uploads/2008/02/U_FunnyUSTScandalVirusRemover.zip
روش اول :
ویروس W32/Nahkos.E.worm نامگذاری پاندا یا TR/Crypt.CFI.Gen نامگذاری آنتی وایر که با ایجاد فایلی به نام Kazme__gheyz.exe در تمامی درایوها شناخته می شود اخیرا با تغییراتی درونی مجددا انتشار یافته است . این ویروس توسط یک ایرانی ساخته شده
تقریبا تمامی انتی ویروسهای معروف (به جز Panda و Avira AntiVir ) از شناخت و حذف کامل این ویروس عاجزند .
نسخه قبلی این ویروس که با نام P2P-Worm.Win32.Malas.d شناخته میشد در حال حاضر تقریبا توسط تمام آنتی ویروسهای معروف قابل شناسایی و حذف است .
آنتی ویروس Panda هر دو نسخه جدید و قبلی را با نام W32/Nahkos.E.worm می شناسد .
با نگاهی به نتیجه بررسی و اسکن فایل Kazme__gheyz.exe توسط لابراتوار VirusTotal متوجه خواهید شد که Kaspersky Internet Security , McAfee , Bitdefender , Nod32 و همچنین AVG قادر به شناسایی این فایل آلوده نیستند !
این ویروس دقیقا مانند ویروس مالاس (یا سالدوست) در کلیه درایوها کامپیوتر فایلی به نام Autorun.inf ایجاد می کند و با دابل کلیک روی هر درایو مجددا فعال و اجرا می شود .
در صورتیکه این دو فایل را حذف کنیم در عرض چند ثانیه مجددا ایجاد می شود و دوباره نسخه ای از خود را در کلیه درایوها کپی می کند !
همچنین به محض اتصال فلش دیسک یا کارت مموری به سیستم ، نسخه ای از ویروس به این حافظه ها منتقل می شوند .
از جمله نکات جالبی که در مورد این ویروس باید به آن اشاره کردن اینست که به محض اجرا شدن در سیستم ، آنتی ویروس موجود در سیستم را ازکار می اندازد .
من فایل Kazme__gheyz.exe را در سیستم خودم که روی آن NOD32 آپدیت شده نصب بود ، اجرا کردم و با کمال تعجب نه تنها NOD32 نتوانست این ویروس را شناسایی کند بلکه سیستم پس از چند لحظه ری استارت شد و NOD32 نیز کاملا از کار افتاد ! و با اجرای مجدد آن با پیام زیر مواجه شدم :
همچنین بر روی سیستم دیگری که کسپرسکی اینترنت سکیوریتی 7 آپدیت شده نصب بود نیز این ویروس موجب از کارافتادن ویروس کش شد !
فایل Autorun.inf ایجاد شده توسط این ویروس (Malas.D.1 ) تقریبا توسط همه آنتی ویروسها شناخته میشود ولی بدلیل ذخیره فایلهای پشتیبان این ویروس در مسیرهای مختلف سیستم ، این فایل نیز مجددا ایجاد می شود .
توجه کنید که تمام فایلهای ایجاد شده توسط این ویروس خصوصیت مخفی (Hidden) و سیستمی (System) دارند و در حالت عادی قابل مشاهده نیستند .
نکته : برای مشاهد کلیه فایلهای مخفی و همچنین سیستمی میبایست وارد My computer شده و به مسیر زیر بروید :
Tools=>Folder Option=>View
سپس گزینه Show Hidden Files And folders را تیکدار
و گزینه Hide Protected Operating System Files را از حالت انتخاب خارج نمایید .
برای حذف کامل نسخه جدید این ویروس ( که 65 کیلوبایت حجم دارد ) بهترین توصیه من استفاده از آنتی ویروس Avira Antivir میباشد ( البته باید بروز شده باشد ).
اما نسخه جدید به جز کپی فایل Kazme__gheyz.exe و Autorun.inf در کلیه درایوها ، دو فایل با نام Service.exe و FSP32.exe را در Windows\System32 و نیز فایلی با نام Virus.exeرا در پوشه Windows ایجاد می کند .
لذا هربار که فایلها را از درایوها پاک کنید ، دوباره ایجاد می شوند .
در بعضی از سیستمها فایل دیگری نیز در مسیر windows\system32\drivers توسط این ویروس ایجاد می شود که باز 65 کیلوبایت است و hideproc.sys نام دارد اما با نام TR/Click.VB.QJ.9 که یک نوع تروجان است شناخته می شود (نامگذاری آنتی وایر)
این ویروس همچنین در رجیستری ویندوز در مسیر
کد:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
متغیری به نام Shell ایجاد می کند که موجب می شود تا با هربار اجرای Explorer.exe این ویروس مجددا ایجاد و فعال گردد.
این ویروس صفحه خانگی و شروع (HomePage) اینترنت اکسپلورر را به آدرس
کد:
http://www.kazemjoon.mihanblog.com
که آدرس یکی از توزیع کنندگان ایرانی این تروجان است تغییر می دهد .
با حذف فایلهای گفته شده و همچنین حذف مسیر رجیستری فوق ویروس ازبین می رود .
نکته بسیار مهم : در طی انجام عمل پاکسازی هیچ درایوی را با دابل کلیک باز نکنید و تنها از طریق نوشتن نام درایو به همراه دونقطه در پنجره RUN درایو مورد نظر را باز کنید .
++++++++++++++++++++++++++++++++++++++++++++++++++ ++++++++++
روش دوم :
نحوه پاک کردن ویروس kazm_gheyz
ابتدا به قسمت search بروید و دنبال regedit.exe و taskmgr.exe بگردید و بعد نام انها را اینطور تغییر دهید . regedit1.exe و taskmgr1.exe
سپس taskmgr1.exe را اجرا کنید و در تب proccesses به دنبال پروسه ای به نام kazm_gheyz ... یا چیزی شبیه به ان بگردید بعد end proccess را بزنید تا بسته شود .
mycomputer را باز کنید و از منوی tools گزینه folder options ا انتخاب کنید و به تب view برید و تیک show hidden files and folders را بزارید و تیک دو تا گزینه پایینیش که با hide شروع میشه را بردارید و apply کنید
از داخل تمام درایوهاتون دو فایل kazm_gheyz.exe و autorun.info را پیدا و پاک کنید (shift - delete )
نحوه پاک کردن ویروس autorun.info را در ابتدای اموزش ذکر کرده ام .
حالا فایل regedit1 را اجرا کنید و از منوی edit گزینه find را انتخاب کنید و کلمه kazm را سرچ کنید هرجا که پیدا شد کلید delete را بزنید و پاک کنید برای یافت گزینه بعدی F3 را بزنید و بازهم پاک کنید تا همه رجیستری از این نام پاک شود
به internet explorer بروید و از منوی tools گزینه internet options را انتخاب کنید و home page را روی use blanked بزنید
اگه ویروس از بین نرفت این کارها را چند بار تکرار کنید تا دیگر اثری از ان باقی نماند .
این هم انتی ویروسی هایی که این ویروس را از بین می برند
http://rapidshare.com/files/83546664/anti_kazme_gheyz.zip
http://shahedi.persiangig.ir/KazmRemover.zip
این کرم باعث ایجاد فایلهایی به اسم msfir80.exe و sal.xls.exe و Auto&Play و Autorun.inf در داخل تمامی درایو ها می شود .
زمانی که این کرم روی کامپیوتر شما منتشر شد ، وقتی که روی یک درایوتون کلیک می کنین و اون درایو باز می شه فایل SAL.XLS.EXE اجرا می شه و خب دیگه ، مسلما نفوذ می کنه به REGISTERY ویندوز .
نحوه از بین بردن این کرم
قبل از هر کاری یک ویرس کش قوی و آپدیت شده رو سیستم خود نصب نمایید. و آنرا بروز کنید و سپس مراحل زیر را دنبال نمایید :
1 - ابتدا System Restore را غیر فعال نمایید. ( روی my computer راست کلیک نموده و زبانه مربوط به System Restore را انتخاب کنید و سپس در قسمت پایین جلوی Turn of System resore را تیک بزنید و سپس Ok کنید )
2 - کامپیوتر خود را ریست نموده و در حالت safe mode آنرا بالا بیاورید.
3- رجیستری ویندوز را باز نموده و مسیر زیر را دنبال نمایید :
کد:
HKEY_CURRENT_USER>Software>Microsoft>Windows>Curre ntVersion> Run
سپس در پنجره سمت راست این عبارت را پیدا نموده و حذف نمایید : "MsServer = "msfir80.exe
4- سپس مسیر زیر را دنبال نمایید :
کد:
HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>Curr entVersion >Run
در پنجره سمت راست این عبارت را حذف کنید : "IMJPMIG8.2 = "msime80.exe
5- رجیستری را ببندید.
6- حالا باید ویروس اتوران را از داخل تمام داریو ها پاک کنید . به ابتدای مقاله رجوع کنید توضیح داده شده است .
حال کامپیوتر خود را ریست نموده و به محض بالا امدن ویندوز بدون اینکه پنجره ای باز کنید ابتدا System Restore را روشن نموده و با استفاده از ویروس کش آپدیت شده کل سیستم را اسکن نمایید. بعد از اتمام یکبار دیگر کامپیوتر را ری استارت کنید
یکی از دلایل غیر فعال شدن show hidden files and folders همین ویروس می باشد .
این ویروس باعث به وجود امدن ویروس های d.com و autorun.inf در ریشه تمامی درایو ها می شود .
همچینین این ویروس باعث ایجاد فایلهای amvo.exe و amvo0.dll و amvo1.dll در داخل فولدر system32 می شود .
برای از بین بردن این ویروس باید فایلهایی که این ویروس ایجاد کرده را از بین ببرید .
برای این کار ابتدا به منوی start رفته و روی گزینه Run کلیک کنید و عبارت cmd را در ان تایپ کنید . تا وارد محیط command شوید .
حالا دستورات گفته شده را به دقت اجرا کنید .
کد:
1 – cd\
2 - cd windows\system32
3 - attrib -r -h -s amvo.exe
4 - del amvo.exe
5 - attrib -r -h -s avmo0.dll
6 - del avmo0.dll
حالا تایپ کنید d: تا وارد درایو D شوید حالا این دستورات را برای این درایو انجام دهید .
کد:
7 - attrib -r -h -s autorun.inf
8 - del autorun.inf
9 - attrib -r -h -s d.com
10 - del d.com
از مرحله 7 تا 10 را برای تمامی درایوها تکرار کنید .
گاهی اوقات نمی توان با دستورات بالا ویروس amvo.exe را پاک کرد به همین دلیل باید از انتی ویروس زیر استفاده کنید .
http://www.trendsecure.com/portal/en-US/_download/HiJackThis.exe
حالا به مسیر زیر رفته و در صورت وجود فایلهای amvo.exe و amvo0.dll و amvo1.dll را به طور دستی پاک کنید .
کد:
C:\WINDOWS\system32\amvo.exe
سپس به منوی start رفته و روی دکمه run کلیک کنید و عبارت msconfig را تایپ کنید و به تب startup رفته و در صورت وجود فایل amvo.exe تیک کنار ان را بردارید و سیتسم را ریستارت کنید .
حالا به منوی tools رفته و گزینه folder option را بزنید و به تب view رفته و تیک گزینه show hidden files and folders را زده و تیک گزینه Hide protected operating system files را بردارید تا فایلهای مخفی و سیستمی قابل روئیت شوند سپس فایلهایی به اسم ms18us.exe و autorun.inf را پاک کنید .
این ویروسها از طریق USB flash درایو ها منتقل می شوند و اکثر انتی ویروس ها قادر به شناسایی و از بین بردن این ویروس نیستند .
برای از بین بردن ان می تونید از اسکریپت زیر استفاده کنید .
http://www.mygeekside.com/downloads/2007/12/kill_amvo_virus_usb_en.vbs
این ویروس ها با نام های زیر خودشون را توی سیستم پخش می کنند .
کد:
ntdeiect.com
n1detect.com
n?deiect.com
nide?ect.com
u?de?ect.com, etc
بنابراین موقعی که شما USB flash memory را به کامپیوتر متصل می کنید و وارد ان می شوید ممکن است این فایلهای را نبینید . به خاطر این که این فایلهای به صورت مخفی و سیستمی هستند .
اگر شما روی فلش درایو خودتان دابل کلیک کنید این ویروس ها با نام های زیر در مسیرهای گفته شده خودشان را کپی می کنند .
کد:
C:\WINDOWS\System32\amvo.exe
C:\WINDOWS\System32\avpo.exe
C:\WINDOWS\System32\amvo0.dll
C:\WINDOWS\System32\amvo1.dll
C:\WINDOWS\System32\avpo0.dll
C:\WINDOWS\System32\avpo1.dll
همه این فایلهای به صورت سیستمی و مخفی هستند .
این ویروسها بعد از اجرا شدن رجیستری را تغییر داده و با هر بار روشن شدن کامپیوتر اجرا می شوند .
کد:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
“amva”=amvo.exe
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
“avpa”=avpo.exe
همچنین این ویروس درایوهای شما را نیز الوده می کند . و فایلهایی با نامهای autorun.inf و n1detect.com را در ریشه درایوها کپی می کند . و همچنین این ویروس ها باعث می شوند شما قادر به دیدن فایلهای مخفی نشوید . و باعث تغییر مسیر زیر در رجیستری می شوند .
کد:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
“Hidden”=dword:00000002
پاکسازی به صورت دستی
ابتدا باید جلوی اجرا شدن ویروس های amvo.exe و avpo.exe را از طریق command بگیریم .
کد:
taskkill /f /im amvo.exe
taskkill /f /im avpo.exe
سپس باید ویروس های زیر را که به صورت مخفی می باشند با استفاده از صفات انها قابل روئیت کنیم .
کد:
attrib -s -h -r C:\autorun.inf
attrib -s -h -r C:\ntdeiect.com
attrib -s -h -r C:\n1detect.com
attrib -s -h -r C:\n?deiect.com
attrib -s -h -r C:\nideiect.com
attrib -s -h -r C:\nide?ect.com
attrib -s -h -r C:\u?de?ect.com
و حالا باید با استفاده از دستورات زیر انهای را پاک سازی نماییم .
کد:
del C:\autorun.inf /f /q /a
del C:\ntdeiect.com /f /q /a
del C:\n1detect.com /f /q /a
del C:\n1deiect.com /f /q /a
del C:\nide?ect.com /f /q /a
del C:\u?de?ect.com /f /q /
بعد از پاک کردن فایلهای مخفی و سیستمی باید فایلهای ایجاد شده در مسیر C:\windows\system32 folder را نیز پاکسازی کنیم .
کد:
attrib -s -h -r c:\windows\system32\amvo.exe
attrib -s -h -r c:\windows\system32\avpo.exe
attrib -s -h -r c:\windows\system32\amvo0.dll
attrib -s -h -r c:\windows\system32\amvo1.dll
attrib -s -h -r c:\windows\system32\avpo0.dll
attrib -s -h -r c:\windows\system32\avpo1.dll
کد:
attrib -s -h -r c:\windows\system32\amvo*.*
attrib -s -h -r c:\windows\system32\avpo*.*
کد:
del /f c:\windows\system32\amvo*.*
del /f c:\windows\system32\avpo*.*
و همچنین باید قسمتهایی که در رجیستری ایجاد شده را نیز پاکسازی کنید . برنامه نوت پد کپی کنید و دستورات زیر را داخل ان کپی کنید و بعد هم با نام دلخواه و پسوند reg ذخیره کنید و بعد هم اجرا کنید .
کد:
Windows Registry Editor Version 5.00
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\ /v amva /f
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\ /v avpo /f
همچنین باید قسمتهای پاک شده را نیز بازسازی کنیم . دستور زیر را در برنامه نوت پد کپی کنید و بعد هم با نام دلخواه و پسوند reg ذخیره کنید و بعد هم اجرا کنید .
کد:
Windows Registry Editor Version 5.00
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ /v Hidden /t REG_DWORD /d 1 /f
تمامی کارهای گفته شده تا به اینجا را برای تمام درایوها انجام دهید . سپس سیستم را ریستارت کنید و کارهای زیر را انجام دهید .
احتمالا تا حالا با ویروس New Folder.exe مواجه شده اید !
قسمتی از مشخصات این ویروس به شرح زیر است :
1 - آیکون آن شبیه آیکون یک پوشه است .
2 - ندازه ی آن 140 کیلوبایته .
3 - پس از اجرای این ویروس ، محتویات پوشه ی My Documents نمایش داده می شود .
4 - این ویروس تولید مثل هم می کنه !
5 - گزینه ی Turn Off Computer رو از منوی Start حذف می کنه .
6 - از اجرای Registry Tools ، windows Task Manager و System Configuration Utility جلوگیری می کنه .
7 - پس از مدتی Registry Tools و Task Manager رو غیر فعال می کنه .
8 - ظاهرا توسط شخصی به نام علی صادقی نوشته شده ، چون وقتی داشتم کدهای اسمبلی این ویروس رو مشاهده می کردم با جمله ی زیر مواجه شدم :
i am ali sadeghi,master of you
9 . فکر کنم اسم اصلی این ویروس Mahsa باشه !
...
خلاصه به درخواست یکی از دوستان ، من نشستم و ضد این ویروس رو نوشتم که می تونید از لینک زیر دانلود کنید ...
دانلود Kill New Folder.exe
http://feng1.persiangig.com/Programs/KNF.zip
پس از اینکه برنامه ی Kill New Folder.exe کار خودش رو انجام داد ، باید مابقی ویروس ها رو خودتون به صورت دستی پاک کنید .
برای پاک کردن مابقی ویروس ها به شیوه ی زیر عمل کنید :
1 - به منوی Start بروید و روی گزینه ی Search کلیک کنید تا پنجره ی مربوطه نمایش داده شود .
2 - در سمت چپ روی گزینه ی All files and folders کلیک کنید .
3 - در قسمت All or part the file name عبارت New Folder.exe را تایپ کنید و روی گزینه ی Search کلیک نمایید .
حالا تمام فایل های پیدا شده رو پاک کنید .
حواستون باشه مجددا یکی از اونا رو اجرا نکنید .
یکی از بهترین انتی ویروس ها برای از بین بردن کرمی که folder option را از بین می برد . این انتی ویروس محصول یکی از بزرگترین و بهترین سازنده انتی ویروس یعنی bitdefender است . حتما ان را دانلود کرده و سیستم خود را بعد از انجام مراحل بالا اسکن کنید .
http://www.bitdefender.com/VIRUS-157247-en--Win32.Brontok.A@mm.html
استفاده از برنامه های زیر
http://downloads.andymanchesta.com/RemovalTools/SDFix.exe
http://www.od3n.net/downloads/New_Folder.exe_Removal_Tool_2.5.exe
++++++++++++++++++++++++++++++++++++++++++++++++++ ++++++++
روشی جدید برای از بین بردن ویروس New folder.exe
این ویروس همون طور که می دویند جدیدا پیشرفت کرده و تا حدودی که هیچ انتی ویروسی قادر به از بین بردن اون نیست .
هنگام نصب برنامه جدید این ویروس خودش را بر روی فایلهای برنامه ی جدید خصوصا انتی ویروس ها کپی می کند و عملا عملیات نصب را مختل می کند .
سایت انتی ویروس sophos بهترین و جامع ترین راه حل را برای این ویروس ارائه کرده است .
این ویروس با نام های W32/Floppy-E و WORM_GATECOLL.A و Troj_VB.BLA نیز شناخته می شود .
یکی از دلایلی که انتی ویروس ها قادر به از بین بردن یا شناسایی این ویروس نیستند این است که این ویروس با بالا امدن ویندوز به صورت دائمی شروع به فعالیت می کند . و همون طور که می دانید یه فایل در حال اجرا را نمی شود از روی ویندوز پاک کرد .
برای از بین بردن این ویروس شما باید ابتدا فایل 13 مگابایتی زیر را دانلود کنید و پس از دانلود ویندوز را در حالت Safe mode راه اندازی کنید و فایلی را که دانلود کرده اید را در یکی از درایو هایتان و در درون فولدر SAV32CLI از حالت فشرده خارج کنید .
http://www.sophos.com/tools/sav32sfx.exe
حالا باید command prompt را از منوی استارت اجرا کنید و سه دستور زیر را به ترتیب تایپ کنید .
کد:
X:
CD SAV32CLI
SAV32CLI -REMOVE -P=C:\LOGFILE.TXT
در این دستور x نام درایوی هست که شما فایل دانلود شده خودتون را توی اون درایو قرار داده اید .
بعد از تایپ خط آخر و اجرا شدن الگوی پاکسازی عملیات ویروس کشی آغاز میشه و بعد از چند بار دادن پاسخ بله به برنامه جهت تایید پاکسازی کرم W32/Floppy-E در عرض چند دقیقه از شر این کرم سمج و دردسر ساز راحت میشید.
++++++++++++++++++++++++++++++++++++++++++++++++++ ++++++++++++
روشی دیگر برای از بین بردن ویروس New Folder
اگر به کامپیوترتان ویروس New Folder یا همان My Documents هجوم آورده است و داخل هر پوشه ای که می روید یکی از این پوشه ها را می بینیدو با دابل کلیک کردن بر روی آن به دایرکتوری My Document کامپیورتان می روید یک راه ساده برای خلاص شدن از دست این ویروس وجود دارد بدون نصب کردن هر نوع آنتی ویروس می توانید این ویروس را از بین ببرید.
لازم به ذکر است که ورژن جدید این ویروس از اجرا شدن Registry Editor و همچنین پنجره Task Manager جلوگیری می کند و وقتی یک سی دی را درون سی دی رام می گذارید حتی از باز شدن دایرکتوری سی دی رام نیز جلوگیری می کند پس اجازه نصب حتی یک نرم افزار آنتی ویروس را نیز نمی دهد.
برای خلاص شدن از دست این ویروس مراحل زیر را پی بگیرید:
1- ویندوز را Restart کرده و با حالت Safe Mode بالا بیایید.
2- به عنوان Admin لوگ این شوید.
3- به دایرکتوری c:\windows بروید.
4- دنبال فایلی به نام windows Explorer یا Document.dll بگردید و آن را حذف کنید لازم به ذکر است که این فایلها با آیکون پوشه نمایان هستند ولی فایلهای اجرایی هستند.
5- بعد کامپیوتر خود را تحت نام New Folder جستجو کنید (Search) و تمام پوشه هایی که نام آنها New Folder است و size آنها 104Kb است را حذف کنید.
نکته: ممکن است نام پوشه ای که ویروس ایجاد کرده New Folder نباشه بیشتر سایز اونو که 104Kb هستش تو جستجوتون مد نظر قرار بدین.
6- سپس Registry Editor را اجرا کنید و به مسیر hklm\software\microsoft\windows\crrentversion\run بروید و کلید Explorer را حذف کنید
7- کامپیوتر را Restart کنید و با حالت عادی بالا بیایید حال این ویروس از کامپیوتر شما حذف شده است.
دقت کنید که در طی مراحل حذف نباید هیچ پوشه ای را اجرا کنید. زیرا ویروس دوباره ساخته و اجرا می شود.
در این اواخر تعدادی از مشتریان در تماس با من اظهار میدارند که کامپیوتر آنها به ویروسی آلوده شده که کلیه فایلهای داخلی پوشه ها را حذف می کند و از من در مورد ریکاوری این فایلها سوال می کنند غافل از اینکه این ویروس فایلها را حذف نکرده است .
بلکه کلیه پوشه ها را مخفی و سیستمی کرده و از دید کاربر پنهان نموده است و برای رد گم کنی فایلهایی با آیکانی شبیه پوشه و با نام پوشه های مخفی شده ایجاد می کند که کاربر با وارد شده به آن با پوشه ای خالی مواجه می شود !!
عمکرد این ویروس
مخفی و سیستمی کردن کلیه پوشه ها
کپی خود در تمام پوشه هایی که کاربر وارد آنها می شود یا آنها را مرور می کند .
تنظیم عدم نمایش فایلهای مخفی سیستمی و پسوند فایلها
تغییرات در رجیستری
این ویروس از طریق مراجعه و ویزیت سایتهای آلوده و همچنین دانلود کرکها و فایلهای مشکوک به سیستم کاربران وارد می شود .
این ویروس با ترفند بسیار جالبی ابتدا با استفاده از تنظیم خصوصیات سیستمی ، تمام پوشه هایی که کاربر بر روی آن کلیک می کند را ، بصورت سیستمی مخفی می کند و سپس خودش را با اسامی همنام آن پوشه ها ایجاد می کند که آیکن آنها به شکل پوشه است و هنگامی که کاربر روی آنها دابل کلیک می کند با پوشه خالی مواجه می شود و گمان می کند پوشه های وی حذف شده است .
درواقع بسیاری از کابران به محض آلوده سدن به این ویروس اظهار میدارند که ویروس تمام محتویات پوشه های آنها را حذف کرده است و بسیاری نیز به فکر ریکاوری سیستم خود می افتند !
این ویروس همچنین خاصیت نمایش پسوند فایلها را غیرفعال می کند تا کپی هایی که از خود ایجاد کرده و پسوند Exe دارند قابل شناسایی نباشد و از آنجا که با دستکاری رجیستری آیکان فایلهای کاربردی و Exe را به شکل فولدر تغییر می دهد ، خود را همانند پوشه خالی نمایش می دهد .
طریقه حذف و پاکسازی ویروس هایدر :
1. ابتدا System Restore را غیرفعال کنید .
2. سپس بایستی سیستم را در حالت Safe Mode بوت کنید .
3. در صورتی که در تسک منیجر ، پراسسی به نام isass.exe مشاهده می کنید آن را انتخاب کرده و روی آن کلیک راست نموده و End Task Tree را کلیک کنید .
4. سپس با اجرای برنامه ی ویرایش رجیستری ویندوز
( نوشتن عبارت Regedit.exe در پنجره RUN و کلیک OK )
کلیدهای زیر در رجیستری را حذف کنید :
( این مسیر موجب اجرای ویروس در هرباری اجرای ویندوز می شود )
کد:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\CSNetManagerXp
ImagePath = "%System%\isass.exe"
نکته : منظور از %System% پوشه سیستمی ویندوز است . این پوشه در Windows 2000 با مسیر C:\WINNT\System32 و در Windows XP و Server 2003 با مسیر C:\Windows\System32 میباشد .
5. کلیدهای زیر در رجیستری را اصلاح کنید :
برای اصلاح نمایش پسوند فایلها مقدار متغیر HideFileExt را ز 1 به مقدار صفر تغییر دهید (در مسیر زیر : )
کد:
HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>
Windows>CurrentVersion>Explorer>Advanced>Folder>HideFileExt
مقدار متغیر SuperHidden را نیز از مسیر
کد:
HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>
Windows>CurrentVersion>Explorer>Advanced>Folder>SuperHidden
از مقدار فعلی صفر به مقدار یک تغییر دهید .
برای اصلاح و برگرداندن آیکان فایلهای اجرایی Exe در رجیستری ادیتور به مسیر
کد:
HKEY_LOCAL_MACHINE>SOFTWARE>Classes>exefile
رفته و مقدار متغیر default را از مقدار "File Folder" به " Application " تغییر دهید .
در پایان به مسیر
کد:
HKEY_CURRENT_USER> Software>Microsoft>Windows>
CurrentVersion>Explorer>Advanced
رفته و مقدار دو متغیر HideFileExt و ShowSuperHidden را به صورت زیر اصلاح کنید :
HideFileExt از مقدار فعلی 1 به مقدار صفر
ShowSuperHidden از مقدار فعلی صفر به مقدار یک
6. از برنامه ویرایش رجیستری خارج شوید و سیستم را ری استارت نمایید .
پس از بالا آمدن سیستم بایستی کلیه فایلهای آلوده ای که همنام با "پوشه های مخفی سیستمی شده" میباشند و دارای پسوند exe هستند را به صورت دستی پاک کنید .
طریقه گسترش کرم :
آلودگی با اجرای فایل کرم انجام می شود . که کرم با فلاپی و تمامی وسایل انتقال فایل منتقل می شود . چون خود ا در هر پوشه ای که باز کنید کپی می کند .
در کامپیوتر آلوده :
بعد از قرار دادن فلاپی ، کرم خود را در آن کپی می کند و یا اگر شخص سیدی رایت کند ، کرم را که به صورت مخفی است را نیز رایت خواهد کرد .
در کامپیوتر میزبان :
اگر شخص از ویندوز های 98 , 2000 , ME و ویندوز هایی که از Customize Folder Wizard استفاده می کند ، داشته باشد با باز کردن پوشه یا فلاپی درایوی که کرم در آن وجود دارد آلوده خواهد شد . چون کرم از آین سرویس ویندوز استفاده کردن و جود را اجرا می کند .
در ویندوز xp چون این سرویس غیر فعال است و دیگر وجود ندارد آلودگی فقط با اجرای مستقیم کرم شروع می شود . در ویندوز های دیگر نیز با اجرای مستقیم کامپیوتر آلوده می شود . بعد از اجرای فایل اگر باز بخواهید فایل را اجرا کنید اختار زیر ظاهر می شود :
کرم خود را با نام های مختلف در یکی از پوشه های Windows ، Temp ، System ، Web ، Help کپی می کند .
و در تمامی پوشه هایی که وارد شوید یک فایل اجرایی با نام پوشه می سازد و در همان پوشه فایل desktop.ini یا Rundesktop.ini را تغییر می دهد و در آن کدهای زیر را اضافه می کند :
تا فایل دومی به نام comment.htt یا Runcomment.htt را بعد از هر بار ورود به پوشه یا درایور هارد اجرا کند . در این فایل هم کدهای زیر قرار دارد :
که فایل اجرایی موجود در پوشه را اجرا می کند .
همچنین کرم فایلی به نام WINFILE.EXE را در تمایم درایو های هارد و بعضی پوشه های می سازد . همچنین در درایو فلاپی . این فایل شبیه پوشه است .
علائم آلودگی :
1) وجود فایل در درایو های هارد
2) کپی شدن خود کار این فایل در فلاپی درایو
3) اگر فایلهای مخفی را ظاهر کنید . دو باره بعد از مدتی مخفی می شوند .
4) هنگام رفتتن به هر پوشه فایلی اجرای به شکل پوشه و با همان نام در آنجا ساخته می شود (البته مخفی ) .
5) در ویندوز های 98 تا 2000 ویندوز بعد از مدتی کند می شود .
6) بعضی مواقع کپی و پست کار نمی کند . یعنی شما فایل را کپی می کنید . اما بعد از رفتن به مقصد گزینه پست غیر فعال شده است انگار کپی انجام نگرفته !
نکته 1 :ویروس به زبان VB نوشته شده توسط مایکروسافت ویژوال استودیو .
نکته 2 : احتمالا نام دیگر ویروس Xgtray
نکته 3 : اگر هنگامی که فایل اصلی کرم در یکی از پوشه های Windows ، Temp ، System ، Web ، Help باشد و شما وارد پوشه ای شوید که کرم در آن است آن وقت کرم جای حود را عوض می کند و به پوشه ی دیگری می رود !
طریقه پاک کردن ویروس :
تمامی آنتی ویروس ها دیگر این ویروس را می شناسند .
اما پاک کردن دستی به این صورت است .
1) ابتدا فایل اجرایی ویروس را از کار می اندازید . ( فایلی که در حافظه است ) با Taskmanenger
2) با سرچ ویندوز دنبال فایلهای اجرایی با حجم 48 کیلو بایت می گردید . بعد آنهایی را که شکل پوشه هستند را پاک می کنید .
3) دو باره باسرچ ویندوز دنبال فایلهایی با پسوند htt و با نام های comment و Runcomment میگردید . همه را پاک کنید .
اما بهترین کار استفاده از یک آنتی ویروس است . بهتر است از مکافی ورژن 8 به بالا استفاده کنید
این ویرس ممکن است کارهای دیگری هم انجام دهد
Imaut-A یک کرم کامپیوتری برای سیستم هایویندوزی است .
این کرم خودش رادر شبکه های share شده و درایوهای قابل انتقال بهصورت زیر کپی می کند :
کد:
\Funny UST Scandal.avi.exe
\smss.exe
\lsass.exe
\Funny UST Scandal.exe
\killer.exe
همچنین مدخل زیر در رجیستری ایجاد می شود تا smss.exe بتواند اجرا شود :
کد:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Runonce
smss.exe
مدخل زیر نیز تغییر می کند تا killer.exe بتواند با آغاز ویندوز اجرا شود :
کد:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Shell
explorer.exe, killer.exe
مدخل های زیر نیز تغییر می کنند :
کد:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Exp lorer\Advanced\Folder\Hidden\SHOWALL
CheckedValue
0
روش هایی برای پاک کردن این کرم
1 . به روز کردن آنتیویروس
2. روش پاک سازی توسط آنتی ویروس سوفوسبرای حذف یک کرمکامپیوتری کارهای زیر را انجام دهید :
همه ی برنامه های خود را ببندیدبرنامه Sophos Anti-Virus را از لینک های زیر دریافت کنید .
http://www12.enfull.com/SOPHOSANTIVIRUS.rar
http://www10.enfull.com/SOPHOSANTIVIRUS.rar
مراحل Start|Programs| SophosAnti-Virus را بگذرانید وبرنامه آنتی ویروس را اجرا کنید تب Immediate و سپس درایو مورد نظر را انتخاب کنید به Options|Configuration رفته و تب Disinfection یا Action را انتخاب کرده سپس Infected file و بعد از آن Delete را انتخاب کنید و در آخر OK را بزنید
برای اجرا کردن پویش ، scan یا دکمه GO را بزنید فایل های مورد نظر را پاک کنید، سپس یک پویش دیگر را اجرا کنید تا مطمئن شوید پاک سازی صورت گرفته استبه Options|Configuration برگردید و تب Disinfection یا Action انتخاب کرده سپس Infected files و بعد از آن Delete را انتخاب کنید و در آخر OK را بزنید کامپیوتر را Reboot کرده و پویش نهایی را اجرا کنید تا کاملا مطمئن شویدپاک ساری صورت گرفته است
روش پاک سازی به صورت دستی :
ابتدا تمامی داده خود را در سیستم تغییر داده و یک کپی از آنهاتهیه کنید.
پسورد Administrator را دوباره تغییر دهید و یک نگاهی به مسایلامنیتی شبکه خود بیندازید.
در taskbar دکمه start را بزنید و منوی run رااجرا کنید و در آن Regedit را بنویسید و دکمه ok را کلیک کنید تا صفحه ویرایشگررجیستری شما باز شود . فراموش نکنید که قبل از دستکاری رجیستری یک نسخه پشتیبان ازآن تهیه کنید .
برای تهیه نسخه پشتیبان از رجیستری خود ؛ در منوی Registry رویگزینه Export Registry File و در پنلExport range گزینه All را انتخاب کرده و سپسدکمه Save را کلیک کنید تا نسخه پشتیبان از رجیستری شما تهیه شود.
حال درمدخل HKEY_CURRENT_USER رجیستری زیرمدخل:
کد:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Runonce
\smss.exe
هر مدخلی که به فایلی اشاره می کرد حذف کنید.
همچنین در مدخل HKEY_LOCAL_MACHINE مقدار VALUE از CheckedValue را 1 و از Shell را explorer.exe بگذارید :
کد:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Exp lorer\Advanced\Folder\Hidden\SHOWALL
CheckedValue
0
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Shell
explorer.exe, killer.exe
سپس رجیستری خود را ببندید و دوباره سیستم خود را راه اندازی کنید.
متاسفانه فعلا حتی نسخه های بروزشده آنتی ویروس Eset NOD۳۲ قادر به شناسایی و خنثی نمودن این ویروس نمی باشند.
اما حداقل سه آنتی ویروس Kaspersky (در نسخه ۷ آزمایش شد) ، McAfee (نسخه ۲۰۰۸) و احتمالا آخرین نگارش ضدویروس سیمانتک (به نقل از سایت امنیتی دمسان) قادر به شناسایی و پاک کردن ویروس مذکور هستند.
من خودم انتی ویروس سیمانتک ( Norton ) را توصیه می کنم چون این انتی ویروس اولین انتی ویروسی بود که این کرم را پیدا و کاملا پاک می کند . حتما سعی کنید به طور کامل این انتی ویروس را اپدیت کنید و بعد تمام درایو ها را اسکن کنید .
برای پاک کردن این ویروس ابتدا آنتی ویروس خودتان را به آخرین بسته های بروزرسانی مجهز کنید سپس اقدام به کنترل سیستم نمایید.
توصیه می کنم که تمام هارد را برای یافتن ویروس اسکن نمایید
نکته : حتما سیستم خودتان را در حالت safe mode ویروس یابی کنید .
و از کلیک کردن روی درایو ها تا پاک شدن کامل ان خود داری کنید .
بعد از پاک شدن ویروس قسمتهای حذف شده را مانند روشهای بالا می توانید برگردانید .
و سپس باید به تمام درایو ها رفته و autoplay.exe را پاک کنید .
نکته : نحوه پاک کردن ویروس autoplay.exe یا autoran را بالا به طور کامل ذکر شده است .
به رجیستری رفته و مسیر زیر را دنبال کنید
کد:
HKEY_LOCAL_MACHINE\Software\Microsoft\windows\curr ent version\run
روی run کلیک کنید و هر چیزی سمت راست اگر گزینه های زیر وجود دارند انها را پاک کنید .
blank
igfxhkcmd
igfsexper
igfxtray
vxds
همه این کارها را باید در حالت safe mode انجام دهید .
کد:
http://www.tinypic.info/files/tomewp9nlmlukritsynq.jpg
کد:
http://www.tinypic.info/files/qxp8wqrfj2gy06r1wtlo.jpg
این ویروس یا کرم با پیغامی که می دهد در واقع شما را به راه راست هدایت می کند و به نام ویروس ستایش نیز معروف است .
این ویروس که با نام های Day of Judgmet و Antichrist هم شناخته می شود یک کرم ایرانی است که سیستم عامل های ویندوز ۳۲ بیتی را مورد حمله قرار می دهد.
از مشخصه های بارز این کرم می توان به موارد زیر اشاره کرد:
غیرفعال کردن Folder Option
باز شدن صفحه اینترنتی با عنوان Day of Judgment (به معنی روز داوری) که ترجمه انگلیسی سوره حمد بر روی پس زمینه سبز در آن مشاهده می شود.
این هم تصویر صفحه html
این صفحه در هر بار بوت شدن ویندوز به شما نشان داده می شود.همچنین در هر بار بوت شدن ویندوز پنجره ای با تیتر Antichrist و با محتوای Day of Judgment نمایش داده می شود.
در بعضی مواقع جلوی اجرای Regedit و Task Manager با آلوده شدن توسط این ویروس گرفته می شود .
سرعت کلی سیستم به شدت پایین می آید و در فهرست پروسس های ویندوز می توانید Sys.exe و در قسمت برنامه های startup نام wma.exe و blank.htm را مشاهده کنید.
و گاهی اوقات هنگام بالا امدن ویندوز یک فایل html در ادرس c:\windows\system32\blank.htm اجرا می گردد .
همچنین ویروس خود را در تمام درایوها با نام Autoplay.exe کپی می کند که با هر بار کلیک روی درایو ها منتشر می شود .
این هم متن AUTORUN این WORM .
کد:
[autorun]
open=Recycler.{645FF040-5081-101B-9F08-00AA002F954E}\sys.exe a
shell\open=Open
shell\open\Command=Recycler.{645FF040-5081-101B-9F08-00AA002F954E}\sys.exe o
shell\open\Default=1
shell\explore=Expl
shell\explore\Command=Recycler.{645FF040-5081-101B-9F08-00AA002F954E}\sys.exe e
این کرم ایرانی پس از اجرای فایل آن بر روی سیستم کاربر، ابتدا خودش را به صورت زیر بر روی سیستم کپی مینماید:
کد:
%System32%\Sys.exe
%Windows%\Shell.exe
%Windows%\vxds.exe
%Windows%\Help\vxds.exe
%Windows%\media\wma.exe
و برای اینکه با هر بار بالا آمدن سیستم این فایلها اجرا گردند، آنها را به شکل زیر در رجیستری ثبت میکند:
کد:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Shell = userinit.exe, sys.exe
Userinit = Explorer.exe shell.exe
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
vxds = %Windows%\vxds.exe
همچنین در مسیر System32 فایلی با نام OEMLOGO.BMP به صورت مخفی ایجاد میکند که به شکل زیر
میباشد:
بعلاوه در همین مسیر فایلی با نام OEMLOGO.INI به صورت مخفی میسازد که محتویات آن به شکل زیر است:
کد:
[General]
Manufacturer=[Antichrist]
Model=[Day of judgment]
SupportURL=hxxp://www.antichrist.com/
LocalFile=blank.htm
[Support Information]
Line1=When comes the help of Allah, and victory,.
Line2=And thou dost see the people enter Allah's religion in crowds,.
Line3=Celebrate the praises of thy Lord, and pray for his forgiveness: for he is oft-Returning (in forgiveness)..
فایل دیگری نیز در همین مسیر با نام blank.htm به صورت مخفی ایجاد میکند که با اجرای آن صفحهای به شکل زیر به نمایش درمیآید:
که متن انگلیسی نمایش داده شده در این صفحه ترجمه سوره حمد میباشد. آنگاه برای اینکه با هر بار بالا آمدن سیستم این فایل نمایش داده شود آن را به صورت زیر در رجیستری ثبت میکند:
کد:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Blank = %System32%\blank.htm
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Blank = %System32%\blank.htm
برای اینکه مقدار Home Page و Search Page نرمافزار Internet Explorer را برابر با صفحه مذکور قرار دهد، تغییرات زیر را در رجیستری ایجاد مینماید:
کد:
HKCU\Software\Microsoft\Internet Explorer\Main
Start Page = %System32%\blank.htm
Search Page = %System32%\blank.htm
از کارهای جالب این ویروس این است که در همه درایوها در داخل مسیر Recycler فولدری مخفی و با نام تصادفی ایجاد کرده و یک کپی از خودش را با نام Sys.exe درون آن قرار میدهد.
همچنین اثرات دیگری به شکل زیر دارد:
با ایجاد تغییراتی در رجیستری باعث میشود که قبل از ورود به سیستم صفحهای با تیتر Antichrist و با متن Day of judgment نمایش داده شود. همچنین باعث میشود فایلهای Super Hidden نمایش داده نشود. جلوی اجرای برنامههای RegEdit و Task Manager را گرفته و رنگ زمینه Windows و صفحه cmd را تغییر میدهد. بعلاوه نام User و Organization ثبت شده برای سیستم را با [Antichrist] تغییر میدهد.
لازم به ذکر است که آخرین نگارش ضدویروس سیمانتک این کرم اینترنتی را شناخته و به صورت کامل پاکسازی مینماید.
برای پاکسازی اثرات باقی مانده این ویروس همانند غیر فعال شدن Registry یا Folder Option و یا باز نشدن درایوها با دابل کلیک بر روی آنها و غیره از ابزار پاکسازی زیر یا بالای صفحه استفاده نمایید
http://www.damsunsecurity.com/files/extract_file.php?file_id=24&20080202
kernel ویروسی است که هر چند دقیقه یکبار با error ی که در زیر تصویر ان را قرار داده ام ظاهر می شود . اکثر کاربران به این ویروس گرفتار شده اند .
در واقع این یک ویروس نیست زیرا کار مخربی روی سیستم انجام نمی دهد . در واقع یک برنامه می باشد که شباهتی به ویروس دارد و به همین دلیل هیچ یک از انتی ویروس ها قادر به شناسایی و پاک کردن ان نیستند . حتی قوی ترین و به روز ترین انتی ویروس ها .
این ویروس از طریق صفحات html که از اینترنت ذخیره می کنید به وجود می اید .
این ویروس سه فایل با نام های kernal.vbs و kernal.exe و systems.exe دارد که هر سه فایل در پوشه C:\WINDOWS\system32 ذخیره می شوند .
در واقع این ویروس خود را جزء پروسه های سیستم عامل نیز می داند و در task manager در تب processes با نام kernel.exe در حال فعالیت می باشد .
این ویروس همه ی فایل های HTML و Htm رو آلوده میکند و به آخر فایل ها کدهای مخرب Vbscript رو که چند تا فایل با نام ها kernel.exe و kernel.vbs است را ایجاد میکند .
این ویروس حتی با تعویض سیستم عامل هم از بین نخواهد رفت .
از اثرات این فایل آلوده:
1- ارورهای پشت سر هم
2- باعث پایین آمدن سرعت کامپیوتر
3- باعث پایین آمدن سرعت اینترنت
4- دادن اطلاعات مثل یوزر و پسورد اینترنتتان به شخص هکر
5- آلوده کردن فایلهای HTML
نحوه پاک کردن ویروس kernel.exe
برای پاک کردن این ویروس شما باید ابتدا با زدن کلید های ترکیبی ctrl + alt + delete وارد task manager شوید و به تب processes رفته و فایلی با نام kernel.exe را پاک کنید .
سپس به مسیر زیر رفته C:\WINDOWS\system32 رفته و دو فایل با نام kernel و بک فایل با نام Systems را پیدا کرده و پاک کنید .
توجه داشته باشید شما در صورتی می توانید این فایلها را پاک کنید که پروسه kernel.exe را از task manager پاک کرده باشید . در غیر این صورت اجازه پاک شدن را به شما نخواهد داد .
سپس به منوی استارت رفته و عبارت msconfig را در run تایپ کنید و در قسمت startup اگر فایلهای بالا وجود دارند تیک انها را بردارید و سپس کامپیوتر را ریستارت کنید دوباره چک کنید که ویروس در حافظه بار نشده باشد .
بعد به internet temporary از طریق مسیر زیر رفته و تمام محتویات ان را خالی کنید .
کد:
<win_drive>:\Documents and Settings\<user_name>\Local Settings\Temporary Internet Files
برنامه برای از بین بردن این ویروس
لینک برنامه از سایت سازنده برنامه) این لینک شامل نسخه کامل شده این انتی ویروس می باشد(
www.radsoftwareteam.com/Downloads/Files/rad-kk.exe
دانلودبرنامه از پرشین گیگ
http://softestan.persiangig.com/ya30n/Setup.exe
نکته مهم :
گاهی بعضی از کاربران گله از این موضوع دارند که این انتی ویروس و روش ذکر شده برای ویروس kernel.exe توی ویندوز ویستا عمل نمی کنند .
در جواب این دوستان باید عرض کنم این error ی که در ویندوز ویستا داده می شود و شباهت زیادی به همین error دارد ربطی به این ویروس ندارد و اصلا ویروس kernrl.exe نیست .
به خاطر این که این ویروس به هیچ وجه توی ویندوز ویستا ایجاد نمی شود .
این error توی ویستا به دلیل این است که شما برنامه ای روی ویستا نصب کردید که سازگاری با ویندوز ویستا ندارد .
این ویروس باعث غیرفعال شدن گزینه show hidden files and folders در folder option می شود و باعث عدم نمایش فایلهای مخفی می شود و اجازه نمی دهد کاربرها فایلهای مخفی را از حالت مخفی بیرون بیاورند .
این ویروس با دستکاری رجیستری ویندوز باعث می شد که شما نتونید تنظیمات hidden file and folder را تغییر دهید .
به محض تغییر دادن این قسمت و خارج شدن از ان تنظیمات به حالت پیش فرض خود برمیگردند .
البته این ویروس خرابکاریهای دیگری هم انجام می دهد اول اینکه داخل تمام درایوهای شما یه فایل autorun.inf می سازد که درایوهای هارد شما را autorun می کند .
دوم اینکه دوباره داخل تمام درایوها یک فایل به نام ntde1ect می سازد که شما به محض اینکه فلاپی وارد سیستم کنید یا فلش یا mp3 pleyer را به کامپیوتر متصل کنید یک کپی از خودش به صورت hidden وارد دستگاه شما یا فلاپی شما می کند که شما متوجه ان نمی شوید .
البته فایل ntde1ect خیلی شبیه فایل ntdetect هست که داخل درایو C وجود دارد و برای بالا امدن ویندوز ضروری می باشد .
مواظب باشید این دو فایل را اشتباه نگیرید .
سوم اینکه با اجرای فایل avpo.exe به شما اجازه نمیدهد که فلش یا mp3 pleyer یا هر چیز دیگه رو از پورت USB ، safe remove کنید .
نحوه پاک کردن ویروس Win32/PSW.Agent.NDP
در حالت safe mode وارد ویندوز شوید . ( با زدن دکمه F8 قبل از بالا آمدن ویندوز حالت safe mode را انتخاب کنید )
پنجره Task Manager را باز کنید (Ctrl-Alt-Delete) و برنامه های زیر را در صورت اجرا ببندید .
wscript.exe : اگر در حال اجرا بود آن را ببندید (End process)
avpo.exe : اگر در حال اجرا بود آن را ببندید (End process)
از قسمت start برنامه Run را اجرا کنید و در عبارت cmd را در آن تایپ کنید و enter را بزنید .
در این قسمت در خط فرمان برنامه ، دستور زیر زیر را تایپ کنید و enter را بزنید .
del c:\autorun.* /f /a /s /q
این دستور را برای درایوهای دیگر اجرا کنید . با این دستور تمام فایلهایautorun موجود delete می شود .
در این مرحله در خط فرمان c:\ دستور زیر را تایپ کنید تا وارد پوشه system32 شوید :
C:\cd windows\system32
C:\windows\system32
در ادامه دستور زیر را تایپ کنید و آنرا اجرا کنید .
*.*dir /a avp
در این قسمت هر فایلی به نامهای avp0.dll و avpo.exe و avp0.exe دیده شد آنرا پاک کنید .
attrib -r -s -h avpo.exe
del avpo.exe
بعد از این مراحل تمام پنجره ها رو ببندید و برنامه registry را اجرا کنید :
(Run \regedit)
مسیر زیر را دنبال کنید :
کد:
HKEY_CURRENT_USER \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run
در این قسمت هر کلیدی که به نام avpo.exe بود را delete کنید .
در برنامه registry قسمت edit گزینه Findرا کلیک کنید و عبارت ntde1ect را جستجو کنید. تمام کلیدهای پیدا شده را delete کنید .
این کار را برای فایل avpo.exe نیز انجام دهید و تمام کلیدهای پیدا شده راdelete کنید .
در آخر کار سراغ کلید زیر بروید و مقدار CheckedValue را برابر 1 قرار دهید .
کد:
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion
Explorer/Advanced/Folder/Hidden/SHOWALL
این هم روشی برای کسانی که می خواهند به سرعت به فایلهای مخفی خودشون دسترسی پیدا کنند .
برای این کار کافی است دستورات زیر را داخل Notepad کپی کنید و بعد ان را با نام و پسوند mahdi.bat ذخیره کنید و بعد ان را اجرا کنید . چند لحظه منتظر بمانید تا فایلهای مخفی نمایان شوند .
تذکر : با این روش فایلهای سوپر هایدن نیز قابل روئیت خواهند بود .
کد:
attrib -s -h C:\*.* /s /d
attrib -s -h d:\*.* /s /d
attrib -s -h E:\*.* /s /d
attrib -s -h f:\*.* /s /d
attrib -s -h g:\*.* /s /d
attrib -s -h h:\*.* /s /d
همون طور که می دونید ویروس services.exe فایلهای شما را به صورت سیستمی مخفی می کند و شما قادر به دیدن اونها نیستید . شما می توانید از روش زیر به فایلهای خودتون دسترسی داشته باشد .
کافی است نام درایو و مسیر فایل خود را در مسیر زیر وارد کرده و سپس این مسیر را در run کپی کرده و سپس ok را بزنید تا فایلهای شما نمایان شوند.
کد:
attrib -r -a -s -h drive:\file path
( به جای drive نام درایو حاوی فایل مخفی را بنویسید و به جای file path مسیر فایل را به طور کامل بنویید .)
================================================== =============
روشی برای تشخیص این که فایلهای درون فولدر حذف شده اند یا اینکه به حالت سیستمی در امده اند
گاهی اوقات وقتی به داخل یکی از فولدرهایی که تعداد زیادی فایل درون ان داریم رجوع می کنیم با کمال تعجب متوجه می شویم که فولدر ما خالی است و هیچ یک از فایلهایی که قبلا وجود داشتند دیگر وجود ندارند .
در این قسمت روشی را به شما اموزش می دهم که با این روش می توانید متوجه شوید که ایا فایلهای شما واقعا حذف شده اند یا این که به حالت سیستمی مخفی شده اند .
برای اینکه بتونید فایلها را ببینید از منوی Start روی گزینه run کلیک کرده و سپس عبارت cmd را تایپ کنید و سپس ok را بزنید
بعد از باز شدن محیط cmd در ان تایپ کنید dir /A name_of_the_folder با این کار تمامی فایلهایی که به حالت سیستمی در امده اند قابل روئت خواهند بود . و شما متوجه خواهید شد که فایلها حذف نشده اند . و با استفاده از روش بالا می توانید انها را از حالت سیستمی خارج کنید .
نکته : name_of_the_folder نام فولدری می باشد که اطلاعات شما در ان مخفی شده است .
با این برنامه هم می تونید تا حدودی فایلهای Hidden شده خودتون را UnHidden کنید .
http://tetra.persiangig.com/Prog/Delphi/UnHiden.rar
متاسفانه اکثر ویروسهایی که جدیدا به وجود می ایند همنام پروسه های مربوط به سیستم عامل می باشند به همین دلیل تشخیص انها هم برای کاربران و هم برای انتی ویروس ها نسبتا مشکل شده است .
و از کار انداختن انها نیز قدری سخت شده است .
و همین عامل می تواند یکی از نقاط ضعف سیستم عامل های ماکروسافت محسوب شود .
فعالیت های ویروس services.exe
اولین کاری که این ویروس انجام می دهد خودش را با نام فایلهایی که در یک فولدر است در می اورد و فایلهای فولدر را مخفی می کند و یک فایل با نام همان فولدر می سازد که دارای پسوند exe می باشد .
و به فولدر هایی که مخفی می کند علاوه بر خصلت hidden خصلت سیستمی هم می دهد .
سپس به وسیله windows policy برنامه های regedit و cmd و msconfig و taskmanager رو از کار می اندازد(گاهی اوقات هنگام استفاده از دستور cmd کامپیوتر را ریستارت هم میکند) در بعضی مواقع از قسمت folder option گزینه view رو مخفی میکند.
و اجازه دسترسی به بعضی از گزینه های مدیریتی رو بطور کامل از بین میبرد .
و حتی با تعویض ویندوز هم فایلها از حالت مخفی خارج نخواهند شد . به خاطر این که با تعویض ویندوز هنوز اثرات این ویروس در دیگر درایو ها وجود دارد و تنها با کلیک کردن روی یکی از انها ویروس فعال شده و دوباره همه جا را الوده می کند .
نحوه از بین بردن ویروس services.exe
برای از بین بردن این ویروس ابتدا کدهای زیر را داخل note pad کپی کرده و با نام و پسوند rescue.bat در مسیر در مسیر c:\ ذخیره نمایید.
کد:
@echo off
:try
del c:\windows\services.exe
if exist c:\windows\services.exe goto try
حالا به منوی start رفته و روی گزینه run کلیک کنید و عبارتregedit را تایپ کرده و ok را بزنید. تا وارد محیط رجیستری شوید .
حال به مسیر زیر بروید.
کد:
HKEY_LOCAL_MACHINE\system\currentcontrolset\services\eventlog
روی فایل image path دوبار کلیک کرده و در این پنجره به جای %systemroot%\system32\services.exe عبارت c:\rescue.bat را تایپ کنید.
ویندوز را restart کنید.
دوباره به منوی start رفته و برنامه run را اجرا کرده و regedit را تایپ کرده و ok را بزنید.
حال به مسیر زیر بروید.
کد:
HKEY_LOCAL_MACHINE\system\current control set\services\eventlog
روی فایل image path دوبار کلیک کرده و در این پنجره به جای c:\rescue.bat عبارت %systemroot%\system32\services.exe را تایپ کنید.
کد:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\userinit
userinit را از مسیر بالا باز کرده و به جای عبارت %windir%\services.exe عبارت C:\WINDOWS\system32\userinit.exe را وارد کنید
عبارت %windir%\services.exe را حذف نمایید یعنی مسیر به صورت زیر در می آید.
C:\WINDOWS\system32\userinit.exe
به پوشه temp رفته و در صورت وجود فایل Service.exe ان را پاک کنید .
حالا آنتی ویروس های kaspersky و nod32 را update نمایید و سیستم را به طور کامل در حالت safe mode ویروس یابی کنید .
ضمناً بهتر است بعد از update و ویروس یابی ویندوز خود را عوض کنید.
anti spyware برای از بین بردن ویروس services.exe
این انتی spyware یکی از بهترین ها برای از بین بردن ویروس services.exe می باشد .
http://www.spywareremove.com/download/Free-SpyHunter-Scanner6p2s2.exe
فقط توجه داشته باشید که این anti spyware ویروس services.exe را پیدا می کند و برای از بین بردن انها حتما باید این برنامه کرک شده باشد .
1 . در کادر محاوره ای Run عبارت Regedit را تایپ کنید و از روی کیبرد کلید Enter را فشار دهید تا محیط ویرایش رجیستری ظاهر شود .
2 . به مسیر زیر بروید و 2 متغییر DWORD با نام های RunOnceComplete و RunOnceHasShown به ارزش 1 بسازید .
3 .
کد:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main
محیط ویرایش رجیستری را ببندید و مجددا در کادر محاوره ای Run عبارت inetcpl.cpl را تایپ کنید و شستی OK را فشار دهید تا کادری با عنوان Internet Properties ظاهر شود .
4 . در قسمت Home Page آدرس مورد علاقه ی خود را تایپ کنید و شستی OK را فشار دهید تا تنظیمات دلخواه ذخیره شود .
5 . اکنون Internet Explorer 7 را اجرا کنید و لذت ببرید .
کسانی که این مشکل را از راه اصولی حل کرده اند و اکنون دوست دارند روش فوق را تست کنند ، مراحل زیر را دنبال نمایید ...
1 . در کادر محاوره ای Run عبارت inetcpl.cpl ,6 تایپ کنید و شستی OK را فشار دهید تا کادری با عنوان Internet Properties ظاهر شود .
2 . در زبانه ی Advanced دکمه ی Reset را فشار دهید تا کادر دیگری با عنوان Reset Internet Explorer Settings خودنمایی کند .
3 . مجددا روی دکمه ی Reset کلیک کنید تا تمام تنظیمات IE به حالت پیش فرض بر گردد .
4 . اکنون روش دوم را جهت تغییر Home Page تست کنید
عملکرد این ویروس
1- در ابتدا ویروس صفحه شخصی اینترنت اکسپلورر (Default IE Page) را به یک سایت تغییر می دهد. در این صورت به هیچ طریق امکان عوض کردن آن وجود نخواهد داشت. بعد از هر باز باز کردن یک صفحه وب جدید، ویروس مجددآ خود را در سیستم شما کپی می کند.
غیر فعال کردن Task Manager و رجیستری
ایجاد فایلهایی با نام های svhost.exe , svhost32.exe , internat.exe
نحوه از بین بردن این ویروس و مشکل
ابتدا با استفاده از روشهای گفته شده در بالا Task Manager و رجیستری را فعال کنید .
اتصال خود به اینترنت را قطع کنید .
حال برای برگرداندن صفحه نخست مروگر خود به حالت قبل وارد رجیستری شوید .
ابتدا وارد منوی استارت شوید و روی گزینه run کلیک کنید و عبارت regedit را نوشته تا وارد رجیستری شوید .
میسر های زیر را با دقت پیدا نموده و در آنها وارد شوید حال اسم سایت مورد نظر را که در home page شما قرار گرفته است را پاک کرده و اسم سایت خودتان را بنویسید مثلا
کد:
http://www.forum.p30world.com
سپس به internet option رفته و این کار را هم انجام دهید se current- use default -use blank
کد:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main
HKEY_ LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main
HKEY_USERS\Default\Software\Microsoft\Internet Explorer\Main
انتی ویروس Y.V.Remover
کد:
http://mahdi7610.parsaspace.com/Y.V.Remover.zip
بعلت وجود ویروسی مخرب به اسم Jeefo که با نام SVCHOST.EXE البته در شاخه دیگری غیر از فایل اصلی ساکن می شود و اقدام به خرابکاری تمام فایلهای اجرایی exe می کند .
اکثر انتی ویروس ها SVCHOST.EXE را به عنوان ویروس می شناسند . در حالی که SVCHOST.EXE ویروس نیست بلکه ویروس فایل دیگری می باشد که خود را به این نام در اورده است .
این ویروس باعث می شود که برنامه ها درست اجرا نشوند . و طولانی بودن زمان الودگی سیستم باعث از کار افتادن سیستم عامل می شود.
نحوه پاک کردن ویروس
ابتدا سعی کنید System Restore را غیر فعال کنید .
برای این کار ابتدا روی my computer راست کلیک کنید و سپس properties را بزنید از پنجره باز شده به تب
System Restore رفته و تیک گزینه Turn off System Restore on all drives را بزنید و بعد پنجره را ok کرده و به سوال پرسیده شده جواب مثبت دهید .
حال ابتدا با زدن سه کلید ترکیبی ctrl + alt + delete وارد Task Manager شوید و به تب Processes رفته و از اوجا فایل SVCHOST.EXE در حال اجرا توی ویندوز را پاک می کنیم .
البته در تب Processes شما حداقل 4 تا یا بیشتر SVCHOST.EXE در حال اجرا می بینید که باید با برنامه های مدیریت پروسه های Task Manager بتونید این فایل را تشخیص دهید . زیرا این برنامه ها مسیر پروسه های اجرایی را در Task Manager نشان می دهند . این فایل بیشتر خود را با نام یوزر که در ان هستید (Log On) اجرا می کند .
حال به مسیر C:\WINDOWS رفته و فایل SVCHOST.EXE را پاک می کنیم .
البته شما نباید فایل اصلی SVCHOST.EXE را که در مسیر C:\WINDOWS\System32 قرار دارد را پاک کنید .
بعد از این کار سیستم را ریستارت کنید .
سپس سیستم را در حالت safe mode راه اندازی کرده و انتی ویروس jeefogui را اجرا کنید .
ممکن است بعد از این عملیات بعضی از فایلهای exe شما از کار بیفتند که شما باید دوباره برنامه انها را نصب کنید .
انتی ویروس jeefogui
http://mahdi7610.parsaspace.com/jeefogui.rar