روش های
از بین بردن انواع ویروسهای کامپیوتری
روشهای حل مشکل Show Hidden Files و از بین بردن انواع ویروسهای کامپیوتری
در اين مقاله قصد دارم راه ها و برنامه هایی را برایتان معرفی کنم که بتوانيد از طريق اين راه ها گزينه ي Show Hidden Files رو که در قسمتFolder Option هست را اگر از کار افتاده است برطرف کنید .
( يعني شما تيک Show Hidden Files را ميزنيد ولي کار نمي کند و وقتي بر مي گرديد هنوز روي Do Not Show Hidden Files هست ! )
این مشکل به دلیل وجود ویروسهایی متعددی روی سیستم شما بوده است که با پاک شدن انها توسط انتی ویروس ها آثارشون باقي مانده .
همچنین راههایی برای از
بین بردن انواع ویروس های کامپیوتری که اکثریت انها را انتی ویروس ها تشخیص نمی دهند .
طریق فهمیدن ویروسی شدن کامپیوتر
موقعي که شما وارد My Computer مي شويد و روي درايو هاي ان راست کليک مي کنيد و در اين هنگام يک گزينه با يک زبان نامفهوم مطابق عکسي که قرار داده ام را مي بينيد .
یا اینکه وقتی روی درایوهایتان دوبار کلیک می کنید محتوای درایوهای شما در یک صفحه جدید باز می شود .
یا موقع دابل کلیک کردن روی درایو هایتان پنجره Open With باز می شود و به شما می گوید Choose the program you want to use to open this file
یا هنگام کلیک بر روی درایو هایتان error ی به شما داده می شود .
یعنی سیستم شما ویروسی شده است . این ویروس ، ویروس autorun.inf می باشد . نحوه پاک کردن این ویروس را در قسمت های بعد گفته شده است .
همچنين اين ويروس باعث از بين رفتن و پاک شدن Folder Options خواهد شد
و اگر شما گزينه هاي Show hidden files and folders و Hide protected operating system files (Recommended) را مارک دار کنيد با ok کردن پنجره اين گزينه کار نخواهند کرد و دوباره به حالت اوليه باز خواهند گشت .
همچنين اين ويروس باعث غير فعال شدن Task Manageو Registry Editor خواهد شد .
اگر شما روي گزينه command prompt يا cmd نيز کليک کنيد يا باز نخواهد شد و پيغام زير را خواهد داد يا اينکه به سرعت باز و بسته خواهد شد .the command prompt has been disabled by your administrator
راههاي ورود اين ويروس از طريق قطعاتي خواهد بود که از طريق usb با سيستم شما ارتباط دارند . قطعاتي مانند فلش مموري ها ( کولديسک ) ، موبايل ها ، رم ريدر ها و ...
نحوه از ببن
بردن ویروس autorun.inf
مواقعی که شما وسایلی مانند USB, flash drive را به کامپیوتر وصل می کنید ویروس اتوران وارد سیستم شما می شود . به دلیل این که ویروس autorun.inf به صورت hidden و سیستمی می باشد به همین دلیل اکثر انتی ویروس ها قادر به شناسایی و از
بین بردن این ویروس نیستند .
خوشبختانه نسخه های جدید انتی ویروس های NOD32 و کسپراسکای این ویروس را تشخیص داده و به راحتی ان را از
بین می برند . کافی است شما یکی از این دو انتی ویروس را روی سیستم نصب کرده و ان را به طور کامل اپدیت کنید و سپس سیستم را به طور کامل ویروس یابی کنید .
پس شرط از
بین بردن این ویروس توسط انتی ویروس ها اپدیت کردن کامل انهاست . از
بین این دو انتی ویروس در حال حاضر NOD32 عمل کرد بهتری دارد .
روشهای دستی برای از
بین بردن این ویروس
این روشها هم برای فلش مموری ها و هم برای درایوها صادق می باشد .
روش اول :
برای از
بین بردن این ویروس شما نباید به هیچ عنوان روی درایو یا فولدری دابل کلیک کنید . چون این ویروس با دابل کلیک کردن روی درایو ها فعال می شود .
پس اولین کار این است که شما وقتی سیستم را روشن کردید به هیچ عنوان روی درایوی دابل کلیک نکنید .
قبل از انجام مراحل زیر شما باید حتما با یکی از انتی
ویروسهای NOD32 یا کسپراسکای و Avast سیستم را به طور کامل ویروس یابی کرده باشید . تا ابتدا
ویروسهای احتمالی از سیستم شما پاکسازی شود .
دلیل این که چرا باید قبل از پاکسازی ویروس اتوران به طور دستی باید از انتی ویروس های گفته شده استفاده کرد را در
روش دوم توضیح داده شده است .
ابتدا فلش مموری را به کامپیوتر وصل کنید . و سپس منتظر بمانید تا درایو مربوط به ان در my computer ظاهر شود . بعد از ظاهر شدن درایو مربوط به فلش مموری دیگر روی هیچ یک از درایو های کامپیوتر و حتی فلش مموری دابل کلیک نکنید .
حالا مراحل زیر را ابتدا انجام دهید .
ابتدا وارد My Computer شوید .
بعد از مشاهده لیست درایوها از نوار بالا بروی گزینه Tools کلیک کرده سپس گزینه Folder Options را انتخاب کنید
راهنمایی : اگر Folder Options شما وجود ندارد و ممکن است پاک شده باشد در زیر برنامه هایی برای برگرداندن ان معرفی کرده ام .
در پنجره جدید باز شده گزینه View را انتخاب کنید و بروی گزینه Show hidden files and folders کلیک کنید تا دایره آن توپر شود .
کمی پایینتر تیک گزینه Hide Protected Operationg System Files را بر دارید . حالا ok کنید
از این به بعد تا پاک سازی کامل این ویروس از داخل درایو ها روی هیچ کدام از درایو ها نباید دابل کلیک کرد بلکه باید با راست کلیک روی درایو و زدن open وارد درایو شوید .
(حتما یادتون باشه با راست کلیک کردن و زدن open وارد درایو هایتان شوید اگر دوبار روی درایوی کلیک کنید باز هم ویروس فعال خواهد شد و دوباره همه چیز به حالت اول بر خواهد گشت . پس حتما با راست کلیک کردن و زدن open وارد درایوهایتان شوید)
ابتدا با راست کلیک روی درایو C و زدن OPEN وارد ان شوید و فایلی به نام autorun.inf را از داخل درایو هایتان پاک کنید . سپس با راست کلیک و زدن open وارد درایو های دیگر شوید و همچین فایلی را از داخل همه درایو ها پیدا کرده و پاک کنید .
بعد از این که شما همه فایلهای autorun.inf را از داخل همه درایو ها پاک کردید باید بلافاصله بدون انجام هیچ کار اضافی ( حتی نباید جایی کلیک کنید ) سیستم را Reset کنید .
حتما باید سیستم بلافاصله ریست شود .
فرض می کنیم فلش مموری یا RAM مربوط به موبایل شما نیز به این ویروس مبتلا شده باشد .
شما باید فلش مموری یا موبایل خودتون را به کامپیوتر متصل کنید و بعد از دیدن درایو مربوط به ان با راست کلیک و زدن open وارد ان شوید و فایلی به نام autorun.inf را از داخل ان پاک کنید و همین طور که فلش مموری یا موبایل شما به کامپیوتر متصل است سیستم را Reset کنید .
این اموزش مربوط به ویروس autorun.inf بود . اما همیشه این ویروس به تنهایی در درایو های شما قرار نمی گیرد بلکه ممکن است همراه خود چندین فایل exe نیز داشته باشد که اگر شما کامل مقاله را مطالعه فرمایید اسم انها گفته شده است که شما در حین پاک کردن ویروس autorun.inf باید انها را نیز همراه این ویروس از داخل درایو ها پاک کنید .
روش دوم :
برای این که متوجه شوید کامپیوتر شما به ویروس autorun.inf مبتلا شده است یا نه ، باید ابتدا فایلهای مخفی و سوپرهایدن را قابل روئیت کنید .
چون این ویروس به صورت مخفی و سیستمی می باشد .
برای این که فایلهای مخفی را بتوانید ببینید از
روش اول برای از
بین بردن autorun.inf استفاده کنید . اما گاهی اوقات به دلیل دچار شدن به یک ویروس دیگر شما قادر به دیدن فایلهای مخفی نیستید .
برای این کار کافی است مسیر زیر را دنبال کنید .
Start->Run->cmd.exe
سپس در محیط cmd به root درایو ها رفته ( برای رفتن به ریشه یک درایو باید از دستور cd\ استفاده کنید ) و عبارت dir /ah را تایپ کنید با این کار تمامی فایلهای و فایلهای مخفی درایو به شما نشان داده خواهد شد . که شما با این
روش می تونید ببینید که ایا کامپیوتر شما به ویروس autorun.inf مبتلا شده است یا نه .
یک
روش برای از
بین بردن ویروس autorun.inf استفاده از همین محیط cmd می باشد . که شما باید با استفاده از دستورات داس به root درایو ها رفته و با استفاده از دستور del /a/f autorun.inf این ویروس را از تمامی درایو ها خود پاک کنید . توجه کنید که ابتدا باید درایو c را پاک کرده و بعد بقیه درایو ها را پاک کنید . بعد از این کار بلافاصله کامپیوتر را ریستارت کنید .
گاهی اوقات بعد از این که شما به طور دستی اقدام به پاکسازی ویروس اتوران می کنید بعد از چند ثانیه این ویروس دوباره سر جای خود برمی گردد .
این مشکل به این دلیل است که جدیدا ویروس اتوران پیشرفت زیادی کرده و به تنهایی فقط شامل یک فایل notpad به اسم autorun.inf نیست بلکه همراه این فایل چند فایل exe نیز وجود دارد که به این فایل ضمیمه شده اند که نشان از پشرفت این ویروس داشته است .
چند تا از فایلهای exe که اخیرا همراه این ویروس در درایو ها ایجاد می شود و مانع از پاکسازی ویروس اتوران به طور دستی می شود فایلهایی به اسم 3o.exe و sxs.exe و semo2x.exe و system.exe و m88coaim.exe می باشد .
متاسفانه فایل های exe را نمی توان به طور دستی پاک کرد به خاطر این که بعد از پاک شدن سریعا در عرض چند ثاینه یک جایگزین برای خود درست می کنند .
پس برای این که بتوانید به راحتی و به طور دستی ویروس اتوران را پاک کنید باید ابتدا فایهای exe ضمیمه ان را از
بین ببریم برای این کار من انتی ویروس Avast را پیشنهاد می کنم که قادر به از
بین بردن برنامه های exe ضمیمه شده به ویروس اتوران است مخصوصا فایل 3o.exe . بعد از ان شما به راحتی می توانید به طور دستی فایل autorun.inf را از درایوها پاک کنید .
پس شرط از
بین بردن ویروس اتوران به طور دستی این است که شما قبل از ان با انتی ویروس Avast سیستم را به طور کامل ویروس یابی کنید تا برنامه های exe همراه ویروس اتوران از
بین بروند .
روش سوم :
این
روش شاید دیگر به این راحتی ها جواب ندهد به این دلیل که ویروس اتوران پیشرفت کرده و دیگر به تنهایی فقط شامل یه فایل notpad نیست بلکه همراه خود چندین فایل exe نیز دارد . اما گفتن این
روش هم خالی از لطف نیست .
یک
روش هم برای از
بین بردن ویروس اتوران این است که برنامه notpad را باز کنید و دستور زیر را در ان کپی کنید و سپس با نام و پسوند autorun.inf ذخیره کنید .
کد:
کد:
کد:
[AutoRun]
open=explorer.exep
سپس به مسیر tools->folder options->view رفته و تیک گزینه hide extensions for known file types را بردارید تا پسوند فایلهای نیز نمایان شود .
سپس فایلهای مخفی و سوپرهایدن را قابل روئیت کنید و فایل autorun.inf خود را در همه درایو ها کپی کنید با این کار اگر فایل اتوارن دیگری در درایو شما باشد اخطاری مبنی بر جایگزین کردن فایل به شما داده خواهد شد که شما با زدن گزینه yes پیغام را تائید کنید .
این کار را برای تمام درایو ها انجام دهید . با این کار فایل اتوران شما جایگزین ویروس اتوران خواهد شد .
همان طور که گفتم شاید این
روش دیگر جواب ندهد .
روش چهارم :
copy.exe تروجانی است که گاهی اوقات در تمامی درایو های شما قرار میگیره و با هر بار کلیک بر روی درایو ها فایل autorun.inf فایل این فایل را اجرا می کنه .
یکی از روشهای پاک کردن این ویروس این است که ابتدا شما باید پروسه های temp1.exe و temp2.exe رو از
بین ببرید . برای این کار ابتدا باید سیستم را به صورت safe mode راه اندازی کنید .
شما نباید روی درایو ها یتان دابل کلیک کنید چون با این کار ویروس autorun.inf که در درایو هایتان قرار دارد باعث فعال شدن پروسه های temp1.exe و temp2.exe می شود .
بعد از راه اندازی سیستم به صورت safe mode شما باید با راست کلیک کردن و زدن گزینه open وارد درایو c ویندوز شده و به پوشه windows و بعد هم پوشه system32 رفته و دو فایل temp1.exe و temp2.exe را حذف کنید .
البته در بعضی از نسخه های ویروس copy.exe ویروس autorun.inf حتی درون پوشه %win% هم وجود داره بنابراین حتما حتما برای ورود به درایوها پوشه ها را با راست کلیک باز کنید .
نکته : قبل از اینکار باید ابتدا این پروسه ها را از Task Manager پاک کنید . برای این کار با زدن کلید های ترکیبی ctrl + alt + delete وارد Task Manager بشید و پروسه های temp1.exe و temp2.exe را از لیست processes با کلیک بر روی انها و زدن end process حذف کنید .
ویروس autorun.inf با هر بار فعال شدن موجب میشه که دو فایل xcopy.exe و host.exe درون همون درایو فعال بشن و دوباره دو فایل temp1.exe و temp2.exe رو بسازن.
شما نباید فایل های xcopy.exe را با فایل های خود windows که درون پوشه ی system32 هستند اشتباه بگیرید .
برای تشخیص ویروس xcopy.exe و فایل xcopy.exe که در پوشه system32 است باید از حجم انها این دو را شناسایی کرد اگر فایل xcopy.exe حجمی معادل 32 کیلو بایت داشت مربوط به خود ویندوز می باشد در غیر این صورت ویروس خواهد بود .
حالا فایلهای سیستمی را مانند ورش اول از حالت هایدن خارج کنید و ویروس autorun.inf را پاک کنید و بعد هم به درایوهای خودتون نگاه کنید اگر فایلهایی با عنوان xcopy.exe و host.exe بودند با خیال راحت پاک کنید .
برای از
بین بردن ویروس autorun.inf از برنامه ای که بدین منظور ایجاد شده است نیز می توانید استفاده کنید .
برنامه به صورت فشرده شده میباشد ابتدا ان را از حالت فشرده خارج سازید و برنامه را اجرا کنید و سپس گزینه scan را بزنید تا شروع به پاک سازی این ویروس از درایو ها شما کند .
اگر فلش مموری یا موبایل شما نیز دچار این ویروس شده است ان را به کامپیوتر متصل نمایید و سپس این برنامه را اجرا کنید تا این ویروس را از داخل usb درایوهای شما نیز پاک سازی نماید .
برنامه هایی برای از
بین بردن ویروس اتوران
کد:
باز شدن درایوها با دابل کلیک در یک پنجره جدید یا باز شدن پنجره search
برای حل این مشکل ابتدا باید مطمئن شوید تیک گزینه Open Each Folder In Its Own Window زده شده است . برای این کار به مسیر زیر بروید .
Tools >> Folder Options و سپس تب General
حال اگر مشکل از این قسمت نبود از روشهای زیر استفاده کنید .
روش اول :
ابتدا به منوی start رفته و گزینه run را بزنید و سپس عبارت regsvr32 /i shell32.dll را در ان کپی کنید و سپس کلید اینتر را بزنید .
روش دوم : به منوی start رفته و گزینه Run را بزنید و سپس عبارت regedit را تایپ کنید تا وارد محیط رجیستری شوید .
به هر دو مسیر زیر بروید
HKEY_CLASSES_ROOT\Directory\shell
و
HKEY_CLASSES_ROOT\Drive\shell
در پنل سمت راست ، مقادیر پیش فرض عبارات بالا رو پیدا کنید. سپس روی انها دابل کلیک کرده و در قسمت Value data عبارت none را قرار دهید و سپس روی دکمه Ok رو کلیک کنید.
روش سوم :به منوی start رفته و روی run کلیک کنید و عبارت زیر را داخل ان کپی کرده و کلید اینتر را فشار دهید .
کد:
reg add hkcr\drive\shell /ve /d none /f
نحوه پاک کردن ویروس Copy.exe
اسامی دیگر این ویروس host.exe, xcopy.exe, temp1.exe, temp2.exe and svchost.exe,Salga-A worm
این ویروس یکی از خطرناک ترین ویروس ها هست که به عنوان یک پروسه در سیستم شروع به فعالیت و انتشار خودش می کنه و با توجه به اینکه بعضی از انتی ویروسها به صورت نامناسب این ویروس را پاک می کنند باعث نمایش یک پیغام در زمان دابل کلیک کردن روی درایو و یا فولدر در محیط ویندوز می شوند .
برای پاک کردن دستی این کرم شما باید ابتدا همه پروسه هایی که با نام های host.exe, xcopy.exe, temp1.exe, temp2.exe and svchost.exe,Salga-A worm هستند را پیدا کنید و انها را پاک کنید .
تذکر : مواظب باشید این فایلها را با فایلهای اساسی سیستم عامل اشتباه نگیرید .
مهم : یکی از دلایل اصلی به وجود امدن این مشکل ویروس Autorun.inf هست که شما باید طبق
روش هایی که در اموزش گفته ام ان را پاک کنید . این کار را حتما انجام دهید . یعنی حتما باید ابتدا ویروس Autorun.inf را طبق اموزش باید از
بین ببرید .
سپس به این ادرس در رجیستری رفته و اگر کلیدی به اسم Copy.exe در زیر منوی MountPoints2 وجود داشت ان را پاک کنید .
کد:
کد:
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\MountPoints2
با استفاده از برنامه های زیر به طور کامل می توانید این ویروس را از
بین ببرید .
http://www.securitystronghold.com/do...TrueSword4.exe
برنامه زیر را در حالت safe mode اجرا کنید
http://www.traidnt.org/index.php?action=getfile&id=3726
Show Hidden Files
1- از Start Menu وارد Run بشيد و در اونجا تايپ کنيد : regedit
وقتي صفحه ي رجيستري باز شد ، از سمت چپ وارد اين مسير بشيد :
کد:
کد:
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\Advanced
در اين قسمت ، در ليست متغير هايي که سمت راست وجود دارند ، متغير آبي رنگي ( DWORD Value ) رو به نام Hidden پيدا کنيد و روی ان دابل کليک کنيد . اگر مقدارش ( Value data ) به 0 تغيير کرده ، ان را به 1 یا 2 تغییر دهید و OK کنيد . حالا رجيستري رو ببنديد و ريستارت کنيد .
2- مسير زير رو دنبال کنيد :
کد:
کد:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\Advanced\Folder\Hidden
اکنون در سمت راست پنجره ي Regedit روي Type دو بار کليک کرده و مقدار آن رو برابر با group قرار دهيد ( يعني در پنجره اي که باز ميشه کلمه ي group رو تايپ کنيد ).
با اين کار تونستيد Show Hidden Files از دست رفته را که دیده نمی شد برگردونید .
3-مسير زير رو دنبال کنيد :
کد:
کد:
HK LocalMachine\Software\Microsoft\Windows\CurrentVer sion\Explorer\Advanced\Folder\Hidden\SHOWALL
در سمت راست پنجره ي Regedit مقدار CheckedValue رو برابر با 1 قرار بديد.
گرفتن و اجرا کردن این برنامه . وقتی برنامه را اجرا کردید به اخطار داده شده توجهی نکنید و روی ok کلیک کنید .
روشی برای از بین بردن ویروس New folder.exe
سایت انتی ویروس sophos بهترین و جامع ترین راه حل را برای این ویروس ارائه کرده است .
این ویروس با نام های W32/Floppy-E و WORM_GATECOLL.A و Troj_VB.BLA نیز شناخته می شود .
یکی از دلایلی که انتی ویروس ها قادر به از
بین بردن یا شناسایی این ویروس نیستند این است که این ویروس با بالا امدن ویندوز به صورت دائمی شروع به فعالیت می کند . و همون طور که می دانید یه فایل در حال اجرا را نمی شود از روی ویندوز پاک کرد .
برای از
بین بردن این ویروس شما باید ابتدا فایل 13 مگابایتی زیر را دانلود کنید و پس از دانلود ویندوز را در حالت Safe mode راه اندازی کنید و فایلی را که دانلود کرده اید را در یکی از درایو هایتان و در درون فولدر SAV32CLI از حالت فشرده خارج کنید .
حالا باید command prompt را از منوی استارت اجرا کنید و سه دستور زیر را به ترتیب تایپ کنید .
کد:
کد:
X:
CD SAV32CLI
SAV32CLI -REMOVE -P=C:\LOGFILE.TXT
در این دستور x نام درایوی هست که شما فایل دانلود شده خودتون را توی اون درایو قرار داده اید .
بعد از تایپ خط آخر و اجرا شدن الگوی پاکسازی عملیات ویروس کشی آغاز میشه و بعد از چند بار دادن پاسخ بله به برنامه جهت تایید پاکسازی کرم W32/Floppy-E در عرض چند دقیقه از شر این کرم سمج و دردسر ساز راحت میشید.
معرفی برنامه هایی که توسط انها میتوانید قسمتهای حذف شده یا غیر فعال شده را به حالت او
مثل : folder option و رجیستری و Task Manager و Hidden F iles و پنجره Run و Windows Firewall و show desktop و show taskbar و حذف اتوران و Group policy و ....
برنامه isReset
حتما با ویروسهایی که فایلهای شما را به صورت سیستمی و پنهان در می آورند برخورد کرده اید. این ویروسها را با آنتی ویروس می توان از
بین برد ولی برگرداندن فایلها به حالت عادی کار ساده ای نیست. با استفاده از این برنامه می توانید این فایلها را به حالت عادی برگردانید. برای این کار باید فایل یا فولدرهایی که به صورت سیستمی در آورده اند را به روی پنجره این برنامه کشیده و بر روی دکمه Reset کلیک کنید.
http://tebyan.net/Download/NewDownlo...Reset_1240.exe
برنامه Linkfars Virus Remover
با استفاده از این برنامه می توانید ویروس جدیدی که اکثر کامپیوترها را آلوده کرده است را از
بین ببرید. این ویروس را آنتی ویروس Symantec با نام W32.Linkfars و Kaspersky آن را با نام Malas نامگذاری کرده است.
در NOD32 هم از
انواع Autorun شناخته می شود. از اثرات این ویروس این است که با کلیک بر روی یک درایو محتویات آن را در پنجره جدید باز می کند.
همچنین Folder Options پنهان می شود. در همه درایوها یک فایل Autorun.inf و Autoply.exe به صورت سیستمی و پنهان کپی می شود. یک سرویس svchost.exe با نام User شما درست می شود. یک گزینه برای اجرای فایل OfficeUpdate.exe در برنامه های Startup ساخته می شود.
یک میانبر با آیکون فولدر و نام New Folder در بعضی درایوها و به خصوص حافظه های فلش متصل شده به سیستم ایجاد می شود. در هنگام اتصال به اینترنت شعارهای ضد حکومت و دین در بالای صفحه ظاهر می شود و .... فایل را از حالت فشرده خارج کرده و فایلهای داخل آن را به ترتیب شماره های قرار داده شده اجرا کنید.
http://tebyan.net/Download/NewDownlo...mover_1321.rar
برنامه Ravmon Virus Removal Tool
بازگرداندن قسمت های مهم سیستم به حالت عادی
http://javedkhalil.com/techBlog/wp-c...on-removal.rar
برنامه Restriction Removal Tool
http://download.sergiwa.com/security/RRT.exe
برنامه symantec Removal Tools
http://www.symantec.com/business/sec...movaltools.jsp
پاک کردن برنامه ی مخربی که پوشه ها را مخفی ( Super Hidden ) می کند
نام دقیق این برنامه ی مخرب Trojan.Win32.Delf.aam است .
با زبان برنامه نویسی Borland Delphi نوشته شده .
آی...... این Malware * مانند کرم های New Folder.exe و BronTok.A شبیه آی...... یک پوشه است !
بنابراین به سرعت منتشر می شود .
این برنامه ی مخرب تمام پوشه های Open شده توسط قربانی را Super Hidden می کند و یک نسخه از خودش را با همان نام در همان مـسـیـر کـپـی می کـنـد کـه اگـر Victim * آن را اجرا کـنـد هم Malware اجرا می شـود و هم محـتـوی پوشـه ی Super Hidden نمایـش داده می شود !!
یعنی اگه Victim مبتدی باشه به زودی متوجه نمیشه که چه بلایی داره سر پوشه هاش میاد !
هــمــانــطـــور کـه می دانـیــد برای آشـکار کـردن فایـل ها و پوشـه های Super Hidden باید ابتدا در Folder Options\View روی گزینه ی Show hidden files and folders کلیک کنید و پس از آن تیک گزینه ی (Hide protected operating system files (Recommended را بردارید و به پیغام امنیتی پاسخ مثبت و شستی OK را فشار دهید .
این Malware به Victim اجازه ی آشکار کردن پوشه ها و فایل های Super Hidden را نمی دهد !
ضمنا Registry Tools ، Windows Task Manager و Folder Options را Disable نمی کند .
پر واضح است که این برنامه ی مخرب از آشکار کردن پسوند فایل ها هم جلوگیری می کنه !
برای پاک کردن این ویروس می توانید از برنامه ای که نوشتم استفاده کنید .
http://feng1.persiangig.com/Programs...0T.Delf.aam.7z
ویروس MS32DLL.dll.vbs
گاهی اوقات داخل درایوها فایلی به اسم MS32DLL.dll.vbs نیز وجود دارد که به صورت مخفی می باشد .
در واقع عامل ایجاد این فایل نیز همین ویروس autorun.inf می باشد و در واقع ویروس اتوران یک master هست و فایل MS32DLL.dll.vbs یک worker .
یعنی این فایل برای اجرا شدن نیاز شدیدی به ویروس اتوران دارد و با از
بین بردن ویروس اتوران این فایل که یک اسکریپت می باشد نیز ناتوان خواهد شد و به راحتی می توان ان را پاک کرد .
این ویروس باعث می شه یه فایل به اسم MS32DLL.dll.vbs نیز در مسیر c:\windows\MS32DLL.dll.vbs ساخته شود .
برای از
بین بردن کامل این ویروس نیز شما نباید به هیچ وجه از دابل کلیک استفاده کنید بلکه باید از راست کلیک روی درایوها یا فولدرها و زدن open استفاده کنید . چون با دابل کلیک این ویروس فعال خواهد شد .
همچنین در بعضی مواقع باعث ایجاد متنی با عنوان Hacked By Godzilla ( ممکن است یک نام دیگر نیز باشد ) در بالای پنجره اینترنت اکسپلور می شود
برای از
بین بردن این ویروس و این مشکل کارهای گفته شده را انجام دهید .
ابتدا با زدن کلید های ترکیبی ctrl + alt + delete وارد task manager شوید و در تب processes پروسه های زیر را بیندید .
کد:
کد:
1. wscript.exe
2. mslogon.exe
3. systemnt.exe
4. wscript.exe
5. flashy.exe
6. sondmsg.exe
و سپس ویروس autorun.inf را مطابق اموزش از
بین ببرید .
حال به مسیر c:\windows رفته و در صورت وجود فایل MS32DLL.dll.vbs را پاک کنید .
سپس به رجیستری رفته و قسمتهای گفته شده را پاک سازی نمایید .
کد:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run - MS32DLL
HKLM\Software\Microsoft\Windows\CurrentVersion\Run - flashy.exe
HKU\Software\Microsoft\InternetExplorer\Main - "window Title"
HKU\Software\Microsoft\Windows\CurrentVersion\Poli cies\system – disabletaskmgr
HKU\Software\Microsoft\Windows\CurrentVersion\Poli cies\system – disableregistrytools
HKU\Software\Microsoft\Windows\CurrentVersion\Poli cies\Explorer – NoFolderOptions
سپس کامپیوتر را ریستارت کنید .
استفاده از برنامه زیر برای از
بین بردن این ویروس :
http://albin.1983.googlepages.com/Fix.Godzilla.exe
معرفی برنامه SmitFraudFix
SmitFraudFix ابزاری است برای از
بین بردن ویروسهای مانند adware و malware و تروجان و پاکسازی رجیستری
ابتدا برنامه را از لینک زیر دانلود کنید . و ان را روی دسکتاپ قرار بدید .
کد:
کد:
http://siri.urz.free.fr/Fix/SmitfraudFix.exe
کامپیوتر را در حالت safe mode راه اندازی کنید
برای این کار سیستم را ریستارت کنید و قبل از بالا امدن ویندوز کلید F8 را چند مرتبه پشت سر هم بزنید .
از صفحه باز شده گزینه safe mode را انتخاب کنید . و سپس وارد یوزر خودتان شوید .
برنامه Smitfraudfix.exe را اجرا کنید . منتظر بمانید تا صفحه زیر ظاهر شود
سپس یکی از کلید های روی صفحه کلید را فشار دهید تا صفحه زیر ظاهر شود .
عدد 2 را انتخاب کنید یعنی Clean (SafeMode Recommended)0 و سپس کلید اینتر را بزنید
با این کار اسکن کردن و clean کردن سیستم اغاز می شود .
بعد از انجام این مراحل ابزار Disk Cleanup tool اجرا می شود و فایلهای بی مصرف را از روی سیستم پاک می کند .
بعد از Disc Cleanup پنجره زیر نشان داده می شود .
Do you want to clean the registry ؟
ایا شما می خواهید پاکسازی کنید رجیستری را : کلید Y را فشار دهید تا رجیستری بازسازی شود .
Replace infected file ؟
ایا جایگزین کند فایلهای الوده را که شما کید Y را فشار می دهید .
در این هنگام سیستم احتیاج به یکبار راه اندازی دارد . که سیستم به طور اتوماتیک راه اندازی می شود .
اگر این اتفاق نیفتاد شما خودتان به صورت دستی این کار را انجام دهید .
این هنگام فایلی به نام rapport.txt در درایو c ایجاد می شود که گزارشاتی از کارهای انجام گرفته را به شما می دهد .
همچنین این ابزار فایل های wininet.dll را نیز چک میکند مبادا الوده باشند .
نحوه پاک کردن ويروس Virus Win32/Jeefo يا SVCHOST.EXE
بعلت وجود ويروسي مخرب به اسم Jeefo که با نام SVCHOST.EXE البته در شاخه ديگري غير از فايل اصلي ساکن مي شود و اقدام به خرابکاري تمام فايلهاي اجرايي exe مي کند .
اکثر انتي ويروس ها SVCHOST.EXE را به عنوان ويروس مي شناسند . در حالي که SVCHOST.EXE ويروس نيست بلکه ويروس فايل ديگري مي باشد که خود را به اين نام در اورده است .
اين ويروس باعث مي شود که برنامه ها درست اجرا نشوند . و طولاني بودن زمان الودگي سيستم باعث از کار افتادن سيستم عامل مي شود.
نحوه پاک کردن ويروس
ابتدا سعي کنيد System Restore را غير فعال کنيد .
براي اين کار ابتدا روي my computer راست کليک کنيد و سپس properties را بزنيد از پنجره باز شده به تب
System Restore رفته و تيک گزينه Turn off System Restore on all drives را بزنيد و بعد پنجره را ok کرده و به سوال پرسيده شده جواب مثبت دهيد .
حال ابتدا با زدن سه کليد ترکيبي ctrl + alt + delete وارد Task Manager شويد و به تب Processes رفته و از اوجا فايل SVCHOST.EXE در حال اجرا توي ويندوز را پاک مي کنيم .
البته در تب Processes شما حداقل 4 تا يا بيشتر SVCHOST.EXE در حال اجرا مي بينيد که بايد با برنامه هاي مديريت پروسه هاي Task Manager بتونيد اين فايل را تشخيص دهيد . زيرا اين برنامه ها مسير پروسه هاي اجرايي را در Task Manager نشان مي دهند . اين فايل بيشتر خود را با نام يوزر که در ان هستيد (Log On) اجرا مي کند .
حال به مسير C:\WINDOWS رفته و فايل SVCHOST.EXE را پاک مي کنيم .
البته شما نبايد فايل اصلي SVCHOST.EXE را که در مسير C:\WINDOWS\System32 قرار دارد را پاک کنيد .
بعد از اين کار سيستم را ريستارت کنيد .
سپس سيستم را در حالت safe mode راه اندازي کرده و انتي ويروس jeefogui را اجرا کنيد .
ممکن است بعد از اين عمليات بعضي از فايلهاي exe شما از کار بيفتند که شما بايد دوباره برنامه انها را نصب کنيد .
انتی ویروس jeefogui
http://mahdi7610.parsaspace.com/jeefogui.rar
پاک کردن ويروسي که از طريق یاهو مسنجر منتشر مي شود
عملکرد اين ويروس
1- در ابتدا ويروس صفحه شخصي اينترنت اکسپلورر (Default IE Page) را به يک سايت تغيير مي دهد. در اين صورت به هيچ طريق امکان عوض کردن آن وجود نخواهد داشت. بعد از هر باز باز کردن يک صفحه وب جديد، ويروس مجددآ خود را در سيستم شما کپي مي کند.
غير فعال کردن Task Manager و رجيستري
ايجاد فايلهايي با نام هاي svhost.exe , svhost32.exe , internat.exe
نحوه از بين
بردن اين ويروس و مشکل
ابتدا با استفاده از روشهاي گفته شده در بالا Task Manager و رجيستري را فعال کنيد .
اتصال خود به اينترنت را قطع کنيد .
حال براي برگرداندن صفحه نخست مروگر خود به حالت قبل وارد رجيستري شويد .
ابتدا وارد منوي استارت شويد و روي گزينه run کليک کنيد و عبارت regedit را نوشته تا وارد رجيستري شويد .
ميسر هاي زير را با دقت پيدا نموده و در آنها وارد شويد حال اسم سايت مورد نظر را که در home page شما قرار گرفته است را پاک کرده و اسم سايت خودتان را بنويسيد مثلا
کد:
کد:
http://www.forum.asandownload.com
سپس به internet option رفته و اين کار را هم انجام دهيد se current- use default -use blank
کد:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main
HKEY_ LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main
HKEY_USERS\Default\Software\Microsoft\Internet Explorer\Main
انتی ویروس Y.V.Remover
کد:
کد:
http://mahdi7610.parsaspace.com/Y.V.Remover.zip
رفع مشکل غیر فعال شدن Home Page اینترنت اکسپلورر
1 . در کادر محاوره ای Run عبارت Regedit را تایپ کنید و از روی کیبرد کلید Enter را فشار دهید تا محیط ویرایش رجیستری ظاهر شود .
2 . به مسیر زیر بروید و 2 متغییر DWORD با نام های RunOnceComplete و RunOnceHasShown به ارزش 1 بسازید .
کد:
کد:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main
محیط ویرایش رجیستری را ببندید و مجددا در کادر محاوره ای Run عبارت inetcpl.cpl را تایپ کنید و شستی OK را فشار دهید تا کادری با عنوان Internet Properties ظاهر شود .
4 . در قسمت Home Page آدرس مورد علاقه ی خود را تایپ کنید و شستی OK را فشار دهید تا تنظیمات دلخواه ذخیره شود .
5 . اکنون Internet Explorer 7 را اجرا کنید و لذت ببرید .
کسانی که این مشکل را از راه اصولی حل کرده اند و اکنون دوست دارند
روش فوق را تست کنند ، مراحل زیر را دنبال نمایید ...
1 . در کادر محاوره ای Run عبارت inetcpl.cpl ,6 تایپ کنید و شستی OK را فشار دهید تا کادری با عنوان Internet Properties ظاهر شود .
2 . در زبانه ی Advanced دکمه ی Reset را فشار دهید تا کادر دیگری با عنوان Reset Internet Explorer Settings خودنمایی کند .
3 . مجددا روی دکمه ی Reset کلیک کنید تا تمام تنظیمات IE به حالت پیش فرض بر گردد .
4 . اکنون
روش دوم را جهت تغییر Home Page تست کنید
نحوه از بین بردن ویروس services.exe
متاسفانه اکثر ویروسهایی که جدیدا به وجود می ایند همنام پروسه های مربوط به سیستم عامل می باشند به همین دلیل تشخیص انها هم برای کاربران و هم برای انتی ویروس ها نسبتا مشکل شده است .
و از کار انداختن انها نیز قدری سخت شده است .
و همین عامل می تواند یکی از نقاط ضعف سیستم عامل های ماکروسافت محسوب شود .
فعالیت های ویروس services.exe
اولین کاری که این ویروس انجام می دهد خودش را با نام فایلهایی که در یک فولدر است در می اورد و فایلهای فولدر را مخفی می کند و یک فایل با نام همان فولدر می سازد که دارای پسوند exe می باشد .
و به فولدر هایی که مخفی می کند علاوه بر خصلت hidden خصلت سیستمی هم می دهد .
سپس به وسیله windows policy برنامه های regedit و cmd و msconfig و taskmanager رو از کار می اندازد(گاهی اوقات هنگام استفاده از دستور cmd کامپیوتر را ریستارت هم میکند) در بعضی مواقع از قسمت folder option گزینه view رو مخفی میکند.
و اجازه دسترسی به بعضی از گزینه های مدیریتی رو بطور کامل از
بین میبرد .
و حتی با تعویض ویندوز هم فایلها از حالت مخفی خارج نخواهند شد . به خاطر این که با تعویض ویندوز هنوز اثرات این ویروس در دیگر درایو ها وجود دارد و تنها با کلیک کردن روی یکی از انها ویروس فعال شده و دوباره همه جا را الوده می کند .
نحوه از
بین بردن ویروس services.exe
برای از
بین بردن این ویروس ابتدا کدهای زیر را داخل note pad کپی کرده و با نام و پسوند rescue.bat در مسیر در مسير c:\ ذخيره نماييد.
کد:
کد:
@echo off
:try
del c:\windows\services.exe
if exist c:\windows\services.exe goto try
حالا به منوي start رفته و روی گزینه run کلیک کنید و عبارتregedit را تايپ کرده و ok را بزنيد. تا وارد محیط رجیستری شوید .
حال به مسير زير برويد.
کد:
کد:
HKEY_LOCAL_MACHINE\system\currentcontrolset\servic es\eventlog
روي فايل image path دوبار کليک کرده و در اين پنجره به جاي %systemroot%\system32\services.exe عبارت c:\rescue.bat را تايپ کنيد.
ويندوز را restart کنيد.
دوباره به منوي start رفته و برنامه run را اجرا کرده و regedit را تايپ کرده و ok را بزنيد.
حال به مسير زير برويد.
کد:
کد:
HKEY_LOCAL_MACHINE\system\current control set\services\eventlog
روي فايل image path دوبار کليک کرده و در اين پنجره به جاي c:\rescue.bat عبارت %systemroot%\system32\services.exe را تايپ کنيد.
کد:
کد:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\userinit
userinit را از مسير بالا باز کرده و به جاي عبارت %windir%\services.exe عبارت C:\WINDOWS\system32\userinit.exe را وارد کنید
عبارت %windir%\services.exe را حذف نماييد يعني مسير به صورت زير در مي آيد.
C:\WINDOWS\system32\userinit.exe
به پوشه temp رفته و در صورت وجود فایل Service.exe ان را پاک کنید .
حالا آنتي ويروس های kaspersky و nod32 را update نماييد و سیستم را به طور کامل در حالت safe mode ویروس یابی کنید .
ضمناً بهتر است بعد از update و ويروس يابي ويندوز خود را عوض کنيد.
anti spyware برای از
بین بردن ویروس services.exe
این انتی spyware یکی از بهترین ها برای از
بین بردن ویروس services.exe می باشد .
http://www.spywareremove.com/downloa...anner6p2s2.exe
فقط توجه داشته باشید که این anti spyware ویروس services.exe را پیدا می کند و برای از
بین بردن انها حتما باید این برنامه کرک شده باشد .
کرم Wukill ) W32/Wukill.worm.gen )
طریقه گسترش کرم :
آلودگی با اجرای فایل کرم انجام می شود . که کرم با فلاپی و تمامی وسایل انتقال فایل منتقل می شود . چون خود ا در هر پوشه ای که باز کنید کپی می کند .
در کامپیوتر آلوده :
بعد از قرار دادن فلاپی ، کرم خود را در آن کپی می کند و یا اگر شخص سیدی رایت کند ، کرم را که به صورت مخفی است را نیز رایت خواهد کرد .
در کامپیوتر میزبان :
اگر شخص از ویندوز های 98 , 2000 , ME و ویندوز هایی که از Customize Folder Wizard استفاده می کند ، داشته باشد با باز کردن پوشه یا فلاپی درایوی که کرم در آن وجود دارد آلوده خواهد شد . چون کرم از آین سرویس ویندوز استفاده کردن و جود را اجرا می کند .
در ویندوز xp چون این سرویس غیر فعال است و دیگر وجود ندارد آلودگی فقط با اجرای مستقیم کرم شروع می شود . در ویندوز های دیگر نیز با اجرای مستقیم کامپیوتر آلوده می شود . بعد از اجرای فایل اگر باز بخواهید فایل را اجرا کنید اختار زیر ظاهر می شود :
کرم خود را با نام های مختلف در یکی از پوشه های Windows ، Temp ، System ، Web ، Help کپی می کند .
و در تمامی پوشه هایی که وارد شوید یک فایل اجرایی با نام پوشه می سازد و در همان پوشه فایل desktop.ini یا Rundesktop.ini را تغییر می دهد و در آن کدهای زیر را اضافه می کند :
تا فایل دومی به نام comment.htt یا Runcomment.htt را بعد از هر بار ورود به پوشه یا درایور هارد اجرا کند . در این فایل هم کدهای زیر قرار دارد :
که فایل اجرایی موجود در پوشه را اجرا می کند .
همچنین کرم فایلی به نام WINFILE.EXE را در تمایم درایو های هارد و بعضی پوشه های می سازد . همچنین در درایو فلاپی . این فایل شبیه پوشه است .
علائم آلودگی :
1) وجود فایل در درایو های هارد
2) کپی شدن خود کار این فایل در فلاپی درایو
3) اگر فایلهای مخفی را ظاهر کنید . دو باره بعد از مدتی مخفی می شوند .
4) هنگام رفتتن به هر پوشه فایلی اجرای به شکل پوشه و با همان نام در آنجا ساخته می شود (البته مخفی ) .
5) در ویندوز های 98 تا 2000 ویندوز بعد از مدتی کند می شود .
6) بعضی مواقع کپی و پست کار نمی کند . یعنی شما فایل را کپی می کنید . اما بعد از رفتن به مقصد گزینه پست غیر فعال شده است انگار کپی انجام نگرفته !
نکته 1 :ویروس به زبان VB نوشته شده توسط مایکروسافت ویژوال استودیو .
نکته 2 : احتمالا نام دیگر ویروس Xgtray
نکته 3 : اگر هنگامی که فایل اصلی کرم در یکی از پوشه های Windows ، Temp ، System ، Web ، Help باشد و شما وارد پوشه ای شوید که کرم در آن است آن وقت کرم جای حود را عوض می کند و به پوشه ی دیگری می رود !
طریقه پاک کردن ویروس :
تمامی آنتی ویروس ها دیگر این ویروس را می شناسند .
اما پاک کردن دستی به این صورت است .
1) ابتدا فایل اجرایی ویروس را از کار می اندازید . ( فایلی که در حافظه است ) با Taskmanenger
2) با سرچ ویندوز دنبال فایلهای اجرایی با حجم 48 کیلو بایت می گردید . بعد آنهایی را که شکل پوشه هستند را پاک می کنید .
3) دو باره باسرچ ویندوز دنبال فایلهایی با پسوند htt و با نام های comment و Runcomment میگردید . همه را پاک کنید .
اما بهترین کار استفاده از یک آنتی ویروس است . بهتر است از مکافی ورژن 8 به بالا استفاده کنید
این ویرس ممکن است کارهای دیگری هم انجام دهد
آموزش پاک سازي ويروس Rundll.exe
اين ويروس (که البته در دسته backdoor ها قرار مي گيرد) باعث مي شود که در هنگام باز کردن يک درايو يا اجراي يک نرم افزار يا مشاهده سايت ها در IE با ارور Can't Find rundll.exe file يا Aplication not found مواجه شويد.
Rundll.exe از پروسه ها و فايل هاي اصلي سيستم بوده که براي اجراي صحيح برنامههاي اصلي سيستم لازم است و نبايد قطع شود.اما نسخه ويروس از اين فايل ( Rundll.exe يا Rundll32.exe ) ساخته شده است که به عنوان backdoor شناخته مي شود که به خاطر اهداف خاص حمله کننده بر روي سيستم شما نصب مي شود.
روش پاک سازي با نرم افزار
ابتدا با يک آنتي ويروس قوي و آپديت شده سيستمتان را اسکن کنيد ترجيحا از آنتي ويروس True Sword که قبلا معرفي کرده بودم استفاده کنيد.
سپس با استفاده از ابزار Rundll.exe Fix Wizard ارورها و مشکلات ايجدا شده را رفع کنيد.
http://www.rundll-exe.com/download/s...sFixWizard.exe
روش پاک سازي دستي:
1.سيستمتان را براي فايل Rundll.exe جستجو کرده و فايل ها را که احتمالا 10 تا 25 تا هستند پاک کنيد.
2.تمام پروسه هاي با نام Rundll.exe و Rundll32.exe را متوفق کنيد.
3.تمام کليدهاي رجيستري مرتبط با rundll.exe را پيدا و پاک کنيد.
4.از طريق repair يا ساير ترفندها ، فايل rundll.exe اصلي را به سيستم برگردانيد.
5.در پايان سيستم را restart کنيد.
توجه:
پاک سازي اين ويروس به
روش دستي چندان توصيه نمي شود!
رفع The specified module could not be found
این ارور که شما هر بار وقتی ویندوز بالا می آید مشاهده می کنید ناشی از مشکلی در فایل های
svchost.exe, regsvr.exe, spoolsv32.exe, taskmgr.exe, sys.exe, rundll.exe, explorasi.exe, csrss.exe,
winupdate.exe که از فایل ها و پروسه های مورد نیاز سیستم بوده می باشد که ممکن است توسط
ویروس آلوده شده باشند یا آنتی ویروس شما آن ها را پاک کرده باشد.
روش پاک سازی با نرم افزار
ابتدا با يک آنتي ويروس قوي و آپديت شده سيستمتان را اسکن کنيد ترجيحا از آنتي ويروس True Sword
که قبلا معرفي کرده بودم استفاده کنيد.
سپس با استفاده از ابزار WindowsCannotFindFixWizard ارورها و مشکلات ايجدا شده را رفع کنيد.
http://www.windows-cannot-find.com/d...dFixWizard.exe
روش پاک سازی دستی:
1.ابتدا سیستم را در safe mode راه اندازی کرده و قابلیت نمایش فایل ها و فولدرهای مخفی را فعال کنید.
2.پروسه های زیر را قطع کنید
svchost.exe
regsvr.exe
spoolsv32.exe
taskmgr.exe
sys.exe
rundll.exe
explorasi.exe
csrss.exe
winupdate.exe
3.فایل های بالا را جستجو و پاک کنید (البته اگر در فولدر system32 نیستند.)
4.با استفاده از نرم افزار HijackThis مسیر رجیستری که مربوط به این فایل ها هستند را یافته و پاک کنید.
5.از طريق repair يا ساير ترفندها ، فايل های اصلي را به سيستم برگردانيد.
6.سیستم را restart کنید.
توجه:
پاک سازي اين ويروس به
روش دستي چندان توصيه نمي شود!