روش تشخیص سیستم های آلوده به ویروس و پاک کردن آن ها

حالا از کجاها بفهميم که کاميپوتر ما ويروس گرفته است

موقعي که شما وارد My Computer مي شويد و روي درايو هاي آن راست کليک مي کنيد و در اين هنگام يک گزينه با يک زبان نامفهوم را مي بينيد.يا اينکه وقتي روي درايو هايتان دو بار کليک مي کنيد محتواي درايو هاي شما در يک صفحه جديد باز مي شود .يا موقع دابل کليک کردن روي درايو هايتان پنجره Open With باز مي شود و به شما مي گويد Choose the program you want to use to open this file يا هنگام کليک بر روي درايو هايتان error  به شما داده مي شود .

گاهي اوقات هم زمانيکه روي درايوهايتان راست کليک ميکنيد گزينه ي Auto Run ديده ميشود.

اين موارد نشان ميدهد که يعني سيستم شما ويروسي شده است. اين ويروس، ويروس autorun.inf میباشد

همچنين اين ويروس باعث از بين رفتن و پاک شدن Folder Options خواهد شد.

و اگر شما گزينه هاي Show hidden files and folders و Hide protected operating system files (Recommended) را مارک دار کنيد با ok کردن پنجره اين گزينه کار نخواهند کرد . و دوباره به حالت اوليه باز خواهند گشت.همچنين اين ويروس باعث غير فعال شدن Task Manageو Registry Editor خواهد شد .

اگر شما روي گزينه command prompt يا cmd نيز کليک کنيد يا باز نخواهد شد و پيغام زير را خواهد داد يا اينکه به سرعت باز و بسته خواهد شد .

the command prompt has been disabled by your administrator

راههاي ورود اين ويروس از طريق قطعاتي خواهد بود که از طريق USB با سيستم شما ارتباط دارند . قطعاتي مانند فلش مموري ها ( کولديسک ) ، موبايل ها ، رم ريدر ها و ...

نحوه از ببن بردن ويروس autorun.inf

روش اول :

ابتدا وارد My Computer شويد.بعد از مشاهده ليست درايوها از نوار بالا بروي گزينه Tools کليک کرده سپس گزينه Folder Options را انتخاب کنيددر پنجره جديد باز شده گزينه View را انتخاب کنيد و بروي گزينه Show hidden files and folders کليک کنيد تا دايره آن توپر شود .کمي پايينتر تيک گزينه Hide Protected Operating System Files را بر داريد.حالا ok کنيدسپس با راست کليک کردن و زدن open وارد درايو هايتان شويد

سپس دنبال يک فايل به نام autorun.inf بگريد و ان را پاک کنيد براي همه درايو ها اين کار را انجام بديد .

بعد از اين کار بلافاصله بدون هيچ معطلي سيستم خودتون را ريستارت کنيد . يادتون نره حتما حتما بدون انجام هيچ کاري سيستم را ريستارت کنيد .

روش دوم :

ابتدا با زدن کليد F8 سيستم را در حالت safe mode راه اندازي کنيد و سپس از منوي استارت گزينه run را بزنيد و سپس داخل ان cmd را تايپ کنيد و ok بزنيد .عبارات زير را يکي يکي نوشته و enter بزنيد . اين کار را براي تمامي درايو ها انجام دهيد .

del x:/autorun.inf a:h

del x:/autorun.inf a:r

del x:/autorun.inf a:s

به جاي x بايد نام درايوها را بنويسيد . 

روش سوم :

copy.exe تروجاني است که گاهي اوقات در تمامي درايو هاي شما قرار ميگيره و با هر بار کليک بر روي درايو ها فايل autorun.inf فايل اين فايل را اجرا مي کند.يکي از روشهاي پاک کردن اين ويروس اين است که ابتدا شما بايد پروسه هاي temp1.exe و temp2.exe رو از بين ببريد . براي اين کار ابتدا بايد سيستم را به صورت safe mode راه اندازي کنيد .

شما نبايد روي درايو ها يتان دابل کليک کنيد چون با اين کار ويروس autorun.inf که در درايو هايتان قرار دارد باعث فعال شدن پروسه هاي temp1.exe و temp2.exe مي شود.

بعد از راه اندازي سيستم به صورت safe mode شما بايد با راست کليک کردن و زدن گزينه open وارد درايو c ويندوز شده و به پوشه windows و بعد هم پوشه system32 رفته و دو فايل temp1.exe و temp2.exe را حذف کنيد.

البته در بعضي از نسخه هاي ويروس copy.exe ويروس autorun.inf حتي درون پوشه %win% هم وجود داره بنابراين حتما حتما براي ورود به درايوها پوشه ها را با راست کليک باز کنيد.

نکته: قبل از اينکار بايد ابتدا اين پروسه ها را از Task Manager پاک کنيد. براي اين کار با زدن کليد هاي ترکيبي ctrl + alt + delete وارد Task Manager بشيد و پروسه هاي temp1.exe و temp2.exe را از ليست processes با کليک بر روي انها و زدن end process حذف کنيد.

ويروس autorun.inf با هر بار فعال شدن موجب ميشود که دو فايل xcopy.exe و host.exe درون همان درايو فعال بشوند و دوباره دو فايل temp1.exe و temp2.exe را بسازند.

شما نبايد فايل هاي xcopy.exe را با فايل هاي خود windows که درون پوشه ي system32 هستند اشتباه بگيريد.

براي تشخيص ويروس xcopy.exe و فايل xcopy.exe که در پوشه system32 است بايد از حجم انها اين دو را شناسايي کرد اگر فايل xcopy.exe حجمي معادل 32 کيلو بايت داشت مربوط به خود ويندوز مي باشد در غير اين صورت ويروس خواهد بود.حالا فايلهاي سيستمي را مانند روش اول از حالت هايدن خارج کنيد و ويروس autorun.inf را پاک کنيد و بعد هم به درايوهاي خودتون نگاه کنيد اگر فايلهايي با عنوان xcopy.exe وhost.exe بودند با خيال راحت پاک کنيد.

نحوه پاک کردن ويروس Copy.exe

اسامي ديگر اين ويروس host.exe, xcopy.exe, temp1.exe, temp2.exe and svchost.exe,Salga-A worm

اين ويروس يکي از خطرناک ترين ويروس ها هست که به عنوان يک پروسه در سيستم شروع به فعاليت و انتشار خودش مي کنه و با توجه به اينکه بعضي از انتي ويروسها به صورت نامناسب اين ويروس را پاک مي کنند باعث نمايش يک پيغام در زمان دابل کليک کردن روي درايو و يا فولدر در محيط ويندوز مي شوند.

براي پاک کردن دستي اين کرم شما بايد ابتدا همه پروسه هايي که با نام هاي host.exe, xcopy.exe, temp1.exe, temp2.exe and svchost.exe,Salga-A worm هستند را پيدا کنيد و آنها را پاک کنيد .

تذکر: مواظب باشيد اين فايلها را با فايلهاي اساسي سيستم عامل اشتباه نگيريد .

مهم :يکي از دلايل اصلي به وجود امدن اين مشکل ويروس Autorun.inf هست که شما بايد طبق روش هايي که در اموزش گفته ام ان را پاک کنيد . اين کار را حتما انجام دهيد . يعني حتما بايد ابتدا ويروس Autorun.inf را طبق اموزش بايد از بين ببريد.سپس به اين آدرس در رجيستري رفته و اگر کليدي به اسم Copy.exe در زير منوي MountPoints2 وجود داشت آن را پاک کنيد.

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerMountPoints2

 

با اين برنامه به طور کامل مي توانيد اين ويروس را از بين ببريد .

http://www.securitystronghold.com/download/solutions/TrueSword4.exe

راههاي دستي براي از بين بردن ويروسي که Show Hidden Files را غير فعال مي کند .

وقتي صفحه ي رجيستري باز شد ، از سمت چپ وارد اين مسير بشيد :

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurre ntVersionExplorerAdvanced

در اين قسمت ، در ليست متغير هايي که سمت راست وجود دارند ، متغير آبي رنگي (DWORD Value) رو به نام Hidden پيدا کنيد و روي ان دابل کليک کنيد . اگر مقدارش (Value data) به 0 تغيير کرده ، ان را به 1 يا 2 تغيير دهيد و OK کنيد. حالا رجيستري را ببنديد و ريستارت کنيد.مسير زير را دنبال کنيد:

WindowsCurrentVersionExplorerAdvancedFolderHidden<=

اکنون در سمت راست پنجره ي Regedit روي Type دو بار کليک کرده و مقدار آن رو برابر با group قرار دهيد

با اين کار تونستيد Show Hidden Files از دست رفته را که ديده نمي شد برگردونيد .

مسير زير رو دنبال کنيد :

HK LocalMachineSoftwareMicrosoftWindowsCurrentVer sionExplorerAdvancedFolderHiddenSHOWALL

در سمت راست پنجره ي Regedit مقدار CheckedValue رو برابر با 1 قرار بديد.

راههاي دستي براي برگرداندن قسمتهاي حذف شده از سيستم شما

فعال ساختن ( Registry ( Regedit :

روش اول:

ابتدا وارد منوي start شده و روي گزينه run کليک کنيد و کلمه gpedit.msc را تايپ کنيد .

در صفحه Group Policy به مسير پايين برويد:

User Configuration> Administrative Templates> System

بعد از کليک نمودن بروي System در سمت راست پنجره Group Policy بالاي

Prevent access to registry editing tools دابل کليک نموده و در تب Setting گزينه Disable را علامت دار نموده و بالاي کليد OK کليک نماييد اما پنجره Group Policy را نبنديد!

روش دوم :

مسير زير را داخل note pad کپي کرده و سپس با نام Regedit.reg ذخيره کنيد و بعد ان را اجرا کنيد .

Windows Registry Editor Version 5.00

REG add HKCUSoftwareMicrosoftWindowsCurrentVersionPol iciesSystem /v DisableRegistryTools /t REG_DWORD /d 0 /f

برگرداندن Run :

در صفحه Group Policy به مسير پايين برويد:

User Configuration> Administrative Templates> Start Menu and Taskbar

بعد از کليک نمودن بروي Start Menu and Taskbar، در سمت راست پنجره Group Policy بروي گزينه Remove Run menu from Start Menu دابل کليک نموده و در تب Setting گزينه Disable را علامت دار نماييد.

برگرداندن Folder Option :

براي برگرداندن Folder Option به مسير زير در پنجره Group Policy برويد:

User Configuration> Administrative Templates> Windows Components> Windows Explorer

بعد از کليک نمودن بروي Windows Explorer، در سمت راست پنجره Group Policy بروي Removes the Folder Options menu item from the Tools menu دابل کليک نموده و از تب Setting گزينه Disable را علامت دار نماييد و بروي کليد OK کليک نماييد .

فعال کردن task manager

در group policy: User Configuration > Administrative Templates > System

حالا در زير شاخه System بروي Ctr + Alt + Del کليک کن و سپس در سمت راست صفحه Group Policy بروي Remove Task Manager دابل کليک نموده و در تب Setting کزينه Disable را علامت دار کن. بعد از آن بروي کليد OK کليک نموده و پنجره Group Policy را ببند.

روش دوم :

مسير زير را داخل note pad کپي کرده و سپس با نام task manager.reg ذخيره کنيد و بعد ان را اجرا کنيد .

Windows Registry Editor Version 5.00

REG add HKCUSoftwareMicrosoftWindowsCurrentVersionPol iciesSystem /v DisableTaskMgr /t REG_DWORD /d 0 /f

استفاده از برنامه اي که در زير براي شما معرفي کرده ام.اين برنامه قادر به انجام کارهاي زير مي باشد .

از بين بردن ويروس هاي ravmon.exe و mdm.exe و SCVHOST.exe و SVCHOST.ini

فعال کردن قسمتهاي زير

NoFolderOptions, NoControlPanel, DisableTaskMgr, DisableRegistryTools, DisableCMD

و به حالت پيش فرض برگرداندن قسمتهاي زير

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows

CurrentVersionExplorerAdvancedFolderHiddenNOH IDDEN]

“CheckedValue”=dword:00000002

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows

CurrentVersionExplorerAdvancedFolderHiddenNOH IDDEN]

“DefaultValue”=dword:00000002

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsC

urrentVersionExplorerAdvancedFolderHiddenSHOW ALL]

“CheckedValue”=dword:00000001

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows

CurrentVersionExplorerAdvancedFolderHiddenSHO WALL]

“DefaultValue”=dword:00000002

http://javedkhalil.com/techBlog/wp-content/uploads/2007/11/ravmon-removal.rar

بعد از اجرا کردن برنامه سيستم خود را ريستارت کنيد .

پاک کردن برنامه ي مخربي که پوشه ها را مخفي ( Super Hidden ) مي کند.

نام دقيق اين برنامه ي مخرب Trojan.Win32.Delf.aam است.با زبان برنامه نويسي Borland Delphi نوشته شده.

اين برنامه ي مخرب تمام پوشه هاي Open شده توسط قرباني را Super Hidden مي کند و يک نسخه از خودش را با همان نام در همان مـسـيـر کـپـي مي کـنـد کـه اگـر طرف  آن را اجرا کـنـد هم Malware اجرا مي شـود و هم محـتـوي پوشـه ي Super Hidden نمايـش داده مي شود !!

هــمــانــطـــور کـه مي دانـيــد براي آشـکار کـردن فايـل ها و پوشـه هاي Super Hidden بايد ابتدا در Folder OptionsView روي گزينه ي Show hidden files and folders کليک کنيد و پس از آن تيک گزينه ي (Hide protected operating system files (Recommended را برداريد و به پيغام امنيتي پاسخ مثبت و شستي OK را فشار دهيد .اين Malware به کاربر اجازه ي آشکار کردن پوشه ها و فايل هاي Super Hidden را نمي دهد !

ضمنا Registry Tools ، Windows Task Manager و Folder Options را Disable نمي کند .

پر واضح است که اين برنامه ي مخرب از آشکار کردن پسوند فايل ها هم جلوگيري مي کنه !براي پاک کردن اين ويروس مي توانيد از برنامه اي که نوشتم استفاده کنيد.

http://feng1.persiangig.com/Programs/Anti%20T.Delf.aam.7z

نحوه پاک کردن ويروس W32/Saldost

اين بد افزار اينترنتي پس از اجراي فايل آن بر روي سيستم كاربر، ابتدا خودش را بر روي سيستم كپي مي‌كند و سپس با تغيير دادن كليدهايي در رجيستري باعث بروز مشكلاتي از جمله باز نشدن ?  Folder Option?و مخفي نگه داشتن فايل‌هاي مخفي مي‌شوداز جمله كارهاي ديگر اين ويروس اين است كه خودش را در ريشه همه درايوها با نام ? autoply.exe?كپي كرده و در كنار آن فايلي با نام ? Autorun.inf?ايجاد مي‌كند.اين عمل باعث مي‌شود كه هر گاه كاربر بخواهد به هر شكلي وارد هر درايوي شود، فايل مربوط به كرم اجرا گردد.نوع  ? Autorun?ايجاد شده به گونه‌اي است كه اگر فايل ? autoply.exe?كه خود كرم است از روي سيستم پاك شده ولي فايل ? Autorun.inf?باقي بماند، با دوبار كليك كردن بر روي نام درايو پنجره ? Open with?نمايش داده مي‌شود و كاربر نمي‌تواند وارد درايو شود. در اين حالت با كليك راست نمودن بر روي نام درايو و انتخاب گزينه open? نيز نمي‌توان وارد درايو شد.

اين کرم اينترنتي ايراني بوده که توسط ضدويروس ايمن شناسايي و پاکسازي مي شود و پس از اجراي فايل آن بر روي سيستم کاربر، ابتدا خودش را به صورت زير بر روي سيستم کپي مي نمايد:

%TEMP%svchost.exe

%PROGRAMFILES%Sound UtilitySoundmax.exe

%PROGRAMFILES%Common FilesMicrosoft SharedMSshare.exe

%WINDIR%WebOfficeUpdate.exe

سپس فايل خود با نام svchost.exe در مسير %TEMP% را اجرا کرده و براي اين که با هر بار راه اندازي سيستم آلوده به طور خود کار اجرا گردد، خود را به شکل زير در رجيستري ثبت مي نمايد:

HKLMSOFTWAREMicrosoftWindowsCurrentVe rsionRun

SoundMax = %PROGRAMFILES%Sound UtilitySoundmax.exe

سپس کليدهاي در رجيستري را به شکل زير تغيير مي دهد:

HKCUSoftwareMicrosoftWindowsCurr entVersionExplorerAdvanced

Hidden = 2             HideFileExt = 2ShowSuperHidd n          = 2

HKCUSoftwareMicrosoftWindowsCurrentVersionPol iciesExplorer

Nof olderoptions = 2

HKLMSoftwareMicrosoftWindowsCurrentVersionPol iciesE xplorer

Nofolderoptions = 1

HKLMSOFTWAREPoliciesMicrosoftWindows NT SystemRestore

DisableConfig = 1           DisableSR = 1

تغييرات فوق باعث بروز مشکلاتي از جمله باز نشدن FolderOption و مخفي نگه داشتن فايلهاي مخفي مي گردد که براي برطرف کردن اين مشکلات مي توانيد برنامه زير را از سايت ايمن دانلود کرده و ر جيستري خود را پاکسازي نماييد:

http://www.imenantivirus.com/RegRepair.zip

همچنين کليد IsShortCut را از مسيرهاي زير در رجيستري پاک مي کند:

HKEY_CLASSES_ROOTlnkfile

HKEY_CLASSES_ROOTpiffile

HKEY_CLASSES_ROOTInternetShortcut

و کليدي با نام Wintek در مسير زير ايجاد مي کند:

HKEY_CURRENT_USERSoftware

و کليد زير را در آن ايجاد مي نمايد:

Install = b?ed? (Dword - Value i s in hex)

 

بعد از انجام کارهاي فوق تمام برنامه هاي موجود در زمانبند ويندوز (دستور at) را پا ک کرده و با استفاده از زمانبند ويندوز فايل خود را که با نام OfficeUpdate.exe در مسير WINDIR%Web% وجود دارد هر روز در ساعات 11.30 و 20.30 اجرا مي نمايد.

يکي ديگر از کارهاي اين کرم اين است که خود را در مسيرهاي زير با نام هاي فريبنده کپي مي کند و از آنجايي که برخي از اين مسيرها مخصوص برنامه ها ي شبکه هاي اشتراک گذاري فايل (يا P2P) هستند، با اين کار امکان انتشار آن در سراسر دنيا از طريق اينگونه برنامه ها فراهم مي گردد:

%PROGRAMFILES%Kazaa Lite My Shared Folder

%PROGRAMFILES%KazaaMy Shared Folder

%PROGRAMFILES%I cqShared Files

%PROGRAMFILES%emuleincoming

%PROGRAMFILES%GnucleusDo wnloadsIncoming

%PROGRAMFILES%KMDMy Shared Folder

%PROGRAMFILES%Lime wireShared

%PROGRAMFILES%XPCode

C:Inetpubftproot

به علاوه در مسيرهايي که در آنها فايل هاي از نوع MP3 ، JPG يا EXE وجود داشته باشد، خود را با نام zfile.exe کپي مي کند. همچنين خود را با نام setup.exe و setlib.exe در مسيرهاي زير کپي مي کند:

WINDOWSsystem??configsystemprofileMy Documents

 

WINDOWSsystem??configsystemprofileStart MenuPrograms

WINDOWSsystem??configsystemprofileStart MenuProgramsAccessories

WINDOWSsystem?? configsystemprofileStart MenuProgramsAccessoriesEntertainment

WINDOWSsystem??configsystemprofileStart MenuProgramsStartup…

WINDOWSsystem??drivers

WINDOWSsystem??spooldrivers

WINDOWSsystem??spooldriversw??×???

اين كرم براي اينكه بتواند خود را درون شبكه تكثير كند، كامپيوترهاي موجود در آن را جستجو كرده و با استفاده از درايوهاي به اشتراك گذاشته شده، سعي مي‌كند خودش را به شكل زير بر روي آن سيستم‌ها كپي كند:

C$Documents and SettingsAll UsersStart MenuProgramsStartupAdobeUpdate.exe

اين كار باعث مي‌شود كه پس از راه‌اندازي آن سيستم‌ها، ويروس به طور خودكار اجرا شده و عمليات تكثيري خود را بر روي آنها انجام دهد.

از جمله كارهاي جالب اين ويروس اين است كه خودش را در ريشه همه درايوها با نام autoply.exe كپي كرده و در كنار آن فايلي با نام Autorun.inf ايجاد مي‌كند.

اين عمل باعث مي‌شود كه هر گاه كاربر بخواهد به هر شکلي وارد هر درايوي شود، فايل مربوط به كرم اجرا گردد.

نوع Autorun ايجاد شده به گونه‌ايست كه اگر فايل autoply.exe كه خود كرم است از روي سيستم پاك شده ولي فايل Autorun.inf باقي بماند، با دوبار كليك كردن بر روي نام درايو پنجره Open with نمايش داده مي‌شود و كاربر نمي‌تواند وارد درايو شود. در اين حالت با كليك راست نمودن بر روي نام درايو و انتخاب گزينه Open نيز نمي‌توان وارد درايو شد. براي برطرف نمودن اين مشكل بايستي فايل زير را از روي سايت ايمن دانلود نموده و آن را بر روي سيستم خود اجرا نماييد:

http://www.imenantivirus.com/NoAutorun.zip

اين كرم فايلي با نام Important.htm را در مسيرهاي زير بر روي سيستم كاربر کپي مي‌نمايد كه حاوي جملاتي به زبان فارسي است:

%USERPROFILE%Desktop

%USERPROFILE%My Documents

يکي از نشانه‌هاي ويروس به نمايش درآوردن نواري زرد رنگ در بالاي صفحه همراه با جملاتي فارسي با رنگ قرمز است

معرفي برنامه SmitFraudFix

SmitFraudFix ابزاري است براي از بين بردن ويروسهاي مانند adware و malware و تروجان و پاکسازي رجيستري

ابتدا برنامه را از لينک زير دانلود کنيد . و ان را روي دسکتاپ قرار بديد .

http://siri.urz.free.fr/Fix/SmitfraudFix.exe.

از صفحه باز شده گزينه safe mode را انتخاب کنيد . و سپس وارد يوزر خودتان شويد .

برنامه Smitfraudfix.exe را اجرا کنيد . منتظر بمانيد تا صفحه اي آبي ظاهر شود.

سپس يکي از کليد هاي روي صفحه کليد را فشار دهيد.

عدد 2 را انتخاب کنيد يعني Clean (SafeMode Recommended)0 و سپس کليد اينتر را بزنيد

با اين کار اسکن کردن و clean کردن سيستم اغاز مي شود .

بعد از انجام اين مراحل ابزار Disk Cleanup tool اجرا مي شود و فايلهاي بي مصرف را از روي سيستم پاک مي کند .

بعد از Disc Cleanup پنجره زير نشان داده مي شود .

Do you want to clean the registry ؟

ايا شما مي خواهيد پاکسازي کنيد رجيستري را : کليد Y را فشار دهيد تا رجيستري بازسازي شود .

Replace infected file ؟

ايا جايگزين کند فايلهاي الوده را که شما کيد Y را فشار مي دهيد .

در اين هنگام سيستم احتياج به يکبار راه اندازي دارد . که سيستم به طور اتوماتيک راه اندازي مي شود .

اگر اين اتفاق نيفتاد شما خودتان به صورت دستي اين کار را انجام دهيد .

در اين هنگام فايلي به نام rapport.txt در درايو c ايجاد مي شود که گزارشاتي از کارهاي انجام گرفته را به شما مي دهد .

همچنين اين ابزار فايل هاي wininet.dll را نيز چک ميکند مبادا الوده باشند .

نحوه از بين بردن تروجان Win32/Agent.AEC يا ويروس Soundmix.exe

همون طور که مي دونيد اخيرا ويروسي به نام Soundmix.exe انتشار يافته و باعث الوده شدن بسياري از سيستم هاي خانگي و اداره ها شده است . قصد دارم در اين قسمت نحوه پاک کردن اين تروجان را اموزش دهم .

شايع ترين راه انتقال اين ويروس حافظه هاي فلش مي باشد. هرچند که باز کردن برخي سايت هاي آلوده نيز مي تواند اين ويروس را در سيستم مستقر سازد

اين ويروس با دستکاري رجيستري ، هر بار که ويندوز راه اندازي مي شود خود را اجرا مي کند. با اجراي هر فايل اجرايي در ويندوز نيز اين فايل اجرا خواهد شد و پس از اجرا Processes آن را به هيچ عنوان نمي توان خاتمه داد.

اين ويروس اجازه ديدن فايل هاي پنهان را به کاربر نمي دهد و فايل هايي که مخفي شوند ديگر قادر به مشاهده نخواهند بود. دسترسي به برخي سايت ها ممکن نمي باشد و اين ويروس با اجراي خود منجر به ايجاد سربار روي سيستم ، کندي دستگاه ، بسته شدن ناخواسته برخي برنامه ها و احيانا بوت شدن خود بخود کامپيوتر مي گردد.

همچنين با آلوده کردن حافظه هاي فلشي که به دستگاه متصل مي گردند ، سعي به انتشار خود مي کند.

راههاي شناخت اين تروجان

براي اين که متوجه شويد که ايا سيستم شما الوده به اين تروجان است يا نه از طريق فشرن همزمان سه کليد

Alt + Ctrl + Delete وارد Task Manager شويد و سپس به تب Processes رفته و در صورتي که فايل اجرايي Soundmix.exe در حال اجرا باشد سيستم شما به اين تروجان آلوده شده است.

راه ديگر شناسايي اين تروجان عدم نمايش پسوند فايلهاست

از طريق منوي Folder Option و فعال کردن گزينه Show Hidden files and folder و تاييد آن در صورتي که پسوند فايلها نمايش داده نشوند سيستم شما به اين تروجان الوده شده است.

اين تروجان در درايو ويندوز و در مسير زير قرار ميگيرد .

C:WINDOWSsystem32soundmix.exe

فايل کتابخانه اي ان نيز در مسير زير قرار ميگيرد

C:WINDOWSsystem32dllcachezipexr.dll

اين تروجان علاوه بر کاهش سرعت سيستم باعث عدم نمايش پسوند فايلها و جلوگيري از دسترسي شما به رجستري ويندوزتان مي شود و باعث دزديده شدن اطلاعات سيستم شما خواهد شد.

اين ويروس خودش را در system32 با نام soundmix.exe و به صورت يک فايل سيستمي قرار مي دهد .

يك كپي در dllcache با نام zipexr.dll نگه مي دارد و اگر شما اين فايل را پاك كنيد بعد از اين كه سيستم بالا مي ايد هيچ فايل exe رو اجرا نمي كند .

سه قسمت را در رجيستري دستکاري مي کند

SoftwareMicrosoftWindowsCurrentVersionRun

exefileshellopencommand

SOFTWAREMicrosoftWindowsCurrentVersionExplorer AdvancedFolderHiddenSHOWALL

بعد از اتصال حافظه فلش خود به سيستم روي آيکون حافظه که ايجاد شده است کليک راست کنيد. در حالت عادي گزينه هاي زير بايستي نمايان گردد :

Open و Explore و Search و Autoplay

در غير اين صورت اگر نوشته هايي عجيب و غريب مشاهده گردد بيان گر وجود ويروس مي باشد

راه پاکسازي Soundmix.exe يا تروجان Win32/Agent.AEC

در حال حاضر انتي ويروسهايي که توانايي شناسايي اين ويروس را داردند آنتي ويروس NOD32 و کسپر اسکاي و بيديفندر مي باشند شايان ذکر است اين انتي ويروس ها نيز فقط در صورتي که به روز باشد توانايي پاکسازي Soundmix.exe را خواهد داشت .

در ضمن مي توانيد از برنامه اي که براي پاک کردن اين ويروس درست شده است استفاده کنيد .

http://mahdi7610.parsaspace.com/ANTI%20SOUNDMIX.rar

حل مشکل open with

اگر بر روي هر درايو کليک مي کنيد پنجره open with باز مي شود به دليل پاک شدن فايلي مي باشد که مسئول باز کردن درايو مي باشد .

شما مي توانيد از برنامه زير براي حل اين مشکل استفاده کنيد . البته قبل از ان بايد ويروس autoran را از درايو هاي خودتون پاک کرده باشيد . بعد از اجرا کردن برنامه بايد چند دقيقه منتظر باشيد تا برنامه کار خود را انجام دهد . بعد از اينکه کارش به اتمام رسيد به شما پيغام مي دهد . پس صبور باشيد .

http://www.techsupportforum.com/sectools/sUBs/Flash_Disinfector.exe

نحوه پاک کردن ويروس Virus Win32/Jeefo يا SVCHOST.EXE

بعلت وجود ويروسي مخرب به اسم Jeefo که با نام SVCHOST.EXE البته در شاخه ديگري غير از فايل اصلي ساکن مي شود و اقدام به خرابکاري تمام فايلهاي اجرايي exe مي کند .

اکثر انتي ويروس ها SVCHOST.EXE را به عنوان ويروس مي شناسند . در حالي که SVCHOST.EXE ويروس نيست بلکه ويروس فايل ديگري مي باشد که خود را به اين نام در اورده است.

اين ويروس باعث مي شود که برنامه ها درست اجرا نشوند . و طولاني بودن زمان الودگي سيستم باعث از کار افتادن سيستم عامل مي شود.

نحوه پاک کردن ويروس

ابتدا سعي کنيد System Restore را غير فعال کنيد .

براي اين کار ابتدا روي my computer راست کليک کنيد و سپس properties را بزنيد از پنجره باز شده به تب

System Restore رفته و تيک گزينه Turn off System Restore on all drives را بزنيد و بعد پنجره را ok کرده و به سوال پرسيده شده جواب مثبت دهيد .

حال ابتدا با زدن سه کليد ترکيبي ctrl + alt + delete وارد Task Manager شويد و به تب Processes رفته و از اوجا فايل SVCHOST.EXE در حال اجرا توي ويندوز را پاک مي کنيم .

البته در تب Processes شما حداقل 4 تا يا بيشتر SVCHOST.EXE در حال اجرا مي بينيد که بايد با برنامه هاي مديريت پروسه هاي Task Manager بتونيد اين فايل را تشخيص دهيد . زيرا اين برنامه ها مسير پروسه هاي اجرايي را در Task Manager نشان مي دهند . اين فايل بيشتر خود را با نام يوزر که در ان هستيد (Log On) اجرا مي کند .

حال به مسير C:WINDOWS رفته و فايل SVCHOST.EXE را پاک مي کنيم .

البته شما نبايد فايل اصلي SVCHOST.EXE را که در مسير C:WINDOWSSystem32 قرار دارد را پاک کنيد .

بعد از اين کار سيستم را ريستارت کنيد .

سپس سيستم را در حالت safe mode راه اندازي کرده و انتي ويروس jeefogui را اجرا کنيد .

ممکن است بعد از اين عمليات بعضي از فايلهاي exe شما از کار بيفتند که شما بايد دوباره برنامه انها را نصب کنيد .

انتي ويروس jeefogui

http://mahdi7610.parsaspace.com/jeefogui.rar

پاک کردن ويروسي که از طريق باهو مسنجر منتشر مي شود

عملکرد اين ويروس

1- در ابتدا ويروس صفحه شخصي اينترنت اکسپلورر (Default IE Page) را به يک سايت تغيير مي دهد. در اين صورت به هيچ طريق امکان عوض کردن آن وجود نخواهد داشت. بعد از هر باز باز کردن يک صفحه وب جديد، ويروس مجددآ خود را در سيستم شما کپي مي کند.

 

غير فعال کردن Task Manager و رجيستري

ايجاد فايلهايي با نام هاي svhost.exe , svhost32.exe , internat.exe

 

نحوه از بين بردن اين ويروس و مشکل

ابتدا با استفاده از روشهاي گفته شده در بالا Task Manager و رجيستري را فعال کنيد .

اتصال خود به اينترنت را قطع کنيد .

حال براي برگرداندن صفحه نخست مروگر خود به حالت قبل وارد رجيستري شويد .

ابتدا وارد منوي استارت شويد و روي گزينه run کليک کنيد و عبارت regedit را نوشته تا وارد رجيستري شويد .

 

ميسر هاي زير را با دقت پيدا نموده و در آنها وارد شويد حال اسم سايت مورد نظر را که در home page شما قرار گرفته است را پاک کرده و اسم سايت خودتان را بنويسيد مثلا [URL="http://www.forum.p30world.com/]

 

سپس به internet option رفته و اين کار را هم انجام دهيد se current- use default -use blank

 

HKEY_CURRENT_USERSOFTWAREMicrosoftInternet ExplorerMain

 

HKEY_ LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerMain

 

HKEY_USERSDefaultSoftwareMicrosoftInternet ExplorerMain

 

انتي ويروس Y.V.Remover

 

http://mahdi7610.parsaspace.com/Y.V.Remover.zip

 

رفع مشکل غير فعال شدن Home Page اينترنت اکسپلورر

 

1 . در کادر محاوره اي Run عبارت Regedit را تايپ کنيد و از روي کيبرد کليد Enter را فشار دهيد تا محيط ويرايش رجيستري ظاهر شود .

2 . به مسير زير برويد و 2 متغيير DWORD با نام هاي RunOnceComplete و RunOnceHasShown به ارزش 1 بسازيد .

 

HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerMain

 

3 . محيط ويرايش رجيستري را ببنديد و مجددا در کادر محاوره اي Run عبارت inetcpl.cpl را تايپ کنيد و شستي OK را فشار دهيد تا کادري با عنوان Internet Properties ظاهر شود .

 

4 . در قسمت Home Page آدرس مورد علاقه ي خود را تايپ کنيد و شستي OK را فشار دهيد تا تنظيمات دلخواه ذخيره شود .

 

5 . اکنون Internet Explorer 7 را اجرا کنيد و لذت ببريد .

 

کساني که اين مشکل را از راه اصولي حل کرده اند و اکنون دوست دارند روش فوق را تست کنند ، مراحل زير را دنبال نماييد ...

1 . در کادر محاوره اي Run عبارت inetcpl.cpl ,6 تايپ کنيد و شستي OK را فشار دهيد تا کادري با عنوان Internet Properties ظاهر شود .

 

2 . در زبانه ي Advanced دکمه ي Reset را فشار دهيد تا کادر ديگري با عنوان Reset Internet Explorer Settings خودنمايي کند .

 

3 . مجددا روي دکمه ي Reset کليک کنيد تا تمام تنظيمات IE به حالت پيش فرض بر گردد .

 

4 . اکنون روش دوم را جهت تغيير Home Page تست کنيد.

 

اموزش از MB_Danger

 

نحوه از بين بردن ويروس services.exe

 

متاسفانه اکثر ويروسهايي که جديدا به وجود مي ايند همنام پروسه هاي مربوط به سيستم عامل مي باشند به همين دليل تشخيص انها هم براي کاربران و هم براي انتي ويروس ها نسبتا مشکل شده است .

و از کار انداختن انها نيز قدري سخت شده است .

و همين عامل مي تواند يکي از نقاط ضعف سيستم عامل هاي ماکروسافت محسوب شود .

 

فعاليت هاي ويروس services.exe

 

اولين کاري که اين ويروس انجام مي دهد خودش را با نام فايلهايي که در يک فولدر است در مي اورد و فايلهاي فولدر را مخفي مي کند و يک فايل با نام همان فولدر مي سازد که داراي پسوند exe مي باشد .

و به فولدر هايي که مخفي مي کند علاوه بر خصلت hidden خصلت سيستمي هم مي دهد .

 

سپس به وسيله windows policy برنامه هاي regedit و cmd و msconfig و taskmanager رو از کار مي اندازد(گاهي اوقات هنگام استفاده از دستور cmd کامپيوتر را ريستارت هم ميکند) در بعضي مواقع از قسمت folder option گزينه view رو مخفي ميکند.

و اجازه دسترسي به بعضي از گزينه هاي مديريتي رو بطور کامل از بين ميبرد .

 

و حتي با تعويض ويندوز هم فايلها از حالت مخفي خارج نخواهند شد . به خاطر اين که با تعويض ويندوز هنوز اثرات اين ويروس در ديگر درايو ها وجود دارد و تنها با کليک کردن روي يکي از انها ويروس فعال شده و دوباره همه جا را الوده مي کند .

 

نحوه از بين بردن ويروس services.exe

 

براي از بين بردن اين ويروس ابتدا کدهاي زير را داخل note pad کپي کرده و با نام و پسوند rescue.bat در مسير در مسير c: ذخيره نماييد.

 

@echo off

:try

del c:windowsservices.exe

if exist c:windowsservices.exe goto try

 

حالا به منوي start رفته و روي گزينه run کليک کنيد و عبارتregedit را تايپ کرده و ok را بزنيد. تا وارد محيط رجيستري شويد .

حال به مسير زير برويد.

 

HKEY_LOCAL_MACHINEsystemcurrentcontrolsetservic eseventlog

روي فايل image path دوبار کليک کرده و در اين پنجره به جاي %systemroot%system32services.exe عبارت c: escue.bat را تايپ کنيد.

 

ويندوز را restart کنيد.

 

دوباره به منوي start رفته و برنامه run را اجرا کرده و regedit را تايپ کرده و ok را بزنيد.

حال به مسير زير برويد.

 

HKEY_LOCAL_MACHINEsystemcurrent control setserviceseventlog

روي فايل image path دوبار کليک کرده و در اين پنجره به جاي c: escue.bat عبارت %systemroot%system32services.exe را تايپ کنيد.

فايلهاي مسيرهاي زير را پاک کنيد .

 

HKEY_LOCAL_MACHINESOFTWAREMicrosoftserenta

و

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurr entVersionRun

و

"services.exe"="%windir%services.exe"

 

حال تغييرات زير را انجام دهيد.

 

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogonshell

shell را از مسير بالا باز کنيد.حال به جاي explorer.exe %windir%services.exe عبارت explorer.exe را تايپ کنيد يعني به عبارت ساده ته اون را پاک کنيد.

 

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogonuserinit

userinit را از مسير بالا باز کرده و به جاي عبارت C:WINDOWSsystem32userinit.exe,,%windir%service s.exe

عبارت ,,%windir%services.exe را حذف نماييد يعني مسير به صورت زير در مي آيد.

C:WINDOWSsystem32userinit.exe

به پوشه temp رفته و در صورت وجود فايل Service.exe ان را پاک کنيد .

 

حالا آنتي ويروس هاي kaspersky و nod32 را update نماييد و سيستم را به طور کامل در حالت safe mode ويروس يابي کنيد .

ضمناً بهتر است بعد از update و ويروس يابي ويندوز خود را عوض کنيد.

 

anti spyware براي از بين بردن ويروس services.exe

 

اين انتي spyware يکي از بهترين ها براي از بين بردن ويروس services.exe مي باشد .

 

http://www.spywareremove.com/download/Free-SpyHunter-Scanner6p2s2.exe

فقط توجه داشته باشيد که اين anti spyware ويروس services.exe را پيدا مي کند و براي از بين بردن انها حتما بايد اين برنامه کرک شده باشد .

اين برنامه کرک شده نيست . اگه کسي کرک اونا پيدا کرد لطف کنه بده بزارمش اينجا تا دوستان ديگه هم استفاده کنند .

 

مهم : نحوه برگردوندن فايلهايي که به صورت سيستمي مخفي شده اند.

 

همون طور که مي دونيد ويروس services.exe فايلهاي شما را به صورت سيستمي مخفي مي کند و شما قادر به ديدن اونها نيستيد . شما مي توانيد از روش زير به فايلهاي خودتون دسترسي داشته باشد .

کافي است نام درايو و مسير فايل خود را در مسير زير وارد کرده و سپس اين مسير را در run کپي کرده و سپس ok را بزنيد تا فايلهاي شما نمايان شوند.

 

attrib -r -a -s -h drive:file path

 

( به جاي drive نام درايو حاوي فايل مخفي را بنويسيد و به جاي file path مسير فايل را به طور کامل بنوييد .)

 

روشي براي تشخيص اين که فايلهاي درون فولدر حذف شده اند يا اينکه به حالت سيستمي در امده اند

 

گاهي اوقات وقتي به داخل يکي از فولدرهايي که تعداد زيادي فايل درون ان داريم رجوع مي کنيم با کمال تعجب متوجه مي شويم که فولدر ما خالي است و هيچ يک از فايلهايي که قبلا وجود داشتند ديگر وجود ندارند .

در اين قسمت روشي را به شما اموزش مي دهم که با اين روش مي توانيد متوجه شويد که ايا فايلهاي شما واقعا حذف شده اند يا اين که به حالت سيستمي مخفي شده اند .

براي اينکه بتونيد فايلها را ببينيد از منوي Start روي گزينه run کليک کرده و سپس عبارت cmd را تايپ کنيد و سپس ok را بزنيد

 

بعد از باز شدن محيط cmd در ان تايپ کنيد dir /A name_of_the_folder با اين کار تمامي فايلهايي که به حالت سيستمي در امده اند قابل روئت خواهند بود . و شما متوجه خواهيد شد که فايلها حذف نشده اند . و با استفاده از روش بالا مي توانيد انها را از حالت سيستمي خارج کنيد .

 

نکته : name_of_the_folder نام فولدري مي باشد که اطلاعات شما در ان مخفي شده است .

 

با اين برنامه هم مي تونيد تا حدودي فايلهاي Hidden شده خودتون را UnHidden کنيد .

 

http://tetra.persiangig.com/Prog/Delphi/UnHiden.rar

 

بازگرداني سريع فايلهاي مخفي شده

 

اين هم روشي براي کساني که مي خواهند به سرعت به فايلهاي مخفي خودشون دسترسي پيدا کنند .

براي اين کار کافي است دستورات زير را داخل Notepad کپي کنيد و بعد ان را با نام و پسوند mahdi.bat ذخيره کنيد و بعد ان را اجرا کنيد . چند لحظه منتظر بمانيد تا فايلهاي مخفي نمايان شوند .

تذکر : با اين روش فايلهاي سوپر هايدن نيز قابل روئيت خواهند بود .

 

 

attrib -s -h C:*.* /s /d

attrib -s -h d:*.* /s /d

attrib -s -h E:*.* /s /d

attrib -s -h f:*.* /s /d

attrib -s -h g:*.* /s /d

attrib -s -h h:*.* /s /d

 

ويروس Win32/PSW.Agent.NDP

 

اين ويروس باعث غيرفعال شدن گزينه show hidden files and folders در folder option مي شود و باعث عدم نمايش فايلهاي مخفي مي شود و اجازه نمي دهد کاربرها فايلهاي مخفي را از حالت مخفي بيرون بياورند .

 

اين ويروس با دستکاري رجيستري ويندوز باعث مي شد که شما نتونيد تنظيمات hidden file and folder را تغيير دهيد .

به محض تغيير دادن اين قسمت و خارج شدن از ان تنظيمات به حالت پيش فرض خود برميگردند .

البته اين ويروس خرابکاريهاي ديگري هم انجام مي دهد اول اينکه داخل تمام درايوهاي شما يه فايل autorun.inf مي سازد که درايوهاي هارد شما را autorun مي کند .

 

دوم اينکه دوباره داخل تمام درايوها يک فايل به نام ntde1ect مي سازد که شما به محض اينکه فلاپي وارد سيستم کنيد يا فلش يا mp3 pleyer را به کامپيوتر متصل کنيد يک کپي از خودش به صورت hidden وارد دستگاه شما يا فلاپي شما مي کند که شما متوجه ان نمي شويد .

 

البته فايل ntde1ect خيلي شبيه فايل ntdetect هست که داخل درايو C وجود دارد و براي بالا امدن ويندوز ضروري مي باشد .

مواظب باشيد اين دو فايل را اشتباه نگيريد .

سوم اينکه با اجراي فايل avpo.exe به شما اجازه نميدهد که فلش يا mp3 pleyer يا هر چيز ديگه رو از پورت USB ، safe remove  کنيد .

 

نحوه پاک کردن ويروس Win32/PSW.Agent.NDP

 

در حالت safe mode وارد ويندوز شويد . ( با زدن دکمه F8 قبل از بالا آمدن ويندوز حالت safe mode را انتخاب کنيد )

 

پنجره Task Manager را باز کنيد (Ctrl-Alt-Delete) و برنامه هاي زير را در صورت اجرا ببنديد .

wscript.exe : اگر در حال اجرا بود آن را ببنديد (End process)

avpo.exe : اگر در حال اجرا بود آن را ببنديد (End process)

 

از قسمت start برنامه Run را اجرا کنيد و در عبارت cmd را در آن تايپ کنيد و enter را بزنيد .

در اين قسمت در خط فرمان برنامه ، دستور زير زير را تايپ کنيد و enter را بزنيد .

 

del c:autorun.* /f /a /s /q

اين دستور را براي درايوهاي ديگر اجرا کنيد . با اين دستور تمام فايلهايautorun موجود delete مي شود .

 

در اين مرحله در خط فرمان c: دستور زير را تايپ کنيد تا وارد پوشه system32 شويد :

 

C:cd windowssystem32

C:windowssystem32

 

در ادامه دستور زير را تايپ کنيد و آنرا اجرا کنيد .

 

*.*dir /a avp

 

در اين قسمت هر فايلي به نامهاي avp0.dll و avpo.exe و avp0.exe ديده شد آنرا پاک کنيد .

attrib -r -s -h avpo.exe

del avpo.exe

 

بعد از اين مراحل تمام پنجره ها رو ببنديد و برنامه registry را اجرا کنيد :

 

(Run egedit)

مسير زير را دنبال کنيد :

HKEY_CURRENT_USER SOFTWARE Microsoft Windows CurrentVersion Run

در اين قسمت هر کليدي که به نام avpo.exe بود را delete کنيد .

 

در برنامه registry قسمت edit گزينه Findرا کليک کنيد و عبارت ntde1ect را جستجو کنيد. تمام کليدهاي پيدا شده را delete کنيد .

اين کار را براي فايل avpo.exe نيز انجام دهيد و تمام کليدهاي پيدا شده راdelete کنيد .

 

در آخر کار سراغ کليد زير برويد و مقدار CheckedValue را برابر 1 قرار دهيد .

 

HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion

Explorer/Advanced/Folder/Hidden/SHOWALL

 

ويروس kernel.exe

 

kernel ويروسي است که هر چند دقيقه يکبار با error ي که در زير تصوير ان را قرار داده ام ظاهر مي شود . اکثر کاربران به اين ويروس گرفتار شده اند .

 

در واقع اين يک ويروس نيست زيرا کار مخربي روي سيستم انجام نمي دهد . در واقع يک برنامه مي باشد که شباهتي به ويروس دارد و به همين دليل هيچ يک از انتي ويروس ها قادر به شناسايي و پاک کردن ان نيستند . حتي قوي ترين و به روز ترين انتي ويروس ها .

اين ويروس از طريق صفحات html که از اينترنت ذخيره مي کنيد به وجود مي ايد .

 

اين ويروس سه فايل با نام هاي kernal.vbs و kernal.exe و systems.exe دارد که هر سه فايل در پوشه C:WINDOWSsystem32 ذخيره مي شوند .

در واقع اين ويروس خود را جزء پروسه هاي سيستم عامل نيز مي داند و در task manager در تب processes با نام kernel.exe در حال فعاليت مي باشد .

 

اين ويروس همه ي فايل هاي HTML و Htm رو آلوده ميکند و به آخر فايل ها کدهاي مخرب Vbscript رو که چند تا فايل با نام ها kernel.exe و kernel.vbs است را ايجاد ميکند .

اين ويروس حتي با تعويض سيستم عامل هم از بين نخواهد رفت .

از اثرات اين فايل آلوده:

1- ارورهاي پشت سر هم

2- باعث پايين آمدن سرعت کامپيوتر

3- باعث پايين آمدن سرعت اينترنت

4- دادن اطلاعات مثل يوزر و پسورد اينترنتتان به شخص هکر

5- آلوده کردن فايلهاي HTML

نحوه پاک کردن ويروس kernel.exe

براي پاک کردن اين ويروس شما بايد ابتدا با زدن کليد هاي ترکيبي ctrl + alt + delete وارد task manager شويد و به تب processes رفته و فايلي با نام kernel.exe را پاک کنيد .

سپس به مسير زير رفته C:WINDOWSsystem32 رفته و دو فايل با نام kernel و بک فايل با نام Systems را پيدا کرده و پاک کنيد .

توجه داشته باشيد شما در صورتي مي توانيد اين فايلها را پاک کنيد که پروسه kernel.exe را از task manager پاک کرده باشيد . در غير اين صورت اجازه پاک شدن را به شما نخواهد داد.

سپس به منوي استارت رفته و عبارت msconfig را در run تايپ کنيد و در قسمت startup اگر فايلهاي بالا وجود دارند تيک انها را برداريد و سپس کامپيوتر را ريستارت کنيد دوباره چک کنيد که ويروس در حافظه بار نشده باشد .

بعد به internet temporary از طريق مسير زير رفته و تمام محتويات ان را خالي کنيد .

 

:Documents and SettingsLocal SettingsTemporary Internet Files

برنامه براي از بين بردن اين ويروس

http://rapidshare.com/files/84805882/Setup.exe.html

 

www.radsoftwareteam.com/Downloads/Files/rad-kk.exe

 

http://softestan.persiangig.com/ya30n/Setup.exe

نحوه پاک کردن ويروس BronTok.A :

در زير به برخي از ويژگي هاي اين ويروس اشاره مي کنيم :

1 . Folder Options را حذف مي کند !

2 . Registry Tools را قفل مي کند !

3 . Task Manager نمي تواند فايل هاي مربوط به اين ويروس را End کند !

4 . پس از اجرا شدن ، محتويات My Documents را نمايش مي دهد !

5 . اگر در کادر محاوره اي Run عبارت CMD ، Regedit ، msconfig ، Regedt32 را تايپ کنيد ، سيستم بلافاصله Restart مي شود !

6 . اگر روي گزينه ي Log Off يا Turn Off Computer کليک کنيد ، سيستم Restart مي شود !

7 . آيکون اين ويروس شبيه آيکون يه پوشه است !

همانطور که مي دانيد فايل هاي lsass.exe ، winlogon.exe و services.exe از فايل هاي سيستمي بوده و هميشه در حال اجرا هستند ...

اگر شما برنامه ي Process Master را اجرا کنيد ، مي بينيد که اين فايل ها در پوشه ي System32 قرار دارند .

اما اگر ويروس BronTok.A روي سيستم شما نصب باشد ، خواهيد ديد که سه تا فايل ديگر با همين نام ها در

حال اجرا هستند !!

يعني دو تا winlogon.exe ، دو تا lsass.exe و دو تا services.exe !

اما به راحتي ميشود فهميد که کدام ويروسند و کدام فايل اصلي ويندوز ...

آن سه تا فايلي که مربوط به ويروس ميشوند ، در پوشه اي غير از System32 قرار دارند .<

 

 به نقل از سایت http://www.netplus.blogfa.com توسط کامبیز حیدری

نظرات شما عزیزان: