نمايش فايلهاي مخفش شده در اثر حمله ويروس به سيستم
DESCRIPTION
همون توضيحشTRANSCRIPT
سالم دوستان عزیزم
ال شدن گزینهقسمت مراجعه می کنند مشکل همگی غير فع Show Hidden Files . می باشد اکثر کاربرانی که به این . بنابراین دست به کار شدم تا بتونم روشهای از بين بردن این ویروس را پيدا کنم تا شما راحتر بتونيد این ویروس را از روی سيستم خود پاک کنيد
ق اين راه هاقصد دارم راه ها و برنامه هایی را براتون قرار بدم که بتونيد از طري گزينه ي Show Hidden Files رو که در برنامه ي Folder در اين تاپيک
Option هست را اگر کار نمي کند برگردونيد Windows Explorer مربوط به . ) Do Not Show Hidden Files رو ميزنيد ولي کار نمي کند و وقتي بر مي گرديد هنوز روي Show Hidden Files این! ) هست يعني شما تيک
. شدن انها توسط انتی ویروس ها آثارشون باقي ماندهمشکل به دليل وجود ویروسهایی متعددی روی سيستم شما بوده است که با پاک
. حاال از کجاها بفهميم که کاميپوتر ما ويروس گرفته است
ين هنگام يک گزينهمي شويد و روي درايو هاي ان راست کليک مي کنيد و در ا My Computer با يک زبان نامفهوم مطابق موقعي که شما وارد . عکسي که قرار داده ام را مي بينيد
یا اینکه وقتی روی درایو هایتان دوبار کليک می کنيد محتوای درایو های شما در یک صفحه جدید باز می شود . شما می گویدباز می شود و به Open With یا موقع دابل کليک کردن روی درایو هایتان پنجره Choose the program you want to use to open this
file یا هنگام کليک بر روی درایو هایتان error ی به شما داده می شود .
نحوه پاک کردن این ویروس را در قسمت پایين گفته ام. می باشد . autorun.inf این ویروس ، ویروس. یعنی سيستم شما ویروسی شده است
نين اينهمچ ويروس باعث از بين رفتن و پاک شدن Folder Options خواهد شد
ok را مارک دار کنيد با Hide protected operating system files (Recommended) و Show hidden files and folders کردن و اگر شما گزينه هايز خواهند گشتدوباره به حالت اوليه باو. پنجره اين گزينه کار نخواهند کرد .
همچنين اين ويروس باعث غير فعال شدنTask Manage و Registry Editor خواهد شد .
. اگر شما روي گزينه command prompt يا cmd نيز کليک کنيد يا باز نخواهد شد و پيغام زير را خواهد داد يا اينکه به سرعت باز و بسته خواهد شدthe command prompt has been disabled by your administrator
قطعاتي مانند فلش. با سيستم شما ارتباط دارند usb کولديسک ( مموري ها راههاي ورود اين ويروس از طريق قطعاتي خواهد بود که از طريق ( ،
... موبايل ها ، رم ريدر ها و
autorun.inf نحوه از ببن بردن ويروس
: روش اولردابتدا وا My Computer شوید .
بعد از مشاهده ليست درایوها از نوار باال بروی گزینه Tools کليک کرده سپس گزینه Folder Options را انتخاب کنيد در پنجره جدید باز شده گزینه View را انتخاب کنيد و بروی گزینه Show hidden files and folders کليک کنيد تا دایره آن توپر شود .
حاال.را بر دارید ok کنيد Hide Protected Operationg System Files پایينتر تيک گزینهکمی سپس با راست کليک کردن و زدن open وارد درایو هایتان شوید
ال خواهد شدوارد درایو هایتان شوید اگر دوبار روی درایوی کليک کنيد باز هم ویروس فع ( open و دوباره حتما یادتون باشه با راست کليک کردن و زدن open )وارد درایوهایتان شویدپس حتما با راست کليک کردن و زدن. همه چيز به حالت اول بر خواهد گشت
سپس دنبال یک فایل به نام autorun.inf بگرید و ان را پاک کنيد برای همه درایو ها این کار را انجام بدید . یادتون نره حتما حتما بدون انجام هيچ. سيستم خودتون را ریستارت کنيد هيچ معطلی کاری سيستم را ریستارت کنيد . بعد از این کار بالفاصله بدون
: روش دومcopy.exe autorun.inf فایل این فایل را تروجانی است که گاهی اوقات در تمامی درایو های شما قرار ميگيره و با هر بار کليک بر روی درایو ها فایل
نهمی کاجرا .
temp2.exe و temp1.exe برای این کار ابتدا باید . رو از بين ببرید یکی از روشهای پاک کردن این ویروس این است که ابتدا شما باید پروسه های . صورت safe mode راه اندازی کنيدسيستم را به
شما نباید روی درایو ها یتان دابل کليک کنيد چون با این کار ویروس autorun.inf که در درایو هایتان قرار دارد باعث فعال شدن پروسه های
temp1.exe می شود temp2.exe و .
windows ویندوز شده و به پوشه c وارد درایو open شما باید با راست کليک کردن و زدن گزینه safe mode و بعد بعد از راه اندازی سيستم به صورت . system32 رفته و دو فایل temp1.exe و temp2.exe را حذف کنيدهم پوشه
%win% حتی درون پوشه autorun.inf ویروس copy.exe هم وجود داره بنابراین حتما حتما برای ورود به البته در بعضی از نسخه های ویروس
. را با راست کليک باز کنيددرایوها پوشه ها
برای این کار با زدن کليد های ترکيبی. پاک کنيد ctrl + alt + delete وارد Task Manager قبل از اینکار باید ابتدا این پروسه ها: نکته را از Task Manager حذف کنيد end process با کليک بر روی انها و زدن processes را از ليست temp2.exe و temp1.exe بشيد و پروسه های .
temp1.exe درون همون درایو فعال بشن و دوباره دو فایل host.exe و xcopy.exe که دو فایلبا هر بار فعال شدن موجب ميشه autorun.inf ویروس
. temp2.exe رو بسازن و
شما نباید فایل های xcopy.exe را با فایل های خود windows که درون پوشه ی system32 . هستند اشتباه بگيرید xcopy.exe است باید از حجم انها این دو را شناسایی کرد اگر فایل system32 در پوشهکه xcopy.exe و فایل xcopy.exe برای تشخيص ویروس
. حجمی کيلو بایت داشت مربوط به خود ویندوز می باشد در غير این صورت ویروس خواهد32معادل بود
autorun.inf پاک کنيد و بعد هم به درایوهای خودتون نگاه کنيد اگر را حاال فایلهای سيستمی را مانند ورش اول از حالت هایدن خارج کنيد و ویروس . با عنوان xcopy.exe و host.exe بودند با خيال راحت پاک کنيدفایلهایی
Copy.exe نحوه پاک کردن ويروس
host.exe, xcopy.exe, temp1.exe, temp2.exe and svchost.exe,Salga-A worm اسامی دیگر این ویروس
یکی از خطرناک ترین ویروس ها هست که بهاین ویروس عنوان یک پروسه در سيستم شروع به فعاليت و انتشار خودش می کنه و با توجه به اینکهپيغام در زمان دابل کليک کردن روی درایو و یا فولدر در محيط بعضی از انتی ویروسها به صورت نامناسب این ویروس را پاک می کنند باعث نمایش یک
. ز می شوندویندو
host.exe, xcopy.exe, temp1.exe, temp2.exe and برای پاک کردن دستی این کرم شما باید ابتدا همه پروسه هایی که با نام هایsvchost.exe,Salga-A worm . هستند را پيدا کنيد و انها را پاک کنيد
عاملمواظب باشيد این فایلها را با فایلهای اساسی سيستم : تذکر اشتباه نگيرید .
را پاک کنيد مهم : یکی از دالیل اصلی به وجود امدن این مشکل ویروس Autorun.inf هست که شما باید طبق روش هایی که در اموزش گفته ام ان
Autorun.inf را طبق اموزش باید از بين ببرید . یعنی حتما باید ابتدا ویروس. این کار را حتما انجام دهيد .
پس به این ادرس در رجيستری رفته و اگر کليدی به اسمس Copy.exe در زیر منوی MountPoints2 وجود داشت ان را پاک کنيد .
:کد
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\MountPoints2
ببریدرا از بين . با این برنامه به طور کامل می توانيد این ویروس
exe.4TrueSword/solutions/download/com.securitystronghold.www://http
Show Hidden Files را غير فعال می راههاي دستي براي از بين بردن ويروسی که . کند
از Start Menu وارد Run بشيد و در اونجا تايپ regedit : کنيد -1
: وقتي صفحه ي رجيستري باز شد ، از سمت چپ وارد اين مسير بشيد :کد
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\Advanced
Hidden رو به نام ( DWORD Value ) غير آبي رنگياين قسمت ، در ليست متغير هايي که سمت راست وجود دارند ، مت پيدا کنيد و روی ان دابل در حاال رجيستري رو. کنيد ببنديد و ريستارت کنيداگر مقدارش. کليک کنيد OK تغيير دهيد و2 یا 1 تغيير کرده ، ان را به 0به ( Value data ) .
مسير زير رو دنبال کنيد : -2 :کد
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\Advanced\Folder\Hidden
group دو بار کليک کرده و مقدار آن رو برابر با Type روي Regedit يعني در پنجره اي که باز ميشه کلمه ( قرار دهيد اکنون در سمت راست پنجره ي group رو تايپ کنيد .( ي
. با اين کار تونستيد Show Hidden Files از دست رفته را که دیده نمی شد برگردونيد : مسير زير رو دنبال کنيد-3 :کد
HK LocalMachine\Software\Microsoft\Windows\CurrentVer sion\Explorer\Advanced\Folder\Hidden\SHOWALL
ار قر1رو برابر با بديد CheckedValue مقدار Regedit در سمت راست پنجره ي.
. وقتی برنامه را اجرا کردید به. گرفتن و اجرا کردن این برنامه اخطار داده شده توجهی نکنيد و روی ok کليک کنيد
zip.repair_1OPEN/applications/com.persiangig.mehdipeivandi://http
بسيار مهم برای رفع تمامی مشکالت روشی بسيار مفيد و
و همچنين فعال کردن گزینه autoran.inf ویروس یکی از بهترین روشها برای از بين بردن تمامی ویروسها و همچنين از بين بردن batch این فایلShow hidden files ا که حجمی ندارد را دانلود کنيد و بعد هم اجرا کنيدمی کنم حتما این فایل ر پيشنهاد. می باشد .
بعد از اجرا شدن هر جا از شما . فقط کافی روی اون کليک کنيد تا اجرا شود ابتدا فایل زیر را دانلود کنيد و ان ار توی دسکتاپ ذخيره کنيد و بعد هم
. ناپدید خواهد شد ام ایکونهای دسکتاپ شمارا بزنيد و بعد هم اینتر را بزنيد در اخر تم Y شما کليد سوال پرسيد
shut down منویباز بشه و بعد از باز شدن تسک منجر به task manager بزنيد تا پنجره را CTRL + ALT + DELETE در این حالت کليد های ترکيبی . را انتخاب کنيد بعد از الگ اف شدن وارد سيتسم شوید log off برید و گزینه
rar.autorun/com.parsaspace.7610mahdi://http
. برگرداندن قسمتهای حذف شده از سيستم شما راههای دستی برای
: Registry ( Regedit ) فعال ساختن
: اول روش . را تایپ کنيد gpedit.msc کلمهکليک کنيد و run شده و روی گزینه start ابتدا وارد منوی
:به مسير پایين بروید Group Policy در صفحهUser Configuration> Administrative Templates> System
باالی Group Policy در سمت راست پنجره System بعد از کليک نمودن برویPrevent access to registry editing tools تبدابل کليک نموده و در Setting گزینه Disable باالی کليد را عالمت دار نموده و OK کليک نمایيد اما
!را نبندید Group Policy پنجره .شده است و شما ميتوانيد واردش شوید فعال Regedit حاال
: روش دوم . جرا کنيدذخيره کنيد و بعد ان را ا Regedit.reg با نام کپی کرده و سپس note pad مسير زیر را داخل
:کد
Windows Registry Editor Version 5.00 REG add HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableRegistryTools /t REG_DWORD /d 0 /f
: Run برگرداندن :بروید به مسير پایين Group Policy در صفحه
User Configuration> Administrative Templates> Start Menu and Taskbar دابل Remove Run menu from Start Menu بروی گزینه Group Policy ، در سمت راست پنجرهStart Menu and Taskbar بعد از کليک نمودن بروی
.تاس فعال شده Run حاال گزینه. را عالمت دار نمایيد Disable گزینه Setting کليک نموده و در تب
: Folder Option برگرداندن :بروید Group Policy به مسير زیر در پنجره Folder Option برگرداندن برای
User Configuration> Administrative Templates> Windows Components> Windows Explorer
Removes the Folder Options menu item from the بروی Group Policy ، در سمت راست پنجرهWindows Explorer بعد از کليک نمودن برویTools menu نموده و از تب دابل کليک Setting گزینه Disable را عالمت دار نمایيد و بروی کليد OK نمایيد کليک .
task manager فعال کردن :اینتر کن و سپس به مسير پایين برو تایپ نموده ورا Gpedit.msc عبارت Run در کادر محاوروی Task Manager فعال ساختن برای
User Configuration > Administrative Templates > System دابل Remove Task Manager بروی Group Policy سپس در سمت راست صفحه کليک کن و Ctr + Alt + Del بروی System حاال در زیر شاخه .را ببند Group Policy پنجره کليک نموده و OK بعد از آن بروی کليد. را عالمت دار کن Disable کزینه Setting تب کليک نموده و در
: روش دوم . ذخيره کنيد و بعد ان را اجرا کنيد task manager.reg سپس با نام کپی کرده و note pad مسير زیر را داخل
:کد
Windows Registry Editor Version 5.00 REG add HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableTaskMgr /t REG_DWORD /d 0 /f
در زير برای شما معرفی کرده ام استفاده از برنامه ای که
. به انجام کارهای زیر می باشد این برنامه قادر
SVCHOST.ini و SCVHOST.exe و mdm.exe و ravmon.exe از بين بردن ويروس هاي فعال کردن قسمتهاي زير
NoFolderOptions, NoControlPanel, DisableTaskMgr, DisableRegistryTools, DisableCMD حالت پيش فرض برگرداندن قسمتهاي زير و به
:کد
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN] “CheckedValue”=dword:00000002 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN] “DefaultValue”=dword:00000002 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\C urrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] “CheckedValue”=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] “DefaultValue”=dword:00000002
rar.removal-ravmon/11/2007/uploads/content-wp/techBlog/com.javedkhalil://http
. از اجرا کردن برنامه سيستم خود را ریستارت کنيد بعد
می کند ( Super Hidden ) پوشه ها را مخفی پاک کردن برنامه ی مخربی که . است Trojan.Win32.Delf.aam ن برنامه ی مخربدقيق ای نام
. نوشته شده Borland Delphi با زبان برنامه نویسی ! یک پوشه است...... شبيه آی BronTok.A و New Folder.exe مانند کرم های * Malware این...... آی
. شود بنابراین به سرعت منتشر می
Super Hidden شده توسط قربانی را Open می کند و یک نسخه از خودش را با همان نام در همان مـسـيـر این برنامه ی مخرب تمام پوشه های !! کـه اگـر * Victim آن را اجرا کـنـد هم Malware اجرا می شـود و هم محـتـوی پوشـه ی Super Hidden نمایـش داده می شودکـپـی می کـنـد
وجه نميشه که چه بالیی داره سر پوشه هاش ميادمت ! یعنی اگه Victim مبتدی باشه به زودی
Show هــمــانــطـــور کـه می دانـيــد برای آشـکار کـردن فایـل ها و پوشـه های Super Hidden باید ابتدا در Folder Options\View روی گزینه ی
hidden files and folders را بردارید و (Hide protected operating system files (Recommended به پيغام کليک کنيد و پس از آن تيک گزینه ی . OK را فشار دهيدامنيتی پاسخ مثبت و شستی
! این Malware به Victim اجازه ی آشکار کردن پوشه ها و فایل های Super Hidden را نمی دهد
. ضمنا Windows Task Manager ، Registry Toolsو Folder Options را Disable نمی کند
! پر واضح است که این برنامه ی مخرب از آشکار کردن پسوند فایل ها هم جلوگيری می کنه
برای پاک کردن این ویروس می توانيد از برنامه ای که نوشتم استفاده کنيد .
z7.aam.Delf.T20%Anti/Programs/com.ersiangigp.1feng://http
W32/Saldost نحوه پاک کردن ويروس
آند و سپس با تغيير فایل آن بر روی سيستم آاربر، ابتدا خودش را بر روی سيستم آپی می دادن آليدهایی در این بدافزار اینترنتی پس از اجرای شود های مخفی می مخفی نگه داشتن فایلرجيستری باعث بروز مشكالتی از جمله باز نشدن . Folder Option و
آپی آرده و در آنار آن فایلی با نام از جمله آارهای دیگر این ویروس این autoply.exe است آه خودش را در ریشه همه درایوها با نام
Autorun.inf آند ایجاد می.
شود آه هر گاه این عمل باعث می .هر شكلی وارد هر درایوی شود، فایل مربوط به آرم اجرا گرددآاربر بخواهد به آه خود آرم است از Autorun.inf روی سيستم پاك شده ولی فایل باقی بماند، Autorun نوع autoply.exe ای است آه اگر فایل ایجاد شده به گونه
تواند وارد درایو شود شود و آاربر نمی ه مینمایش داد .با دوبار آليك آردن بر روی در این حالت با آليك راست نمودن بر Open with نام درایو پنجره open” “ نيز توان وارد درایو شد نمیروی نام درایو و انتخاب گزینه
کاربر، ابتدا خودش را ن بر روی سيستم آاز اجرای فایل این کرم اینترنتی ایرانی بوده که توسط ضدویروس ایمن شناسایی و پاکسازی می شود و پس :می نمایدبه صورت زیر بر روی سيستم کپی
:کد
%TEMP%\svchost.exe
%PROGRAMFILES%\Sound Utility\Soundmax.exe %PROGRAMFILES%\Common Files\Microsoft Shared\MSshare.exe %WINDIR%\Web\OfficeUpdate.exe
را اجرا کرده و برای این که با هر بار راه %TEMP% ردر مسي svchost.exe سپس فایل خود با نام :خود را به شکل زیر در رجيستری ثبت می نماید
کار اجرا گردد، لوده به طور خودآ اندازی سيستم
:کد
HKLM\SOFTWARE\Microsoft\Windows\CurrentVe rsion\Run SoundMax = %PROGRAMFILES%\Sound Utility\Soundmax.exe
:دهدرجيستری را به شکل زیر تغيير می ای درسپس کليده
:کد
HKCU\Software\Microsoft\Windows\Curr entVersion\Explorer\Advanced Hidden = ٢ HideFileExt = ٢ ShowSuperHidde n = ٢ HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer Nof olderoptions = ٢ HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\E xplorer Nofolderoptions = ١ HKLM\SOFTWARE\Policies\Microsoft\Windows NT\ SystemRestore DisableConfig = ١ DisableSR = ١
ی مخفی می گردد و مخفی نگه داشتن فایلها FolderOption تغييرات فوق باعث بروز مشکالتی از جمله باز نشدن :نمایيد می توانيد برنامه زیر را از سایت ایمن دانلود کرده و ر جيستری خود را پاکسازی مشکالت
Re/com.imenantivirus.www://http
که برای برطرف کردن این
zip.gRepair
:را از مسيرهای زیر در رجيستری پاک می کند IsShortCut کليد همچنين
:کد
HKEY_CLASSES_ROOT\lnkfile HKEY_CLASSES_ROOT\piffile HKEY_CLASSES_ROOT\InternetShortcut ايجاد می کند Wintek و کليدی با نام
Y_CURRENT_USER\Software \ :در مسير زير
HKEن ايجاد می منايدآو کليد زير را در :
Install = b٢ed٣ (Dword - Value i s in hex)
(تمام برنامه های موجود در زمانبند ویندوز بعد از انجام کارهای فوقOfficeUpdate.exe در مسير WINDIR%\Web% دارد هر روز در سا وجود
ص :گردد نه برنامه ها فراهم می اینگو
زمانبند ویندوز فایل خود را که با نام را پا ک کرده و با استفاده از (at دستور . اجرا می نماید٢٠:٣٠ و ١١:٣٠عات
برخی از این مسيرها مخصو نجایی کهآاین است که خود را در مسيرهای زیر با نام های فریبنده کپی می کند و از یکی دیگر از کارهای این کرمن در سراسر دنيا از طریقآبا این کار امکان انتشار هستند، (P٢P یا(برنامه ها ی شبکه های اشتراک گذاری فایل
:کد
%PROGRAMFILES%\Kazaa Lite \My Shared Folder\ %PROGRAMFILES%\Kazaa\My Shared Folder\ %PROGRAMFILES%\I cq\Shared Files\ %PROGRAMFILES%\emule\incoming\ %PROGRAMFILES%\Gnucleus\Do wnloads\Incoming\
%PROGRAMFILES%\KMD\My Shared Folder\ %PROGRAMFILES%\Lime wire\Shared\ %PROGRAMFILES%\XPCode\ C:\Inetpub\ftproot\
وجود داشته باشد، EXE یا JPG ، MP٣ نها فایل های از نوعآبه عالوه در مسيرهایی که در :زیر کپی می کنددر مسيرهای setlib.exe و setup.exe نام
را با همچنين خود. کپی می کندexe zfile.خود را با نام
:کد
\WINDOWS\system٣٢\config\systemprofile\My Documents\ \WINDOWS\system٣٢\config\systemprofile\Start Menu\Programs\ \WINDOWS\system٣٢\config\systemprofile\Start Menu\Programs\Accessories\ \WINDOWS\system٣٢\ config\systemprofile\Start Menu\Programs\Accessories\Entertainment\ WINDOWS\system٣٢\config\systemprofile\Start Menu\Programs\Startup\… \WINDOWS\system٣٢\drivers\ \WINDOWS\system٣٢\spool\drivers\ \WINDOWS\system٣٢\spool\drivers\w٨×٣٢۶\٣\
ن شبكه تكثير آند، آامپيوترهای موجود در آن را جسخود را درو اين آرم برای اينكه بتواند :ها آپی آند سيستم آند خودش را به شكل زير بر روی آن سعی می
از درايوهای به اشتراك گذاشته شده، تجو آرده و با استفاده
:کد
C$\Documents and Settings\All Users\Start Menu\Programs\Startup\AdobeUpdate.exe
.عمليات تكثيری خود را بر روی آنها انجام دهد ها، ويروس به طور خودآار اجرا شده و اندازی آن سيستم شود آه پس از راه ث میار باعآ ايناز جمله
د ايجا
وده و آن را نم سايت ايمن دانلود
zip.NoAutorun/com.imenantivirus.www://http
Autorun.inf فايلی با نام آپی آرده و در آنار آن autoply.exe است آه خودش را در ريشه همه درايوها با نام آارهای جالب اين ويروس اين .آند می
.بخواهد به هر شکلی وارد هر درايوی شود، فايل مربوط به آرم اجرا گردد شود آه هر گاه آاربر اين عمل باعث میباقی بماند، با Autorun.inf سيستم پاك شده ولی فايل آه خود آرم است از روی autoply.exe ايست آه اگر فايل ايجاد شده به گونه Autorun نوع
حالت با آليك راست نمودن بر روی در اين. تواند وارد درايو شود شود و آاربر نمی نمايش داده می Open with درايو پنجره ردن بر روی نامدوبار آليك آبرای برطرف نمودن اين مشكل بايستی فايل زير را از روی . درايو شد توان وارد نيز نمی Open نام درايو و انتخاب گزينه
:بر روی سيستم خود اجرا نماييد
را در مسيرهای زير بر روی سيستم آاربر Important.htm آرم فايلی با نام ا ک
ين:د
:ن فارسی استآه حاوی جمالتی به زبا نمايد کپی می
%USERPROFILE%\Desktop\ %USERPROFILE%\My Documents\
نواری زرد رنگ در باالی صفحه همراه با جمالتی فارسی با رنگ های ویروس به نمايش درآوردن یکی از نشانه
SmitFraudFix معرفی برنامه
malwaو تروجان و پاکسازی رجيستری
است قرمز
SmitFraudFix انندبردن ویروسهای م ابزاری است برای از بين adware وre
. و ان را روی دسکتاپ قرار بدید. برنامه را از لينک زیر دانلود کنيد ابتدا
exe.SmitfraudFix/Fix/fr.free.urz.siri://http
راه اندازی کنيد safe mode را در حالت کامپيوتر
. را چند مرتبه پشت سر هم بزنيد F8 قبل از باال امدن ویندوز کليد برای این کار سيستم را ریستارت کنيد و . و سپس وارد یوزر خودتان شوید. را انتخاب کنيد safe mode شده گزینه صفحه باز
ا صفحه زیر ظاهر شودان ت
از يد. را اجرا کنيد منتظر بم Smitfraudfix.exe برنامه
سپس یکی از کليد های . روی صفحه کليد را فشار دهيد تا صفحه زیر ظاهر شود
Clean (SafeMode Recommended)0 بزنيد و سپس کليد اینتر را clکردن سيستم اغاز می شود .
مصرف را از روی سيستم Disk Cleanup tool ابزاراین مراحل بعد از انجام . پاک می کند اجرا می شود و فایلهای ب
را انتخاب کنيد یعنی2عدد eanبا این کار اسکن کردن و
ی
. بعد از Disc Cleanup پنجره زیر نشان داده می شودDo you want to clean the registry ؟
. کليد: ایا شما می خواهيد پاکسازی کنيد رجيستری را Y را فشار دهيد تا شودرجيستری بازسازیReplace infected file ؟
ایا جایگزین کند فایلهای الوده را که شما کيد Y را فشار می دهيد . در این هنگام سيستم احتياج به یکبار . که سيستم به طور اتوماتيک راه اندازی می شود. راه اندازی دارد
. دهيدنيفتاد شما خودتان به صورت دستی این کار را انجام اگر این اتفاق
در این هنگام فایلی به نام rapport.txt در درایو c ایجاد می شود که گزارشاتی از کارهای انجام گرفته را به شما می دهد .
همچنين این ابزار فایل های wininet.dll را نيز چک ميکند مبادا . الوده باشند
Soundmix.exe نحوه از بين بردن تروجان Win32/Agent.AEC يا ويروس
اداره ها شده همون طور که مي دونيد اخيرا ويروسي به نام Soundmix.exe انتشار يافته و باعث الوده شدن بسياري از سيستم هاي خانگي و . قصد دارم در اين قسمت نحوه پاک کردن اين تروجان را اموزش دهم. است
برخي سايت هاي آلوده نيز مي تواند اين ويروس را در سيستم هرچند که باز کردن. باشدشايع ترين راه انتقال اين ويروس حافظه هاي فلش مي
مستقر سازدبا. با دستکاري رجيستري ، هر بار که ويندوز راه اندازي مي شود خود را اجرا مي کند اجراي هر فايل اجرايي در ويندوز نيز اين فايل اجرا اين ويروس
. Processes آن را به هيچ عنوان نمي توان خاتمه دادخواهد شد و پس از اجرا
دسترسي به برخي . بوداين ويروس اجازه ديدن فايل هاي پنهان را به کاربر نمي دهد و فايل هايي که مخفي شوند ديگر قادر به مشاهده نخواهند دستگاه ، بسته شدن ناخواسته برخي برنامه ها و سربار روي سيستم ، کندي سايت ها ممکن نمي باشد و اين ويروس با اجراي خود منجر به ايجاد
.شدن خود بخود کامپيوتر مي گردداحيانا بوت همچنين با آلوده کردن حافظه هاي فلشي که به دستگاه متصل مي گردند ، سعي به انتشار خود مي کند.
راههاي شناخت اين تروجان
براي اين که متوجه شويد که اين تروجان است يا نه از طريق فشرن همزمان سه کليدايا سيستم شما الوده بهAlt + Ctrl + Delete Soundmix.exe رفته و در صورتي که فايل اجرايي Processes شويد و سپس به تب Task Manager در حال اجرا باشد وارد
. استسيستم شما به اين تروجان آلوده شده
وند فايلهاستراه ديگر شناسايي اين تروجان عدم نمايش پس
صورتي که پسوند فايلها نمايش داده نشوند سيستم از طريق منوي Folder Option و فعال کردن گزينه Show Hidden files and folder و تاييد آن در .شما به اين تروجان الوده شده است
. اين تروجان در درايو ويندوز و در مسير زير قرار ميگيرد
C:\WINDOWS\system32\soundmix.exe
فايل کتابخانه اي ان نيز در مسير زير قرار ميگيردC:\WINDOWS\system32\dllcachezipexr.dll
رجستري ويندوزتان مي شود و باعث اين تروجان عالوه بر کاهش سرعت سيستم باعث عدم نمايش پسوند فايلها و جلوگيري از دسترسي شما به
.ا خواهد شددزديده شدن اطالعات سيستم شم
اين ويروس خودش را در system32 با نام soundmix.exe و به صورت يک فايل سيستمي قرار مي دهد . يك آپي در dllcache با نام zipexr.dll نگه مي دارد و اگر شما اين فايل را پاك آنيد بعد از اين آه سيستم باال مي ايد هيچ فايل exe رو اجرا نمي آند
.
ا در رجيستري دستکاري مي کندسه قسمت ر
:کد
Software\Microsoft\Windows\CurrentVersion\Run exefile\shell\open\command SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer \Advanced\Folder\Hidden\SHOWALL
ت کليک راست کنيداز اتصال حافظه فلش خود به سيستم روي آيکون حافظه که ايجاد شده اس . در حالت عادي گزينه هاي زير بايستي نمايان بعد : گردد
Open Explore Search
Autoplay در غير اين صورت اگر نوشته هايي عجيب و غريب مشاهده گردد بيان گر وجود ويروس مي باشد
Win32/Agent.AEC يا تروجان Soundmix.exe پاکسازي راه
بيديفندر مي باشند شايان ذکر و کسپر اسکاي و NOD32 ايي که توانايي شناسايي اين ويروس را داردند آنتي ويروسويروسه در حال حاضر انتي . را خواهد داشت Soundmix.exe باشد توانايي پاکسازي است اين انتي ويروس ها نيز فقط در صورتي که به روز
. روس درست شده است استفاده کنيدبرنامه اي که براي پاک کردن اين وي در ضمن مي توانيد از
rar.SOUNDMIX20%ANTI/com.parsaspace.7610mahdi://http
open with حل مشکل
. یلی می باشد که مسئول باز کردن درایو می باشدباز می شود به دليل پاک شدن فا open with اگر بر روی هر درایو کليک می کنيد پنجرهبعد از . را از درایو های خودتون پاک کرده باشيد autoran باید ویروس البته قبل از ان. شما می توانيد از برنامه زیر برای حل این مشکل استفاده کنيد
پس صبور . کارش به اتمام رسيد به شما پيغام می دهد بعد از اینکه. جام دهد برنامه باید چند دقيقه منتظر باشيد تا برنامه کار خود را ان اجرا کردن . باشيد
exe.Disinfector_Flash/sUBs/sectools/com.techsupportforum.www://http
SVCHOST.EXE يا Virus Win32/Jeefo وسنحوه پاک کردن وير
اصلي ساکن مي شود و اقدام به خرابکاري البته در شاخه ديگري غير از فايل SVCHOST.EXE که با نام Jeefo ويروسي مخرب به اسم بعلت وجود . مي کند exe تمام فايلهاي اجرايي
ويروس نيست بلکه ويروس فايل ديگري مي SVCHOST.EXE در حالي که.را به عنوان ويروس مي شناسند SVCHOST.EXE انتي ويروس ها اکثر . باشد که خود را به اين نام در اورده است
.الودگي سيستم باعث از کار افتادن سيستم عامل مي شود و طوالني بودن زمان. اين ويروس باعث مي شود که برنامه ها درست اجرا نشوند
نحوه پاک کردن ويروس . فعال کنيد را غير System Restore کنيدابتدا سعي
را بزنيد از پنجره باز شده به تب properties راست کليک کنيد و سپس my computer براي اين کار ابتدا رويSystem Restore رفته و تيک گزينه Turn off System Restore on all drives را بزنيد و بعد پنجره را ok ده شده جواب مثبت پرسي کرده و به سوال
. دهيد
در حال اجرا SVCHOST.EXE رفته و از اوجا فايل Processes شويد و به تب Task Manager وارد ctrl + alt + delete حال ابتدا با زدن سه کليد ترکيبي . توي ويندوز را پاک مي کنيم
Task Manager پروسه هاي اجرا مي بينيد که بايد با برنامه هاي مديريتدر حال SVCHOST.EXE تا يا بيشتر 4 شما حداقل Processes البته در تب
اين فايل بيشتر خود را با نام. نشان مي دهند Task Manager پروسه هاي اجرايي را در زيرا اين برنامه ها مسير. بتونيد اين فايل را تشخيص دهيد . اجرا مي کند (Log On) يوزر که در ان هستيد
. را پاک مي کنيم SVCHOST.EXE رفته و فايل C:\WINDOWS رحال به مسي . قرار دارد را پاک کنيد C:\WINDOWS\System32 مسير را که در SVCHOST.EXE البته شما نبايد فايل اصلي
. ريستارت کنيد بعد از اين کار سيستم را
. را اجرا کنيد jeefogui ويروس راه اندازي کرده و انتي safe mode سپس سيستم را در حالت
. شما از کار بيفتند که شما بايد دوباره برنامه انها را نصب کنيد exe ممکن است بعد از اين عمليات بعضي از فايلهاي
jeefogui انتی ویروس
rra.jeefogui/com.parsaspace.7610mahdi://http
طريق باهو مسنجر منتشر مي شود پاک کردن ويروسي که از
عملکرد اين ويروسامکان عوض در اين صورت به هيچ طريق. را به يک سايت تغيير مي دهد (Default IE Page) اکسپلورر در ابتدا ويروس صفحه شخصي اينترنت -1
.ويروس مجددآ خود را در سيستم شما کپي مي کند صفحه وب جديد،بعد از هر باز باز کردن يک . کردن آن وجود نخواهد داشت
رجيستري و Task Manager غير فعال کردن svhost.exe , svhost32.exe , internat.exe ايجاد فايلهايي با نام هاي
نحوه از بين بردن اين ويروس و مشکل . و رجيستري را فعال کنيد Task Manager با استفاده از روشهاي گفته شده در باال ابتدا
. اتصال خود به اينترنت را قطع کنيد . خود به حالت قبل وارد رجيستري شويد حال براي برگرداندن صفحه نخست مروگر . را نوشته تا وارد رجيستري شويد regedit کليک کنيد و عبارت run ابتدا وارد منوي استارت شويد و روي گزينه
شما قرار گرفته است را پاک کرده و اسم home page دقت پيدا نموده و در آنها وارد شويد حال اسم سايت مورد نظر را که درزير را با ميسر هاي
سايت خودتان را بنويسيد مثال :کد
http://www.forum.p30world.com
se current- use default -use blank رفته و اين کار را هم انجام دهيد internet option به سپس
:کد
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main HKEY_ LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main HKEY_USERS\Default\Software\Microsoft\Internet Explorer\Main
Y.V.Remover ویروس انتی
zip.Remover.V.Y/com.parsaspace.7610mahdi://http
اينترنت اکسپلورر Home Page رفع مشکل غير فعال شدن
. شودرجيستری ظاهر را فشار دهيد تا محيط ویرایش Enter را تایپ کنيد و از روی کيبرد کليد Regedit عبارت Run در کادر محاوره ای . 1 . بسازید1به ارزش RunOnceHasShown و RunOnceComplete با نام های DWORD متغيير2به مسير زیر بروید و . 2
:کد
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main
را فشار دهيد تا کادری با عنوان OK را تایپ کنيد و شستی inetcpl.cpl عبارت Run محيط ویرایش رجيستری را ببندید و مجددا در کادر محاوره ای . 3Internet Properties شود ظاهر .
. را فشار دهيد تا تنظيمات دلخواه ذخيره شود OK آدرس مورد عالقه ی خود را تایپ کنيد و شستی Home Page در قسمت . 4
. را اجرا کنيد و لذت ببرید Internet Explorer 7 اکنون . 5 ... و اکنون دوست دارند روش فوق را تست کنند ، مراحل زیر را دنبال نمایيد سانی که این مشکل را از راه اصولی حل کرده اندک
. ظاهر شود Internet Properties کادری با عنوان را فشار دهيد تا OK تایپ کنيد و شستی inetcpl.cpl ,6 عبارت Run کادر محاوره ای در . 1
. خودنمایی کند Reset Internet Explorer Settings را فشار دهيد تا کادر دیگری با عنوان Reset دکمه ی Advanced نه یدر زبا . 2
. به حالت پيش فرض بر گردد IE تنظيمات کليک کنيد تا تمام Reset مجددا روی دکمه ی . 3
تست کنيد Home Page اکنون روش دوم را جهت تغيير . 4
services.exe ز بين بردن ويروسنحوه ا
انها هم برای وجود می ایند همنام پروسه های مربوط به سيستم عامل می باشند به همين دليل تشخيص متاسفانه اکثر ویروسهایی که جدیدا به . کاربران و هم برای انتی ویروس ها نسبتا مشکل شده است
. انداختن انها نيز قدری سخت شده است و از کار . سيستم عامل های ماکروسافت محسوب شود همين عامل می تواند یکی از نقاط ضعفو
services.exe فعاليت های ویروس
با فایلهایی که در یک فولدر است در می اورد و فایلهای فولدر را مخفی می کند و یک فایل اولين کاری که این ویروس انجام می دهد خودش را با نام . می باشد exe نام همان فولدر می سازد که دارای پسوند
. خصلت سيستمی هم می دهد hidden مخفی می کند عالوه بر خصلت و به فولدر هایی که
ز گاهی اوقات هنگام استفاده ا(اندازد رو از کار می taskmanager و msconfig و cmd و regedit برنامه های windows policy سپس به وسيله .رو مخفی ميکند view گزینه folder option بعضی مواقع از قسمت در) کامپيوتر را ریستارت هم ميکند cmd دستور
. بعضی از گزینه های مدیریتی رو بطور کامل از بين ميبرد و اجازه دسترسی به
هنوز اثرات این ویروس در دیگر درایو ها وجود ا تعویض ویندوزبه خاطر این که ب. ویندوز هم فایلها از حالت مخفی خارج نخواهند شد و حتی با تعویض . انها ویروس فعال شده و دوباره همه جا را الوده می کند دارد و تنها با کليک کردن روی یکی از
services.exe نحوه از بين بردن ویروس
.ذخيره نماييد \:c در مسير در مسير rescue.bat و با نام و پسوندکپی کرده note pad این ویروس ابتدا کدهای زیر را داخل برای از بين بردن
:کد
@echo off :try del c:\windows\services.exe if exist c:\windows\services.exe goto try
. رجيستری شوید محيطتا وارد. را بزنيد ok را تايپ کرده و regeditکليک کنيد و عبارت run روی گزینه رفته و start حاال به منوي .حال به مسير زير برويد
:کد
HKEY_LOCAL_MACHINE\system\currentcontrolset\services\eventlog
.را تايپ کنيد c:\rescue.bat عبارت systemroot%\system32\services.exe% دوبار کليک کرده و در اين پنجره به جاي image path فايل روي
.کنيد restart ويندوز را
.را بزنيد ok را تايپ کرده و regedit را اجرا کرده و run رفته و برنامه start دوباره به منوي .حال به مسير زير برويد
:کد
HKEY_LOCAL_MACHINE\system\current control set\services\eventlog
.را تايپ کنيد systemroot%\system32\services.exe% عبارت c:\rescue.bat دوبار کليک کرده و در اين پنجره به جاي image path فايل روي . کنيد فايلهاي مسيرهای زير را پاک
:کد
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\serenta وHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run و"services.exe"="%windir%\services.exe"
.حال تغييرات زير را انجام دهيد
:کد
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\shell
shell حال به جاي.را از مسير باال باز کنيد explorer.exe %windir%\services.exe عبارت explorer.exe ا را تايپ کنيد يعني به عبارت ساده ته اون ر .پاک کنيد
:کد
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\userinit
userinit را از مسير باال باز کرده و به جاي عبارت C:\WINDOWS\system32\userinit.exe,,%windir%\service s.exe .سير به صورت زير در مي آيدرا حذف نماييد يعني م windir%\services.exe%,, عبارت
C:\WINDOWS\system32\userinit.exe . ان را پاک کنيد Service.exe رفته و در صورت وجود فایل temp به پوشه
. ویروس یابی کنيد safe mode نماييد و سيستم را به طور کامل در حالت update را nod32 و kaspersky حاال آنتي ويروس های
.و ويروس يابي ويندوز خود را عوض کنيد update ست بعد ازضمنًا بهتر ا
anti spyware برای از بين بردن ویروس services.exe
. می باشد services.exe ویروس یکی از بهترین ها برای از بين بردن spyware این انتی
exe.2s2p6Scanner-SpyHunter-Free/download/com.spywareremove.www://http
. حتما باید این برنامه کرک شده باشد را پيدا می کند و برای از بين بردن انها services.exe ویروس anti spyware توجه داشته باشيد که این فقط
. اونا پيدا کرد لطف کنه بده بزارمش اینجا تا دوستان دیگه هم استفاده کنند کسی کرکاگه . این برنامه کرک شده نيست
که به صورت سيستمی مخفی شده اند نحوه برگردوندن فايلهايی : مهم
شما می . تيد دیدن اونها نيس فایلهای شما را به صورت سيستمی مخفی می کند و شما قادر به services.exe دونيد ویروس همون طور که می
. توانيد از روش زیر به فایلهای خودتون دسترسی داشته باشدرا بزنيد تا فایلهای شما نمایان ok کپی کرده و سپس run را در کافی است نام درایو و مسير فایل خود را در مسير زیر وارد کرده و سپس این مسير
.شوند
:کد
attrib -r -a -s -h drive:\file path
). به طور کامل بنویيد مسير فایل را file path نام درایو حاوی فایل مخفی را بنویسيد و به جای drive به جای(
اينکه به حالت روشی برای تشخيص اين که فايلهای درون فولدر حذف شده اند يا سيستمی در امده اند
کمال تعجب متوجه می شویم که فولدر ما خالی ن ان داریم رجوع می کنيم باوقتی به داخل یکی از فولدرهایی که تعداد زیادی فایل درو گاهی اوقات
. داشتند دیگر وجود ندارند است و هيچ یک از فایلهایی که قبال وجود ه حالتروش می توانيد متوجه شوید که ایا فایلهای شما واقعا حذف شده اند یا این که ب در این قسمت روشی را به شما اموزش می دهم که با این
. سيستمی مخفی شده اند
را بزنيد ok را تايپ کنيد و سپس cmd کليک کرده و سپس عبارت run روي گزينه Start براي اينکه بتونيد فايلها را ببينيد از منوي
ت سيستمی در امده اند قابلبا اين کار تمامي فایلهایی که به حال dir /A name_of_the_folder در ان تايپ کنيد cmd روئت بعد از باز شدن محيط روش باال می توانيد انها را از حالت سيستمی خارج کنيد . و با استفاده از. و شما متوجه خواهيد شد که فایلها حذف نشده اند . خواهند بود
نکته name_of_the_folder : نام فولدری می باشد که اطالعات شما در ان مخفی شده است .
رنامه هم می تونيد تا حدودی فایلهایبا این ب Hidden شده خودتون را UnHidden کنيد .
rar.UnHiden/Delphi/Prog/com.persiangig.tetra://http
بازگردانی سريع فايلهای مخفی شده
ه می خواهند به سرعتاین هم روشی برای کسانی ک به فایلهای مخفی خودشون دسترسی پيدا کنند . چند . ان را اجرا کنيد برای این کار کافی است دستورات زیر را داخل Notepad کپی کنيد و بعد ان را با نام و پسوند mahdi.bat ذخيره کنيد و بعد
. لحظه منتظر بمانيد تا فایلهای مخفی نمایان شوندین روش فایلهای سوپر هایدن نيز قابل روئيت خواهند بودبا ا . تذکر :
:کد
attrib -s -h C:\*.* /s /d attrib -s -h d:\*.* /s /d attrib -s -h E:\*.* /s /d attrib -s -h f:\*.* /s /d attrib -s -h g:\*.* /s /d attrib -s -h h:\*.* /s /d
Win32/PSW.Agent.NDP ويروس
فایلهای مخفی می شود و باعث غيرفعال شدناین ویروس گزینه show hidden files and folders در folder option می شود و باعث عدم نمایش . بياورنداجازه نمی دهد کاربرها فایلهای مخفی را از حالت مخفی بيرون
این ویروس با دستکاری رجيستری ویندوز باعث می شد که شما نتونيد تنظيمات hidden file and folder را تغيير دهيد .
به محض تغيير دادن این قسمت و خارج شدن از ان تنظيمات به حالت پيش فرض خود برميگردند . autorun.inf می سازد که درایوهای هارد شما البته این ویروس خرابکاریهای دیگری هم انجام می دهد اول اینکه داخل تمام درایوهای شما یه فایل
. autorun می کندرا
mp3 pleyer می سازد که شما به محض اینکه فالپی وارد سيستم کنيد یا فلش یا ntde1ect را دوم اینکه دوباره داخل تمام درایوها یک فایل به نامی شویدوارد دستگاه شما یا فالپی شما می کند که شما متوجه ان نمبه کامپيوتر متصل کنيد یک کپی از hidden خودش به صورت .
البته فایل ntde1ect خيلی شبيه فایل ntdetect هست که داخل درایو C وجود دارد و برای باال امدن ویندوز ضروری می باشد .
مواظب باشيد این دو فایل را اشتباه نگيرید . رو از پورتیا هر چيز دیگه safe remove ، USBکنيد. mp3 pleyer به شما اجازه نميدهد که فلش یا avpo.exe سوم اینکه با اجرای فایل
Win32/PSW.Agent.NDP نحوه پاک کردن ویروس
با زدن دکمه. ( وارد ویندوز شوید F8 قبل از باال آمدن ویندوز حالت safe mode ( را انتخاب کنيد safe mode در حالت
. پنجره Task Manager را باز کنيد (Ctrl-Alt-Delete) و برنامه های زیر را در صورت اجرا ببندیدwscript.exe : اگر در حال اجرا بود آن را ببندید (End process)
avpo.exe : (End process) اگر در حال اجرا بود آن را ببندید
از قسمت start برنامه Run را اجرا کنيد و در عبارت cmd را در آن تایپ کنيد و enter را بزنيد . خط فرمان برنامه ، دستور زیر زیردر این قسمت در را تایپ کنيد و enter . را بزنيد
del c:\autorun.* /f /a /s /q
با این دستور تمام فایلهای. اجرا کنيد autorunموجود delete می شود . این دستور را برای درایوهای دیگر
وشهپ system32 شوید : در این مرحله در خط فرمان \:c دستور زیر را تایپ کنيد تا وارد
C:\cd windows\system32 C:\windows\system32
. در ادامه دستور زیر را تایپ کنيد و آنرا اجرا کنيد
*.*dir /a avp
. در این قسمت هر فایلی به نامهای avp0.dll و avpo.exe و avp0.exe دیده شد آنرا پاک کنيد
attrib -r -s -h avpo.exe del avpo.exe
بعد از این مراحل تمام پنجره ها رو ببندید و برنامه registry را : اجرا کنيد
(Run \regedit)
مسير زیر را دنبال کنيد : :کد
HKEY_CURRENT_USER \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run
در این قسمت هر کليدی که به نام avpo.exe بود را delete کنيد .
تمام کليدهای پيدا شده را. را جستجو کنيد delete . کنيد ntde1ect را کليک کنيد و عبارت Findگزینه edit قسمت registry در برنامهاین کار را برای فایل avpo.exe نيز انجام دهيد و تمام کليدهای پيدا شده را delete . کنيد
1را برابر . قرار دهيد CheckedValue در آخر کار سراغ کليد زیر بروید و مقدار
:کد
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion Explorer/Advanced/Folder/Hidden/SHOWALL
kernel.exe ويروس
kernel ي که در زير error اکثر کاربران به اين ويروس گرفتار شده . شود تصوير ان را قرار داده ام ظاهر مي ويروسي است که هر چند دقيقه يکبار با . اند
در واقع يک برنامه مي باشد که شباهتي به ويروس دارد و به همين . دهد در واقع اين يک ويروس نيست زيرا کار مخربي روي سيستم انجام نمي ين و به روز ترينحتي قوي تر. انتي ويروس ها قادر به شناسايي و پاک کردن ان نيستند انتي ويروس ها . دليل هيچ يک از
اين ويروس از طريق صفحات html که از اينترنت ذخيره مي کنيد به . وجود مي ايد
C:\WINDOWS\system32 دارد که هر سه فايل در پوشه systems.exe و kernal.exe و kernal.vbs ذخيره مي اين ويروس سه فايل با نام هاي . شوند
kernel.exe با نام processes در تب task manager در حال فعاليت مي در خود را جزء پروسه هاي سيستم عامل نيز مي داند و درواقع اين ويروس . باشد
اين ويروس همه ي فايل هاي HTML و Htm رو آلوده ميکند و به آخر فايل ها کدهاي مخرب Vbscript رو که چند تا فايل با نام ها kernel.exe و
kernel.vbs . است را ايجاد ميکنداين ويروس حتي با تعويض سيستم عامل هم از بين نخواهد رفت .
:از اثرات اين فايل آلوده
ارورهاي پشت سر هم -1 باعث پايين آمدن سرعت کامپيوتر -2 باعث پايين آمدن سرعت اينترنت -3 دادن اطالعات مثل يوزر و پسورد اينترنتتان به شخص هکر -45- HTML ودهآل کردن فايلهاي
kernel.exe نحوه پاک کردن ويروس
processes شويد و به تب task manager وارد ctrl + alt + delete رفته و فايلي براي پاک کردن اين ويروس شما بايد ابتدا با زدن کليد هاي ترکيبي kernel.exe را پاک کنيد . با نام
سپس به مسير زير رفته C:\WINDOWS\system32 رفته و دو فايل با نام kernel و بک فايل با نام Systems را پيدا کرده و پاک کنيد .
task manager را از kernel.exe در غير اين صورت . پاک کرده باشيد توجه داشته باشيد شما در صورتي مي توانيد اين فايلها را پاک کنيد که پروسه
واهد دادپاک شدن را به شما نخ . اجازه
startup تايپ کنيد و در قسمت run را در msconfig اگر فايلهاي باال وجود دارند تيک انها را برداريد و سپس سپس به منوي استارت رفته و عبارت . را ريستارت کنيد دوباره چک کنيد که ويروس در حافظه بار نشده باشدکامپيوتر
ير زير رفته و تمام محتويات ان را خالي کنيداز طريق مس internet temporary بعد به .
:کد
<win_drive>:\Documents and Settings\<user_name>\Local Settings\Temporary Internet Files
برنامه براي از بين بردن اين ويروس
) کامل شده این انتی ویروس می باشداین لينک شامل نسخه ( omid.sarmad لينک برنامه از سایت سازنده برنامه از دوست خوبم
exe.kk-rad/Files/Downloads/com.radsoftwareteam.www
ya30n برنامه از پرشين گيگ از دوست خوبم دانلود
exe.Setup/n30ya/com.persiangig.softestan://http
: BronTok.A نحوه پاک کردن ويروس
: در زیر به برخی از ویژگی های این ویروس اشاره می کنيم 1 . Folder Optionsکند ی را حذف م ! 2 . Registry Toolsکند ی را قفل م ! 3 . Task Managerرا روسی ونی مربوط به ای هالیند فا توای نم End کند ! ! دهد ی مشی را نماMy Documents اتیپس از اجرا شدن ، محتو . 4 ! شود ی مRestart بالفاصله ستمي ، سدي کنپی را تاCMD ،Regedit ،msconfig ،Regedt32 عبارت Run یاگر در کادر محاوره ا . 5 ! شود ی مRestart ستمي ، سدي کنکي کلTurn Off Computer ای Log Off ی نهی گزیاگر رو . 6 ! پوشه است هی کونی آهي شبروسی ونی اکونیآ . 7
... از فایل های سيستمی بوده و هميشه در حال اجرا هستند services.exe و lsass.exe ،winlogon.exe همانطور که می دانيد فایل های . قرار دارند System32 اجرا کنيد ، می بينيد که این فایل ها در پوشه یرا Process Master برنامه ی اگر شما
سه تا فایل دیگر با همين نام ها در روی سيستم شما نصب باشد ، خواهيد دید که BronTok.A اما اگر ویروس
!! حال اجرا هستند ! services.exe و دو تا lsass.exe ، دو تا winlogon.exe یعنی دو تا
... ویندوز ه راحتی ميشود فهميد که کدام ویروسند و کدام فایل اصلیاما ب
. قرار دارند System32 آن سه تا فایلی که مربوط به ویروس ميشوند ، در پوشه ای غير از : مسير دقيقشان ميشود
C:\Documents and Settings\User\Local Settings\Application Data C در آن نصب گردیده و دوزنام همان درایویست که وین User نام کاربری است که ویروس در آن اجرا شده ...
. کنيد Kill process ویروسند ، باید آن ها رو متوجه شدید که کدام Process Master بعد از اینکه با نرم افزارالبته به شرطی که .کنيد Kill process حال اجرا بودند آنها را همنيز در smss.exe و inetinfo.exe ،csrss.exe های اگر احيانا فایل های دیگری با نام
... باشد System32 مسيرشان غير از
. استفاده کنيد Kill BronTok.A حاال وقت آن است که از نرم افزار . کليک کنيد Search یبرید و روی گزینه Start کارش تمام شد ، آن را ببندید و به منوی Kill BronTok.A پس از اینکه نرم افزار
. کليک کنيد All files and folders در سمت چپ روی گزینه یشده را پاک اکنون تمام فایل های پيدا.را فشار دهيد Enter را تایپ کنيد و از روی کيبرد کليد Empty.pif عبارت All or part of the file name در فيلد . کنيد
. را فشار دهيد Enter کليد را تایپ کنيد و از روی کيبرددوباره در فيلد مذکور عبارت زیر
scr،*.exe.*
. پوشه بود رو پاک کنيد اکنون از بين فایل های پيدا شده ، هر فایلی که آیکونش شبيه آیکون . دهيدرا فشار Enter را تایپ کنيد و از روی کيبرد کليد عبارت زیر All or part of the file name مجددا در فيلد
job.* . پيدا شده را پاک کنيد تمام فایل های
. را فشار دهيد Enter کليد را تایپ کنيد و از روی کيبرد Bron باز هم در فيلد فوق الذکر عبارت
. اکنون تمام فایل ها و پوشه های پيدا شده را پاک کنيد
. کنيد Restart اکنون با خيال راحت کامپيوترتان را
فوق را در همه ی کاربرها انجام دهيد ویندوزتان بيشتر از یک کاربر دارد ، باید تمام عملياتاگر: نکته
New Folder.exe پاک کردن ويروس
! مواجه شده اید New Folder.exe احتماال تا حاال با ویروس : قسمتی از مشخصات این ویروس به شرح زیر است
. استپوشه آیکون آن شبيه آیکون یک . 1 . کيلوبایته140اندازه ی آن . 2 . نمایش داده می شود My Documents محتویات پوشه ی پس از اجرای این ویروس ، . 3 ! کنه این ویروس توليد مثل هم می . 4 . حذف می کنه Start رو از منوی Turn Off Computer گزینه ی . 5 . جلوگيری می کنه System Configuration Utility و Registry Tools ،windows Task Manager اجرای از . 6 . کنه رو غير فعال می Task Manager و Registry Tools پس از مدتی . 7اسمبلی این ویروس رو مشاهده می کردم با جمله ی زیر ظاهرا توسط شخصی به نام علی صادقی نوشته شده ، چون وقتی داشتم کدهای . 8
: مواجه شدم
i am ali sadeghi,master of you ! چقدر هم مغرور
! باشه Mahsa کنم اسم اصلی این ویروس فکر . 9
... ... رو نوشتم که می تونيد از لينک زیر دانلود کنيد خالصه به درخواست یکی از دوستان ، من نشستم و ضد این ویروس
Kill New Folder.exe دانلود
zip.KNF/Programs/com.persiangig.1feng://http
. ها رو خودتون به صورت دستی پاک کنيد کار خودش رو انجام داد ، باید مابقی ویروس Kill New Folder.exe از اینکه برنامه ی پس
: زیر عمل کنيد برای پاک کردن مابقی ویروس ها به شيوه ی . پنجره ی مربوطه نمایش داده شود کليک کنيد تا Search بروید و روی گزینه ی Start به منوی . 1 . کليک کنيد All files and folders در سمت چپ روی گزینه ی . 2 . کليک نمایيد Search را تایپ کنيد و روی گزینه ی New Folder.exe عبارت All or part the file name در قسمت . 3 . پيدا شده رو پاک کنيد اال تمام فایل هایح
. حواستون باشه مجددا یکی از اونا رو اجرا نکنيد
بزرگترین و بهترین این انتی ویروس محصول یکی از. را از بين می برد folder option بردن کرمی که یکی از بهترین انتی ویروس ها برای از بين . کرده و سيستم خود را بعد از انجام مراحل باال اسکن کنيد حتما ان را دانلود. است bitdefender سازنده انتی ویروس یعنی
[email protected]/com.bitdefender.www://http
Antichrist (virus hoax) ويروس
. هدایت می کند و به نام ویروس ستایش نيز معروف است این ویروس یا کرم با پيغامی که می دهد در واقع شما را به راه راست
بيتی را مورداین ویروس که با نام های Day of Judgmet و Antichrist هم شناخته می شود یک کرم ایرانی است که سيستم عامل های ویندوز ٣٢ .دهدحمله قرار می
از مشخصه های بارز این کرم می توان به موارد زیر :اشاره کرد
Folder Option غيرفعال کردن
که ترجمه انگليسی سوره حمد بر روی پس زمينه سبز در آن مشاهده ) داوریباز شدن صفحه اینترنتی با عنوان) Day of Judgment به معنی روز .می شود
این html حههم تصویر صف
همچنين در هر بار بوت شدن ویندوز پنجره ای با تيتر.شود Antichrist و با محتوای Day این صفحه در هر بار بوت شدن ویندوز به شما نشان داده می of Judgment نمایش داده می شود.
ته می شودبا آلوده شدن توسط این ویروس گرف . Task Manager و Regedit در بعضی مواقع جلوی اجرای
سرعت کلی سيستم به شدت پایين می آید و در فهرست پروسس های ویندوز می توانيد Sys.exe و در قسمت برنامه های wma.exe startup نامو blank.htm را مشاهده .کنيد
و گاهی اوقات هنگام باال امدن ویندوز یک فایل html در ادرس c:\windows\system32\blank.htm می گردداجرا .
همچنين ویروس خود را در تمام درایوها با نام Autoplay.exe کپی می کند که با هر بار کليک روی درایو ها منتشر می شود .
WORM . این AUTORUN این هم متن
:کد
[autorun] open=Recycler.{645FF040-5081-101B-9F08-00AA002F954E}\sys.exe a shell\open=Open shell\open\Command=Recycler.{645FF040-5081-101B-9F08-00AA002F954E}\sys.exe o shell\open\Default=1 shell\explore=Explore shell\explore\Command=Recycler.{645FF040-5081-101B-9F08-00AA002F954E}\sys.exe e
اين آرم ايراني پس از اجراي فايل آن بر روي :نمايد زير بر روي سيستم آپي مي بتدا خودش را به صورت سيستم آاربر، ا :کد
%System32%\Sys.exe
%Windows%\Shell.exe %Windows%\vxds.exe %Windows%\Help\vxds.exe %Windows%\media\wma.exe
:کند رجيستري ثبت مي ها اجرا گردند، آنها را به شکل زير در فايل و براي اينکه با هر بار باال آمدن سيستم اين
:کد
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon Shell = userinit.exe, sys.exe Userinit = Explorer.exe shell.exe HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run vxds = %Windows%\vxds.exe
کند که به شکل زير مخفي ايجاد مي به صورت OEMLOGO.BMP با نامفايلي System32 همچنين در مسير :باشد مي
:محتويات آن به شکل زير است سازد که به صورت مخفي مي OEMLOGO.INI نام بعالوه در همين مسير فايلي با
:کد
[General] Manufacturer=[Antichrist] Model=[Day of judgment] SupportURL=hxxp://www.antichrist.com/ LocalFile=blank.htm [Support Information] Line1=When comes the help of Allah, and victory,. Line2=And thou dost see the people enter Allah's religion in crowds,. Line3=Celebrate the praises of thy Lord, and pray for his forgiveness: for he is oft-Returning (in forgiveness)..
:آيد نمايش درمي اي به شکل زير به اجراي آن صفحه کند که با به صورت مخفي ايجاد مي blank.htm فايل ديگري نيز در همين مسير با نام
فايل نمايش داده با هر بار باال آمدن سيستم ايناينکه آنگاه براي . باشد اين صفحه ترجمه سوره حمد مي که متن انگليسي نمايش داده شده در :کند رجيستري ثبت مي شود آن را به صورت زير در
:کد
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Blank = %System32%\blank.htm HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Blank = %System32%\blank.htm
در رجيستري ايجاد برابر با صفحه مذکور قرار دهد، تغييرات زير را را Internet Explorer افزار نرم Search Page و Home Page براي اينکه مقدار :نمايد مي
:کد
HKCU\Software\Microsoft\Internet Explorer\Main Start Page = %System32%\blank.htm Search Page = %System32%\blank.htm
از خودش را فولدري مخفي و با نام تصادفي ايجاد کرده و يک کپي Recycler درايوها در داخل مسير از کارهاي جالب اين ويروس اين است که در همه
.دهد درون آن قرار مي Sys.exe با نام
:دارد همچنين اثرات ديگري به شکل زير. نمايش داده شود Day of judgment و با متن Antichrist اي با تيتر قبل از ورود به سيستم صفحه شود که رجيستري باعث ميبا ايجاد تغييراتي در را گرفته و رنگ زمينه Task Manager و RegEdit هاي جلوي اجراي برنامه . نمايش داده نشود Super Hidden هاي فايل شود همچنين باعث مي
Windows و صفحه cmd بعالوه نام . دهد را تغيير مي User و Organization سيستم را با ثبت شده براي [Antichrist] دهد تغيير مي. .نمايد پاکسازي مي است که آخرين نگارش ضدويروس سيمانتك اين کرم اينترنتي را شناخته و به صورت کامل الزم به ذکر
دابل آليك بر روي آنها و غيره و يا باز نشدن درايوها با Folder Option يا Registry ويروس همانند غير فعال شدن ه اينبراي پاآسازي اثرات باقي ماندنماييد از ابزار پاآسازي زير يا باالي صفحه استفاده
:کد
http://www.damsunsecurity.com/files/extract_file.php?file_id=24&20080202
Antichrist ن ویروسنحوه از بين برد
.به شناسایی و خنثی نمودن این ویروس نمی باشند قادر Eset NOD٣٢ متاسفانه فعال حتی نسخه های بروزشده آنتی ویروس
به نقل از (ضدويروس سيمانتک و احتماال آخرين نگارش) ٢٠٠٨نسخه ) McAfee، ( آزمایش شد٧در نسخه ) Kaspersky اما حداقل سه آنتی ویروس .مذکور هستند قادر به شناسایی و پاک کردن ویروس) ت امنيتی دمسانسای
انتی ویروس اولين انتی ویروسی بود که این کرم را پيدا و کامال پاک می کند را توصيه می کنم چون این ( Norton ) من خودم انتی ویروس سيمانتک . کنيد د تمام درایو ها را اسکنسعی کنيد به طور کامل این انتی ویروس را اپدیت کنيد و بع حتما.
.بسته های بروزرسانی مجهز کنيد سپس اقدام به کنترل سيستم نمایيد برای پاک کردن این ویروس ابتدا آنتی ویروس خودتان را به آخرین تمام هارد را برای یافتن ویروس اسکن نمایيد توصيه می کنم که
. ویروس یابی کنيد safe mode حتما سيستم خودتان را در حالت : نکته
. خود داری کنيد و از کليک کردن روی درایو ها تا پاک شدن کامل ان
. توانيد برگردانيد بعد از پاک شدن ویروس قسمتهای حذف شده را مانند روشهای باال می . کنيد را پاک autoplay.exe و سپس باید به تمام درایو ها رفته و
. ذکر شده است را باال به طور کامل autoran یا autoplay.exe نحوه پاک کردن ویروس: نکته
به رجيستری رفته و مسير زیر را دنبال کنيد :کد
HKEY_LOCAL_MACHINE\Software\Microsoft\windows\curr ent version\run
. کليک کنيد و هر چيزی سمت راست اگر گزینه های زیر وجود دارند انها را پاک کنيد run رویblank
igfxhkcmd igfsexper
igfxtray vxds
. انجام دهيد safe mode باید در حالت همه این کارها را
Kazme_Gheyz.exe ويروس
Kazme_Gheyz.exe نحوه تشخيص ویروس . زیر می افتد اگه کامپيوترتان به این ویروس آلوده شده باشد اتفاقات
1- Command Prompt ندارید 2- Msconfig , Regedit , Task Manager ,.... کار نمی کند .
autorun.inf طریق فایل بطور پنهان قرار گرفته تا با کليک بر روی هر درایو این ویروس از Kazme_Gheyz.exe در داخل فهرست ریشه همه داریوها فایل . اجرا شود
اکسپلورر رو هم به سایت homepage رو غير فعال می کند و device manager و registry این ویروس قسمت هاي مهم سيستم شما رو مانند . خودش تغيير می دهد
kazm_gheyz نحوه پاک کردن ویروس
taskmgr1.exe و regedit1.exe . بگردید و بعد نام انها را اینطور تغيير دهيد taskmgr.exe و regedit.exe بروید و دنبال search ابتدا به قسمت
end proccess یا چيزی شبيه به ان بگردید بعد ... kazm_gheyz پروسه ای به نام به دنبال proccesses را اجرا کنيد و در تب taskmgr1.exe سپس . بزنيد تا بسته شود را
mycomputer را باز کنيد و از منوی tools گزینه folder options ا انتخاب کنيد و به تب view برید و تيک show hidden files and folders بزارید و را
کنيد apply شروع ميشه را بردارید و hide تيک دو تا گزینه پایينيش که با
( shift - delete) پاک کنيد را پيدا و autorun.info و kazm_gheyz.exe از داخل تمام درایوهاتون دو فایل . کر کرده اماموزش ذ را در ابتدای autorun.info نحوه پاک کردن ویروس
و پاک را بزنيد delete را سرچ کنيد هرجا که پيدا شد کليد kazm را انتخاب کنيد و کلمه find گزینه edit را اجرا کنيد و از منوی regedit1 حاال فایل
این نام پاک شود را بزنيد و بازهم پاک کنيد تا همه رجيستری از F3 کنيد برای یافت گزینه بعدی بزنيد use blanked را روی home page را انتخاب کنيد و internet options گزینه tools بروید و از منوی internet explorer به
. نرفت این کارها را چند بار تکرار کنيد تا دیگر اثری از ان باقی نماند اگه ویروس از بين انتی ویروسی که این ویروس را از بين می برد این هم
zip.gheyz_kazme_anti/83546664/files/com.rapidshare://http
Imaut-A کرم
Imaut-A آامپيوتري براي سيستم هايويندوزي است يك آرم . : ير آپي مي آندشده و درايوهاي قابل انتقال بهصورت ز share هاي اين آرم خودش رادر شبكه
:کد
\Funny UST Scandal.avi.exe \smss.exe \lsass.exe \Funny UST Scandal.exe \killer.exe
: شود بتواند اجرا smss.exe تا همچنين مدخل زير در رجيستري ايجاد مي شود :کد
HKCU\Software\Microsoft\Windows\CurrentVersion\Run Runonce \smss.exe
: با آغاز ويندوز اجرا شود بتواند killer.exe يز تغيير مي آند تازير ن مدخل
:کد
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon Shell explorer.exe, killer.exe
: مدخل هايزير نيز تغيير مي آنند
:کد
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Exp lorer\Advanced\Folder\Hidden\SHOWALL CheckedValue 0
کرم روش هایی برای پاک کردن این
آنتيويروس به روز آردن . 1 : انجام دهيد آرمكامپيوتري آارهاي زير را سوفوسبراي حذف يك روش پاك سازي توسط آنتي ويروس .2
. دریافت کنيد ای زیررا از لينک ه Sophos Anti-Virus را ببنديدبرنامه همه ي برنامه هاي خود
rar.SOPHOSANTIVIRUS/com.enfull.12www://http
rar.SOPHOSANTIVIRUS/com.enfull.10www://http
به و سپس درايو مورد نظر را انتخاب آنيد Immediate تب را بگذرانيد وبرنامه آنتي ويروس را اجرا آنيد Start|Programs| SophosAnti-Virus مراحل
Options|Configuration رفته و تب Disinfection يا Action سپس را انتخاب آرده Infected file و بعد از آن Delete را انتخاب آنيد و در آخر OK را دبزني
آنيد تا مطمئن شويد پاك سازي آنيد، سپس يك پويش ديگر را اجرا فايل هاي مورد نظر را پاك را بزنيد GO يا دآمه scan اجرا آردن پويش ، برايرا انتخاب Delete آن و بعد از Infected files انتخاب آرده سپس Action يا Disinfection و تب برگرديد Options|Configuration صورت گرفته استبه
است شويدپاك ساري صورت گرفته آرده و پويش نهايي را اجرا آنيد تا آامال مطمئن Reboot را آامپيوتر را بزنيد OK آنيد و در آخر
: دستي روش پاك سازي به صورت
.را در سيستم تغيير داده و يك آپي از آنهاتهيه آنيد ابتدا تمامي داده خود
ا دوباره تغييرر دهيد و يك نگاهي به مسايالمنيتي شبكه خود بيندازيد Administrator پسورد.
ويرايشگررجيستري شما باز در taskbar دآمه start را بزنيد و منوي run رااجرا آنيد و در آن Regedit را بنويسيد و دآمه ok را آليك آنيد تا صفحه شتيبان ازآن تهيه آنيدفراموش نكنيد آه قبل از دستكاري رجيستري يك نسخه پ . شود .
All گزينهExport range و در پنل Export Registry File رويگزينه Registry را انتخاب آرده و براي تهيه نسخه پشتيبان از رجيستري خود ؛ در منوي . Save را آليك آنيد تا نسخه پشتيبان از رجيستري شما تهيه شودسپسدآمه
حال درمدخلHKEY_CURRENT_USER :جيستري زيرمدخلر
:کد
HKCU\Software\Microsoft\Windows\CurrentVersion\Run Runonce \smss.exe
.هرمدخلي آه به فايلي اشاره مي آرد حذف آنيد
همچنين در مدخل HKEY_LOCAL_MACHINE مقدار VALUE از CheckedValue و از1را Shell را explorer.exe بگذاريد :
:کد
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Exp lorer\Advanced\Folder\Hidden\SHOWALL CheckedValue 0 HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon Shell explorer.exe, killer.exe
رجيستري خود را ببنديد و دوباره سيستم خود را راه اندازي سپس .آنيد
W32/Wukill.worm.gen ( Wukill )کرم
: طریقه گسترش کرم
چون خود ا در. که کرم با فالپی و تمامی وسایل انتقال فایل منتقل می شود . می شود هر پوشه ای که باز کنيد آلودگی با اجرای فایل کرم انجام
. کپی می کند
در کامپيوتر آلوده : . کپی می کند و یا اگر شخصبعد از قرار دادن فالپی ، کرم خود را در آن سيدی رایت کند ، کرم را که به صورت مخفی است را نيز رایت خواهد کرد
در کامپيوتر ميزبان :
کردن پوشه یا 2000 , 98اگر شخص از ویندوز های ME , و ویندوز هایی که از Customize Folder Wizard استفاده می کند ، داشته باشد با باز سرویس ویندوز استفاده کردن و جود را اجرا می کند . چون کرم از آین. که کرم در آن وجود دارد آلوده خواهد شد فالپی درایوی
در. غير فعال است و دیگر وجود ندارد آلودگی فقط با اجرای مستقيم کرم شروع می شود ویندوز های دیگر نيز با در ویندوز xp چون این سرویس اگر باز بخواهيد فایل را اجرا کنيد اختار زیر ظاهر می شود : بعد از اجرای فایل. لوده می شود اجرای مستقيم کامپيوتر آ
. کرم خود را با نام های مختلف در یکی از پوشه های Help ،Web ،System ،Temp ، Windows کپی می کند
Rundesktop.ini یا desktop.ini را تغيير می و در تمامی پوشه هایی که وارد شوید یک فایل اجرایی با نام سازد و در همان پوشه فایلپوشه می در آن کدهای زیر را اضافه می کند : دهد و
در این فایل هم کدهای زیر قرار دارد. یا درایور هارد اجرا کند : تا فایل دومی به نام comment.htt یا Runcomment.htt را بعد از هر بار ورود به پوشه
. که فایل اجرایی موجود در پوشه را اجرا می کندهمچنين در درایو. را در تمایم درایو های هارد و بعضی پوشه های می سازد WINFILE.EXE این فایل شبيه پوشه . فالپی همچنين کرم فایلی به نام
. است
: عالئم آلودگی وجود فایل در درایو های هارد (1 این فایل درکپی شدن خود کار فالپی درایو (2 . دو باره بعد از مدتی مخفی می. اگر فایلهای مخفی را ظاهر کنيد شوند (3البته مخفی(آنجا ساخته می شود (4 . ( هنگام رفتتن به هر پوشه فایلی اجرای به شکل پوشه و با همان نام در . ویندوز بعد از2000 تا 98در ویندوز های مدتی کند می شود (5اما بعد از رفتن به مقصد گزینه پست غير فعال شده است انگار کپی . می کنيد یعنی شما فایل را کپی. بعضی مواقع کپی و پست کار نمی کند (6
! نگرفتهانجام
ویروس به زبان :1نکته VB نوشته شده توسط مایکروسافت ویژوال استودیو . Xgtray احتماال نام دیگر ویروس : 2نکته
وارد پوشه ای شوید که اگر هنگامی که : 3کته ن فایل اصلی کرم در یکی از پوشه های Help ،Web ،System ،Temp ، Windowsباشد و شما ! دیگری می رودکرم در آن است آن وقت کرم جای حود را عوض می کند و به پوشه ی
طریقه پاک کردن ویروس :
تمامی را می شناسندآنتی ویروس ها دیگر این ویروس . . اما پاک کردن دستی به این صورت است
Taskmanenger فایلی که در حافظه است. ( ابتدا فایل اجرایی ویروس را از کار می اندازید ( با (1نيدبعد آنهایی را که شکل پوشه هستند را پاک می ک. گردید (2 . کيلو بایت می48با سرچ ویندوز دنبال فایلهای اجرایی با حجم دو باره باسرچ ویندوز دنبال فایلهایی با پسوند htt و با نام های comment و Runcomment ميگردید . . همه را پاک کنيد (3
بهتر است از. اما بهترین کار استفاده از یک آنتی ویروس است به باال استفاده کنيد8مکافی ورژن این ویرس ممکن است کارهای دیگری هم انجام دهد