تبلیغات :
آکوستیک ، فوم شانه تخم مرغی، صداگیر ماینر ، یونولیت
دستگاه جوجه کشی حرفه ای
فروش آنلاین لباس کودک
خرید فالوور ایرانی
خرید فالوور اینستاگرام
خرید ممبر تلگرام

[ + افزودن آگهی متنی جدید ]




صفحه 2 از 102 اولاول 1234561252 ... آخرآخر
نمايش نتايج 11 به 20 از 1015

نام تاپيک: آنالـیز و پاکسازی سیستم های آلوده(ابتدا پست اول را ببینید و فایل گزارش را آماده کنید)

  1. #11
    داره خودمونی میشه
    تاريخ عضويت
    Feb 2011
    پست ها
    28

    پيش فرض

    سلام خسته نباشيد
    من وقتي K-Lite Codec Pack نصب ميكنم اين error ميده
    runtime error
    r6002
    floating point support not loaded

    ديونه شدم لطفان كمك كنيد 5 بار ويندز عوض كردم بازم اروور ميده تو وسط بازي يهو قطع ميشه بازي همه ي انتي ويروسارم نصب كردم بازم نشد

  2. #12
    حـــــرفـه ای A M ! N's Avatar
    تاريخ عضويت
    Dec 2009
    محل سكونت
    Under the weeping moon
    پست ها
    7,118

    پيش فرض

    سلام خسته نباشيد
    من وقتي K-Lite Codec Pack نصب ميكنم اين error ميده
    runtime error
    r6002
    floating point support not loaded

    ديونه شدم لطفان كمك كنيد 5 بار ويندز عوض كردم بازم اروور ميده تو وسط بازي يهو قطع ميشه بازي همه ي انتي ويروسارم نصب كردم بازم نشد
    دوست عزیز ، توجه نکردین مث اینکه، اینحا تاپیک بررسی تخصصی سیستم های آلوده هست، اگه مشکل آلودگی سیستم دارین باید لوگ نرم افزاری که پست شماره ی یک همین تاپیک معرفی کردم رو بزارین ، اگه مشکل با نرم افزارتون دارین اینجا مطرح کنین:


  3. 2 کاربر از A M ! N بخاطر این مطلب مفید تشکر کرده اند


  4. #13
    داره خودمونی میشه
    تاريخ عضويت
    Feb 2011
    پست ها
    28

    پيش فرض

    سلام خسته نباشيد اينم لاگ
    [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
    اگه اين دفعه ام درست نشه هاردمو فرمت ميكنم



    [
    Last edited by asgar aga; 21-01-2012 at 19:26.

  5. #14
    حـــــرفـه ای A M ! N's Avatar
    تاريخ عضويت
    Dec 2009
    محل سكونت
    Under the weeping moon
    پست ها
    7,118

    پيش فرض

    سلام خسته نباشيد اينم لاگ
    [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
    اگه اين دفعه ام درست نشه هاردمو فرمت ميكنم



    [
    سلام ، شما سیستمتون آلوده هست با چه آنتی ویروسهایی چک کردین ؟، احیانا الان رجیستری تون باید غیرفعال باشه، حدس بر این هست که ویروس سالیتی یا ویروت داشته باشین، داخل Run تایپ کنین regedit و اوکی کنین ، ببینین چی میاد ، نتیجه رو به من بگین.

    ضمنا برنامه ی system Guard رو شما خودت نصب کردی ؟ یا خود بخود نصب شده ؟ این برنامه قلابی هستش.

    Take Care

  6. 3 کاربر از A M ! N بخاطر این مطلب مفید تشکر کرده اند


  7. #15
    داره خودمونی میشه
    تاريخ عضويت
    Feb 2011
    پست ها
    28

    پيش فرض

    HKEY-CLASSES-ROOT
    HKEY-CURRENT-USER
    HKET-LOCAL-MACHINE
    HKEY-USERS
    HKEY-CURRENT-COFIG
    اينا مياد انتي ويروس نود -مك افي-اينا

  8. #16
    حـــــرفـه ای A M ! N's Avatar
    تاريخ عضويت
    Dec 2009
    محل سكونت
    Under the weeping moon
    پست ها
    7,118

    پيش فرض

    HKEY-CLASSES-ROOT
    HKEY-CURRENT-USER
    HKET-LOCAL-MACHINE
    HKEY-USERS
    HKEY-CURRENT-COFIG
    اينا مياد انتي ويروس نود -مك افي-اينا
    خوب پس رجیستری تون مشکلی نداره..

    ناد یا مکافی هیچ کدوم به درد نمیخوره ، مکافی که کلا تحر==یم هستیم، ناد هم که هیچی! شما بهتره که کاسپر اسکای روی سیستم نصب کنین

    کارای پایین رو انجام بده :

    به حالت Safe mode بیاین اول... حتما..

    اول از همه این برنامه که حدس میزنم نقش اصلی رو در خراب کردن سیستم شما بازی میکنه :
    C:\Program Files\Dll-Files.com Fixer\DLLFixer.exe
    از آدرس بالا حذفش کنین و برنامه رو کلا حذف کنین
    اول به add or remove برو و ask toolbar یا ask.com یا هرچیزی مث اسم این رو remove کن.


    این فایل ازین آدرس :
    C:\Documents and Settings\All Users\Application Data\Anti-phishing Domain Advisor\visicom_antiphishing.exe
    پاک بشه.

    این پروسس Toolbar32.dll رو اول از داخل تسک منیجر end process کنین و بعد هم برین و پاکش کنین :
    C:\Program Files\StartNow Toolbar\Toolbar32.dll

    این فایل از داخل این آدرس پاک بشه حتما ، برنامه ی خطرناکی هستش :

    C:\Program Files\SystemGuards.com\SystemGuards\SysGuards.exe

    و این فایل :

    C:\Program Files\StartNow Toolbar\ToolbarUpdaterService.exe

    در آخر از طریق برنامه ی MBAM سیستم رو اسکن کنین :

    [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

    با این دو تا برنامه هم حتما کل سیستم رو اسکن کنین ( کم حجم هستن )

    [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
    [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

    بعد از اتمام همه ی اینکار ها یکبار ویندوز رو repair کنین.

    نتیجه رو هم بگین

    Take Care
    Last edited by A M ! N; 22-01-2012 at 02:30.

  9. 5 کاربر از A M ! N بخاطر این مطلب مفید تشکر کرده اند


  10. #17
    داره خودمونی میشه
    تاريخ عضويت
    Feb 2011
    پست ها
    28

    پيش فرض

    سلام خسته نباشيد مرسي واقعان وقت ميذارين و مشكل ما رو بررسي ميكنين

    همه ي كاراهاي بالايي رو كه گفتين انجام دادم
    اينم لاگ بعد از اون كارا زدم اين اومد
    فعلان كه سيستم درست كار ميكنه
    اگه ميشه به لاگ نگاه كنين ببينين درست شده

    [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

  11. #18
    حـــــرفـه ای A M ! N's Avatar
    تاريخ عضويت
    Dec 2009
    محل سكونت
    Under the weeping moon
    پست ها
    7,118

    پيش فرض

    سلام خسته نباشيد مرسي واقعان وقت ميذارين و مشكل ما رو بررسي ميكنين

    همه ي كاراهاي بالايي رو كه گفتين انجام دادم
    اينم لاگ بعد از اون كارا زدم اين اومد
    فعلان كه سيستم درست كار ميكنه
    اگه ميشه به لاگ نگاه كنين ببينين درست شده

    [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
    خواهش میکنم عزیز...
    یک سری کارا رو هنوز درست انجام ندادین دوست خوبم.

    برنامه ی MBAM رو نگرفتین هنوز ؟ اسکن کردین باهاش کل سیستم رو ؟ خیلی مهمه ها...

    گفتم که تولبار startnow رو پاک کنین ، الان شده صفحه ی خونگی مرورگر وبتون ، و شدیدا Page این سایت آلوده هست.

    [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
    وارد سایت بالا نشین به هیچ وجه..

    تولبارهای مربوط به Ask.com مث اینکه هنوز پاک نشدن، از داخل add or remove برین و پاک کنین..
    شما چه ورژنی از کاسپر رو نصب کردین الان ؟ KIS یا AVP tool ؟

    برنامه ی KM player ورژن جدید رو نصب کردین.... همراهش برنامه ی Pnadora TV هم نصب شده به add or remove برین و پاکش کنین اسمش اینه : PandoraTV

    خیلی از بدافزارها الان پاک شدن من جمله : antiwpa.dll که آلوده بود..و به طور پیشفرض در مسیرهای زیر میتونه قرار بگیره :

    ProgramFiles%\xp activation crack\amd64\antiwpa.dll%

    ProgramFiles%\xp activation crack\x86\antiwpa.dll%
    System%\antiwpa.dll%
    Temp%\activator\amd64\antiwpa.dll%
    Temp%\antiwpa.dll%
    c:\zwga\antiwpa.dll

    بعد از تکمیل کردن کارتون با برنامه ی CCleaner رو از لینک پایین بگیرین و کل سیستم و رجیستری رو پاکسازی کنین:
    [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

    اگه طبق برنامه پیش نرین کارتون درست انجام نمیشه..

    Take Care
    Last edited by A M ! N; 23-01-2012 at 01:33.

  12. 2 کاربر از A M ! N بخاطر این مطلب مفید تشکر کرده اند


  13. #19
    حـــــرفـه ای A M ! N's Avatar
    تاريخ عضويت
    Dec 2009
    محل سكونت
    Under the weeping moon
    پست ها
    7,118

    13 روشهای حل مشکل Show Hidden Files و از بین بردن انواع ویروسهای کامپیوتری

    به نام خدا
    براتون پیش اومده تا حالا ؟؟؟؟؟

    شما تيک Show Hidden Files را ميزنيد ولي کار نمي کند و وقتي بر مي گرديد هنوز روي Do Not Show Hidden Files هست !
    این مشکل به دلیل وجود ویروسهایی متعددی روی سیستم شما بوده است که با پاک شدن انها توسط انتی ویروس ها آثارشون باقي مانده .
    همچنین راههایی برای از بین بردن انواع ویروس های کامپیوتری که اکثریت انها را انتی ویروس ها تشخیص نمی دهند .



    حالا از کجاها بفهمیم که کامیپوتر ما ویروس گرفته است .

    موقعي که شما وارد My Computer مي شويد و روي درايو هاي ان راست کليک مي کنيد و در اين هنگام يک گزينه با يک زبان نامفهوم را مي بينيد .


    یا اینکه وقتی روی درایوهایتان دوبار کلیک می کنید محتوای درایوهای شما در یک صفحه جدید باز می شود .
    یا موقع دابل کلیک کردن روی درایو هایتان پنجره Open With باز می شود و به شما می گوید Choose the program you want to use to open this file

    یا هنگام کلیک بر روی درایو هایتان error ی به شما داده می شود .

    یعنی سیستم شما ویروسی شده است . این ویروس ، ویروس autorun.inf می باشد . نحوه پاک کردن این ویروس را در قسمت های بعد گفته شده است .

    همچنين اين ويروس باعث از بين رفتن و پاک شدن Folder Options خواهد شد

    و اگر شما گزينه هاي Show hidden files and folders و Hide protected operating system files (Recommended) را مارک دار کنيد با ok کردن پنجره اين گزينه کار نخواهند کرد و دوباره به حالت اوليه باز خواهند گشت .

    همچنين اين ويروس باعث غير فعال شدن Task Manageو Registry Editor خواهد شد .






    اگر شما روي گزينه command prompt يا cmd نيز کليک کنيد يا باز نخواهد شد و پيغام زير را خواهد داد يا اينکه به سرعت باز و بسته خواهد شد .
    the command prompt has been disabled by your administrator

    راههاي ورود اين ويروس از طريق قطعاتي خواهد بود که از طريق usb با سيستم شما ارتباط دارند . قطعاتي مانند فلش مموري ها ( کولديسک ) ، موبايل ها ، رم ريدر ها و ...



    نحوه از بین بردن ویروس autorun.inf


    مواقعی که شما وسایلی مانند USB, flash drive را به کامپیوتر وصل می کنید ویروس اتوران وارد سیستم شما می شود . به دلیل این که ویروس autorun.inf به صورت hidden و سیستمی می باشد به همین دلیل اکثر انتی ویروس ها قادر به شناسایی و از بین بردن این ویروس نیستند .

    خوشبختانه نسخه های جدید انتی ویروس های NOD32 و کسپراسکای این ویروس را تشخیص داده و به راحتی ان را از بین می برند . کافی است شما یکی از این دو انتی ویروس را روی سیستم نصب کرده و ان را به طور کامل اپدیت کنید و سپس سیستم را به طور کامل ویروس یابی کنید .

    پس شرط از بین بردن این ویروس توسط انتی ویروس ها اپدیت کردن کامل انهاست . از بین این دو انتی ویروس در حال حاضر NOD32 عمل کرد بهتری دارد .

    روشهای دستی برای از بین بردن این ویروس

    این روشها هم برای فلش مموری ها و هم برای درایوها صادق می باشد .

    روش اول :

    برای از بین بردن این ویروس شما نباید به هیچ عنوان روی درایو یا فولدری دابل کلیک کنید . چون این ویروس با دابل کلیک کردن روی درایو ها فعال می شود .

    پس اولین کار این است که شما وقتی سیستم را روشن کردید به هیچ عنوان روی درایوی دابل کلیک نکنید .
    قبل از انجام مراحل زیر شما باید حتما با یکی از انتی ویروسهای NOD32 یا کسپراسکای و Avast سیستم را به طور کامل ویروس یابی کرده باشید . تا ابتدا ویروسهای احتمالی از سیستم شما پاکسازی شود .

    دلیل این که چرا باید قبل از پاکسازی ویروس اتوران به طور دستی باید از انتی ویروس های گفته شده استفاده کرد را در روش دوم توضیح داده شده است .

    ابتدا فلش مموری را به کامپیوتر وصل کنید . و سپس منتظر بمانید تا درایو مربوط به ان در my computer ظاهر شود . بعد از ظاهر شدن درایو مربوط به فلش مموری دیگر روی هیچ یک از درایو های کامپیوتر و حتی فلش مموری دابل کلیک نکنید .

    حالا مراحل زیر را ابتدا انجام دهید .

    ابتدا وارد My Computer شوید .
    بعد از مشاهده لیست درایوها از نوار بالا بروی گزینه Tools کلیک کرده سپس گزینه Folder Options را انتخاب کنید

    راهنمایی : اگر Folder Options شما وجود ندارد و ممکن است پاک شده باشد در زیر برنامه هایی برای برگرداندن ان معرفی کرده ام .

    در پنجره جدید باز شده گزینه View را انتخاب کنید و بروی گزینه Show hidden files and folders کلیک کنید تا دایره آن توپر شود .
    کمی پایینتر تیک گزینه Hide Protected Operationg System Files را بر دارید . حالا ok کنید

    از این به بعد تا پاک سازی کامل این ویروس از داخل درایو ها روی هیچ کدام از درایو ها نباید دابل کلیک کرد بلکه باید با راست کلیک روی درایو و زدن open وارد درایو شوید .

    (حتما یادتون باشه با راست کلیک کردن و زدن open وارد درایو هایتان شوید اگر دوبار روی درایوی کلیک کنید باز هم ویروس فعال خواهد شد و دوباره همه چیز به حالت اول بر خواهد گشت . پس حتما با راست کلیک کردن و زدن open وارد درایوهایتان شوید)

    ابتدا با راست کلیک روی درایو C و زدن OPEN وارد ان شوید و فایلی به نام autorun.inf را از داخل درایو هایتان پاک کنید . سپس با راست کلیک و زدن open وارد درایو های دیگر شوید و همچین فایلی را از داخل همه درایو ها پیدا کرده و پاک کنید .

    بعد از این که شما همه فایلهای autorun.inf را از داخل همه درایو ها پاک کردید باید بلافاصله بدون انجام هیچ کار اضافی ( حتی نباید جایی کلیک کنید ) سیستم را Reset کنید .

    حتما باید سیستم بلافاصله ریست شود .

    فرض می کنیم فلش مموری یا RAM مربوط به موبایل شما نیز به این ویروس مبتلا شده باشد .

    شما باید فلش مموری یا موبایل خودتون را به کامپیوتر متصل کنید و بعد از دیدن درایو مربوط به ان با راست کلیک و زدن open وارد ان شوید و فایلی به نام autorun.inf را از داخل ان پاک کنید و همین طور که فلش مموری یا موبایل شما به کامپیوتر متصل است سیستم را Reset کنید .

    این اموزش مربوط به ویروس autorun.inf بود . اما همیشه این ویروس به تنهایی در درایو های شما قرار نمی گیرد بلکه ممکن است همراه خود چندین فایل exe نیز داشته باشد که اگر شما کامل مقاله را مطالعه فرمایید اسم انها گفته شده است که شما در حین پاک کردن ویروس autorun.inf باید انها را نیز همراه این ویروس از داخل درایو ها پاک کنید .



    ++++++++++++++++++++++++++++++++++

    روش دوم :

    برای این که متوجه شوید کامپیوتر شما به ویروس autorun.inf مبتلا شده است یا نه ، باید ابتدا فایلهای مخفی و سوپرهایدن را قابل روئیت کنید .

    چون این ویروس به صورت مخفی و سیستمی می باشد .


    برای این که فایلهای مخفی را بتوانید ببینید از روش اول برای از بین بردن autorun.inf استفاده کنید . اما گاهی اوقات به دلیل دچار شدن به یک ویروس دیگر شما قادر به دیدن فایلهای مخفی نیستید .

    برای این کار کافی است مسیر زیر را دنبال کنید .

    Start->Run->cmd.exe


    سپس در محیط cmd به root درایو ها رفته ( برای رفتن به ریشه یک درایو باید از دستور cd\ استفاده کنید ) و عبارت dir /ah را تایپ کنید با این کار تمامی فایلهای و فایلهای مخفی درایو به شما نشان داده خواهد شد . که شما با این روش می تونید ببینید که ایا کامپیوتر شما به ویروس autorun.inf مبتلا شده است یا نه .


    یک روش برای از بین بردن ویروس autorun.inf استفاده از همین محیط cmd می باشد . که شما باید با استفاده از دستورات داس به root درایو ها رفته و با استفاده از دستور del /a/f autorun.inf این ویروس را از تمامی درایو ها خود پاک کنید . توجه کنید که ابتدا باید درایو c را پاک کرده و بعد بقیه درایو ها را پاک کنید . بعد از این کار بلافاصله کامپیوتر را ریستارت کنید .






    گاهی اوقات بعد از این که شما به طور دستی اقدام به پاکسازی ویروس اتوران می کنید بعد از چند ثانیه این ویروس دوباره سر جای خود برمی گردد .


    این مشکل به این دلیل است که جدیدا ویروس اتوران پیشرفت زیادی کرده و به تنهایی فقط شامل یک فایل notpad به اسم autorun.inf نیست بلکه همراه این فایل چند فایل exe نیز وجود دارد که به این فایل ضمیمه شده اند که نشان از پشرفت این ویروس داشته است .


    چند تا از فایلهای exe که اخیرا همراه این ویروس در درایو ها ایجاد می شود و مانع از پاکسازی ویروس اتوران به طور دستی می شود فایلهایی به اسم 3o.exe و sxs.exe و semo2x.exe و system.exe و m88coaim.exe می باشد .


    متاسفانه فایل های exe را نمی توان به طور دستی پاک کرد به خاطر این که بعد از پاک شدن سریعا در عرض چند ثاینه یک جایگزین برای خود درست می کنند .


    پس برای این که بتوانید به راحتی و به طور دستی ویروس اتوران را پاک کنید باید ابتدا فایهای exe ضمیمه ان را از بین ببریم برای این کار من انتی ویروس Avast را پیشنهاد می کنم که قادر به از بین بردن برنامه های exe ضمیمه شده به ویروس اتوران است مخصوصا فایل 3o.exe . بعد از ان شما به راحتی می توانید به طور دستی فایل autorun.inf را از درایوها پاک کنید .


    پس شرط از بین بردن ویروس اتوران به طور دستی این است که شما قبل از ان با انتی ویروس Avast سیستم را به طور کامل ویروس یابی کنید تا برنامه های exe همراه ویروس اتوران از بین بروند .


    ++++++++++++++++++++++++++++++++++

    روش سوم :

    این روش شاید دیگر به این راحتی ها جواب ندهد به این دلیل که ویروس اتوران پیشرفت کرده و دیگر به تنهایی فقط شامل یه فایل notpad نیست بلکه همراه خود چندین فایل exe نیز دارد . اما گفتن این روش هم خالی از لطف نیست .
    یک روش هم برای از بین بردن ویروس اتوران این است که برنامه notpad را باز کنید و دستور زیر را در ان کپی کنید و سپس با نام و پسوند autorun.inf ذخیره کنید .


    کد:
    [AutoRun] open=explorer.exep
    سپس به مسیر tools->folder options->view رفته و تیک گزینه hide extensions for known file types را بردارید تا پسوند فایلهای نیز نمایان شود .

    سپس فایلهای مخفی و سوپرهایدن را قابل روئیت کنید و فایل autorun.inf خود را در همه درایو ها کپی کنید با این کار اگر فایل اتوارن دیگری در درایو شما باشد اخطاری مبنی بر جایگزین کردن فایل به شما داده خواهد شد که شما با زدن گزینه yes پیغام را تائید کنید .


    این کار را برای تمام درایو ها انجام دهید . با این کار فایل اتوران شما جایگزین ویروس اتوران خواهد شد .

    همان طور که گفتم شاید این روش دیگر جواب ندهد .


    +++++++++++++++++++++++++++++++

    روش چهارم :

    copy.exe تروجانی است که گاهی اوقات در تمامی درایو های شما قرار میگیره و با هر بار کلیک بر روی درایو ها فایل autorun.inf فایل این فایل را اجرا می کنه .

    یکی از روشهای پاک کردن این ویروس این است که ابتدا شما باید پروسه های temp1.exe و temp2.exe رو از بین ببرید . برای این کار ابتدا باید سیستم را به صورت safe mode راه اندازی کنید .


    شما نباید روی درایو ها یتان دابل کلیک کنید چون با این کار ویروس autorun.inf که در درایو هایتان قرار دارد باعث فعال شدن پروسه های temp1.exe و temp2.exe می شود .


    بعد از راه اندازی سیستم به صورت safe mode شما باید با راست کلیک کردن و زدن گزینه open وارد درایو c ویندوز شده و به پوشه windows و بعد هم پوشه system32 رفته و دو فایل temp1.exe و temp2.exe را حذف کنید .


    البته در بعضی از نسخه های ویروس copy.exe ویروس autorun.inf حتی درون پوشه %win% هم وجود داره بنابراین حتما حتما برای ورود به درایوها پوشه ها را با راست کلیک باز کنید .


    نکته : قبل از اینکار باید ابتدا این پروسه ها را از Task Manager پاک کنید . برای این کار با زدن کلید های ترکیبی ctrl + alt + delete وارد Task Manager بشید و پروسه های temp1.exe و temp2.exe را از لیست processes با کلیک بر روی انها و زدن end process حذف کنید .


    ویروس autorun.inf با هر بار فعال شدن موجب میشه که دو فایل xcopy.exe و host.exe درون همون درایو فعال بشن و دوباره دو فایل temp1.exe و temp2.exe رو بسازن.


    شما نباید فایل های xcopy.exe را با فایل های خود windows که درون پوشه ی system32 هستند اشتباه بگیرید .


    برای تشخیص ویروس xcopy.exe و فایل xcopy.exe که در پوشه system32 است باید از حجم انها این دو را شناسایی کرد اگر فایل xcopy.exe حجمی معادل 32 کیلو بایت داشت مربوط به خود ویندوز می باشد در غیر این صورت ویروس خواهد بود .


    حالا فایلهای سیستمی را مانند ورش اول از حالت هایدن خارج کنید و ویروس autorun.inf را پاک کنید و بعد هم به درایوهای خودتون نگاه کنید اگر فایلهایی با عنوان xcopy.exe و host.exe بودند با خیال راحت پاک کنید .


    برای از بین بردن ویروس autorun.inf از برنامه ای که بدین منظور ایجاد شده است نیز می توانید استفاده کنید .


    برنامه به صورت فشرده شده میباشد ابتدا ان را از حالت فشرده خارج سازید و برنامه را اجرا کنید و سپس گزینه scan را بزنید تا شروع به پاک سازی این ویروس از درایو ها شما کند .


    ================================================== =============



    باز شدن درایوها با دابل کلیک در یک پنجره جدید یا باز شدن پنجره search

    برای حل این مشکل ابتدا باید مطمئن شوید تیک گزینه Open Each Folder In Its Own Window زده شده است . برای این کار به مسیر زیر بروید .
    Tools >> Folder Options و سپس تب General
    حال اگر مشکل از این قسمت نبود از روشهای زیر استفاده کنید .


    روش اول :

    ابتدا به منوی start رفته و گزینه run را بزنید و سپس عبارت regsvr32 /i shell32.dll را در ان کپی کنید و سپس کلید اینتر را بزنید .

    روش دوم :

    به منوی start رفته و گزینه Run را بزنید و سپس عبارت regedit را تایپ کنید تا وارد محیط رجیستری شوید .
    به هر دو مسیر زیر بروید

    HKEY_CLASSES_ROOT\Directory\shell
    و
    HKEY_CLASSES_ROOT\Drive\shell

    در پنل سمت راست ، مقادیر پیش فرض عبارات بالا رو پیدا کنید. سپس روی انها دابل کلیک کرده و در قسمت Value data عبارت none را قرار دهید و سپس روی دکمه Ok رو کلیک کنید.

    روش سوم :

    به منوی start رفته و روی run کلیک کنید و عبارت زیر را داخل ان کپی کرده و کلید اینتر را فشار دهید .
    کد:
    reg add hkcr\drive\shell /ve /d none /f

    ================================================== =============



    نحوه پاک کردن ویروس Copy.exe

    اسامی دیگر این ویروس host.exe, xcopy.exe, temp1.exe, temp2.exe and svchost.exe,Salga-A worm
    این ویروس یکی از خطرناک ترین ویروس ها هست که به عنوان یک پروسه در سیستم شروع به فعالیت و انتشار خودش می کنه و با توجه به اینکه بعضی از انتی ویروسها به صورت نامناسب این ویروس را پاک می کنند باعث نمایش یک پیغام در زمان دابل کلیک کردن روی درایو و یا فولدر در محیط ویندوز می شوند .





    برای پاک کردن دستی این کرم شما باید ابتدا همه پروسه هایی که با نام های host.exe, xcopy.exe, temp1.exe, temp2.exe and svchost.exe,Salga-A worm هستند را پیدا کنید و انها را پاک کنید .

    تذکر : مواظب باشید این فایلها را با فایلهای اساسی سیستم عامل اشتباه نگیرید .

    مهم : یکی از دلایل اصلی به وجود امدن این مشکل ویروس Autorun.inf هست که شما باید طبق روش هایی که در اموزش گفته ام ان را پاک کنید . این کار را حتما انجام دهید . یعنی حتما باید ابتدا ویروس Autorun.inf را طبق اموزش باید از بین ببرید .

    سپس به این ادرس در رجیستری رفته و اگر کلیدی به اسم Copy.exe در زیر منوی MountPoints2 وجود داشت ان را پاک کنید .

    کد:
    HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\MountPoints2







    ================================================== =============



    راههاي دستي براي از بين بردن ویروسی که Show Hidden Files را غیر فعال می کند .

    1- از Start Menu وارد Run بشيد و در اونجا تايپ کنيد : regedit
    وقتي صفحه ي رجيستري باز شد ، از سمت چپ وارد اين مسير بشيد :

    کد:
    HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\Advanced
    در اين قسمت ، در ليست متغير هايي که سمت راست وجود دارند ، متغير آبي رنگي ( DWORD Value ) رو به نام Hidden پيدا کنيد و روی ان دابل کليک کنيد . اگر مقدارش ( Value data ) به 0 تغيير کرده ، ان را به 1 یا 2 تغییر دهید و OK کنيد . حالا رجيستري رو ببنديد و ريستارت کنيد .


    2- مسير زير رو دنبال کنيد :
    کد:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\Advanced\Folder\Hidden
    اکنون در سمت راست پنجره ي Regedit روي Type دو بار کليک کرده و مقدار آن رو برابر با group قرار دهيد ( يعني در پنجره اي که باز ميشه کلمه ي group رو تايپ کنيد ).
    با اين کار تونستيد Show Hidden Files از دست رفته را که دیده نمی شد برگردونید .


    3-مسير زير رو دنبال کنيد :
    کد:
    HK LocalMachine\Software\Microsoft\Windows\CurrentVer sion\Explorer\Advanced\Folder\Hidden\SHOWALL
    در سمت راست پنجره ي Regedit مقدار CheckedValue رو برابر با 1 قرار بديد.


    ================================================== =============


    راههای دستی برای برگرداندن قسمتهای حذف شده از سیستم شما .

    فعال ساختن ( Registry ( Regedit :

    روش اول :
    ابتدا وارد منوی start شده و روی گزینه run کلیک کنید و کلمه gpedit.msc را تایپ کنید .
    در صفحه Group Policy به مسیر پایین بروید:
    User Configuration> Administrative Templates> System
    بعد از کلیک نمودن بروی System در سمت راست پنجره Group Policy بالای
    Prevent access to registry editing tools دابل کلیک نموده و در تب Setting گزینه Disable را علامت دار نموده و بالای کلید OK کلیک نمایید اما پنجره Group Policy را نبندید!
    حالا Regedit فعال شده است و شما میتوانید واردش شوید.



    روش دوم :
    مسیر زیر را داخل note pad کپی کرده و سپس با نام Regedit.reg ذخیره کنید و بعد ان را اجرا کنید .

    کد:
    Windows Registry Editor Version 5.00 REG add HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\System /v DisableRegistryTools /t REG_DWORD /d 0 /f

    برگرداندن Run :

    در صفحه Group Policy به مسیر پایین بروید:
    User Configuration> Administrative Templates> Start Menu and Taskbar
    بعد از کلیک نمودن بروی Start Menu and Taskbar، در سمت راست پنجره Group Policy بروی گزینه Remove Run menu from Start Menu دابل کلیک نموده و در تب Setting گزینه Disable را علامت دار نمایید. حالا گزینه Run فعال شده است.




    برگرداندن Folder Option :

    برای برگرداندن Folder Option به مسیر زیر در پنجره Group Policy بروید:

    User Configuration> Administrative Templates> Windows Components> Windows Explorer

    بعد از کلیک نمودن بروی Windows Explorer، در سمت راست پنجره Group Policy بروی Removes the Folder Options menu item from the Tools menu دابل کلیک نموده و از تب Setting گزینه Disable را علامت دار نمایید و بروی کلید OK کلیک نمایید
    .



    فعال کردن task manager

    برای فعال ساختن Task Manager در کادر محاوروی Run عبارت Gpedit.msc را تایپ نموده و اینتر کن و سپس به مسیر پایین برو:
    User Configuration > Administrative Templates > System
    حالا در زیر شاخه System بروی Ctr + Alt + Del کلیک کن و سپس در سمت راست صفحه Group Policy بروی Remove Task Manager دابل کلیک نموده و در تب Setting کزینه Disable را علامت دار کن. بعد از آن بروی کلید OK کلیک نموده و پنجره Group Policy را ببند.


    روش دوم :
    مسیر زیر را داخل note pad کپی کرده و سپس با نام task manager.reg ذخیره کنید و بعد ان را اجرا کنید .

    کد:
    Windows Registry Editor Version 5.00 REG add HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\System /v DisableTaskMgr /t REG_DWORD /d 0 /f

    ================================================== =============


    ================================================== =============



    معرفی برنامه هایی که توسط انها میتوانید قسمتهای حذف شده یا غیر فعال شده را به حالت اولیه برگردانید .

    مثل : folder option و رجیستری و Task Manager و Hidden F iles و پنجره Run و Windows Firewall و show desktop و show taskbar و حذف اتوران و Group policy و ....


    برنامه isReset

    حتما با ویروسهایی که فایلهای شما را به صورت سیستمی و پنهان در می آورند برخورد کرده اید. این ویروسها را با آنتی ویروس می توان از بین برد ولی برگرداندن فایلها به حالت عادی کار ساده ای نیست. با استفاده از این برنامه می توانید این فایلها را به حالت عادی برگردانید. برای این کار باید فایل یا فولدرهایی که به صورت سیستمی در آورده اند را به روی پنجره این برنامه کشیده و بر روی دکمه Reset کلیک کنید.




    برنامه Linkfars Virus Remover

    با استفاده از این برنامه می توانید ویروس جدیدی که اکثر کامپیوترها را آلوده کرده است را از بین ببرید. این ویروس را آنتی ویروس Symantec با نام W32.Linkfars و Kaspersky آن را با نام Malas نامگذاری کرده است.
    در NOD32 هم از انواع Autorun شناخته می شود. از اثرات این ویروس این است که با کلیک بر روی یک درایو محتویات آن را در پنجره جدید باز می کند.
    همچنین Folder Options پنهان می شود. در همه درایوها یک فایل Autorun.inf و Autoply.exe به صورت سیستمی و پنهان کپی می شود. یک سرویس svchost.exe با نام User شما درست می شود. یک گزینه برای اجرای فایل OfficeUpdate.exe در برنامه های Startup ساخته می شود.
    یک میانبر با آیکون فولدر و نام New Folder در بعضی درایوها و به خصوص حافظه های فلش متصل شده به سیستم ایجاد می شود. در هنگام اتصال به اینترنت شعارهای ضد حکومت و دین در بالای صفحه ظاهر می شود و .... فایل را از حالت فشرده خارج کرده و فایلهای داخل آن را به ترتیب شماره های قرار داده شده اجرا کنید.




    برنامه Ravmon Virus Removal Tool

    بازگرداندن قسمت های مهم سیستم به حالت عادی




    برنامه Restriction Removal Tool





    برنامه symantec Removal Tools




    ================================================== =============


    پاک کردن برنامه ی مخربی که پوشه ها را مخفی ( Super Hidden ) می کند


    نام دقیق این برنامه ی مخرب Trojan.Win32.Delf.aam است .

    با زبان برنامه نویسی Borland Delphi نوشته شده .


    آی...... این Malware * مانند کرم های New Folder.exe و BronTok.A شبیه آی...... یک پوشه است !

    بنابراین به سرعت منتشر می شود .

    این برنامه ی مخرب تمام پوشه های Open شده توسط قربانی را Super Hidden می کند و یک نسخه از خودش را با همان نام در همان مـسـیـر کـپـی می کـنـد کـه اگـر Victim * آن را اجرا کـنـد هم Malware اجرا می شـود و هم محـتـوی پوشـه ی Super Hidden نمایـش داده می شود !!


    یعنی اگه Victim مبتدی باشه به زودی متوجه نمیشه که چه بلایی داره سر پوشه هاش میاد !


    هــمــانــطـــور کـه می دانـیــد برای آشـکار کـردن فایـل ها و پوشـه های Super Hidden باید ابتدا در Folder Options\View روی گزینه ی Show hidden files and folders کلیک کنید و پس از آن تیک گزینه ی (Hide protected operating system files (Recommended را بردارید و به پیغام امنیتی پاسخ مثبت و شستی OK را فشار دهید .


    این Malware به Victim اجازه ی آشکار کردن پوشه ها و فایل های Super Hidden را نمی دهد !


    ضمنا Registry Tools ، Windows Task Manager و Folder Options را Disable نمی کند .


    پر واضح است که این برنامه ی مخرب از آشکار کردن پسوند فایل ها هم جلوگیری می کنه !




    ================================================== =============


    ویروس MS32DLL.dll.vbs

    گاهی اوقات داخل درایوها فایلی به اسم MS32DLL.dll.vbs نیز وجود دارد که به صورت مخفی می باشد .
    در واقع عامل ایجاد این فایل نیز همین ویروس autorun.inf می باشد و در واقع ویروس اتوران یک master هست و فایل MS32DLL.dll.vbs یک worker .


    یعنی این فایل برای اجرا شدن نیاز شدیدی به ویروس اتوران دارد و با از بین بردن ویروس اتوران این فایل که یک اسکریپت می باشد نیز ناتوان خواهد شد و به راحتی می توان ان را پاک کرد .

    این ویروس باعث می شه یه فایل به اسم MS32DLL.dll.vbs نیز در مسیر c:\windows\MS32DLL.dll.vbs ساخته شود .


    برای از بین بردن کامل این ویروس نیز شما نباید به هیچ وجه از دابل کلیک استفاده کنید بلکه باید از راست کلیک روی درایوها یا فولدرها و زدن open استفاده کنید . چون با دابل کلیک این ویروس فعال خواهد شد .


    همچنین در بعضی مواقع باعث ایجاد متنی با عنوان Hacked By Godzilla ( ممکن است یک نام دیگر نیز باشد ) در بالای پنجره اینترنت اکسپلور می شود


    برای از بین بردن این ویروس و این مشکل کارهای گفته شده را انجام دهید .

    ابتدا با زدن کلید های ترکیبی ctrl + alt + delete وارد task manager شوید و در تب processes پروسه های زیر را بیندید .


    کد:
    1. wscript.exe 2. mslogon.exe 3. systemnt.exe 4. wscript.exe 5. flashy.exe 6. sondmsg.exe
    و سپس ویروس autorun.inf را مطابق اموزش از بین ببرید .
    حال به مسیر c:\windows رفته و در صورت وجود فایل MS32DLL.dll.vbs را پاک کنید .
    سپس به رجیستری رفته و قسمتهای گفته شده را پاک سازی نمایید .


    کد:
    HKLM\Software\Microsoft\Windows\CurrentVersion\Run - MS32DLL HKLM\Software\Microsoft\Windows\CurrentVersion\Run - flashy.exe HKU\Software\Microsoft\InternetExplorer\Main - "window Title" HKU\Software\Microsoft\Windows\CurrentVersion\Poli cies\system – disabletaskmgr HKU\Software\Microsoft\Windows\CurrentVersion\Poli cies\system – disableregistrytools HKU\Software\Microsoft\Windows\CurrentVersion\Poli cies\Explorer – NoFolderOptions
    سپس کامپیوتر را ریستارت کنید .


    ================================================== =============


    معرفی برنامه SmitFraudFix

    SmitFraudFix ابزاری است برای از بین بردن ویروسهای مانند adware و malware و تروجان و پاکسازی رجیستری

    کامپیوتر را در حالت safe mode راه اندازی کنید
    برای این کار سیستم را ریستارت کنید و قبل از بالا امدن ویندوز کلید F8 را چند مرتبه پشت سر هم بزنید .
    از صفحه باز شده گزینه safe mode را انتخاب کنید . و سپس وارد یوزر خودتان شوید .
    برنامه Smitfraudfix.exe را اجرا کنید . منتظر بمانید تا صفحه زیر ظاهر شود



    سپس یکی از کلید های روی صفحه کلید را فشار دهید تا صفحه زیر ظاهر شود .


    عدد 2 را انتخاب کنید یعنی Clean (SafeMode Recommended)0 و سپس کلید اینتر را بزنید
    با این کار اسکن کردن و clean کردن سیستم اغاز می شود .
    بعد از انجام این مراحل ابزار Disk Cleanup tool اجرا می شود و فایلهای بی مصرف را از روی سیستم پاک می کند .


    بعد از Disc Cleanup پنجره زیر نشان داده می شود .
    Do you want to clean the registry ؟
    ایا شما می خواهید پاکسازی کنید رجیستری را : کلید Y را فشار دهید تا رجیستری بازسازی شود .
    Replace infected file ؟
    ایا جایگزین کند فایلهای الوده را که شما کید Y را فشار می دهید .
    در این هنگام سیستم احتیاج به یکبار راه اندازی دارد . که سیستم به طور اتوماتیک راه اندازی می شود .
    اگر این اتفاق نیفتاد شما خودتان به صورت دستی این کار را انجام دهید .


    در این هنگام فایلی به نام rapport.txt در درایو c ایجاد می شود که گزارشاتی از کارهای انجام گرفته را به شما می دهد .

    همچنین این ابزار فایل های wininet.dll را نیز چک میکند مبادا الوده باشند .



    ================================================== =============


    نحوه از بين بردن تروجان Win32/Agent.AEC يا ويروس Soundmix.exe

    همون طور که مي دونيد اخيرا ويروسي به نام Soundmix.exe انتشار يافته و باعث الوده شدن بسياري از سيستم هاي خانگي و اداره ها شده است . قصد دارم در اين قسمت نحوه پاک کردن اين تروجان را اموزش دهم .

    شايع ترين راه انتقال اين ويروس حافظه هاي فلش مي باشد. هرچند که باز کردن برخي سايت هاي آلوده نيز مي تواند اين ويروس را در سيستم مستقر سازد

    اين ويروس با دستکاري رجيستري ، هر بار که ويندوز راه اندازي مي شود خود را اجرا مي کند. با اجراي هر فايل اجرايي در ويندوز نيز اين فايل اجرا خواهد شد و پس از اجرا Processes آن را به هيچ عنوان نمي توان خاتمه داد.

    اين ويروس اجازه ديدن فايل هاي پنهان را به کاربر نمي دهد و فايل هايي که مخفي شوند ديگر قادر به مشاهده نخواهند بود. دسترسي به برخي سايت ها ممکن نمي باشد و اين ويروس با اجراي خود منجر به ايجاد سربار روي سيستم ، کندي دستگاه ، بسته شدن ناخواسته برخي برنامه ها و احيانا بوت شدن خود بخود کامپيوتر مي گردد.

    همچنين با آلوده کردن حافظه هاي فلشي که به دستگاه متصل مي گردند ، سعي به انتشار خود مي کند.



    راههاي شناخت اين تروجان

    براي اين که متوجه شويد که ايا سيستم شما الوده به اين تروجان است يا نه از طريق فشرن همزمان سه کليد
    Alt + Ctrl + Delete وارد Task Manager شويد و سپس به تب Processes رفته و در صورتي که فايل اجرايي Soundmix.exe در حال اجرا باشد سيستم شما به اين تروجان آلوده شده است.

    راه ديگر شناسايي اين تروجان عدم نمايش پسوند فايلهاست


    از طريق منوي Folder Option و فعال کردن گزينه Show Hidden files and folder و تاييد آن در صورتي که پسوند فايلها نمايش داده نشوند سيستم شما به اين تروجان الوده شده است.


    اين تروجان در درايو ويندوز و در مسير زير قرار ميگيرد .

    C:\WINDOWS\system32\soundmix.exe

    فايل کتابخانه اي ان نيز در مسير زير قرار ميگيرد

    C:\WINDOWS\system32\dllcachezipexr.dll

    اين تروجان علاوه بر کاهش سرعت سيستم باعث عدم نمايش پسوند فايلها و جلوگيري از دسترسي شما به رجستري ويندوزتان مي شود و باعث دزديده شدن اطلاعات سيستم شما خواهد شد.


    اين ويروس خودش را در system32 با نام soundmix.exe و به صورت يک فايل سيستمي قرار مي دهد .

    يك كپي در dllcache با نام zipexr.dll نگه مي دارد و اگر شما اين فايل را پاك كنيد بعد از اين كه سيستم بالا مي ايد هيچ فايل exe رو اجرا نمي كند .

    سه قسمت را در رجيستري دستکاري مي کند


    کد:
    Software\Microsoft\Windows\CurrentVersion\Run exefile\shell\open\command SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer \Advanced\Folder\Hidden\SHOWALL
    بعد از اتصال حافظه فلش خود به سيستم روي آيکون حافظه که ايجاد شده است کليک راست کنيد. در حالت عادي گزينه هاي زير بايستي نمايان گردد :
    Open
    Explore
    Search
    Autoplay
    در غير اين صورت اگر نوشته هايي عجيب و غريب مشاهده گردد بيان گر وجود ويروس مي باشد



    راه پاکسازي Soundmix.exe يا تروجان Win32/Agent.AEC

    ================================================== =============


    حل مشکل open with

    اگر بر روی هر درایو کلیک می کنید پنجره open with باز می شود به دلیل پاک شدن فایلی می باشد که مسئول باز کردن درایو می باشد .
    شما می توانید از برنامه زیر برای حل این مشکل استفاده کنید . البته قبل از ان باید ویروس autoran را از درایو های خودتون پاک کرده باشید . بعد از اجرا کردن برنامه باید چند دقیقه منتظر باشید تا برنامه کار خود را انجام دهد . بعد از اینکه کارش به اتمام رسید به شما پیغام می دهد . پس صبور باشید .


    ================================================== =============


    نحوه پاک کردن ويروس Virus Win32/Jeefo يا SVCHOST.EXE

    بعلت وجود ويروسي مخرب به اسم Jeefo که با نام SVCHOST.EXE البته در شاخه ديگري غير از فايل اصلي ساکن مي شود و اقدام به خرابکاري تمام فايلهاي اجرايي exe مي کند .
    اکثر انتي ويروس ها SVCHOST.EXE را به عنوان ويروس مي شناسند . در حالي که SVCHOST.EXE ويروس نيست بلکه ويروس فايل ديگري مي باشد که خود را به اين نام در اورده است .
    اين ويروس باعث مي شود که برنامه ها درست اجرا نشوند . و طولاني بودن زمان الودگي سيستم باعث از کار افتادن سيستم عامل مي شود.


    نحوه پاک کردن ويروس

    ابتدا سعي کنيد System Restore را غير فعال کنيد .
    براي اين کار ابتدا روي my computer راست کليک کنيد و سپس properties را بزنيد از پنجره باز شده به تب
    System Restore رفته و تيک گزينه Turn off System Restore on all drives را بزنيد و بعد پنجره را ok کرده و به سوال پرسيده شده جواب مثبت دهيد .

    حال ابتدا با زدن سه کليد ترکيبي ctrl + alt + delete وارد Task Manager شويد و به تب Processes رفته و از اوجا فايل SVCHOST.EXE در حال اجرا توي ويندوز را پاک مي کنيم .


    البته در تب Processes شما حداقل 4 تا يا بيشتر SVCHOST.EXE در حال اجرا مي بينيد که بايد با برنامه هاي مديريت پروسه هاي Task Manager بتونيد اين فايل را تشخيص دهيد . زيرا اين برنامه ها مسير پروسه هاي اجرايي را در Task Manager نشان مي دهند . اين فايل بيشتر خود را با نام يوزر که در ان هستيد (Log On) اجرا مي کند .

    حال به مسير C:\WINDOWS رفته و فايل SVCHOST.EXE را پاک مي کنيم .
    البته شما نبايد فايل اصلي SVCHOST.EXE را که در مسير C:\WINDOWS\System32 قرار دارد را پاک کنيد .

    بعد از اين کار سيستم را ريستارت کنيد .


    سپس سيستم را در حالت safe mode راه اندازي کرده و انتي ويروس jeefogui را اجرا کنيد .

    ممکن است بعد از اين عمليات بعضي از فايلهاي exe شما از کار بيفتند که شما بايد دوباره برنامه انها را نصب کنيد .



    ================================================== =============


    پاک کردن ويروسي که از طريق یاهو مسنجر منتشر مي شود

    عملکرد اين ويروس

    1- در ابتدا ويروس صفحه شخصي اينترنت اکسپلورر (Default IE Page) را به يک سايت تغيير مي دهد. در اين صورت به هيچ طريق امکان عوض کردن آن وجود نخواهد داشت. بعد از هر باز باز کردن يک صفحه وب جديد، ويروس مجددآ خود را در سيستم شما کپي مي کند.

    غير فعال کردن Task Manager و رجيستري

    ايجاد فايلهايي با نام هاي svhost.exe , svhost32.exe , internat.exe



    نحوه از بين بردن اين ويروس و مشکل

    ابتدا با استفاده از روشهاي گفته شده در بالا Task Manager و رجيستري را فعال کنيد .
    اتصال خود به اينترنت را قطع کنيد .
    حال براي برگرداندن صفحه نخست مروگر خود به حالت قبل وارد رجيستري شويد .
    ابتدا وارد منوي استارت شويد و روي گزينه run کليک کنيد و عبارت regedit را نوشته تا وارد رجيستري شويد .

    ميسر هاي زير را با دقت پيدا نموده و در آنها وارد شويد حال اسم سايت مورد نظر را که در home page شما قرار گرفته است را پاک کرده و اسم سايت خودتان را بنويسيد مثلا

    کد:
    http://www.forum.p30world.com
    سپس به internet option رفته و اين کار را هم انجام دهيد se current- use default -use blank

    کد:
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main HKEY_ LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main HKEY_USERS\Default\Software\Microsoft\Internet Explorer\Main

    ================================================== =============


    رفع مشکل غیر فعال شدن Home Page اینترنت اکسپلورر

    1 . در کادر محاوره ای Run عبارت Regedit را تایپ کنید و از روی کیبرد کلید Enter را فشار دهید تا محیط ویرایش رجیستری ظاهر شود .
    2 . به مسیر زیر بروید و 2 متغییر DWORD با نام های RunOnceComplete و RunOnceHasShown به ارزش 1 بسازید .

    3 .
    کد:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main
    محیط ویرایش رجیستری را ببندید و مجددا در کادر محاوره ای Run عبارت inetcpl.cpl را تایپ کنید و شستی OK را فشار دهید تا کادری با عنوان Internet Properties ظاهر شود .

    4 . در قسمت Home Page آدرس مورد علاقه ی خود را تایپ کنید و شستی OK را فشار دهید تا تنظیمات دلخواه ذخیره شود .


    5 . اکنون Internet Explorer 7 را اجرا کنید و لذت ببرید .


    کسانی که این مشکل را از راه اصولی حل کرده اند و اکنون دوست دارند روش فوق را تست کنند ، مراحل زیر را دنبال نمایید ...


    1 . در کادر محاوره ای Run عبارت inetcpl.cpl ,6 تایپ کنید و شستی OK را فشار دهید تا کادری با عنوان Internet Properties ظاهر شود .


    2 . در زبانه ی Advanced دکمه ی Reset را فشار دهید تا کادر دیگری با عنوان Reset Internet Explorer Settings خودنمایی کند .


    3 . مجددا روی دکمه ی Reset کلیک کنید تا تمام تنظیمات IE به حالت پیش فرض بر گردد .


    4 . اکنون روش دوم را جهت تغییر Home Page تست کنید



    ================================================== =============


    نحوه از بین بردن ویروس services.exe

    متاسفانه اکثر ویروسهایی که جدیدا به وجود می ایند همنام پروسه های مربوط به سیستم عامل می باشند به همین دلیل تشخیص انها هم برای کاربران و هم برای انتی ویروس ها نسبتا مشکل شده است .
    و از کار انداختن انها نیز قدری سخت شده است .

    و همین عامل می تواند یکی از نقاط ضعف سیستم عامل های ماکروسافت محسوب شود .


    فعالیت های ویروس services.exe

    اولین کاری که این ویروس انجام می دهد خودش را با نام فایلهایی که در یک فولدر است در می اورد و فایلهای فولدر را مخفی می کند و یک فایل با نام همان فولدر می سازد که دارای پسوند exe می باشد .

    و به فولدر هایی که مخفی می کند علاوه بر خصلت hidden خصلت سیستمی هم می دهد .


    سپس به وسیله windows policy برنامه های regedit و cmd و msconfig و taskmanager رو از کار می اندازد(گاهی اوقات هنگام استفاده از دستور cmd کامپیوتر را ریستارت هم میکند) در بعضی مواقع از قسمت folder option گزینه view رو مخفی میکند.


    و اجازه دسترسی به بعضی از گزینه های مدیریتی رو بطور کامل از بین میبرد .


    و حتی با تعویض ویندوز هم فایلها از حالت مخفی خارج نخواهند شد . به خاطر این که با تعویض ویندوز هنوز اثرات این ویروس در دیگر درایو ها وجود دارد و تنها با کلیک کردن روی یکی از انها ویروس فعال شده و دوباره همه جا را الوده می کند .


    نحوه از بین بردن ویروس services.exe

    برای از بین بردن این ویروس ابتدا کدهای زیر را داخل note pad کپی کرده و با نام و پسوند rescue.bat در مسیر در مسير c:\ ذخيره نماييد.


    کد:
    @echo off :try del c:\windows\services.exe if exist c:\windows\services.exe goto try
    حالا به منوي start رفته و روی گزینه run کلیک کنید و عبارتregedit را تايپ کرده و ok را بزنيد. تا وارد محیط رجیستری شوید .
    حال به مسير زير برويد.

    کد:
    HKEY_LOCAL_MACHINE\system\currentcontrolset\servic es\eventlog
    روي فايل image path دوبار کليک کرده و در اين پنجره به جاي %systemroot%\system32\services.exe عبارت c:\rescue.bat را تايپ کنيد.
    ويندوز را restart کنيد.
    دوباره به منوي start رفته و برنامه run را اجرا کرده و regedit را تايپ کرده و ok را بزنيد.
    حال به مسير زير برويد.


    کد:
    HKEY_LOCAL_MACHINE\system\current control set\services\eventlog
    روي فايل image path دوبار کليک کرده و در اين پنجره به جاي c:\rescue.bat عبارت %systemroot%\system32\services.exe را تايپ کنيد.

    کد:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\userinit
    userinit را از مسير بالا باز کرده و به جاي عبارت %windir%\services.exe عبارت C:\WINDOWS\system32\userinit.exe را وارد کنید

    عبارت %windir%\services.exe را حذف نماييد يعني مسير به صورت زير در مي آيد.


    C:\WINDOWS\system32\userinit.exe


    به پوشه temp رفته و در صورت وجود فایل Service.exe ان را پاک کنید .

    حالا آنتي ويروس های kaspersky و nod32 را update نماييد و سیستم را به طور کامل در حالت safe mode ویروس یابی کنید .

    ضمناً بهتر است بعد از update و ويروس يابي ويندوز خود را عوض کنيد.


    anti spyware برای از بین بردن ویروس services.exe

    فقط توجه داشته باشید که این anti spyware ویروس services.exe را پیدا می کند و برای از بین بردن انها حتما باید این برنامه کرک شده باشد .



    ================================================== =============

    مهم : نحوه برگردوندن فایلهایی که به صورت سیستمی مخفی شده اند

    همون طور که می دونید ویروس services.exe فایلهای شما را به صورت سیستمی مخفی می کند و شما قادر به دیدن اونها نیستید . شما می توانید از روش زیر به فایلهای خودتون دسترسی داشته باشد .
    کافی است نام درایو و مسیر فایل خود را در مسیر زیر وارد کرده و سپس این مسیر را در run کپی کرده و سپس ok را بزنید تا فایلهای شما نمایان شوند.


    کد:
    attrib -r -a -s -h drive:\file path
    ( به جای drive نام درایو حاوی فایل مخفی را بنویسید و به جای file path مسیر فایل را به طور کامل بنویید .)


    ================================================== =============


    روشی برای تشخیص این که فایلهای درون فولدر حذف شده اند یا اینکه به حالت سیستمی در امده اند

    گاهی اوقات وقتی به داخل یکی از فولدرهایی که تعداد زیادی فایل درون ان داریم رجوع می کنیم با کمال تعجب متوجه می شویم که فولدر ما خالی است و هیچ یک از فایلهایی که قبلا وجود داشتند دیگر وجود ندارند .
    در این قسمت روشی را به شما اموزش می دهم که با این روش می توانید متوجه شوید که ایا فایلهای شما واقعا حذف شده اند یا این که به حالت سیستمی مخفی شده اند .

    براي اينکه بتونيد فايلها را ببينيد از منوي Start روي گزينه run کليک کرده و سپس عبارت cmd را تايپ کنيد و سپس ok را بزنید



    بعد از باز شدن محيط cmd در ان تايپ کنيد dir /A name_of_the_folder با اين کار تمامي فایلهایی که به حالت سیستمی در امده اند قابل روئت خواهند بود . و شما متوجه خواهید شد که فایلها حذف نشده اند . و با استفاده از روش بالا می توانید انها را از حالت سیستمی خارج کنید .

    نکته : name_of_the_folder نام فولدری می باشد که اطلاعات شما در ان مخفی شده است .


    ================================================== =============

    بازگردانی سریع فایلهای مخفی شده

    این هم روشی برای کسانی که می خواهند به سرعت به فایلهای مخفی خودشون دسترسی پیدا کنند .
    برای این کار کافی است دستورات زیر را داخل Notepad کپی کنید و بعد ان را با نام و پسوند mahdi.bat ذخیره کنید و بعد ان را اجرا کنید . چند لحظه منتظر بمانید تا فایلهای مخفی نمایان شوند .
    تذکر : با این روش فایلهای سوپر هایدن نیز قابل روئیت خواهند بود .




    کد:
    attrib -s -h C:\*.* /s /d attrib -s -h d:\*.* /s /d attrib -s -h E:\*.* /s /d attrib -s -h f:\*.* /s /d attrib -s -h g:\*.* /s /d attrib -s -h h:\*.* /s /d


    ================================================== =============

    ویروس Win32/PSW.Agent.NDP

    این ویروس باعث غیرفعال شدن گزینه show hidden files and folders در folder option می شود و باعث عدم نمایش فایلهای مخفی می شود و اجازه نمی دهد کاربرها فایلهای مخفی را از حالت مخفی بیرون بیاورند .

    این ویروس با دستکاری رجیستری ویندوز باعث می شد که شما نتونید تنظیمات hidden file and folder را تغییر دهید .

    به محض تغییر دادن این قسمت و خارج شدن از ان تنظیمات به حالت پیش فرض خود برمیگردند .
    البته این ویروس خرابکاریهای دیگری هم انجام می دهد اول اینکه داخل تمام درایوهای شما یه فایل autorun.inf می سازد که درایوهای هارد شما را autorun می کند .

    دوم اینکه دوباره داخل تمام درایوها یک فایل به نام ntde1ect می سازد که شما به محض اینکه فلاپی وارد سیستم کنید یا فلش یا mp3 pleyer را به کامپیوتر متصل کنید یک کپی از خودش به صورت hidden وارد دستگاه شما یا فلاپی شما می کند که شما متوجه ان نمی شوید .


    البته فایل ntde1ect خیلی شبیه فایل ntdetect هست که داخل درایو C وجود دارد و برای بالا امدن ویندوز ضروری می باشد .

    مواظب باشید این دو فایل را اشتباه نگیرید .
    سوم اینکه با اجرای فایل avpo.exe به شما اجازه نمیدهد که فلش یا mp3 pleyer یا هر چیز دیگه رو از پورت USB ، safe remove کنید .





    نحوه پاک کردن ویروس Win32/PSW.Agent.NDP

    در حالت safe mode وارد ویندوز شوید . ( با زدن دکمه F8 قبل از بالا آمدن ویندوز حالت safe mode را انتخاب کنید )

    پنجره Task Manager را باز کنید (Ctrl-Alt-Delete) و برنامه های زیر را در صورت اجرا ببندید .
    wscript.exe : اگر در حال اجرا بود آن را ببندید (End process)
    avpo.exe : اگر در حال اجرا بود آن را ببندید (End process)

    از قسمت start برنامه Run را اجرا کنید و در عبارت cmd را در آن تایپ کنید و enter را بزنید .
    در این قسمت در خط فرمان برنامه ، دستور زیر زیر را تایپ کنید و enter را بزنید .

    del c:\autorun.* /f /a /s /q
    این دستور را برای درایوهای دیگر اجرا کنید . با این دستور تمام فایلهایautorun موجود delete می شود .

    در این مرحله در خط فرمان c:\ دستور زیر را تایپ کنید تا وارد پوشه system32 شوید :

    C:\cd windows\system32
    C:\windows\system32

    در ادامه دستور زیر را تایپ کنید و آنرا اجرا کنید .

    *.*dir /a avp

    در این قسمت هر فایلی به نامهای avp0.dll و avpo.exe و avp0.exe دیده شد آنرا پاک کنید .
    attrib -r -s -h avpo.exe
    del avpo.exe

    بعد از این مراحل تمام پنجره ها رو ببندید و برنامه registry را اجرا کنید :

    (Run \regedit)
    مسیر زیر را دنبال کنید :

    کد:
    HKEY_CURRENT_USER \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run

    در این قسمت هر کلیدی که به نام avpo.exe بود را delete کنید .

    در برنامه registry قسمت edit گزینه Findرا کلیک کنید و عبارت ntde1ect را جستجو کنید. تمام کلیدهای پیدا شده را delete کنید .
    این کار را برای فایل avpo.exe نیز انجام دهید و تمام کلیدهای پیدا شده راdelete کنید .

    در آخر کار سراغ کلید زیر بروید و مقدار CheckedValue را برابر 1 قرار دهید .

    کد:
    HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion
    Explorer/Advanced/Folder/Hidden/SHOWALL



    ================================================== =============


    ويروس kernel.exe




    kernel ويروسي است که هر چند دقيقه يکبار با error ي که در زير تصوير ان را قرار داده ام ظاهر مي شود . اکثر کاربران به اين ويروس گرفتار شده اند .



    در واقع اين يک ويروس نيست زيرا کار مخربي روي سيستم انجام نمي دهد . در واقع يک برنامه مي باشد که شباهتي به ويروس دارد و به همين دليل هيچ يک از انتي ويروس ها قادر به شناسايي و پاک کردن ان نيستند . حتي قوي ترين و به روز ترين انتي ويروس ها .

    اين ويروس از طريق صفحات html که از اينترنت ذخيره مي کنيد به وجود مي ايد .





    اين ويروس سه فايل با نام هاي kernal.vbs و kernal.exe و systems.exe دارد که هر سه فايل در پوشه C:\WINDOWS\system32 ذخيره مي شوند .

    در واقع اين ويروس خود را جزء پروسه هاي سيستم عامل نيز مي داند و در task manager در تب processes با نام kernel.exe در حال فعاليت مي باشد .





    اين ويروس همه ي فايل هاي HTML و Htm رو آلوده ميکند و به آخر فايل ها کدهاي مخرب Vbscript رو که چند تا فايل با نام ها kernel.exe و kernel.vbs است را ايجاد ميکند .

    اين ويروس حتي با تعويض سيستم عامل هم از بين نخواهد رفت .





    از اثرات اين فايل آلوده:

    1- ارورهاي پشت سر هم
    2- باعث پايين آمدن سرعت کامپيوتر
    3- باعث پايين آمدن سرعت اينترنت
    4- دادن اطلاعات مثل يوزر و پسورد اينترنتتان به شخص هکر
    5- آلوده کردن فايلهاي HTML










    نحوه پاک کردن ويروس kernel.exe



    براي پاک کردن اين ويروس شما بايد ابتدا با زدن کليد هاي ترکيبي ctrl + alt + delete وارد task manager شويد و به تب processes رفته و فايلي با نام kernel.exe را پاک کنيد .



    سپس به مسير زير رفته C:\WINDOWS\system32 رفته و دو فايل با نام kernel و بک فايل با نام Systems را پيدا کرده و پاک کنيد .



    توجه داشته باشيد شما در صورتي مي توانيد اين فايلها را پاک کنيد که پروسه kernel.exe را از task manager پاک کرده باشيد . در غير اين صورت اجازه پاک شدن را به شما نخواهد داد .



    سپس به منوي استارت رفته و عبارت msconfig را در run تايپ کنيد و در قسمت startup اگر فايلهاي بالا وجود دارند تيک انها را برداريد و سپس کامپيوتر را ريستارت کنيد دوباره چک کنيد که ويروس در حافظه بار نشده باشد .

    بعد به internet temporary از طريق مسير زير رفته و تمام محتويات ان را خالي کنيد .





    کد:
    <win_drive>:\Documents and Settings\<user_name>\Local Settings\Temporary Internet Files


    نکته مهم :

    گاهی بعضی از کاربران گله از این موضوع دارند که این انتی ویروس و روش ذکر شده برای ویروس kernel.exe توی ویندوز ویستا عمل نمی کنند .
    در جواب این دوستان باید عرض کنم این error ی که در ویندوز ویستا داده می شود و شباهت زیادی به همین error دارد ربطی به این ویروس ندارد و اصلا ویروس kernrl.exe نیست .
    به خاطر این که این ویروس به هیچ وجه توی ویندوز ویستا ایجاد نمی شود .

    این error توی ویستا به دلیل این است که شما برنامه ای روی ویستا نصب کردید که سازگاری با ویندوز ویستا ندارد .



    ================================================== =============



    ویروس Antichrist (virus hoax)0


    این ویروس یا کرم با پیغامی که می دهد در واقع شما را به راه راست هدایت می کند و به نام ویروس ستایش نیز معروف است .

    این ویروس که با نام های Day of Judgmet و Antichrist هم شناخته می شود یک کرم ایرانی است که سیستم عامل های ویندوز ۳۲ بیتی را مورد حمله قرار می دهد.

    از مشخصه های بارز این کرم می توان به موارد زیر اشاره کرد:

    غیرفعال کردن Folder Option

    باز شدن صفحه اینترنتی با عنوان Day of Judgment (به معنی روز داوری) که ترجمه انگلیسی سوره حمد بر روی پس زمینه سبز در آن مشاهده می شود.

    این هم تصویر صفحه html





    این صفحه در هر بار بوت شدن ویندوز به شما نشان داده می شود.همچنین در هر بار بوت شدن ویندوز پنجره ای با تیتر Antichrist و با محتوای Day of Judgment نمایش داده می شود.

    در بعضی مواقع جلوی اجرای Regedit و Task Manager با آلوده شدن توسط این ویروس گرفته می شود .


    سرعت کلی سیستم به شدت پایین می آید و در فهرست پروسس های ویندوز می توانید Sys.exe و در قسمت برنامه های startup نام wma.exe و blank.htm را مشاهده کنید.

    و گاهی اوقات هنگام بالا امدن ویندوز یک فایل html در ادرس c:\windows\system32\blank.htm اجرا می گردد .

    همچنین ویروس خود را در تمام درایوها با نام Autoplay.exe کپی می کند که با هر بار کلیک روی درایو ها منتشر می شود .

    این هم متن AUTORUN این WORM .


    کد:
    [autorun] open=Recycler.{645FF040-5081-101B-9F08-00AA002F954E}\sys.exe a shell\open=Open shell\open\Command=Recycler.{645FF040-5081-101B-9F08-00AA002F954E}\sys.exe o shell\open\Default=1 shell\explore=Expl shell\explore\Command=Recycler.{645FF040-5081-101B-9F08-00AA002F954E}\sys.exe e

    اين كرم ايراني پس از اجراي فايل آن بر روي سيستم كاربر، ابتدا خودش را به صورت ‏زير بر روي سيستم كپي مي‌نمايد:‏

    کد:
    ‎%System32%\Sys.exe ‎%Windows%\Shell.exe ‎%Windows%\vxds.exe ‎%Windows%\Help\vxds.exe ‎%Windows%\media\wma.exe

    و براي اينکه با هر بار بالا آمدن سيستم اين فايل‌ها اجرا گردند، آنها را به شکل زير در ‏رجيستري ثبت مي‌کند:‏


    کد:
    HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon Shell = userinit.exe, sys.exe Userinit = Explorer.exe shell.exe HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run vxds = %Windows%\vxds.exe

    همچنين در مسير System32 فايلي با نام ‏OEMLOGO.BMP‏ به صورت ‏مخفي ايجاد مي‌کند که به شکل زير

    مي‌باشد:‏

    بعلاوه در همين مسير فايلي با نام ‏OEMLOGO.INI‏ به صورت مخفي مي‌سازد که ‏محتويات آن به شکل زير است:‏


    کد:
    [General] Manufacturer=[Antichrist] Model=[Day of judgment] SupportURL=hxxp://www.antichrist.com/ LocalFile=blank.htm [Support Information] Line1=When comes the help of Allah, and victory,. Line2=And thou dost see the people enter Allah's religion in crowds,. Line3=Celebrate the praises of thy Lord, and pray for his forgiveness: ‎for he is oft-Returning (in forgiveness)..

    فايل ديگري نيز در همين مسير با نام ‏blank.htm‏ به صورت مخفي ايجاد مي‌کند که با ‏اجراي آن صفحه‌اي به شکل زير به نمايش درمي‌آيد:‏


    که متن انگليسي نمايش داده شده در اين صفحه ترجمه سوره حمد مي‌باشد. آنگاه براي ‏اينکه با هر بار بالا آمدن سيستم اين فايل نمايش داده شود آن را به صورت زير در ‏رجيستري ثبت مي‌کند:‏


    کد:
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Blank = %System32%\blank.htm HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Blank = %System32%\blank.htm

    براي اينکه مقدار ‏Home Page‏ و ‏Search Page‏ نرم‌افزار ‏Internet Explorer‏ را ‏برابر با صفحه مذکور قرار دهد، تغييرات زير را در رجيستري ايجاد مي‌نمايد:‏


    کد:
    HKCU\Software\Microsoft\Internet Explorer\Main Start Page = %System32%\blank.htm Search Page = %System32%\blank.htm

    از کارهاي جالب اين ويروس اين است که در همه درايوها در داخل مسير ‏Recycler‏ ‏فولدري مخفي و با نام تصادفي ايجاد کرده و يک کپي از خودش را با نام ‏Sys.exe‏ ‏درون آن قرار مي‌دهد.


    همچنين اثرات ديگري به شکل زير دارد:‏

    با ايجاد تغييراتي در رجيستري باعث مي‌شود که قبل از ورود به سيستم صفحه‌اي با تيتر ‏Antichrist‏ و با متن ‏Day of judgment‏ نمايش داده شود. همچنين باعث مي‌شود ‏فايل‌هاي ‏Super Hidden‎‏ نمايش داده نشود. جلوي اجراي برنامه‌هاي ‏RegEdit‏ و ‏Task Manager‏ را گرفته و رنگ زمينه ‏Windows‏ و صفحه ‏cmd‏ را تغيير مي‌دهد. ‏بعلاوه نام ‏User‏ و ‏Organization‏ ثبت شده براي سيستم را با [Antichrist] تغيير مي‌دهد.‏
    لازم به ذکر است که آخرين نگارش ضدويروس سيمانتك اين کرم اينترنتي را شناخته و به صورت کامل پاکسازي مي‌نمايد.
    براي پاكسازي اثرات باقي مانده اين ويروس همانند غير فعال شدن Registry يا Folder Option و يا باز نشدن درايوها با دابل كليك بر روي آنها و غيره از ابزار پاكسازي زير يا بالاي صفحه استفاده نماييد



    نحوه از بین بردن ویروس Antichrist

    متاسفانه فعلا حتی نسخه های بروزشده آنتی ویروس Eset NOD۳۲ قادر به شناسایی و خنثی نمودن این ویروس نمی باشند.

    اما حداقل سه آنتی ویروس Kaspersky (در نسخه ۷ آزمایش شد) ، McAfee (نسخه ۲۰۰۸) و احتمالا آخرين نگارش ضدويروس سيمانتک (به نقل از سایت امنیتی دمسان) قادر به شناسایی و پاک کردن ویروس مذکور هستند.

    من خودم انتی ویروس سیمانتک ( Norton ) را توصیه می کنم چون این انتی ویروس اولین انتی ویروسی بود که این کرم را پیدا و کاملا پاک می کند . حتما سعی کنید به طور کامل این انتی ویروس را اپدیت کنید و بعد تمام درایو ها را اسکن کنید .

    برای پاک کردن این ویروس ابتدا آنتی ویروس خودتان را به آخرین بسته های بروزرسانی مجهز کنید سپس اقدام به کنترل سیستم نمایید.

    توصیه می کنم که تمام هارد را برای یافتن ویروس اسکن نمایید

    نکته : حتما سیستم خودتان را در حالت safe mode ویروس یابی کنید .

    و از کلیک کردن روی درایو ها تا پاک شدن کامل ان خود داری کنید .


    بعد از پاک شدن ویروس قسمتهای حذف شده را مانند روشهای بالا می توانید برگردانید .

    و سپس باید به تمام درایو ها رفته و autoplay.exe را پاک کنید .

    نکته : نحوه پاک کردن ویروس autoplay.exe یا autoran را بالا به طور کامل ذکر شده است .


    به رجیستری رفته و مسیر زیر را دنبال کنید

    کد:
    HKEY_LOCAL_MACHINE\Software\Microsoft\windows\curr ent version\run

    روی run کلیک کنید و هر چیزی سمت راست اگر گزینه های زیر وجود دارند انها را پاک کنید .
    blank
    igfxhkcmd
    igfsexper
    igfxtray
    vxds

    همه این کارها را باید در حالت safe mode انجام دهید .




    ================================================== =============


    کرم Imaut-A

    Imaut-A يك كرم كامپيوتري براي سيستم هايويندوزي است .
    اين كرم خودش رادر شبكه هاي share شده و درايوهاي قابل انتقال بهصورت زير كپي مي كند :

    کد:
    \Funny UST Scandal.avi.exe \smss.exe \lsass.exe \Funny UST Scandal.exe
    \killer.exe

    همچنين مدخل زير در رجيستري ايجاد مي شود تا smss.exe بتواند اجرا شود :

    کد:
    HKCU\Software\Microsoft\Windows\CurrentVersion\Run Runonce
    smss.exe

    مدخل زير نيز تغيير مي كند تا killer.exe بتواند با آغاز ويندوز اجرا شود :

    کد:
    HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
    Shell explorer.exe, killer.exe



    مدخل هاي زير نيز تغيير مي كنند :

    کد:
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Exp lorer\Advanced\Folder\Hidden\SHOWALL
    CheckedValue 0


    روش هایی برای پاک کردن این کرم


    روش پاك سازي به صورت دستي :



    ابتدا تمامي داده خود را در سيستم تغيير داده و يك كپي از آنهاتهيه كنيد.



    پسورد Administrator را دوباره تغيير دهيد و يك نگاهي به مسايلامنيتي شبكه خود بيندازيد.



    در taskbar دكمه start را بزنيد و منوي run رااجرا كنيد و در آن Regedit را بنويسيد و دكمه ok را كليك كنيد تا صفحه ويرايشگررجيستري شما باز شود . فراموش نكنيد كه قبل از دستكاري رجيستري يك نسخه پشتيبان ازآن تهيه كنيد .
    براي تهيه نسخه پشتيبان از رجيستري خود ؛ در منوي Registry رويگزينه Export Registry File و در پنلExport range گزينه All را انتخاب كرده و سپسدكمه Save را كليك كنيد تا نسخه پشتيبان از رجيستري شما تهيه شود.



    حال درمدخل HKEY_CURRENT_USER رجيستري زيرمدخل:


    کد:
    HKCU\Software\Microsoft\Windows\CurrentVersion\Run
    Runonce \smss.exe



    هر مدخلي كه به فايلي اشاره مي كرد حذف كنيد.



    همچنين در مدخل HKEY_LOCAL_MACHINE مقدار VALUE از CheckedValue را 1 و از Shell را explorer.exe بگذاريد :


    کد:
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Exp lorer\Advanced\Folder\Hidden\SHOWALL
    CheckedValue 0 HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon Shell explorer.exe, killer.exe

    سپس رجيستري خود را ببنديد و دوباره سيستم خود را راه اندازي كنيد.



    ================================================== =============



    کرم Wukill ) W32/Wukill.worm.gen )









    طریقه گسترش کرم :



    آلودگی با اجرای فایل کرم انجام می شود . که کرم با فلاپی و تمامی وسایل انتقال فایل منتقل می شود . چون خود ا در هر پوشه ای که باز کنید کپی می کند .



    در کامپیوتر آلوده :
    بعد از قرار دادن فلاپی ، کرم خود را در آن کپی می کند و یا اگر شخص سیدی رایت کند ، کرم را که به صورت مخفی است را نیز رایت خواهد کرد .



    در کامپیوتر میزبان :
    اگر شخص از ویندوز های 98 , 2000 , ME و ویندوز هایی که از Customize Folder Wizard استفاده می کند ، داشته باشد با باز کردن پوشه یا فلاپی درایوی که کرم در آن وجود دارد آلوده خواهد شد . چون کرم از آین سرویس ویندوز استفاده کردن و جود را اجرا می کند .
    در ویندوز xp چون این سرویس غیر فعال است و دیگر وجود ندارد آلودگی فقط با اجرای مستقیم کرم شروع می شود . در ویندوز های دیگر نیز با اجرای مستقیم کامپیوتر آلوده می شود . بعد از اجرای فایل اگر باز بخواهید فایل را اجرا کنید اختار زیر ظاهر می شود :








    کرم خود را با نام های مختلف در یکی از پوشه های Windows ، Temp ، System ، Web ، Help کپی می کند .



    و در تمامی پوشه هایی که وارد شوید یک فایل اجرایی با نام پوشه می سازد و در همان پوشه فایل desktop.ini یا Rundesktop.ini را تغییر می دهد و در آن کدهای زیر را اضافه می کند :








    تا فایل دومی به نام comment.htt یا Runcomment.htt را بعد از هر بار ورود به پوشه یا درایور هارد اجرا کند .
    که فایل اجرایی موجود در پوشه را اجرا می کند .
    همچنین کرم فایلی به نام WINFILE.EXE را در تمایم درایو های هارد و بعضی پوشه های می سازد . همچنین در درایو فلاپی . این فایل شبیه پوشه است .



    علائم آلودگی :
    1) وجود فایل در درایو های هارد
    2) کپی شدن خود کار این فایل در فلاپی درایو
    3) اگر فایلهای مخفی را ظاهر کنید . دو باره بعد از مدتی مخفی می شوند .
    4) هنگام رفتتن به هر پوشه فایلی اجرای به شکل پوشه و با همان نام در آنجا ساخته می شود (البته مخفی ) .
    5) در ویندوز های 98 تا 2000 ویندوز بعد از مدتی کند می شود .
    6) بعضی مواقع کپی و پست کار نمی کند . یعنی شما فایل را کپی می کنید . اما بعد از رفتن به مقصد گزینه پست غیر فعال شده است انگار کپی انجام نگرفته !



    نکته 1 :ویروس به زبان VB نوشته شده توسط مایکروسافت ویژوال استودیو .
    نکته 2 : احتمالا نام دیگر ویروس Xgtray
    نکته 3 : اگر هنگامی که فایل اصلی کرم در یکی از پوشه های Windows ، Temp ، System ، Web ، Help باشد و شما وارد پوشه ای شوید که کرم در آن است آن وقت کرم جای حود را عوض می کند و به پوشه ی دیگری می رود !



    طریقه پاک کردن ویروس :
    تمامی آنتی ویروس ها دیگر این ویروس را می شناسند .
    اما پاک کردن دستی به این صورت است .
    1) ابتدا فایل اجرایی ویروس را از کار می اندازید . ( فایلی که در حافظه است ) با Taskmanenger
    2) با سرچ ویندوز دنبال فایلهای اجرایی با حجم 48 کیلو بایت می گردید . بعد آنهایی را که شکل پوشه هستند را پاک می کنید .
    3) دو باره باسرچ ویندوز دنبال فایلهایی با پسوند htt و با نام های comment و Runcomment میگردید . همه را پاک کنید .
    اما بهترین کار استفاده از یک آنتی ویروس است . بهتر است از مکافی ورژن 8 به بالا استفاده کنید
    این ویرس ممکن است کارهای دیگری هم انجام دهد

    موفق باشید.
    Last edited by A M ! N; 29-04-2012 at 21:37.

  14. 13 کاربر از A M ! N بخاطر این مطلب مفید تشکر کرده اند


  15. #20
    داره خودمونی میشه
    تاريخ عضويت
    Jul 2010
    پست ها
    33

    پيش فرض

    لوگ من :
    [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

    دکتر فکر کنم نیاز به توضیح نباشه

    good luck!

Thread Information

Users Browsing this Thread

هم اکنون 1 کاربر در حال مشاهده این تاپیک میباشد. (0 کاربر عضو شده و 1 مهمان)

User Tag List

برچسب های این موضوع

قوانين ايجاد تاپيک در انجمن

  • شما نمی توانید تاپیک ایحاد کنید
  • شما نمی توانید پاسخی ارسال کنید
  • شما نمی توانید فایل پیوست کنید
  • شما نمی توانید پاسخ خود را ویرایش کنید
  •