دنیای الکترونیک

یا اینکه وقتی روی درایو هایتان دوبار کلیک می کنید محتوای درایو های شما در یک صفحه جدید باز می شود .
یا موقع دابل کلیک کردن روی درایو هایتان پنجره Open With باز می شود و به شما می گوید Choose the program you want to use to open this file
یا هنگام کلیک بر روی درایو هایتان error ی به شما داده می شود .

یعنی سیستم شما ویروسی شده است . این ویروس ، ویروس autorun.inf می باشد . نحوه پاک کردن این ویروس را در قسمت پایین گفته ام .

همچنين اين ويروس باعث از بين رفتن و پاک شدن Folder Options خواهد شد
و اگر شما گزينه هاي Show hidden files and folders و Hide protected operating system files (Recommended) را مارک دار کنيد با ok کردن پنجره اين گزينه کار نخواهند کرد . و دوباره به حالت اوليه باز خواهند گشت .

همچنين اين ويروس باعث غير فعال شدن Task Manageو Registry Editor خواهد شد .

اگر شما روي گزينه command prompt يا cmd نيز کليک کنيد يا باز نخواهد شد و پيغام زير را خواهد داد يا اينکه به سرعت باز و بسته خواهد شد .
the command prompt has been disabled by your administrator

راههاي ورود اين ويروس از طريق قطعاتي خواهد بود که از طريق usb با سيستم شما ارتباط دارند . قطعاتي مانند فلش مموري ها ( کولديسک ) ، موبايل ها ، رم ريدر ها و ...


نحوه از ببن بردن ویروس autorun.inf


روش اول :
ابتدا وارد My Computer شوید .
بعد از مشاهده لیست درایوها از نوار بالا بروی گزینه Tools کلیک کرده سپس گزینه Folder Options را انتخاب کنید
در پنجره جدید باز شده گزینه View را انتخاب کنید و بروی گزینه Show hidden files and folders کلیک کنید تا دایره آن توپر شود .
کمی پایینتر تیک گزینه Hide Protected Operationg System Files را بر دارید.حالا ok کنید
سپس با راست کلیک کردن و زدن open وارد درایو هایتان شوید
(حتما یادتون باشه با راست کلیک کردن و زدن open وارد درایو هایتان شوید اگر دوبار روی درایوی کلیک کنید باز هم ویروس فعال خواهد شد و دوباره همه چیز به حالت اول بر خواهد گشت . پس حتما با راست کلیک کردن و زدن open وارد درایوهایتان شوید(
سپس دنبال یک فایل به نام autorun.inf بگرید و ان را پاک کنید برای همه درایو ها این کار را انجام بدید .
بعد از این کار بلافاصله بدون هیچ معطلی سیستم خودتون را ریستارت کنید . یادتون نره حتما حتما بدون انجام هیچ کاری سیستم را ریستارت کنید .


روش دوم :
ابتدا با زدن کلید F8 سیستم را در حالت safe mode راه اندازی کنید و سپس از منوی استارت گزینه run را بزنید و سپس داخل ان cmd را تایپ کنید و ok بزنید .
عبارات زیر را یکی یکی نوشته و enter بزنید . این کار را برای تمامی درایو ها انجام دهید .
del x:/autorun.inf \a:h
del x:/autorun.inf \a:r
del x:/autorun.inf \a:s

به جای x باید نام درایوها را بنویسید .


روش سوم :
copy.exe تروجانی است که گاهی اوقات در تمامی درایو های شما قرار میگیره و با هر بار کلیک بر روی درایو ها فایل autorun.inf فایل این فایل را اجرا می کنه .

یکی از روشهای پاک کردن این ویروس این است که ابتدا شما باید پروسه های temp1.exe و temp2.exe رو از بین ببرید . برای این کار ابتدا باید سیستم را به صورت safe mode راه اندازی کنید .

شما نباید روی درایو ها یتان دابل کلیک کنید چون با این کار ویروس autorun.inf که در درایو هایتان قرار دارد باعث فعال شدن پروسه های temp1.exe و temp2.exe می شود .

بعد از راه اندازی سیستم به صورت safe mode شما باید با راست کلیک کردن و زدن گزینه open وارد درایو c ویندوز شده و به پوشه windows و بعد هم پوشه system32 رفته و دو فایل temp1.exe و temp2.exe را حذف کنید .

البته در بعضی از نسخه های ویروس copy.exe ویروس autorun.inf حتی درون پوشه %win% هم وجود داره بنابراین حتما حتما برای ورود به درایوها پوشه ها را با راست کلیک باز کنید .

نکته : قبل از اینکار باید ابتدا این پروسه ها را از Task Manager پاک کنید . برای این کار با زدن کلید های ترکیبی ctrl + alt + delete وارد Task Manager بشید و پروسه های temp1.exe و temp2.exe را از لیست processes با کلیک بر روی انها و زدن end process حذف کنید .

ویروس autorun.inf با هر بار فعال شدن موجب میشه که دو فایل xcopy.exe و host.exe درون همون درایو فعال بشن و دوباره دو فایل temp1.exe و temp2.exe رو بسازن.

شما نباید فایل های xcopy.exe را با فایل های خود windows که درون پوشه ی system32 هستند اشتباه بگیرید .
برای تشخیص ویروس xcopy.exe و فایل xcopy.exe که در پوشه system32 است باید از حجم انها این دو را شناسایی کرد اگر فایل xcopy.exe حجمی معادل 32 کیلو بایت داشت مربوط به خود ویندوز می باشد در غیر این صورت ویروس خواهد بود .

حالا فایلهای سیستمی را مانند ورش اول از حالت هایدن خارج کنید و ویروس autorun.inf را پاک کنید و بعد هم به درایوهای خودتون نگاه کنید اگر فایلهایی با عنوان xcopy.exe و host.exe بودند با خیال راحت پاک کنید .



نحوه پاک کردن ویروس Copy.exe

اسامی دیگر این ویروس host.exe, xcopy.exe, temp1.exe, temp2.exe and svchost.exe,Salga-A worm
این ویروس یکی از خطرناک ترین ویروس ها هست که به عنوان یک پروسه در سیستم شروع به فعالیت و انتشار خودش می کنه و با توجه به اینکه بعضی از انتی ویروسها به صورت نامناسب این ویروس را پاک می کنند باعث نمایش یک پیغام در زمان دابل کلیک کردن روی درایو و یا فولدر در محیط ویندوز می شوند .

برای پاک کردن دستی این کرم شما باید ابتدا همه پروسه هایی که با نام های host.exe, xcopy.exe, temp1.exe, temp2.exe and svchost.exe,Salga-A worm هستند را پیدا کنید و انها را پاک کنید .

تذکر : مواظب باشید این فایلها را با فایلهای اساسی سیستم عامل اشتباه نگیرید .

مهم : یکی از دلایل اصلی به وجود امدن این مشکل ویروس Autorun.inf هست که شما باید طبق روش هایی که در اموزش گفته ام ان را پاک کنید . این کار را حتما انجام دهید . یعنی حتما باید ابتدا ویروس Autorun.inf را طبق اموزش باید از بین ببرید .

سپس به این ادرس در رجیستری رفته و اگر کلیدی به اسم Copy.exe در زیر منوی MountPoints2 وجود داشت ان را پاک کنید .

http://www.securitystronghold.com/download/solutions/TrueSword4.exe

راههاي دستي براي از بين بردن ویروسی که Show Hidden Files را غیر فعال می کند .

1- از Start Menu وارد Run بشيد و در اونجا تايپ کنيد : regedit
وقتي صفحه ي رجيستري باز شد ، از سمت چپ وارد اين مسير بشيد :
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\Advanced

در اين قسمت ، در ليست متغير هايي که سمت راست وجود دارند ، متغير آبي رنگي ( DWORD Value ) رو به نام Hidden پيدا کنيد و روی ان دابل کليک کنيد . اگر مقدارش ( Value data ) به 0 تغيير کرده ، ان را به 1 یا 2 تغییر دهید و OK کنيد . حالا رجيستري رو ببنديد و ريستارت کنيد .


2- مسير زير رو دنبال کنيد :
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\Advanced\Folder\Hidden]
4-اکنون در سمت راست پنجره ي Regedit روي Type دو بار کليک کرده و مقدار آن رو برابر با group قرار دهيد ( يعني در پنجره اي که باز ميشه کلمه ي group رو تايپ کنيد ).
با اين کار تونستيد Show Hidden Files از دست رفته را که دیده نمی شد برگردونید .


3-مسير زير رو دنبال کنيد :
HK LocalMachine\Software\Microsoft\Windows\CurrentVer sion\Explorer\Advanced\Folder\Hidden\SHOWALL
در سمت راست پنجره ي Regedit مقدار CheckedValue رو برابر با 1 قرار بديد.



راههای دستی برای برگرداندن قسمتهای حذف شده از سیستم شما .

فعال ساختن ( Registry ( Regedit :

روش اول :
ابتدا وارد منوی start شده و روی گزینه run کلیک کنید و کلمه gpedit.msc را تایپ کنید .
در صفحه Group Policy به مسیر پایین بروید:
User Configuration> Administrative Templates> System
بعد از کلیک نمودن بروی System در سمت راست پنجره Group Policy بالای
Prevent access to registry editing tools دابل کلیک نموده و در تب Setting گزینه Disable را علامت دار نموده و بالای کلید OK کلیک نمایید اما پنجره Group Policy را نبندید!
حالا Regedit فعال شده است و شما میتوانید واردش شوید.


روش دوم :
مسیر زیر را داخل note pad کپی کرده و سپس با نام Regedit.reg ذخیره کنید و بعد ان را اجرا کنید .

Windows Registry Editor Version 5.00
REG add HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\System /v DisableRegistryTools /t REG_DWORD /d 0 /f



برگرداندن Run :
در صفحه Group Policy به مسیر پایین بروید:
User Configuration> Administrative Templates> Start Menu and Taskbar
بعد از کلیک نمودن بروی Start Menu and Taskbar، در سمت راست پنجره Group Policy بروی گزینه Remove Run menu from Start Menu دابل کلیک نموده و در تب Setting گزینه Disable را علامت دار نمایید. حالا گزینه Run فعال شده است.



برگرداندن Folder Option :
برای برگرداندن Folder Option به مسیر زیر در پنجره Group Policy بروید:

User Configuration> Administrative Templates> Windows Components> Windows Explorer
بعد از کلیک نمودن بروی Windows Explorer، در سمت راست پنجره Group Policy بروی Removes the Folder Options menu item from the Tools menu دابل کلیک نموده و از تب Setting گزینه Disable را علامت دار نمایید و بروی کلید OK کلیک نمایید .



فعال کردن task manager
برای فعال ساختن Task Manager در کادر محاوروی Run عبارت Gpedit.msc را تایپ نموده و اینتر کن و سپس به مسیر پایین برو:
User Configuration > Administrative Templates > System
حالا در زیر شاخه System بروی Ctr + Alt + Del کلیک کن و سپس در سمت راست صفحه Group Policy بروی Remove Task Manager دابل کلیک نموده و در تب Setting کزینه Disable را علامت دار کن. بعد از آن بروی کلید OK کلیک نموده و پنجره Group Policy را ببند.


روش دوم :
مسیر زیر را داخل note pad کپی کرده و سپس با نام task manager.reg ذخیره کنید و بعد ان را اجرا کنید .

Windows Registry Editor Version 5.00
REG add HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\System /v DisableTaskMgr /t REG_DWORD /d 0 /f



استفاده از برنامه ای که در زیر برای شما معرفی کرده ام

این برنامه قادر به انجام کارهای زیر می باشد .

از بين بردن ويروس هاي ravmon.exe و mdm.exe و SCVHOST.exe و SVCHOST.ini
فعال کردن قسمتهاي زير
NoFolderOptions, NoControlPanel, DisableTaskMgr, DisableRegistryTools, DisableCMD


و به حالت پيش فرض برگرداندن قسمتهاي زير

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Explorer\Advanced\Folder\Hidden\NOH IDDEN]
“CheckedValue”=dword:00000002

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Explorer\Advanced\Folder\Hidden\NOH IDDEN]
“DefaultValue”=dword:00000002

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\C
urrentVersion\Explorer\Advanced\Folder\Hidden\SHOW ALL]
“CheckedValue”=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Explorer\Advanced\Folder\Hidden\SHO WALL]
“DefaultValue”=dword:00000002

http://javedkhalil.com/techBlog/wp-content/uploads/2007/11/ravmon-removal.rar

بعد از اجرا کردن برنامه سیستم خود را ریستارت کنید .



پاک کردن برنامه ی مخربی که پوشه ها را مخفی ( Super Hidden ) می کند

نام دقیق این برنامه ی مخرب Trojan.Win32.Delf.aam است .

با زبان برنامه نویسی Borland Delphi نوشته شده .

آی...... این Malware * مانند کرم های New Folder.exe و BronTok.A شبیه آی...... یک پوشه است !
بنابراین به سرعت منتشر می شود .

این برنامه ی مخرب تمام پوشه های Open شده توسط قربانی را Super Hidden می کند و یک نسخه از خودش را با همان نام در همان مـسـیـر کـپـی می کـنـد کـه اگـر Victim * آن را اجرا کـنـد هم Malware اجرا می شـود و هم محـتـوی پوشـه ی Super Hidden نمایـش داده می شود !!

یعنی اگه Victim مبتدی باشه به زودی متوجه نمیشه که چه بلایی داره سر پوشه هاش میاد !

هــمــانــطـــور کـه می دانـیــد برای آشـکار کـردن فایـل ها و پوشـه های Super Hidden باید ابتدا در Folder Options\View روی گزینه ی Show hidden files and folders کلیک کنید و پس از آن تیک گزینه ی (Hide protected operating system files (Recommended را بردارید و به پیغام امنیتی پاسخ مثبت و شستی OK را فشار دهید .

این Malware به Victim اجازه ی آشکار کردن پوشه ها و فایل های Super Hidden را نمی دهد !

ضمنا Registry Tools ، Windows Task Manager و Folder Options را Disable نمی کند .

پر واضح است که این برنامه ی مخرب از آشکار کردن پسوند فایل ها هم جلوگیری می کنه !

برای پاک کردن این ویروس می توانید از برنامه ای که نوشتم استفاده کنید .

http://feng1.persiangig.com/Programs/Anti%20T.Delf.aam.7z

نحوه پاک کردن ویروس W32/Saldost

این بدافزار اینترنتی پس از اجرای فایل آن بر روی سیستم كاربر، ابتدا خودش را بر روی سیستم كپی می‌كند و سپس با تغییر دادن كلیدهایی در رجیستری باعث بروز مشكلاتی از جمله باز نشدن ‪ Folder Option‬و مخفی نگه داشتن فایل‌های مخفی می‌شود.

از جمله كارهای دیگر این ویروس این است كه خودش را در ریشه همه درایوها با نام ‪ autoply.exe‬كپی كرده و در كنار آن فایلی با نام ‪ Autorun.inf‬ایجاد می‌كند.

این عمل باعث می‌شود كه هر گاه كاربر بخواهد به هر شكلی وارد هر درایوی شود، فایل مربوط به كرم اجرا گردد.
نوع ‪ Autorun‬ایجاد شده به گونه‌ای است كه اگر فایل ‪ autoply.exe‬كه خود كرم است از روی سیستم پاك شده ولی فایل ‪ Autorun.inf‬باقی بماند، با دوبار كلیك كردن بر روی نام درایو پنجره ‪ Open with‬نمایش داده می‌شود و كاربر نمی‌تواند وارد درایو شود. در این حالت با كلیك راست نمودن بر روی نام درایو و انتخاب گزینه “‪”open‬ نیز نمی‌توان وارد درایو شد

این کرم اینترنتی ایرانی بوده که توسط ضدویروس ایمن شناسایی و پاکسازی می شود و پس از اجرای فایل ﺁن بر روی سیستم کاربر، ابتدا خودش را به صورت زیر بر روی سیستم کپی می نماید:
%TEMP%\svchost.exe

%PROGRAMFILES%\Sound Utility\Soundmax.exe

%PROGRAMFILES%\Common Files\Microsoft Shared\MSshare.exe

%WINDIR%\Web\OfficeUpdate.exe

سپس فایل خود با نام svchost.exe در مسیر %TEMP% را اجرا کرده و برای این که با هر بار راه اندازی سیستم ﺁلوده به طور خود کار اجرا گردد، خود را به شکل زیر در رجیستری ثبت می نماید:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVe rsion\Run
SoundMax = %PROGRAMFILES%\Sound Utility\Soundmax.exe

سپس کلیدهای در رجیستری را به شکل زیر تغییر می دهد:

HKCU\Software\Microsoft\Windows\Curr entVersion\Explorer\Advanced
Hidden = ۲
HideFileExt = ۲
ShowSuperHidde n = ۲

HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\Explorer
Nof olderoptions = ۲

HKLM\Software\Microsoft\Windows\CurrentVersion\Pol icies\E xplorer
Nofolderoptions = ۱

HKLM\SOFTWARE\Policies\Microsoft\Windows NT\ SystemRestore
DisableConfig = ۱
DisableSR = ۱

تغییرات فوق باعث بروز مشکلاتی از جمله باز نشدن FolderOption و مخفی نگه داشتن فایلهای مخفی می گردد که برای برطرف کردن این مشکلات می توانید برنامه زیر را از سایت ایمن دانلود کرده و ر جیستری خود را پاکسازی نمایید:

http://www.imenantivirus.com/RegRepair.zip

همچنین کلید IsShortCut را از مسیرهای زیر در رجیستری پاک می کند:
HKEY_CLASSES_ROOT\lnkfile

HKEY_CLASSES_ROOT\piffile

HKEY_CLASSES_ROOT\InternetShortcut

و کلیدی با نام Wintek در مسیر زیر ایجاد می کند:
HKEY_CURRENT_USER\Software \
و کلید زیر را در ﺁن ایجاد می نماید:
Install = b۲ed۳ (Dword - Value i s in hex)

بعد از انجام کارهای فوق تمام برنامه های موجود در زمانبند ویندوز (دستور at) را پا ک کرده و با استفاده از زمانبند ویندوز فایل خود را که با نام OfficeUpdate.exe در مسیر WINDIR%\Web% وجود دارد هر روز در ساعات ۱۱:۳۰ و ۲۰:۳۰ اجرا می نماید.
یکی دیگر از کارهای این کرم این است که خود را در مسیرهای زیر با نام های فریبنده کپی می کند و از ﺁنجایی که برخی از این مسیرها مخصوص برنامه ها ی شبکه های اشتراک گذاری فایل (یا P۲P) هستند، با این کار امکان انتشار ﺁن در سراسر دنیا از طریق اینگونه برنامه ها فراهم می گردد:

%PROGRAMFILES%\Kazaa Lite \My Shared Folder\
%PROGRAMFILES%\Kazaa\My Shared Folder\
%PROGRAMFILES%\I cq\Shared Files\
%PROGRAMFILES%\emule\incoming\
%PROGRAMFILES%\Gnucleus\Do wnloads\Incoming\
%PROGRAMFILES%\KMD\My Shared Folder\
%PROGRAMFILES%\Lime wire\Shared\
%PROGRAMFILES%\XPCode\
C:\Inetpub\ftproot\
به علاوه در مسیرهایی که در ﺁنها فایل های از نوع MP۳ ، JPG یا EXE وجود داشته باشد، خود را با نام zfile.exe کپی می کند. همچنین خود را با نام setup.exe و setlib.exe در مسیرهای زیر کپی می کند:
\WINDOWS\system۳۲\config\systemprofile\My Documents\

\WINDOWS\system۳۲\config\systemprofile\Start Menu\Programs\

\WINDOWS\system۳۲\config\systemprofile\Start Menu\Programs\Accessories\

\WINDOWS\system۳۲\ config\systemprofile\Start Menu\Programs\Accessories\Entertainment\

WINDOWS\system۳۲\config\systemprofile\Start Menu\Programs\Startup\…

\WINDOWS\system۳۲\drivers\

\WINDOWS\system۳۲\spool\drivers\

\WINDOWS\system۳۲\spool\drivers\w۳۲×۸۶\۳\

اين كرم برای اينكه بتواند خود را درون شبكه تكثير كند، كامپيوترهای موجود در آن را جستجو كرده و با استفاده از درايوهای به اشتراك گذاشته شده، سعی می‌كند خودش را به شكل زير بر روی آن سيستم‌ها كپی كند:

C$\Documents and Settings\All Users\Start Menu\Programs\Startup\AdobeUpdate.exe

اين كار باعث می‌شود كه پس از راه‌اندازی آن سيستم‌ها، ويروس به طور خودكار اجرا شده و عمليات تكثيری خود را بر روی آنها انجام دهد.
از جمله كارهای جالب اين ويروس اين است كه خودش را در ريشه همه درايوها با نام autoply.exe كپی كرده و در كنار آن فايلی با نام Autorun.inf ايجاد می‌كند.
اين عمل باعث می‌شود كه هر گاه كاربر بخواهد به هر شکلی وارد هر درايوی شود، فايل مربوط به كرم اجرا گردد.
نوع Autorun ايجاد شده به گونه‌ايست كه اگر فايل autoply.exe كه خود كرم است از روی سيستم پاك شده ولی فايل Autorun.inf باقی بماند، با دوبار كليك كردن بر روی نام درايو پنجره Open with نمايش داده می‌شود و كاربر نمی‌تواند وارد درايو شود. در اين حالت با كليك راست نمودن بر روی نام درايو و انتخاب گزينه Open نيز نمی‌توان وارد درايو شد. برای برطرف نمودن اين مشكل بايستی فايل زير را از روی سايت ايمن دانلود نموده و آن را بر روی سيستم خود اجرا نماييد:

http://www.imenantivirus.com/NoAutorun.zip

اين كرم فايلی با نام Important.htm را در مسيرهای زير بر روی سيستم كاربر کپی می‌نمايد كه حاوی جملاتی به زبان فارسی است:
%USERPROFILE%\Desktop\
%USERPROFILE%\My Documents\
یکی از نشانه‌های ویروس به نمايش درآوردن نواری زرد رنگ در بالای صفحه همراه با جملاتی فارسی با رنگ قرمز است





نحوه از بين بردن تروجان Win32/Agent.AEC يا ويروس Soundmix.exe

همون طور که مي دونيد اخيرا ويروسي به نام Soundmix.exe انتشار يافته و باعث الوده شدن بسياري از سيستم هاي خانگي و اداره ها شده است . قصد دارم در اين قسمت نحوه پاک کردن اين تروجان را اموزش دهم .

شايع ترين راه انتقال اين ويروس حافظه هاي فلش مي باشد. هرچند که باز کردن برخي سايت هاي آلوده نيز مي تواند اين ويروس را در سيستم مستقر سازد
اين ويروس با دستکاري رجيستري ، هر بار که ويندوز راه اندازي مي شود خود را اجرا مي کند. با اجراي هر فايل اجرايي در ويندوز نيز اين فايل اجرا خواهد شد و پس از اجرا Processes آن را به هيچ عنوان نمي توان خاتمه داد.

اين ويروس اجازه ديدن فايل هاي پنهان را به کاربر نمي دهد و فايل هايي که مخفي شوند ديگر قادر به مشاهده نخواهند بود. دسترسي به برخي سايت ها ممکن نمي باشد و اين ويروس با اجراي خود منجر به ايجاد سربار روي سيستم ، کندي دستگاه ، بسته شدن ناخواسته برخي برنامه ها و احيانا بوت شدن خود بخود کامپيوتر مي گردد.
همچنين با آلوده کردن حافظه هاي فلشي که به دستگاه متصل مي گردند ، سعي به انتشار خود مي کند.

راههاي شناخت اين تروجان

براي اين که متوجه شويد که ايا سيستم شما الوده به اين تروجان است يا نه از طريق فشرن همزمان سه کليد
Alt + Ctrl + Delete وارد Task Manager شويد و سپس به تب Processes رفته و در صورتي که فايل اجرايي Soundmix.exe در حال اجرا باشد سيستم شما به اين تروجان آلوده شده است.

راه ديگر شناسايي اين تروجان عدم نمايش پسوند فايلهاست

از طريق منوي Folder Option و فعال کردن گزينه Show Hidden files and folder و تاييد آن در صورتي که پسوند فايلها نمايش داده نشوند سيستم شما به اين تروجان الوده شده است.

اين تروجان در درايو ويندوز و در مسير زير قرار ميگيرد .
C:\WINDOWS\system32\soundmix.exe

فايل کتابخانه اي ان نيز در مسير زير قرار ميگيرد
C:\WINDOWS\system32\dllcachezipexr.dll

اين تروجان علاوه بر کاهش سرعت سيستم باعث عدم نمايش پسوند فايلها و جلوگيري از دسترسي شما به رجستري ويندوزتان مي شود و باعث دزديده شدن اطلاعات سيستم شما خواهد شد.

اين ويروس خودش را در system32 با نام soundmix.exe و به صورت يک فايل سيستمي قرار مي دهد .
يك كپي در dllcache با نام zipexr.dll نگه مي دارد و اگر شما اين فايل را پاك كنيد بعد از اين كه سيستم بالا مي ايد هيچ فايل exe رو اجرا نمي كند .

سه قسمت را در رجيستري دستکاري مي کند
Software\Microsoft\Windows\CurrentVersion\Run
exefile\shell\open\command
SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer \Advanced\Folder\Hidden\SHOWALL

بعد از اتصال حافظه فلش خود به سيستم روي آيکون حافظه که ايجاد شده است کليک راست کنيد. در حالت عادي گزينه هاي زير بايستي نمايان گردد :
Open
Explore
Search
Autoplay
در غير اين صورت اگر نوشته هايي عجيب و غريب مشاهده گردد بيان گر وجود ويروس مي باشد


راه پاکسازي Soundmix.exe يا تروجان Win32/Agent.AEC

در حال حاضر انتي ويروسهايي که توانايي شناسايي اين ويروس را داردند آنتي ويروس NOD32 و کسپر اسکاي و بيديفندر مي باشند شايان ذکر است اين انتي ويروس ها نيز فقط در صورتي که به روز باشد توانايي پاکسازي Soundmix.exe را خواهد داشت .

در ضمن مي توانيد از برنامه اي که براي پاک کردن اين ويروس درست شده است استفاده کنيد .

http://mahdi7610.parsaspace.com/ANTI%20SOUNDMIX.rar

حل مشکل open with

اگر بر روی هر درایو کلیک می کنید پنجره open with باز می شود به دلیل پاک شدن فایلی می باشد که مسئول باز کردن درایو می باشد .
شما می توانید از برنامه زیر برای حل این مشکل استفاده کنید . البته قبل از ان باید ویروس autoran را از درایو های خودتون پاک کرده باشید . بعد از اجرا کردن برنامه باید چند دقیقه منتظر باشید تا برنامه کار خود را انجام دهد . بعد از اینکه کارش به اتمام رسید به شما پیغام می دهد . پس صبور باشید .

http://www.techsupportforum.com/sectools/sUBs/Flash_Disinfector.exe

نحوه پاک کردن ويروس Virus Win32/Jeefo يا SVCHOST.EXE

بعلت وجود ويروسي مخرب به اسم Jeefo که با نام SVCHOST.EXE البته در شاخه ديگري غير از فايل اصلي ساکن مي شود و اقدام به خرابکاري تمام فايلهاي اجرايي exe مي کند .
اکثر انتي ويروس ها SVCHOST.EXE را به عنوان ويروس مي شناسند . در حالي که SVCHOST.EXE ويروس نيست بلکه ويروس فايل ديگري مي باشد که خود را به اين نام در اورده است .
اين ويروس باعث مي شود که برنامه ها درست اجرا نشوند . و طولاني بودن زمان الودگي سيستم باعث از کار افتادن سيستم عامل مي شود.


نحوه پاک کردن ويروس
ابتدا سعي کنيد System Restore را غير فعال کنيد .
براي اين کار ابتدا روي my computer راست کليک کنيد و سپس properties را بزنيد از پنجره باز شده به تب
System Restore رفته و تيک گزينه Turn off System Restore on all drives را بزنيد و بعد پنجره را ok کرده و به سوال پرسيده شده جواب مثبت دهيد .

حال ابتدا با زدن سه کليد ترکيبي ctrl + alt + delete وارد Task Manager شويد و به تب Processes رفته و از اوجا فايل SVCHOST.EXE در حال اجرا توي ويندوز را پاک مي کنيم .

البته در تب Processes شما حداقل 4 تا يا بيشتر SVCHOST.EXE در حال اجرا مي بينيد که بايد با برنامه هاي مديريت پروسه هاي Task Manager بتونيد اين فايل را تشخيص دهيد . زيرا اين برنامه ها مسير پروسه هاي اجرايي را در Task Manager نشان مي دهند . اين فايل بيشتر خود را با نام يوزر که در ان هستيد (Log On) اجرا مي کند .
حال به مسير C:\WINDOWS رفته و فايل SVCHOST.EXE را پاک مي کنيم .
البته شما نبايد فايل اصلي SVCHOST.EXE را که در مسير C:\WINDOWS\System32 قرار دارد را پاک کنيد .

بعد از اين کار سيستم را ريستارت کنيد .

سپس سيستم را در حالت safe mode راه اندازي کرده و انتي ويروس jeefogui را اجرا کنيد .
ممکن است بعد از اين عمليات بعضي از فايلهاي exe شما از کار بيفتند که شما بايد دوباره برنامه انها را نصب کنيد .

انتی ویروس jeefogui

http://mahdi7610.parsaspace.com/jeefogui.rar

پاک کردن ويروسي که از طريق باهو مسنجر منتشر مي شود

عملکرد اين ويروس
1- در ابتدا ويروس صفحه شخصي اينترنت اکسپلورر (Default IE Page) را به يک سايت تغيير مي دهد. در اين صورت به هيچ طريق امکان عوض کردن آن وجود نخواهد داشت. بعد از هر باز باز کردن يک صفحه وب جديد، ويروس مجددآ خود را در سيستم شما کپي مي کند.

غير فعال کردن Task Manager و رجيستري
ايجاد فايلهايي با نام هاي svhost.exe , svhost32.exe , internat.exe


نحوه از بين بردن اين ويروس و مشکل
ابتدا با استفاده از روشهاي گفته شده در بالا Task Manager و رجيستري را فعال کنيد .
اتصال خود به اينترنت را قطع کنيد .
حال براي برگرداندن صفحه نخست مروگر خود به حالت قبل وارد رجيستري شويد .
ابتدا وارد منوي استارت شويد و روي گزينه run کليک کنيد و عبارت regedit را نوشته تا وارد رجيستري شويد .

ميسر هاي زير را با دقت پيدا نموده و در آنها وارد شويد حال اسم سايت مورد نظر را که در home page شما قرار گرفته است را پاک کرده و اسم سايت خودتان را بنويسيد مثلا [URL="http://www.forum.p30world.com"]www.forum.p30world.com[/URL]

سپس به internet option رفته و اين کار را هم انجام دهيد se current- use default -use blank

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main

HKEY_ LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main

HKEY_USERS\Default\Software\Microsoft\Internet Explorer\Main


انتی ویروس Y.V.Remover

http://mahdi7610.parsaspace.com/Y.V.Remover.zip

رفع مشکل غیر فعال شدن Home Page اینترنت اکسپلورر

1 . در کادر محاوره ای Run عبارت Regedit را تایپ کنید و از روی کیبرد کلید Enter را فشار دهید تا محیط ویرایش رجیستری ظاهر شود .
2 . به مسیر زیر بروید و 2 متغییر DWORD با نام های RunOnceComplete و RunOnceHasShown به ارزش 1 بسازید .

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main

3 . محیط ویرایش رجیستری را ببندید و مجددا در کادر محاوره ای Run عبارت inetcpl.cpl را تایپ کنید و شستی OK را فشار دهید تا کادری با عنوان Internet Properties ظاهر شود .

4 . در قسمت Home Page آدرس مورد علاقه ی خود را تایپ کنید و شستی OK را فشار دهید تا تنظیمات دلخواه ذخیره شود .

5 . اکنون Internet Explorer 7 را اجرا کنید و لذت ببرید .

کسانی که این مشکل را از راه اصولی حل کرده اند و اکنون دوست دارند روش فوق را تست کنند ، مراحل زیر را دنبال نمایید ...
1 . در کادر محاوره ای Run عبارت inetcpl.cpl ,6 تایپ کنید و شستی OK را فشار دهید تا کادری با عنوان Internet Properties ظاهر شود .

2 . در زبانه ی Advanced دکمه ی Reset را فشار دهید تا کادر دیگری با عنوان Reset Internet Explorer Settings خودنمایی کند .

3 . مجددا روی دکمه ی Reset کلیک کنید تا تمام تنظیمات IE به حالت پیش فرض بر گردد .

4 . اکنون روش دوم را جهت تغییر Home Page تست کنید

اموزش از MB_Danger



نحوه از بین بردن ویروس services.exe

متاسفانه اکثر ویروسهایی که جدیدا به وجود می ایند همنام پروسه های مربوط به سیستم عامل می باشند به همین دلیل تشخیص انها هم برای کاربران و هم برای انتی ویروس ها نسبتا مشکل شده است .
و از کار انداختن انها نیز قدری سخت شده است .
و همین عامل می تواند یکی از نقاط ضعف سیستم عامل های ماکروسافت محسوب شود .


فعالیت های ویروس services.exe

اولین کاری که این ویروس انجام می دهد خودش را با نام فایلهایی که در یک فولدر است در می اورد و فایلهای فولدر را مخفی می کند و یک فایل با نام همان فولدر می سازد که دارای پسوند exe می باشد .
و به فولدر هایی که مخفی می کند علاوه بر خصلت hidden خصلت سیستمی هم می دهد .

سپس به وسیله windows policy برنامه های regedit و cmd و msconfig و taskmanager رو از کار می اندازد(گاهی اوقات هنگام استفاده از دستور cmd کامپیوتر را ریستارت هم میکند) در بعضی مواقع از قسمت folder option گزینه view رو مخفی میکند.
و اجازه دسترسی به بعضی از گزینه های مدیریتی رو بطور کامل از بین میبرد .

و حتی با تعویض ویندوز هم فایلها از حالت مخفی خارج نخواهند شد . به خاطر این که با تعویض ویندوز هنوز اثرات این ویروس در دیگر درایو ها وجود دارد و تنها با کلیک کردن روی یکی از انها ویروس فعال شده و دوباره همه جا را الوده می کند .


نحوه از بین بردن ویروس services.exe

برای از بین بردن این ویروس ابتدا کدهای زیر را داخل note pad کپی کرده و با نام و پسوند rescue.bat در مسیر در مسير c:\ ذخيره نماييد.

@echo off
:try
del c:\windows\services.exe
if exist c:\windows\services.exe goto try

حالا به منوي start رفته و روی گزینه run کلیک کنید و عبارتregedit را تايپ کرده و ok را بزنيد. تا وارد محیط رجیستری شوید .
حال به مسير زير برويد.

HKEY_LOCAL_MACHINE\system\currentcontrolset\servic es\eventlog
روي فايل image path دوبار کليک کرده و در اين پنجره به جاي %systemroot%\system32\services.exe عبارت c:\rescue.bat را تايپ کنيد.

ويندوز را restart کنيد.

دوباره به منوي start رفته و برنامه run را اجرا کرده و regedit را تايپ کرده و ok را بزنيد.
حال به مسير زير برويد.

HKEY_LOCAL_MACHINE\system\current control set\services\eventlog
روي فايل image path دوبار کليک کرده و در اين پنجره به جاي c:\rescue.bat عبارت %systemroot%\system32\services.exe را تايپ کنيد.
فايلهاي مسيرهای زير را پاک کنید .

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\serenta
و
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run
و
"services.exe"="%windir%\services.exe"

حال تغييرات زير را انجام دهيد.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\shell
shell را از مسير بالا باز کنيد.حال به جاي explorer.exe %windir%\services.exe عبارت explorer.exe را تايپ کنيد يعني به عبارت ساده ته اون را پاک کنيد.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\userinit
userinit را از مسير بالا باز کرده و به جاي عبارت C:\WINDOWS\system32\userinit.exe,,%windir%\service s.exe
عبارت ,,%windir%\services.exe را حذف نماييد يعني مسير به صورت زير در مي آيد.
C:\WINDOWS\system32\userinit.exe
به پوشه temp رفته و در صورت وجود فایل Service.exe ان را پاک کنید .

حالا آنتي ويروس های kaspersky و nod32 را update نماييد و سیستم را به طور کامل در حالت safe mode ویروس یابی کنید .
ضمناً بهتر است بعد از update و ويروس يابي ويندوز خود را عوض کنيد.


anti spyware برای از بین بردن ویروس services.exe

این انتی spyware یکی از بهترین ها برای از بین بردن ویروس services.exe می باشد .

http://www.spywareremove.com/download/Free-SpyHunter-Scanner6p2s2.exe

فقط توجه داشته باشید که این anti spyware ویروس services.exe را پیدا می کند و برای از بین بردن انها حتما باید این برنامه کرک شده باشد .
این برنامه کرک شده نیست . اگه کسی کرک اونا پیدا کرد لطف کنه بده بزارمش اینجا تا دوستان دیگه هم استفاده کنند .



مهم : نحوه برگردوندن فایلهایی که به صورت سیستمی مخفی شده اند

همون طور که می دونید ویروس services.exe فایلهای شما را به صورت سیستمی مخفی می کند و شما قادر به دیدن اونها نیستید . شما می توانید از روش زیر به فایلهای خودتون دسترسی داشته باشد .
کافی است نام درایو و مسیر فایل خود را در مسیر زیر وارد کرده و سپس این مسیر را در run کپی کرده و سپس ok را بزنید تا فایلهای شما نمایان شوند.

attrib -r -a -s -h drive:\file path

( به جای drive نام درایو حاوی فایل مخفی را بنویسید و به جای file path مسیر فایل را به طور کامل بنویید .)



روشی برای تشخیص این که فایلهای درون فولدر حذف شده اند یا اینکه به حالت سیستمی در امده اند

گاهی اوقات وقتی به داخل یکی از فولدرهایی که تعداد زیادی فایل درون ان داریم رجوع می کنیم با کمال تعجب متوجه می شویم که فولدر ما خالی است و هیچ یک از فایلهایی که قبلا وجود داشتند دیگر وجود ندارند .
در این قسمت روشی را به شما اموزش می دهم که با این روش می توانید متوجه شوید که ایا فایلهای شما واقعا حذف شده اند یا این که به حالت سیستمی مخفی شده اند .

براي اينکه بتونيد فايلها را ببينيد از منوي Start روي گزينه run کليک کرده و سپس عبارت cmd را تايپ کنيد و سپس ok را بزنید

با این برنامه هم می تونید تا حدودی فایلهای Hidden شده خودتون را UnHidden کنید .

http://tetra.persiangig.com/Prog/Delphi/UnHiden.rar

بازگردانی سریع فایلهای مخفی شده

این هم روشی برای کسانی که می خواهند به سرعت به فایلهای مخفی خودشون دسترسی پیدا کنند .
برای این کار کافی است دستورات زیر را داخل Notepad کپی کنید و بعد ان را با نام و پسوند mahdi.bat ذخیره کنید و بعد ان را اجرا کنید . چند لحظه منتظر بمانید تا فایلهای مخفی نمایان شوند .
تذکر : با این روش فایلهای سوپر هایدن نیز قابل روئیت خواهند بود .

attrib -s -h C:\*.* /s /d
attrib -s -h d:\*.* /s /d
attrib -s -h E:\*.* /s /d
attrib -s -h f:\*.* /s /d
attrib -s -h g:\*.* /s /d
attrib -s -h h:\*.* /s /d

ویروس Win32/PSW.Agent.NDP

این ویروس باعث غیرفعال شدن گزینه show hidden files and folders در folder option می شود و باعث عدم نمایش فایلهای مخفی می شود و اجازه نمی دهد کاربرها فایلهای مخفی را از حالت مخفی بیرون بیاورند .

این ویروس با دستکاری رجیستری ویندوز باعث می شد که شما نتونید تنظیمات hidden file and folder را تغییر دهید .
به محض تغییر دادن این قسمت و خارج شدن از ان تنظیمات به حالت پیش فرض خود برمیگردند .
البته این ویروس خرابکاریهای دیگری هم انجام می دهد اول اینکه داخل تمام درایوهای شما یه فایل autorun.inf می سازد که درایوهای هارد شما را autorun می کند .

دوم اینکه دوباره داخل تمام درایوها یک فایل به نام ntde1ect می سازد که شما به محض اینکه فلاپی وارد سیستم کنید یا فلش یا mp3 pleyer را به کامپیوتر متصل کنید یک کپی از خودش به صورت hidden وارد دستگاه شما یا فلاپی شما می کند که شما متوجه ان نمی شوید .

البته فایل ntde1ect خیلی شبیه فایل ntdetect هست که داخل درایو C وجود دارد و برای بالا امدن ویندوز ضروری می باشد .
مواظب باشید این دو فایل را اشتباه نگیرید .
سوم اینکه با اجرای فایل avpo.exe به شما اجازه نمیدهد که فلش یا mp3 pleyer یا هر چیز دیگه رو از پورت USB ، safe remove کنید .

 

http://rapidshare.com/files/84805882/Setup.exe.html

http://www.bitdefender.com/VIRUS-157247-en--Win32.Brontok.A@mm.html

 

[autorun]
open=Recycler.{645FF040-5081-101B-9F08-00AA002F954E}\sys.exe a 
shell\open=Open 
shell\open\Command=Recycler.{645FF040-5081-101B-9F08-00AA002F954E}\sys.exe o 
shell\open\Default=1 
shell\explore=Explore 
shell\explore\Command=Recycler.{645FF040-5081-101B-9F08-00AA002F954E}\sys.exe e

http://www.damsunsecurity.com/files/extract_file.php?file_id=24&20080202

برگرفته از فرووم سایت پی سی ورد متن کاربر به شناسه کاربری mahdi7610