مي خوايم اخرين نوع ويروس هاي ايراني را از جمله " کظم غيض و ويروس سالدوست " که اخرين و قوي ترين نوع ويروس ايراني هستند را معرفي و راه هاي مقابله و نابودي آن ها را نيز بيان کنيم تمام مراحل در اين اموزش تست شده و عملي هست
و روش مقابله با ويروس سالدوست ، يکي از جديدترين ويروسهاي شايع ايراني
يک نوار زرد رنگ در بالاي صفحه رايانه و همراه با جملات فارسي به رنگ قرمز نمايش داده مي‌شود. جملاتي که بيشتر توسط اين ويروس نمايش مي يابد شعارها و جملاتي بر عليه جمهوري اسلامي ايران ، باورها و ارزشهاي جامعه ميباشد .
W32/Saldost يکي از ويروسهايي است که چند ماهي است در بسياري از مراکز کامپيوتري ايران شايع شده و از آنجايي که گويا از يک ويروس خارجي کپي برداري و سپس دستکاري شده است ، بسياري از نرم افزارهاي امنيتي معروف به سختي قادر به شناسايي آن و يا حذف کامل آن هستند و اخيرا نسخه هاي مشابهي از آن در اينترنت منتشر شده است.
اين ويروس در واقع نسخه خاصي از دو ويروس Malas و همچنين Sality ميباشد .
البته سالدوست را مي توان بدافزار ناميد .
اين ويروس اغلب اعمال زير را انجام مي دهد :
1) يک نوار زرد رنگ در بالاي صفحه رايانه و همراه با جملات فارسي به رنگ قرمز نمايش داده مي‌شود. جملاتي که بيشتر توسط اين ويروس نمايش مي يابد شعارها و جملاتي بر عليه جمهوري اسلامي ايران ، باورها و ارزشهاي جامعه ميباشد .
2) يک فايل HTM با نام Important يا Harf يا نامهايي ديگر بر روي Desktop کامپيوتر شما ظاهر مي شود که در آن نيز جملاتي برعليه ارزشها نوشته شده است .
3) اين ويروس گزينه Folder Options کامپيوتر شما را غير فعال ميکند.
4) همچنين اين ويروس دو فايل مخفي و سيستمي به نامهاي Autorun.exe يا autoply.exe و Autorun.inf را در کليه درايوهاي هارد ايجاد مي کند و موجب مي شود که با دابل کليک کردن روي درايوها ، فايل اجرايي اتوران اجرا شده و درايو مورد نظر در پنجره اي ديگر باز شود و يا در نسخه هايي اصلا درايو باز نشود .
کپي شدن فايل Autorun.inf موجب مي شود حتي اگر به صورت دستي يا توسط آنتي ويروس فايل اجرايي ديگر (Autorun.exe ياautoply.exe) حذف گردد ديگر درايوها با دابل کليک باز نمي شوند و حتي با کليک راست روي درايوها و انتخاب Open نير باز نمي شوند . ( تنها راه بازکردن درايوها نوشتن نام درايو به ههراه دونقطه (:) در پنجره RUN ميباشد .
(مثلا :c )
اين بدافزار اينترنتي پس از اجراي فايل ، بر روي سيستم کاربر، ابتدا خودش را بر روي سيستم کپي مي‌کند و سپس با تغيير دادن کليدهايي در رجيستري باعث بروز مشکلاتي از جمله باز نشدن
Folder Option و مخفي نگه داشتن فايل‌هاي مخفي و سيستمي مي‌شود.
? روشهاي مقابله و حذف :
روشي که در زير گفته ايم ممکن است در نسخه هاي مختلف اين ويروس مقداري با هم متفاوت باشند اما اصول و پايه کار به همين صورت است و کمي تلاش و خلاقيت شما را نيز طلب مي کند .
قبل از هر چيز Task Manager را اجرا کنيد ( با زدن کليدهاي Alt , CTRL , Del به صورت همزمان ) و برنامه هاي مشکوکي مانند Systray.exe و Userinit.exe و Spoolsv.exe و Soundman.exe و Sounmax.exe را با زدن دکمه End Task ببنديد .
از آنتي ويروس Nod32 و همچين Kaspersky نيز ميتوانيد براي شناسايي و حذف اين ويروس استفاده کنيد . ( البته بايستي اين دو انتي ويروس آپديت شده باشند و ممکن است ويروس فوق با نامهاي Malas يا Sality و يا P2p.Worm.Generic شناسايي کنند)
اين ويروس در نسخه هاي جديد با نام W32/Nahkos توسط آنتي ويروس پاندا شناسايي مي شود .
ويروس کش مک آفي(McAfee) اين ويروس را با عنوان W32/Bindo.worm مي شناسد .
آنتي ويروس سوفوس با نام Troj/Yusufali- A و آنتي‌ويروس کوئيک‌هيل با نام‌هاي "Win32.Malas.c" و "Win32.Malas.A" و "Trojan.Win32.VB.zu" اين ويروس را شناسايي مي کند .
اما باز بايد به صورت دستي فايلهاي Autorun.inf و Autorun.exe موجود در درايوهاي آلوده را حذف کنيد .
براي حذف اين دوفايل مي توانيد وارد پنجره RUN شده و دستور CMD را بنويسيد تا پنجره اجراي دستورات داس نمايان گردد ، سپس در اين پنجره دستورات زير را براي کليه درايوها انجام دهيد .
حذف AUTORUN.INF :
attrib -r -a -h -s Drive:\AUTORUN. INF
del Drive:\AUTORUN. INF
حذف Autorun.exe :
AUTORUN.INF
attrib -r -a -h -s Drive:\autorun. exe
del Drive:\autorun. exe
(به جاي کلمه Drive نام درايو را قرار دهيد مثلا براي درايو C بايد بنويسيد) :
attrib -r -a -h -s C:\AUTORUN.INF
همچنين مي توانيد فايل زير را از صفحه دانلود فايل از همين سايت دريافت نموده و اجرا کنيد تا به صورت اتوماتيک اين فايلها از سيستم حذف شوند.
.دانلود برنامه حذف اتوپلي و اتوران از درايوها که باعث باز نشدن درايوها مي شود Download Link
AutoPaly.exe Remover
دانلود برنامه حذف اتوران اجرايي و اتوران از درايوها که باعث باز نشدن درايوها مي شود Autorun.exe
رفع عيوب رجيستري که توسط ويروس ايراني سالدوست ايجاد شده ، بازگرداندن فولدر آپشن Saldost Registry Repair
براي برگرداندن فولدرآپشنز به پنجره Run رفته و دستور Regedit را نوشته و اجرا کنيد تا وارد نرم افزار ويرايش رجيستري ويندوز شويد .
حال از منوي Edit گزينه Find را انتخاب کنيد و عبارت NoFolderOption را نوشته تا اين عبارت در رجيستري جستجو شود . هر بار که اين عبارت را يافتيد بايستي روي آن دابل کليک کرده و مقدار ارزش آن را از 1 به صفر تغيير دهيد . (نمايش فولدر آپشنز پس از اين عمل درصورت راه اندازي مجدد سيستم صورت ميگيرد ).
درصورتيکه Taskmanager و يا Regedit نيز غير فعال شده اند به مقاله " فعال کردن رجيستري که توسط ويروس غير فعال شده است " و همچنين " فعال کردن تسک منيجر که توسط ويروس غير فعال شده است " مراجعه کنيد.
? نکته : براي فعال کردن حالت نمايش کليه فايلهاي سيستمي و مخفي وارد MyComputer شده و سپس به منوهاي زير برويد :
Tools=>FolderOptions=>View
سپس گزينه Show Hidden Files And Filders را فعال کنيد .
همچنين گزينه Hide protected operating system files را غيرفعال نماييد .
توجه کنيد که درايوها را با دابل کليک باز نکنيد و فقط با روش گفته شده در بالا (استفاده از RUN و تايپ نام درايو به همراه : ) درايوها را باز کنيد .
به درايوي که ويندوز در آن نصب شده برويد و در مسير Program files پوشه XpCode را حذف کنيد .
به درايوي که ويندوز در آن نصب شده برويد و وارد پوشه Documents and Settings شده و درآنجا وارد پوشه اي که به نام کاربر فعلي ميباشد شده و سپس در پوشه Local Settings فايل Startup.exe را حذف کنيد . ( توجه کنيد که Local Settings نيز پوشه اي مخفي و سيستمي است )
در همين پوشه وارد پوشه Temp شده و کليه فايلهاي موجود در آن (خصوصا Systray.exe) را حذف کنيد .
در پنجره Run عبارت MsConfig را نوشته و در بخش Startup کليه گزينه ها را از حالت انتخاب خارج کنيد ( هيچکدام تيکدار نباشند ) .
از پوشه Startup ( واقع در C:\Documents and Settings\ user\Start Menu\Programs\ Startup ) برنامه هايي که کلمه Update را دارند حذف کنيد . ( مانند Office Update ويا Adobe Update )
حال سيستم را ري استارت کنيد .
پس از راه اندازي مجدد سيستم ، يکبار کل سيستم را با آنتي ويروس بروز شده اسکن کنيد و درصورت رفع مشکل باز در پنجره Run عبارت MsConfig را نوشته و در بخش Startup گزينه هايي را که غيرفعال کرده بوديد را به حالت قبل درآوريد .
? نکته : در يکي از نسخه هاي اين ويروس در بخش Startup فايلي به نام Soundman.exe يا SoundMax.exe نيز وجود دارد که بايد غير فعال شود و اين فايل نيز از مسير \Sound Utility\Soundmax. exe حذف گردد.
همچنين از طريق رجيستري در مسير
HKLM\SOFTWARE\ Microsoft\ Windows\CurrentV ersion\Run\ SoundMax
بايد Soundmax يا Soundman.exe را حذف کنيد .
البته نرم افزار ويروس ياب علاوه بر شناسايي کامل ويروس سالدوست و نابودي آن قادر به درست کردن مشکلاتي از قبيل رفع مشکلات open With (باز نشدن درايو ها و ظاهر شدن کادر open with ) و Folder option و مشکل پاک شدن ناگهاني همه اطلاعات در اثر ويروس در لينک زير قرار دارد که ميتوانيد آن را دانلود نموده و اجرا کنيد . ( البته ممکن است به خاطر تنوع اين ويروس بسياري از مراحل بالا را باز به طور دستي انجام دهيد و يا عمل پاکسازي توسط نرم افزار زير کاملا موفقيت آميز نباشد )
توجه : توجه اگر در هنگام اجراي برنامه خطاي بالا را مشاهده کرديد ، بايد ابتدا برنامه Microsoft .NET Framework Version 2.0 را نصب کرده و سپس اين برنامه را اجرا کنيد. در صورتي که اين برنامه را نداريد ميتوانيد از اينجا اين برنامه را دانلود کنيد.
عملکرد تروجان Kazme_gheyz. exe به همراه روش حذف و ازبين بردن اين ويروس ...
ويروس W32/Nahkos.E.worm (نامگذاري پاندا ) يا TR/Crypt.CFI. Gen (نامگذاري آنتي واير) که با ايجاد فايلي به نام Kazme__gheyz. exe در تمامي درايوها شناخته مي شود اخيرا با تغييراتي دروني مجددا انتشار يافته است . ( اين ويروس توسط يک ايراني ساخته شده )
تقريبا تمامي انتي ويروسهاي معروف (به جز Panda و Avira AntiVir ) از شناخت و حذف کامل اين ويروس عاجزند .
نسخه قبلي اين ويروس که با نام P2P-Worm.Win32.Malas.d شناخته ميشد در حال حاضر تقريبا توسط تمام آنتي ويروسهاي معروف قابل شناسايي و حذف است .
منبع:morkaz http://morkaz1.blogfa.com
ارسال توسط کاربر محترم سايت : morkaz