ويروس های کامپیوتری و راه های شناسايي و مقابله با آنها | خدمات کامپیوتری امداد133
خانه / دایرة المعارف کامپیوتر / اموزش / ويروس های کامپیوتری و راه های شناسايي و مقابله با آنها

ويروس های کامپیوتری و راه های شناسايي و مقابله با آنها

  • Computer Viruses & Methods of Detection

 

  • مقدمه

 امروزه مسئله ويروسهاي رايانه اي به يک معضل بسيارجدي

تبديل شده است. براي يک کاربر PC ممکن است حداکثر ضرر

ناشي از يک ويروس مخرب،ازبين رفتن اطلاعات وبرنامه هاي

مهم موجود روي سامانه اش باشد در حاليکه وجود يک ويروس     در سامانه هاي رايانه اي يک پايگاه نظامي هسته اي مي تواند وجود بشريت و حيات کره زمين را تهديد کند.

 

            رشد  ويروس ها متخصصين را بر آن داشت که برنامه هايي براي نابودي ويروس ها بسازند.

  • اولين ويروس

 

اولين ويروس رايانه اي توسط ”کوهن“ ساخته شد.  کوهن صرفا به عنوان يک پروژه دانشجويي ، برنامه اي را نوشت که مي توانست خود را تکثير کرده و انگل وار به ديگر برنامه ها متصل شود ونوعي تغيير درآنها به وجود آورد.

 

علت نامگذاري ”ويروس“ بر روي اينگونه برنامه ها ، تشابه زياد آنها با ويروس هاي بيولوژيکي بود.

ويروسهاي رايانه اي برنامه هايي هستند که مي توانند تکثيرشوند و با اتصال به يک برنامه اجرايي و يا نواحي سامانه اي ديسک،همراه آنها اجرا گردند.

 

ويروس ها مي توانند کد خود را در قسمتهاي مختلف رايانه مثل هاردديسک يا فلاپي کپي کنند ويا خود را درون حافظه بارگذاري کنند، اين درحالي است که کاربرازوجود ويروس واعمالي که انجام مي دهد کاملا بي اطلاع است.

  • خطراتی که ما با آن مواجه هستيم

1- برنامه های مخرب ویروسها- Worms(توجه به حفره ها (

2- حمله نفوذ گران و سارقان

3- حملات Dos و      DDos

4- مشکل شبکه های بی سیم ( Wireless )

5-برنامه جاسوسی ( Spywarc ) و تروجان ها- روت کیت

6- هرز نامه SPAM و …

 

  • عملکرد ويروس ها
  • ايجاد تاخير يا وقفه در حين عمليات سامانه اعم از اجراي برنامه ها و يا راه اندازي رايانه
  • تخريب يا حذف برنامه ها و اطلاعات بخش هاي مختلف ديسک ها و يا حتي فرمت کردن ديسک ها
  • اشغال حافظه و تکثير در حافظه به نحوي که در حافظه جايي براي اجراي ديگر بر نامه ها نمي ماند و يا باعث اختلال در کار برنامه هاي موجود در حافظه مي شود.
  • اشغال فضاي ديسک
  • فايلهاي exe وcom رشد مي کنند و حجمشان زياد مي شود

سیستم يک ويروس الصاقي دارد.

  • برنامه هايي که اجرايشان مي کنيم بدرستي اجرا نمي شوند و با چند پيغام خطا از ادامه کار باز مي مانند.
  • تغييرات مشکوک در پوشه ها.
  • کاهش درحافظه سیستم يک ويروس TSR در سیستم شما زندگي مي کند.
  • پيغامهاي خطاي مشکوک.
  • پايين آمدن سرعت در عمليات سامانه.

 

  • انواع ويروس ها
  • ويروس هاي فايلي (File Viruses): اين ويروس ها معمولا فايل هاي اجرايي را آلوده مي کنند.فايل هاي آلوده به اين نوع ويروس ها اغلب داراي پسوند  .comيا .exe  هستند.
  • ويروس هاي ماکرو(Macro Viruses): اين ويروس ها  فايل هاي برنامه هايي را که داراي زبان ماکرو هستند(مانندWord MS وMS Excel و…) آلوده مي کنند. ویروس ماکرویی به فایل های اجرایی کاری ندارد بلکه مستقیما به داده ها حمله می کند . اکثر اوقات ،ماکروها طوری فایل ها را پاک می کنند که غیر قابل بازگشت باشد.
  • ويروس هاي بوت سکتور(Boot Sector Viruses) : اين گونه ويروس ها قطاع راه انداز ديسک سخت يا جدول بخش بندي ديسکهاي سخت  را  آلوده  مي کنند.
  • ويروسهاي اسکريپتي(Script Viruses) : اين ويروسها که اسکريپتهاي نوشته شده به زبان ويژوال بيسيک يا جاوا مي باشند ، تنها در رايانه هايي که  برروي آنها Internet Explorer نصب شده باشد و  توانايي  اجراي Script  ها  را  داشته  باشند ،  اجرا

مي شوند  و  فايلهاي  با  پسوند html,htm,vbs,js,htt,.asp را آلوده

مي کنند.

ويروسها ممکن است در يک يا چند دسته ازدسته هاي زير قرار بگيرند:

ويروسهاي مقيم در حافظه(Memory Resident Viruses)  :

اينگونه ويروسها با مقيم شدن در حافظه،هنگام دسترسي به فايل هاي ديگر آنها را آلوده مي کنند.

 

ويروسهاي کد شده (Encrypting Viruses)  : اين ويروسها پس از هربارآلوده سازي،  با  استفاده  از  شيوه هاي

مختلف شکل ظاهري خود را تغيير مي دهند.

 

ويروسهاي مخفي (Stealth Viruses): اين  ويروسها به  روشهاي مختلف ردپاي خويش را پاک مي کنند و خود را از سامانه عامل و نرم افزار هاي ضد ويروس مخفي نگه مي دارند.آنها درحافظه مقيم شده ودر اين صورت کليه درخواست هايي که نرم افزار ضد ويروس به سامانه عامل مي دهد را دريافت مي کنند وبه اين ترتيب ضد ويروس را هم فريب مي دهند.

  • اسب هاي تروا(Trojan)  : تظاهر مي کنند کارخاصي را
    انجام مي دهند ولي در عمل براي هدف  ديگري ساخته شده اند.
    هدف آنها تکرار خودشان نیست بلکه سیستم را در اختیار مهاجم
    قرار می دهند .
    بمب هاي منطقي(Logic Bomb): برنامه هايي هستند
    که در زمانهاي از قبل تعيين شده، مثلا  يک روز خاص ، اعمالي غير منتظره انجام
    مي  دهند. اين برنامه ها بر خلاف ويروس ، فايل هاي ديگر راآلوده نکرده و خود را گسترش نمي دهند.

    کرم ها(Worms)  :برنامه هايي هستند که مشابه ويروس توان تکثير کردن خود
    را دارند، ولي برعکس آنها براي گسترش خود نياز به برنا مه هاي ديگر ندارند.کرم ها معمولا از نقاط آسيب پذير برنا مه هاي E-Mail براي توزيع
    وسيع خود استفاده مي کنند مثل کرم mydoom يا I LOVE YOU.

ويروسهاي چند ريخت(Polymorphic Viruses)  :

ضد ويروس اصطلاحي است که به برنامه يا مجموعه اي از برنامه هااطلاق مي شود که براي محافظت از رايانه ها در برابر ويروس ها استفاده مي شوند.

مهمترين قسمت هر برنامه ضد ويروس موتور اسکن آن است. جزئيات عملکرد هر موتور متفاوت است ولي همه آنها وظيفه شناسايي فايل هاي آلوده به ويروس را به عهده دارندودربيشترموارد در صورتي که فايل آلوده باشد ضد ويروس قادر به پاکسازي و از بين بردن آن است.

دونوع از نرم افزارهاي آنتي ويروس عبارتند از:

  • نرم افزار Monitoring : نرم افزار نظارت متفاوت از نرم افزارscanning است. اين نرم افزار خسارتهاي ناشي از فعاليتهاي ويروسي غير قانوني مثل overwrite کردن فايلهاي رايانه يا دوباره فرمت کردن hard drive رايانه را تشخيص مي دهد و کشف مي کند.

 

  • نرم افزار : Scanningنرم افزار پويشگر ميتواند ويژگي هاي کدهاي ويروس

    رايانه اي را شناسايي کند و درفايلهاي رايانه به دنبال آن جستجو کند.

   بيشتر نرم افزارهاي ضد ويروسي از اسکنرهاي On-demand وOn-access

   استفاده مي کنند.

   اسکنرهاي On-demand : زماني که کاربر آنها را فعال کند اقدام مي کنند .

   اسکنرهاي On-access : به طورمداوم به دنبال ويروس،بر روي رايانه نظارت دارند،اما فعاليتهاي آنها براي کاربر قابل مشاهده نيستند و هميشه در پشت صحنه قرار دارند.

نرم افزارهاي آنتي ويروس عموما از دو تکنيک براي تشخيص ويروسها استفاده مي کنند:

  • •استفاده از فايل امضاي ويروس : اين تکنيک توانايي شناسايي ويروسهايي را دارد که شرکتهاي آنتي ويروس تا کنون براي آنها امضا يا

Signature توليد کرده اند. در اين روش ضد ويروس متن فايلهاي موجود دررايانه را (هنگامي که سامانه عامل آنها را بازمي کنديامي بندد ياارسال ميکند) امتحان مي کند و آن را به فايل امضاي ويروس که نويسندگان آنتي ويروس تشخيص داده اند ارجاع مي دهد.

فايل امضاي ويروس يک رشته بايت است که با استفاده از آن مي توان ويروس را به صورت يکتامورد شناسايي قرار داد و از اين جهت مشابه اثر انگشت انسانها مي باشد.

 

اگر يک تکه کد در فايلي با ويروس موجود با فايل امضاي ويروس مطابقت داشت نرم افزار ضد ويروس يکي از کارهاي زير را انجام مي دهد:

  • سعي مي کند تا فايل را توسط از بين بردن ويروس به تنهايي تعمير کند.
  • قرنطينه کردن فايل(فايل قابل دسترسي توسط برنامه هاي ديگر نباشدو ويروس آن نمي تواند گسترش يابد.)
  • فايل ويروسي و آلوده را پاک کند.

 

دراين تکنيک ، فايل امضاي ويروس يا همان پايگاه داده ويروسهاي شناخته شده ، بايد به طور متناوب update شودتا آخرين اطلاعات را راجع به آخرين ويروسها به دست آورد.

 

 

 

Dynamic Heuristic analysis    : شبيه سازي کد– به اين معني که فايل در يک محيط محافظت شده در داخل ماشين مجازي شروع به اجرا مي کند سپس به برنامه آنتي ويروس اجازه مي دهد تا رفتار يک فايل مشکوک را به هنگام اجرا شبيه سازي کند در حالي که کد مشکوک اصلي ازماشين واقعي کاملامجزا شده است.وبعدبرفعاليتهاي ويروسي مثل تکرار کد ، دوباره نويسي فايل ، و تلاش براي پنهان سازي فايلهاي مشکوک نظارت مي کند. هرگاه يک يابيشتر از آن فعاليتهاي شبه ويروس را پيدا کرد، فايل مشکوک علامت گذاري

مي شود و به کاربر اطلاع داده  مي شود. مثلا اگر برنامه اي از رمزخود تصحيح کننده استفاده کرده ويروس به شمارمي آيد.

 

اين تکنيک حفاظت بيشتري را در مقابل ويروسهاي جديد  تجاري که هنوز                   وارد  پايگاه داده نشانه هاي ويروسي نشدند ،به وجود مي آورد.

  1. 2. Behavior Blockers : محدود کننده رفتارها .تقريبا حدود 13 سال پيش به وجود آمدند و مورد توجه قرار نگرفته اند!!

     اما در سالهاي اخير با پخش شدن سريع کدهاي مخرب اين روش هم رونق پيدا کرده است . اين روش به رفتارهاي مشخص  و واضح کرمها و ويروسها توجه ميکند ودر صورت کشف چنين رفتاري اجازه انجام شدن آن را نمي دهد.

 

 

Prehistoric behavior blockers     : در واقع همان behavior blocker     هاي قديمي.کار اين نوع که اولين نسل بودند خيلي ساده بود: رفتارهاي اتفاقي را به کاربر هشدار مي داد  و به او اختيار انجام  يا توقف آن را مي داد.

                  راه مقابله با ویروسAutorun.inf

 

این مشکل معمولاً برای سیستم هایی که از آنتی ویروس های قوی استفاده می کنند به صورت اتوماتیک به دست آنتی ویروس رفع می شود. اما یک راه حل جانبی برای سیستم هایی که آنتی ویروس آن ها فقط این ویروس را شناسایی کرده ولی آن را از بین نمی برد وجود دارد. برخی سایت ها از این فایل به عنوان Trojan یاد کردند که ممکن است نرم افزارهای از بین برنده Trojan نظیر Trojan Hunter نیز بتوانند در رفع آن کمک کنند.

مشکلی که بسیاری از کاربران پس از رفع این ویروس دارند این است که به جای آن ، یک فایل دیگر که آن هم پنهان است و نمی توان آن را حذف نمود ایجاد می شود که

folder was created by Flash_Disinfector نام دارد. توجه کنید که این فایل ، ویروس نیست. برای حذف این فایل باید روش زیر را به کار ببندید. ابتدا یک NotePad باز کنید. برای این کار می توانید در Run تایپ کنید NotePad. سپس پنج خط دستور را در آن کپی نمائید:
 

@echo off
set drv=c:\
attrib -A -H -S -R %drv%\autorun.inf
del \\.\%drv%\autorun.inf\”lpt3.This folder was created by Flash_Disinfector”
rd %drv%\autorun.inf

 

اکنون این فایل را با نام Flash Disinfector.bat ذخیره کنید. آیکن آن به رنگ سفید است که وسط آن تصویر یک چرخ دنده خواهد بود. حال می توانید آن را مانند یک فایل exe اجرا کنید. روی آن دوبار کلیک کنید. آن فایل مزاحم از Drive C شما حذف می شود. برای سایر Drive ها هم لازم است چنین فایلی بسازید ؛ با این تفاوت که در سطر دوم به جای حرف C ، حرف مربوط به Drive مورد نظر را تایپ کنید.

 

  • ویروس Win32 Sality چیست و چگونه می توان آن را از بین برد؟
  • این ویروس یکی از مزاحم ترین ویروس ها است که تقریباً چندین نقطه مهم و پر کار ویندوز را غیر قابل دسترس می کند. از آن جمله می توان به غیر فعال شدن Task Manager و پنجره Registry ویندوز اشاره نمود.
  • همچنین محدودیتی در دسترسی به سایت های آنتی ویروس و فایل های اجرایی اعمال می کند. این ویروس ، فایلی با پسوند SYS در شاخه System/Drivers ایجاد می کند و به ویروس این امکان را می دهد که به طور مخفیانه فعال شود.
  • این ویروس فقط در ویندوز های مبتنی بر NT فعالیت می کند که از آن جمله می توان به ویندوز های XP ، 2000 ، 2003 و NT اشاره نمود. از خطرهای بزرگی که این ویروس ایجاد می کند این است که با متصل شدن به اینترنت و وارد شدن به Server سایت هایی که فایل آلوده پخش می کنند ، مجموعه ای از فایل های آلوده را در سیستم شما دانلود و فعال می کند.
  • این ویروس در پاره ای موارد گزینه Folder Options را هم حذف می کند. همچنین سیستم شما توانایی Boot شدن در محیط Safe Mode را هم نخواهد داشت.
    توجه کنید که اگر همواره بر روی سیستم خود یک آنتی ویروس قوی مانند Kaspersky یا AVG داشته و به طور مرتب آن را به روز کنید ورود چنین ویروسی ممکن نخواهد بود.
  • ویروسی به نام exe
  • برای از بین بردن این ویروس باید وارد محیط Safe Mode شوید. بدین شکل که پس از Restart کردن سیستم خود ، پیش از بالا آمدن ویندوز ، دکمه F8 را کلیک کنید تا وارد این محیط شوید. وارد Run شده و در آن تایپ کنید CMD و OK کنید. با تایپ کردن :C و Enter زدن ، به ریشه اصلی این Drive وارد شوید. خط فرمان زیر را تایپ کنید و Enter را فشار دهید:
  • attrib Fooool.* -s -h -r -a
  • اکنون دستور مقابل را تایپ کنید و Enter را فشار دهید:
  • dir /s Fooool.exe
  • اگر فایلی یافت شد پس حضور این ویروس قطعی است و باید از طریق دستور زیر ، آن را حذف نمود:
  • del Fooool.exe
  • اعمال فوق را برای همه Drive ها انجام دهید تا از عدم حضور ویروس اطمینان حاصل کنید.

 

  • روبه رو شدن با پیغام Access Denied هنگام کلیک برای باز کردن هر درایو
  • ویروسی باعث این کار می شود که چندان خطرناک نیست و تنظیمات Registry ویندوز را دستکاری می کند. ویروس های بسیاری هستند که فقط در ارزش گذاری های Registry ویندوز اثر می گذارند و آن را دستکاری می کنند و گاهاً باعث ایجاد اختلال در عملکرد طبیعی بخش هایی از ویندوز می شوند.
    اینگونه خرابکاری ها نیازی به نصب مجدد ویندوز ندارد و تنها مشکل اینجاست که بفهمیم ویروس چه مسیری را حرکت کرده است زیرا یافتن Registry تغییر یافته توسط ویروس کار چندان ساده ای نیست. پس از پیدا کردن این مسیر تنها کافیست اعداد ارزش گذاری را که توسط ویروس تغییر کرده اند به حالت اول باز گردانیم.
    برنامه ای وجود دارد با نام Autorunautoplayremover
  • با حجم بسیار کم که این برنامه همه کار را خودش انجام می دهد. پس از اجرای برنامه به هیچ چیز دست نزنید و فقط منتظر پیام Done باشید. سپس کامپیوتر خود را Restart کنید.
    بدیهی است که اگر ویروس همچنان در سیستم شما باقی مانده باشد فعالیت خواهد کرد و مشکل را تکرار خواهد نمود. بنابراین لازم است سیستم خود را با یک آنتی ویروس قوی که تمام به روز رسانی ها را دارد Scan نمائید.
  • راهی برای نابودی ویروسی که باعث پنهان شدن File ها وFolder ها
  • اغلب ویروس ها را می توان از بین برد ، اما نه با آنتی ویروس. آنتی ویروس ها در حقیقت ویروس کُش نیستند آنتی ویروس ها را باید به عنوان گارد برای سیستم نصب نمود. مسلماً Body Guard ها هم برای اینکه احیاناً آسیبی به آن شخص مهم وارد نشود در اطراف اون قرار می گیرند نه بعد از اینکه ترور شد.
    آنتی ویروس ممکن است بتواند ویروسی که باعث بوجود آمدن این اثرات شده است را از بین ببرد اما نمی تواند آن اثرات را برطرف کند. در مورد این ویروس نیز همین قاعده برقرار است.
    این ویروس فایل ها و پوشه ها را به صورت سیستمی ، پنهان می کند. برای برگرداندن این وضعیت به شرایط اولیه نرم افزاری طراحی شده است که نحوه استفاده از آن نیز برای شما توضیح داده شود:

    نرم افزار File and Folder Reset Tools را دریافت کنید.

    نرم افزار را اجرا کنید. هر پوشه ای را که محتویات آن را نمی بینید (در اثر عملکرد ویروس) با Mouse گرفته و بر روی پنجره باز برنامه بکشید. در برنامه با عبارت Drop Here مواجه می شوید به معنی “اینجا بنداز”. در آن نقطه Mouse را رها کنید. سپس دکمه Reset را بزنید. آن پوشه به حالت اولیه بر خواهد گشت.

    مشکل دوم: در بعضی سیستم ها ، عملکرد ویروس به گونه ای است که فایل ها و پوشه های پنهان دیده نمی شوند (حتی پس از انجام کارهای فوق) و همچنین فایل های EXE قابلیت اجرا شدن خود را از دست می دهند. یک فایل Java Script و دو فایل Bat ساخته ایم که در قالب یه فایل فشرده (Zip) می توانید از لینک زیر دانلود کنید:

    exe.completer

 

  • روش حذف ویروس Jeefo چگونه است؟

 

  • ویروسی که شما نام بردید Jeefo.A است. یک ویروس قدیمی و مربوط به اواسط سال 2006 است. جزء خطرناک ترین ویروس هایی است که در ایران به سرعت منتشر شد و شاید یکی از دلایل مهم آن باز شدن ایمیل های نا آشنا و همچنین سایت های آلوده توسط کاربران بود.
    دلیل خطرناک بودن آن این است که بسیار بی سر و صدا و بدون جلب توجه کاربر ، شروع به آلوده نمودن فایل های EXE می کند و وقتی شما آنتی ویروسی بر روی سیستم نصب می کنید فایل های EXE شما که فایل های Setup یا اجرایی برنامه ها و بازی ها هستند را ویروس تلقی کرده و ناتوان در درمان آن هاست و در نتیجه آن ها را پاک می کند. وقتی هم فایل EXE یک برنامه یا بازی موجود نباشد اجرا شدن آن محال است.
    بسیار پیش آمده است که Internet Explorer را نیز از کار انداخته است چرا که آن نیز مانند سایر نرم افزار ها برای اجرا به یک فایل EXE متوسل است.
    علیرغم گذشت نزدیک به دو سال از تولد این ویروس هنوز شاهد آلوده شدن صد ها سیستم کامپیوتری در ایران هستیم که البته پادزهر آن نیز ساخته شده است. نرم افزاری کم حجم با قدرت بسیار خوب. این نرم افزار را می توانید دانلود کنید. پس از دانلود آن را اجرا و سپس دکمه Accept را بزنید. با فشردن دکمه Start Scan جستجو برای یافتن این ویروس در سیستم شما آغاز خواهد شد.
    توجه کنید حتماً از یک آنتی ویروس قوی برای جلوگیری از به وقوع پیوستن چنین خطرات احتمالی استفاده کنید.
  • ویروسی که در یک نوار زرد رنگ با جملات زشت نمایش داده میشود
  • این ویروس که به ویروس نوار زرد و یا ویروس بی ادب مشهور است تنها به منظور نشر جملات زننده در ادارات و مراکز عمومی ساخته شده است و یک ویروس ایرانی است. نام نسخه های پیشین این ویروس ، سالدوست (W32/saldost) و سمازاد (W32/samazad) است و فقط آنتی ویروس McAfee این ویروس ها را با نام W32/Bindo.Worm شناسایی می کند و از آن ها به کرم های اینترنتی یاد می کند.
    ویروس نوار زرد با ایجاد پوشه ای به اسم XPCode در Drive های سیستم سبب آلوده شدن فایل های درون آن Drive می شود. در صورت شبکه بودن چند سیستم (در ادارات) این ویروس تحت عنوان New_Soft آلودگی را افزایش داده و سبب راه اندازی خودکار دستگاه Printer شده و همان جملات زشت را مرتباً چاپ می کند.
  • عملکرد دیگر این ویروس که نام آن نیز بر اساس همین عملکرد گذاشته شده است ایجاد نوار زرد رنگی است که با جملات قرمز مطالب ناپسندی را تکرار می کند. اغلب گزینه Folder Options را غیر فعال نموده و یک فایل از جنس HTML با نام Important بر روی Desktop ایجاد می نماید که همان مطالب ناشایست در این فایل عنوان شده است. گاهاً ممکن است Drive ها قفل شده و دسترسی به مطالب درون آنها غیر ممکن شود.
    برای این ویروس ایرانی یک آنتی ویروس کوچک و کم حجم ایرانی نیز ساخته شده است که می توانید دریافت نمائید. توجه داشته باشید در صورتی که هنگام اجرای این آنتی ویروس با یک Error با عنوان Microsoft .Net Framework 1.1 مواجه شدید ضروریست ابتدا Microsoft .Net Framework 1.1 را دانلود و نصب نمائید.

 

  • موقع بازکردنRegistry Editor و Task Manager یک لحظه باز شده و سریعاً بسته می شود.
  • این ویروس به شکلی ساخته شده است که در اولین قدم این دو بخش که بسیار مهم هستند و اگر به آنها دسترسی پیدا کنید می توانید این ویروس را از بین ببرید ، از کار می اندازد. البته گاهی اوقات Task Manager از کار نمی افتد.
    روشی که در زیر بیان می کنیم تا 70 درصد توانایی برطرف کردن این مشکل را دارد:

    برای رفع مشکل Registry Editor ابتدا به Start رفته و Run را باز کنید و کد زیر را عیناً در آن اجرا نمائید:

  • REG add “HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System” /v “DisableRegistryTools” /t “REG_DWORD” /d 0 /f
  • برای رفع مشکل Task Manager ابتدا به Start رفته و Run را باز کنید و کد زیر را عیناً در آن اجرا نمائید:
  • REG add “HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System” /v “DisableTaskMgr” /t “REG_DWORD” /d 0 /f

 

  • چرا هر Drive یا پوشه ای که باز می کنم در پنجره جدیدی باز می شود؟
  • راه های گوناگونی در سایت ها و انجمن های گفتگوی ایرانی و خارجی برای رفع این مشکل پیشنهاد شده است و فایل هایی هم برای دانلود قرار داده اند اما برای 10 درصد از کسانی که سیستم هایشان به چنین ویروسی دچار شده است عملگر واقع شده است.
  • این ویروس inf یا Autoplay.exe نام دارد که به صورت Super Hidden در هر Drive وجود دارد و در پوشه Resycled در هر Drive ، فایلی با نام Boot.com می سازد. بسیاری از نرم افزار های پیشنهادی در سایت ها به طور موقت جلوی عملکرد این ویروس را می گیرند اما تنها با یک Restart همه چیز به سر جای خود باز می گردد.
  • از دیگر کارهایی که این ویروس انجام می دهد این است که وقتی روی هر Drive راست کلیک می کنید در گزینه نخست ، واژه Autoplay را نمایش می دهد و اگر بر روی Flash Memory کلیک کنید یا باز نمی شود و یا با حروف بهم ریخته ای مواجه می شوید.
    برای حذف این ویروس و باز گرداندن ویندوز به شرایط طبیعی نیاز به فایل کم حجمی هست که می توانید دریافت کنید. هنگام اجرای این فایل ضروریست هیچ برنامه ای حتی یک صفحه Internet Explorer هم باز نباشد ؛ بهتر است آنتی ویروس خود را نیز موقتاً غیر فعال کنید.
  • پس از پایان کار ، دکمه Done را بفشارید. اکنون سیستم را یکبار Restart کنید که مطمئن شوید مشکل به سر جای خود باز نگشته باشد. توجه داشته باشید آنتی ویروس ها ، ویروس کُش نیستند بلکه باید از آنها به عنوان Guard بر روی سیستم استفاده نمود ، برای همین ممکن است آنتی ویروس ها ، اثرات بر جای مانده از عملکرد ویروس را ویروس تلقی نکنند.

 

  • ویروسی به اسم Funny UST Scandal AVI
  • این ویروس بسیار خطرناک است و دامنه گسترش آن نیز زیاد می باشد و در زمان کوتاهی می تواند به همه نقاط ویندوز رسیده و عملکرد مخرّب خود را نمایش دهد. Icon نارنجی رنگی دارد که همانطور که گفتید شبیه به یک بمب است.
  • این یک Worm یا کرم اینترنتی محسوب می شود که بعضی آنتی ویروس ها آن را با کد W32/Sdbot-DIQ شناسایی می کنند. عملکرد آن در سیستم های مختلف ، متفاوت است. در بعضی سیستم ها می تواند عملکرد Show/Hide files and folders را از کار بیاندازد و مانع از باز شدن Task Manager شود.
  • در بعضی سیستم ها ، به سرعت خود را در همه Drive ها کپی می کند و مانع نصب نرم افزارها می شود. دسترسی به پوشه System32 در Windows را غیر ممکن می سازد. این ویروس در November 2007 نمایان شد و می تواند بر روی Yahoo! Messenger نیز تأثیر گذارد ، بدین شکل که فایل ویروس را برای لیست دوستان شما ارسال کرده و Status مقابل ID شما را به sino gusto funny scandal ust pm nio ko تغییر دهد.
    روش حذف این ویروس ، مشکل نیست و کافیست پادزهر آن را ادریافت کنید. دوستانی که سیستم آن ها در اثر حضور این ویروس آلوده شده و با کلیک کردن بر روی Drive ها ، در پنجره ای جدید شاهد باز شدن آن ها هستند لازم است این برنامه را دریافت و نصب نمایند.
  • چرا وقتی تیک Show hidden files and folders را فعال یا غیر فعال می کنیم پس از بستن پنجره ، به حالت قبل باز می گردد؟
  • مشکل در ارزش گذاری Registry رخ داده است و به آسانی قابل تعمیر می باشد به شرطی که کنسول ویندوز شما آسیب جدی ندیده باشد. IranSetup فایلی ساخته است که کافیست دانلود و مانند یک نرم افزار نصب بفرمائید. گاهی با یکبار Restart و گاهی بلافاصله مشکل حل خواهد شد.
    روش فوق در بیش از 90 درصد مواقع جواب داده است اما اگر مشکل حل نشد روش زیر نیز گاهی جوابگو بوده است:
    در
    Start Menu گزینه Run را انتخاب کنید و در آن تایپ کنید
    در پنجره باز شده مسیر زیر را گام به گام دنبال و باز کنید. برای باز کردن ، علامت کوچک (+) کنار هر شاخه را کلیک کنید:

  • Regedit ==>   HKEY_LOCAL_MACHINE/SOFTWARE/MICROSOFT/WINDOWS/CURRENTVERTION/EXPLORER/ADVANCED/FOLDER/HIDDEN/SHOWALL.

  • اکنون در سمت راست پنجره ، روی CheckedValue کلیک کنید و مقدار Value Date را از صفر به یک تبدیل کنید.
    سیستم را یکبار
    Restart کنید.
    به یک نکته دقت داشته باشید. اگر فایلی در
    Drive های شما با نام xls به صورت سیستمی پنهان شده باشد یک نوع Trojan است که به آن “اسب تراوا” یا همان Horse Trojan گفته می شود. گاهی اوقات با Delete کردن آن مشکل حل می شود اما تجربه IranSetup نشان داده است که نصب AVG Internet Security می تواند عامل از کار انداختن Show/Hide Files را نابود سازد.

 

1.www.en.wikipedia.org

2.www.p30download.ir

3.www.persianGFX.com

4.www.Graphiran.ir

5.www.grisoft.com

6.www.mehranco.com

7.http://forum.irvirus.com

8.http://forum.p30world.com

 

 

درباره ی nasimazadi

پاسخ دهید