برخی موارد ممکن است با این مشکل مواجه شده باشید که وقتی بر روی درایوی دابل کلیک میکنید ، آن درایو باز نمی شود و پنجره ای با عنوان Open With به شما نمایش داده میشود .
مشکل چیست ؟ و از کجا ناشی میشود ؟
این اتفاق معمولا بعد از ویروس یابی های شما رخ میدهد .
دلیل این امر این است که در ریشه درایوی که میخواهید آنرا باز کنید یک فایل متنی به نام Autorun.inf وجود دارد همانطور که میدانید و ظیفه این فایل اجرای اتوماتیک یک سری دستورات مشخص است .
بسیاری از ویروس ها از این روش برای اجرای اوتوماتیک خود بر روی کامپیوتر قربانی استفاده میکنند به اینصورت که مسیر اجرای فایل اصلی ویروس را درون فایل Autorun.inf قرار میدهند . با اینکار هر بار که شما بر روی درایو مربوطه کلیک کنید درحقیقت ( پشت پرده ) باعث اجرای ویروس میشوید .
برخی از آنتی ویروسها پس از شناسایی ویروس ، فایل Autorun.inf ای که به ویروس اشاره میکند را تشخیص نداده و به حال خود رها میکنند . بنابراین مسیر اجرای ویروس پس از پاک شدن آن از بین خواهد رفت یعنی وقتی بر روی درایو خود کلیلک میکنید فایل Autorun.inf میخواهد ویروس را اجرا کند درحالی که چنین فایلی و چنین مسیری دیگر وجود ندارد و قبلا توسط ویروس یاب پاک شده است . در این هنگام است که شما با پنجره Open With مواجه میشوید .
راه حل :
برای اینکه بتوانید وارد درایو مربوطه شوید میتوانید بجای دابل کلیک کردن بر روی نام درایو ، اسم درایو را به همراه علامت " : " در نوار آدرس تایپ کنید . مثال
C:
اما این کار به درد نمیخورد چون هر بار که میخواهید وارد درایو شوید باید از طرق منوی آدرس این دستور را اجرا کنید .
برای رهایی از این مشکل بصورت اساسی کافی است مراحل زیر را دنبال کنید :
در منوی Start گزینه Run را انتخاب کنید
سپس دستور CMD را تایپ کرده و با زدن کلید Enter آنرا اجرا کنید
حالا فرض میکنیم درایو D را میخواهیم از فایل Autorun.inf پاک کنیم
دستور زیر را تایپ کرده و با زدن کلید Enterآنرا اجرا کنید
del D:\autorun.* /f /a /s /q
ویروس Win32/PSW.Agent.NDP
این ویروس باعث غیرفعال شدن گزینه show hidden files and folders در folder option می شود و باعث عدم نمایش فایلهای مخفی می شود و اجازه نمی دهد کاربرها فایلهای مخفی را از حالت مخفی بیرون بیاورند .
این ویروس با دستکاری رجیستری ویندوز باعث می شد که شما نتونید تنظیمات hidden file and folder را تغییر دهید .
به محض تغییر دادن این قسمت و خارج شدن از ان تنظیمات به حالت پیش فرض خود برمیگردند .
البته این ویروس خرابکاریهای دیگری هم انجام می دهد اول اینکه داخل تمام درایوهای شما یه فایل autorun.inf می سازد که درایوهای هارد شما را autorun می کند .
دوم اینکه دوباره داخل تمام درایوها یک فایل به نام ntde1ect می سازد که شما به محض اینکه فلاپی وارد سیستم کنید یا فلش یا mp3 pleyer را به کامپیوتر متصل کنید یک کپی از خودش به صورت hidden وارد دستگاه شما یا فلاپی شما می کند که شما متوجه ان نمی شوید .
البته فایل ntde1ect خیلی شبیه فایل ntdetect هست که داخل درایو C وجود دارد و برای بالا امدن ویندوز ضروری می باشد .
مواظب باشید این دو فایل را اشتباه نگیرید .
سوم اینکه با اجرای فایل avpo.exe به شما اجازه نمیدهد که فلش یا mp3 pleyer یا هر چیز دیگه رو از پورت USB ، safe remove کنید .
نحوه پاک کردن ویروس Win32/PSW.Agent.NDP
در حالت safe mode وارد ویندوز شوید . ( با زدن دکمه F8 قبل از بالا آمدن ویندوز حالت safe mode را انتخاب کنید )
پنجره Task Manager را باز کنید (Ctrl-Alt-Delete) و برنامه های زیر را در صورت اجرا ببندید .
w.exe : اگر در حال اجرا بود آن را ببندید (End process)
avpo.exe : اگر در حال اجرا بود آن را ببندید (End process)
از قسمت start برنامه Run را اجرا کنید و در عبارت cmd را در آن تایپ کنید و enter را بزنید .
در این قسمت در خط فرمان برنامه ، دستور زیر زیر را تایپ کنید و enter را بزنید .
del c:\autorun.* /f /a /s /q
این دستور را برای درایوهای دیگر اجرا کنید . با این دستور تمام فایلهایautorun موجود delete می شود .
در این مرحله در خط فرمان c:\ دستور زیر را تایپ کنید تا وارد پوشه system32 شوید :
C:\cd windows\system32
C:\windows\system32
در ادامه دستور زیر را تایپ کنید و آنرا اجرا کنید .
*.*dir /a avp
در این قسمت هر فایلی به نامهای avp0.dll و avpo.exe و avp0.exe دیده شد آنرا پاک کنید .
attrib -r -s -h avpo.exe
del avpo.exe
بعد از این مراحل تمام پنجره ها رو ببندید و برنامه registry را اجرا کنید :
(Run \regedit)
مسیر زیر را دنبال کنید :
HKEY_CURRENT_USER \ SOFTWARE \ Microsoft \ windows \ CurrentVersion \ Run
در این قسمت هر کلیدی که به نام avpo.exe بود را delete کنید .
در برنامه registry قسمت edit گزینه Findرا کلیک کنید و عبارت ntde1ect را جستجو کنید. تمام کلیدهای پیدا شده را delete کنید .
این کار را برای فایل avpo.exe نیز انجام دهید و تمام کلیدهای پیدا شده راdelete کنید .
در آخر کار سراغ کلید زیر بروید و مقدار CheckedValue را برابر 1 قرار دهید .
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/windows/CurrentVersion
Explorer/Advanced/Folder/Hidden/SHOWALL
ویروس kernel.exe
kernel ویروسی است که هر چند دقیقه یکبار با error ی که در زیر تصویر ان را قرار داده ام ظاهر می شود . اکثر کاربران به این ویروس گرفتار شده اند .
در واقع این یک ویروس نیست زیرا کار مخربی روی سیستم انجام نمی دهد . در واقع یک برنامه می باشد که شباهتی به ویروس دارد و به همین دلیل هیچ یک از انتی ویروس ها قادر به شناسایی و پاک کردن ان نیستند . حتی قوی ترین و به روز ترین انتی ویروس ها .
این ویروس از طریق صفحات html که از اینترنت ذخیره می کنید به وجود می اید .
این ویروس سه فایل با نام های kernal.vbs و kernal.exe و systems.exe دارد که هر سه فایل در پوشه C:\windows\system32 ذخیره می شوند .
در واقع این ویروس خود را جزء پروسه های سیستم عامل نیز می داند و در task manager در تب processes با نام kernel.exe در حال فعالیت می باشد .
این ویروس همه ی فایل های HTML و Htm رو آلوده میکند و به آخر فایل ها کدهای مخرب Vb رو که چند تا فایل با نام ها kernel.exe و kernel.vbs است را ایجاد میکند .
این ویروس حتی با تعویض سیستم عامل هم از بین نخواهد رفت .
از اثرات این فایل آلوده:
1- ارورهای پشت سر هم
2- باعث پایین آمدن سرعت کامپیوتر
3- باعث پایین آمدن سرعت اینترنت
4- دادن اطلاعات مثل یوزر و پسورد اینترنتتان به شخص هکر
5- آلوده کردن فایلهای HTML نحوه پاک کردن ویروس kernel.exe
برای پاک کردن این ویروس شما باید ابتدا با زدن کلید های ترکیبی ctrl + alt + delete وارد task manager شوید و به تب processes رفته و فایلی با نام kernel.exe را پاک کنید .
سپس به مسیر زیر رفته C:\windows\system32 رفته و دو فایل با نام kernel و بک فایل با نام Systems را پیدا کرده و پاک کنید .
توجه داشته باشید شما در صورتی می توانید این فایلها را پاک کنید که پروسه kernel.exe را از task manager پاک کرده باشید . در غیر این صورت اجازه پاک شدن را به شما نخواهد داد .
سپس به منوی استارت رفته و عبارت msconfig را در run تایپ کنید و در قسمت startup اگر فایلهای بالا وجود دارند تیک انها را بردارید و سپس کامپیوتر را ریستارت کنید دوباره چک کنید که ویروس در حافظه بار نشده باشد .
بعد به internet temporary از طریق مسیر زیر رفته و تمام محتویات ان را خالی کنید .
/win_drive>/win_drive>>/>:\Documents and Settings\/user_name>/user_name>>/>\Local Settings\Temporary Internet Files
برنامه هایی برای از بین بردن این ویروس http://rapidshare.com/files/84805882/Setup.exe.htmlنحوه پاک کردن ویروس BronTok.A :
در زیر به برخی از ویژگی های این ویروس اشاره می کنیم :
1 . Folder Options را حذف می کند !
2 . Registry Tools را قفل می کند !
3 . Task Manager نمی تواند فایل های مربوط به این ویروس را End کند !
4 . پس از اجرا شدن ، محتویات My Documents را نمایش می دهد !
5 . اگر در کادر محاوره ای Run عبارت CMD ، Regedit ، msconfig ، Regedt32 را تایپ کنید ، سیستم بلافاصله Restart می شود !
6 . اگر روی گزینه ی Log Off یا Turn Off Computer کلیک کنید ، سیستم Restart می شود !
7 . آیکون این ویروس شبیه آیکون یه پوشه است !
همانطور که می دانید فایل های lsass.exe ، winlogon.exe و services.exe از فایل های سیستمی بوده و همیشه در حال اجرا هستند ...
اگر شما برنامه ی Process Master را اجرا کنید ، می بینید که این فایل ها در پوشه ی System32 قرار دارند .
اما اگر ویروس BronTok.A روی سیستم شما نصب باشد ، خواهید دید که سه تا فایل دیگر با همین نام ها در
حال اجرا هستند !!
یعنی دو تا winlogon.exe ، دو تا lsass.exe و دو تا services.exe !
اما به راحتی میشود فهمید که کدام ویروسند و کدام فایل اصلی ویندوز ...
آن سه تا فایلی که مربوط به ویروس میشوند ، در پوشه ای غیر از System32 قرار دارند .
مسیر دقیقشان میشود :
C:\Documents and Settings\User\Local Settings\Application Data
C نام همان درایویست که ویندوز در آن نصب گردیده و User نام کاربری است که ویروس در آن اجرا شده ...
بعد از اینکه با نرم افزار Process Master متوجه شدید که کدام ویروسند ، باید آن ها رو Kill process کنید .
اگر احیانا فایل های دیگری با نام های inetinfo.exe ، csrss.exe و smss.exe نیز در حال اجرا بودند آنها را هم Kill process کنید .البته به شرطی که مسیرشان غیر از System32 باشد ...
حالا وقت آن است که از نرم افزار Kill BronTok.A استفاده کنید .
پس از اینکه نرم افزار Kill BronTok.A کارش تمام شد ، آن را ببندید و به منوی Start برید و روی گزینه ی Search کلیک کنید .
در سمت چپ روی گزینه ی All files and folders کلیک کنید .
در فیلد All or part of the file name عبارت Empty.pif را تایپ کنید و از روی کیبرد کلید Enter را فشار دهید .اکنون تمام فایل های پیدا شده را پاک کنید .
دوباره در فیلد مذکور عبارت زیر را تایپ کنید و از روی کیبرد کلید Enter را فشار دهید .
scr،*.exe.*
اکنون از بین فایل های پیدا شده ، هر فایلی که آیکونش شبیه آیکون پوشه بود رو پاک کنید .
مجددا در فیلد All or part of the file name عبارت زیر را تایپ کنید و از روی کیبرد کلید Enter را فشار دهید .
job.*
تمام فایل های پیدا شده را پاک کنید .
باز هم در فیلد فوق الذکر عبارت Bron را تایپ کنید و از روی کیبرد کلید Enter را فشار دهید .
اکنون تمام فایل ها و پوشه های پیدا شده را پاک کنید .
اکنون با خیال راحت کامپیوترتان را Restart کنید .
نکته : اگر ویندوزتان بیشتر از یک کاربر دارد ، باید تمام عملیات فوق را در همه ی کاربرها انجام دهید
این اموزش توسط دوست عزیزم MB_Danger تهیه شده است .
پاک کردن ویروس New Folder.exe
احتمالا تا حالا با ویروس New Folder.exe مواجه شده اید !
قسمتی از مشخصات این ویروس به شرح زیر است :
1 . آیکون آن شبیه آیکون یک پوشه است .
2 . اندازه ی آن 140 کیلوبایته .
3 . پس از اجرای این ویروس ، محتویات پوشه ی My Documents نمایش داده می شود .
4 . این ویروس تولید مثل هم می کنه !
5 . گزینه ی Turn Off Computer رو از منوی Start حذف می کنه .
6 . از اجرای Registry Tools ، windows Task Manager و System Configuration Utility جلوگیری می کنه .
7 . پس از مدتی Registry Tools و Task Manager رو غیر فعال می کنه .
8 . ظاهرا توسط شخصی به نام علی صادقی نوشته شده ، چون وقتی داشتم کدهای اسمبلی این ویروس رو مشاهده می کردم با جمله ی زیر مواجه شدم :
i am ali sadeghi,master of you
چقدر هم مغرور !
9 . فکر کنم اسم اصلی این ویروس Mahsa باشه !
...
خلاصه به درخواست یکی از دوستان ، من نشستم و ضد این ویروس رو نوشتم که می تونید از لینک زیر دانلود کنید ...
دانلود Kill New Folder.exehttp://feng1.persiangig.com/Programs/KNF.zipخود ویروس رو هم می تونید از پیوست دانلود کنید .
پس از اینکه برنامه ی Kill New Folder.exe کار خودش رو انجام داد ، باید مابقی ویروس ها رو خودتون به صورت دستی پاک کنید .
برای پاک کردن مابقی ویروس ها به شیوه ی زیر عمل کنید :
1 . به منوی Start بروید و روی گزینه ی Search کلیک کنید تا پنجره ی مربوطه نمایش داده شود .
2 . در سمت چپ روی گزینه ی All files and folders کلیک کنید .
3 . در قسمت All or part the file name عبارت New Folder.exe را تایپ کنید و روی گزینه ی Search کلیک نمایید .
حالا تمام فایل های پیدا شده رو پاک کنید .
حواستون باشه مجددا یکی از اونا رو اجرا نکنید .
یکی از بهترین انتی ویروس ها برای از بین بردن کرمی که folder option را از بین می برد . این انتی ویروس محصول یکی از بزرگترین و بهترین سازنده انتی ویروس یعنی bitdefender است . حتما ان را دانلود کرده و سیستم خود را بعد از انجام مراحل بالا اسکن کنید .http://www.bitdefender.com/VIRUS-157...ntok.A@mm.htmlویروس Antichrist (virus hoax)0
این ویروس یا کرم با پیغامی که می دهد در واقع شما را به راه راست هدایت می کند و به نام ویروس ستایش نیز معروف است .
این ویروس که با نام های Day of Judgmet و Antichrist هم شناخته می شود یک کرم ایرانی است که سیستم عامل های ویندوز 32 بیتی را مورد حمله قرار می دهد.
از مشخصه های بارز این کرم می توان به موارد زیر اشاره کرد:
غیرفعال کردن Folder Option
باز شدن صفحه اینترنتی با عنوان Day of Judgment (به معنی روز داوری) که ترجمه انگلیسی سوره حمد بر روی پس زمینه سبز در آن مشاهده می شود. این هم تصویر صفحه html
این صفحه در هر بار بوت شدن ویندوز به شما نشان داده می شود.همچنین در هر بار بوت شدن ویندوز پنجره ای با تیتر Antichrist و با محتوای Day of Judgment نمایش داده می شود.
در بعضی مواقع جلوی اجرای Regedit و Task Manager با آلوده شدن توسط این ویروس گرفته می شود .
سرعت کلی سیستم به شدت پایین می آید و در فهرست پروسس های ویندوز می توانید Sys.exe و در قسمت برنامه های startup نام wma.exe و blank.htm را مشاهده کنید.
و گاهی اوقات هنگام بالا امدن ویندوز یک فایل html در ادرس c:\windows\system32\blank.htm اجرا می گردد .
همچنین ویروس خود را در تمام درایوها با نام Autoplay.exe کپی می کند که با هر بار کلیک روی درایو ها منتشر می شود .
این هم متن AUTORUN این WORM .
کد:
[autorun]
کد: open=Recycler.{645FF040-5081-101B-9F08-00AA002F954E}\sys.exe a
shell\open=Open shell\open\Command=Recycler.{645FF040-5081-101B-9F08-00AA002F954E}\sys.exe o shell\open\Default=1 shell\explore=Explore
shell\explore\Command=Recycler.{645FF040-5081-101B-9F08-00AA002F954E}\sys.exe e
این کرم ایرانی پس از اجرای فایل آن بر روی سیستم کاربر، ابتدا خودش را به صورت زیر بر روی سیستم کپی مینماید:
%System32%\Sys.exe
%windows%\Shell.exe
%windows%\vxds.exe
%windows%\Help\vxds.exe
%windows%\media\wma.exe
و برای اینکه با هر بار بالا آمدن سیستم این فایلها اجرا گردند، آنها را به شکل زیر در رجیستری ثبت میکند:
HKLM\SOFTWARE\Microsoft\windows NT\CurrentVersion\Winlogon
Shell = userinit.exe, sys.exe
Userinit = Explorer.exe shell.exe
HKLM\SOFTWARE\Microsoft\windows\CurrentVersion\Run
vxds = %windows%\vxds.exe
همچنین در مسیر System32 فایلی با نام OEMLOGO.BMP به صورت مخفی ایجاد میکند که به شکل زیر
میباشد:
بعلاوه در همین مسیر فایلی با نام OEMLOGO.INI به صورت مخفی میسازد که محتویات آن به شکل زیر است:
[General]
Manufacturer=[Antichrist]
Model=[Day of judgment]
SupportURL=hxxp://www.antichrist.com/
LocalFile=blank.htm
[Support Information]
Line1=When comes the help of Allah, and victory,.
Line2=And thou dost see the people enter Allah"s religion in crowds,.
Line3=Celebrate the praises of thy Lord, and pray for his forgiveness: for he is oft-Returning (in forgiveness)..
فایل دیگری نیز در همین مسیر با نام blank.htm به صورت مخفی ایجاد میکند که با اجرای آن صفحهای به شکل زیر به نمایش درمیآید:
که متن انگلیسی نمایش داده شده در این صفحه ترجمه سوره حمد میباشد. آنگاه برای اینکه با هر بار بالا آمدن سیستم این فایل نمایش داده شود آن را به صورت زیر در رجیستری ثبت میکند:
HKLM\SOFTWARE\Microsoft\windows\CurrentVersion\Run
Blank = %System32%\blank.htm
HKCU\SOFTWARE\Microsoft\windows\CurrentVersion\Run
Blank = %System32%\blank.htm
برای اینکه مقدار Home Page و Search Page نرمافزار Internet Explorer را برابر با صفحه مذکور قرار دهد، تغییرات زیر را در رجیستری ایجاد مینماید:
HKCU\Software\Microsoft\Internet Explorer\Main
Start Page = %System32%\blank.htm
Search Page = %System32%\blank.htm
از کارهای جالب این ویروس این است که در همه درایوها در داخل مسیر Recycler فولدری مخفی و با نام تصادفی ایجاد کرده و یک کپی از خودش را با نام Sys.exe درون آن قرار میدهد.
همچنین اثرات دیگری به شکل زیر دارد:
با ایجاد تغییراتی در رجیستری باعث میشود که قبل از ورود به سیستم صفحهای با تیتر Antichrist و با متن Day of judgment نمایش داده شود. همچنین باعث میشود فایلهای Super Hidden نمایش داده نشود. جلوی اجرای برنامههای RegEdit و Task Manager را گرفته و رنگ زمینه windows و صفحه cmd را تغییر میدهد. بعلاوه نام User و Organization ثبت شده برای سیستم را با [Antichrist] تغییر میدهد.
لازم به ذکر است که آخرین نگارش ضدویروس سیمانتک این کرم اینترنتی را شناخته و به صورت کامل پاکسازی مینماید.
برای پاکسازی اثرات باقی مانده این ویروس همانند غیر فعال شدن Registry یا Folder Option و یا باز نشدن درایوها با دابل کلیک بر روی آنها و غیره از ابزار پاکسازی زیر یا بالای صفحه استفاده نماییدhttp://www.damsunsecurity.com/files/...id=24&20080202نحوه از بین بردن ویروس Antichrist
متاسفانه فعلا حتی نسخه های بروزشده آنتی ویروس Eset NOD32 قادر به شناسایی و خنثی نمودن این ویروس نمی باشند.
اما حداقل سه آنتی ویروس Kaspersky (در نسخه 7 آزمایش شد) ، McAfee (نسخه 2008) و احتمالا آخرین نگارش ضدویروس سیمانتک (به نقل از سایت امنیتی دمسان) قادر به شناسایی و پاک کردن ویروس مذکور هستند.
من خودم انتی ویروس سیمانتک ( Norton ) را توصیه می کنم چون این انتی ویروس اولین انتی ویروسی بود که این کرم را پیدا و کاملا پاک می کند . حتما سعی کنید به طور کامل این انتی ویروس را اپدیت کنید و بعد تمام درایو ها را اسکن کنید .
برای پاک کردن این ویروس ابتدا آنتی ویروس خودتان را به آخرین بسته های بروزرسانی مجهز کنید سپس اقدام به کنترل سیستم نمایید.
توصیه می کنم که تمام هارد را برای یافتن ویروس اسکن نمایید
نکته : حتما سیستم خودتان را در حالت safe mode ویروس یابی کنید .
و از کلیک کردن روی درایو ها تا پاک شدن کامل ان خود داری کنید .
بعد از پاک شدن ویروس قسمتهای حذف شده را مانند روشهای بالا می توانید برگردانید .
و سپس باید به تمام درایو ها رفته و autoplay.exe را پاک کنید .
نکته : نحوه پاک کردن ویروس autoplay.exe یا autoran را بالا به طور کامل ذکر شده است .
به رجیستری رفته و مسیر زیر را دنبال کنید
HKEY_LOCAL_MACHINE\Software\Microsoft\windows\curr ent version\run
روی run کلیک کنید و هر چیزی سمت راست اگر گزینه های زیر وجود دارند انها را پاک کنید .
blank
igfxhkcmd
igf******per
igfxtray
vxds
همه این کارها را باید در حالت safe mode انجام دهید .