PC خود را از يک حمله بدافزاري بازيابي کنيد


 






 
اگر رفتار کامپيوتر شما عجيب شده است ممکن است به يک بدافزار آلوده شده باشد. ما در اين مقاله به چگونگي نبرد با اين بدافزارها اشاره خواهيم کرد.
حتي کاربران هوشيار PC که مراقب رفتارهاي خود هستند نيز در معرض آلوده شدن به بدافزار هستند. بارگذاري يک فايل ظاهراً بي ضرر از يک درايو USB، کليک بر روي يک لينک نامناسب در نتايج يک جست و جو، کنسل کردن يک جعبه هشدار مشکوک، همه اين ها مي توانند آغاز يک آلوده گي بدافزاري باشند. اگر فعاليت هاي اينترنتي شما شامل دانلود تورنت ها يا استفاده از يک نرم افزار قفل شکسته باشد حتي بيش تر از اين ها در معرض آلوده شدن به کرم ها، بدافزار جاسوسي و اسب هاي تروا هستيد.
از برخي جهات، کشف اين نکته که کامپيوتر شما به يک ويروس آلوده شده است بدتر از دريافتن اين است که به شکل مکانيکي و فيزيکي دست کاري شده باشد. شما داده هاي ارزشمند خود را از دست مي دهيد، بک آپ هاي شما به ويروس آلوده مي شوند و ممکن است کامپيوتر شما به يک پاک سازي اساسي و نصب دوباره ويندوز نياز داشته باشد. اما کارهايي هست که مي توانيد ابتدا به ساکن انجام دهيد و روالي وجود دارد که مي توانيد از آن براي پاک سازي PC خود و بازيابي فايل هاي تان از آن بهره مند شويد. ما در ادامه مقاله به توضيح و تشريح اين مسائل مي پردازيم. شکل (1)

نشانه هاي بدافزار
 

مشخص کردن برخي از آلوده گي هاي بدافزاري کار ساده اي است اما کشف برخي ديگر دشوارتر است. آلوده گي هاي متعددي وجود دارد که ما از آن ها با نام Scareware در حالت وحشي ياد مي کنيم. اين ها اسب هاي تروايي هستند که وب سايت هاي مشکوک با باز کردن يک هشدار که ادعا مي کند PC شما از قبل به يک بدافزار آلوده شده است شما را گول مي زنند تا آن ها را دانلود کنيد. وقتي اين بدافزارها بر روي کامپيوتر شما دانلود شدند، آلوده گي هاي حاصل از آن ها خودشان را در چندين مکان تکثير مي کنند و پيام ها، پنجره هاي مرورگر و هشدارهاي ديگري را براي شما به نمايش درمي آورند.
شناسايي و کشف آلوده گي هاي اين چنيني ساده است. نوارهاي ابزار عجيب و غريب و جديد، ميان برهاي جديد نرم افزارهايي که شما هرگز آن ها را نصب نکرده ايد بر روي دسک تاپ و سويئچ کردن مرورگر و رفتن آن به صفحه خانگي (Home Page) همه نشانه هاي کلاسيک اين نوع آلوده گي به شمار مي روند.
در ساير موارد، علائم کم تر شناخته شده اي مثل استفاده بيش از حد معمول از پهناي باند اينترنت، روشن شدن چراغ هاي مسيرياب در مواقعي که نبايد روشن باشند و نشان گر فعاليت آن هستند، popup پنجره هاي غيرمنتظره و حتي Reboot بدون علت سيستم همه گي از نشانه هاي اين نوع آلوده گي هستند. رفتار برخي از بدافزارها فقط عجيب است، رفتارهايي مثل به چرخش افتادن نشان گر ماوس از اين قبيل است. نشانه ها هر چه که باشند درمان آن ها روشي يکسان دارد: حذف و برداشتن کد مشکوک.

سيستم خود را پايدار کنيد
 

اولين کاري که بايد انجام دهيد کوشش براي پايدارسازي سيستم تا حد ممکن است. اگر ماشين شما هر چند ثانيه يکبار پنجره ها و هشدارهايي را نمايش دهد اين کار ممکن است دشوار باشد، بنابراين اولين ترفندي که بايد امتحان کنيد reboot سيستم به حالت safe modeاست. کامپيوتر خود را از نو راه اندازي کنيد و کليد F8 را در طي فرآيند راه اندازي فشار دهيد (اگر گزينه انتخاب سيستم عامل براي شما نمايش داده شد دکمه F8 را دو بار فشار دهيد). شکل (2) Safe Mode را از صفحه Advanced Boot Options انتخاب کنيد. اين کار ويندوز را در حالي که کليه برنامه هاي Startup غيرفعال شده اند راه اندازي مي کند و در عين حال حداقل درايورهاي سخت افزاري بارگذاري مي شوند.
همچنين هيچ گونه قابليت استفاده از شبکه که براي جلوگيري از تماس برنامه هاي جاسوسي با خانه شما يا بيرون کشيدن داده ها از پنجره هاي pop-up که با تايپ msconfig در جعبه جست و جوي منوي Start و راه اندازي برنامه ضروري است بارگذاري نخواهد شد.
بر روي برگه Startup کليک کنيد و تيک کنار تمام برنامه هاي Startup به غير از برنامه هاي ضروري را برداريد و يا به سادگي گزينه Disable all را انتخاب کنيد. براي تأئيد بر روي Apply کليک کنيد و سپس به برگه Boot برويد و گزينه Make all boot settings permanent را تيک بزنيد. سپس بهControl Panel برويد و Add/Remove Programs را انتخاب کنيد. برنامه هاي غيرضروري را از سيستم برداريد خصوصاً نوارهاي ابزار و add-onهاي مرورگرها. در برخي از موارد، اين فعاليت ها ممکن است براي متوقف کردن کد مشکوک از بارگذاري درStartup کفايت کند.
حالا بايد فايل هاي موقتي يا temporary را حذف کنيد. cache مرورگر و کليه فايل هاي موجود در پوشه زير را (در صورتي که فايلي در اين پوشه وجود داشت) پاک کنيد.
C:\Windows\Temp\
C:\Temp\
C:\Document and Settings\yourusername\Local Settings\Temp
C:\Documents and Settings\yourusername\My Documents\ Downloads
شما مي توانيد مرورگرتان را نيز وادار کنيد تا فايل هاي موقتي را پاک کند. در مرورگر Chrom به Tools|Options|Clear browsing data يا در اينترنت اکسپلورر به Tools |Internet options برويد، سپس تحت Browsing History گزينه Delete را انتخاب کنيد. تمام جعبه ها را تيک بزنيد و بر روي OK کليک کنيد.
يک روش سريع تر براي پاک کردن فايل هاي موقتي و cache مرورگر، استفاده از CCleaner- يک ابزار قدرتمند که تمام فايل هاي غيرضروري را پاک مي کند اما مي تواند تأثيري منفي بر سيستم شما داشته باشد است. آن را از آدرس www.ccleaner.com دانلود و با تنظيمات پيش فرض نصب کنيد تا پوشه هاي temp شما را از وجود فايل هاي به درد نخور پاک کند. اين برنامه تنظيمات نادرست رجيستري و ميان برهايي که به جايي ارجاع نمي دهند را شناسايي مي کند.

بدفزار را شناسايي کنيد
 

در حالي که کامپيوتر شما کماکان در حالت safe mode است، شما مي توانيد فرآيند شناسايي و حذف را با استفاده از سه ابزار کليدي انجام دهيد.
اولين آن ها Sophos AntiRootkit است. اين نرم افزار در حذف و از بين بردن نرم افزارهايي که مجوزهاي مدير سيستم را به دست آورده اند تخصص دارد. از بين بردن اين نوع بدافزار خصوصاً کار دشواري است زيرا به مجوزهاي مديرسيستم نياز دارد و شناسايي آن سخت است. شکل (3)
شما قبل از دانلود نرم افزار Sophos بايد رجيستر کنيد اما چنان چه تمايل داشته باشيد مي توانيد گزينه دريافت ايميل در مورد محصولات ديگر آن را انتخاب کنيد. اين ابزار کار خود را با اسکن رجيستري آغاز مي کند، سپس به اسکن درايوهاي محلي مي پردازد و روال هاي موجود در حافظه را تجزيه و تحليل مي کند. اين برنامه به دنبال فايل هاي پنهاني که مي توانند شناسايي شوند مي گردد. وقتي اين فايل ها را پيدا کرد، آن ها را به ليست اضافه مي کند. اين به شما بستگي دارد که اين فايل ها را چک کنيد و در مورد مضر يا بي ضرر بودن آن ها تصميم گيري کنيد. شما مي توانيد آيتم ها را انتخاب کنيد و درصورتي که نرم افزار پاک کردن آن ها را توصيه کرد گزينه Clean up checked items را انتخاب نمائيد.

چرا ابتدا بايد rootkitها را حذف کرد؟
 

اين ها براي بدافزارهايي که به نظر مي رسد هرگز از روي سيستم شما پاک نمي شوند حياتي هستند. شما مي توانيد فايل هاي اجرايي، ورودي هاي رجيستري و فايل هايي که به يک بدافزار خاص اختصاص دارند را پاک کنيد اما اگر يک فايل پنهان در بوت اجرا شود آن ها دوباره برمي گردند. شکل (4)

جست و جو و نابودسازي
 

قدم بعدي ما، حذف هر نوع بدافزار با استفاده از SpyBot Search and Destroy است. اين، يک برنامه رايگان ديگر براي دانلود است و برنامه اي است که خوشبختانه در حالي که ماشين شما در حالت safe mode است به خوبي و به راحتي اجرا مي شود. اين برنامه به دنبال برنامه هاي جاسوسي مي گردد اما در عين حال تمام کوکي هاي رديابي کم خطرتر را نيز flag مي کند، کوکي هايي که براي اهداف بازاريابي مورد استفاده قرار مي گيرند.
البته، اگر شما از قبل فايل هاي موقتي اينترنت را از روي کامپيوتر خود پاک کرده باشيد، اين برنامه نبايد اين نوع فايل ها را پيدا کند.
مجدداً مي گويم، وقتي Spyot کارجست و جوي رجيستري کامپيوتر شما را به اتمام رساند، ليستي از فايل هايي که مي توانند تعمير و بازسازي شوند تهيه مي کند. خود کوکي ها در اصل مشکلي به شمار نمي روند و تصميم گيري در مورد پاک کردن يا باقي ماندن آن ها به عهده خود شما است. از طرفي فايل هاي اجرايي هميشه حذف مي شوند و در اين مورد هيچ سؤالي از شما نمي شود.

برنامه هاي ضدويروس عموماً در حالت safe mode با اشکال مواجه مي شوند. آن ها براي کارکرد خود به دسترسي به شبکه نياز دارند تا بتوانند virus definitionها را چک کنند.
AVG Free گزينه معمول ما براي از بين بردن اسب هاي تروا و کرم ها است اما وقتي ويندوز در حالت safe mode است بايد از خط فرمان اجرا شود. اين از اخبار بد. اما اخبار خوب اين است که AVG Free 2011 وقتي تشخيص مي دهد ويندوز در حالت safe mode است يک GUI خط فرمان را بارگذاري مي کند که به شما اجازه مي دهد يک اسکن را با استفاده از مجموعه اي از چک باکس ها؛ به جاي تايپ فرمان ها به اجرا درآوريد.

همين حالا بک آپ تهيه کنيد
 

اميدواريم شما از فايل هاي حياتي خود يک بک آپ تهيه کرده باشيد در غير اين صورت بايد از حداکثر امکانات safe mode استفاده کنيد و هر نوع سند مورد نياز را از روي کامپيوتر به جاي ديگري انتقال دهيد. در بدترين حالت، ممکن است مجبور شويد کل درايو را پاک کنيد، بنابراين بهتر است همين الان اقدامات پيش گيرانه را در مورد فايل ها و اسناد مهم تان انجام دهيد.
فعاليت هاي ما بايد سيستم را به اندازه کافي براي نصب ابزار ضدويروس و تهيه بک آپ از فايل هاي مهم شما پايدار کرده باشد. ممکن است نتوانسته باشيد همه چيز را به حالت اول خود برگردانيد اما اگر حداقل توانسته باشيد برخي از خرابي ها را بازسازي کنيد ممکن است آماده بوت شدن به ويندوز و از بين بردن بدافزارهاي باقي مانده باشيد. اطمينان حاصل کنيد که ابتدا مسير ياب را از سيستم جدا کنيد. آخرين کاري که هنگام بوت شدن سيستم خود به دنبال آن هستيد امکان اتصال به شبکه است.

پاک سازي بدافزار
 

قبل از اين که به شکلي مناسب به ويندوز بوت کنيد، مقداري وقت صرف کنيد و با استفاده از يک کامپيوتر غيرآلوده و پاک يک کيت از بين بردن بدافزار بسازيد. علاوه بر نرم افزارهايي که قبلاً اشاره کرديم، ما MaIware Bytes ,AdAware و Combofix را توصيه مي کنيم. براي مواقع اضطراري آن ها را بر روي يک درايو USB ذخيره کنيد.

قبل از اجراي اين برنامه ها، به خاطر داشته باشيد که هر نسخه از ويندوزXP ابزاري براي رديابي دستي بدافزار دارد: Task Manager. با فشردن Ctrl+Alt+Delete آن را اجرا کنيد. بر روي Processes کليک کنيد تا ببينيد چه چيزهايي در حال اجرا بر روي سيستم شما هستند. البته بهتر است Process Explorer را که نقطه کردن فعاليت هاي بدافزاري را خيلي راحت تر انجام مي دهد امتحان کنيد. شکل(5) فرآيندهاي فاقد آيکون يا بدون توصيف که در حال استفاده از حافظه هستند مظنونين اصلي به شمار مي روند. شما مي توانيد از هر يک از اين ابزار براي شناسايي روال ها يا برنامه هاي کاربردي مشکوک استفاده کنيد. به تعليق درآوردن آن ها بهترين روش است اگر به جاي اين کار آن فرآيند را متوقف کنيد آن برنامه هاي حقه باز مجدداً خودشان را راه اندازي مي کنند. در نهايت، ابزار ضد بدافزار خود را به کار بيندازيد. وقتي AdAware, Malware Bytes و Combofix را اجرا کرديد، سيستم را reboot و آن ها را دوباره اجرا نمائيد.

مسائل ناراحت کننده
 

برخي از بدافزارها مي توانند با سيستم شما کاري کنند که به راحتي نتوانيد شانس نصب هيچيک از اين ابزار را پيدا کنيد. اگر با چنين موردي برخورد کرديد، زمان کنار گذاشتن سيستم عامل رسيده است.
Kaspersky Rescue Disk 10 به شما اجازه مي دهد سيستم خود را از يک USB يا يک CD بوت کنيد، سيستم عامل را کنار بگذاريد و سپس تهديدات بدافزاري را بدون اين که از طرف خود بدافزار اذيت شويد اسکن نموده و آن را از بين ببريد.
ابزار ديگري هم براي اين کار وجود دارد اما Kaspersky يک ابزار رايگان و استفاده و burn آن بسيار ساده است زيرا با فرمت ISO ارائه مي شود.
اگر همه اين اقدامات با شکست مواجه شد زمان تهيه بک آپ از اسناد، پاک کردن ديسک سخت و نصب مجدد ويندوز فرا رسيده است.

منبع: نشريه بزرگراه رايانه، شماره ي 142