بررسی روش های مقابله با چند ویروس شایع و گسترش یافته در اینترنت
در این نوشتار، ما تعدادی از مهمترین ویروس هایی را که این اواخر باعث بروز مشکلاتی برای کاربران شده اند و بیشترین تعداد گزارشات را به خود اختصاص داده اند، بررسی نموده و روش های مقابله با آنها را خدمت شما عرض می کنیم. ضمن اینکه مطالعه این روش ها، حتی اگر به این ویروس ها مبتلا نیز نشده باشید، برای درک و شناخت بیشتر ساختمان و نحوه عملکرد ویروس ها و آشنایی با نحوه مقابله با آنها، مفید است.
سیستم من به ویروس Loosky-A آلوده شده است. در مورد این ویروس توضیح داده و کمکم کنید.
subject line :Skylook for Skype
message text:
:hello, You asked me to send Skylook-here it is
!With Skylook, you can get I hour of world-wide calls FREE
!Voice Calls (as MP3), Instant Messages, Email, Appointments, Contacts all organized and under control in Microsoft Outlook
.try it befor October 31 and receive 1 hour of free world- -wide calls (SkypeOut). Also you ll get 40% off a business license or 30% off a home license
!Use Skylook 1.0 to record Skype VOIP Calls to MP3
Skylook attache
Attached filename: skylook_1.exe
برای اینکه هر چه زودتر از شر این مزاحم خلاص شوید، باید آنتی ویروس خود را به روز بکنید و در ضمن برای از بین بردن کامل این کرم، فایل Removal مخصوص این کرم را از سایت Kaspersky دریافت نمائید. حجم این فایل کم بوده و به راحتی قابل دریافت می باشد.
لطفاً درمورد تروجان Dloader-XF و نحوه ی پاک کردن آن توضیح دهید.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler
(2F212B1B-1313-1BBC-02A8-7CA23A23E13F)
SecurePatch
\(HKCU\Software\Classes\CLSID\(2F212B1B-1313-1BBC-02A8-7CA23A23E13F
InProcServer32
((default
System>\run.dll>
\(HKCU\Software\Classes\CLSID\(2F212B1B-1313-1BBC-02A8-7CA23A23E13F
\InProServer32
HKLM/SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler
SharedTaskScheduler
Windows Update
بهتر است برای پاک کردن این نوع ویروس ها، از برنامه آماده استفاده کنید. در حقیقت ویروس یاب خود را به روز کرده و یکبار دیگر کل سیستم را برای پاک سازی جستجو کنید. ضمناً برای پاک سازی به روش دستی، باید ابتدا از رجیستری خود یک کپی تهیه کنید. پسورد Administrator را دوباره تغییر دهید و در taskbar دکمه start را بزنید و منوی run را اجرا کنید و در آن Regedit را بنویسید و دکمه OK را کلیک کنید، تا صفحه ویرایشگر رجیستری شما باز شود. حال در مدخل HKEY_LOCAL_MACHINE رجیستری، و زیر مدخل های زیر، هرمدخلی را که به فایلی اشاره می کرد حذف کنید. سپس رجیستری خود را ببندید و دوباره سیستم خود را راه اندازی کنید:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler
(2F212B1B-1313-1BBC-02A8-7CA23A23E13F)
SecurePatch
\(HKCU\Software\Classes\CLSID\(2F212B1B-1313-1BBC-02A8-7CA23A23E13F
InProcServer32
(default)
<System>\run.dll
\(HKCU\Software\Classes\CLSID\(2F212B1B-1313-1BBC-02A8-7CA23A23E13F
InProcServer32\
\HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explore
SharedTaskScheduler
Windows Update
به تازگی صفحه اصلی مرورگر من به آدرس Nsl-school.org تغییر نام پیدا کرده و هر کاری می کنم حذف نمی شود. آیا به ویروس آلوده شده ام! لطفاً کمکم کنید.
کامپیوتری که به این ویروس آلوده شده باشد، ابتدا ویروس صفحه شخصی اینترنت اکسپلورر(Default IE Page ) را به سایت nsl-school.org تغییر می دهد. در این صورت به هیچ طریق امکان عوض کردن آن وجود نخواهد داشت. ضمناً بعد از هر بار باز کردن یک صفحه وب جدید، ویروس مجدداً خود را در سیستم شما کپی می کند. در عین حال ابزار و گزینه هایی مانند Task Managerو Reg Edit در کامپیوتر غیرفعال می شوند، تا شخص نتواند از این طریق، فعالیت ویروس را مشاهده و یا از بین ببرد. همچنین فایل هایی با نام های svhost.exe , svhost32.exe , internat.exe نیز در کامپیوتر ایجاد می شوند (برای اطمینان، پوشه های windows و temp را بررسی کنید).
سپس برای تسری بیشتر آلودگی، ویروس بدون آنکه متوجه شوید، پیغام هایی را به لیست دوستان شما (Yahoo Massenger ID List) ارسال می کند.
حال مناسبترین روش برای از بین بردن آن، این است که مرورگر اینترنت اکسپلورر را ببندید. از یاهو مسنجر خارج شوید و اتصال اینترنت را قطع کنید. جهت فعال کردن Reg Edit، دکمه های start>Run را کلیک کنید و در کادر مربوطه، عیناً عبارت زیر را وارد کنید. و در نهایت کلید Enter را کلیک کنید.
REG add
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System/v DisableRegistryTools/t REG_DWORD/d0/f
جهت فعال کردن Task Manager نیز دکمه های Start>Run را کلیک کنید و در کادر مربوطه، عیناً عبارت زیر را وارد کنید. و در نهایت کلید Enter را کلیک کنید:
REG add
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System/v DisableTaskMgr/t REG_DWORD/d0/f
اکنون نیاز به آن داریم که صفحه نخست مرورگر خود را به حالت قبل برگردانیم. دکمه های Start>Run را کلیک کنید و در کادر مربوطه، عبارت Regedit را وارد کنید. و در نهایت کلید Enter را کلیک کنید. سپس مسیرهای زیر را با دقت پیدا نموده و در آنها وارد شوید. اکنون تمام لینک هایی را که به سایت ویروس یعنی (nsl-school.org) وجود دارند، تغییر داده و بجای آنها، سایت مورد نظر خود مثلاً گوگل (google.com) را وارد کنید.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Expolorer\Main
HKEY_USERS\Default\Software\Microsoft\Internet Explorer\Main
اکنون نیاز به آن داریم که فعالیت ویروس را متوقف کنیم. برای انجام این کار، دکمه های Ctrl+Alt+Del را فشار دهید. سپس در لیست برنامه های فعال، تمامی فایل های svhost32.exe را یافته و آنها را End Task نمایید.
سپس از طریق جستجو و یا وارد شدن به پوشه های windows و temp، فایل های svhost32.exe و svhost.exe را یافته و حذف نمایید. حال مجدداً به قسمت Start menu>Run>Regedit باز گردید. سپس از طریق جستجو، به دنبال عبارت svhost بگردید و تمام موارد یافت شده را حذف نمایید. سپس کامپیوتر خود را ریست نمایید. اگر تمام مراحل را به ترتیب انجام داده باشید، به طور حتم کامپیوتر شما پاکسازی شده است. ضمن اینکه به احتمال زیاد تا زمان چاپ این مطلب، ضد ویروس های معتبر و همچنین سایت Yahoo، برنامه هایی را برای از بین بردن سریع و بی دردسر این ویروس عرضه خواهند کرد.
متاسفانه با وجود اینکه نرم افزار آنتی ویروس روی سیستم نصب بود، به ویروس folder option.exe مبتلا شدم. چگونه می توانم از شر آن خلاص شوم؟
)) folder option را حذف می کند. )) Registry Tools را قفل می کند. )) Task Manager نمی تواند فایل های مربوط به این ویروس را End کند. )) پس از اجرا شدن، محتویات My Documents را نمایش می دهد. )) اگر در کادر محاوره ای Run، عبارات CMD، Msconfig ،Regedit را تایپ کنید، سیستم بلافاصله Restart می شود.
آیکون این ویروس نیز مانند NEW Folder.exe، شبیه آیکون یک پوشه است. همانطور که می دانید، فایل های winlogon.exe ,lsass.exe و services.exe از فایل های سیستمی بوده و همیشه در حال اجرا هستند. حال اگر شما برنامه Process Master را اجرا کنید، می بینید که این فایل ها در پوشه 32 Systemقرار دارند. اما اگر ویروس BronTok.A روی سیستم شما نصب باشد، خواهید دید که سه عدد فایل دیگر با همین نام ها در حال اجرا هستند. یعنی دو عدد winlogon.exe دو عدد lsass.exe و دو عدد services.exe. اما به راحتی می توان فهمید که کدام ها ویروس اند و کدام ها فایل اصلی ویندوز. زیرا آن سه فایلی که مربوط به ویروس می شوند، در پوشه ای غیر از 32 systemقرار دارند. یعنی مسیر آنها اینگونه است:
C:\Documents and Settings\User\Local Settings\Application Data
لازم به ذکر است، C نام همان درایویست که ویندوز در آن نصب گردیده و User نام کاربری است که ویروس در آن اجرا شده است.
به هر صورت، بعد از اینکه با نرم افزار Process Master متوجه شدید که کدامها ویروسند، باید آنها را Kill process کنید. اگر احیاناً فایل های دیگری با نام های csrss.exe ,inetinfo.exe و smss.exe نیز در حال اجرا بودند، آنها را هم Kill process کنید. البته به شرطی که مسیرشان غیر از 32 System باشد. حالا باید از نرم افزار Kill BronTok.A استفاده کنید.
پس از اینکه نرم افزار Kill BronTok.A کارش به اتمام رسید، آن را ببندید و به منوی Start بروید و روی گزینه Search کلیک کنید. در سمت چپ نیز روی گزینه All files and folders کلیک کنید. در فیلد All or part of the file name عبارت Empty.pif را تایپ کنید و از روی کیبرد، کلید Enter را فشار دهید. اکنون تمام فایل های پیدا شده را پاک کنید. سپس مجدداً در فیلد مذکور، عبارت ×.scr,*.exe را تایپ کنید و از روی کیبرد، کلید Enter را فشار دهید.
اکنون از بین فایل های پیدا شده، هر فایلی را که آیکون آن شبیه آیکون پوشه بود، پاک کنید و مجدداً در فیلد All or part of the file name، عبارت ×.job را تایپ کنید و از روی کیبرد کلید Enter را فشار دهید. باز هم در فیلد فوق الذکر عبارت Bron را تایپ کنید و از روی کیبرد کلید Enter را فشار دهید. اکنون تمام فایل ها و پوشه های پیدا شده را پاک کنید. اکنون با خیال راحت کامپیوترتان را Restart کنید.
برنامه های معرفی شده در بالا را نیز می توانید از آدرس های زیر دریافت کنید:
http://www.4shared.com/file/4944255/8cd3afcf/Kill_BronTOkA.html
http://www.shareup.com/Process_Master_download_45735.html
به تازگی موبایلم نوعی ویروس گرفته و این باعث شده که کامپیوتر من هم دچار ویروس شود. چون وقتی روی درایوهای هاردیسک، فلش، فلاپی و مموری کارت موبایل کلیک راست می کنم، به جای گزینه Open و Explorer، حروف درهم و برهمی دیده می شود و بعد از دبل کلیک کردن بر روی درایوهای خودم در My Computer، آنها در پنجره جدید باز می شوند. چکار کنم؟
برای رفع این مشکل، باید ابتدا با زدن Alt+ctrl+delete برنامه Task Manager را اجرا کنید. سپس به تب Processes بروید. در این قسمت اگر در بین برنامه های در حال اجرا، برنامه wscript.exe و یا cscript.exe اجرا بود. آنها را با کلیک راست کردن بر رویشان و انتخاب گزینه End process از حافظه خارج کنید (این برنامه ها، از برنامه های مهم ویندوز هستند. بنایراین آنها را هیچ وقت پاک نکنید ). حالا ابزار جستجو را از منوی استارت اجرا کنید. سپس وارد قسمت all files and folders شوید. در قسمت all or part، تایپ کنید autorun.* و وارد more advanced option شوید و گزینه search hidden file and folders را تیک بزنید و سپس بر روی search کلیک کنید. حال هرچه پیدا شد، پاک کنید. البته با استفاده و بهره گیری از ترکیب کلیدهای shift+deldte تا مشکلی پیش نیاید. ضمناً تا زمان نوشتن پاسخ این سئوال، ویروس یابی برای از بین بردن این نوع ویروس تهیه نشده است.
لطفاً نحوه پاکسازی ویروس W32/Sober.r@MMرا توضیح دهید.
PW_Klass.Pic.packed_bit map.exe
Screen_photo.jpeg_graphicl.exe
این کرم در مرحله اول، این شاخه ها را در رجیستری ایجاد می کند:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Run"WinINet"=C:\WINDOWS\ConnectionStatus\services.exe
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre\ntVersion
Run"_WinINet"=C:\WINDOWS\ConnectionSatatus\services.exe
سپس فایل های زیر را می سازد:
c:\WINDOWS\ConnectionStatus\netslot.nst
C:\WINDOWS\ConnectionStatus\services.exe
C:\WINDOWS\ConnectionStatus\socket.dli
سپس فایل های با حجم 0(صفر) بایت درست می کند؛ آن هم با نام و آدرس های زیر:
C:\WINDOWOS\system32\bbvmwxxf.hml
C:\WINDOWS\system32\gdfjgthv.cvq
C:\WINDOWS\system32\langeinf.lin
C:\WINDOWS\system32\nonrunso.ber
C:\WINDOWS\system32\rubezahl.rub
C:\WINDOWS\system32\seppelmx.smx
سپس پورت های شماره TCP 587و TCP 37و صفحه خانگی قربانی را عوض می کند.
برای پاک سازی دستی می توانید از طریق وارد شدن به وضعیت Safe mode ویندوز، فایل های یاد شده را پاک و شاخه ایجاد شده را در رجیستری پاک کنید.
منبع: ماهنامه دانش و کامپیوتر، شماره ی 75