PC خود را از يک حمله بدافزاري بازيابي کنيد
اگر رفتار کامپيوتر شما عجيب شده است ممکن است به يک بدافزار آلوده شده باشد. ما در اين مقاله به چگونگي نبرد با اين بدافزارها اشاره خواهيم کرد.
حتي کاربران هوشيار PC که مراقب رفتارهاي خود هستند نيز در معرض آلوده شدن به بدافزار هستند. بارگذاري يک فايل ظاهراً بي ضرر از يک درايو USB، کليک بر روي يک لينک نامناسب در نتايج يک جست و جو، کنسل کردن يک جعبه هشدار مشکوک، همه اين ها مي توانند آغاز يک آلوده گي بدافزاري باشند. اگر فعاليت هاي اينترنتي شما شامل دانلود تورنت ها يا استفاده از يک نرم افزار قفل شکسته باشد حتي بيش تر از اين ها در معرض آلوده شدن به کرم ها، بدافزار جاسوسي و اسب هاي تروا هستيد.
از برخي جهات، کشف اين نکته که کامپيوتر شما به يک ويروس آلوده شده است بدتر از دريافتن اين است که به شکل مکانيکي و فيزيکي دست کاري شده باشد. شما داده هاي ارزشمند خود را از دست مي دهيد، بک آپ هاي شما به ويروس آلوده مي شوند و ممکن است کامپيوتر شما به يک پاک سازي اساسي و نصب دوباره ويندوز نياز داشته باشد. اما کارهايي هست که مي توانيد ابتدا به ساکن انجام دهيد و روالي وجود دارد که مي توانيد از آن براي پاک سازي PC خود و بازيابي فايل هاي تان از آن بهره مند شويد. ما در ادامه مقاله به توضيح و تشريح اين مسائل مي پردازيم. شکل (1)
شناسايي و کشف آلوده گي هاي اين چنيني ساده است. نوارهاي ابزار عجيب و غريب و جديد، ميان برهاي جديد نرم افزارهايي که شما هرگز آن ها را نصب نکرده ايد بر روي دسک تاپ و سويئچ کردن مرورگر و رفتن آن به صفحه خانگي (Home Page) همه نشانه هاي کلاسيک اين نوع آلوده گي به شمار مي روند.
در ساير موارد، علائم کم تر شناخته شده اي مثل استفاده بيش از حد معمول از پهناي باند اينترنت، روشن شدن چراغ هاي مسيرياب در مواقعي که نبايد روشن باشند و نشان گر فعاليت آن هستند، popup پنجره هاي غيرمنتظره و حتي Reboot بدون علت سيستم همه گي از نشانه هاي اين نوع آلوده گي هستند. رفتار برخي از بدافزارها فقط عجيب است، رفتارهايي مثل به چرخش افتادن نشان گر ماوس از اين قبيل است. نشانه ها هر چه که باشند درمان آن ها روشي يکسان دارد: حذف و برداشتن کد مشکوک.
همچنين هيچ گونه قابليت استفاده از شبکه که براي جلوگيري از تماس برنامه هاي جاسوسي با خانه شما يا بيرون کشيدن داده ها از پنجره هاي pop-up که با تايپ msconfig در جعبه جست و جوي منوي Start و راه اندازي برنامه ضروري است بارگذاري نخواهد شد.
بر روي برگه Startup کليک کنيد و تيک کنار تمام برنامه هاي Startup به غير از برنامه هاي ضروري را برداريد و يا به سادگي گزينه Disable all را انتخاب کنيد. براي تأئيد بر روي Apply کليک کنيد و سپس به برگه Boot برويد و گزينه Make all boot settings permanent را تيک بزنيد. سپس بهControl Panel برويد و Add/Remove Programs را انتخاب کنيد. برنامه هاي غيرضروري را از سيستم برداريد خصوصاً نوارهاي ابزار و add-onهاي مرورگرها. در برخي از موارد، اين فعاليت ها ممکن است براي متوقف کردن کد مشکوک از بارگذاري درStartup کفايت کند.
حالا بايد فايل هاي موقتي يا temporary را حذف کنيد. cache مرورگر و کليه فايل هاي موجود در پوشه زير را (در صورتي که فايلي در اين پوشه وجود داشت) پاک کنيد.
C:\Windows\Temp\
C:\Temp\
C:\Document and Settings\yourusername\Local Settings\Temp
C:\Documents and Settings\yourusername\My Documents\ Downloads
شما مي توانيد مرورگرتان را نيز وادار کنيد تا فايل هاي موقتي را پاک کند. در مرورگر Chrom به Tools|Options|Clear browsing data يا در اينترنت اکسپلورر به Tools |Internet options برويد، سپس تحت Browsing History گزينه Delete را انتخاب کنيد. تمام جعبه ها را تيک بزنيد و بر روي OK کليک کنيد.
يک روش سريع تر براي پاک کردن فايل هاي موقتي و cache مرورگر، استفاده از CCleaner- يک ابزار قدرتمند که تمام فايل هاي غيرضروري را پاک مي کند اما مي تواند تأثيري منفي بر سيستم شما داشته باشد است. آن را از آدرس www.ccleaner.com دانلود و با تنظيمات پيش فرض نصب کنيد تا پوشه هاي temp شما را از وجود فايل هاي به درد نخور پاک کند. اين برنامه تنظيمات نادرست رجيستري و ميان برهايي که به جايي ارجاع نمي دهند را شناسايي مي کند.
اولين آن ها Sophos AntiRootkit است. اين نرم افزار در حذف و از بين بردن نرم افزارهايي که مجوزهاي مدير سيستم را به دست آورده اند تخصص دارد. از بين بردن اين نوع بدافزار خصوصاً کار دشواري است زيرا به مجوزهاي مديرسيستم نياز دارد و شناسايي آن سخت است. شکل (3)
شما قبل از دانلود نرم افزار Sophos بايد رجيستر کنيد اما چنان چه تمايل داشته باشيد مي توانيد گزينه دريافت ايميل در مورد محصولات ديگر آن را انتخاب کنيد. اين ابزار کار خود را با اسکن رجيستري آغاز مي کند، سپس به اسکن درايوهاي محلي مي پردازد و روال هاي موجود در حافظه را تجزيه و تحليل مي کند. اين برنامه به دنبال فايل هاي پنهاني که مي توانند شناسايي شوند مي گردد. وقتي اين فايل ها را پيدا کرد، آن ها را به ليست اضافه مي کند. اين به شما بستگي دارد که اين فايل ها را چک کنيد و در مورد مضر يا بي ضرر بودن آن ها تصميم گيري کنيد. شما مي توانيد آيتم ها را انتخاب کنيد و درصورتي که نرم افزار پاک کردن آن ها را توصيه کرد گزينه Clean up checked items را انتخاب نمائيد.
البته، اگر شما از قبل فايل هاي موقتي اينترنت را از روي کامپيوتر خود پاک کرده باشيد، اين برنامه نبايد اين نوع فايل ها را پيدا کند.
مجدداً مي گويم، وقتي Spyot کارجست و جوي رجيستري کامپيوتر شما را به اتمام رساند، ليستي از فايل هايي که مي توانند تعمير و بازسازي شوند تهيه مي کند. خود کوکي ها در اصل مشکلي به شمار نمي روند و تصميم گيري در مورد پاک کردن يا باقي ماندن آن ها به عهده خود شما است. از طرفي فايل هاي اجرايي هميشه حذف مي شوند و در اين مورد هيچ سؤالي از شما نمي شود.
AVG Free گزينه معمول ما براي از بين بردن اسب هاي تروا و کرم ها است اما وقتي ويندوز در حالت safe mode است بايد از خط فرمان اجرا شود. اين از اخبار بد. اما اخبار خوب اين است که AVG Free 2011 وقتي تشخيص مي دهد ويندوز در حالت safe mode است يک GUI خط فرمان را بارگذاري مي کند که به شما اجازه مي دهد يک اسکن را با استفاده از مجموعه اي از چک باکس ها؛ به جاي تايپ فرمان ها به اجرا درآوريد.
فعاليت هاي ما بايد سيستم را به اندازه کافي براي نصب ابزار ضدويروس و تهيه بک آپ از فايل هاي مهم شما پايدار کرده باشد. ممکن است نتوانسته باشيد همه چيز را به حالت اول خود برگردانيد اما اگر حداقل توانسته باشيد برخي از خرابي ها را بازسازي کنيد ممکن است آماده بوت شدن به ويندوز و از بين بردن بدافزارهاي باقي مانده باشيد. اطمينان حاصل کنيد که ابتدا مسير ياب را از سيستم جدا کنيد. آخرين کاري که هنگام بوت شدن سيستم خود به دنبال آن هستيد امکان اتصال به شبکه است.
Kaspersky Rescue Disk 10 به شما اجازه مي دهد سيستم خود را از يک USB يا يک CD بوت کنيد، سيستم عامل را کنار بگذاريد و سپس تهديدات بدافزاري را بدون اين که از طرف خود بدافزار اذيت شويد اسکن نموده و آن را از بين ببريد.
ابزار ديگري هم براي اين کار وجود دارد اما Kaspersky يک ابزار رايگان و استفاده و burn آن بسيار ساده است زيرا با فرمت ISO ارائه مي شود.
اگر همه اين اقدامات با شکست مواجه شد زمان تهيه بک آپ از اسناد، پاک کردن ديسک سخت و نصب مجدد ويندوز فرا رسيده است.
حتي کاربران هوشيار PC که مراقب رفتارهاي خود هستند نيز در معرض آلوده شدن به بدافزار هستند. بارگذاري يک فايل ظاهراً بي ضرر از يک درايو USB، کليک بر روي يک لينک نامناسب در نتايج يک جست و جو، کنسل کردن يک جعبه هشدار مشکوک، همه اين ها مي توانند آغاز يک آلوده گي بدافزاري باشند. اگر فعاليت هاي اينترنتي شما شامل دانلود تورنت ها يا استفاده از يک نرم افزار قفل شکسته باشد حتي بيش تر از اين ها در معرض آلوده شدن به کرم ها، بدافزار جاسوسي و اسب هاي تروا هستيد.
از برخي جهات، کشف اين نکته که کامپيوتر شما به يک ويروس آلوده شده است بدتر از دريافتن اين است که به شکل مکانيکي و فيزيکي دست کاري شده باشد. شما داده هاي ارزشمند خود را از دست مي دهيد، بک آپ هاي شما به ويروس آلوده مي شوند و ممکن است کامپيوتر شما به يک پاک سازي اساسي و نصب دوباره ويندوز نياز داشته باشد. اما کارهايي هست که مي توانيد ابتدا به ساکن انجام دهيد و روالي وجود دارد که مي توانيد از آن براي پاک سازي PC خود و بازيابي فايل هاي تان از آن بهره مند شويد. ما در ادامه مقاله به توضيح و تشريح اين مسائل مي پردازيم. شکل (1)
نشانه هاي بدافزار
شناسايي و کشف آلوده گي هاي اين چنيني ساده است. نوارهاي ابزار عجيب و غريب و جديد، ميان برهاي جديد نرم افزارهايي که شما هرگز آن ها را نصب نکرده ايد بر روي دسک تاپ و سويئچ کردن مرورگر و رفتن آن به صفحه خانگي (Home Page) همه نشانه هاي کلاسيک اين نوع آلوده گي به شمار مي روند.
در ساير موارد، علائم کم تر شناخته شده اي مثل استفاده بيش از حد معمول از پهناي باند اينترنت، روشن شدن چراغ هاي مسيرياب در مواقعي که نبايد روشن باشند و نشان گر فعاليت آن هستند، popup پنجره هاي غيرمنتظره و حتي Reboot بدون علت سيستم همه گي از نشانه هاي اين نوع آلوده گي هستند. رفتار برخي از بدافزارها فقط عجيب است، رفتارهايي مثل به چرخش افتادن نشان گر ماوس از اين قبيل است. نشانه ها هر چه که باشند درمان آن ها روشي يکسان دارد: حذف و برداشتن کد مشکوک.
سيستم خود را پايدار کنيد
همچنين هيچ گونه قابليت استفاده از شبکه که براي جلوگيري از تماس برنامه هاي جاسوسي با خانه شما يا بيرون کشيدن داده ها از پنجره هاي pop-up که با تايپ msconfig در جعبه جست و جوي منوي Start و راه اندازي برنامه ضروري است بارگذاري نخواهد شد.
بر روي برگه Startup کليک کنيد و تيک کنار تمام برنامه هاي Startup به غير از برنامه هاي ضروري را برداريد و يا به سادگي گزينه Disable all را انتخاب کنيد. براي تأئيد بر روي Apply کليک کنيد و سپس به برگه Boot برويد و گزينه Make all boot settings permanent را تيک بزنيد. سپس بهControl Panel برويد و Add/Remove Programs را انتخاب کنيد. برنامه هاي غيرضروري را از سيستم برداريد خصوصاً نوارهاي ابزار و add-onهاي مرورگرها. در برخي از موارد، اين فعاليت ها ممکن است براي متوقف کردن کد مشکوک از بارگذاري درStartup کفايت کند.
حالا بايد فايل هاي موقتي يا temporary را حذف کنيد. cache مرورگر و کليه فايل هاي موجود در پوشه زير را (در صورتي که فايلي در اين پوشه وجود داشت) پاک کنيد.
C:\Windows\Temp\
C:\Temp\
C:\Document and Settings\yourusername\Local Settings\Temp
C:\Documents and Settings\yourusername\My Documents\ Downloads
شما مي توانيد مرورگرتان را نيز وادار کنيد تا فايل هاي موقتي را پاک کند. در مرورگر Chrom به Tools|Options|Clear browsing data يا در اينترنت اکسپلورر به Tools |Internet options برويد، سپس تحت Browsing History گزينه Delete را انتخاب کنيد. تمام جعبه ها را تيک بزنيد و بر روي OK کليک کنيد.
يک روش سريع تر براي پاک کردن فايل هاي موقتي و cache مرورگر، استفاده از CCleaner- يک ابزار قدرتمند که تمام فايل هاي غيرضروري را پاک مي کند اما مي تواند تأثيري منفي بر سيستم شما داشته باشد است. آن را از آدرس www.ccleaner.com دانلود و با تنظيمات پيش فرض نصب کنيد تا پوشه هاي temp شما را از وجود فايل هاي به درد نخور پاک کند. اين برنامه تنظيمات نادرست رجيستري و ميان برهايي که به جايي ارجاع نمي دهند را شناسايي مي کند.
بدفزار را شناسايي کنيد
اولين آن ها Sophos AntiRootkit است. اين نرم افزار در حذف و از بين بردن نرم افزارهايي که مجوزهاي مدير سيستم را به دست آورده اند تخصص دارد. از بين بردن اين نوع بدافزار خصوصاً کار دشواري است زيرا به مجوزهاي مديرسيستم نياز دارد و شناسايي آن سخت است. شکل (3)
شما قبل از دانلود نرم افزار Sophos بايد رجيستر کنيد اما چنان چه تمايل داشته باشيد مي توانيد گزينه دريافت ايميل در مورد محصولات ديگر آن را انتخاب کنيد. اين ابزار کار خود را با اسکن رجيستري آغاز مي کند، سپس به اسکن درايوهاي محلي مي پردازد و روال هاي موجود در حافظه را تجزيه و تحليل مي کند. اين برنامه به دنبال فايل هاي پنهاني که مي توانند شناسايي شوند مي گردد. وقتي اين فايل ها را پيدا کرد، آن ها را به ليست اضافه مي کند. اين به شما بستگي دارد که اين فايل ها را چک کنيد و در مورد مضر يا بي ضرر بودن آن ها تصميم گيري کنيد. شما مي توانيد آيتم ها را انتخاب کنيد و درصورتي که نرم افزار پاک کردن آن ها را توصيه کرد گزينه Clean up checked items را انتخاب نمائيد.
چرا ابتدا بايد rootkitها را حذف کرد؟
جست و جو و نابودسازي
البته، اگر شما از قبل فايل هاي موقتي اينترنت را از روي کامپيوتر خود پاک کرده باشيد، اين برنامه نبايد اين نوع فايل ها را پيدا کند.
مجدداً مي گويم، وقتي Spyot کارجست و جوي رجيستري کامپيوتر شما را به اتمام رساند، ليستي از فايل هايي که مي توانند تعمير و بازسازي شوند تهيه مي کند. خود کوکي ها در اصل مشکلي به شمار نمي روند و تصميم گيري در مورد پاک کردن يا باقي ماندن آن ها به عهده خود شما است. از طرفي فايل هاي اجرايي هميشه حذف مي شوند و در اين مورد هيچ سؤالي از شما نمي شود.
AVG Free گزينه معمول ما براي از بين بردن اسب هاي تروا و کرم ها است اما وقتي ويندوز در حالت safe mode است بايد از خط فرمان اجرا شود. اين از اخبار بد. اما اخبار خوب اين است که AVG Free 2011 وقتي تشخيص مي دهد ويندوز در حالت safe mode است يک GUI خط فرمان را بارگذاري مي کند که به شما اجازه مي دهد يک اسکن را با استفاده از مجموعه اي از چک باکس ها؛ به جاي تايپ فرمان ها به اجرا درآوريد.
همين حالا بک آپ تهيه کنيد
فعاليت هاي ما بايد سيستم را به اندازه کافي براي نصب ابزار ضدويروس و تهيه بک آپ از فايل هاي مهم شما پايدار کرده باشد. ممکن است نتوانسته باشيد همه چيز را به حالت اول خود برگردانيد اما اگر حداقل توانسته باشيد برخي از خرابي ها را بازسازي کنيد ممکن است آماده بوت شدن به ويندوز و از بين بردن بدافزارهاي باقي مانده باشيد. اطمينان حاصل کنيد که ابتدا مسير ياب را از سيستم جدا کنيد. آخرين کاري که هنگام بوت شدن سيستم خود به دنبال آن هستيد امکان اتصال به شبکه است.
پاک سازي بدافزار
مسائل ناراحت کننده
Kaspersky Rescue Disk 10 به شما اجازه مي دهد سيستم خود را از يک USB يا يک CD بوت کنيد، سيستم عامل را کنار بگذاريد و سپس تهديدات بدافزاري را بدون اين که از طرف خود بدافزار اذيت شويد اسکن نموده و آن را از بين ببريد.
ابزار ديگري هم براي اين کار وجود دارد اما Kaspersky يک ابزار رايگان و استفاده و burn آن بسيار ساده است زيرا با فرمت ISO ارائه مي شود.
اگر همه اين اقدامات با شکست مواجه شد زمان تهيه بک آپ از اسناد، پاک کردن ديسک سخت و نصب مجدد ويندوز فرا رسيده است.
