با سلام خدمت بازدید کنندگان گرامی
وبلاگ فراتر از امنیت چند ماهیه که به سایت میهن تراک آپگرید شده و شما دوستان برای دریافت جدید ترین مطالب و ترفند ها به آدرس سایت میهن تراک : www.MihanTrack.com سر بزنید و در سایت و خبرنامه عضو شوید تا نرم افزار های جدید به ایمیلتان ارسال گردد. مطالب جدید فقط به میهن تراک ارسال میشود و این وبلاگ مثل سابق بروز نخواهد شد.
با تشکر / احسان حیدری
شهریور ماه 1390
آموزش از بین بردن ویروس kazme__gheyz.exe
راه اول - استفاده از نرم افزار
این ویروس به صورت دو فایل در درایوها قرار میگیرد و TaskManager,Registry,command dos,gpeditرا از کار می اندازه و نام فایل ویروس به نامهای kazme__gheyz.exe و autorun.inf هست.كه توسط فردي ايراني و براي معرفي وبللاگش ساخته شده
مشاهده و دانلود در ادامه مطلب . . .
RRT Sergiwa Antiviral Toolkit Enterprise مجوعه کامل از ابزارهایی است که میتواند تمام اثرات باقی مانده از ویروسها را در سیستم شما حذف کند و شما را به یک سیستمی سالم برگرداند یعنی تمام گزینهای غیر فعال شده را که در بالا زکر شدند فعال کند.
»دانلود نرم افزار RRT Enterprise 5.0.0.16 در ادامه مطلب همین پست
ویروس Win32/PSW.Agent.NDP
این ویروس باعث غیرفعال شدن گزینه show hidden files and folders در folder option می شود و باعث عدم نمایش فایلهای مخفی می شود و اجازه نمی دهد کاربرها فایلهای مخفی را از حالت مخفی بیرون بیاورند .
این ویروس با دستکاری رجیستری ویندوز باعث می شد که شما نتونید تنظیمات hidden file and folder را تغییر دهید .
به محض تغییر دادن این قسمت و خارج شدن از ان تنظیمات به حالت پیش فرض خود برمیگردند .
البته این ویروس خرابکاریهای دیگری هم انجام می دهد اول اینکه داخل تمام درایوهای شما یه فایل autorun.inf می سازد که درایوهای هارد شما را autorun می کند .
دوم اینکه دوباره داخل تمام درایوها یک فایل به نام ntde1ect می سازد که شما به محض اینکه فلاپی وارد سیستم کنید یا فلش یا mp3 pleyer را به کامپیوتر متصل کنید یک کپی از خودش به صورت hidden وارد دستگاه شما یا فلاپی شما می کند که شما متوجه ان نمی شوید .
البته فایل ntde1ect خیلی شبیه فایل ntdetect هست که داخل درایو C وجود دارد و برای بالا امدن ویندوز ضروری می باشد .
مواظب باشید این دو فایل را اشتباه نگیرید .
سوم اینکه با اجرای فایل avpo.exe به شما اجازه نمیدهد که فلش یا mp3 pleyer یا هر چیز دیگه رو از پورت USB ، safe remove کنید .
نحوه پاک کردن ویروس Win32/PSW.Agent.NDP
در حالت safe mode وارد ویندوز شوید . ( با زدن دکمه F8 قبل از بالا آمدن ویندوز حالت safe mode را انتخاب کنید )
پنجره Task Manager را باز کنید (Ctrl-Alt-Delete) و برنامه های زیر را در صورت اجرا ببندید .
wscript.exe : اگر در حال اجرا بود آن را ببندید (End process)
avpo.exe : اگر در حال اجرا بود آن را ببندید (End process)
از قسمت start برنامه Run را اجرا کنید و در عبارت cmd را در آن تایپ کنید و enter را بزنید .
در این قسمت در خط فرمان برنامه ، دستور زیر زیر را تایپ کنید و enter را بزنید .
del c:\autorun.* /f /a /s /q
این دستور را برای درایوهای دیگر اجرا کنید . با این دستور تمام فایلهایautorun موجود delete می شود .
در این مرحله در خط فرمان c:\ دستور زیر را تایپ کنید تا وارد پوشه system32 شوید :
C:\cd windows\system32
C:\windows\system32
در ادامه دستور زیر را تایپ کنید و آنرا اجرا کنید .
*.*dir /a avp
در این قسمت هر فایلی به نامهای avp0.dll و avpo.exe و avp0.exe دیده شد آنرا پاک کنید .
attrib -r -s -h avpo.exe
del avpo.exe
بعد از این مراحل تمام پنجره ها رو ببندید و برنامه registry را اجرا کنید :
(Run \regedit)
مسیر زیر را دنبال کنید :
HKEY_CURRENT_USER \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run
در این قسمت هر کلیدی که به نام avpo.exe بود را delete کنید .
در برنامه registry قسمت edit گزینه Findرا کلیک کنید و عبارت ntde1ect را جستجو کنید. تمام کلیدهای پیدا شده را delete کنید .
این کار را برای فایل avpo.exe نیز انجام دهید و تمام کلیدهای پیدا شده راdelete کنید .
در آخر کار سراغ کلید زیر بروید و مقدار CheckedValue را برابر 1 قرار دهید .
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion
Explorer/Advanced/Folder/Hidden/SHOWALL
1- سيستم خود را ريسيت کنيد.
2- با زدن کليد F8 به حالت Safe Mode With Command Prompt برويد.
3- سپس با اجراي Start / Run و تايپ cmd موارد زير را اجرا کنيد.
4- به ريشه اصلي درايو c برويد، شايد لازم باشد از دستور cd کمک بگيريد.
5- اين خط را تايپ کنيد , Enter بزنيد:
attrib Fooool.* -s -h -r -a
6- دستور زير را تايپ کرده Enter بزنيد:
dir /s Fooool.exe
7- اگر فايلي ليست شده بود، پس ويروس وجود دارد و با دستور زير آنرا پاک کنيد:
del Fooool.exe
8- دستورات فوق را براي کليه درايوهاي خود انجام دهيد تا از حذف کامل اين ويروس اطمينان حاصل کنيد.
شايع ترين راه انتقال اين ويروس حافظه هاي فلش مي باشد.
هرچند که باز کردن برخي سايت هاي آلوده نيز مي تواند اين ويروس را در سيستم مستقر سازد اين ويروس با دستکاري رجيستري ، هر بار که ويندوز راه اندازي مي شود خود را اجرا مي کند. با اجراي هر فايل اجرايي در ويندوز نيز اين فايل اجرا خواهد شد و پس از اجرا Processes آن را به هيچ عنوان نمي توان خاتمه داد.
اين ويروس اجازه ديدن فايل هاي پنهان را به کاربر نمي دهد و فايل هايي که مخفي شوند ديگر قادر به مشاهده نخواهند بود. دسترسي به برخي سايت ها ممکن نمي باشد و اين ويروس با اجراي خود منجر به ايجاد سربار روي سيستم ، کندي دستگاه ، بسته شدن ناخواسته برخي برنامه ها و احيانا بوت شدن خود بخود کامپيوتر مي گردد.
همچنين با آلوده کردن حافظه هاي فلشي که به دستگاه متصل مي گردند ، سعي به انتشار خود مي کند.
راههاي شناخت اين تروجان براي اين که متوجه شويد که ايا سيستم شما الوده به اين تروجان است يا نه از طريق فشرن همزمان سه کليد Alt + Ctrl + Delete وارد Task Manager شويد و سپس به تب Processes رفته و در صورتي که فايل اجرايي Soundmix.exe در حال اجرا باشد سيستم شما به اين تروجان آلوده شده است.
راه ديگر شناسايي اين تروجان عدم نمايش پسوند فايلهاست از طريق منوي Folder Option و فعال کردن گزينه Show Hidden files and folder و تاييد آن در صورتي که پسوند فايلها نمايش داده نشوند سيستم شما به اين تروجان الوده شده است.
اين تروجان در درايو ويندوز و در مسير زير قرار ميگيرد . C:\WINDOWS\system32\soundmix.exe
فايل کتابخانه اي ان نيز در مسير زير قرار ميگيرد . C:\WINDOWS\system32\dllcachezipexr.dll
اين تروجان علاوه بر کاهش سرعت سيستم باعث عدم نمايش پسوند فايلها و جلوگيري از دسترسي شما به رجستري ويندوزتان مي شود و باعث دزديده شدن اطلاعات سيستم شما خواهد شد.
راه های حذف ویروس folder option بااستفاده ازاویریا
در این مطلب به شما آموزش داده میشود که چگونه با ویروسfolder option مبارزه کنید.
در ادامه مطلب این پست به شما چهار راه گوناگون جهت این کار معرفی مشود.
مشاهده آموزش حذف ویروس folder option در ادامه مطلب...
این ویروس قابلیت انتشار بسیار بالایی دارد و به راحتی از طریق یک برنامه اسکریپ تکثیر میشود. راه انتقال آن معمولا فایل های html که درون یک سایت قرار داده شده و آدرس آن از طریق برنامه یاهو مسنجر منتشر میشود.
این کرم کلیه فایل های وب شما مانند HTML, HTM, HTT را آلوده می کند و با هر بار اتصال شما به اینترنت و لوگین کردن در برنامه Yahoo Messenger یاهو مسنجر، لیست دوستان شما را استخراج می کند و خودش را به تمام آنها منتقل می کند. انتقال زمانی کامل میشود که دوستان شما لینک اینترنتی ناخواسته شما را که بدون دخالت شما از طریق مسنجر ارسال شده را مشاهده کنند و یا بعبارتی بر روی آن تنها کلیک کنند.
این برنامه یک کد اسکریپت به تمام فایل های از نوع html آن ضمیمه میکند و معمولا به همراه مشکلاتی کار کردن با کامپیوتر را مختل میکند. مخصوصا هنگام کار با visual studio .net بدلیل تخریب فایل های html آن موجب می شود که پیغام های خطای گوناگونی ظاهر شود.
افرادی که طراح صفحات وب هستند با این ویروس همچنان مشکل دارند و بسیاری از فایل هایشان با این ویروس خطرناک تخریب شده است و قابل بار گذاری نیست.
همواره هر html دو فایل kernel.vbs و TSP32v.dll را در دایرکتوری ویندوز سیستم 32 کپی می کند و مسیر اجرای آن را در رجیستری ثبت می کند تا با هر بار بالا آمدن سیستم، ویروس با سرعت بیشتر گسترده تر شود و سیستم شما آلوده تر گردد.
تا کنون که این مطالب را می نویسم، برنامه ای بر روی اینترنت پیدا نکردم که آن را پاک کند و یا فایل های تخریب شده را بازیابی کند.
در نهایت با توجه به بروز مشکلات زیادی که بر روی کامپیوترم بوجود آمد، برنامه ای نوشتم تا این کرم مزاحم را از روی سیستم حذف کند و تمامی فایل های آلوده را اصلاح کند. نام آن FASIX است.
توجه : پس از اجرای برنامه، ابتدا درایو c را انتخاب کنبد و دکمه جستجو را بزنید. حداقل 5 دقیقه زمان نیاز است تا برنامه درایو هارد شما را جستجو کند و فایل های مورد نظر را انتخاب کند، لذا صبور باشید. پس از این مرحله دکمه remove infected files را کلیک کنید تا برنامه فایل های آلوده را شناسایی و اصلاح کند. این کار را برای سایر درایوها جداگانه انجام دهید.
لینک دانلود. از سرور ۴Shared
Download Anti worm kernel.vbs
By this program, you are able to remove any kernel.vbs worms and virus on your computer.this simple program, will repair any infected kernel.vbs html, htm or htt file on you computer.
I wrote this program in Borland Delphi 7.
after running program, please select c:\ drive and then push search button. be patient. after near 5 min, all probable infected file will index. now, push the repair infected file button
یکی از قوی ترین و شایع ترین ویروس / تروجان هایی که اخیرا در حال گسترش بین کاربران استفاده کننده از یاهو مسنجر می باشد ویروس " Exploit.JS.ADODB.Stream.e " است .
در صورتیکه کامپیوتر شما نیز به این ویروس آلوده شده باشد بدون آنکه متوجه شوید به لیست دوستانتان پیغامهایی مبنی بر بازدید از سایت nsl-school.org ارسال می شود . بدین ترتیب در صورت کلیک بر روی این لینکها دوستان شما نیز آلوده خواهند شد .
هنوز مشخص نیست سازنده این ویروس چه کسی است و این احتمال داده می شود که ویروس مذکور به سرقت اطلاعات و رمزهای شخصی افراد می پردازد . در صورتیکه شما و یا یکی از دوستانتان به این ویروس آلوده شده شده اید روش زیر مناسب ترین گزینه برای از بین بردن آن است :
پیام و لینک هایی که این ویروس ارسال می کند چیست ؟
در متن تمامی این پیغام ها لینکی به سایت Nsl-school.org داده شده است که در صورت کلیک کردن بر روی آن کامپیوتر شما آلوده می شود .
در صورتیکه به ویروس آلوده شوید چه مشکلاتی پیش خواهد آمد ؟
در ابتدا ویروس صفحه شخصی اینترنت اکسپلورر (Default IE Page) را به سایت nsl-school.org تغییر می دهد . در این صورت به هیچ طریق امکان عوض کردن آن وجود نخواهد داشت . بعد از هر باز باز کردن یک صفحه وب جدید ، ویروس مجددآ خود را در سیستم شما کپی می کند .
گزینه های Task Manager و Reg Edit در کامپیوتر غیر فعال می شوند تا شخص نتواند از این طریق فعالیت ویروس را مشاهده و یا از بین ببرد .
فایل هایی با نامهای svhost.exe , svhost32.exe , internat.exe در کامپیوتر ایجاد می شوند . ( برای اطمینان پوشه های windows و temp را بررسی کنید . )
ویروس بدون آنکه متوجه شوید پیغام هایی را به لیست دوستان شما ( Yahoo Messenger ID List ) ارسال می کند .
چگونه ویروس را از کامپیوتر خود پاک کنیم ؟
مرورگر اینترنت اکسپلورر را ببندید . از یاهو مسنجر خارج شوید . اتصال اینترنت را قطع کنید .
جهت فعال کردن Reg Edit دکمه های Start > Run را کلیک کنید و در کادر مربوطه عیناً عبارت زیر را وارد کنید و در نهایت کلید Enter را کلیک کنید .
REG add HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableRegistryTools /t REG_DWORD /d 0 /f
جهت فعال کردن Task Manager دکمه های Start > Run را کلیک کنید و در کادر مربوطه عیناً عبارت زیر را وارد کنید و در نهایت کلید Enter را کلیک کنید .
REG add HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableTaskMgr /t REG_DWORD /d 0 /f
اکنون نیاز به آن داریم که صفحه نخست مرورگر خود را به حالت قبل برگردانیم . دکمه های Start > Run را کلیک کنید و در کادر مربوطه عبارت Regedit را وارد کنید . و در نهایت کلید Enter را کلیک کنید . میسرهای زیر را با دقت پیدا نموده و در آنها وارد شوید . اکنون تمام لینک هایی را که به سایت ویروس یعنی (nsl-school.org) وجود دارند تغییر داده و بجای آنها سایت مورد نظر خود مثلاً گوگل ( google.com ) را وارد کنید .
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main
HKEY_ LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main
HKEY_USERS\Default\Software\Microsoft\Internet Explorer\Main
اکنون نیاز به آن داریم که فعالیت ویروس را متوقف کنیم . دکمه های Ctrl + Alt + Del را فشار دهید . در لیست برنامه های فعال تمامی فایل های svhost32.exe را یافته و آنها را End Task نمایید .
از طریق جستجو و یا وارد شدن به پوشه های Windows و temp فایل های svhost32.exe و svhost.exe را یافته و حذف نمایید .
مجددآ به قسمت Start menu > Run > Regedit باز گردید . از طریق جستجو به دنبال عبارت svhost بگردید و تمام موارد یافت شده را حذف نمایید .
کامپیوتر خود را ریست نمایید . و تمام
آموزش حذف ویروس یاهو مسنجر Exploit.JS.ADODB.Stream.e
یکی از قوی ترین و شایع ترین ویروس / تروجان هایی که اخیرا در حال گسترش بین کاربران استفاده کننده از یاهو مسنجر می باشد ویروس " Exploit.JS.ADODB.Stream.e " است .
در صورتیکه کامپیوتر شما نیز به این ویروس آلوده شده باشد بدون آنکه متوجه شوید به لیست دوستانتان پیغامهایی مبنی بر بازدید از سایت nsl-school.org ارسال می شود . بدین ترتیب در صورت کلیک بر روی این لینکها دوستان شما نیز آلوده خواهند شد .
هنوز مشخص نیست سازنده این ویروس چه کسی است و این احتمال داده می شود که ویروس مذکور به سرقت اطلاعات و رمزهای شخصی افراد می پردازد . در صورتیکه شما و یا یکی از دوستانتان به این ویروس آلوده شده شده اید روش زیر مناسب ترین گزینه برای از بین بردن آن است :
پیام و لینک هایی که این ویروس ارسال می کند چیست ؟
در متن تمامی این پیغام ها لینکی به سایت Nsl-school.org داده شده است که در صورت کلیک کردن بر روی آن کامپیوتر شما آلوده می شود .
در صورتیکه به ویروس آلوده شوید چه مشکلاتی پیش خواهد آمد ؟
در ابتدا ویروس صفحه شخصی اینترنت اکسپلورر (Default IE Page) را به سایت nsl-school.org تغییر می دهد . در این صورت به هیچ طریق امکان عوض کردن آن وجود نخواهد داشت . بعد از هر باز باز کردن یک صفحه وب جدید ، ویروس مجددآ خود را در سیستم شما کپی می کند .
گزینه های Task Manager و Reg Edit در کامپیوتر غیر فعال می شوند تا شخص نتواند از این طریق فعالیت ویروس را مشاهده و یا از بین ببرد .
فایل هایی با نامهای svhost.exe , svhost32.exe , internat.exe در کامپیوتر ایجاد می شوند . ( برای اطمینان پوشه های windows و temp را بررسی کنید . )
ویروس بدون آنکه متوجه شوید پیغام هایی را به لیست دوستان شما ( Yahoo Messenger ID List ) ارسال می کند .
چگونه ویروس را از کامپیوتر خود پاک کنیم ؟
مرورگر اینترنت اکسپلورر را ببندید . از یاهو مسنجر خارج شوید . اتصال اینترنت را قطع کنید .
جهت فعال کردن Reg Edit دکمه های Start > Run را کلیک کنید و در کادر مربوطه عیناً عبارت زیر را وارد کنید و در نهایت کلید Enter را کلیک کنید .
REG add HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableRegistryTools /t REG_DWORD /d 0 /f
جهت فعال کردن Task Manager دکمه های Start > Run را کلیک کنید و در کادر مربوطه عیناً عبارت زیر را وارد کنید و در نهایت کلید Enter را کلیک کنید .
REG add HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableTaskMgr /t REG_DWORD /d 0 /f
اکنون نیاز به آن داریم که صفحه نخست مرورگر خود را به حالت قبل برگردانیم . دکمه های Start > Run را کلیک کنید و در کادر مربوطه عبارت Regedit را وارد کنید . و در نهایت کلید Enter را کلیک کنید . میسرهای زیر را با دقت پیدا نموده و در آنها وارد شوید . اکنون تمام لینک هایی را که به سایت ویروس یعنی (nsl-school.org) وجود دارند تغییر داده و بجای آنها سایت مورد نظر خود مثلاً گوگل ( google.com ) را وارد کنید .
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main
HKEY_ LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main
HKEY_USERS\Default\Software\Microsoft\Internet Explorer\Main
اکنون نیاز به آن داریم که فعالیت ویروس را متوقف کنیم . دکمه های Ctrl + Alt + Del را فشار دهید . در لیست برنامه های فعال تمامی فایل های svhost32.exe را یافته و آنها را End Task نمایید .
از طریق جستجو و یا وارد شدن به پوشه های Windows و temp فایل های svhost32.exe و svhost.exe را یافته و حذف نمایید .
مجددآ به قسمت Start menu > Run > Regedit باز گردید . از طریق جستجو به دنبال عبارت svhost بگردید و تمام موارد یافت شده را حذف نمایید .
کامپیوتر خود را ریست نمایید . و تمام
برخی موارد ممکن است با این مشکل مواجه شده باشید که وقتی بر روی درایوی دابل کلیک میکنید ، آن درایو باز نمی شود و پنجره ای با عنوان Open With به شما نمایش داده میشود .
مشکل چیست ؟ و از کجا ناشی میشود ؟
این اتفاق معمولا بعد از ویروس یابی های شما رخ میدهد .
دلیل این امر این است که در ریشه درایوی که میخواهید آنرا باز کنید یک فایل متنی به نام Autorun.inf وجود دارد همانطور که میدانید و ظیفه این فایل اجرای اتوماتیک یک سری دستورات مشخص است .
بسیاری از ویروس ها از این روش برای اجرای اوتوماتیک خود بر روی کامپیوتر قربانی استفاده میکنند به اینصورت که مسیر اجرای فایل اصلی ویروس را درون فایل Autorun.inf قرار میدهند . با اینکار هر بار که شما بر روی درایو مربوطه کلیک کنید درحقیقت ( پشت پرده ) باعث اجرای ویروس میشوید .
برخی از آنتی ویروسها پس از شناسایی ویروس ، فایل Autorun.inf ای که به ویروس اشاره میکند را تشخیص نداده و به حال خود رها میکنند . بنابراین مسیر اجرای ویروس پس از پاک شدن آن از بین خواهد رفت یعنی وقتی بر روی درایو خود کلیلک میکنید فایل Autorun.inf میخواهد ویروس را اجرا کند درحالی که چنین فایلی و چنین مسیری دیگر وجود ندارد و قبلا توسط ویروس یاب پاک شده است . در این هنگام است که شما با پنجره Open With مواجه میشوید .
راه حل :
برای اینکه بتوانید وارد درایو مربوطه شوید میتوانید بجای دابل کلیک کردن بر روی نام درایو ، اسم درایو را به همراه علامت " : " در نوار آدرس تایپ کنید . مثال
اما این کار به درد نمیخورد چون هر بار که میخواهید وارد درایو شوید باید از طرق منوی آدرس این دستور را اجرا کنید .
برای رهایی از این مشکل بصورت اساسی کافی است مراحل زیر را دنبال کنید :
در منوی Start گزینه Run را انتخاب کنید
سپس دستور CMD را تایپ کرده و با زدن کلید Enter آنرا اجرا کنید
حالا فرض میکنیم درایو D را میخواهیم از فایل Autorun.inf پاک کنیم
دستور زیر را تایپ کرده و با زدن کلید Enterآنرا اجرا کنید
del D:\autorun.* /f /a /s /q
بنام خداوند یکتــــا