هک ایدی.hack.trojan.virus.bootr.

انتی ویروس سیاسی

.حذف ومقابله با ویروس سیاسی.

 

مشخصات ویروس :

1- يک نوار زرد رنگ در بالاي صفحه رايانه و همراه با جملات فارسي به رنگ قرمز نمايش داده مي‌شود. جملاتي که بيشتر توسط اين ويروس نمايش مي يابد شعارها و جملاتي بر عليه جمهوري اسلامي ايران ، باورها و ارزشهاي جامعه ميباشد .


2 - يك فايل HTM با نام Important يا Harf يا نامهايي ديگر بر روى Desktop كامپيوتر شما ظاهر مى شود که در آن نيز جملاتي برعليه ارزشها نوشته شده است .

3 - اين ويروس گزينه Folder Options  كامپيوتر شما را غير فعال ميكند.

4 - همچنين اين ويروس دو فايل مخفي و سيستمي به نامهاي Autorun.exe يا autoply.exe و Autorun.inf را در کليه درايوهاي هارد ايجاد مي کند و موجب مي شود که با دابل کليک کردن روي درايوها ، فايل اجرايي اتوران اجرا شده و درايو مورد نظر در پنجره اي ديگر باز شود و يا در نسخه هايي اصلا درايو باز نشود .
کپي شدن فايل Autorun.inf موجب مي شود حتي اگر به صورت دستي يا توسط آنتي ويروس فايل اجرايي ديگر Autorun.exe ياautoply.exe حذف گردد ديگر درايوها با دابل کليک باز نمي شوند و حتي با کليک راست روي درايوها و انتخاب Open نير باز نمي شوند . ( تنها راه بازکردن درايوها نوشتن نام درايو به همراه دونقطه (:) در پنجره RUN ميباشد . (مثل  c :)
اين ویروس پس از اجراي فايل ، بر روي سيستم كاربر، ابتدا خودش را بر روي سيستم كپي مي‌كند و سپس با تغيير دادن كليدهايي در رجيستري باعث بروز مشكلاتي از جمله باز نشدن Folder Option و مخفي نگه داشتن فايل‌هاي مخفي و سيستمي مي‌شود.


روشهاي مقابله و حذف :

1 - قبل از هر چيز Task Manager را اجرا کنيد ( با زدن کليدهاي Alt , CTRL , Del به صورت همزمان ) و برنامه هاي مشکوکي مانند Systray.exe و Userinit.exe و Spoolsv.exe و Soundman.exe و Sounmax.exe را با زدن دکمه End Task  ببنديد .
همچنین در بعضی از نسخه ها لازم است پروسس Svchost.exe  را نیز با کلیک راست کردن و انتخاب End Process Treeببینید . ( البته چندین Svchost.exe  وجود دارد که شما باید پروسسی که در ستون UserName نام کابر فعلی جلوی Svchost.exe  نوشته شده را ببندید (

سپس  بايد به صورت دستي فايلهاي Autorun.inf و Autorun.exe و Autoply.exe موجود در درايوهاي آلوده را حذف کنيد .
در کلیه مراحل حذف ویروس درايوها را با دابل کليک باز نکنيد و فقط از طریقRUN  باز کنيد .

براي حذف اين فايلها مي توانيد وارد محیط داس شوید ، سپس در اين پنجره دستورات زير را براي کليه درايوها انجام دهيد .

 

حذف AUTORUN.INF

 

attrib -r -a -h -s Drive:\AUTORUN.INF
del Drive:\AUTORUN.INF

 

حذف Autorun.exe

 

attrib -r -a -h -s Drive:\autorun.exe
del Drive:\autorun.exe

حذف Autoply.exe

 

 attrib -r -a -h -s Drive:\autoply.exe
del Drive:\autoply.exe

 


<!--[if !supportLineBreakNewLine]-->
<!--[endif]-->


2 – سپس فایلهای زیر را دانلود نمایید .


AutoPly.exe Remover Autorun.exe  Saldost Registry Repair

<!--[if !supportLineBreakNewLine]-->
<!--[endif]-->

براي برگرداندن Folder Optins به پنجره Run رفته و دستور Regedit را نوشته و اجرا کنيد .

حال از منوي Edit  گزينه Find را انتخاب کنيد و عبارت NoFolderOption را نوشته تا اين عبارت در رجيستري جستجو شود . هر بار که اين عبارت را يافتيد بايستي روي آن دابل کليک کرده و مقدار ارزش آن را از 1 به صفر تغيير دهيد . یک بار سیستم را رست کنید .  

نکته 1 : درصورتيکه Taskmanager و يا Regedit نيز غير فعال شده اند به مقاله " فعال کردن Regedit "  و  " فعال کردن Taskmanager "  مراجعه نمایید .

نکته  2 : براي فعال کردن حالت نمايش کليه فايلهاي سيستمي و مخفي وارد My Computer شده و سپس به منوهاي زير برويد :
Tools->FolderOptions->View سپس گزينه Show Hidden Files And Filders را فعال کنيد .
همچنين گزينه Hide protected operating system files را غيرفعال نماييد .

نکته 3 : توجه کنيد که درايوها را با دابل کليک باز نکنيد و فقط با روش گفته شده در بالا درايوها را باز کنيد

نکته 4 : به درايوي که ويندوز در آن نصب شده برويد و در مسير Program files پوشه XpCode را حذف کنيد .


نکته 5 : به درايوي که ويندوز در آن نصب شده برويد و وارد پوشه Documents and Settings شده و در آنجا وارد پوشه اي که به نام کاربر فعلي ميباشد شده و سپس در پوشه Local Settings فايل Startup.exe را حذف کنيد . ( توجه کنيد که Local Settings نيز پوشه اي مخفي و سيستمي است ) . در همين پوشه وارد پوشه Temp شده و کليه فايلهاي موجود در آن خصوصا Systray.exe را حذف کنيد .

نکته 6 : در پنجره Run عبارت MsConfig را نوشته و در بخش Startup کليه گزينه ها را از حالت انتخاب خارج کنيد هيچکدام تيکدار نباشند .

نکته 7 : از پوشه Startup  واقع در C:\Documents and Settings\ user\Start Menu\Programs\Startup  برنامه هايي که کلمه Update را دارند حذف کنيد .  ( مانند Office Update و يا Adobe Update  )


حال سيستم را رست کنيد .


3 - پس از راه اندازي مجدد سيستم ، يکبار کل سيستم را با آنتي ويروس بروز شده مانند Nod 32  اسکن کنيد و درصورت رفع مشکل باز در پنجره Run عبارت MsConfig را نوشته و در بخش Startup گزينه هايي را که  غيرفعال کرده بوديد را به حالت قبل درآوريد .

نکته 8 : در يکي از نسخه هاي اين ويروس در بخش Startup فايلي به نام  Soundman.exe يا SoundMax.exe نيز وجود دارد که بايد غير فعال شود و اين فايل نيز از مسير \Sound Utility\Soundmax.exe حذف گردد.
همچنين از طريق رجيستري در مسير

HK_ L_M\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\SoundMax

بايد Soundmax يا Soundman.exe را حذف کنيد .

نکته 9 : System Restore را غیر فعال کنید چون که این ویروس خود را System Volume Information ذخیره می کند .