ﺳﻼم دوﺳﺘﺎن ﻋﺰﯾﺰم اﮐﺜﺮ ﮐﺎرﺑﺮاﻧﯽ ﮐﻪ ﺑﻪ اﯾﻦ ﻗﺴﻤﺖ ﻣﺮاﺟﻌﻪ ﻣﯽ ﮐﻨﻨﺪ ﻣﺸﮑﻞ هﻤﮕﯽ ﻏﻴﺮ ﻓﻌﺎل ﺷﺪن ﮔﺰﯾﻨﻪ Show Hidden Filesﻣﯽ ﺑﺎﺷﺪ . ﺑﻨﺎﺑﺮاﯾﻦ دﺳﺖ ﺑﻪ ﮐﺎر ﺷﺪم ﺗﺎ ﺑﺘﻮﻧﻢ روﺷﻬﺎﯼ از ﺑﻴﻦ ﺑﺮدن اﯾﻦ وﯾﺮوس را ﭘﻴﺪا ﮐﻨﻢ ﺗﺎ ﺷﻤﺎ راﺣﺘﺮ ﺑﺘﻮﻧﻴﺪ اﯾﻦ وﯾﺮوس را از روﯼ ﺳﻴﺴﺘﻢ ﺧﻮد ﭘﺎﮎ ﮐﻨﻴﺪ. در اﻳﻦ ﺗﺎﭘﻴﮏ ﻗﺼﺪ دارم راﻩ هﺎ و ﺑﺮﻧﺎﻣﻪ هﺎﯾﯽ را ﺑﺮاﺗﻮن ﻗﺮار ﺑﺪم ﮐﻪ ﺑﺘﻮﻧﻴﺪ از ﻃﺮﻳﻖ اﻳﻦ راﻩ هﺎ ﮔﺰﻳﻨﻪ ي Show Hidden Filesرو ﮐﻪ در ﺑﺮﻧﺎﻣﻪ ي Folder Optionﻣﺮﺑﻮط ﺑﻪ Windows Explorerهﺴﺖ را اﮔﺮ ﮐﺎر ﻧﻤﻲ ﮐﻨﺪ ﺑﺮﮔﺮدوﻧﻴﺪ. ) ﻳﻌﻨﻲ ﺷﻤﺎ ﺗﻴﮏ Show Hidden Filesرو ﻣﻴﺰﻧﻴﺪ وﻟﻲ ﮐﺎر ﻧﻤﻲ ﮐﻨﺪ و وﻗﺘﻲ ﺑﺮ ﻣﻲ ﮔﺮدﻳﺪ هﻨﻮز روي Do Not Show Hidden Filesهﺴﺖ ! ( اﯾﻦ ﻣﺸﮑﻞ ﺑﻪ دﻟﻴﻞ وﺟﻮد وﯾﺮوﺳﻬﺎﯾﯽ ﻣﺘﻌﺪدﯼ روﯼ ﺳﻴﺴﺘﻢ ﺷﻤﺎ ﺑﻮدﻩ اﺳﺖ ﮐﻪ ﺑﺎ ﭘﺎﮎ ﺷﺪن اﻧﻬﺎ ﺗﻮﺳﻂ اﻧﺘﯽ وﯾﺮوس هﺎ ﺁﺛﺎرﺷﻮن ﺑﺎﻗﻲ ﻣﺎﻧﺪﻩ.
ﺣﺎﻻ از ﮐﺠﺎهﺎ ﺑﻔﻬﻤﻴﻢ ﮐﻪ ﮐﺎﻣﻴﭙﻮﺗﺮ ﻣﺎ وﻳﺮوس ﮔﺮﻓﺘﻪ اﺳﺖ. ﻣﻮﻗﻌﻲ ﮐﻪ ﺷﻤﺎ وارد My Computerﻣﻲ ﺷﻮﻳﺪ و روي دراﻳﻮ هﺎي ان راﺳﺖ ﮐﻠﻴﮏ ﻣﻲ ﮐﻨﻴﺪ و در اﻳﻦ هﻨﮕﺎم ﻳﮏ ﮔﺰﻳﻨﻪ ﺑﺎ ﻳﮏ زﺑﺎن ﻧﺎﻣﻔﻬﻮم ﻣﻄﺎﺑﻖ ﻋﮑﺴﻲ ﮐﻪ ﻗﺮار دادﻩ ام را ﻣﻲ ﺑﻴﻨﻴﺪ .
ﯾﺎ اﯾﻨﮑﻪ وﻗﺘﯽ روﯼ دراﯾﻮ هﺎﯾﺘﺎن دوﺑﺎر ﮐﻠﻴﮏ ﻣﯽ ﮐﻨﻴﺪ ﻣﺤﺘﻮاﯼ دراﯾﻮ هﺎﯼ ﺷﻤﺎ در ﯾﮏ ﺻﻔﺤﻪ ﺟﺪﯾﺪ ﺑﺎز ﻣﯽ ﺷﻮد. ﯾﺎ ﻣﻮﻗﻊ داﺑﻞ ﮐﻠﻴﮏ ﮐﺮدن روﯼ دراﯾﻮ هﺎﯾﺘﺎن ﭘﻨﺠﺮﻩ Open Withﺑﺎز ﻣﯽ ﺷﻮد و ﺑﻪ ﺷﻤﺎ ﻣﯽ ﮔﻮﯾﺪ Choose the program you want to use to open this file ﯾﺎ هﻨﮕﺎم ﮐﻠﻴﮏ ﺑﺮ روﯼ دراﯾﻮ هﺎﯾﺘﺎن errorﯼ ﺑﻪ ﺷﻤﺎ دادﻩ ﻣﯽ ﺷﻮد. ﯾﻌﻨﯽ ﺳﻴﺴﺘﻢ ﺷﻤﺎ وﯾﺮوﺳﯽ ﺷﺪﻩ اﺳﺖ .اﯾﻦ وﯾﺮوس ،وﯾﺮوس autorun.infﻣﯽ ﺑﺎﺷﺪ .ﻧﺤﻮﻩ ﭘﺎﮎ ﮐﺮدن اﯾﻦ وﯾﺮوس را در ﻗﺴﻤﺖ ﭘﺎﯾﻴﻦ ﮔﻔﺘﻪ ام. هﻤﭽﻨﻴﻦ اﻳﻦ وﻳﺮوس ﺑﺎﻋﺚ از ﺑﻴﻦ رﻓﺘﻦ و ﭘﺎﮎ ﺷﺪن Folder Optionsﺧﻮاهﺪ ﺷﺪ و اﮔﺮ ﺷﻤﺎ ﮔﺰﻳﻨﻪ هﺎي Show hidden files and foldersو ) Hide protected operating system files (Recommendedرا ﻣﺎرﮎ دار ﮐﻨﻴﺪ ﺑﺎ okﮐﺮدن ﭘﻨﺠﺮﻩ اﻳﻦ ﮔﺰﻳﻨﻪ ﮐﺎر ﻧﺨﻮاهﻨﺪ ﮐﺮد .و دوﺑﺎرﻩ ﺑﻪ ﺣﺎﻟﺖ اوﻟﻴﻪ ﺑﺎز ﺧﻮاهﻨﺪ ﮔﺸﺖ. هﻤﭽﻨﻴﻦ اﻳﻦ وﻳﺮوس ﺑﺎﻋﺚ ﻏﻴﺮ ﻓﻌﺎل ﺷﺪن Task Manageو Registry Editorﺧﻮاهﺪ ﺷﺪ.
اﮔﺮ ﺷﻤﺎ روي ﮔﺰﻳﻨﻪ command promptﻳﺎ cmdﻧﻴﺰ ﮐﻠﻴﮏ ﮐﻨﻴﺪ ﻳﺎ ﺑﺎز ﻧﺨﻮاهﺪ ﺷﺪ و ﭘﻴﻐﺎم زﻳﺮ را ﺧﻮاهﺪ داد ﻳﺎ اﻳﻨﮑﻪ ﺑﻪ ﺳﺮﻋﺖ ﺑﺎز و ﺑﺴﺘﻪ ﺧﻮاهﺪ ﺷﺪ. the command prompt has been disabled by your administrator راهﻬﺎي ورود اﻳﻦ وﻳﺮوس از ﻃﺮﻳﻖ ﻗﻄﻌﺎﺗﻲ ﺧﻮاهﺪ ﺑﻮد ﮐﻪ از ﻃﺮﻳﻖ usbﺑﺎ ﺳﻴﺴﺘﻢ ﺷﻤﺎ ارﺗﺒﺎط دارﻧﺪ .ﻗﻄﻌﺎﺗﻲ ﻣﺎﻧﻨﺪ ﻓﻠﺶ ﻣﻤﻮري هﺎ ) ﮐﻮﻟﺪﻳﺴﮏ ( ، ﻣﻮﺑﺎﻳﻞ هﺎ ،رم رﻳﺪر هﺎ و...
ﻧﺤﻮﻩ از ﺑﺒﻦ ﺑﺮدن وﻳﺮوس autorun.inf روش اول : اﺑﺘﺪا وارد My Computerﺷﻮﯾﺪ. ﺑﻌﺪ از ﻣﺸﺎهﺪﻩ ﻟﻴﺴﺖ دراﯾﻮهﺎ از ﻧﻮار ﺑﺎﻻ ﺑﺮوﯼ ﮔﺰﯾﻨﻪ Toolsﮐﻠﻴﮏ ﮐﺮدﻩ ﺳﭙﺲ ﮔﺰﯾﻨﻪ Folder Optionsرا اﻧﺘﺨﺎب ﮐﻨﻴﺪ در ﭘﻨﺠﺮﻩ ﺟﺪﯾﺪ ﺑﺎز ﺷﺪﻩ ﮔﺰﯾﻨﻪ Viewرا اﻧﺘﺨﺎب ﮐﻨﻴﺪ و ﺑﺮوﯼ ﮔﺰﯾﻨﻪ Show hidden files and foldersﮐﻠﻴﮏ ﮐﻨﻴﺪ ﺗﺎ داﯾﺮﻩ ﺁن ﺗﻮﭘﺮ ﺷﻮد. ﮐﻤﯽ ﭘﺎﯾﻴﻨﺘﺮ ﺗﻴﮏ ﮔﺰﯾﻨﻪ Hide Protected Operationg System Filesرا ﺑﺮ دارﯾﺪ.ﺣﺎﻻ okﮐﻨﻴﺪ ﺳﭙﺲ ﺑﺎ راﺳﺖ ﮐﻠﻴﮏ ﮐﺮدن و زدن openوارد دراﯾﻮ هﺎﯾﺘﺎن ﺷﻮﯾﺪ )ﺣﺘﻤﺎ ﯾﺎدﺗﻮن ﺑﺎﺷﻪ ﺑﺎ راﺳﺖ ﮐﻠﻴﮏ ﮐﺮدن و زدن openوارد دراﯾﻮ هﺎﯾﺘﺎن ﺷﻮﯾﺪ اﮔﺮ دوﺑﺎر روﯼ دراﯾﻮﯼ ﮐﻠﻴﮏ ﮐﻨﻴﺪ ﺑﺎز هﻢ وﯾﺮوس ﻓﻌﺎل ﺧﻮاهﺪ ﺷﺪ و دوﺑﺎرﻩ هﻤﻪ ﭼﻴﺰ ﺑﻪ ﺣﺎﻟﺖ اول ﺑﺮ ﺧﻮاهﺪ ﮔﺸﺖ .ﭘﺲ ﺣﺘﻤﺎ ﺑﺎ راﺳﺖ ﮐﻠﻴﮏ ﮐﺮدن و زدن openوارد دراﯾﻮهﺎﯾﺘﺎن ﺷﻮﯾﺪ( ﺳﭙﺲ دﻧﺒﺎل ﯾﮏ ﻓﺎﯾﻞ ﺑﻪ ﻧﺎم autorun.infﺑﮕﺮﯾﺪ و ان را ﭘﺎﮎ ﮐﻨﻴﺪ ﺑﺮاﯼ هﻤﻪ دراﯾﻮ هﺎ اﯾﻦ ﮐﺎر را اﻧﺠﺎم ﺑﺪﯾﺪ. ﺑﻌﺪ از اﯾﻦ ﮐﺎر ﺑﻼﻓﺎﺻﻠﻪ ﺑﺪون هﻴﭻ ﻣﻌﻄﻠﯽ ﺳﻴﺴﺘﻢ ﺧﻮدﺗﻮن را رﯾﺴﺘﺎرت ﮐﻨﻴﺪ .ﯾﺎدﺗﻮن ﻧﺮﻩ ﺣﺘﻤﺎ ﺣﺘﻤﺎ ﺑﺪون اﻧﺠﺎم هﻴﭻ ﮐﺎرﯼ ﺳﻴﺴﺘﻢ را رﯾﺴﺘﺎرت ﮐﻨﻴﺪ .
روش دوم: copy.exeﺗﺮوﺟﺎﻧﯽ اﺳﺖ ﮐﻪ ﮔﺎهﯽ اوﻗﺎت در ﺗﻤﺎﻣﯽ دراﯾﻮ هﺎﯼ ﺷﻤﺎ ﻗﺮار ﻣﻴﮕﻴﺮﻩ و ﺑﺎ هﺮ ﺑﺎر ﮐﻠﻴﮏ ﺑﺮ روﯼ دراﯾﻮ هﺎ ﻓﺎﯾﻞ autorun.infﻓﺎﯾﻞ اﯾﻦ ﻓﺎﯾﻞ را اﺟﺮا ﻣﯽ ﮐﻨﻪ. ﯾﮑﯽ از روﺷﻬﺎﯼ ﭘﺎﮎ ﮐﺮدن اﯾﻦ وﯾﺮوس اﯾﻦ اﺳﺖ ﮐﻪ اﺑﺘﺪا ﺷﻤﺎ ﺑﺎﯾﺪ ﭘﺮوﺳﻪ هﺎﯼ temp1.exeو temp2.exeرو از ﺑﻴﻦ ﺑﺒﺮﯾﺪ .ﺑﺮاﯼ اﯾﻦ ﮐﺎر اﺑﺘﺪا ﺑﺎﯾﺪ ﺳﻴﺴﺘﻢ را ﺑﻪ ﺻﻮرت safe modeراﻩ اﻧﺪازﯼ ﮐﻨﻴﺪ. ﺷﻤﺎ ﻧﺒﺎﯾﺪ روﯼ دراﯾﻮ هﺎ ﯾﺘﺎن داﺑﻞ ﮐﻠﻴﮏ ﮐﻨﻴﺪ ﭼﻮن ﺑﺎ اﯾﻦ ﮐﺎر وﯾﺮوس autorun.infﮐﻪ در دراﯾﻮ هﺎﯾﺘﺎن ﻗﺮار دارد ﺑﺎﻋﺚ ﻓﻌﺎل ﺷﺪن ﭘﺮوﺳﻪ هﺎﯼ temp1.exeو temp2.exeﻣﯽ ﺷﻮد. ﺑﻌﺪ از راﻩ اﻧﺪازﯼ ﺳﻴﺴﺘﻢ ﺑﻪ ﺻﻮرت safe modeﺷﻤﺎ ﺑﺎﯾﺪ ﺑﺎ راﺳﺖ ﮐﻠﻴﮏ ﮐﺮدن و زدن ﮔﺰﯾﻨﻪ openوارد دراﯾﻮ cوﯾﻨﺪوز ﺷﺪﻩ و ﺑﻪ ﭘﻮﺷﻪ windowsو ﺑﻌﺪ هﻢ ﭘﻮﺷﻪ system32رﻓﺘﻪ و دو ﻓﺎﯾﻞ temp1.exeو temp2.exeرا ﺣﺬف ﮐﻨﻴﺪ . اﻟﺒﺘﻪ در ﺑﻌﻀﯽ از ﻧﺴﺨﻪ هﺎﯼ وﯾﺮوس copy.exeوﯾﺮوس autorun.infﺣﺘﯽ درون ﭘﻮﺷﻪ %win%هﻢ وﺟﻮد دارﻩ ﺑﻨﺎﺑﺮاﯾﻦ ﺣﺘﻤﺎ ﺣﺘﻤﺎ ﺑﺮاﯼ ورود ﺑﻪ دراﯾﻮهﺎ ﭘﻮﺷﻪ هﺎ را ﺑﺎ راﺳﺖ ﮐﻠﻴﮏ ﺑﺎز ﮐﻨﻴﺪ. ﻧﮑﺘﻪ :ﻗﺒﻞ از اﯾﻨﮑﺎر ﺑﺎﯾﺪ اﺑﺘﺪا اﯾﻦ ﭘﺮوﺳﻪ هﺎ را از Task Managerﭘﺎﮎ ﮐﻨﻴﺪ .ﺑﺮاﯼ اﯾﻦ ﮐﺎر ﺑﺎ زدن ﮐﻠﻴﺪ هﺎﯼ ﺗﺮﮐﻴﺒﯽ ctrl + alt + deleteوارد Task Managerﺑﺸﻴﺪ و ﭘﺮوﺳﻪ هﺎﯼ temp1.exeو temp2.exeرا از ﻟﻴﺴﺖ processesﺑﺎ ﮐﻠﻴﮏ ﺑﺮ روﯼ اﻧﻬﺎ و زدن end processﺣﺬف ﮐﻨﻴﺪ. وﯾﺮوس autorun.infﺑﺎ هﺮ ﺑﺎر ﻓﻌﺎل ﺷﺪن ﻣﻮﺟﺐ ﻣﻴﺸﻪ ﮐﻪ دو ﻓﺎﯾﻞ xcopy.exeو host.exeدرون هﻤﻮن دراﯾﻮ ﻓﻌﺎل ﺑﺸﻦ و دوﺑﺎرﻩ دو ﻓﺎﯾﻞ temp1.exe و temp2.exeرو ﺑﺴﺎزن. ﺷﻤﺎ ﻧﺒﺎﯾﺪ ﻓﺎﯾﻞ هﺎﯼ xcopy.exeرا ﺑﺎ ﻓﺎﯾﻞ هﺎﯼ ﺧﻮد windowsﮐﻪ درون ﭘﻮﺷﻪ ﯼ system32هﺴﺘﻨﺪ اﺷﺘﺒﺎﻩ ﺑﮕﻴﺮﯾﺪ . ﺑﺮاﯼ ﺗﺸﺨﻴﺺ وﯾﺮوس xcopy.exeو ﻓﺎﯾﻞ xcopy.exeﮐﻪ در ﭘﻮﺷﻪ system32اﺳﺖ ﺑﺎﯾﺪ از ﺣﺠﻢ اﻧﻬﺎ اﯾﻦ دو را ﺷﻨﺎﺳﺎﯾﯽ ﮐﺮد اﮔﺮ ﻓﺎﯾﻞ xcopy.exe ﺣﺠﻤﯽ ﻣﻌﺎدل 32ﮐﻴﻠﻮ ﺑﺎﯾﺖ داﺷﺖ ﻣﺮﺑﻮط ﺑﻪ ﺧﻮد وﯾﻨﺪوز ﻣﯽ ﺑﺎﺷﺪ در ﻏﻴﺮ اﯾﻦ ﺻﻮرت وﯾﺮوس ﺧﻮاهﺪ ﺑﻮد. ﺣﺎﻻ ﻓﺎﯾﻠﻬﺎﯼ ﺳﻴﺴﺘﻤﯽ را ﻣﺎﻧﻨﺪ ورش اول از ﺣﺎﻟﺖ هﺎﯾﺪن ﺧﺎرج ﮐﻨﻴﺪ و وﯾﺮوس autorun.infرا ﭘﺎﮎ ﮐﻨﻴﺪ و ﺑﻌﺪ هﻢ ﺑﻪ دراﯾﻮهﺎﯼ ﺧﻮدﺗﻮن ﻧﮕﺎﻩ ﮐﻨﻴﺪ اﮔﺮ ﻓﺎﯾﻠﻬﺎﯾﯽ ﺑﺎ ﻋﻨﻮان xcopy.exeو host.exeﺑﻮدﻧﺪ ﺑﺎ ﺧﻴﺎل راﺣﺖ ﭘﺎﮎ ﮐﻨﻴﺪ.
ﻧﺤﻮﻩ ﭘﺎﮎ ﮐﺮدن وﻳﺮوس Copy.exe اﺳﺎﻣﯽ دﯾﮕﺮ اﯾﻦ وﯾﺮوسhost.exe, xcopy.exe, temp1.exe, temp2.exe and svchost.exe,Salga-A worm
اﯾﻦ وﯾﺮوس ﯾﮑﯽ از ﺧﻄﺮﻧﺎﮎ ﺗﺮﯾﻦ وﯾﺮوس هﺎ هﺴﺖ ﮐﻪ ﺑﻪ ﻋﻨﻮان ﯾﮏ ﭘﺮوﺳﻪ در ﺳﻴﺴﺘﻢ ﺷﺮوع ﺑﻪ ﻓﻌﺎﻟﻴﺖ و اﻧﺘﺸﺎر ﺧﻮدش ﻣﯽ ﮐﻨﻪ و ﺑﺎ ﺗﻮﺟﻪ ﺑﻪ اﯾﻨﮑﻪ ﺑﻌﻀﯽ از اﻧﺘﯽ وﯾﺮوﺳﻬﺎ ﺑﻪ ﺻﻮرت ﻧﺎﻣﻨﺎﺳﺐ اﯾﻦ وﯾﺮوس را ﭘﺎﮎ ﻣﯽ ﮐﻨﻨﺪ ﺑﺎﻋﺚ ﻧﻤﺎﯾﺶ ﯾﮏ ﭘﻴﻐﺎم در زﻣﺎن داﺑﻞ ﮐﻠﻴﮏ ﮐﺮدن روﯼ دراﯾﻮ و ﯾﺎ ﻓﻮﻟﺪر در ﻣﺤﻴﻂ وﯾﻨﺪوز ﻣﯽ ﺷﻮﻧﺪ.
ﺑﺮاﯼ ﭘﺎﮎ ﮐﺮدن دﺳﺘﯽ اﯾﻦ ﮐﺮم ﺷﻤﺎ ﺑﺎﯾﺪ اﺑﺘﺪا هﻤﻪ ﭘﺮوﺳﻪ هﺎﯾﯽ ﮐﻪ ﺑﺎ ﻧﺎم هﺎﯼ host.exe, xcopy.exe, temp1.exe, temp2.exe and svchost.exe,Salga-A wormهﺴﺘﻨﺪ را ﭘﻴﺪا ﮐﻨﻴﺪ و اﻧﻬﺎ را ﭘﺎﮎ ﮐﻨﻴﺪ. ﺗﺬﮐﺮ :ﻣﻮاﻇﺐ ﺑﺎﺷﻴﺪ اﯾﻦ ﻓﺎﯾﻠﻬﺎ را ﺑﺎ ﻓﺎﯾﻠﻬﺎﯼ اﺳﺎﺳﯽ ﺳﻴﺴﺘﻢ ﻋﺎﻣﻞ اﺷﺘﺒﺎﻩ ﻧﮕﻴﺮﯾﺪ . ﻣﻬﻢ :ﯾﮑﯽ از دﻻﯾﻞ اﺻﻠﯽ ﺑﻪ وﺟﻮد اﻣﺪن اﯾﻦ ﻣﺸﮑﻞ وﯾﺮوس Autorun.infهﺴﺖ ﮐﻪ ﺷﻤﺎ ﺑﺎﯾﺪ ﻃﺒﻖ روش هﺎﯾﯽ ﮐﻪ در اﻣﻮزش ﮔﻔﺘﻪ ام ان را ﭘﺎﮎ ﮐﻨﻴﺪ .اﯾﻦ ﮐﺎر را ﺣﺘﻤﺎ اﻧﺠﺎم دهﻴﺪ .ﯾﻌﻨﯽ ﺣﺘﻤﺎ ﺑﺎﯾﺪ اﺑﺘﺪا وﯾﺮوس Autorun.infرا ﻃﺒﻖ اﻣﻮزش ﺑﺎﯾﺪ از ﺑﻴﻦ ﺑﺒﺮﯾﺪ. ﺳﭙﺲ ﺑﻪ اﯾﻦ ادرس در رﺟﻴﺴﺘﺮﯼ رﻓﺘﻪ و اﮔﺮ ﮐﻠﻴﺪﯼ ﺑﻪ اﺳﻢ Copy.exeدر زﯾﺮ ﻣﻨﻮﯼ MountPoints2وﺟﻮد داﺷﺖ ان را ﭘﺎﮎ ﮐﻨﻴﺪ. ﮐﺪ:
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\MountPoints2
ﺑﺎ اﯾﻦ ﺑﺮﻧﺎﻣﻪ ﺑﻪ ﻃﻮر ﮐﺎﻣﻞ ﻣﯽ ﺗﻮاﻧﻴﺪ اﯾﻦ وﯾﺮوس را از ﺑﻴﻦ ﺑﺒﺮﯾﺪ.
http://www.securitystronghold.com/download/solutions/TrueSword4.exe
راهﻬﺎي دﺳﺘﻲ ﺑﺮاي از ﺑﻴﻦ ﺑﺮدن وﻳﺮوﺳﯽ ﮐﻪ Show Hidden Filesرا ﻏﻴﺮ ﻓﻌﺎل ﻣﯽ ﮐﻨﺪ. 1از Start Menuوارد Runﺑﺸﻴﺪ و در اوﻧﺠﺎ ﺗﺎﻳﭗ ﮐﻨﻴﺪ : regeditوﻗﺘﻲ ﺻﻔﺤﻪ ي رﺟﻴﺴﺘﺮي ﺑﺎز ﺷﺪ ،از ﺳﻤﺖ ﭼﭗ وارد اﻳﻦ ﻣﺴﻴﺮ ﺑﺸﻴﺪ : ﮐﺪ:
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\Advanced در اﻳﻦ ﻗﺴﻤﺖ ،در ﻟﻴﺴﺖ ﻣﺘﻐﻴﺮ هﺎﻳﻲ ﮐﻪ ﺳﻤﺖ راﺳﺖ وﺟﻮد دارﻧﺪ ،ﻣﺘﻐﻴﺮ ﺁﺑﻲ رﻧﮕﻲ ) ( DWORD Valueرو ﺑﻪ ﻧﺎم Hiddenﭘﻴﺪا ﮐﻨﻴﺪ و روﯼ ان داﺑﻞ ﮐﻠﻴﮏ ﮐﻨﻴﺪ .اﮔﺮ ﻣﻘﺪارش ) ( Value dataﺑﻪ 0ﺗﻐﻴﻴﺮ ﮐﺮدﻩ ،ان را ﺑﻪ 1ﯾﺎ 2ﺗﻐﻴﻴﺮ دهﻴﺪ و OKﮐﻨﻴﺪ .ﺣﺎﻻ رﺟﻴﺴﺘﺮي رو ﺑﺒﻨﺪﻳﺪ و رﻳﺴﺘﺎرت ﮐﻨﻴﺪ . 2ﻣﺴﻴﺮ زﻳﺮ رو دﻧﺒﺎل ﮐﻨﻴﺪ:ﮐﺪ:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\Advanced\Folder\Hidden اﮐﻨﻮن در ﺳﻤﺖ راﺳﺖ ﭘﻨﺠﺮﻩ ي Regeditروي Typeدو ﺑﺎر ﮐﻠﻴﮏ ﮐﺮدﻩ و ﻣﻘﺪار ﺁن رو ﺑﺮاﺑﺮ ﺑﺎ groupﻗﺮار دهﻴﺪ ) ﻳﻌﻨﻲ در ﭘﻨﺠﺮﻩ اي ﮐﻪ ﺑﺎز ﻣﻴﺸﻪ ﮐﻠﻤﻪ ي groupرو ﺗﺎﻳﭗ ﮐﻨﻴﺪ). ﺑﺎ اﻳﻦ ﮐﺎر ﺗﻮﻧﺴﺘﻴﺪ Show Hidden Filesاز دﺳﺖ رﻓﺘﻪ را ﮐﻪ دﯾﺪﻩ ﻧﻤﯽ ﺷﺪ ﺑﺮﮔﺮدوﻧﻴﺪ. 3ﻣﺴﻴﺮ زﻳﺮ رو دﻧﺒﺎل ﮐﻨﻴﺪ :ﮐﺪ:
HK LocalMachine\Software\Microsoft\Windows\CurrentVer sion\Explorer\Advanced\Folder\Hidden\SHOWALL در ﺳﻤﺖ راﺳﺖ ﭘﻨﺠﺮﻩ ي Regeditﻣﻘﺪار CheckedValueرو ﺑﺮاﺑﺮ ﺑﺎ 1ﻗﺮار ﺑﺪﻳﺪ. ﮔﺮﻓﺘﻦ و اﺟﺮا ﮐﺮدن اﯾﻦ ﺑﺮﻧﺎﻣﻪ .وﻗﺘﯽ ﺑﺮﻧﺎﻣﻪ را اﺟﺮا ﮐﺮدﯾﺪ ﺑﻪ اﺧﻄﺎر دادﻩ ﺷﺪﻩ ﺗﻮﺟﻬﯽ ﻧﮑﻨﻴﺪ و روﯼ okﮐﻠﻴﮏ ﮐﻨﻴﺪ.
http://mehdipeivandi.persiangig.com/applications/OPEN1_repair.zip
روﺷﯽ ﺑﺴﻴﺎر ﻣﻔﻴﺪ و ﺑﺴﻴﺎر ﻣﻬﻢ ﺑﺮاﯼ رﻓﻊ ﺗﻤﺎﻣﯽ ﻣﺸﮑﻼت اﯾﻦ ﻓﺎﯾﻞ batchﯾﮑﯽ از ﺑﻬﺘﺮﯾﻦ روﺷﻬﺎ ﺑﺮاﯼ از ﺑﻴﻦ ﺑﺮدن ﺗﻤﺎﻣﯽ وﯾﺮوﺳﻬﺎ و هﻤﭽﻨﻴﻦ از ﺑﻴﻦ ﺑﺮدن وﯾﺮوس autoran.infو هﻤﭽﻨﻴﻦ ﻓﻌﺎل ﮐﺮدن ﮔﺰﯾﻨﻪ Show hidden filesﻣﯽ ﺑﺎﺷﺪ .ﭘﻴﺸﻨﻬﺎد ﻣﯽ ﮐﻨﻢ ﺣﺘﻤﺎ اﯾﻦ ﻓﺎﯾﻞ را ﮐﻪ ﺣﺠﻤﯽ ﻧﺪارد را داﻧﻠﻮد ﮐﻨﻴﺪ و ﺑﻌﺪ هﻢ اﺟﺮا ﮐﻨﻴﺪ. اﺑﺘﺪا ﻓﺎﯾﻞ زﯾﺮ را داﻧﻠﻮد ﮐﻨﻴﺪ و ان ار ﺗﻮﯼ دﺳﮑﺘﺎپ ذﺧﻴﺮﻩ ﮐﻨﻴﺪ و ﺑﻌﺪ هﻢ ﻓﻘﻂ ﮐﺎﻓﯽ روﯼ اون ﮐﻠﻴﮏ ﮐﻨﻴﺪ ﺗﺎ اﺟﺮا ﺷﻮد .ﺑﻌﺪ از اﺟﺮا ﺷﺪن هﺮ ﺟﺎ از ﺷﻤﺎ ﺳﻮال ﭘﺮﺳﻴﺪ ﺷﻤﺎ ﮐﻠﻴﺪ Yرا ﺑﺰﻧﻴﺪ و ﺑﻌﺪ هﻢ اﯾﻨﺘﺮ را ﺑﺰﻧﻴﺪ در اﺧﺮ ﺗﻤﺎم اﯾﮑﻮﻧﻬﺎﯼ دﺳﮑﺘﺎپ ﺷﻤﺎ ﻧﺎﭘﺪﯾﺪ ﺧﻮاهﺪ ﺷﺪ. در اﯾﻦ ﺣﺎﻟﺖ ﮐﻠﻴﺪ هﺎﯼ ﺗﺮﮐﻴﺒﯽ CTRL + ALT + DELETEرا ﺑﺰﻧﻴﺪ ﺗﺎ ﭘﻨﺠﺮﻩ task managerﺑﺎز ﺑﺸﻪ و ﺑﻌﺪ از ﺑﺎز ﺷﺪن ﺗﺴﮏ ﻣﻨﺠﺮ ﺑﻪ ﻣﻨﻮﯼ shut down ﺑﺮﯾﺪ و ﮔﺰﯾﻨﻪ log offرا اﻧﺘﺨﺎب ﮐﻨﻴﺪ ﺑﻌﺪ از ﻻگ اف ﺷﺪن وارد ﺳﻴﺘﺴﻢ ﺷﻮﯾﺪ .
http://mahdi7610.parsaspace.com/autorun.rar
راهﻬﺎﯼ دﺳﺘﯽ ﺑﺮاﯼ ﺑﺮﮔﺮداﻧﺪن ﻗﺴﻤﺘﻬﺎﯼ ﺣﺬف ﺷﺪﻩ از ﺳﻴﺴﺘﻢ ﺷﻤﺎ. ﻓﻌﺎل ﺳﺎﺧﺘﻦ( Registry ( Regedit : روش اول: اﺑﺘﺪا وارد ﻣﻨﻮﯼ startﺷﺪﻩ و روﯼ ﮔﺰﯾﻨﻪ runﮐﻠﻴﮏ ﮐﻨﻴﺪ و ﮐﻠﻤﻪ gpedit.mscرا ﺗﺎﯾﭗ ﮐﻨﻴﺪ. در ﺻﻔﺤﻪ Group Policyﺑﻪ ﻣﺴﻴﺮ ﭘﺎﯾﻴﻦ ﺑﺮوﯾﺪ: User Configuration> Administrative Templates> System ﺑﻌﺪ از ﮐﻠﻴﮏ ﻧﻤﻮدن ﺑﺮوﯼ Systemدر ﺳﻤﺖ راﺳﺖ ﭘﻨﺠﺮﻩ Group Policyﺑﺎﻻﯼ Prevent access to registry editing toolsداﺑﻞ ﮐﻠﻴﮏ ﻧﻤﻮدﻩ و در ﺗﺐ Settingﮔﺰﯾﻨﻪ Disableرا ﻋﻼﻣﺖ دار ﻧﻤﻮدﻩ و ﺑﺎﻻﯼ ﮐﻠﻴﺪ OKﮐﻠﻴﮏ ﻧﻤﺎﯾﻴﺪ اﻣﺎ ﭘﻨﺠﺮﻩ Group Policyرا ﻧﺒﻨﺪﯾﺪ! ﺣﺎﻻ Regeditﻓﻌﺎل ﺷﺪﻩ اﺳﺖ و ﺷﻤﺎ ﻣﻴﺘﻮاﻧﻴﺪ واردش ﺷﻮﯾﺪ. روش دوم: ﻣﺴﻴﺮ زﯾﺮ را داﺧﻞ note padﮐﭙﯽ ﮐﺮدﻩ و ﺳﭙﺲ ﺑﺎ ﻧﺎم Regedit.regذﺧﻴﺮﻩ ﮐﻨﻴﺪ و ﺑﻌﺪ ان را اﺟﺮا ﮐﻨﻴﺪ. ﮐﺪ:
Windows Registry Editor Version 5.00 REG add HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableRegistryTools /t REG_DWORD /d 0 /f
ﺑﺮﮔﺮداﻧﺪنRun : در ﺻﻔﺤﻪ Group Policyﺑﻪ ﻣﺴﻴﺮ ﭘﺎﯾﻴﻦ ﺑﺮوﯾﺪ: User Configuration> Administrative Templates> Start Menu and Taskbar ﺑﻌﺪ از ﮐﻠﻴﮏ ﻧﻤﻮدن ﺑﺮوﯼ ، Start Menu and Taskbarدر ﺳﻤﺖ راﺳﺖ ﭘﻨﺠﺮﻩ Group Policyﺑﺮوﯼ ﮔﺰﯾﻨﻪ Remove Run menu from Start Menuداﺑﻞ ﮐﻠﻴﮏ ﻧﻤﻮدﻩ و در ﺗﺐ Settingﮔﺰﯾﻨﻪ Disableرا ﻋﻼﻣﺖ دار ﻧﻤﺎﯾﻴﺪ .ﺣﺎﻻ ﮔﺰﯾﻨﻪ Runﻓﻌﺎل ﺷﺪﻩ اﺳﺖ.
ﺑﺮﮔﺮداﻧﺪنFolder Option : ﺑﺮاﯼ ﺑﺮﮔﺮداﻧﺪن Folder Optionﺑﻪ ﻣﺴﻴﺮ زﯾﺮ در ﭘﻨﺠﺮﻩ Group Policyﺑﺮوﯾﺪ: User Configuration> Administrative Templates> Windows Components> Windows Explorer ﺑﻌﺪ از ﮐﻠﻴﮏ ﻧﻤﻮدن ﺑﺮوﯼ ، Windows Explorerدر ﺳﻤﺖ راﺳﺖ ﭘﻨﺠﺮﻩ Group Policyﺑﺮوﯼ Removes the Folder Options menu item from the Tools menuداﺑﻞ ﮐﻠﻴﮏ ﻧﻤﻮدﻩ و از ﺗﺐ Settingﮔﺰﯾﻨﻪ Disableرا ﻋﻼﻣﺖ دار ﻧﻤﺎﯾﻴﺪ و ﺑﺮوﯼ ﮐﻠﻴﺪ OKﮐﻠﻴﮏ ﻧﻤﺎﯾﻴﺪ .
task manager ﻓﻌﺎل ﮐﺮدن : را ﺗﺎﯾﭗ ﻧﻤﻮدﻩ و اﯾﻨﺘﺮ ﮐﻦ و ﺳﭙﺲ ﺑﻪ ﻣﺴﻴﺮ ﭘﺎﯾﻴﻦ ﺑﺮوGpedit.msc ﻋﺒﺎرتRun در ﮐﺎدر ﻣﺤﺎوروﯼTask Manager ﺑﺮاﯼ ﻓﻌﺎل ﺳﺎﺧﺘﻦ User Configuration > Administrative Templates > System داﺑﻞRemove Task Manager ﺑﺮوﯼGroup Policy ﮐﻠﻴﮏ ﮐﻦ و ﺳﭙﺲ در ﺳﻤﺖ راﺳﺖ ﺻﻔﺤﻪCtr + Alt + Del ﺑﺮوﯼSystem ﺣﺎﻻ در زﯾﺮ ﺷﺎﺧﻪ . را ﺑﺒﻨﺪGroup Policy ﮐﻠﻴﮏ ﻧﻤﻮدﻩ و ﭘﻨﺠﺮﻩOK ﺑﻌﺪ از ﺁن ﺑﺮوﯼ ﮐﻠﻴﺪ. را ﻋﻼﻣﺖ دار ﮐﻦDisable ﮐﺰﯾﻨﻪSetting ﮐﻠﻴﮏ ﻧﻤﻮدﻩ و در ﺗﺐ :روش دوم . ذﺧﻴﺮﻩ ﮐﻨﻴﺪ و ﺑﻌﺪ ان را اﺟﺮا ﮐﻨﻴﺪtask manager.reg ﮐﭙﯽ ﮐﺮدﻩ و ﺳﭙﺲ ﺑﺎ ﻧﺎمnote pad ﻣﺴﻴﺮ زﯾﺮ را داﺧﻞ :ﮐﺪ
Windows Registry Editor Version 5.00 REG add HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableTaskMgr /t REG_DWORD /d 0 /f
اﺳﺘﻔﺎدﻩ از ﺑﺮﻧﺎﻣﻪ اﯼ ﮐﻪ در زﻳﺮ ﺑﺮاﯼ ﺷﻤﺎ ﻣﻌﺮﻓﯽ ﮐﺮدﻩ ام .اﯾﻦ ﺑﺮﻧﺎﻣﻪ ﻗﺎدر ﺑﻪ اﻧﺠﺎم ﮐﺎرهﺎﯼ زﯾﺮ ﻣﯽ ﺑﺎﺷﺪ SVCHOST.ini وSCVHOST.exe وmdm.exe وravmon.exe از ﺑﻴﻦ ﺑﺮدن وﻳﺮوس هﺎي ﻓﻌﺎل ﮐﺮدن ﻗﺴﻤﺘﻬﺎي زﻳﺮ NoFolderOptions, NoControlPanel, DisableTaskMgr, DisableRegistryTools, DisableCMD و ﺑﻪ ﺣﺎﻟﺖ ﭘﻴﺶ ﻓﺮض ﺑﺮﮔﺮداﻧﺪن ﻗﺴﻤﺘﻬﺎي زﻳﺮ :ﮐﺪ
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN] “CheckedValue”=dword:00000002 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN] “DefaultValue”=dword:00000002 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\C urrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] “CheckedValue”=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] “DefaultValue”=dword:00000002 http://javedkhalil.com/techBlog/wp-content/uploads/2007/11/ravmon-removal.rar .ﺑﻌﺪ از اﺟﺮا ﮐﺮدن ﺑﺮﻧﺎﻣﻪ ﺳﻴﺴﺘﻢ ﺧﻮد را رﯾﺴﺘﺎرت ﮐﻨﻴﺪ
( ﻣﯽ ﮐﻨﺪSuper Hidden ) ﭘﺎﮎ ﮐﺮدن ﺑﺮﻧﺎﻣﻪ ﯼ ﻣﺨﺮﺑﯽ ﮐﻪ ﭘﻮﺷﻪ هﺎ را ﻣﺨﻔﯽ . اﺳﺖTrojan.Win32.Delf.aam ﻧﺎم دﻗﻴﻖ اﯾﻦ ﺑﺮﻧﺎﻣﻪ ﯼ ﻣﺨﺮب . ﻧﻮﺷﺘﻪ ﺷﺪﻩBorland Delphi ﺑﺎ زﺑﺎن ﺑﺮﻧﺎﻣﻪ ﻧﻮﯾﺴﯽ ! ﯾﮏ ﭘﻮﺷﻪ اﺳﺖ...... ﺷﺒﻴﻪ ﺁﯼBronTok.A وNew Folder.exe ﻣﺎﻧﻨﺪ ﮐﺮم هﺎﯼMalware * اﯾﻦ......ﺁﯼ .ﺑﻨﺎﺑﺮاﯾﻦ ﺑﻪ ﺳﺮﻋﺖ ﻣﻨﺘﺸﺮ ﻣﯽ ﺷﻮد
اﯾﻦ ﺑﺮﻧﺎﻣﻪ ﯼ ﻣﺨﺮب ﺗﻤﺎم ﭘﻮﺷﻪ هﺎﯼ Openﺷﺪﻩ ﺗﻮﺳﻂ ﻗﺮﺑﺎﻧﯽ را Super Hiddenﻣﯽ ﮐﻨﺪ و ﯾﮏ ﻧﺴﺨﻪ از ﺧﻮدش را ﺑﺎ هﻤﺎن ﻧﺎم در هﻤﺎن ﻣـﺴـﻴـﺮ ﮐـﭙـﯽ ﻣﯽ ﮐـﻨـﺪ ﮐـﻪ اﮔـﺮ * Victimﺁن را اﺟﺮا ﮐـﻨـﺪ هﻢ Malwareاﺟﺮا ﻣﯽ ﺷـﻮد و هﻢ ﻣﺤـﺘـﻮﯼ ﭘﻮﺷـﻪ ﯼ Super Hiddenﻧﻤﺎﯾـﺶ دادﻩ ﻣﯽ ﺷﻮد!! ﯾﻌﻨﯽ اﮔﻪ Victimﻣﺒﺘﺪﯼ ﺑﺎﺷﻪ ﺑﻪ زودﯼ ﻣﺘﻮﺟﻪ ﻧﻤﻴﺸﻪ ﮐﻪ ﭼﻪ ﺑﻼﯾﯽ دارﻩ ﺳﺮ ﭘﻮﺷﻪ هﺎش ﻣﻴﺎد! هــﻤــﺎﻧــﻄـــﻮر ﮐـﻪ ﻣﯽ داﻧـﻴــﺪ ﺑﺮاﯼ ﺁﺷـﮑﺎر ﮐـﺮدن ﻓﺎﯾـﻞ هﺎ و ﭘﻮﺷـﻪ هﺎﯼ Super Hiddenﺑﺎﯾﺪ اﺑﺘﺪا در Folder Options\Viewروﯼ ﮔﺰﯾﻨﻪ ﯼ Show hidden files and foldersﮐﻠﻴﮏ ﮐﻨﻴﺪ و ﭘﺲ از ﺁن ﺗﻴﮏ ﮔﺰﯾﻨﻪ ﯼ (Hide protected operating system files (Recommendedرا ﺑﺮدارﯾﺪ و ﺑﻪ ﭘﻴﻐﺎم اﻣﻨﻴﺘﯽ ﭘﺎﺳﺦ ﻣﺜﺒﺖ و ﺷﺴﺘﯽ OKرا ﻓﺸﺎر دهﻴﺪ. اﯾﻦ Malwareﺑﻪ Victimاﺟﺎزﻩ ﯼ ﺁﺷﮑﺎر ﮐﺮدن ﭘﻮﺷﻪ هﺎ و ﻓﺎﯾﻞ هﺎﯼ Super Hiddenرا ﻧﻤﯽ دهﺪ! ﺿﻤﻨﺎ Windows Task Manager ، Registry Toolsو Folder Optionsرا Disableﻧﻤﯽ ﮐﻨﺪ. ﭘﺮ واﺿﺢ اﺳﺖ ﮐﻪ اﯾﻦ ﺑﺮﻧﺎﻣﻪ ﯼ ﻣﺨﺮب از ﺁﺷﮑﺎر ﮐﺮدن ﭘﺴﻮﻧﺪ ﻓﺎﯾﻞ هﺎ هﻢ ﺟﻠﻮﮔﻴﺮﯼ ﻣﯽ ﮐﻨﻪ! ﺑﺮاﯼ ﭘﺎﮎ ﮐﺮدن اﯾﻦ وﯾﺮوس ﻣﯽ ﺗﻮاﻧﻴﺪ از ﺑﺮﻧﺎﻣﻪ اﯼ ﮐﻪ ﻧﻮﺷﺘﻢ اﺳﺘﻔﺎدﻩ ﮐﻨﻴﺪ.
http://feng1.persiangig.com/Programs/Anti%20T.Delf.aam.7z
ﻧﺤﻮﻩ ﭘﺎﮎ ﮐﺮدن وﻳﺮوسW32/Saldost اﯾﻦ ﺑﺪاﻓﺰار اﯾﻨﺘﺮﻧﺘﯽ ﭘﺲ از اﺟﺮاﯼ ﻓﺎﯾﻞ ﺁن ﺑﺮ روﯼ ﺳﻴﺴﺘﻢ آﺎرﺑﺮ ،اﺑﺘﺪا ﺧﻮدش را ﺑﺮ روﯼ ﺳﻴﺴﺘﻢ آﭙﯽ ﻣﯽآﻨﺪ و ﺳﭙﺲ ﺑﺎ ﺗﻐﻴﻴﺮ دادن آﻠﻴﺪهﺎﯾﯽ در رﺟﻴﺴﺘﺮﯼ ﺑﺎﻋﺚ ﺑﺮوز ﻣﺸﻜﻼﺗﯽ از ﺟﻤﻠﻪ ﺑﺎز ﻧﺸﺪن Folder Optionو ﻣﺨﻔﯽ ﻧﮕﻪ داﺷﺘﻦ ﻓﺎﯾﻞهﺎﯼ ﻣﺨﻔﯽ ﻣﯽﺷﻮد. از ﺟﻤﻠﻪ آﺎرهﺎﯼ دﯾﮕﺮ اﯾﻦ وﯾﺮوس اﯾﻦ اﺳﺖ آﻪ ﺧﻮدش را در رﯾﺸﻪ هﻤﻪ دراﯾﻮهﺎ ﺑﺎ ﻧﺎم autoply.exeآﭙﯽ آﺮدﻩ و در آﻨﺎر ﺁن ﻓﺎﯾﻠﯽ ﺑﺎ ﻧﺎم Autorun.infاﯾﺠﺎد ﻣﯽآﻨﺪ. اﯾﻦ ﻋﻤﻞ ﺑﺎﻋﺚ ﻣﯽﺷﻮد آﻪ هﺮ ﮔﺎﻩ آﺎرﺑﺮ ﺑﺨﻮاهﺪ ﺑﻪ هﺮ ﺷﻜﻠﯽ وارد هﺮ دراﯾﻮﯼ ﺷﻮد ،ﻓﺎﯾﻞ ﻣﺮﺑﻮط ﺑﻪ آﺮم اﺟﺮا ﮔﺮدد. ﻧﻮع Autorunاﯾﺠﺎد ﺷﺪﻩ ﺑﻪ ﮔﻮﻧﻪاﯼ اﺳﺖ آﻪ اﮔﺮ ﻓﺎﯾﻞ autoply.exeآﻪ ﺧﻮد آﺮم اﺳﺖ از روﯼ ﺳﻴﺴﺘﻢ ﭘﺎك ﺷﺪﻩ وﻟﯽ ﻓﺎﯾﻞ Autorun.infﺑﺎﻗﯽ ﺑﻤﺎﻧﺪ، ﺑﺎ دوﺑﺎر آﻠﻴﻚ آﺮدن ﺑﺮ روﯼ ﻧﺎم دراﯾﻮ ﭘﻨﺠﺮﻩ Open withﻧﻤﺎﯾﺶ دادﻩ ﻣﯽﺷﻮد و آﺎرﺑﺮ ﻧﻤﯽﺗﻮاﻧﺪ وارد دراﯾﻮ ﺷﻮد .در اﯾﻦ ﺣﺎﻟﺖ ﺑﺎ آﻠﻴﻚ راﺳﺖ ﻧﻤﻮدن ﺑﺮ روﯼ ﻧﺎم دراﯾﻮ و اﻧﺘﺨﺎب ﮔﺰﯾﻨﻪ “”openﻧﻴﺰ ﻧﻤﯽﺗﻮان وارد دراﯾﻮ ﺷﺪ
اﯾﻦ ﮐﺮم اﯾﻨﺘﺮﻧﺘﯽ اﯾﺮاﻧﯽ ﺑﻮدﻩ ﮐﻪ ﺗﻮﺳﻂ ﺿﺪوﯾﺮوس اﯾﻤﻦ ﺷﻨﺎﺳﺎﯾﯽ و ﭘﺎﮐﺴﺎزﯼ ﻣﯽ ﺷﻮد و ﭘﺲ از اﺟﺮاﯼ ﻓﺎﯾﻞ ﺁن ﺑﺮ روﯼ ﺳﻴﺴﺘﻢ ﮐﺎرﺑﺮ ،اﺑﺘﺪا ﺧﻮدش را ﺑﻪ ﺻﻮرت زﯾﺮ ﺑﺮ روﯼ ﺳﻴﺴﺘﻢ ﮐﭙﯽ ﻣﯽ ﻧﻤﺎﯾﺪ: ﮐﺪ:
%TEMP%\svchost.exe
%PROGRAMFILES%\Sound Utility\Soundmax.exe %PROGRAMFILES%\Common Files\Microsoft Shared\MSshare.exe %WINDIR%\Web\OfficeUpdate.exe ، را اﺟﺮا ﮐﺮدﻩ و ﺑﺮاﯼ اﯾﻦ ﮐﻪ ﺑﺎ هﺮ ﺑﺎر راﻩ اﻧﺪازﯼ ﺳﻴﺴﺘﻢ ﺁﻟﻮدﻩ ﺑﻪ ﻃﻮر ﺧﻮد ﮐﺎر اﺟﺮا ﮔﺮدد%TEMP% در ﻣﺴﻴﺮsvchost.exe ﺳﭙﺲ ﻓﺎﯾﻞ ﺧﻮد ﺑﺎ ﻧﺎم :ﺧﻮد را ﺑﻪ ﺷﮑﻞ زﯾﺮ در رﺟﻴﺴﺘﺮﯼ ﺛﺒﺖ ﻣﯽ ﻧﻤﺎﯾﺪ :ﮐﺪ
HKLM\SOFTWARE\Microsoft\Windows\CurrentVe rsion\Run SoundMax = %PROGRAMFILES%\Sound Utility\Soundmax.exe :ﺳﭙﺲ ﮐﻠﻴﺪهﺎﯼ در رﺟﻴﺴﺘﺮﯼ را ﺑﻪ ﺷﮑﻞ زﯾﺮ ﺗﻐﻴﻴﺮ ﻣﯽ دهﺪ :ﮐﺪ
HKCU\Software\Microsoft\Windows\Curr entVersion\Explorer\Advanced Hidden = ٢ HideFileExt = ٢ ShowSuperHidde n = ٢ HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer Nof olderoptions = ٢ HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\E xplorer Nofolderoptions = ١ HKLM\SOFTWARE\Policies\Microsoft\Windows NT\ SystemRestore DisableConfig = ١ DisableSR = ١ و ﻣﺨﻔﯽ ﻧﮕﻪ داﺷﺘﻦ ﻓﺎﯾﻠﻬﺎﯼ ﻣﺨﻔﯽ ﻣﯽ ﮔﺮدد ﮐﻪ ﺑﺮاﯼ ﺑﺮﻃﺮف ﮐﺮدن اﯾﻦFolderOption ﺗﻐﻴﻴﺮات ﻓﻮق ﺑﺎﻋﺚ ﺑﺮوز ﻣﺸﮑﻼﺗﯽ از ﺟﻤﻠﻪ ﺑﺎز ﻧﺸﺪن :ﻣﺸﮑﻼت ﻣﯽ ﺗﻮاﻧﻴﺪ ﺑﺮﻧﺎﻣﻪ زﯾﺮ را از ﺳﺎﯾﺖ اﯾﻤﻦ داﻧﻠﻮد ﮐﺮدﻩ و ر ﺟﻴﺴﺘﺮﯼ ﺧﻮد را ﭘﺎﮐﺴﺎزﯼ ﻧﻤﺎﯾﻴﺪ
http://www.imenantivirus.com/RegRepair.zip : را از ﻣﺴﻴﺮهﺎﯼ زﯾﺮ در رﺟﻴﺴﺘﺮﯼ ﭘﺎﮎ ﻣﯽ ﮐﻨﺪIsShortCut هﻤﭽﻨﻴﻦ ﮐﻠﻴﺪ :ﮐﺪ
HKEY_CLASSES_ROOT\lnkfile HKEY_CLASSES_ROOT\piffile HKEY_CLASSES_ROOT\InternetShortcut و ﮐﻠﻴﺪی ﺑﺎ ﻧﺎمWintek در ﻣﺴﻴﺮ زﻳﺮ اﻳﺠﺎد ﻣﯽ ﮐﻨﺪ: HKEY_CURRENT_USER\Software \ و ﮐﻠﻴﺪ زﻳﺮ را در ﺁن اﻳﺠﺎد ﻣﯽ ﳕﺎﻳﺪ: Install = b٢ed٣ (Dword - Value i s in hex) را ﭘﺎ ﮎ ﮐﺮدﻩ و ﺑﺎ اﺳﺘﻔﺎدﻩ از زﻣﺎﻧﺒﻨﺪ وﯾﻨﺪوز ﻓﺎﯾﻞ ﺧﻮد را ﮐﻪ ﺑﺎ ﻧﺎمat) ﺑﻌﺪ از اﻧﺠﺎم ﮐﺎرهﺎﯼ ﻓﻮق ﺗﻤﺎم ﺑﺮﻧﺎﻣﻪ هﺎﯼ ﻣﻮﺟﻮد در زﻣﺎﻧﺒﻨﺪ وﯾﻨﺪوز )دﺳﺘﻮر . اﺟﺮا ﻣﯽ ﻧﻤﺎﯾﺪ٢٠:٣٠ و١١:٣٠ وﺟﻮد دارد هﺮ روز در ﺳﺎﻋﺎتWINDIR%\Web% در ﻣﺴﻴﺮOfficeUpdate.exe ﯾﮑﯽ دﯾﮕﺮ از ﮐﺎرهﺎﯼ اﯾﻦ ﮐﺮم اﯾﻦ اﺳﺖ ﮐﻪ ﺧﻮد را در ﻣﺴﻴﺮهﺎﯼ زﯾﺮ ﺑﺎ ﻧﺎم هﺎﯼ ﻓﺮﯾﺒﻨﺪﻩ ﮐﭙﯽ ﻣﯽ ﮐﻨﺪ و از ﺁﻧﺠﺎﯾﯽ ﮐﻪ ﺑﺮﺧﯽ از اﯾﻦ ﻣﺴﻴﺮهﺎ ﻣﺨﺼﻮص : ﺑﺎ اﯾﻦ ﮐﺎر اﻣﮑﺎن اﻧﺘﺸﺎر ﺁن در ﺳﺮاﺳﺮ دﻧﻴﺎ از ﻃﺮﯾﻖ اﯾﻨﮕﻮﻧﻪ ﺑﺮﻧﺎﻣﻪ هﺎ ﻓﺮاهﻢ ﻣﯽ ﮔﺮدد،هﺴﺘﻨﺪP) ٢ Pﺑﺮﻧﺎﻣﻪ هﺎ ﯼ ﺷﺒﮑﻪ هﺎﯼ اﺷﺘﺮاﮎ ﮔﺬارﯼ ﻓﺎﯾﻞ )ﯾﺎ :ﮐﺪ
%PROGRAMFILES%\Kazaa Lite \My Shared Folder\ %PROGRAMFILES%\Kazaa\My Shared Folder\ %PROGRAMFILES%\I cq\Shared Files\ %PROGRAMFILES%\emule\incoming\ %PROGRAMFILES%\Gnucleus\Do wnloads\Incoming\
\%PROGRAMFILES%\KMD\My Shared Folder \%PROGRAMFILES%\Lime wire\Shared \%PROGRAMFILES%\XPCode \C:\Inetpub\ftproot ﺑﻪ ﻋﻼوﻩ در ﻣﺴﻴﺮهﺎﯾﯽ ﮐﻪ در ﺁﻧﻬﺎ ﻓﺎﯾﻞ هﺎﯼ از ﻧﻮع JPG ، ٣ MPﯾﺎ EXEوﺟﻮد داﺷﺘﻪ ﺑﺎﺷﺪ ،ﺧﻮد را ﺑﺎ ﻧﺎم zfile.exeﮐﭙﯽ ﻣﯽ ﮐﻨﺪ .هﻤﭽﻨﻴﻦ ﺧﻮد را ﺑﺎ ﻧﺎم setup.exeو setlib.exeدر ﻣﺴﻴﺮهﺎﯼ زﯾﺮ ﮐﭙﯽ ﻣﯽ ﮐﻨﺪ: ﮐﺪ:
\\WINDOWS\system٣٢\config\systemprofile\My Documents \\WINDOWS\system٣٢\config\systemprofile\Start Menu\Programs \\WINDOWS\system٣٢\config\systemprofile\Start Menu\Programs\Accessories \WINDOWS\system٣٢\ config\systemprofile\Start \Menu\Programs\Accessories\Entertainment …\WINDOWS\system٣٢\config\systemprofile\Start Menu\Programs\Startup \\WINDOWS\system٣٢\drivers \\WINDOWS\system٣٢\spool\drivers \\WINDOWS\system٣٢\spool\drivers\w٣٢×٨۶\٣ اﻳﻦ آﺮم ﺑﺮاﯼ اﻳﻨﻜﻪ ﺑﺘﻮاﻧﺪ ﺧﻮد را درون ﺷﺒﻜﻪ ﺗﻜﺜﻴﺮ آﻨﺪ ،آﺎﻣﭙﻴﻮﺗﺮهﺎﯼ ﻣﻮﺟﻮد در ﺁن را ﺟﺴﺘﺠﻮ آﺮدﻩ و ﺑﺎ اﺳﺘﻔﺎدﻩ از دراﻳﻮهﺎﯼ ﺑﻪ اﺷﺘﺮاك ﮔﺬاﺷﺘﻪ ﺷﺪﻩ، ﺳﻌﯽ ﻣﯽآﻨﺪ ﺧﻮدش را ﺑﻪ ﺷﻜﻞ زﻳﺮ ﺑﺮ روﯼ ﺁن ﺳﻴﺴﺘﻢهﺎ آﭙﯽ آﻨﺪ: ﮐﺪ:
C$\Documents and Settings\All Users\Start Menu\Programs\Startup\AdobeUpdate.exe اﻳﻦ آﺎر ﺑﺎﻋﺚ ﻣﯽﺷﻮد آﻪ ﭘﺲ از راﻩاﻧﺪازﯼ ﺁن ﺳﻴﺴﺘﻢهﺎ ،وﻳﺮوس ﺑﻪ ﻃﻮر ﺧﻮدآﺎر اﺟﺮا ﺷﺪﻩ و ﻋﻤﻠﻴﺎت ﺗﻜﺜﻴﺮﯼ ﺧﻮد را ﺑﺮ روﯼ ﺁﻧﻬﺎ اﻧﺠﺎم دهﺪ. از ﺟﻤﻠﻪ آﺎرهﺎﯼ ﺟﺎﻟﺐ اﻳﻦ وﻳﺮوس اﻳﻦ اﺳﺖ آﻪ ﺧﻮدش را در رﻳﺸﻪ هﻤﻪ دراﻳﻮهﺎ ﺑﺎ ﻧﺎم autoply.exeآﭙﯽ آﺮدﻩ و در آﻨﺎر ﺁن ﻓﺎﻳﻠﯽ ﺑﺎ ﻧﺎم Autorun.inf اﻳﺠﺎد ﻣﯽآﻨﺪ. اﻳﻦ ﻋﻤﻞ ﺑﺎﻋﺚ ﻣﯽﺷﻮد آﻪ هﺮ ﮔﺎﻩ آﺎرﺑﺮ ﺑﺨﻮاهﺪ ﺑﻪ هﺮ ﺷﮑﻠﯽ وارد هﺮ دراﻳﻮﯼ ﺷﻮد ،ﻓﺎﻳﻞ ﻣﺮﺑﻮط ﺑﻪ آﺮم اﺟﺮا ﮔﺮدد. ﻧﻮع Autorunاﻳﺠﺎد ﺷﺪﻩ ﺑﻪ ﮔﻮﻧﻪاﻳﺴﺖ آﻪ اﮔﺮ ﻓﺎﻳﻞ autoply.exeآﻪ ﺧﻮد آﺮم اﺳﺖ از روﯼ ﺳﻴﺴﺘﻢ ﭘﺎك ﺷﺪﻩ وﻟﯽ ﻓﺎﻳﻞ Autorun.infﺑﺎﻗﯽ ﺑﻤﺎﻧﺪ ،ﺑﺎ دوﺑﺎر آﻠﻴﻚ آﺮدن ﺑﺮ روﯼ ﻧﺎم دراﻳﻮ ﭘﻨﺠﺮﻩ Open withﻧﻤﺎﻳﺶ دادﻩ ﻣﯽﺷﻮد و آﺎرﺑﺮ ﻧﻤﯽﺗﻮاﻧﺪ وارد دراﻳﻮ ﺷﻮد .در اﻳﻦ ﺣﺎﻟﺖ ﺑﺎ آﻠﻴﻚ راﺳﺖ ﻧﻤﻮدن ﺑﺮ روﯼ ﻧﺎم دراﻳﻮ و اﻧﺘﺨﺎب ﮔﺰﻳﻨﻪ Openﻧﻴﺰ ﻧﻤﯽﺗﻮان وارد دراﻳﻮ ﺷﺪ .ﺑﺮاﯼ ﺑﺮﻃﺮف ﻧﻤﻮدن اﻳﻦ ﻣﺸﻜﻞ ﺑﺎﻳﺴﺘﯽ ﻓﺎﻳﻞ زﻳﺮ را از روﯼ ﺳﺎﻳﺖ اﻳﻤﻦ داﻧﻠﻮد ﻧﻤﻮدﻩ و ﺁن را ﺑﺮ روﯼ ﺳﻴﺴﺘﻢ ﺧﻮد اﺟﺮا ﻧﻤﺎﻳﻴﺪ:
http://www.imenantivirus.com/NoAutorun.zip
اﻳﻦ آﺮم ﻓﺎﻳﻠﯽ ﺑﺎ ﻧﺎم Important.htmرا در ﻣﺴﻴﺮهﺎﯼ زﻳﺮ ﺑﺮ روﯼ ﺳﻴﺴﺘﻢ آﺎرﺑﺮ ﮐﭙﯽ ﻣﯽﻧﻤﺎﻳﺪ آﻪ ﺣﺎوﯼ ﺟﻤﻼﺗﯽ ﺑﻪ زﺑﺎن ﻓﺎرﺳﯽ اﺳﺖ: ﮐﺪ:
\%USERPROFILE%\Desktop \%USERPROFILE%\My Documents ﯾﮑﯽ از ﻧﺸﺎﻧﻪهﺎﯼ وﯾﺮوس ﺑﻪ ﻧﻤﺎﻳﺶ درﺁوردن ﻧﻮارﯼ زرد رﻧﮓ در ﺑﺎﻻﯼ ﺻﻔﺤﻪ هﻤﺮاﻩ ﺑﺎ ﺟﻤﻼﺗﯽ ﻓﺎرﺳﯽ ﺑﺎ رﻧﮓ ﻗﺮﻣﺰ اﺳﺖ
ﻣﻌﺮﻓﯽ ﺑﺮﻧﺎﻣﻪSmitFraudFix SmitFraudFixاﺑﺰارﯼ اﺳﺖ ﺑﺮاﯼ از ﺑﻴﻦ ﺑﺮدن وﯾﺮوﺳﻬﺎﯼ ﻣﺎﻧﻨﺪ adwareو malwareو ﺗﺮوﺟﺎن و ﭘﺎﮐﺴﺎزﯼ رﺟﻴﺴﺘﺮﯼ اﺑﺘﺪا ﺑﺮﻧﺎﻣﻪ را از ﻟﻴﻨﮏ زﯾﺮ داﻧﻠﻮد ﮐﻨﻴﺪ .و ان را روﯼ دﺳﮑﺘﺎپ ﻗﺮار ﺑﺪﯾﺪ.
http://siri.urz.free.fr/Fix/SmitfraudFix.exe ﮐﺎﻣﭙﻴﻮﺗﺮ را در ﺣﺎﻟﺖ safe modeراﻩ اﻧﺪازﯼ ﮐﻨﻴﺪ ﺑﺮاﯼ اﯾﻦ ﮐﺎر ﺳﻴﺴﺘﻢ را رﯾﺴﺘﺎرت ﮐﻨﻴﺪ و ﻗﺒﻞ از ﺑﺎﻻ اﻣﺪن وﯾﻨﺪوز ﮐﻠﻴﺪ F8را ﭼﻨﺪ ﻣﺮﺗﺒﻪ ﭘﺸﺖ ﺳﺮ هﻢ ﺑﺰﻧﻴﺪ. از ﺻﻔﺤﻪ ﺑﺎز ﺷﺪﻩ ﮔﺰﯾﻨﻪ safe modeرا اﻧﺘﺨﺎب ﮐﻨﻴﺪ .و ﺳﭙﺲ وارد ﯾﻮزر ﺧﻮدﺗﺎن ﺷﻮﯾﺪ. ﺑﺮﻧﺎﻣﻪ Smitfraudfix.exeرا اﺟﺮا ﮐﻨﻴﺪ .ﻣﻨﺘﻈﺮ ﺑﻤﺎﻧﻴﺪ ﺗﺎ ﺻﻔﺤﻪ زﯾﺮ ﻇﺎهﺮ ﺷﻮد
ﺳﭙﺲ ﯾﮑﯽ از ﮐﻠﻴﺪ هﺎﯼ روﯼ ﺻﻔﺤﻪ ﮐﻠﻴﺪ را ﻓﺸﺎر دهﻴﺪ ﺗﺎ ﺻﻔﺤﻪ زﯾﺮ ﻇﺎهﺮ ﺷﻮد.
ﻋﺪد 2را اﻧﺘﺨﺎب ﮐﻨﻴﺪ ﯾﻌﻨﯽ Clean (SafeMode Recommended)0و ﺳﭙﺲ ﮐﻠﻴﺪ اﯾﻨﺘﺮ را ﺑﺰﻧﻴﺪ ﺑﺎ اﯾﻦ ﮐﺎر اﺳﮑﻦ ﮐﺮدن و cleanﮐﺮدن ﺳﻴﺴﺘﻢ اﻏﺎز ﻣﯽ ﺷﻮد. ﺑﻌﺪ از اﻧﺠﺎم اﯾﻦ ﻣﺮاﺣﻞ اﺑﺰار Disk Cleanup toolاﺟﺮا ﻣﯽ ﺷﻮد و ﻓﺎﯾﻠﻬﺎﯼ ﺑﯽ ﻣﺼﺮف را از روﯼ ﺳﻴﺴﺘﻢ ﭘﺎﮎ ﻣﯽ ﮐﻨﺪ .
ﺑﻌﺪ از Disc Cleanupﭘﻨﺠﺮﻩ زﯾﺮ ﻧﺸﺎن دادﻩ ﻣﯽ ﺷﻮد. Do you want to clean the registry؟ اﯾﺎ ﺷﻤﺎ ﻣﯽ ﺧﻮاهﻴﺪ ﭘﺎﮐﺴﺎزﯼ ﮐﻨﻴﺪ رﺟﻴﺴﺘﺮﯼ را :ﮐﻠﻴﺪ Yرا ﻓﺸﺎر دهﻴﺪ ﺗﺎ رﺟﻴﺴﺘﺮﯼ ﺑﺎزﺳﺎزﯼ ﺷﻮد. Replace infected file؟ اﯾﺎ ﺟﺎﯾﮕﺰﯾﻦ ﮐﻨﺪ ﻓﺎﯾﻠﻬﺎﯼ اﻟﻮدﻩ را ﮐﻪ ﺷﻤﺎ ﮐﻴﺪ Yرا ﻓﺸﺎر ﻣﯽ دهﻴﺪ. در اﯾﻦ هﻨﮕﺎم ﺳﻴﺴﺘﻢ اﺣﺘﻴﺎج ﺑﻪ ﯾﮑﺒﺎر راﻩ اﻧﺪازﯼ دارد .ﮐﻪ ﺳﻴﺴﺘﻢ ﺑﻪ ﻃﻮر اﺗﻮﻣﺎﺗﻴﮏ راﻩ اﻧﺪازﯼ ﻣﯽ ﺷﻮد . اﮔﺮ اﯾﻦ اﺗﻔﺎق ﻧﻴﻔﺘﺎد ﺷﻤﺎ ﺧﻮدﺗﺎن ﺑﻪ ﺻﻮرت دﺳﺘﯽ اﯾﻦ ﮐﺎر را اﻧﺠﺎم دهﻴﺪ .
در اﯾﻦ هﻨﮕﺎم ﻓﺎﯾﻠﯽ ﺑﻪ ﻧﺎم rapport.txtدر دراﯾﻮ cاﯾﺠﺎد ﻣﯽ ﺷﻮد ﮐﻪ ﮔﺰارﺷﺎﺗﯽ از ﮐﺎرهﺎﯼ اﻧﺠﺎم ﮔﺮﻓﺘﻪ را ﺑﻪ ﺷﻤﺎ ﻣﯽ دهﺪ. هﻤﭽﻨﻴﻦ اﯾﻦ اﺑﺰار ﻓﺎﯾﻞ هﺎﯼ wininet.dllرا ﻧﻴﺰ ﭼﮏ ﻣﻴﮑﻨﺪ ﻣﺒﺎدا اﻟﻮدﻩ ﺑﺎﺷﻨﺪ .
ﻧﺤﻮﻩ از ﺑﻴﻦ ﺑﺮدن ﺗﺮوﺟﺎن Win32/Agent.AECﻳﺎ وﻳﺮوس Soundmix.exe هﻤﻮن ﻃﻮر ﮐﻪ ﻣﻲ دوﻧﻴﺪ اﺧﻴﺮا وﻳﺮوﺳﻲ ﺑﻪ ﻧﺎم Soundmix.exeاﻧﺘﺸﺎر ﻳﺎﻓﺘﻪ و ﺑﺎﻋﺚ اﻟﻮدﻩ ﺷﺪن ﺑﺴﻴﺎري از ﺳﻴﺴﺘﻢ هﺎي ﺧﺎﻧﮕﻲ و ادارﻩ هﺎ ﺷﺪﻩ اﺳﺖ .ﻗﺼﺪ دارم در اﻳﻦ ﻗﺴﻤﺖ ﻧﺤﻮﻩ ﭘﺎﮎ ﮐﺮدن اﻳﻦ ﺗﺮوﺟﺎن را اﻣﻮزش دهﻢ. ﺷﺎﻳﻊ ﺗﺮﻳﻦ راﻩ اﻧﺘﻘﺎل اﻳﻦ وﻳﺮوس ﺣﺎﻓﻈﻪ هﺎي ﻓﻠﺶ ﻣﻲ ﺑﺎﺷﺪ .هﺮﭼﻨﺪ ﮐﻪ ﺑﺎز ﮐﺮدن ﺑﺮﺧﻲ ﺳﺎﻳﺖ هﺎي ﺁﻟﻮدﻩ ﻧﻴﺰ ﻣﻲ ﺗﻮاﻧﺪ اﻳﻦ وﻳﺮوس را در ﺳﻴﺴﺘﻢ ﻣﺴﺘﻘﺮ ﺳﺎزد اﻳﻦ وﻳﺮوس ﺑﺎ دﺳﺘﮑﺎري رﺟﻴﺴﺘﺮي ،هﺮ ﺑﺎر ﮐﻪ وﻳﻨﺪوز راﻩ اﻧﺪازي ﻣﻲ ﺷﻮد ﺧﻮد را اﺟﺮا ﻣﻲ ﮐﻨﺪ .ﺑﺎ اﺟﺮاي هﺮ ﻓﺎﻳﻞ اﺟﺮاﻳﻲ در وﻳﻨﺪوز ﻧﻴﺰ اﻳﻦ ﻓﺎﻳﻞ اﺟﺮا ﺧﻮاهﺪ ﺷﺪ و ﭘﺲ از اﺟﺮا Processesﺁن را ﺑﻪ هﻴﭻ ﻋﻨﻮان ﻧﻤﻲ ﺗﻮان ﺧﺎﺗﻤﻪ داد. اﻳﻦ وﻳﺮوس اﺟﺎزﻩ دﻳﺪن ﻓﺎﻳﻞ هﺎي ﭘﻨﻬﺎن را ﺑﻪ ﮐﺎرﺑﺮ ﻧﻤﻲ دهﺪ و ﻓﺎﻳﻞ هﺎﻳﻲ ﮐﻪ ﻣﺨﻔﻲ ﺷﻮﻧﺪ دﻳﮕﺮ ﻗﺎدر ﺑﻪ ﻣﺸﺎهﺪﻩ ﻧﺨﻮاهﻨﺪ ﺑﻮد .دﺳﺘﺮﺳﻲ ﺑﻪ ﺑﺮﺧﻲ ﺳﺎﻳﺖ هﺎ ﻣﻤﮑﻦ ﻧﻤﻲ ﺑﺎﺷﺪ و اﻳﻦ وﻳﺮوس ﺑﺎ اﺟﺮاي ﺧﻮد ﻣﻨﺠﺮ ﺑﻪ اﻳﺠﺎد ﺳﺮﺑﺎر روي ﺳﻴﺴﺘﻢ ،ﮐﻨﺪي دﺳﺘﮕﺎﻩ ،ﺑﺴﺘﻪ ﺷﺪن ﻧﺎﺧﻮاﺳﺘﻪ ﺑﺮﺧﻲ ﺑﺮﻧﺎﻣﻪ هﺎ و اﺣﻴﺎﻧﺎ ﺑﻮت ﺷﺪن ﺧﻮد ﺑﺨﻮد ﮐﺎﻣﭙﻴﻮﺗﺮ ﻣﻲ ﮔﺮدد. هﻤﭽﻨﻴﻦ ﺑﺎ ﺁﻟﻮدﻩ ﮐﺮدن ﺣﺎﻓﻈﻪ هﺎي ﻓﻠﺸﻲ ﮐﻪ ﺑﻪ دﺳﺘﮕﺎﻩ ﻣﺘﺼﻞ ﻣﻲ ﮔﺮدﻧﺪ ،ﺳﻌﻲ ﺑﻪ اﻧﺘﺸﺎر ﺧﻮد ﻣﻲ ﮐﻨﺪ.
راهﻬﺎي ﺷﻨﺎﺧﺖ اﻳﻦ ﺗﺮوﺟﺎن ﺑﺮاي اﻳﻦ ﮐﻪ ﻣﺘﻮﺟﻪ ﺷﻮﻳﺪ ﮐﻪ اﻳﺎ ﺳﻴﺴﺘﻢ ﺷﻤﺎ اﻟﻮدﻩ ﺑﻪ اﻳﻦ ﺗﺮوﺟﺎن اﺳﺖ ﻳﺎ ﻧﻪ از ﻃﺮﻳﻖ ﻓﺸﺮن هﻤﺰﻣﺎن ﺳﻪ ﮐﻠﻴﺪ Alt + Ctrl + Deleteوارد Task Managerﺷﻮﻳﺪ و ﺳﭙﺲ ﺑﻪ ﺗﺐ Processesرﻓﺘﻪ و در ﺻﻮرﺗﻲ ﮐﻪ ﻓﺎﻳﻞ اﺟﺮاﻳﻲ Soundmix.exeدر ﺣﺎل اﺟﺮا ﺑﺎﺷﺪ ﺳﻴﺴﺘﻢ ﺷﻤﺎ ﺑﻪ اﻳﻦ ﺗﺮوﺟﺎن ﺁﻟﻮدﻩ ﺷﺪﻩ اﺳﺖ. راﻩ دﻳﮕﺮ ﺷﻨﺎﺳﺎﻳﻲ اﻳﻦ ﺗﺮوﺟﺎن ﻋﺪم ﻧﻤﺎﻳﺶ ﭘﺴﻮﻧﺪ ﻓﺎﻳﻠﻬﺎﺳﺖ از ﻃﺮﻳﻖ ﻣﻨﻮي Folder Optionو ﻓﻌﺎل ﮐﺮدن ﮔﺰﻳﻨﻪ Show Hidden files and folderو ﺗﺎﻳﻴﺪ ﺁن در ﺻﻮرﺗﻲ ﮐﻪ ﭘﺴﻮﻧﺪ ﻓﺎﻳﻠﻬﺎ ﻧﻤﺎﻳﺶ دادﻩ ﻧﺸﻮﻧﺪ ﺳﻴﺴﺘﻢ ﺷﻤﺎ ﺑﻪ اﻳﻦ ﺗﺮوﺟﺎن اﻟﻮدﻩ ﺷﺪﻩ اﺳﺖ . اﻳﻦ ﺗﺮوﺟﺎن در دراﻳﻮ وﻳﻨﺪوز و در ﻣﺴﻴﺮ زﻳﺮ ﻗﺮار ﻣﻴﮕﻴﺮد. C:\WINDOWS\system32\soundmix.exe ﻓﺎﻳﻞ ﮐﺘﺎﺑﺨﺎﻧﻪ اي ان ﻧﻴﺰ در ﻣﺴﻴﺮ زﻳﺮ ﻗﺮار ﻣﻴﮕﻴﺮد C:\WINDOWS\system32\dllcachezipexr.dll اﻳﻦ ﺗﺮوﺟﺎن ﻋﻼوﻩ ﺑﺮ ﮐﺎهﺶ ﺳﺮﻋﺖ ﺳﻴﺴﺘﻢ ﺑﺎﻋﺚ ﻋﺪم ﻧﻤﺎﻳﺶ ﭘﺴﻮﻧﺪ ﻓﺎﻳﻠﻬﺎ و ﺟﻠﻮﮔﻴﺮي از دﺳﺘﺮﺳﻲ ﺷﻤﺎ ﺑﻪ رﺟﺴﺘﺮي وﻳﻨﺪوزﺗﺎن ﻣﻲ ﺷﻮد و ﺑﺎﻋﺚ دزدﻳﺪﻩ ﺷﺪن اﻃﻼﻋﺎت ﺳﻴﺴﺘﻢ ﺷﻤﺎ ﺧﻮاهﺪ ﺷﺪ . اﻳﻦ وﻳﺮوس ﺧﻮدش را در system32ﺑﺎ ﻧﺎم soundmix.exeو ﺑﻪ ﺻﻮرت ﻳﮏ ﻓﺎﻳﻞ ﺳﻴﺴﺘﻤﻲ ﻗﺮار ﻣﻲ دهﺪ. ﻳﻚ آﭙﻲ در dllcacheﺑﺎ ﻧﺎم zipexr.dllﻧﮕﻪ ﻣﻲ دارد و اﮔﺮ ﺷﻤﺎ اﻳﻦ ﻓﺎﻳﻞ را ﭘﺎك آﻨﻴﺪ ﺑﻌﺪ از اﻳﻦ آﻪ ﺳﻴﺴﺘﻢ ﺑﺎﻻ ﻣﻲ اﻳﺪ هﻴﭻ ﻓﺎﻳﻞ exeرو اﺟﺮا ﻧﻤﻲ آﻨﺪ . ﺳﻪ ﻗﺴﻤﺖ را در رﺟﻴﺴﺘﺮي دﺳﺘﮑﺎري ﻣﻲ ﮐﻨﺪ ﮐﺪ:
Software\Microsoft\Windows\CurrentVersion\Run exefile\shell\open\command SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer \Advanced\Folder\Hidden\SHOWALL ﺑﻌﺪ از اﺗﺼﺎل ﺣﺎﻓﻈﻪ ﻓﻠﺶ ﺧﻮد ﺑﻪ ﺳﻴﺴﺘﻢ روي ﺁﻳﮑﻮن ﺣﺎﻓﻈﻪ ﮐﻪ اﻳﺠﺎد ﺷﺪﻩ اﺳﺖ ﮐﻠﻴﮏ راﺳﺖ ﮐﻨﻴﺪ .در ﺣﺎﻟﺖ ﻋﺎدي ﮔﺰﻳﻨﻪ هﺎي زﻳﺮ ﺑﺎﻳﺴﺘﻲ ﻧﻤﺎﻳﺎن ﮔﺮدد : Open Explore Search Autoplay در ﻏﻴﺮ اﻳﻦ ﺻﻮرت اﮔﺮ ﻧﻮﺷﺘﻪ هﺎﻳﻲ ﻋﺠﻴﺐ و ﻏﺮﻳﺐ ﻣﺸﺎهﺪﻩ ﮔﺮدد ﺑﻴﺎن ﮔﺮ وﺟﻮد وﻳﺮوس ﻣﻲ ﺑﺎﺷﺪ
راﻩ ﭘﺎﮐﺴﺎزي Soundmix.exeﻳﺎ ﺗﺮوﺟﺎن Win32/Agent.AEC در ﺣﺎل ﺣﺎﺿﺮ اﻧﺘﻲ وﻳﺮوﺳﻬﺎﻳﻲ ﮐﻪ ﺗﻮاﻧﺎﻳﻲ ﺷﻨﺎﺳﺎﻳﻲ اﻳﻦ وﻳﺮوس را داردﻧﺪ ﺁﻧﺘﻲ وﻳﺮوس NOD32و ﮐﺴﭙﺮ اﺳﮑﺎي و ﺑﻴﺪﻳﻔﻨﺪر ﻣﻲ ﺑﺎﺷﻨﺪ ﺷﺎﻳﺎن ذﮐﺮ اﺳﺖ اﻳﻦ اﻧﺘﻲ وﻳﺮوس هﺎ ﻧﻴﺰ ﻓﻘﻂ در ﺻﻮرﺗﻲ ﮐﻪ ﺑﻪ روز ﺑﺎﺷﺪ ﺗﻮاﻧﺎﻳﻲ ﭘﺎﮐﺴﺎزي Soundmix.exeرا ﺧﻮاهﺪ داﺷﺖ. در ﺿﻤﻦ ﻣﻲ ﺗﻮاﻧﻴﺪ از ﺑﺮﻧﺎﻣﻪ اي ﮐﻪ ﺑﺮاي ﭘﺎﮎ ﮐﺮدن اﻳﻦ وﻳﺮوس درﺳﺖ ﺷﺪﻩ اﺳﺖ اﺳﺘﻔﺎدﻩ ﮐﻨﻴﺪ.
http://mahdi7610.parsaspace.com/ANTI%20SOUNDMIX.rar
ﺣﻞ ﻣﺸﮑﻞopen with اﮔﺮ ﺑﺮ روﯼ هﺮ دراﯾﻮ ﮐﻠﻴﮏ ﻣﯽ ﮐﻨﻴﺪ ﭘﻨﺠﺮﻩ open withﺑﺎز ﻣﯽ ﺷﻮد ﺑﻪ دﻟﻴﻞ ﭘﺎﮎ ﺷﺪن ﻓﺎﯾﻠﯽ ﻣﯽ ﺑﺎﺷﺪ ﮐﻪ ﻣﺴﺌﻮل ﺑﺎز ﮐﺮدن دراﯾﻮ ﻣﯽ ﺑﺎﺷﺪ . ﺷﻤﺎ ﻣﯽ ﺗﻮاﻧﻴﺪ از ﺑﺮﻧﺎﻣﻪ زﯾﺮ ﺑﺮاﯼ ﺣﻞ اﯾﻦ ﻣﺸﮑﻞ اﺳﺘﻔﺎدﻩ ﮐﻨﻴﺪ .اﻟﺒﺘﻪ ﻗﺒﻞ از ان ﺑﺎﯾﺪ وﯾﺮوس autoranرا از دراﯾﻮ هﺎﯼ ﺧﻮدﺗﻮن ﭘﺎﮎ ﮐﺮدﻩ ﺑﺎﺷﻴﺪ .ﺑﻌﺪ از اﺟﺮا ﮐﺮدن ﺑﺮﻧﺎﻣﻪ ﺑﺎﯾﺪ ﭼﻨﺪ دﻗﻴﻘﻪ ﻣﻨﺘﻈﺮ ﺑﺎﺷﻴﺪ ﺗﺎ ﺑﺮﻧﺎﻣﻪ ﮐﺎر ﺧﻮد را اﻧﺠﺎم دهﺪ .ﺑﻌﺪ از اﯾﻨﮑﻪ ﮐﺎرش ﺑﻪ اﺗﻤﺎم رﺳﻴﺪ ﺑﻪ ﺷﻤﺎ ﭘﻴﻐﺎم ﻣﯽ دهﺪ .ﭘﺲ ﺻﺒﻮر ﺑﺎﺷﻴﺪ.
http://www.techsupportforum.com/sectools/sUBs/Flash_Disinfector.exe
ﻧﺤﻮﻩ ﭘﺎﮎ ﮐﺮدن وﻳﺮوس Virus Win32/JeefoﻳﺎSVCHOST.EXE ﺑﻌﻠﺖ وﺟﻮد وﻳﺮوﺳﻲ ﻣﺨﺮب ﺑﻪ اﺳﻢ Jeefoﮐﻪ ﺑﺎ ﻧﺎم SVCHOST.EXEاﻟﺒﺘﻪ در ﺷﺎﺧﻪ دﻳﮕﺮي ﻏﻴﺮ از ﻓﺎﻳﻞ اﺻﻠﻲ ﺳﺎﮐﻦ ﻣﻲ ﺷﻮد و اﻗﺪام ﺑﻪ ﺧﺮاﺑﮑﺎري ﺗﻤﺎم ﻓﺎﻳﻠﻬﺎي اﺟﺮاﻳﻲ exeﻣﻲ ﮐﻨﺪ. اﮐﺜﺮ اﻧﺘﻲ وﻳﺮوس هﺎ SVCHOST.EXEرا ﺑﻪ ﻋﻨﻮان وﻳﺮوس ﻣﻲ ﺷﻨﺎﺳﻨﺪ .در ﺣﺎﻟﻲ ﮐﻪ SVCHOST.EXEوﻳﺮوس ﻧﻴﺴﺖ ﺑﻠﮑﻪ وﻳﺮوس ﻓﺎﻳﻞ دﻳﮕﺮي ﻣﻲ ﺑﺎﺷﺪ ﮐﻪ ﺧﻮد را ﺑﻪ اﻳﻦ ﻧﺎم در اوردﻩ اﺳﺖ . اﻳﻦ وﻳﺮوس ﺑﺎﻋﺚ ﻣﻲ ﺷﻮد ﮐﻪ ﺑﺮﻧﺎﻣﻪ هﺎ درﺳﺖ اﺟﺮا ﻧﺸﻮﻧﺪ .و ﻃﻮﻻﻧﻲ ﺑﻮدن زﻣﺎن اﻟﻮدﮔﻲ ﺳﻴﺴﺘﻢ ﺑﺎﻋﺚ از ﮐﺎر اﻓﺘﺎدن ﺳﻴﺴﺘﻢ ﻋﺎﻣﻞ ﻣﻲ ﺷﻮد. ﻧﺤﻮﻩ ﭘﺎﮎ ﮐﺮدن وﻳﺮوس اﺑﺘﺪا ﺳﻌﻲ ﮐﻨﻴﺪ System Restoreرا ﻏﻴﺮ ﻓﻌﺎل ﮐﻨﻴﺪ. ﺑﺮاي اﻳﻦ ﮐﺎر اﺑﺘﺪا روي my computerراﺳﺖ ﮐﻠﻴﮏ ﮐﻨﻴﺪ و ﺳﭙﺲ propertiesرا ﺑﺰﻧﻴﺪ از ﭘﻨﺠﺮﻩ ﺑﺎز ﺷﺪﻩ ﺑﻪ ﺗﺐ System Restoreرﻓﺘﻪ و ﺗﻴﮏ ﮔﺰﻳﻨﻪ Turn off System Restore on all drivesرا ﺑﺰﻧﻴﺪ و ﺑﻌﺪ ﭘﻨﺠﺮﻩ را okﮐﺮدﻩ و ﺑﻪ ﺳﻮال ﭘﺮﺳﻴﺪﻩ ﺷﺪﻩ ﺟﻮاب ﻣﺜﺒﺖ دهﻴﺪ. ﺣﺎل اﺑﺘﺪا ﺑﺎ زدن ﺳﻪ ﮐﻠﻴﺪ ﺗﺮﮐﻴﺒﻲ ctrl + alt + deleteوارد Task Managerﺷﻮﻳﺪ و ﺑﻪ ﺗﺐ Processesرﻓﺘﻪ و از اوﺟﺎ ﻓﺎﻳﻞ SVCHOST.EXEدر ﺣﺎل اﺟﺮا ﺗﻮي وﻳﻨﺪوز را ﭘﺎﮎ ﻣﻲ ﮐﻨﻴﻢ . اﻟﺒﺘﻪ در ﺗﺐ Processesﺷﻤﺎ ﺣﺪاﻗﻞ 4ﺗﺎ ﻳﺎ ﺑﻴﺸﺘﺮ SVCHOST.EXEدر ﺣﺎل اﺟﺮا ﻣﻲ ﺑﻴﻨﻴﺪ ﮐﻪ ﺑﺎﻳﺪ ﺑﺎ ﺑﺮﻧﺎﻣﻪ هﺎي ﻣﺪﻳﺮﻳﺖ ﭘﺮوﺳﻪ هﺎي Task Manager ﺑﺘﻮﻧﻴﺪ اﻳﻦ ﻓﺎﻳﻞ را ﺗﺸﺨﻴﺺ دهﻴﺪ .زﻳﺮا اﻳﻦ ﺑﺮﻧﺎﻣﻪ هﺎ ﻣﺴﻴﺮ ﭘﺮوﺳﻪ هﺎي اﺟﺮاﻳﻲ را در Task Managerﻧﺸﺎن ﻣﻲ دهﻨﺪ .اﻳﻦ ﻓﺎﻳﻞ ﺑﻴﺸﺘﺮ ﺧﻮد را ﺑﺎ ﻧﺎم ﻳﻮزر ﮐﻪ در ان هﺴﺘﻴﺪ ) (Log Onاﺟﺮا ﻣﻲ ﮐﻨﺪ. ﺣﺎل ﺑﻪ ﻣﺴﻴﺮ C:\WINDOWSرﻓﺘﻪ و ﻓﺎﻳﻞ SVCHOST.EXEرا ﭘﺎﮎ ﻣﻲ ﮐﻨﻴﻢ . اﻟﺒﺘﻪ ﺷﻤﺎ ﻧﺒﺎﻳﺪ ﻓﺎﻳﻞ اﺻﻠﻲ SVCHOST.EXEرا ﮐﻪ در ﻣﺴﻴﺮ C:\WINDOWS\System32ﻗﺮار دارد را ﭘﺎﮎ ﮐﻨﻴﺪ. ﺑﻌﺪ از اﻳﻦ ﮐﺎر ﺳﻴﺴﺘﻢ را رﻳﺴﺘﺎرت ﮐﻨﻴﺪ. ﺳﭙﺲ ﺳﻴﺴﺘﻢ را در ﺣﺎﻟﺖ safe modeراﻩ اﻧﺪازي ﮐﺮدﻩ و اﻧﺘﻲ وﻳﺮوس jeefoguiرا اﺟﺮا ﮐﻨﻴﺪ. ﻣﻤﮑﻦ اﺳﺖ ﺑﻌﺪ از اﻳﻦ ﻋﻤﻠﻴﺎت ﺑﻌﻀﻲ از ﻓﺎﻳﻠﻬﺎي exeﺷﻤﺎ از ﮐﺎر ﺑﻴﻔﺘﻨﺪ ﮐﻪ ﺷﻤﺎ ﺑﺎﻳﺪ دوﺑﺎرﻩ ﺑﺮﻧﺎﻣﻪ اﻧﻬﺎ را ﻧﺼﺐ ﮐﻨﻴﺪ. اﻧﺘﯽ وﯾﺮوسjeefogui
http://mahdi7610.parsaspace.com/jeefogui.rar
ﭘﺎﮎ ﮐﺮدن وﻳﺮوﺳﻲ ﮐﻪ از ﻃﺮﻳﻖ ﺑﺎهﻮ ﻣﺴﻨﺠﺮ ﻣﻨﺘﺸﺮ ﻣﻲ ﺷﻮد ﻋﻤﻠﮑﺮد اﻳﻦ وﻳﺮوس 1در اﺑﺘﺪا وﻳﺮوس ﺻﻔﺤﻪ ﺷﺨﺼﻲ اﻳﻨﺘﺮﻧﺖ اﮐﺴﭙﻠﻮرر ) (Default IE Pageرا ﺑﻪ ﻳﮏ ﺳﺎﻳﺖ ﺗﻐﻴﻴﺮ ﻣﻲ دهﺪ .در اﻳﻦ ﺻﻮرت ﺑﻪ هﻴﭻ ﻃﺮﻳﻖ اﻣﮑﺎن ﻋﻮضﮐﺮدن ﺁن وﺟﻮد ﻧﺨﻮاهﺪ داﺷﺖ .ﺑﻌﺪ از هﺮ ﺑﺎز ﺑﺎز ﮐﺮدن ﻳﮏ ﺻﻔﺤﻪ وب ﺟﺪﻳﺪ ،وﻳﺮوس ﻣﺠﺪدﺁ ﺧﻮد را در ﺳﻴﺴﺘﻢ ﺷﻤﺎ ﮐﭙﻲ ﻣﻲ ﮐﻨﺪ. ﻏﻴﺮ ﻓﻌﺎل ﮐﺮدن Task Managerو رﺟﻴﺴﺘﺮي اﻳﺠﺎد ﻓﺎﻳﻠﻬﺎﻳﻲ ﺑﺎ ﻧﺎم هﺎي svhost.exe , svhost32.exe , internat.exe ﻧﺤﻮﻩ از ﺑﻴﻦ ﺑﺮدن اﻳﻦ وﻳﺮوس و ﻣﺸﮑﻞ اﺑﺘﺪا ﺑﺎ اﺳﺘﻔﺎدﻩ از روﺷﻬﺎي ﮔﻔﺘﻪ ﺷﺪﻩ در ﺑﺎﻻ Task Managerو رﺟﻴﺴﺘﺮي را ﻓﻌﺎل ﮐﻨﻴﺪ. اﺗﺼﺎل ﺧﻮد ﺑﻪ اﻳﻨﺘﺮﻧﺖ را ﻗﻄﻊ ﮐﻨﻴﺪ. ﺣﺎل ﺑﺮاي ﺑﺮﮔﺮداﻧﺪن ﺻﻔﺤﻪ ﻧﺨﺴﺖ ﻣﺮوﮔﺮ ﺧﻮد ﺑﻪ ﺣﺎﻟﺖ ﻗﺒﻞ وارد رﺟﻴﺴﺘﺮي ﺷﻮﻳﺪ. اﺑﺘﺪا وارد ﻣﻨﻮي اﺳﺘﺎرت ﺷﻮﻳﺪ و روي ﮔﺰﻳﻨﻪ runﮐﻠﻴﮏ ﮐﻨﻴﺪ و ﻋﺒﺎرت regeditرا ﻧﻮﺷﺘﻪ ﺗﺎ وارد رﺟﻴﺴﺘﺮي ﺷﻮﻳﺪ. ﻣﻴﺴﺮ هﺎي زﻳﺮ را ﺑﺎ دﻗﺖ ﭘﻴﺪا ﻧﻤﻮدﻩ و در ﺁﻧﻬﺎ وارد ﺷﻮﻳﺪ ﺣﺎل اﺳﻢ ﺳﺎﻳﺖ ﻣﻮرد ﻧﻈﺮ را ﮐﻪ در home pageﺷﻤﺎ ﻗﺮار ﮔﺮﻓﺘﻪ اﺳﺖ را ﭘﺎﮎ ﮐﺮدﻩ و اﺳﻢ ﺳﺎﻳﺖ ﺧﻮدﺗﺎن را ﺑﻨﻮﻳﺴﻴﺪ ﻣﺜﻼ ﮐﺪ:
http://www.forum.p30world.com ﺳﭙﺲ ﺑﻪ internet optionرﻓﺘﻪ و اﻳﻦ ﮐﺎر را هﻢ اﻧﺠﺎم دهﻴﺪse current- use default -use blank ﮐﺪ:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main HKEY_ LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main HKEY_USERS\Default\Software\Microsoft\Internet Explorer\Main اﻧﺘﯽ وﯾﺮوسY.V.Remover
http://mahdi7610.parsaspace.com/Y.V.Remover.zip
رﻓﻊ ﻣﺸﮑﻞ ﻏﻴﺮ ﻓﻌﺎل ﺷﺪن Home Pageاﻳﻨﺘﺮﻧﺖ اﮐﺴﭙﻠﻮرر 1 .در ﮐﺎدر ﻣﺤﺎورﻩ اﯼ Runﻋﺒﺎرت Regeditرا ﺗﺎﯾﭗ ﮐﻨﻴﺪ و از روﯼ ﮐﻴﺒﺮد ﮐﻠﻴﺪ Enterرا ﻓﺸﺎر دهﻴﺪ ﺗﺎ ﻣﺤﻴﻂ وﯾﺮاﯾﺶ رﺟﻴﺴﺘﺮﯼ ﻇﺎهﺮ ﺷﻮد. 2 .ﺑﻪ ﻣﺴﻴﺮ زﯾﺮ ﺑﺮوﯾﺪ و 2ﻣﺘﻐﻴﻴﺮ DWORDﺑﺎ ﻧﺎم هﺎﯼ RunOnceCompleteو RunOnceHasShownﺑﻪ ارزش 1ﺑﺴﺎزﯾﺪ. ﮐﺪ:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main 3 .ﻣﺤﻴﻂ وﯾﺮاﯾﺶ رﺟﻴﺴﺘﺮﯼ را ﺑﺒﻨﺪﯾﺪ و ﻣﺠﺪدا در ﮐﺎدر ﻣﺤﺎورﻩ اﯼ Runﻋﺒﺎرت inetcpl.cplرا ﺗﺎﯾﭗ ﮐﻨﻴﺪ و ﺷﺴﺘﯽ OKرا ﻓﺸﺎر دهﻴﺪ ﺗﺎ ﮐﺎدرﯼ ﺑﺎ ﻋﻨﻮان Internet Propertiesﻇﺎهﺮ ﺷﻮد. 4 .در ﻗﺴﻤﺖ Home Pageﺁدرس ﻣﻮرد ﻋﻼﻗﻪ ﯼ ﺧﻮد را ﺗﺎﯾﭗ ﮐﻨﻴﺪ و ﺷﺴﺘﯽ OKرا ﻓﺸﺎر دهﻴﺪ ﺗﺎ ﺗﻨﻈﻴﻤﺎت دﻟﺨﻮاﻩ ذﺧﻴﺮﻩ ﺷﻮد. 5 .اﮐﻨﻮن Internet Explorer 7را اﺟﺮا ﮐﻨﻴﺪ و ﻟﺬت ﺑﺒﺮﯾﺪ. ﮐﺴﺎﻧﯽ ﮐﻪ اﯾﻦ ﻣﺸﮑﻞ را از راﻩ اﺻﻮﻟﯽ ﺣﻞ ﮐﺮدﻩ اﻧﺪ و اﮐﻨﻮن دوﺳﺖ دارﻧﺪ روش ﻓﻮق را ﺗﺴﺖ ﮐﻨﻨﺪ ،ﻣﺮاﺣﻞ زﯾﺮ را دﻧﺒﺎل ﻧﻤﺎﯾﻴﺪ... 1 .در ﮐﺎدر ﻣﺤﺎورﻩ اﯼ Runﻋﺒﺎرت inetcpl.cpl ,6ﺗﺎﯾﭗ ﮐﻨﻴﺪ و ﺷﺴﺘﯽ OKرا ﻓﺸﺎر دهﻴﺪ ﺗﺎ ﮐﺎدرﯼ ﺑﺎ ﻋﻨﻮان Internet Propertiesﻇﺎهﺮ ﺷﻮد. 2 .در زﺑﺎﻧﻪ ﯼ Advancedدﮐﻤﻪ ﯼ Resetرا ﻓﺸﺎر دهﻴﺪ ﺗﺎ ﮐﺎدر دﯾﮕﺮﯼ ﺑﺎ ﻋﻨﻮان Reset Internet Explorer Settingsﺧﻮدﻧﻤﺎﯾﯽ ﮐﻨﺪ. 3 .ﻣﺠﺪدا روﯼ دﮐﻤﻪ ﯼ Resetﮐﻠﻴﮏ ﮐﻨﻴﺪ ﺗﺎ ﺗﻤﺎم ﺗﻨﻈﻴﻤﺎت IEﺑﻪ ﺣﺎﻟﺖ ﭘﻴﺶ ﻓﺮض ﺑﺮ ﮔﺮدد. 4 .اﮐﻨﻮن روش دوم را ﺟﻬﺖ ﺗﻐﻴﻴﺮ Home Pageﺗﺴﺖ ﮐﻨﻴﺪ
ﻧﺤﻮﻩ از ﺑﻴﻦ ﺑﺮدن وﻳﺮوسservices.exe ﻣﺘﺎﺳﻔﺎﻧﻪ اﮐﺜﺮ وﯾﺮوﺳﻬﺎﯾﯽ ﮐﻪ ﺟﺪﯾﺪا ﺑﻪ وﺟﻮد ﻣﯽ اﯾﻨﺪ هﻤﻨﺎم ﭘﺮوﺳﻪ هﺎﯼ ﻣﺮﺑﻮط ﺑﻪ ﺳﻴﺴﺘﻢ ﻋﺎﻣﻞ ﻣﯽ ﺑﺎﺷﻨﺪ ﺑﻪ هﻤﻴﻦ دﻟﻴﻞ ﺗﺸﺨﻴﺺ اﻧﻬﺎ هﻢ ﺑﺮاﯼ ﮐﺎرﺑﺮان و هﻢ ﺑﺮاﯼ اﻧﺘﯽ وﯾﺮوس هﺎ ﻧﺴﺒﺘﺎ ﻣﺸﮑﻞ ﺷﺪﻩ اﺳﺖ. و از ﮐﺎر اﻧﺪاﺧﺘﻦ اﻧﻬﺎ ﻧﻴﺰ ﻗﺪرﯼ ﺳﺨﺖ ﺷﺪﻩ اﺳﺖ. و هﻤﻴﻦ ﻋﺎﻣﻞ ﻣﯽ ﺗﻮاﻧﺪ ﯾﮑﯽ از ﻧﻘﺎط ﺿﻌﻒ ﺳﻴﺴﺘﻢ ﻋﺎﻣﻞ هﺎﯼ ﻣﺎﮐﺮوﺳﺎﻓﺖ ﻣﺤﺴﻮب ﺷﻮد. ﻓﻌﺎﻟﻴﺖ هﺎﯼ وﯾﺮوسservices.exe اوﻟﻴﻦ ﮐﺎرﯼ ﮐﻪ اﯾﻦ وﯾﺮوس اﻧﺠﺎم ﻣﯽ دهﺪ ﺧﻮدش را ﺑﺎ ﻧﺎم ﻓﺎﯾﻠﻬﺎﯾﯽ ﮐﻪ در ﯾﮏ ﻓﻮﻟﺪر اﺳﺖ در ﻣﯽ اورد و ﻓﺎﯾﻠﻬﺎﯼ ﻓﻮﻟﺪر را ﻣﺨﻔﯽ ﻣﯽ ﮐﻨﺪ و ﯾﮏ ﻓﺎﯾﻞ ﺑﺎ ﻧﺎم هﻤﺎن ﻓﻮﻟﺪر ﻣﯽ ﺳﺎزد ﮐﻪ داراﯼ ﭘﺴﻮﻧﺪ exeﻣﯽ ﺑﺎﺷﺪ. و ﺑﻪ ﻓﻮﻟﺪر هﺎﯾﯽ ﮐﻪ ﻣﺨﻔﯽ ﻣﯽ ﮐﻨﺪ ﻋﻼوﻩ ﺑﺮ ﺧﺼﻠﺖ hiddenﺧﺼﻠﺖ ﺳﻴﺴﺘﻤﯽ هﻢ ﻣﯽ دهﺪ. ﺳﭙﺲ ﺑﻪ وﺳﻴﻠﻪ windows policyﺑﺮﻧﺎﻣﻪ هﺎﯼ regeditو cmdو msconfigو taskmanagerرو از ﮐﺎر ﻣﯽ اﻧﺪازد)ﮔﺎهﯽ اوﻗﺎت هﻨﮕﺎم اﺳﺘﻔﺎدﻩ از دﺳﺘﻮر cmdﮐﺎﻣﭙﻴﻮﺗﺮ را رﯾﺴﺘﺎرت هﻢ ﻣﻴﮑﻨﺪ( در ﺑﻌﻀﯽ ﻣﻮاﻗﻊ از ﻗﺴﻤﺖ folder optionﮔﺰﯾﻨﻪ viewرو ﻣﺨﻔﯽ ﻣﻴﮑﻨﺪ. و اﺟﺎزﻩ دﺳﺘﺮﺳﯽ ﺑﻪ ﺑﻌﻀﯽ از ﮔﺰﯾﻨﻪ هﺎﯼ ﻣﺪﯾﺮﯾﺘﯽ رو ﺑﻄﻮر ﮐﺎﻣﻞ از ﺑﻴﻦ ﻣﻴﺒﺮد. و ﺣﺘﯽ ﺑﺎ ﺗﻌﻮﯾﺾ وﯾﻨﺪوز هﻢ ﻓﺎﯾﻠﻬﺎ از ﺣﺎﻟﺖ ﻣﺨﻔﯽ ﺧﺎرج ﻧﺨﻮاهﻨﺪ ﺷﺪ .ﺑﻪ ﺧﺎﻃﺮ اﯾﻦ ﮐﻪ ﺑﺎ ﺗﻌﻮﯾﺾ وﯾﻨﺪوز هﻨﻮز اﺛﺮات اﯾﻦ وﯾﺮوس در دﯾﮕﺮ دراﯾﻮ هﺎ وﺟﻮد دارد و ﺗﻨﻬﺎ ﺑﺎ ﮐﻠﻴﮏ ﮐﺮدن روﯼ ﯾﮑﯽ از اﻧﻬﺎ وﯾﺮوس ﻓﻌﺎل ﺷﺪﻩ و دوﺑﺎرﻩ هﻤﻪ ﺟﺎ را اﻟﻮدﻩ ﻣﯽ ﮐﻨﺪ. ﻧﺤﻮﻩ از ﺑﻴﻦ ﺑﺮدن وﯾﺮوس services.exe ﺑﺮاﯼ از ﺑﻴﻦ ﺑﺮدن اﯾﻦ وﯾﺮوس اﺑﺘﺪا ﮐﺪهﺎﯼ زﯾﺮ را داﺧﻞ note padﮐﭙﯽ ﮐﺮدﻩ و ﺑﺎ ﻧﺎم و ﭘﺴﻮﻧﺪ rescue.batدر ﻣﺴﻴﺮ در ﻣﺴﻴﺮ \ c:ذﺧﻴﺮﻩ ﻧﻤﺎﻳﻴﺪ . ﮐﺪ:
@echo off :try del c:\windows\services.exe if exist c:\windows\services.exe goto try ﺣﺎﻻ ﺑﻪ ﻣﻨﻮي startرﻓﺘﻪ و روﯼ ﮔﺰﯾﻨﻪ runﮐﻠﻴﮏ ﮐﻨﻴﺪ و ﻋﺒﺎرت regeditرا ﺗﺎﻳﭗ ﮐﺮدﻩ و okرا ﺑﺰﻧﻴﺪ .ﺗﺎ وارد ﻣﺤﻴﻂ رﺟﻴﺴﺘﺮﯼ ﺷﻮﯾﺪ. ﺣﺎل ﺑﻪ ﻣﺴﻴﺮ زﻳﺮ ﺑﺮوﻳﺪ . ﮐﺪ:
HKEY_LOCAL_MACHINE\system\currentcontrolset\services\eventlog روي ﻓﺎﻳﻞ image pathدوﺑﺎر ﮐﻠﻴﮏ ﮐﺮدﻩ و در اﻳﻦ ﭘﻨﺠﺮﻩ ﺑﻪ ﺟﺎي %systemroot%\system32\services.exeﻋﺒﺎرت c:\rescue.batرا ﺗﺎﻳﭗ ﮐﻨﻴﺪ . وﻳﻨﺪوز را restartﮐﻨﻴﺪ . دوﺑﺎرﻩ ﺑﻪ ﻣﻨﻮي startرﻓﺘﻪ و ﺑﺮﻧﺎﻣﻪ runرا اﺟﺮا ﮐﺮدﻩ و regeditرا ﺗﺎﻳﭗ ﮐﺮدﻩ و okرا ﺑﺰﻧﻴﺪ . ﺣﺎل ﺑﻪ ﻣﺴﻴﺮ زﻳﺮ ﺑﺮوﻳﺪ . ﮐﺪ:
HKEY_LOCAL_MACHINE\system\current control set\services\eventlog روي ﻓﺎﻳﻞ image pathدوﺑﺎر ﮐﻠﻴﮏ ﮐﺮدﻩ و در اﻳﻦ ﭘﻨﺠﺮﻩ ﺑﻪ ﺟﺎي c:\rescue.batﻋﺒﺎرت %systemroot%\system32\services.exeرا ﺗﺎﻳﭗ ﮐﻨﻴﺪ . ﻓﺎﻳﻠﻬﺎي ﻣﺴﻴﺮهﺎﯼ زﻳﺮ را ﭘﺎﮎ ﮐﻨﻴﺪ. ﮐﺪ:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\serenta و HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run و ""services.exe"="%windir%\services.exe ﺣﺎل ﺗﻐﻴﻴﺮات زﻳﺮ را اﻧﺠﺎم دهﻴﺪ . ﮐﺪ:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\shell
shellرا از ﻣﺴﻴﺮ ﺑﺎﻻ ﺑﺎز ﮐﻨﻴﺪ.ﺣﺎل ﺑﻪ ﺟﺎي explorer.exe %windir%\services.exeﻋﺒﺎرت explorer.exeرا ﺗﺎﻳﭗ ﮐﻨﻴﺪ ﻳﻌﻨﻲ ﺑﻪ ﻋﺒﺎرت ﺳﺎدﻩ ﺗﻪ اون را ﭘﺎﮎ ﮐﻨﻴﺪ . ﮐﺪ:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\userinit userinitرا از ﻣﺴﻴﺮ ﺑﺎﻻ ﺑﺎز ﮐﺮدﻩ و ﺑﻪ ﺟﺎي ﻋﺒﺎرت C:\WINDOWS\system32\userinit.exe,,%windir%\service s.exe ﻋﺒﺎرت ,,%windir%\services.exeرا ﺣﺬف ﻧﻤﺎﻳﻴﺪ ﻳﻌﻨﻲ ﻣﺴﻴﺮ ﺑﻪ ﺻﻮرت زﻳﺮ در ﻣﻲ ﺁﻳﺪ . C:\WINDOWS\system32\userinit.exe ﺑﻪ ﭘﻮﺷﻪ tempرﻓﺘﻪ و در ﺻﻮرت وﺟﻮد ﻓﺎﯾﻞ Service.exeان را ﭘﺎﮎ ﮐﻨﻴﺪ. ﺣﺎﻻ ﺁﻧﺘﻲ وﻳﺮوس هﺎﯼ kasperskyو nod32را updateﻧﻤﺎﻳﻴﺪ و ﺳﻴﺴﺘﻢ را ﺑﻪ ﻃﻮر ﮐﺎﻣﻞ در ﺣﺎﻟﺖ safe modeوﯾﺮوس ﯾﺎﺑﯽ ﮐﻨﻴﺪ. ﺿﻤﻨﺎً ﺑﻬﺘﺮ اﺳﺖ ﺑﻌﺪ از updateو وﻳﺮوس ﻳﺎﺑﻲ وﻳﻨﺪوز ﺧﻮد را ﻋﻮض ﮐﻨﻴﺪ . anti spywareﺑﺮاﯼ از ﺑﻴﻦ ﺑﺮدن وﯾﺮوسservices.exe اﯾﻦ اﻧﺘﯽ spywareﯾﮑﯽ از ﺑﻬﺘﺮﯾﻦ هﺎ ﺑﺮاﯼ از ﺑﻴﻦ ﺑﺮدن وﯾﺮوس services.exeﻣﯽ ﺑﺎﺷﺪ.
http://www.spywareremove.com/download/Free-SpyHunter-Scanner6p2s2.exe
ﻓﻘﻂ ﺗﻮﺟﻪ داﺷﺘﻪ ﺑﺎﺷﻴﺪ ﮐﻪ اﯾﻦ anti spywareوﯾﺮوس services.exeرا ﭘﻴﺪا ﻣﯽ ﮐﻨﺪ و ﺑﺮاﯼ از ﺑﻴﻦ ﺑﺮدن اﻧﻬﺎ ﺣﺘﻤﺎ ﺑﺎﯾﺪ اﯾﻦ ﺑﺮﻧﺎﻣﻪ ﮐﺮﮎ ﺷﺪﻩ ﺑﺎﺷﺪ. اﯾﻦ ﺑﺮﻧﺎﻣﻪ ﮐﺮﮎ ﺷﺪﻩ ﻧﻴﺴﺖ .اﮔﻪ ﮐﺴﯽ ﮐﺮﮎ اوﻧﺎ ﭘﻴﺪا ﮐﺮد ﻟﻄﻒ ﮐﻨﻪ ﺑﺪﻩ ﺑﺰارﻣﺶ اﯾﻨﺠﺎ ﺗﺎ دوﺳﺘﺎن دﯾﮕﻪ هﻢ اﺳﺘﻔﺎدﻩ ﮐﻨﻨﺪ.
ﻣﻬﻢ :
ﻧﺤﻮﻩ ﺑﺮﮔﺮدوﻧﺪن ﻓﺎﻳﻠﻬﺎﻳﯽ ﮐﻪ ﺑﻪ ﺻﻮرت ﺳﻴﺴﺘﻤﯽ ﻣﺨﻔﯽ ﺷﺪﻩ اﻧﺪ
هﻤﻮن ﻃﻮر ﮐﻪ ﻣﯽ دوﻧﻴﺪ وﯾﺮوس services.exeﻓﺎﯾﻠﻬﺎﯼ ﺷﻤﺎ را ﺑﻪ ﺻﻮرت ﺳﻴﺴﺘﻤﯽ ﻣﺨﻔﯽ ﻣﯽ ﮐﻨﺪ و ﺷﻤﺎ ﻗﺎدر ﺑﻪ دﯾﺪن اوﻧﻬﺎ ﻧﻴﺴﺘﻴﺪ .ﺷﻤﺎ ﻣﯽ ﺗﻮاﻧﻴﺪ از روش زﯾﺮ ﺑﻪ ﻓﺎﯾﻠﻬﺎﯼ ﺧﻮدﺗﻮن دﺳﺘﺮﺳﯽ داﺷﺘﻪ ﺑﺎﺷﺪ. ﮐﺎﻓﯽ اﺳﺖ ﻧﺎم دراﯾﻮ و ﻣﺴﻴﺮ ﻓﺎﯾﻞ ﺧﻮد را در ﻣﺴﻴﺮ زﯾﺮ وارد ﮐﺮدﻩ و ﺳﭙﺲ اﯾﻦ ﻣﺴﻴﺮ را در runﮐﭙﯽ ﮐﺮدﻩ و ﺳﭙﺲ okرا ﺑﺰﻧﻴﺪ ﺗﺎ ﻓﺎﯾﻠﻬﺎﯼ ﺷﻤﺎ ﻧﻤﺎﯾﺎن ﺷﻮﻧﺪ. ﮐﺪ:
attrib -r -a -s -h drive:\file path )ﺑﻪ ﺟﺎﯼ driveﻧﺎم دراﯾﻮ ﺣﺎوﯼ ﻓﺎﯾﻞ ﻣﺨﻔﯽ را ﺑﻨﻮﯾﺴﻴﺪ و ﺑﻪ ﺟﺎﯼ file pathﻣﺴﻴﺮ ﻓﺎﯾﻞ را ﺑﻪ ﻃﻮر ﮐﺎﻣﻞ ﺑﻨﻮﯾﻴﺪ( .
روﺷﯽ ﺑﺮاﯼ ﺗﺸﺨﻴﺺ اﻳﻦ ﮐﻪ ﻓﺎﻳﻠﻬﺎﯼ درون ﻓﻮﻟﺪر ﺣﺬف ﺷﺪﻩ اﻧﺪ ﻳﺎ اﻳﻨﮑﻪ ﺑﻪ ﺣﺎﻟﺖ ﺳﻴﺴﺘﻤﯽ در اﻣﺪﻩ اﻧﺪ ﮔﺎهﯽ اوﻗﺎت وﻗﺘﯽ ﺑﻪ داﺧﻞ ﯾﮑﯽ از ﻓﻮﻟﺪرهﺎﯾﯽ ﮐﻪ ﺗﻌﺪاد زﯾﺎدﯼ ﻓﺎﯾﻞ درون ان دارﯾﻢ رﺟﻮع ﻣﯽ ﮐﻨﻴﻢ ﺑﺎ ﮐﻤﺎل ﺗﻌﺠﺐ ﻣﺘﻮﺟﻪ ﻣﯽ ﺷﻮﯾﻢ ﮐﻪ ﻓﻮﻟﺪر ﻣﺎ ﺧﺎﻟﯽ اﺳﺖ و هﻴﭻ ﯾﮏ از ﻓﺎﯾﻠﻬﺎﯾﯽ ﮐﻪ ﻗﺒﻼ وﺟﻮد داﺷﺘﻨﺪ دﯾﮕﺮ وﺟﻮد ﻧﺪارﻧﺪ . در اﯾﻦ ﻗﺴﻤﺖ روﺷﯽ را ﺑﻪ ﺷﻤﺎ اﻣﻮزش ﻣﯽ دهﻢ ﮐﻪ ﺑﺎ اﯾﻦ روش ﻣﯽ ﺗﻮاﻧﻴﺪ ﻣﺘﻮﺟﻪ ﺷﻮﯾﺪ ﮐﻪ اﯾﺎ ﻓﺎﯾﻠﻬﺎﯼ ﺷﻤﺎ واﻗﻌﺎ ﺣﺬف ﺷﺪﻩ اﻧﺪ ﯾﺎ اﯾﻦ ﮐﻪ ﺑﻪ ﺣﺎﻟﺖ ﺳﻴﺴﺘﻤﯽ ﻣﺨﻔﯽ ﺷﺪﻩ اﻧﺪ. ﺑﺮاي اﻳﻨﮑﻪ ﺑﺘﻮﻧﻴﺪ ﻓﺎﻳﻠﻬﺎ را ﺑﺒﻴﻨﻴﺪ از ﻣﻨﻮي Startروي ﮔﺰﻳﻨﻪ runﮐﻠﻴﮏ ﮐﺮدﻩ و ﺳﭙﺲ ﻋﺒﺎرت cmdرا ﺗﺎﻳﭗ ﮐﻨﻴﺪ و ﺳﭙﺲ okرا ﺑﺰﻧﻴﺪ
ﺑﻌﺪ از ﺑﺎز ﺷﺪن ﻣﺤﻴﻂ cmdدر ان ﺗﺎﻳﭗ ﮐﻨﻴﺪ dir /A name_of_the_folderﺑﺎ اﻳﻦ ﮐﺎر ﺗﻤﺎﻣﻲ ﻓﺎﯾﻠﻬﺎﯾﯽ ﮐﻪ ﺑﻪ ﺣﺎﻟﺖ ﺳﻴﺴﺘﻤﯽ در اﻣﺪﻩ اﻧﺪ ﻗﺎﺑﻞ روﺋﺖ ﺧﻮاهﻨﺪ ﺑﻮد .و ﺷﻤﺎ ﻣﺘﻮﺟﻪ ﺧﻮاهﻴﺪ ﺷﺪ ﮐﻪ ﻓﺎﯾﻠﻬﺎ ﺣﺬف ﻧﺸﺪﻩ اﻧﺪ .و ﺑﺎ اﺳﺘﻔﺎدﻩ از روش ﺑﺎﻻ ﻣﯽ ﺗﻮاﻧﻴﺪ اﻧﻬﺎ را از ﺣﺎﻟﺖ ﺳﻴﺴﺘﻤﯽ ﺧﺎرج ﮐﻨﻴﺪ. ﻧﮑﺘﻪ : name_of_the_folderﻧﺎم ﻓﻮﻟﺪرﯼ ﻣﯽ ﺑﺎﺷﺪ ﮐﻪ اﻃﻼﻋﺎت ﺷﻤﺎ در ان ﻣﺨﻔﯽ ﺷﺪﻩ اﺳﺖ.
ﺑﺎ اﯾﻦ ﺑﺮﻧﺎﻣﻪ هﻢ ﻣﯽ ﺗﻮﻧﻴﺪ ﺗﺎ ﺣﺪودﯼ ﻓﺎﯾﻠﻬﺎﯼ Hiddenﺷﺪﻩ ﺧﻮدﺗﻮن را UnHiddenﮐﻨﻴﺪ.
http://tetra.persiangig.com/Prog/Delphi/UnHiden.rar
ﺑﺎزﮔﺮداﻧﯽ ﺳﺮﻳﻊ ﻓﺎﻳﻠﻬﺎﯼ ﻣﺨﻔﯽ ﺷﺪﻩ اﯾﻦ هﻢ روﺷﯽ ﺑﺮاﯼ ﮐﺴﺎﻧﯽ ﮐﻪ ﻣﯽ ﺧﻮاهﻨﺪ ﺑﻪ ﺳﺮﻋﺖ ﺑﻪ ﻓﺎﯾﻠﻬﺎﯼ ﻣﺨﻔﯽ ﺧﻮدﺷﻮن دﺳﺘﺮﺳﯽ ﭘﻴﺪا ﮐﻨﻨﺪ. ﺑﺮاﯼ اﯾﻦ ﮐﺎر ﮐﺎﻓﯽ اﺳﺖ دﺳﺘﻮرات زﯾﺮ را داﺧﻞ Notepadﮐﭙﯽ ﮐﻨﻴﺪ و ﺑﻌﺪ ان را ﺑﺎ ﻧﺎم و ﭘﺴﻮﻧﺪ mahdi.batذﺧﻴﺮﻩ ﮐﻨﻴﺪ و ﺑﻌﺪ ان را اﺟﺮا ﮐﻨﻴﺪ .ﭼﻨﺪ ﻟﺤﻈﻪ ﻣﻨﺘﻈﺮ ﺑﻤﺎﻧﻴﺪ ﺗﺎ ﻓﺎﯾﻠﻬﺎﯼ ﻣﺨﻔﯽ ﻧﻤﺎﯾﺎن ﺷﻮﻧﺪ. ﺗﺬﮐﺮ :ﺑﺎ اﯾﻦ روش ﻓﺎﯾﻠﻬﺎﯼ ﺳﻮﭘﺮ هﺎﯾﺪن ﻧﻴﺰ ﻗﺎﺑﻞ روﺋﻴﺖ ﺧﻮاهﻨﺪ ﺑﻮد.
ﮐﺪ:
/d /d /d /d /d /d
/s /s /s /s /s /s
*C:\*. *d:\*. *E:\*. *f:\*. *g:\*. *h:\*.
-h -h -h -h -h -h
-s -s -s -s -s -s
attrib attrib attrib attrib attrib attrib
وﻳﺮوس Win32/PSW.Agent.NDP اﯾﻦ وﯾﺮوس ﺑﺎﻋﺚ ﻏﻴﺮﻓﻌﺎل ﺷﺪن ﮔﺰﯾﻨﻪ show hidden files and foldersدر folder optionﻣﯽ ﺷﻮد و ﺑﺎﻋﺚ ﻋﺪم ﻧﻤﺎﯾﺶ ﻓﺎﯾﻠﻬﺎﯼ ﻣﺨﻔﯽ ﻣﯽ ﺷﻮد و اﺟﺎزﻩ ﻧﻤﯽ دهﺪ ﮐﺎرﺑﺮهﺎ ﻓﺎﯾﻠﻬﺎﯼ ﻣﺨﻔﯽ را از ﺣﺎﻟﺖ ﻣﺨﻔﯽ ﺑﻴﺮون ﺑﻴﺎورﻧﺪ. اﯾﻦ وﯾﺮوس ﺑﺎ دﺳﺘﮑﺎرﯼ رﺟﻴﺴﺘﺮﯼ وﯾﻨﺪوز ﺑﺎﻋﺚ ﻣﯽ ﺷﺪ ﮐﻪ ﺷﻤﺎ ﻧﺘﻮﻧﻴﺪ ﺗﻨﻈﻴﻤﺎت hidden file and folderرا ﺗﻐﻴﻴﺮ دهﻴﺪ. ﺑﻪ ﻣﺤﺾ ﺗﻐﻴﻴﺮ دادن اﯾﻦ ﻗﺴﻤﺖ و ﺧﺎرج ﺷﺪن از ان ﺗﻨﻈﻴﻤﺎت ﺑﻪ ﺣﺎﻟﺖ ﭘﻴﺶ ﻓﺮض ﺧﻮد ﺑﺮﻣﻴﮕﺮدﻧﺪ. اﻟﺒﺘﻪ اﯾﻦ وﯾﺮوس ﺧﺮاﺑﮑﺎرﯾﻬﺎﯼ دﯾﮕﺮﯼ هﻢ اﻧﺠﺎم ﻣﯽ دهﺪ اول اﯾﻨﮑﻪ داﺧﻞ ﺗﻤﺎم دراﯾﻮهﺎﯼ ﺷﻤﺎ ﯾﻪ ﻓﺎﯾﻞ autorun.infﻣﯽ ﺳﺎزد ﮐﻪ دراﯾﻮهﺎﯼ هﺎرد ﺷﻤﺎ را autorunﻣﯽ ﮐﻨﺪ. دوم اﯾﻨﮑﻪ دوﺑﺎرﻩ داﺧﻞ ﺗﻤﺎم دراﯾﻮهﺎ ﯾﮏ ﻓﺎﯾﻞ ﺑﻪ ﻧﺎم ntde1ectﻣﯽ ﺳﺎزد ﮐﻪ ﺷﻤﺎ ﺑﻪ ﻣﺤﺾ اﯾﻨﮑﻪ ﻓﻼﭘﯽ وارد ﺳﻴﺴﺘﻢ ﮐﻨﻴﺪ ﯾﺎ ﻓﻠﺶ ﯾﺎ mp3 pleyerرا ﺑﻪ ﮐﺎﻣﭙﻴﻮﺗﺮ ﻣﺘﺼﻞ ﮐﻨﻴﺪ ﯾﮏ ﮐﭙﯽ از ﺧﻮدش ﺑﻪ ﺻﻮرت hiddenوارد دﺳﺘﮕﺎﻩ ﺷﻤﺎ ﯾﺎ ﻓﻼﭘﯽ ﺷﻤﺎ ﻣﯽ ﮐﻨﺪ ﮐﻪ ﺷﻤﺎ ﻣﺘﻮﺟﻪ ان ﻧﻤﯽ ﺷﻮﯾﺪ. اﻟﺒﺘﻪ ﻓﺎﯾﻞ ntde1ectﺧﻴﻠﯽ ﺷﺒﻴﻪ ﻓﺎﯾﻞ ntdetectهﺴﺖ ﮐﻪ داﺧﻞ دراﯾﻮ Cوﺟﻮد دارد و ﺑﺮاﯼ ﺑﺎﻻ اﻣﺪن وﯾﻨﺪوز ﺿﺮورﯼ ﻣﯽ ﺑﺎﺷﺪ. ﻣﻮاﻇﺐ ﺑﺎﺷﻴﺪ اﯾﻦ دو ﻓﺎﯾﻞ را اﺷﺘﺒﺎﻩ ﻧﮕﻴﺮﯾﺪ. ﺳﻮم اﯾﻨﮑﻪ ﺑﺎ اﺟﺮاﯼ ﻓﺎﯾﻞ avpo.exeﺑﻪ ﺷﻤﺎ اﺟﺎزﻩ ﻧﻤﻴﺪهﺪ ﮐﻪ ﻓﻠﺶ ﯾﺎ mp3 pleyerﯾﺎ هﺮ ﭼﻴﺰ دﯾﮕﻪ رو از ﭘﻮرت safe remove ، USBﮐﻨﻴﺪ.
ﻧﺤﻮﻩ ﭘﺎﮎ ﮐﺮدن وﯾﺮوس Win32/PSW.Agent.NDP در ﺣﺎﻟﺖ safe modeوارد وﯾﻨﺪوز ﺷﻮﯾﺪ ) .ﺑﺎ زدن دﮐﻤﻪ F8ﻗﺒﻞ از ﺑﺎﻻ ﺁﻣﺪن وﯾﻨﺪوز ﺣﺎﻟﺖ safe modeرا اﻧﺘﺨﺎب ﮐﻨﻴﺪ) ﭘﻨﺠﺮﻩ Task Managerرا ﺑﺎز ﮐﻨﻴﺪ ) (Ctrl-Alt-Deleteو ﺑﺮﻧﺎﻣﻪ هﺎﯼ زﯾﺮ را در ﺻﻮرت اﺟﺮا ﺑﺒﻨﺪﯾﺪ . wscript.exe :اﮔﺮ در ﺣﺎل اﺟﺮا ﺑﻮد ﺁن را ﺑﺒﻨﺪﯾﺪ)(End process avpo.exe :اﮔﺮ در ﺣﺎل اﺟﺮا ﺑﻮد ﺁن را ﺑﺒﻨﺪﯾﺪ)(End process از ﻗﺴﻤﺖ startﺑﺮﻧﺎﻣﻪ Runرا اﺟﺮا ﮐﻨﻴﺪ و در ﻋﺒﺎرت cmdرا در ﺁن ﺗﺎﯾﭗ ﮐﻨﻴﺪ و enterرا ﺑﺰﻧﻴﺪ. در اﯾﻦ ﻗﺴﻤﺖ در ﺧﻂ ﻓﺮﻣﺎن ﺑﺮﻧﺎﻣﻪ ،دﺳﺘﻮر زﯾﺮ زﯾﺮ را ﺗﺎﯾﭗ ﮐﻨﻴﺪ و enterرا ﺑﺰﻧﻴﺪ . del c:\autorun.* /f /a /s /q اﯾﻦ دﺳﺘﻮر را ﺑﺮاﯼ دراﯾﻮهﺎﯼ دﯾﮕﺮ اﺟﺮا ﮐﻨﻴﺪ .ﺑﺎ اﯾﻦ دﺳﺘﻮر ﺗﻤﺎم ﻓﺎﯾﻠﻬﺎﯼ autorunﻣﻮﺟﻮد deleteﻣﯽ ﺷﻮد. در اﯾﻦ ﻣﺮﺣﻠﻪ در ﺧﻂ ﻓﺮﻣﺎن \ c:دﺳﺘﻮر زﯾﺮ را ﺗﺎﯾﭗ ﮐﻨﻴﺪ ﺗﺎ وارد ﭘﻮﺷﻪ system32ﺷﻮﯾﺪ: C:\cd windows\system32 C:\windows\system32 در اداﻣﻪ دﺳﺘﻮر زﯾﺮ را ﺗﺎﯾﭗ ﮐﻨﻴﺪ و ﺁﻧﺮا اﺟﺮا ﮐﻨﻴﺪ . *.*dir /a avp در اﯾﻦ ﻗﺴﻤﺖ هﺮ ﻓﺎﯾﻠﯽ ﺑﻪ ﻧﺎﻣﻬﺎﯼ avp0.dllو avpo.exeو avp0.exeدﯾﺪﻩ ﺷﺪ ﺁﻧﺮا ﭘﺎﮎ ﮐﻨﻴﺪ . attrib -r -s -h avpo.exe del avpo.exe ﺑﻌﺪ از اﯾﻦ ﻣﺮاﺣﻞ ﺗﻤﺎم ﭘﻨﺠﺮﻩ هﺎ رو ﺑﺒﻨﺪﯾﺪ و ﺑﺮﻧﺎﻣﻪ registryرا اﺟﺮا ﮐﻨﻴﺪ : )(Run \regedit ﻣﺴﻴﺮ زﯾﺮ را دﻧﺒﺎل ﮐﻨﻴﺪ: ﮐﺪ:
HKEY_CURRENT_USER \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run در اﯾﻦ ﻗﺴﻤﺖ هﺮ ﮐﻠﻴﺪﯼ ﮐﻪ ﺑﻪ ﻧﺎم avpo.exeﺑﻮد را deleteﮐﻨﻴﺪ. در ﺑﺮﻧﺎﻣﻪ registryﻗﺴﻤﺖ editﮔﺰﯾﻨﻪ Findرا ﮐﻠﻴﮏ ﮐﻨﻴﺪ و ﻋﺒﺎرت ntde1ectرا ﺟﺴﺘﺠﻮ ﮐﻨﻴﺪ .ﺗﻤﺎم ﮐﻠﻴﺪهﺎﯼ ﭘﻴﺪا ﺷﺪﻩ را deleteﮐﻨﻴﺪ . اﯾﻦ ﮐﺎر را ﺑﺮاﯼ ﻓﺎﯾﻞ avpo.exeﻧﻴﺰ اﻧﺠﺎم دهﻴﺪ و ﺗﻤﺎم ﮐﻠﻴﺪهﺎﯼ ﭘﻴﺪا ﺷﺪﻩ را deleteﮐﻨﻴﺪ . در ﺁﺧﺮ ﮐﺎر ﺳﺮاغ ﮐﻠﻴﺪ زﯾﺮ ﺑﺮوﯾﺪ و ﻣﻘﺪار CheckedValueرا ﺑﺮاﺑﺮ 1ﻗﺮار دهﻴﺪ .
ﮐﺪ:
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion Explorer/Advanced/Folder/Hidden/SHOWALL
وﻳﺮوسkernel.exe kernelوﻳﺮوﺳﻲ اﺳﺖ ﮐﻪ هﺮ ﭼﻨﺪ دﻗﻴﻘﻪ ﻳﮑﺒﺎر ﺑﺎ errorي ﮐﻪ در زﻳﺮ ﺗﺼﻮﻳﺮ ان را ﻗﺮار دادﻩ ام ﻇﺎهﺮ ﻣﻲ ﺷﻮد .اﮐﺜﺮ ﮐﺎرﺑﺮان ﺑﻪ اﻳﻦ وﻳﺮوس ﮔﺮﻓﺘﺎر ﺷﺪﻩ اﻧﺪ . در واﻗﻊ اﻳﻦ ﻳﮏ وﻳﺮوس ﻧﻴﺴﺖ زﻳﺮا ﮐﺎر ﻣﺨﺮﺑﻲ روي ﺳﻴﺴﺘﻢ اﻧﺠﺎم ﻧﻤﻲ دهﺪ .در واﻗﻊ ﻳﮏ ﺑﺮﻧﺎﻣﻪ ﻣﻲ ﺑﺎﺷﺪ ﮐﻪ ﺷﺒﺎهﺘﻲ ﺑﻪ وﻳﺮوس دارد و ﺑﻪ هﻤﻴﻦ دﻟﻴﻞ هﻴﭻ ﻳﮏ از اﻧﺘﻲ وﻳﺮوس هﺎ ﻗﺎدر ﺑﻪ ﺷﻨﺎﺳﺎﻳﻲ و ﭘﺎﮎ ﮐﺮدن ان ﻧﻴﺴﺘﻨﺪ .ﺣﺘﻲ ﻗﻮي ﺗﺮﻳﻦ و ﺑﻪ روز ﺗﺮﻳﻦ اﻧﺘﻲ وﻳﺮوس هﺎ. اﻳﻦ وﻳﺮوس از ﻃﺮﻳﻖ ﺻﻔﺤﺎت htmlﮐﻪ از اﻳﻨﺘﺮﻧﺖ ذﺧﻴﺮﻩ ﻣﻲ ﮐﻨﻴﺪ ﺑﻪ وﺟﻮد ﻣﻲ اﻳﺪ . اﻳﻦ وﻳﺮوس ﺳﻪ ﻓﺎﻳﻞ ﺑﺎ ﻧﺎم هﺎي kernal.vbsو kernal.exeو systems.exeدارد ﮐﻪ هﺮ ﺳﻪ ﻓﺎﻳﻞ در ﭘﻮﺷﻪ C:\WINDOWS\system32ذﺧﻴﺮﻩ ﻣﻲ ﺷﻮﻧﺪ. در واﻗﻊ اﻳﻦ وﻳﺮوس ﺧﻮد را ﺟﺰء ﭘﺮوﺳﻪ هﺎي ﺳﻴﺴﺘﻢ ﻋﺎﻣﻞ ﻧﻴﺰ ﻣﻲ داﻧﺪ و در task managerدر ﺗﺐ processesﺑﺎ ﻧﺎم kernel.exeدر ﺣﺎل ﻓﻌﺎﻟﻴﺖ ﻣﻲ ﺑﺎﺷﺪ. اﻳﻦ وﻳﺮوس هﻤﻪ ي ﻓﺎﻳﻞ هﺎي HTMLو Htmرو ﺁﻟﻮدﻩ ﻣﻴﮑﻨﺪ و ﺑﻪ ﺁﺧﺮ ﻓﺎﻳﻞ هﺎ ﮐﺪهﺎي ﻣﺨﺮب Vbscriptرو ﮐﻪ ﭼﻨﺪ ﺗﺎ ﻓﺎﻳﻞ ﺑﺎ ﻧﺎم هﺎ kernel.exeو kernel.vbsاﺳﺖ را اﻳﺠﺎد ﻣﻴﮑﻨﺪ. اﻳﻦ وﻳﺮوس ﺣﺘﻲ ﺑﺎ ﺗﻌﻮﻳﺾ ﺳﻴﺴﺘﻢ ﻋﺎﻣﻞ هﻢ از ﺑﻴﻦ ﻧﺨﻮاهﺪ رﻓﺖ. از اﺛﺮات اﻳﻦ ﻓﺎﻳﻞ ﺁﻟﻮدﻩ: 1ارورهﺎي ﭘﺸﺖ ﺳﺮ هﻢ2ﺑﺎﻋﺚ ﭘﺎﻳﻴﻦ ﺁﻣﺪن ﺳﺮﻋﺖ ﮐﺎﻣﭙﻴﻮﺗﺮ3ﺑﺎﻋﺚ ﭘﺎﻳﻴﻦ ﺁﻣﺪن ﺳﺮﻋﺖ اﻳﻨﺘﺮﻧﺖ4دادن اﻃﻼﻋﺎت ﻣﺜﻞ ﻳﻮزر و ﭘﺴﻮرد اﻳﻨﺘﺮﻧﺘﺘﺎن ﺑﻪ ﺷﺨﺺ هﮑﺮ5-ﺁﻟﻮدﻩ ﮐﺮدن ﻓﺎﻳﻠﻬﺎيHTML
ﻧﺤﻮﻩ ﭘﺎﮎ ﮐﺮدن وﻳﺮوسkernel.exe ﺑﺮاي ﭘﺎﮎ ﮐﺮدن اﻳﻦ وﻳﺮوس ﺷﻤﺎ ﺑﺎﻳﺪ اﺑﺘﺪا ﺑﺎ زدن ﮐﻠﻴﺪ هﺎي ﺗﺮﮐﻴﺒﻲ ctrl + alt + deleteوارد task managerﺷﻮﻳﺪ و ﺑﻪ ﺗﺐ processesرﻓﺘﻪ و ﻓﺎﻳﻠﻲ ﺑﺎ ﻧﺎم kernel.exeرا ﭘﺎﮎ ﮐﻨﻴﺪ. ﺳﭙﺲ ﺑﻪ ﻣﺴﻴﺮ زﻳﺮ رﻓﺘﻪ C:\WINDOWS\system32رﻓﺘﻪ و دو ﻓﺎﻳﻞ ﺑﺎ ﻧﺎم kernelو ﺑﮏ ﻓﺎﻳﻞ ﺑﺎ ﻧﺎم Systemsرا ﭘﻴﺪا ﮐﺮدﻩ و ﭘﺎﮎ ﮐﻨﻴﺪ. ﺗﻮﺟﻪ داﺷﺘﻪ ﺑﺎﺷﻴﺪ ﺷﻤﺎ در ﺻﻮرﺗﻲ ﻣﻲ ﺗﻮاﻧﻴﺪ اﻳﻦ ﻓﺎﻳﻠﻬﺎ را ﭘﺎﮎ ﮐﻨﻴﺪ ﮐﻪ ﭘﺮوﺳﻪ kernel.exeرا از task managerﭘﺎﮎ ﮐﺮدﻩ ﺑﺎﺷﻴﺪ .در ﻏﻴﺮ اﻳﻦ ﺻﻮرت اﺟﺎزﻩ ﭘﺎﮎ ﺷﺪن را ﺑﻪ ﺷﻤﺎ ﻧﺨﻮاهﺪ داد. ﺳﭙﺲ ﺑﻪ ﻣﻨﻮي اﺳﺘﺎرت رﻓﺘﻪ و ﻋﺒﺎرت msconfigرا در runﺗﺎﻳﭗ ﮐﻨﻴﺪ و در ﻗﺴﻤﺖ startupاﮔﺮ ﻓﺎﻳﻠﻬﺎي ﺑﺎﻻ وﺟﻮد دارﻧﺪ ﺗﻴﮏ اﻧﻬﺎ را ﺑﺮدارﻳﺪ و ﺳﭙﺲ ﮐﺎﻣﭙﻴﻮﺗﺮ را رﻳﺴﺘﺎرت ﮐﻨﻴﺪ دوﺑﺎرﻩ ﭼﮏ ﮐﻨﻴﺪ ﮐﻪ وﻳﺮوس در ﺣﺎﻓﻈﻪ ﺑﺎر ﻧﺸﺪﻩ ﺑﺎﺷﺪ . ﺑﻌﺪ ﺑﻪ internet temporaryاز ﻃﺮﻳﻖ ﻣﺴﻴﺮ زﻳﺮ رﻓﺘﻪ و ﺗﻤﺎم ﻣﺤﺘﻮﻳﺎت ان را ﺧﺎﻟﻲ ﮐﻨﻴﺪ.
ﮐﺪ:
<win_drive>:\Documents and Settings\<user_name>\Local Settings\Temporary Internet Files ﺑﺮﻧﺎﻣﻪ ﺑﺮاي از ﺑﻴﻦ ﺑﺮدن اﻳﻦ وﻳﺮوس
ﻟﻴﻨﮏ ﺑﺮﻧﺎﻣﻪ از ﺳﺎﯾﺖ ﺳﺎزﻧﺪﻩ ﺑﺮﻧﺎﻣﻪ از دوﺳﺖ ﺧﻮﺑﻢ ) omid.sarmadاﯾﻦ ﻟﻴﻨﮏ ﺷﺎﻣﻞ ﻧﺴﺨﻪ ﮐﺎﻣﻞ ﺷﺪﻩ اﯾﻦ اﻧﺘﯽ وﯾﺮوس ﻣﯽ ﺑﺎﺷﺪ(
www.radsoftwareteam.com/Downloads/Files/rad-kk.exe داﻧﻠﻮد ﺑﺮﻧﺎﻣﻪ از ﭘﺮﺷﻴﻦ ﮔﻴﮓ از دوﺳﺖ ﺧﻮﺑﻢya30n
http://softestan.persiangig.com/ya30n/Setup.exe
ﻧﺤﻮﻩ ﭘﺎﮎ ﮐﺮدن وﻳﺮوسBronTok.A : در زﯾﺮ ﺑﻪ ﺑﺮﺧﯽ از وﯾﮋﮔﯽ هﺎﯼ اﯾﻦ وﯾﺮوس اﺷﺎرﻩ ﻣﯽ ﮐﻨﻴﻢ: 1 2 3 4 5 6 7
. . . . . . .
Folder Optionsرا ﺣﺬف ﻣﯽ ﮐﻨﺪ ! Registry Toolsرا ﻗﻔﻞ ﻣﯽ ﮐﻨﺪ ! Task Managerﻧﻤﯽ ﺗﻮاﻧﺪ ﻓﺎﯾﻞ هﺎﯼ ﻣﺮﺑﻮط ﺑﻪ اﯾﻦ وﯾﺮوس را Endﮐﻨﺪ ! ﭘﺲ از اﺟﺮا ﺷﺪن ،ﻣﺤﺘﻮﯾﺎت My Documentsرا ﻧﻤﺎﯾﺶ ﻣﯽ دهﺪ ! اﮔﺮ در ﮐﺎدر ﻣﺤﺎورﻩ اﯼ Runﻋﺒﺎرت Regedt32 ،msconfig ،Regedit ،CMDرا ﺗﺎﯾﭗ ﮐﻨﻴﺪ ،ﺳﻴﺴﺘﻢ ﺑﻼﻓﺎﺻﻠﻪ Restartﻣﯽ ﺷﻮد ! اﮔﺮ روﯼ ﮔﺰﯾﻨﻪ ﯼ Log Offﯾﺎ Turn Off Computerﮐﻠﻴﮏ ﮐﻨﻴﺪ ،ﺳﻴﺴﺘﻢ Restartﻣﯽ ﺷﻮد ! ﺁﯾﮑﻮن اﯾﻦ وﯾﺮوس ﺷﺒﻴﻪ ﺁﯾﮑﻮن ﯾﻪ ﭘﻮﺷﻪ اﺳﺖ !
هﻤﺎﻧﻄﻮر ﮐﻪ ﻣﯽ داﻧﻴﺪ ﻓﺎﯾﻞ هﺎﯼ winlogon.exe ، lsass.exeو services.exeاز ﻓﺎﯾﻞ هﺎﯼ ﺳﻴﺴﺘﻤﯽ ﺑﻮدﻩ و هﻤﻴﺸﻪ در ﺣﺎل اﺟﺮا هﺴﺘﻨﺪ... اﮔﺮ ﺷﻤﺎ ﺑﺮﻧﺎﻣﻪ ﯼ Process Masterرا اﺟﺮا ﮐﻨﻴﺪ ،ﻣﯽ ﺑﻴﻨﻴﺪ ﮐﻪ اﯾﻦ ﻓﺎﯾﻞ هﺎ در ﭘﻮﺷﻪ ﯼ System32ﻗﺮار دارﻧﺪ. اﻣﺎ اﮔﺮ وﯾﺮوس BronTok.Aروﯼ ﺳﻴﺴﺘﻢ ﺷﻤﺎ ﻧﺼﺐ ﺑﺎﺷﺪ ،ﺧﻮاهﻴﺪ دﯾﺪ ﮐﻪ ﺳﻪ ﺗﺎ ﻓﺎﯾﻞ دﯾﮕﺮ ﺑﺎ هﻤﻴﻦ ﻧﺎم هﺎ در ﺣﺎل اﺟﺮا هﺴﺘﻨﺪ!! ﯾﻌﻨﯽ دو ﺗﺎ ، winlogon.exeدو ﺗﺎ lsass.exeو دو ﺗﺎ! services.exe اﻣﺎ ﺑﻪ راﺣﺘﯽ ﻣﻴﺸﻮد ﻓﻬﻤﻴﺪ ﮐﻪ ﮐﺪام وﯾﺮوﺳﻨﺪ و ﮐﺪام ﻓﺎﯾﻞ اﺻﻠﯽ وﯾﻨﺪوز... ﺁن ﺳﻪ ﺗﺎ ﻓﺎﯾﻠﯽ ﮐﻪ ﻣﺮﺑﻮط ﺑﻪ وﯾﺮوس ﻣﻴﺸﻮﻧﺪ ،در ﭘﻮﺷﻪ اﯼ ﻏﻴﺮ از System32ﻗﺮار دارﻧﺪ. ﻣﺴﻴﺮ دﻗﻴﻘﺸﺎن ﻣﻴﺸﻮد: C:\Documents and Settings\User\Local Settings\Application Data Cﻧﺎم هﻤﺎن دراﯾﻮﯾﺴﺖ ﮐﻪ وﯾﻨﺪوز در ﺁن ﻧﺼﺐ ﮔﺮدﯾﺪﻩ و Userﻧﺎم ﮐﺎرﺑﺮﯼ اﺳﺖ ﮐﻪ وﯾﺮوس در ﺁن اﺟﺮا ﺷﺪﻩ... ﺑﻌﺪ از اﯾﻨﮑﻪ ﺑﺎ ﻧﺮم اﻓﺰار Process Masterﻣﺘﻮﺟﻪ ﺷﺪﯾﺪ ﮐﻪ ﮐﺪام وﯾﺮوﺳﻨﺪ ،ﺑﺎﯾﺪ ﺁن هﺎ رو Kill processﮐﻨﻴﺪ. اﮔﺮ اﺣﻴﺎﻧﺎ ﻓﺎﯾﻞ هﺎﯼ دﯾﮕﺮﯼ ﺑﺎ ﻧﺎم هﺎﯼ csrss.exe ، inetinfo.exeو smss.exeﻧﻴﺰ در ﺣﺎل اﺟﺮا ﺑﻮدﻧﺪ ﺁﻧﻬﺎ را هﻢ Kill processﮐﻨﻴﺪ .اﻟﺒﺘﻪ ﺑﻪ ﺷﺮﻃﯽ ﮐﻪ ﻣﺴﻴﺮﺷﺎن ﻏﻴﺮ از System32ﺑﺎﺷﺪ... ﺣﺎﻻ وﻗﺖ ﺁن اﺳﺖ ﮐﻪ از ﻧﺮم اﻓﺰار Kill BronTok.Aاﺳﺘﻔﺎدﻩ ﮐﻨﻴﺪ. ﭘﺲ از اﯾﻨﮑﻪ ﻧﺮم اﻓﺰار Kill BronTok.Aﮐﺎرش ﺗﻤﺎم ﺷﺪ ،ﺁن را ﺑﺒﻨﺪﯾﺪ و ﺑﻪ ﻣﻨﻮﯼ Startﺑﺮﯾﺪ و روﯼ ﮔﺰﯾﻨﻪ ﯼ Searchﮐﻠﻴﮏ ﮐﻨﻴﺪ. در ﺳﻤﺖ ﭼﭗ روﯼ ﮔﺰﯾﻨﻪ ﯼ All files and foldersﮐﻠﻴﮏ ﮐﻨﻴﺪ. در ﻓﻴﻠﺪ All or part of the file nameﻋﺒﺎرت Empty.pifرا ﺗﺎﯾﭗ ﮐﻨﻴﺪ و از روﯼ ﮐﻴﺒﺮد ﮐﻠﻴﺪ Enterرا ﻓﺸﺎر دهﻴﺪ .اﮐﻨﻮن ﺗﻤﺎم ﻓﺎﯾﻞ هﺎﯼ ﭘﻴﺪا ﺷﺪﻩ را ﭘﺎﮎ ﮐﻨﻴﺪ. دوﺑﺎرﻩ در ﻓﻴﻠﺪ ﻣﺬﮐﻮر ﻋﺒﺎرت زﯾﺮ را ﺗﺎﯾﭗ ﮐﻨﻴﺪ و از روﯼ ﮐﻴﺒﺮد ﮐﻠﻴﺪ Enterرا ﻓﺸﺎر دهﻴﺪ. *.exe.* ،scr اﮐﻨﻮن از ﺑﻴﻦ ﻓﺎﯾﻞ هﺎﯼ ﭘﻴﺪا ﺷﺪﻩ ،هﺮ ﻓﺎﯾﻠﯽ ﮐﻪ ﺁﯾﮑﻮﻧﺶ ﺷﺒﻴﻪ ﺁﯾﮑﻮن ﭘﻮﺷﻪ ﺑﻮد رو ﭘﺎﮎ ﮐﻨﻴﺪ. ﻣﺠﺪدا در ﻓﻴﻠﺪ All or part of the file nameﻋﺒﺎرت زﯾﺮ را ﺗﺎﯾﭗ ﮐﻨﻴﺪ و از روﯼ ﮐﻴﺒﺮد ﮐﻠﻴﺪ Enterرا ﻓﺸﺎر دهﻴﺪ.
*job. ﺗﻤﺎم ﻓﺎﯾﻞ هﺎﯼ ﭘﻴﺪا ﺷﺪﻩ را ﭘﺎﮎ ﮐﻨﻴﺪ. ﺑﺎز هﻢ در ﻓﻴﻠﺪ ﻓﻮق اﻟﺬﮐﺮ ﻋﺒﺎرت Bronرا ﺗﺎﯾﭗ ﮐﻨﻴﺪ و از روﯼ ﮐﻴﺒﺮد ﮐﻠﻴﺪ Enterرا ﻓﺸﺎر دهﻴﺪ. اﮐﻨﻮن ﺗﻤﺎم ﻓﺎﯾﻞ هﺎ و ﭘﻮﺷﻪ هﺎﯼ ﭘﻴﺪا ﺷﺪﻩ را ﭘﺎﮎ ﮐﻨﻴﺪ. اﮐﻨﻮن ﺑﺎ ﺧﻴﺎل راﺣﺖ ﮐﺎﻣﭙﻴﻮﺗﺮﺗﺎن را Restartﮐﻨﻴﺪ. ﻧﮑﺘﻪ :اﮔﺮ وﯾﻨﺪوزﺗﺎن ﺑﻴﺸﺘﺮ از ﯾﮏ ﮐﺎرﺑﺮ دارد ،ﺑﺎﯾﺪ ﺗﻤﺎم ﻋﻤﻠﻴﺎت ﻓﻮق را در هﻤﻪ ﯼ ﮐﺎرﺑﺮهﺎ اﻧﺠﺎم دهﻴﺪ
ﭘﺎﮎ ﮐﺮدن وﻳﺮوس New Folder.exe اﺣﺘﻤﺎﻻ ﺗﺎ ﺣﺎﻻ ﺑﺎ وﯾﺮوس New Folder.exeﻣﻮاﺟﻪ ﺷﺪﻩ اﯾﺪ! ﻗﺴﻤﺘﯽ از ﻣﺸﺨﺼﺎت اﯾﻦ وﯾﺮوس ﺑﻪ ﺷﺮح زﯾﺮ اﺳﺖ: 1 .ﺁﯾﮑﻮن ﺁن ﺷﺒﻴﻪ ﺁﯾﮑﻮن ﯾﮏ ﭘﻮﺷﻪ اﺳﺖ. 2 .اﻧﺪازﻩ ﯼ ﺁن 140ﮐﻴﻠﻮﺑﺎﯾﺘﻪ. 3 .ﭘﺲ از اﺟﺮاﯼ اﯾﻦ وﯾﺮوس ،ﻣﺤﺘﻮﯾﺎت ﭘﻮﺷﻪ ﯼ My Documentsﻧﻤﺎﯾﺶ دادﻩ ﻣﯽ ﺷﻮد. 4 .اﯾﻦ وﯾﺮوس ﺗﻮﻟﻴﺪ ﻣﺜﻞ هﻢ ﻣﯽ ﮐﻨﻪ! 5 .ﮔﺰﯾﻨﻪ ﯼ Turn Off Computerرو از ﻣﻨﻮﯼ Startﺣﺬف ﻣﯽ ﮐﻨﻪ. 6 .از اﺟﺮاﯼ windows Task Manager ، Registry Toolsو System Configuration Utilityﺟﻠﻮﮔﻴﺮﯼ ﻣﯽ ﮐﻨﻪ. 7 .ﭘﺲ از ﻣﺪﺗﯽ Registry Toolsو Task Managerرو ﻏﻴﺮ ﻓﻌﺎل ﻣﯽ ﮐﻨﻪ. 8 .ﻇﺎهﺮا ﺗﻮﺳﻂ ﺷﺨﺼﯽ ﺑﻪ ﻧﺎم ﻋﻠﯽ ﺻﺎدﻗﯽ ﻧﻮﺷﺘﻪ ﺷﺪﻩ ،ﭼﻮن وﻗﺘﯽ داﺷﺘﻢ ﮐﺪهﺎﯼ اﺳﻤﺒﻠﯽ اﯾﻦ وﯾﺮوس رو ﻣﺸﺎهﺪﻩ ﻣﯽ ﮐﺮدم ﺑﺎ ﺟﻤﻠﻪ ﯼ زﯾﺮ ﻣﻮاﺟﻪ ﺷﺪم: i am ali sadeghi,master of you ﭼﻘﺪر هﻢ ﻣﻐﺮور ! 9 .ﻓﮑﺮ ﮐﻨﻢ اﺳﻢ اﺻﻠﯽ اﯾﻦ وﯾﺮوس Mahsaﺑﺎﺷﻪ! ... ﺧﻼﺻﻪ ﺑﻪ درﺧﻮاﺳﺖ ﯾﮑﯽ از دوﺳﺘﺎن ،ﻣﻦ ﻧﺸﺴﺘﻢ و ﺿﺪ اﯾﻦ وﯾﺮوس رو ﻧﻮﺷﺘﻢ ﮐﻪ ﻣﯽ ﺗﻮﻧﻴﺪ از ﻟﻴﻨﮏ زﯾﺮ داﻧﻠﻮد ﮐﻨﻴﺪ... داﻧﻠﻮدKill New Folder.exe
http://feng1.persiangig.com/Programs/KNF.zip ﭘﺲ از اﯾﻨﮑﻪ ﺑﺮﻧﺎﻣﻪ ﯼ Kill New Folder.exeﮐﺎر ﺧﻮدش رو اﻧﺠﺎم داد ،ﺑﺎﯾﺪ ﻣﺎﺑﻘﯽ وﯾﺮوس هﺎ رو ﺧﻮدﺗﻮن ﺑﻪ ﺻﻮرت دﺳﺘﯽ ﭘﺎﮎ ﮐﻨﻴﺪ. ﺑﺮاﯼ ﭘﺎﮎ ﮐﺮدن ﻣﺎﺑﻘﯽ وﯾﺮوس هﺎ ﺑﻪ ﺷﻴﻮﻩ ﯼ زﯾﺮ ﻋﻤﻞ ﮐﻨﻴﺪ: 1 .ﺑﻪ ﻣﻨﻮﯼ Startﺑﺮوﯾﺪ و روﯼ ﮔﺰﯾﻨﻪ ﯼ Searchﮐﻠﻴﮏ ﮐﻨﻴﺪ ﺗﺎ ﭘﻨﺠﺮﻩ ﯼ ﻣﺮﺑﻮﻃﻪ ﻧﻤﺎﯾﺶ دادﻩ ﺷﻮد. 2 .در ﺳﻤﺖ ﭼﭗ روﯼ ﮔﺰﯾﻨﻪ ﯼ All files and foldersﮐﻠﻴﮏ ﮐﻨﻴﺪ. 3 .در ﻗﺴﻤﺖ All or part the file nameﻋﺒﺎرت New Folder.exeرا ﺗﺎﯾﭗ ﮐﻨﻴﺪ و روﯼ ﮔﺰﯾﻨﻪ ﯼ Searchﮐﻠﻴﮏ ﻧﻤﺎﯾﻴﺪ. ﺣﺎﻻ ﺗﻤﺎم ﻓﺎﯾﻞ هﺎﯼ ﭘﻴﺪا ﺷﺪﻩ رو ﭘﺎﮎ ﮐﻨﻴﺪ. ﺣﻮاﺳﺘﻮن ﺑﺎﺷﻪ ﻣﺠﺪدا ﯾﮑﯽ از اوﻧﺎ رو اﺟﺮا ﻧﮑﻨﻴﺪ.
ﯾﮑﯽ از ﺑﻬﺘﺮﯾﻦ اﻧﺘﯽ وﯾﺮوس هﺎ ﺑﺮاﯼ از ﺑﻴﻦ ﺑﺮدن ﮐﺮﻣﯽ ﮐﻪ folder optionرا از ﺑﻴﻦ ﻣﯽ ﺑﺮد .اﯾﻦ اﻧﺘﯽ وﯾﺮوس ﻣﺤﺼﻮل ﯾﮑﯽ از ﺑﺰرﮔﺘﺮﯾﻦ و ﺑﻬﺘﺮﯾﻦ ﺳﺎزﻧﺪﻩ اﻧﺘﯽ وﯾﺮوس ﯾﻌﻨﯽ bitdefenderاﺳﺖ .ﺣﺘﻤﺎ ان را داﻧﻠﻮد ﮐﺮدﻩ و ﺳﻴﺴﺘﻢ ﺧﻮد را ﺑﻌﺪ از اﻧﺠﺎم ﻣﺮاﺣﻞ ﺑﺎﻻ اﺳﮑﻦ ﮐﻨﻴﺪ.
http://www.bitdefender.com/VIRUS-157247-en--Win32.Brontok.A@mm.html
وﻳﺮوس )Antichrist (virus hoax اﯾﻦ وﯾﺮوس ﯾﺎ ﮐﺮم ﺑﺎ ﭘﻴﻐﺎﻣﯽ ﮐﻪ ﻣﯽ دهﺪ در واﻗﻊ ﺷﻤﺎ را ﺑﻪ راﻩ راﺳﺖ هﺪاﯾﺖ ﻣﯽ ﮐﻨﺪ و ﺑﻪ ﻧﺎم وﯾﺮوس ﺳﺘﺎﯾﺶ ﻧﻴﺰ ﻣﻌﺮوف اﺳﺖ.
اﯾﻦ وﯾﺮوس ﮐﻪ ﺑﺎ ﻧﺎم هﺎﯼ Day of Judgmetو Antichristهﻢ ﺷﻨﺎﺧﺘﻪ ﻣﯽ ﺷﻮد ﯾﮏ ﮐﺮم اﯾﺮاﻧﯽ اﺳﺖ ﮐﻪ ﺳﻴﺴﺘﻢ ﻋﺎﻣﻞ هﺎﯼ وﯾﻨﺪوز ٣٢ﺑﻴﺘﯽ را ﻣﻮرد ﺣﻤﻠﻪ ﻗﺮار ﻣﯽ دهﺪ.
از ﻣﺸﺨﺼﻪ هﺎﯼ ﺑﺎرز اﯾﻦ ﮐﺮم ﻣﯽ ﺗﻮان ﺑﻪ ﻣﻮارد زﯾﺮ اﺷﺎرﻩ ﮐﺮد: ﻏﻴﺮﻓﻌﺎل ﮐﺮدنFolder Option ﺑﺎز ﺷﺪن ﺻﻔﺤﻪ اﯾﻨﺘﺮﻧﺘﯽ ﺑﺎ ﻋﻨﻮان( Day of Judgmentﺑﻪ ﻣﻌﻨﯽ روز داورﯼ( ﮐﻪ ﺗﺮﺟﻤﻪ اﻧﮕﻠﻴﺴﯽ ﺳﻮرﻩ ﺣﻤﺪ ﺑﺮ روﯼ ﭘﺲ زﻣﻴﻨﻪ ﺳﺒﺰ در ﺁن ﻣﺸﺎهﺪﻩ ﻣﯽ ﺷﻮد. اﯾﻦ هﻢ ﺗﺼﻮﯾﺮ ﺻﻔﺤﻪhtml
اﯾﻦ ﺻﻔﺤﻪ در هﺮ ﺑﺎر ﺑﻮت ﺷﺪن وﯾﻨﺪوز ﺑﻪ ﺷﻤﺎ ﻧﺸﺎن دادﻩ ﻣﯽ ﺷﻮد.هﻤﭽﻨﻴﻦ در هﺮ ﺑﺎر ﺑﻮت ﺷﺪن وﯾﻨﺪوز ﭘﻨﺠﺮﻩ اﯼ ﺑﺎ ﺗﻴﺘﺮ Antichristو ﺑﺎ ﻣﺤﺘﻮاﯼ Day of Judgmentﻧﻤﺎﯾﺶ دادﻩ ﻣﯽ ﺷﻮد. در ﺑﻌﻀﯽ ﻣﻮاﻗﻊ ﺟﻠﻮﯼ اﺟﺮاﯼ Regeditو Task Managerﺑﺎ ﺁﻟﻮدﻩ ﺷﺪن ﺗﻮﺳﻂ اﯾﻦ وﯾﺮوس ﮔﺮﻓﺘﻪ ﻣﯽ ﺷﻮد. ﺳﺮﻋﺖ ﮐﻠﯽ ﺳﻴﺴﺘﻢ ﺑﻪ ﺷﺪت ﭘﺎﯾﻴﻦ ﻣﯽ ﺁﯾﺪ و در ﻓﻬﺮﺳﺖ ﭘﺮوﺳﺲ هﺎﯼ وﯾﻨﺪوز ﻣﯽ ﺗﻮاﻧﻴﺪ Sys.exeو در ﻗﺴﻤﺖ ﺑﺮﻧﺎﻣﻪ هﺎﯼ startupﻧﺎم wma.exe و blank.htmرا ﻣﺸﺎهﺪﻩ ﮐﻨﻴﺪ . و ﮔﺎهﯽ اوﻗﺎت هﻨﮕﺎم ﺑﺎﻻ اﻣﺪن وﯾﻨﺪوز ﯾﮏ ﻓﺎﯾﻞ htmlدر ادرس c:\windows\system32\blank.htmاﺟﺮا ﻣﯽ ﮔﺮدد. هﻤﭽﻨﻴﻦ وﯾﺮوس ﺧﻮد را در ﺗﻤﺎم دراﯾﻮهﺎ ﺑﺎ ﻧﺎم Autoplay.exeﮐﭙﯽ ﻣﯽ ﮐﻨﺪ ﮐﻪ ﺑﺎ هﺮ ﺑﺎر ﮐﻠﻴﮏ روﯼ دراﯾﻮ هﺎ ﻣﻨﺘﺸﺮ ﻣﯽ ﺷﻮد. اﯾﻦ هﻢ ﻣﺘﻦ AUTORUNاﯾﻦWORM .
ﮐﺪ:
][autorun open=Recycler.{645FF040-5081-101B-9F08-00AA002F954E}\sys.exe a shell\open=Open shell\open\Command=Recycler.{645FF040-5081-101B-9F08-00AA002F954E}\sys.exe o shell\open\Default=1 shell\explore=Explore shell\explore\Command=Recycler.{645FF040-5081-101B-9F08-00AA002F954E}\sys.exe e
اﻳﻦ آﺮم اﻳﺮاﻧﻲ ﭘﺲ از اﺟﺮاي ﻓﺎﻳﻞ ﺁن ﺑﺮ روي ﺳﻴﺴﺘﻢ آﺎرﺑﺮ ،اﺑﺘﺪا ﺧﻮدش را ﺑﻪ ﺻﻮرت زﻳﺮ ﺑﺮ روي ﺳﻴﺴﺘﻢ آﭙﻲ ﻣﻲﻧﻤﺎﻳﺪ:
ﮐﺪ:
%System32%\Sys.exe
%Windows%\Shell.exe %Windows%\vxds.exe %Windows%\Help\vxds.exe %Windows%\media\wma.exe و ﺑﺮاي اﻳﻨﮑﻪ ﺑﺎ هﺮ ﺑﺎر ﺑﺎﻻ ﺁﻣﺪن ﺳﻴﺴﺘﻢ اﻳﻦ ﻓﺎﻳﻞهﺎ اﺟﺮا ﮔﺮدﻧﺪ ،ﺁﻧﻬﺎ را ﺑﻪ ﺷﮑﻞ زﻳﺮ در رﺟﻴﺴﺘﺮي ﺛﺒﺖ ﻣﻲﮐﻨﺪ: ﮐﺪ:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon Shell = userinit.exe, sys.exe Userinit = Explorer.exe shell.exe HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run vxds = %Windows%\vxds.exe هﻤﭽﻨﻴﻦ در ﻣﺴﻴﺮ System32ﻓﺎﻳﻠﻲ ﺑﺎ ﻧﺎم OEMLOGO.BMPﺑﻪ ﺻﻮرت ﻣﺨﻔﻲ اﻳﺠﺎد ﻣﻲﮐﻨﺪ ﮐﻪ ﺑﻪ ﺷﮑﻞ زﻳﺮ ﻣﻲﺑﺎﺷﺪ: ﺑﻌﻼوﻩ در هﻤﻴﻦ ﻣﺴﻴﺮ ﻓﺎﻳﻠﻲ ﺑﺎ ﻧﺎم OEMLOGO.INIﺑﻪ ﺻﻮرت ﻣﺨﻔﻲ ﻣﻲﺳﺎزد ﮐﻪ ﻣﺤﺘﻮﻳﺎت ﺁن ﺑﻪ ﺷﮑﻞ زﻳﺮ اﺳﺖ: ﮐﺪ:
][General ]Manufacturer=[Antichrist ]Model=[Day of judgment SupportURL=hxxp://www.antichrist.com/ LocalFile=blank.htm ][Support Information Line1=When comes the help of Allah, and victory,. Line2=And thou dost see the people enter Allah's religion in crowds,. Line3=Celebrate the praises of thy Lord, and pray for his forgiveness: for he is oftReturning (in forgiveness).. ﻓﺎﻳﻞ دﻳﮕﺮي ﻧﻴﺰ در هﻤﻴﻦ ﻣﺴﻴﺮ ﺑﺎ ﻧﺎم blank.htmﺑﻪ ﺻﻮرت ﻣﺨﻔﻲ اﻳﺠﺎد ﻣﻲﮐﻨﺪ ﮐﻪ ﺑﺎ اﺟﺮاي ﺁن ﺻﻔﺤﻪاي ﺑﻪ ﺷﮑﻞ زﻳﺮ ﺑﻪ ﻧﻤﺎﻳﺶ درﻣﻲﺁﻳﺪ: ﮐﻪ ﻣﺘﻦ اﻧﮕﻠﻴﺴﻲ ﻧﻤﺎﻳﺶ دادﻩ ﺷﺪﻩ در اﻳﻦ ﺻﻔﺤﻪ ﺗﺮﺟﻤﻪ ﺳﻮرﻩ ﺣﻤﺪ ﻣﻲﺑﺎﺷﺪ .ﺁﻧﮕﺎﻩ ﺑﺮاي اﻳﻨﮑﻪ ﺑﺎ هﺮ ﺑﺎر ﺑﺎﻻ ﺁﻣﺪن ﺳﻴﺴﺘﻢ اﻳﻦ ﻓﺎﻳﻞ ﻧﻤﺎﻳﺶ دادﻩ ﺷﻮد ﺁن را ﺑﻪ ﺻﻮرت زﻳﺮ در رﺟﻴﺴﺘﺮي ﺛﺒﺖ ﻣﻲﮐﻨﺪ: ﮐﺪ:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Blank = %System32%\blank.htm HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Blank = %System32%\blank.htm ﺑﺮاي اﻳﻨﮑﻪ ﻣﻘﺪار Home Pageو Search Pageﻧﺮماﻓﺰار Internet Explorerرا ﺑﺮاﺑﺮ ﺑﺎ ﺻﻔﺤﻪ ﻣﺬﮐﻮر ﻗﺮار دهﺪ ،ﺗﻐﻴﻴﺮات زﻳﺮ را در رﺟﻴﺴﺘﺮي اﻳﺠﺎد ﻣﻲﻧﻤﺎﻳﺪ: ﮐﺪ:
HKCU\Software\Microsoft\Internet Explorer\Main Start Page = %System32%\blank.htm Search Page = %System32%\blank.htm از ﮐﺎرهﺎي ﺟﺎﻟﺐ اﻳﻦ وﻳﺮوس اﻳﻦ اﺳﺖ ﮐﻪ در هﻤﻪ دراﻳﻮهﺎ در داﺧﻞ ﻣﺴﻴﺮ Recyclerﻓﻮﻟﺪري ﻣﺨﻔﻲ و ﺑﺎ ﻧﺎم ﺗﺼﺎدﻓﻲ اﻳﺠﺎد ﮐﺮدﻩ و ﻳﮏ ﮐﭙﻲ از ﺧﻮدش را ﺑﺎ ﻧﺎم Sys.exeدرون ﺁن ﻗﺮار ﻣﻲدهﺪ . هﻤﭽﻨﻴﻦ اﺛﺮات دﻳﮕﺮي ﺑﻪ ﺷﮑﻞ زﻳﺮ دارد: ﺑﺎ اﻳﺠﺎد ﺗﻐﻴﻴﺮاﺗﻲ در رﺟﻴﺴﺘﺮي ﺑﺎﻋﺚ ﻣﻲﺷﻮد ﮐﻪ ﻗﺒﻞ از ورود ﺑﻪ ﺳﻴﺴﺘﻢ ﺻﻔﺤﻪاي ﺑﺎ ﺗﻴﺘﺮ Antichristو ﺑﺎ ﻣﺘﻦ Day of judgmentﻧﻤﺎﻳﺶ دادﻩ ﺷﻮد. هﻤﭽﻨﻴﻦ ﺑﺎﻋﺚ ﻣﻲﺷﻮد ﻓﺎﻳﻞهﺎي Super Hiddenﻧﻤﺎﻳﺶ دادﻩ ﻧﺸﻮد .ﺟﻠﻮي اﺟﺮاي ﺑﺮﻧﺎﻣﻪهﺎي RegEditو Task Managerرا ﮔﺮﻓﺘﻪ و رﻧﮓ زﻣﻴﻨﻪ Windowsو ﺻﻔﺤﻪ cmdرا ﺗﻐﻴﻴﺮ ﻣﻲدهﺪ .ﺑﻌﻼوﻩ ﻧﺎم Userو Organizationﺛﺒﺖ ﺷﺪﻩ ﺑﺮاي ﺳﻴﺴﺘﻢ را ﺑﺎ ] [Antichristﺗﻐﻴﻴﺮ ﻣﻲدهﺪ. ﻻزم ﺑﻪ ذﮐﺮ اﺳﺖ ﮐﻪ ﺁﺧﺮﻳﻦ ﻧﮕﺎرش ﺿﺪوﻳﺮوس ﺳﻴﻤﺎﻧﺘﻚ اﻳﻦ ﮐﺮم اﻳﻨﺘﺮﻧﺘﻲ را ﺷﻨﺎﺧﺘﻪ و ﺑﻪ ﺻﻮرت ﮐﺎﻣﻞ ﭘﺎﮐﺴﺎزي ﻣﻲﻧﻤﺎﻳﺪ. ﺑﺮاي ﭘﺎآﺴﺎزي اﺛﺮات ﺑﺎﻗﻲ ﻣﺎﻧﺪﻩ اﻳﻦ وﻳﺮوس هﻤﺎﻧﻨﺪ ﻏﻴﺮ ﻓﻌﺎل ﺷﺪن Registryﻳﺎ Folder Optionو ﻳﺎ ﺑﺎز ﻧﺸﺪن دراﻳﻮهﺎ ﺑﺎ داﺑﻞ آﻠﻴﻚ ﺑﺮ روي ﺁﻧﻬﺎ و ﻏﻴﺮﻩ از اﺑﺰار ﭘﺎآﺴﺎزي زﻳﺮ ﻳﺎ ﺑﺎﻻي ﺻﻔﺤﻪ اﺳﺘﻔﺎدﻩ ﻧﻤﺎﻳﻴﺪ
ﮐﺪ:
http://www.damsunsecurity.com/files/extract_file.php?file_id=24&20080202 ﻧﺤﻮﻩ از ﺑﻴﻦ ﺑﺮدن وﯾﺮوسAntichrist ﻣﺘﺎﺳﻔﺎﻧﻪ ﻓﻌﻼ ﺣﺘﯽ ﻧﺴﺨﻪ هﺎﯼ ﺑﺮوزﺷﺪﻩ ﺁﻧﺘﯽ وﯾﺮوس ٣٢ Eset NODﻗﺎدر ﺑﻪ ﺷﻨﺎﺳﺎﯾﯽ و ﺧﻨﺜﯽ ﻧﻤﻮدن اﯾﻦ وﯾﺮوس ﻧﻤﯽ ﺑﺎﺷﻨﺪ. اﻣﺎ ﺣﺪاﻗﻞ ﺳﻪ ﺁﻧﺘﯽ وﯾﺮوس ( Kasperskyدر ﻧﺴﺨﻪ ٧ﺁزﻣﺎﯾﺶ ﺷﺪ ) McAfee ( ،ﻧﺴﺨﻪ (٢٠٠٨و اﺣﺘﻤﺎﻻ ﺁﺧﺮﻳﻦ ﻧﮕﺎرش ﺿﺪوﻳﺮوس ﺳﻴﻤﺎﻧﺘﮏ )ﺑﻪ ﻧﻘﻞ از ﺳﺎﯾﺖ اﻣﻨﻴﺘﯽ دﻣﺴﺎن( ﻗﺎدر ﺑﻪ ﺷﻨﺎﺳﺎﯾﯽ و ﭘﺎﮎ ﮐﺮدن وﯾﺮوس ﻣﺬﮐﻮر هﺴﺘﻨﺪ. ﻣﻦ ﺧﻮدم اﻧﺘﯽ وﯾﺮوس ﺳﻴﻤﺎﻧﺘﮏ ) ( Nortonرا ﺗﻮﺻﻴﻪ ﻣﯽ ﮐﻨﻢ ﭼﻮن اﯾﻦ اﻧﺘﯽ وﯾﺮوس اوﻟﻴﻦ اﻧﺘﯽ وﯾﺮوﺳﯽ ﺑﻮد ﮐﻪ اﯾﻦ ﮐﺮم را ﭘﻴﺪا و ﮐﺎﻣﻼ ﭘﺎﮎ ﻣﯽ ﮐﻨﺪ .ﺣﺘﻤﺎ ﺳﻌﯽ ﮐﻨﻴﺪ ﺑﻪ ﻃﻮر ﮐﺎﻣﻞ اﯾﻦ اﻧﺘﯽ وﯾﺮوس را اﭘﺪﯾﺖ ﮐﻨﻴﺪ و ﺑﻌﺪ ﺗﻤﺎم دراﯾﻮ هﺎ را اﺳﮑﻦ ﮐﻨﻴﺪ. ﺑﺮاﯼ ﭘﺎﮎ ﮐﺮدن اﯾﻦ وﯾﺮوس اﺑﺘﺪا ﺁﻧﺘﯽ وﯾﺮوس ﺧﻮدﺗﺎن را ﺑﻪ ﺁﺧﺮﯾﻦ ﺑﺴﺘﻪ هﺎﯼ ﺑﺮوزرﺳﺎﻧﯽ ﻣﺠﻬﺰ ﮐﻨﻴﺪ ﺳﭙﺲ اﻗﺪام ﺑﻪ ﮐﻨﺘﺮل ﺳﻴﺴﺘﻢ ﻧﻤﺎﯾﻴﺪ. ﺗﻮﺻﻴﻪ ﻣﯽ ﮐﻨﻢ ﮐﻪ ﺗﻤﺎم هﺎرد را ﺑﺮاﯼ ﯾﺎﻓﺘﻦ وﯾﺮوس اﺳﮑﻦ ﻧﻤﺎﯾﻴﺪ ﻧﮑﺘﻪ :ﺣﺘﻤﺎ ﺳﻴﺴﺘﻢ ﺧﻮدﺗﺎن را در ﺣﺎﻟﺖ safe modeوﯾﺮوس ﯾﺎﺑﯽ ﮐﻨﻴﺪ. و از ﮐﻠﻴﮏ ﮐﺮدن روﯼ دراﯾﻮ هﺎ ﺗﺎ ﭘﺎﮎ ﺷﺪن ﮐﺎﻣﻞ ان ﺧﻮد دارﯼ ﮐﻨﻴﺪ. ﺑﻌﺪ از ﭘﺎﮎ ﺷﺪن وﯾﺮوس ﻗﺴﻤﺘﻬﺎﯼ ﺣﺬف ﺷﺪﻩ را ﻣﺎﻧﻨﺪ روﺷﻬﺎﯼ ﺑﺎﻻ ﻣﯽ ﺗﻮاﻧﻴﺪ ﺑﺮﮔﺮداﻧﻴﺪ . و ﺳﭙﺲ ﺑﺎﯾﺪ ﺑﻪ ﺗﻤﺎم دراﯾﻮ هﺎ رﻓﺘﻪ و autoplay.exeرا ﭘﺎﮎ ﮐﻨﻴﺪ. ﻧﮑﺘﻪ :ﻧﺤﻮﻩ ﭘﺎﮎ ﮐﺮدن وﯾﺮوس autoplay.exeﯾﺎ autoranرا ﺑﺎﻻ ﺑﻪ ﻃﻮر ﮐﺎﻣﻞ ذﮐﺮ ﺷﺪﻩ اﺳﺖ. ﺑﻪ رﺟﻴﺴﺘﺮﯼ رﻓﺘﻪ و ﻣﺴﻴﺮ زﯾﺮ را دﻧﺒﺎل ﮐﻨﻴﺪ ﮐﺪ:
HKEY_LOCAL_MACHINE\Software\Microsoft\windows\curr ent version\run روﯼ runﮐﻠﻴﮏ ﮐﻨﻴﺪ و هﺮ ﭼﻴﺰﯼ ﺳﻤﺖ راﺳﺖ اﮔﺮ ﮔﺰﯾﻨﻪ هﺎﯼ زﯾﺮ وﺟﻮد دارﻧﺪ اﻧﻬﺎ را ﭘﺎﮎ ﮐﻨﻴﺪ. blank igfxhkcmd igfsexper igfxtray vxds هﻤﻪ اﯾﻦ ﮐﺎرهﺎ را ﺑﺎﯾﺪ در ﺣﺎﻟﺖ safe modeاﻧﺠﺎم دهﻴﺪ .
وﻳﺮوسKazme_Gheyz.exe ﻧﺤﻮﻩ ﺗﺸﺨﻴﺺ وﯾﺮوسKazme_Gheyz.exe اﮔﻪ ﮐﺎﻣﭙﻴﻮﺗﺮﺗﺎن ﺑﻪ اﯾﻦ وﯾﺮوس ﺁﻟﻮدﻩ ﺷﺪﻩ ﺑﺎﺷﺪ اﺗﻔﺎﻗﺎت زﯾﺮ ﻣﯽ اﻓﺘﺪ. 1- Command Promptﻧﺪارﯾﺪ 2- Msconfig , Regedit , Task Manager ,....ﮐﺎر ﻧﻤﯽ ﮐﻨﺪ. در داﺧﻞ ﻓﻬﺮﺳﺖ رﯾﺸﻪ هﻤﻪ دارﯾﻮهﺎ ﻓﺎﯾﻞ Kazme_Gheyz.exeﺑﻄﻮر ﭘﻨﻬﺎن ﻗﺮار ﮔﺮﻓﺘﻪ ﺗﺎ ﺑﺎ ﮐﻠﻴﮏ ﺑﺮ روﯼ هﺮ دراﯾﻮ اﯾﻦ وﯾﺮوس از ﻃﺮﯾﻖ ﻓﺎﯾﻞ autorun.inf اﺟﺮا ﺷﻮد. اﯾﻦ وﯾﺮوس ﻗﺴﻤﺖ هﺎي ﻣﻬﻢ ﺳﻴﺴﺘﻢ ﺷﻤﺎ رو ﻣﺎﻧﻨﺪ registryو device managerرو ﻏﻴﺮ ﻓﻌﺎل ﻣﯽ ﮐﻨﺪ و homepageاﮐﺴﭙﻠﻮرر رو هﻢ ﺑﻪ ﺳﺎﯾﺖ ﺧﻮدش ﺗﻐﻴﻴﺮ ﻣﯽ دهﺪ. ﻧﺤﻮﻩ ﭘﺎﮎ ﮐﺮدن وﯾﺮوسkazm_gheyz اﺑﺘﺪا ﺑﻪ ﻗﺴﻤﺖ searchﺑﺮوﯾﺪ و دﻧﺒﺎل regedit.exeو taskmgr.exeﺑﮕﺮدﯾﺪ و ﺑﻌﺪ ﻧﺎم اﻧﻬﺎ را اﯾﻨﻄﻮر ﺗﻐﻴﻴﺮ دهﻴﺪ . regedit1.exeو taskmgr1.exe ﺳﭙﺲ taskmgr1.exeرا اﺟﺮا ﮐﻨﻴﺪ و در ﺗﺐ proccessesﺑﻪ دﻧﺒﺎل ﭘﺮوﺳﻪ اﯼ ﺑﻪ ﻧﺎم kazm_gheyz ...ﯾﺎ ﭼﻴﺰﯼ ﺷﺒﻴﻪ ﺑﻪ ان ﺑﮕﺮدﯾﺪ ﺑﻌﺪ end proccess را ﺑﺰﻧﻴﺪ ﺗﺎ ﺑﺴﺘﻪ ﺷﻮد. mycomputerرا ﺑﺎز ﮐﻨﻴﺪ و از ﻣﻨﻮﯼ toolsﮔﺰﯾﻨﻪ folder optionsا اﻧﺘﺨﺎب ﮐﻨﻴﺪ و ﺑﻪ ﺗﺐ viewﺑﺮﯾﺪ و ﺗﻴﮏ show hidden files and foldersرا ﺑﺰارﯾﺪ و ﺗﻴﮏ دو ﺗﺎ ﮔﺰﯾﻨﻪ ﭘﺎﯾﻴﻨﻴﺶ ﮐﻪ ﺑﺎ hideﺷﺮوع ﻣﻴﺸﻪ را ﺑﺮدارﯾﺪ و applyﮐﻨﻴﺪ از داﺧﻞ ﺗﻤﺎم دراﯾﻮهﺎﺗﻮن دو ﻓﺎﯾﻞ kazm_gheyz.exeو autorun.infoرا ﭘﻴﺪا و ﭘﺎﮎ ﮐﻨﻴﺪ) (shift - delete ﻧﺤﻮﻩ ﭘﺎﮎ ﮐﺮدن وﯾﺮوس autorun.infoرا در اﺑﺘﺪاﯼ اﻣﻮزش ذﮐﺮ ﮐﺮدﻩ ام. ﺣﺎﻻ ﻓﺎﯾﻞ regedit1را اﺟﺮا ﮐﻨﻴﺪ و از ﻣﻨﻮﯼ editﮔﺰﯾﻨﻪ findرا اﻧﺘﺨﺎب ﮐﻨﻴﺪ و ﮐﻠﻤﻪ kazmرا ﺳﺮچ ﮐﻨﻴﺪ هﺮﺟﺎ ﮐﻪ ﭘﻴﺪا ﺷﺪ ﮐﻠﻴﺪ deleteرا ﺑﺰﻧﻴﺪ و ﭘﺎﮎ ﮐﻨﻴﺪ ﺑﺮاﯼ ﯾﺎﻓﺖ ﮔﺰﯾﻨﻪ ﺑﻌﺪﯼ F3را ﺑﺰﻧﻴﺪ و ﺑﺎزهﻢ ﭘﺎﮎ ﮐﻨﻴﺪ ﺗﺎ هﻤﻪ رﺟﻴﺴﺘﺮﯼ از اﯾﻦ ﻧﺎم ﭘﺎﮎ ﺷﻮد ﺑﻪ internet explorerﺑﺮوﯾﺪ و از ﻣﻨﻮﯼ toolsﮔﺰﯾﻨﻪ internet optionsرا اﻧﺘﺨﺎب ﮐﻨﻴﺪ و home pageرا روﯼ use blankedﺑﺰﻧﻴﺪ اﮔﻪ وﯾﺮوس از ﺑﻴﻦ ﻧﺮﻓﺖ اﯾﻦ ﮐﺎرهﺎ را ﭼﻨﺪ ﺑﺎر ﺗﮑﺮار ﮐﻨﻴﺪ ﺗﺎ دﯾﮕﺮ اﺛﺮﯼ از ان ﺑﺎﻗﯽ ﻧﻤﺎﻧﺪ. اﯾﻦ هﻢ اﻧﺘﯽ وﯾﺮوﺳﯽ ﮐﻪ اﯾﻦ وﯾﺮوس را از ﺑﻴﻦ ﻣﯽ ﺑﺮد
http://rapidshare.com/files/83546664/anti_kazme_gheyz.zip
ﮐﺮمImaut-A Imaut-Aﻳﻚ آﺮم آﺎﻣﭙﻴﻮﺗﺮي ﺑﺮاي ﺳﻴﺴﺘﻢ هﺎﻳﻮﻳﻨﺪوزي اﺳﺖ. اﻳﻦ آﺮم ﺧﻮدش رادر ﺷﺒﻜﻪ هﺎي shareﺷﺪﻩ و دراﻳﻮهﺎي ﻗﺎﺑﻞ اﻧﺘﻘﺎل ﺑﻬﺼﻮرت زﻳﺮ آﭙﻲ ﻣﻲ آﻨﺪ: ﮐﺪ:
\Funny UST Scandal.avi.exe \smss.exe \lsass.exe \Funny UST Scandal.exe \killer.exe هﻤﭽﻨﻴﻦ ﻣﺪﺧﻞ زﻳﺮ در رﺟﻴﺴﺘﺮي اﻳﺠﺎد ﻣﻲ ﺷﻮد ﺗﺎ smss.exeﺑﺘﻮاﻧﺪ اﺟﺮا ﺷﻮد: ﮐﺪ:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run Runonce \smss.exe ﻣﺪﺧﻞ زﻳﺮ ﻧﻴﺰ ﺗﻐﻴﻴﺮ ﻣﻲ آﻨﺪ ﺗﺎ killer.exeﺑﺘﻮاﻧﺪ ﺑﺎ ﺁﻏﺎز وﻳﻨﺪوز اﺟﺮا ﺷﻮد: ﮐﺪ:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon Shell explorer.exe, killer.exe ﻣﺪﺧﻞ هﺎﻳﺰﻳﺮ ﻧﻴﺰ ﺗﻐﻴﻴﺮ ﻣﻲ آﻨﻨﺪ: ﮐﺪ:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Exp lorer\Advanced\Folder\Hidden\SHOWALL CheckedValue 0 روش هﺎﯾﯽ ﺑﺮاﯼ ﭘﺎﮎ ﮐﺮدن اﯾﻦ ﮐﺮم 1 .ﺑﻪ روز آﺮدن ﺁﻧﺘﻴﻮﻳﺮوس 2.روش ﭘﺎك ﺳﺎزي ﺗﻮﺳﻂ ﺁﻧﺘﻲ وﻳﺮوس ﺳﻮﻓﻮﺳﺒﺮاي ﺣﺬف ﻳﻚ آﺮﻣﻜﺎﻣﭙﻴﻮﺗﺮي آﺎرهﺎي زﻳﺮ را اﻧﺠﺎم دهﻴﺪ: هﻤﻪ ي ﺑﺮﻧﺎﻣﻪ هﺎي ﺧﻮد را ﺑﺒﻨﺪﻳﺪﺑﺮﻧﺎﻣﻪ Sophos Anti-Virusرا از ﻟﻴﻨﮏ هﺎﯼ زﯾﺮ درﯾﺎﻓﺖ ﮐﻨﻴﺪ.
http://www12.enfull.com/SOPHOSANTIVIRUS.rar http://www10.enfull.com/SOPHOSANTIVIRUS.rar ﻣﺮاﺣﻞ Start|Programs| SophosAnti-Virusرا ﺑﮕﺬراﻧﻴﺪ وﺑﺮﻧﺎﻣﻪ ﺁﻧﺘﻲ وﻳﺮوس را اﺟﺮا آﻨﻴﺪ ﺗﺐ Immediateو ﺳﭙﺲ دراﻳﻮ ﻣﻮرد ﻧﻈﺮ را اﻧﺘﺨﺎب آﻨﻴﺪ ﺑﻪ Options|Configurationرﻓﺘﻪ و ﺗﺐ Disinfectionﻳﺎ Actionرا اﻧﺘﺨﺎب آﺮدﻩ ﺳﭙﺲ Infected fileو ﺑﻌﺪ از ﺁن Deleteرا اﻧﺘﺨﺎب آﻨﻴﺪ و در ﺁﺧﺮ OKرا ﺑﺰﻧﻴﺪ ﺑﺮاي اﺟﺮا آﺮدن ﭘﻮﻳﺶ scan ،ﻳﺎ دآﻤﻪ GOرا ﺑﺰﻧﻴﺪ ﻓﺎﻳﻞ هﺎي ﻣﻮرد ﻧﻈﺮ را ﭘﺎك آﻨﻴﺪ ،ﺳﭙﺲ ﻳﻚ ﭘﻮﻳﺶ دﻳﮕﺮ را اﺟﺮا آﻨﻴﺪ ﺗﺎ ﻣﻄﻤﺌﻦ ﺷﻮﻳﺪ ﭘﺎك ﺳﺎزي ﺻﻮرت ﮔﺮﻓﺘﻪ اﺳﺘﺒﻪ Options|Configurationﺑﺮﮔﺮدﻳﺪ و ﺗﺐ Disinfectionﻳﺎ Actionاﻧﺘﺨﺎب آﺮدﻩ ﺳﭙﺲ Infected filesو ﺑﻌﺪ از ﺁن Deleteرا اﻧﺘﺨﺎب آﻨﻴﺪ و در ﺁﺧﺮ OKرا ﺑﺰﻧﻴﺪ آﺎﻣﭙﻴﻮﺗﺮ را Rebootآﺮدﻩ و ﭘﻮﻳﺶ ﻧﻬﺎﻳﻲ را اﺟﺮا آﻨﻴﺪ ﺗﺎ آﺎﻣﻼ ﻣﻄﻤﺌﻦ ﺷﻮﻳﺪﭘﺎك ﺳﺎري ﺻﻮرت ﮔﺮﻓﺘﻪ اﺳﺖ روش ﭘﺎك ﺳﺎزي ﺑﻪ ﺻﻮرت دﺳﺘﻲ: اﺑﺘﺪا ﺗﻤﺎﻣﻲ دادﻩ ﺧﻮد را در ﺳﻴﺴﺘﻢ ﺗﻐﻴﻴﺮ دادﻩ و ﻳﻚ آﭙﻲ از ﺁﻧﻬﺎﺗﻬﻴﻪ آﻨﻴﺪ .
ﭘﺴﻮرد Administratorرا دوﺑﺎرﻩ ﺗﻐﻴﻴﺮ دهﻴﺪ و ﻳﻚ ﻧﮕﺎهﻲ ﺑﻪ ﻣﺴﺎﻳﻼﻣﻨﻴﺘﻲ ﺷﺒﻜﻪ ﺧﻮد ﺑﻴﻨﺪازﻳﺪ. در taskbarدآﻤﻪ startرا ﺑﺰﻧﻴﺪ و ﻣﻨﻮي runرااﺟﺮا آﻨﻴﺪ و در ﺁن Regeditرا ﺑﻨﻮﻳﺴﻴﺪ و دآﻤﻪ okرا آﻠﻴﻚ آﻨﻴﺪ ﺗﺎ ﺻﻔﺤﻪ وﻳﺮاﻳﺸﮕﺮرﺟﻴﺴﺘﺮي ﺷﻤﺎ ﺑﺎز ﺷﻮد .ﻓﺮاﻣﻮش ﻧﻜﻨﻴﺪ آﻪ ﻗﺒﻞ از دﺳﺘﻜﺎري رﺟﻴﺴﺘﺮي ﻳﻚ ﻧﺴﺨﻪ ﭘﺸﺘﻴﺒﺎن ازﺁن ﺗﻬﻴﻪ آﻨﻴﺪ. ﺑﺮاي ﺗﻬﻴﻪ ﻧﺴﺨﻪ ﭘﺸﺘﻴﺒﺎن از رﺟﻴﺴﺘﺮي ﺧﻮد ؛ در ﻣﻨﻮي Registryروﻳﮕﺰﻳﻨﻪ Export Registry Fileو در ﭘﻨﻞ Export rangeﮔﺰﻳﻨﻪ Allرا اﻧﺘﺨﺎب آﺮدﻩ و ﺳﭙﺴﺪآﻤﻪ Saveرا آﻠﻴﻚ آﻨﻴﺪ ﺗﺎ ﻧﺴﺨﻪ ﭘﺸﺘﻴﺒﺎن از رﺟﻴﺴﺘﺮي ﺷﻤﺎ ﺗﻬﻴﻪ ﺷﻮد. ﺣﺎل درﻣﺪﺧﻞ HKEY_CURRENT_USERرﺟﻴﺴﺘﺮي زﻳﺮﻣﺪﺧﻞ: ﮐﺪ:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run Runonce \smss.exe هﺮﻣﺪﺧﻠﻲ آﻪ ﺑﻪ ﻓﺎﻳﻠﻲ اﺷﺎرﻩ ﻣﻲ آﺮد ﺣﺬف آﻨﻴﺪ. هﻤﭽﻨﻴﻦ در ﻣﺪﺧﻞ HKEY_LOCAL_MACHINEﻣﻘﺪار VALUEاز CheckedValueرا 1و از Shellرا explorer.exeﺑﮕﺬارﻳﺪ: ﮐﺪ:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Exp lorer\Advanced\Folder\Hidden\SHOWALL CheckedValue 0 HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon Shell explorer.exe, killer.exe ﺳﭙﺲ رﺟﻴﺴﺘﺮي ﺧﻮد را ﺑﺒﻨﺪﻳﺪ و دوﺑﺎرﻩ ﺳﻴﺴﺘﻢ ﺧﻮد را راﻩ اﻧﺪازي آﻨﻴﺪ.
ﮐﺮم ( Wukill ) W32/Wukill.worm.gen
ﻃﺮﯾﻘﻪ ﮔﺴﺘﺮش ﮐﺮم: ﺁﻟﻮدﮔﯽ ﺑﺎ اﺟﺮاﯼ ﻓﺎﯾﻞ ﮐﺮم اﻧﺠﺎم ﻣﯽ ﺷﻮد .ﮐﻪ ﮐﺮم ﺑﺎ ﻓﻼﭘﯽ و ﺗﻤﺎﻣﯽ وﺳﺎﯾﻞ اﻧﺘﻘﺎل ﻓﺎﯾﻞ ﻣﻨﺘﻘﻞ ﻣﯽ ﺷﻮد .ﭼﻮن ﺧﻮد ا در هﺮ ﭘﻮﺷﻪ اﯼ ﮐﻪ ﺑﺎز ﮐﻨﻴﺪ ﮐﭙﯽ ﻣﯽ ﮐﻨﺪ. در ﮐﺎﻣﭙﻴﻮﺗﺮ ﺁﻟﻮدﻩ: ﺑﻌﺪ از ﻗﺮار دادن ﻓﻼﭘﯽ ،ﮐﺮم ﺧﻮد را در ﺁن ﮐﭙﯽ ﻣﯽ ﮐﻨﺪ و ﯾﺎ اﮔﺮ ﺷﺨﺺ ﺳﻴﺪﯼ راﯾﺖ ﮐﻨﺪ ،ﮐﺮم را ﮐﻪ ﺑﻪ ﺻﻮرت ﻣﺨﻔﯽ اﺳﺖ را ﻧﻴﺰ راﯾﺖ ﺧﻮاهﺪ ﮐﺮد . در ﮐﺎﻣﭙﻴﻮﺗﺮ ﻣﻴﺰﺑﺎن: اﮔﺮ ﺷﺨﺺ از وﯾﻨﺪوز هﺎﯼ , ME 2000 , 98و وﯾﻨﺪوز هﺎﯾﯽ ﮐﻪ از Customize Folder Wizardاﺳﺘﻔﺎدﻩ ﻣﯽ ﮐﻨﺪ ،داﺷﺘﻪ ﺑﺎﺷﺪ ﺑﺎ ﺑﺎز ﮐﺮدن ﭘﻮﺷﻪ ﯾﺎ ﻓﻼﭘﯽ دراﯾﻮﯼ ﮐﻪ ﮐﺮم در ﺁن وﺟﻮد دارد ﺁﻟﻮدﻩ ﺧﻮاهﺪ ﺷﺪ .ﭼﻮن ﮐﺮم از ﺁﯾﻦ ﺳﺮوﯾﺲ وﯾﻨﺪوز اﺳﺘﻔﺎدﻩ ﮐﺮدن و ﺟﻮد را اﺟﺮا ﻣﯽ ﮐﻨﺪ. در وﯾﻨﺪوز xpﭼﻮن اﯾﻦ ﺳﺮوﯾﺲ ﻏﻴﺮ ﻓﻌﺎل اﺳﺖ و دﯾﮕﺮ وﺟﻮد ﻧﺪارد ﺁﻟﻮدﮔﯽ ﻓﻘﻂ ﺑﺎ اﺟﺮاﯼ ﻣﺴﺘﻘﻴﻢ ﮐﺮم ﺷﺮوع ﻣﯽ ﺷﻮد .در وﯾﻨﺪوز هﺎﯼ دﯾﮕﺮ ﻧﻴﺰ ﺑﺎ اﺟﺮاﯼ ﻣﺴﺘﻘﻴﻢ ﮐﺎﻣﭙﻴﻮﺗﺮ ﺁﻟﻮدﻩ ﻣﯽ ﺷﻮد .ﺑﻌﺪ از اﺟﺮاﯼ ﻓﺎﯾﻞ اﮔﺮ ﺑﺎز ﺑﺨﻮاهﻴﺪ ﻓﺎﯾﻞ را اﺟﺮا ﮐﻨﻴﺪ اﺧﺘﺎر زﯾﺮ ﻇﺎهﺮ ﻣﯽ ﺷﻮد:
ﮐﺮم ﺧﻮد را ﺑﺎ ﻧﺎم هﺎﯼ ﻣﺨﺘﻠﻒ در ﯾﮑﯽ از ﭘﻮﺷﻪ هﺎﯼ Help ،Web ،System ،Temp ، Windowsﮐﭙﯽ ﻣﯽ ﮐﻨﺪ.
و در ﺗﻤﺎﻣﯽ ﭘﻮﺷﻪ هﺎﯾﯽ ﮐﻪ وارد ﺷﻮﯾﺪ ﯾﮏ ﻓﺎﯾﻞ اﺟﺮاﯾﯽ ﺑﺎ ﻧﺎم ﭘﻮﺷﻪ ﻣﯽ ﺳﺎزد و در هﻤﺎن ﭘﻮﺷﻪ ﻓﺎﯾﻞ desktop.iniﯾﺎ Rundesktop.iniرا ﺗﻐﻴﻴﺮ ﻣﯽ دهﺪ و در ﺁن ﮐﺪهﺎﯼ زﯾﺮ را اﺿﺎﻓﻪ ﻣﯽ ﮐﻨﺪ:
ﺗﺎ ﻓﺎﯾﻞ دوﻣﯽ ﺑﻪ ﻧﺎم comment.httﯾﺎ Runcomment.httرا ﺑﻌﺪ از هﺮ ﺑﺎر ورود ﺑﻪ ﭘﻮﺷﻪ ﯾﺎ دراﯾﻮر هﺎرد اﺟﺮا ﮐﻨﺪ .در اﯾﻦ ﻓﺎﯾﻞ هﻢ ﮐﺪهﺎﯼ زﯾﺮ ﻗﺮار دارد:
ﮐﻪ ﻓﺎﯾﻞ اﺟﺮاﯾﯽ ﻣﻮﺟﻮد در ﭘﻮﺷﻪ را اﺟﺮا ﻣﯽ ﮐﻨﺪ . هﻤﭽﻨﻴﻦ ﮐﺮم ﻓﺎﯾﻠﯽ ﺑﻪ ﻧﺎم WINFILE.EXEرا در ﺗﻤﺎﯾﻢ دراﯾﻮ هﺎﯼ هﺎرد و ﺑﻌﻀﯽ ﭘﻮﺷﻪ هﺎﯼ ﻣﯽ ﺳﺎزد .هﻤﭽﻨﻴﻦ در دراﯾﻮ ﻓﻼﭘﯽ .اﯾﻦ ﻓﺎﯾﻞ ﺷﺒﻴﻪ ﭘﻮﺷﻪ اﺳﺖ. ﻋﻼﺋﻢ ﺁﻟﻮدﮔﯽ: )1وﺟﻮد ﻓﺎﯾﻞ در دراﯾﻮ هﺎﯼ هﺎرد )2ﮐﭙﯽ ﺷﺪن ﺧﻮد ﮐﺎر اﯾﻦ ﻓﺎﯾﻞ در ﻓﻼﭘﯽ دراﯾﻮ )3اﮔﺮ ﻓﺎﯾﻠﻬﺎﯼ ﻣﺨﻔﯽ را ﻇﺎهﺮ ﮐﻨﻴﺪ .دو ﺑﺎرﻩ ﺑﻌﺪ از ﻣﺪﺗﯽ ﻣﺨﻔﯽ ﻣﯽ ﺷﻮﻧﺪ. )4هﻨﮕﺎم رﻓﺘﺘﻦ ﺑﻪ هﺮ ﭘﻮﺷﻪ ﻓﺎﯾﻠﯽ اﺟﺮاﯼ ﺑﻪ ﺷﮑﻞ ﭘﻮﺷﻪ و ﺑﺎ هﻤﺎن ﻧﺎم در ﺁﻧﺠﺎ ﺳﺎﺧﺘﻪ ﻣﯽ ﺷﻮد )اﻟﺒﺘﻪ ﻣﺨﻔﯽ) . )5در وﯾﻨﺪوز هﺎﯼ 98ﺗﺎ 2000وﯾﻨﺪوز ﺑﻌﺪ از ﻣﺪﺗﯽ ﮐﻨﺪ ﻣﯽ ﺷﻮد . )6ﺑﻌﻀﯽ ﻣﻮاﻗﻊ ﮐﭙﯽ و ﭘﺴﺖ ﮐﺎر ﻧﻤﯽ ﮐﻨﺪ .ﯾﻌﻨﯽ ﺷﻤﺎ ﻓﺎﯾﻞ را ﮐﭙﯽ ﻣﯽ ﮐﻨﻴﺪ .اﻣﺎ ﺑﻌﺪ از رﻓﺘﻦ ﺑﻪ ﻣﻘﺼﺪ ﮔﺰﯾﻨﻪ ﭘﺴﺖ ﻏﻴﺮ ﻓﻌﺎل ﺷﺪﻩ اﺳﺖ اﻧﮕﺎر ﮐﭙﯽ اﻧﺠﺎم ﻧﮕﺮﻓﺘﻪ! ﻧﮑﺘﻪ : 1وﯾﺮوس ﺑﻪ زﺑﺎن VBﻧﻮﺷﺘﻪ ﺷﺪﻩ ﺗﻮﺳﻂ ﻣﺎﯾﮑﺮوﺳﺎﻓﺖ وﯾﮋوال اﺳﺘﻮدﯾﻮ. ﻧﮑﺘﻪ : 2اﺣﺘﻤﺎﻻ ﻧﺎم دﯾﮕﺮ وﯾﺮوس Xgtray ﻧﮑﺘﻪ : 3اﮔﺮ هﻨﮕﺎﻣﯽ ﮐﻪ ﻓﺎﯾﻞ اﺻﻠﯽ ﮐﺮم در ﯾﮑﯽ از ﭘﻮﺷﻪ هﺎﯼ Help ،Web ،System ،Temp ، Windowsﺑﺎﺷﺪ و ﺷﻤﺎ وارد ﭘﻮﺷﻪ اﯼ ﺷﻮﯾﺪ ﮐﻪ ﮐﺮم در ﺁن اﺳﺖ ﺁن وﻗﺖ ﮐﺮم ﺟﺎﯼ ﺣﻮد را ﻋﻮض ﻣﯽ ﮐﻨﺪ و ﺑﻪ ﭘﻮﺷﻪ ﯼ دﯾﮕﺮﯼ ﻣﯽ رود! ﻃﺮﯾﻘﻪ ﭘﺎﮎ ﮐﺮدن وﯾﺮوس: ﺗﻤﺎﻣﯽ ﺁﻧﺘﯽ وﯾﺮوس هﺎ دﯾﮕﺮ اﯾﻦ وﯾﺮوس را ﻣﯽ ﺷﻨﺎﺳﻨﺪ. اﻣﺎ ﭘﺎﮎ ﮐﺮدن دﺳﺘﯽ ﺑﻪ اﯾﻦ ﺻﻮرت اﺳﺖ. )1اﺑﺘﺪا ﻓﺎﯾﻞ اﺟﺮاﯾﯽ وﯾﺮوس را از ﮐﺎر ﻣﯽ اﻧﺪازﯾﺪ ) .ﻓﺎﯾﻠﯽ ﮐﻪ در ﺣﺎﻓﻈﻪ اﺳﺖ ) ﺑﺎTaskmanenger )2ﺑﺎ ﺳﺮچ وﯾﻨﺪوز دﻧﺒﺎل ﻓﺎﯾﻠﻬﺎﯼ اﺟﺮاﯾﯽ ﺑﺎ ﺣﺠﻢ 48ﮐﻴﻠﻮ ﺑﺎﯾﺖ ﻣﯽ ﮔﺮدﯾﺪ .ﺑﻌﺪ ﺁﻧﻬﺎﯾﯽ را ﮐﻪ ﺷﮑﻞ ﭘﻮﺷﻪ هﺴﺘﻨﺪ را ﭘﺎﮎ ﻣﯽ ﮐﻨﻴﺪ. )3دو ﺑﺎرﻩ ﺑﺎﺳﺮچ وﯾﻨﺪوز دﻧﺒﺎل ﻓﺎﯾﻠﻬﺎﯾﯽ ﺑﺎ ﭘﺴﻮﻧﺪ httو ﺑﺎ ﻧﺎم هﺎﯼ commentو Runcommentﻣﻴﮕﺮدﯾﺪ .هﻤﻪ را ﭘﺎﮎ ﮐﻨﻴﺪ . اﻣﺎ ﺑﻬﺘﺮﯾﻦ ﮐﺎر اﺳﺘﻔﺎدﻩ از ﯾﮏ ﺁﻧﺘﯽ وﯾﺮوس اﺳﺖ .ﺑﻬﺘﺮ اﺳﺖ از ﻣﮑﺎﻓﯽ ورژن 8ﺑﻪ ﺑﺎﻻ اﺳﺘﻔﺎدﻩ ﮐﻨﻴﺪ اﯾﻦ وﯾﺮس ﻣﻤﮑﻦ اﺳﺖ ﮐﺎرهﺎﯼ دﯾﮕﺮﯼ هﻢ اﻧﺠﺎم دهﺪ