حذف ويروس به صورت دستي , دانلود آنتي ويروس , سريال NOD32 » مخفی http://www.antiviroos.ir .:. حذف ويروس بدون آنتي ويروس .:. Mon, 30 Aug 2010 13:22:06 +0000 http://wordpress.org/?v=2.9.2 fa hourly 1 Trojan.Win32.Hider.i ویروسی که تمام پوشه ها را مخفی می کند http://www.antiviroos.ir/1388/07/trojan-win32-hider-i-%d9%88%db%8c%d8%b1%d9%88%d8%b3%db%8c-%da%a9%d9%87-%d8%aa%d9%85%d8%a7%d9%85-%d9%be%d9%88%d8%b4%d9%87-%d9%87%d8%a7-%d8%b1%d8%a7-%d9%85%d8%ae%d9%81%db%8c-%d9%85%db%8c-%da%a9%d9%86/ http://www.antiviroos.ir/1388/07/trojan-win32-hider-i-%d9%88%db%8c%d8%b1%d9%88%d8%b3%db%8c-%da%a9%d9%87-%d8%aa%d9%85%d8%a7%d9%85-%d9%be%d9%88%d8%b4%d9%87-%d9%87%d8%a7-%d8%b1%d8%a7-%d9%85%d8%ae%d9%81%db%8c-%d9%85%db%8c-%da%a9%d9%86/#comments Sun, 11 Oct 2009 19:43:23 +0000 AM!R http://www.antiviroos.ir/?p=85 این ویروس کلیه پوشه ها را مخفی و سیستمی کرده و از دید کاربر پنهان نموده است و برای رد گم کنی فایلهایی با آیکانی شبیه پوشه و با نام پوشه های مخفی شده ایجاد می کند که کاربر با وارد شده به آن با پوشه ای خالی مواجه می شود !!

عمکرد این ویروس

مخفی و سیستمی کردن کلیه پوشه ها
کپی خود در تمام پوشه هایی که کاربر وارد آنها می شود یا آنها را مرور می کند .
تنظیم عدم نمایش فایلهای مخفی سیستمی و پسوند فایلها
تغییرات در رجیستری

این ویروس از طریق مراجعه و ویزیت سایتهای آلوده و همچنین دانلود کرکها و فایلهای مشکوک به سیستم کاربران وارد می شود .

این ویروس با ترفند بسیار جالبی ابتدا با استفاده از تنظیم خصوصیات سیستمی ، تمام پوشه هایی که کاربر بر روی آن کلیک می کند را ، بصورت سیستمی مخفی می کند و سپس خودش را با اسامی همنام آن پوشه ها ایجاد می کند که آیکن آنها به شکل پوشه است و هنگامی که کاربر روی آنها دابل کلیک می کند با پوشه خالی مواجه می شود و گمان می کند پوشه های وی حذف شده است .

درواقع بسیاری از کابران به محض آلوده سدن به این ویروس اظهار میدارند که ویروس تمام محتویات پوشه های آنها را حذف کرده است و بسیاری نیز به فکر ریکاوری سیستم خود می افتند !

این ویروس همچنین خاصیت نمایش پسوند فایلها را غیرفعال می کند تا کپی هایی که از خود ایجاد کرده و پسوند Exe دارند قابل شناسایی نباشد و از آنجا که با دستکاری رجیستری آیکان فایلهای کاربردی و Exe را به شکل فولدر تغییر می دهد ، خود را همانند پوشه خالی نمایش می دهد .


طریقه حذف و پاکسازی ویروس هایدر :

۱-ابتدا System Restore را غیرفعال کنید .

۲-سپس بایستی سیستم را در حالت Safe Mode بوت کنید .

۳-در صورتی که در تسک منیجر ، پراسسی به نام isass.exe مشاهده می کنید آن را انتخاب کرده و روی آن کلیک راست نموده و End Task Tree را کلیک کنید .

۴-سپس با اجرای برنامه ی ویرایش رجیستری ویندوز
( نوشتن عبارت Regedit.exe در پنجره RUN و کلیک OK )

کلیدهای زیر در رجیستری را حذف کنید :
( این مسیر موجب اجرای ویروس در هرباری اجرای ویندوز می شود )

کد:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\

Services\CSNetManagerXp

ImagePath = “%System%\isass.exe”

نکته : منظور از ‌%System% پوشه سیستمی ویندوز است . این پوشه در Windows 2000 با مسیر C:\WINNT\System32 و در Windows XP و Server 2003 با مسیر C:\Windows\System32 میباشد .

۵- کلیدهای زیر در رجیستری را اصلاح کنید :

برای اصلاح نمایش پسوند فایلها مقدار متغیر HideFileExt را ز ۱ به مقدار صفر تغییر دهید (در مسیر زیر

کد:

HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>

Windows>CurrentVersion>Explorer>Advanced>Folder>HideFileExt

مقدار متغیر SuperHidden را نیز از مسیر

کد:

HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>

Windows>CurrentVersion>Explorer>Advanced>Folder>SuperHidden

از مقدار فعلی صفر به مقدار یک تغییر دهید .
برای اصلاح و برگرداندن آیکان فایلهای اجرایی Exe در رجیستری ادیتور به مسیر

کد:

HKEY_LOCAL_MACHINE>SOFTWARE>Classes>exefile

رفته و مقدار متغیر default را از مقدار “File Folder” به ” Application ” تغییر دهید .
در پایان به مسیر

کد:

HKEY_CURRENT_USER> Software>Microsoft>Windows>

CurrentVersion>Explorer>Advanced

رفته و مقدار دو متغیر HideFileExt و ShowSuperHidden را به صورت زیر اصلاح کنید :
HideFileExt از مقدار فعلی ۱ به مقدار صفر
ShowSuperHidden از مقدار فعلی صفر به مقدار یک
۶٫ از برنامه ویرایش رجیستری خارج شوید و سیستم را ری استارت نمایید .
پس از بالا آمدن سیستم بایستی کلیه فایلهای آلوده ای که همنام با “پوشه های مخفی سیستمی شده” میباشند و دارای پسوند exe هستند را به صورت دستی پاک کنید .

]]> http://www.antiviroos.ir/1388/07/trojan-win32-hider-i-%d9%88%db%8c%d8%b1%d9%88%d8%b3%db%8c-%da%a9%d9%87-%d8%aa%d9%85%d8%a7%d9%85-%d9%be%d9%88%d8%b4%d9%87-%d9%87%d8%a7-%d8%b1%d8%a7-%d9%85%d8%ae%d9%81%db%8c-%d9%85%db%8c-%da%a9%d9%86/feed/ 0 بازگردانی سریع فایلهای مخفی شده http://www.antiviroos.ir/1388/07/%d8%a8%d8%a7%d8%b2%da%af%d8%b1%d8%af%d8%a7%d9%86%db%8c-%d8%b3%d8%b1%db%8c%d8%b9-%d9%81%d8%a7%db%8c%d9%84%d9%87%d8%a7%db%8c-%d9%85%d8%ae%d9%81%db%8c-%d8%b4%d8%af%d9%87/ http://www.antiviroos.ir/1388/07/%d8%a8%d8%a7%d8%b2%da%af%d8%b1%d8%af%d8%a7%d9%86%db%8c-%d8%b3%d8%b1%db%8c%d8%b9-%d9%81%d8%a7%db%8c%d9%84%d9%87%d8%a7%db%8c-%d9%85%d8%ae%d9%81%db%8c-%d8%b4%d8%af%d9%87/#comments Sun, 11 Oct 2009 18:42:27 +0000 AM!R http://www.antiviroos.ir/?p=66 این هم روشی برای کسانی که می خواهند به سرعت به فایلهای مخفی خودشون دسترسی پیدا کنند .
برای این کار کافی است دستورات زیر را داخل Notepad کپی کنید و بعد ان را با نام و پسوند new.bat ذخیره کنید و بعد ان را اجرا کنید . چند لحظه منتظر بمانید تا فایلهای مخفی نمایان شوند .
تذکر : با این روش فایلهای سوپر هایدن نیز قابل روئیت خواهند بود .


کد:

attrib -s -h C:\*.* /s /d

attrib -s -h d:\*.* /s /d

attrib -s -h E:\*.* /s /d

attrib -s -h f:\*.* /s /d

attrib -s -h g:\*.* /s /d

attrib -s -h h:\*.* /s /d

]]> http://www.antiviroos.ir/1388/07/%d8%a8%d8%a7%d8%b2%da%af%d8%b1%d8%af%d8%a7%d9%86%db%8c-%d8%b3%d8%b1%db%8c%d8%b9-%d9%81%d8%a7%db%8c%d9%84%d9%87%d8%a7%db%8c-%d9%85%d8%ae%d9%81%db%8c-%d8%b4%d8%af%d9%87/feed/ 2