حذف ويروس به صورت دستي , دانلود آنتي ويروس , سريال NOD32 » ویروس

ویروس W32.Blaster.Worm

AM!R — Sun, 11 Oct 2009 20:29:17 +0000

ویروس Blaster با استفاده از ضعف موجود در ویندوز XP باعث می شود تا سیستم شما پس از گذشت ۶۰ ثانیه از اتصال به اینترنت ، خاموش شود

فایل زیر را که مربوط به شرکت ماکروسافت می باشد را از لینک زیر دریافت کنید و ان را نصب کنید .

http://download.microsoft.com/download/c/d/d/cdd7ac92-e4cc-4b1e-bc2f-7a61b46b23bf/WindowsXP-KB824146-x86-ENU.exe

بعد از نصب وصله امنیتی ماکروسافت سیستم خودتون را ریستارت کنید .

تا این مرحله سیستم شما از آلوده شدن های بعدی مصون شده است . حال نیاز به پاک نمودن ویروس از روی هارد شما می باشد

فایل ضد ویروس با نام FIXBLAST.exe را از سایت Symantec دریافت کرده و آنرا اجرا کنید .

http://securityresponse.symantec.com/avcenter/FixBlast.exe

این فایل با جستجوی کامل هارد شما فعالیت کرم (MSBLAST) را متوقف نموده و باعث می شود کدهای ریجستری که توسط آن در ویندوز وارد شده اند حذف گردند .

پس از پایان جستجو ، برای آخرین بار سیستم خود را ریست نمایید .

توجه :
اگر شرایط به گونه ای باشد که سیستم شما قبل از دریافت این فایلها خاموش شود ، کافیست دکمه Start و سپس Run را کلیک نموده و در کادر مربوط عبارت shutdown -a را تایپ نمایید . این روش باعث می شود خاموش شدن دستگاه شما موقتاً ، متوقف شود

نحوه از بین بردن ویروس services.exe

AM!R — Sun, 11 Oct 2009 18:09:29 +0000

متاسفانه اکثر ویروسهایی که جدیدا به وجود می آیند همنام پروسه های مربوط به سیستم عامل می باشند به همین دلیل تشخیص انها هم برای کاربران و هم برای آنتی ویروس ها نسبتا مشکل شده است .
و از کار انداختن انها نیز قدری سخت شده است .

و همین عامل می تواند یکی از نقاط ضعف سیستم عامل های ماکروسافت محسوب شود .

فعالیت های ویروس services.exe

اولین کاری که این ویروس انجام می دهد خودش را با نام فایلهایی که در یک فولدر است در می اورد و فایلهای فولدر را مخفی می کند و یک فایل با نام همان فولدر می سازد که دارای پسوند exe می باشد .

و به فولدر هایی که مخفی می کند علاوه بر خصلت hidden خصلت سیستمی هم می دهد .

سپس به وسیله windows policy برنامه های regedit و cmd و msconfig و taskmanager رو از کار می اندازد(گاهی اوقات هنگام استفاده از دستور cmd کامپیوتر را ریستارت هم میکند) در بعضی مواقع از قسمت folder option گزینه view رو مخفی میکند.

و اجازه دسترسی به بعضی از گزینه های مدیریتی رو بطور کامل از بین میبرد .

و حتی با تعویض ویندوز هم فایلها از حالت مخفی خارج نخواهند شد . به خاطر این که با تعویض ویندوز هنوز اثرات این ویروس در دیگر درایو ها وجود دارد و تنها با کلیک کردن روی یکی از انها ویروس فعال شده و دوباره همه جا را آلوده می کند.

نحوه از بین بردن ویروس services.exe

برای از بین بردن این ویروس ابتدا کدهای زیر را داخل note pad کپی کرده و با نام و پسوند rescue.bat در مسیر در مسیر c:\ ذخیره نمایید.

کد:

@echo off

:try

del c:\windows\services.exe

if exist c:\windows\services.exe goto try

حالا به منوی start رفته و روی گزینه run کلیک کنید و عبارتregedit را تایپ کرده و ok را بزنید. تا وارد محیط رجیستری شوید .
حال به مسیر زیر بروید.

کد:

HKEY_LOCAL_MACHINE\system\currentcontrolset\services\eventlog

روی فایل image path دوبار کلیک کرده و در این پنجره به جای %systemroot%\system32\services.exe عبارت c:\rescue.bat را تایپ کنید.
ویندوز را restart کنید.
دوباره به منوی start رفته و برنامه run را اجرا کرده و regedit را تایپ کرده و ok را بزنید.
حال به مسیر زیر بروید.

کد:

HKEY_LOCAL_MACHINE\system\current control set\services\eventlog

روی فایل image path دوبار کلیک کرده و در این پنجره به جای c:\rescue.bat عبارت %systemroot%\system32\services.exe را تایپ کنید.

کد:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\userinit

userinit را از مسیر بالا باز کرده و به جای عبارت %windir%\services.exe عبارت C:\WINDOWS\system32\userinit.exe را وارد کنید

عبارت %windir%\services.exe را حذف نمایید یعنی مسیر به صورت زیر در می آید.

C:\WINDOWS\system32\userinit.exe

به پوشه temp رفته و در صورت وجود فایل Service.exe ان را پاک کنید .
حالا آنتی ویروس های kaspersky و nod32 را update نمایید و سیستم را به طور کامل در حالت safe mode ویروس یابی کنید .

ضمناً بهتر است بعد از update و ویروس یابی ویندوز خود را عوض کنید.

anti spyware برای از بین بردن ویروس services.exe

این آنتی spyware یکی از بهترین ها برای از بین بردن ویروس services.exe می باشد .

http://www.spywareremove.com/download/Free-SpyHunter-Scanner6p2s2.exe

فقط توجه داشته باشید که این anti spyware ویروس services.exe را پیدا می کند و برای از بین بردن انها حتما باید این برنامه کرک شده باشد

حذف ویروس New Folder.exe

AM!R — Fri, 09 Oct 2009 21:06:21 +0000

شاید تا حالا با ویروس New Folder.exe مواجه شده اید !
قسمتی از مشخصات این ویروس به شرح زیر است :

-۱ آیکون آن شبیه آیکون یک پوشه است .

-۲ ندازه ی آن ۱۴۰ کیلوبایته .

-۳ پس از اجرای این ویروس ، محتویات پوشه ی My Documents نمایش داده می شود .

-۴ این ویروس تولید مثل هم می کنه !

-۵ گزینه ی Turn Off Computer رو از منوی Start حذف می کنه .

-۶ از اجرای Registry Tools ، windows Task Manager و System Configuration Utility جلوگیری می کنه .

-۷ پس از مدتی Registry Tools و Task Manager رو غیر فعال می کنه .

(جهت دریافت جدیدترین روش ها برای حذف ویروس در خبرنامه وبلاگ عضو شوید )

روش اول :

دانلود Kill New Folder.exe

http://feng1.persiangig.com/Programs/KNF.zip

پس از اینکه برنامه ی Kill New Folder.exe کار خودش رو انجام داد ، باید مابقی ویروس ها رو خودتون به صورت دستی پاک کنید .

برای پاک کردن مابقی ویروس ها به شیوه ی زیر عمل کنید :

۱ – به منوی Start بروید و روی گزینه ی Search کلیک کنید تا پنجره ی مربوطه نمایش داده شود .
۲ – در سمت چپ روی گزینه ی All files and folders کلیک کنید .
۳ – در قسمت All or part the file name عبارت New Folder.exe را تایپ کنید و روی گزینه ی Search کلیک نمایید .
حالا تمام فایل های پیدا شده رو پاک کنید .
حواستون باشه مجددا یکی از اونا رو اجرا نکنید .

روش دوم :

برای خلاص شدن از دست این ویروس مراحل زیر را پی بگیرید:

۱- ویندوز را Restart کرده و با حالت Safe Mode بالا بیایید.
۲-به عنوان Admin لوگ این شوید.

۳-به دایرکتوری c:\windows بروید.

۴- دنبال فایلی به نام windows Explorer یا Document.dll بگردید و آن را حذف کنید لازم به ذکر است که این فایلها با آیکون پوشه نمایان هستند ولی فایلهای اجرایی هستند.

۵- بعد کامپیوتر خود را تحت نام New Folder جستجو کنید (Search) و تمام پوشه هایی که نام آنها New Folder است و size آنها ۱۰۴Kb است را حذف کنید.

نکته: ممکن است نام پوشه ای که ویروس ایجاد کرده New Folder نباشه بیشتر سایز اونو که ۱۰۴Kb هستش تو جستجوتون مد نظر قرار بدین.

۶- سپس Registry Editor را اجرا کنید و به مسیر hklm\software\microsoft\windows\crrentversion\run بروید و کلید Explorer را حذف کنید

-۷کامپیوتر را Restart کنید و با حالت عادی بالا بیایید حال این ویروس از کامپیوتر شما حذف شده است.
دقت کنید که در طی مراحل حذف نباید هیچ پوشه ای را اجرا کنید. زیرا ویروس دوباره ساخته و اجرا می شود.

روش سوم :

استفاده از برنامه های زیر برای حذف ویروس New Folder.exe

http://downloads.andymanchesta.com/RemovalTools/SDFix.exe

http://www.od3n.net/downloads/New_Folder.exe_Removal_Tool_2.5.exe

برای از بین بردن این ویروس شما باید ابتدا فایل ۱۳ مگابایتی زیر را دانلود کنید و پس از دانلود ویندوز را در حالت Safe mode ) برای این کار سیستم را ریستارت کنید و قبل از بالا امدن ویندوز کلید F8 را چند مرتبه پشت سر هم بزنید .
( راه اندازی کنید و فایلی را که دانلود کرده اید را در یکی از درایو هایتان و در درون فولدر SAV32CLI از حالت فشرده خارج کنید .

http://www.sophos.com/tools/sav32sfx.exe

حالا باید command prompt را از منوی استارت اجرا کنید و سه دستور زیر را به ترتیب تایپ کنید .

کد:

CD SAV32CLI

SAV32CLI -REMOVE -P=C:\LOGFILE.TXT

در این دستور x نام درایوی هست که شما فایل دانلود شده خودتون را توی اون درایو قرار داده اید .

بعد از تایپ خط آخر و اجرا شدن الگوی پاکسازی عملیات ویروس کشی آغاز میشه و بعد از چند بار دادن پاسخ بله به برنامه جهت تایید پاکسازی کرم W32/Floppy-E در عرض چند دقیقه از شر این کرم سمج و دردسر ساز راحت میشید.

حل مشکل open with

AM!R — Fri, 09 Oct 2009 20:56:32 +0000

اگر بر روی هر درایو کلیک می کنید پنجره open with باز می شود به دلیل پاک شدن فایلی می باشد که مسئول باز کردن درایو می باشد .
شما می توانید از برنامه زیر برای حل این مشکل استفاده کنید . البته قبل از ان باید ویروس autoran را از درایو های خودتون پاک کرده باشید . بعد از اجرا کردن برنامه باید چند دقیقه منتظر باشید تا برنامه کار خود را انجام دهد . بعد از اینکه کارش به اتمام رسید به شما پیغام می دهد . پس صبور باشید .

http://www.techsupportforum.com/sectools/sUBs/Flash_Disinfector.exe

گاهی اوقات نیز وقتی بر روی هر برنامه ای که دارای پسوند exe می باشد کلیک می کنید پنجره open with باز می شود برای حل این مشکل هم باید از برنامه زیر استفاده کید .

http://www.imenantivirus.com/RegRepair.zip

ویا میتوانید از برنامه زیر استفاده کنید

http://www.4shared.com/file/J4LU1DIz/easy_fix_drive_by_svb___resolv.html

(جهت دریافت جدیدترین روش ها برای حذف ویروس در خبرنامه وبلاگ عضو شوید )

نحوه از بین بردن تروجان Win32/Agent.AEC یا ویروس Soundmix.exe

AM!R — Fri, 09 Oct 2009 20:34:58 +0000

شایع ترین راه انتقال این ویروس حافظه های فلش می باشد. هرچند که باز کردن برخی سایت های آلوده نیز می تواند این ویروس را در سیستم مستقر سازد
این ویروس با دستکاری رجیستری ، هر بار که ویندوز راه اندازی می شود خود را اجرا می کند. با اجرای هر فایل اجرایی در ویندوز نیز این فایل اجرا خواهد شد و پس از اجرا Processes آن را به هیچ عنوان نمی توان خاتمه داد.

این ویروس اجازه دیدن فایل های پنهان را به کاربر نمی دهد و فایل هایی که مخفی شوند دیگر قادر به مشاهده نخواهند بود. دسترسی به برخی سایت ها ممکن نمی باشد و این ویروس با اجرای خود منجر به ایجاد سربار روی سیستم ، کندی دستگاه ، بسته شدن ناخواسته برخی برنامه ها و احیانا بوت شدن خود بخود کامپیوتر می گردد.
همچنین با آلوده کردن حافظه های فلشی که به دستگاه متصل می گردند ، سعی به انتشار خود می کند.

راههای شناخت این تروجان

برای این که متوجه شوید که آیا سیستم شما آلوده به این تروجان است یا نه از طریق فشرن همزمان سه کلید
Alt + Ctrl + Delete وارد Task Manager شوید و سپس به تب Processes رفته و در صورتی که فایل اجرایی Soundmix.exe در حال اجرا باشد سیستم شما به این تروجان آلوده شده است.

راه دیگر شناسایی این تروجان عدم نمایش پسوند فایلهاست

از طریق منوی Folder Option و فعال کردن گزینه Show Hidden files and folder و تایید آن در صورتی که پسوند فایلها نمایش داده نشوند سیستم شما به این تروجان الوده شده است.

این تروجان در درایو ویندوز و در مسیر زیر قرار میگیرد .
C:\WINDOWS\system32\soundmix.exe

فایل کتابخانه ای ان نیز در مسیر زیر قرار میگیرد
C:\WINDOWS\system32\dllcachezipexr.dll

این تروجان علاوه بر کاهش سرعت سیستم باعث عدم نمایش پسوند فایلها و جلوگیری از دسترسی شما به رجستری ویندوزتان می شود و باعث دزدیده شدن اطلاعات سیستم شما خواهد شد.

این ویروس خودش را در system32 با نام soundmix.exe و به صورت یک فایل سیستمی قرار می دهد .
یک کپی در dllcache با نام zipexr.dll نگه می دارد و اگر شما این فایل را پاک کنید بعد از این که سیستم بالا می اید هیچ فایل exe رو اجرا نمی کند .

سه قسمت را در رجیستری دستکاری می کند

کد:

Software\Microsoft\Windows\CurrentVersion\Run

exefile\shell\open\command

SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer \Advanced\Folder\Hidden\SHOWALL

بعد از اتصال حافظه فلش خود به سیستم روی آیکون حافظه که ایجاد شده است کلیک راست کنید. در حالت عادی گزینه های زیر بایستی نمایان گردد :
Open
Explore
Search
Autoplay
در غیر این صورت اگر نوشته هایی عجیب و غریب مشاهده گردد بیان گر وجود ویروس می باشد

راه پاکسازی Soundmix.exe یا تروجان Win32/Agent.AEC

در حال حاضر انتی ویروسهایی که توانایی شناسایی این ویروس را داردند آنتی ویروس NOD32 و کسپر اسکای و بیدیفندر می باشند شایان ذکر است این انتی ویروس ها نیز فقط در صورتی که به روز باشد توانایی پاکسازی Soundmix.exe را خواهد داشت .

در ضمن می توانید از برنامه ای که برای پاک کردن این ویروس درست شده است استفاده کنید .

http://mahdi7610.parsaspace.com/ANTI%20SOUNDMIX.rar

برنامه ی مخربی که پوشه ها را مخفی ( Super Hidden ) می کند

AM!R — Fri, 09 Oct 2009 13:39:13 +0000

نام دقیق این برنامه ی مخرب Trojan.Win32.Delf.aam است .با زبان برنامه نویسی Borland Delphi نوشته شده .
این Malware مانند کرم های New Folder.exe و BronTok.A شبیه یک پوشه است !
بنابراین به سرعت منتشر می شود .

این برنامه ی مخرب تمام پوشه های Open شده توسط قربانی را Super Hidden می کند و یک نسخه از خودش را با همان نام در همان مـسـیـر کـپـی می کـنـد کـه اگـر Victim آن را اجرا کـنـد هم Malware اجرا می شـود و هم محـتـوی پوشـه ی Super Hidden نمایـش داده می شود !!

یعنی اگه Victim مبتدی باشه به زودی متوجه نمیشه که چه بلایی داره سر پوشه هاش میاد !

هــمــانــطـــور کـه می دانـیــد برای آشـکار کـردن فایـل ها و پوشـه های Super Hidden باید ابتدا در Folder Options\View روی گزینه ی Show hidden files and folders کلیک کنید و پس از آن تیک گزینه ی (Hide protected operating system files (Recommended را بردارید و به پیغام امنیتی پاسخ مثبت و شستی OK را فشار دهید .

این Malware به Victim اجازه ی آشکار کردن پوشه ها و فایل های Super Hidden را نمی دهد !

ضمنا Registry Tools ، Windows Task Manager و Folder Options را Disable نمی کند .

پر واضح است که این برنامه ی مخرب از آشکار کردن پسوند فایل ها هم جلوگیری می کنه !

برای پاک کردن این ویروس می توانید از برنامه زیر هم میتونید استفاده کنید

http://feng1.persiangig.com/Programs…0T.Delf.aam.7z

راههای دستی برای برگرداندن قسمتهای حذف شده از سیستم شما

AM!R — Fri, 09 Oct 2009 13:35:48 +0000

میخوام راه هایی رو بهتون معرفی کنم که Registry , task manager , Folder Option , Run ,

رو بشه برگردوند یا فعالش کرد به طور مثال شاید به خطاهایی مانند شکل های زیر برخورد کنید :

فعال ساختن Registry:

روش اول :
ابتدا وارد منوی start شده و روی گزینه run کلیک کنید و کلمه gpedit.msc را تایپ کنید .
در صفحه Group Policy به مسیر پایین بروید:

بعد از کلیک نمودن بروی System در سمت راست پنجره Group Policy بالای

حالا Regedit فعال شده است و شما میتوانید واردش شوید.

روش دوم :
مسیر زیر را داخل note pad کپی کرده و سپس با نام Regedit.reg ذخیره کنید و بعد ان را اجرا کنید . User Configuration> Administrative Templates> System Prevent access to registry editing tools دابل کلیک نموده و در تب Setting گزینه Disable را علامت دار نموده و بالای کلید OK کلیک نمایید اما پنجره Group Policy را نبندید!

کد:

Windows Registry Editor Version 5.00

REG add HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableRegistryTools /t REG_DWORD /d 0 /f

برگرداندن Run :

در صفحه Group Policy به مسیر پایین بروید:

بعد از کلیک نمودن بروی Start Menu and Taskbar، در سمت راست پنجره Group Policy بروی گزینه Remove Run menu from Start Menu دابل کلیک نموده و در تب Setting گزینه Disable را علامت دار نمایید. حالا گزینه Run فعال شده است.

برگرداندن Folder Option :

برای برگرداندن Folder Option به مسیر زیر در پنجره Group Policy بروید:

بعد از کلیک نمودن بروی Windows Explorer، در سمت راست پنجره Group Policy بروی Removes the Folder Options menu item from the Tools menu دابل کلیک نموده و از تب Setting گزینه Disable را علامت دار نمایید و بروی کلید OK کلیک نمایید .

فعال کردن task manager

برای فعال ساختن Task Manager در کادر محاوروی Run عبارت Gpedit.msc را تایپ نموده و اینتر کن و سپس به مسیر پایین برو:

حالا در زیر شاخه System بروی Ctr + Alt + Del کلیک کن و سپس در سمت راست صفحه Group Policy بروی Remove Task Manager دابل کلیک نموده و در تب Setting کزینه Disable را علامت دار کن. بعد از آن بروی کلید OK کلیک نموده و پنجره Group Policy را ببند.

روش دوم :
مسیر زیر را داخل note pad کپی کرده و سپس با نام task manager.reg ذخیره کنید و بعد ان را اجرا کنید . User Configuration> Administrative Templates> Windows Components> Windows Explorer User Configuration > Administrative Templates > System User Configuration> Administrative Templates> Start Menu and Taskbar

کد:

Windows Registry Editor Version 5.00

REG add HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableTaskMgr /t REG_DWORD /d 0 /f

استفاده از فایلهای batch برای از بین بردن ویروس ها

AM!R — Fri, 09 Oct 2009 13:25:17 +0000

فایل اول :

با این فایل batch قادر خواهید بود ویروس های autorun.inf و ntde1 و h.cmd و amv و amvo.exe را از تمام درایوها پاک کنید . تنها کافی است فایل batch را اجرا کنید و سپس اگر سوالی از شما پرسیده شد کلید Y را از روی صفحه کلید فشاد داده و سپس اینتر را بزنید .

http://mahdi7610.parsaspace.com/Clear.rar

فایل دوم :

این فایل batch یکی از بهترین روشها برای از بین بردن تمامی ویروسها و همچنین از بین بردن ویروس autoran.inf و همچنین فعال کردن گزینه Show hidden files می باشد . پیشنهاد می کنم حتما این فایل را که حجمی ندارد را دانلود کنید و بعد هم اجرا کنید .

ابتدا فایل زیر را دانلود کنید و ان را توی دسکتاپ ذخیره کنید و بعد هم فقط کافی روی اون کلیک کنید تا اجرا شود . بعد از اجرا شدن هر جا از شما سوال پرسید شما کلید Y را بزنید و بعد هم اینتر را بزنید در اخر تمام ایکونهای دسکتاپ شما ناپدید خواهد شد .

در این حالت کلید های ترکیبی CTRL + ALT + DELETE را بزنید تا پنجره task manager باز بشه و بعد از باز شدن تسک منجر به تب shut down برید و گزینه log off را انتخاب کنید بعد از لاگ اف شدن وارد سیتسم شوید .

http://mahdi7610.parsaspace.com/autorun.rar

نحوه پاک کردن ویروس Copy.exe

AM!R — Fri, 09 Oct 2009 13:18:38 +0000

اسامی دیگر این ویروس host.exe, xcopy.exe, temp1.exe, temp2.exe and svchost.exe,Salga-A worm

این ویروس یکی از خطرناک ترین ویروس ها هست که به عنوان یک پروسه در سیستم شروع به فعالیت و انتشار خودش می کنه و با توجه به اینکه بعضی از انتی ویروسها به صورت نامناسب این ویروس را پاک می کنند باعث نمایش یک پیغام در زمان دابل کلیک کردن روی درایو و یا فولدر در محیط ویندوز می شوند .

برای پاک کردن دستی این کرم شما باید ابتدا همه پروسه هایی که با نام های host.exe, xcopy.exe, temp1.exe, temp2.exe and svchost.exe,Salga-A worm هستند را پیدا کنید و انها را پاک کنید .

تذکر : مواظب باشید این فایلها را با فایلهای اساسی سیستم عامل اشتباه نگیرید .

مهم : یکی از دلایل اصلی به وجود امدن این مشکل ویروس Autorun.inf هست که شما باید طبق روش هایی که در اموزش گفته ام ان را پاک کنید . این کار را حتما انجام دهید . یعنی حتما باید ابتدا ویروس Autorun.inf را طبق اموزش باید از بین ببرید .

سپس به این ادرس در رجیستری رفته و اگر کلیدی به اسم Copy.exe در زیر منوی MountPoints2 وجود داشت ان را پاک کنید .

کد:

HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\MountPoints2

با استفاده از برنامه های زیر به طور کامل می توانید این ویروس را از بین ببرید .

http://www.securitystronghold.com/download/solutions/TrueSword4.exe

برنامه زیر را در حالت safe mode اجرا کنید

http://www.traidnt.org/index.php?action=getfile&id=3726