حذف ويروس به صورت دستي , دانلود آنتي ويروس , سريال NOD32 » کرم http://www.antiviroos.ir .:. حذف ويروس بدون آنتي ويروس .:. Mon, 30 Aug 2010 13:22:06 +0000 http://wordpress.org/?v=2.9.2 fa hourly 1 کرم WORM_VB.CII یا SAL.XLS.EXE-win32/VB.EL worm http://www.antiviroos.ir/1388/07/%da%a9%d8%b1%d9%85-worm_vb-cii-%db%8c%d8%a7-sal-xls-exe-win32vb-el-worm/ http://www.antiviroos.ir/1388/07/%da%a9%d8%b1%d9%85-worm_vb-cii-%db%8c%d8%a7-sal-xls-exe-win32vb-el-worm/#comments Sun, 11 Oct 2009 20:10:54 +0000 AM!R http://www.antiviroos.ir/?p=95 این کرم باعث ایجاد فایلهایی به اسم msfir80.exe و sal.xls.exe و Auto&Play و Autorun.inf در داخل تمامی درایو ها می شود .
زمانی که این کرم روی کامپیوتر شما منتشر شد ، وقتی که روی یک درایوتون کلیک می کنین و اون درایو باز می شه فایل SAL.XLS.EXE اجرا می شه و خب دیگه ، مسلما نفوذ می کنه به REGISTERY ویندوز .
نحوه از بین بردن این کرم
قبل از هر کاری یک ویرس کش قوی و آپدیت شده رو سیستم خود نصب نمایید. و آنرا بروز کنید و سپس مراحل زیر را دنبال نمایید :

۱-ابتدا System Restore را غیر فعال نمایید. ( روی my computer راست کلیک نموده و زبانه مربوط به System Restore را انتخاب کنید و سپس در قسمت پایین جلویرا تیک بزنید و سپس Ok کنید )

Turn of System resore

2-کامپیوتر خود را ریست نموده و در حالت safe mode آنرا بالا بیاورید.

۳-رجیستری ویندوز را باز نموده و مسیر زیر را دنبال نمایید :

کد:

HKEY_CURRENT_USER>Software>Microsoft>Windows>Curre ntVersion> Run

سپس در پنجره سمت راست این عبارت را پیدا نموده و حذف نمایید : “MsServer = “msfir80.exe
4- سپس مسیر زیر را دنبال نمایید :

کد:

HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>Curr entVersion >Run

در پنجره سمت راست این عبارت را حذف کنید : “IMJPMIG8.2 = “msime80.exe

5- رجیستری را ببندید.

۶- حالا باید ویروس اتوران را از داخل تمام داریو ها پاک کنید . به ابتدای مقاله رجوع کنید توضیح داده شده است .
حال کامپیوتر خود را ریست نموده و به محض بالا امدن ویندوز بدون اینکه پنجره ای باز کنید ابتدا System Restore را روشن نموده و با استفاده از ویروس کش آپدیت شده کل سیستم را اسکن نمایید. بعد از اتمام یکبار دیگر کامپیوتر را ری استارت کنید

]]> http://www.antiviroos.ir/1388/07/%da%a9%d8%b1%d9%85-worm_vb-cii-%db%8c%d8%a7-sal-xls-exe-win32vb-el-worm/feed/ 0 کرم Imaut-A http://www.antiviroos.ir/1388/07/%da%a9%d8%b1%d9%85-imaut-a/ http://www.antiviroos.ir/1388/07/%da%a9%d8%b1%d9%85-imaut-a/#comments Sun, 11 Oct 2009 19:33:35 +0000 AM!R http://www.antiviroos.ir/?p=81

Imaut-A یک کرم کامپیوتری برای سیستم هایویندوزی است .
این کرم خودش رادر شبکه های share شده و درایوهای قابل انتقال بهصورت زیر کپی می کند :

کد:

\Funny UST Scandal.avi.exe

\smss.exe

\lsass.exe

\Funny UST Scandal.exe

\killer.exe

همچنین مدخل زیر در رجیستری ایجاد می شود تا smss.exe بتواند اجرا شود :

کد:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run

Runonce

smss.exe

مدخل زیر نیز تغییر می کند تا killer.exe بتواند با آغاز ویندوز اجرا شود :

کد:

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

Shell

explorer.exe, killer.exe

مدخل های زیر نیز تغییر می کنند :

کد:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Exp lorer\Advanced\Folder\Hidden\SHOWALL

CheckedValue

0

روش هایی برای پاک کردن این کرم :


۱-به روز کردن آنتی ویروس

۲-همه ی برنامه های خود را ببندیدبرنامه Sophos Anti-Virus را از لینک های زیر دریافت کنید .

http://www12.enfull.com/SOPHOSANTIVIRUS.rar
http://www10.enfull.com/SOPHOSANTIVIRUS.rar

مراحل Start|Programs| SophosAnti-Virus را بگذرانید وبرنامه آنتی ویروس را اجرا کنید تب Immediate و سپس درایو مورد نظر را انتخاب کنید به Options|Configuration رفته و تب Disinfection یا Action را انتخاب کرده سپس Infected file و بعد از آن Delete را انتخاب کنید و در آخر OK را بزنید

برای اجرا کردن پویش ، scan یا دکمه GO را بزنید فایل های مورد نظر را پاک کنید، سپس یک پویش دیگر را اجرا کنید تا مطمئن شوید پاک سازی صورت گرفته استبه Options|Configuration برگردید و تب Disinfection یا Action انتخاب کرده سپس Infected files و بعد از آن Delete را انتخاب کنید و در آخر OK را بزنید کامپیوتر را Reboot کرده و پویش نهایی را اجرا کنید تا کاملا مطمئن شویدپاک ساری صورت گرفته است

روش پاک سازی به صورت دستی:

ابتدا تمامی داده خود را در سیستم تغییر داده و یک کپی از آنهاتهیه کنید.

پسورد Administrator را دوباره تغییر دهید و یک نگاهی به مسایلامنیتی شبکه خود بیندازید.

در taskbar دکمه start را بزنید و منوی run رااجرا کنید و در آن Regedit را بنویسید و دکمه ok را کلیک کنید تا صفحه ویرایشگررجیستری شما باز شود . فراموش نکنید که قبل از دستکاری رجیستری یک نسخه پشتیبان ازآن تهیه کنید .

برای تهیه نسخه پشتیبان از رجیستری خود ؛ در منوی Registry رویگزینه Export Registry File و در پنلExport range گزینه All را انتخاب کرده و سپسدکمه Save را کلیک کنید تا نسخه پشتیبان از رجیستری شما تهیه شود.

حال درمدخل HKEY_CURRENT_USER رجیستری زیرمدخل:

کد:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run

Runonce

\smss.exe

هر مدخلی که به فایلی اشاره می کرد حذف کنید.



همچنین در مدخل HKEY_LOCAL_MACHINE مقدار VALUE از CheckedValue را ۱ و از Shell را explorer.exe بگذارید :

کد:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Exp lorer\Advanced\Folder\Hidden\SHOWALL

CheckedValue

0

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

Shell

explorer.exe, killer.exe

سپس رجیستری خود را ببندید و دوباره سیستم خود را راه اندازی کنید

]]> http://www.antiviroos.ir/1388/07/%da%a9%d8%b1%d9%85-imaut-a/feed/ 0