حذف ويروس به صورت دستي , دانلود آنتي ويروس , سريال NOD32 » Folder Option

نحوه پاک کردن ویروس NTDETECT.exe

AM!R — Mon, 12 Oct 2009 14:17:28 +0000

این ویروس درایوهای سیستم شما را دچار مشکل می کند و اجازه باز شدن به انها را نمی دهد و شما باید برای وارد شدن به درایوها روی انها راست کلیک کنید و با زدن open وارد شوید .
حتی گاهی با راست کلیک و زدن open هم شما قادر به وارد شدن به درایوهای خود نیستید

این ویروس در اکثر مواقع همراه ویروس بسیار معروف autorun.inf در ریشه درایو های شما قرار می گیره و مانع از باز شدن درایوهای شما می شود .

این ویروس باعث حذف قسمتهای مختلف ویندوز نیز می شود مثل folder option

در ضمن این ویروس می خواهد خود را داخل همه درایوها تکثیر کند به همین دلیل چون داخل درایو فلاپی هیچ دیسکی وجود ندارد باعث می شود صدای عجیب و غریبی از فلاپی دیسک به صدا در اید .

نحوه از بین بردن ویروس

برای از بین بردناین ویروس ابتدا باید بتونید ویروس اتوران را از بین ببردید .
در مورد از بین بردن ویروس اتوران توی پست اول توضیحات کاملی داده ام .

سپس اقدام به از بین بردن این ویروس کنید .

این ویروس را انتی ویروس nod32 در صورت اپدیت بودن و استفاده از نسخه های جدید این انتی ویروس قادر به پاک کردن هست .

(جهت دریافت جدیدترین روش ها برای حذف ویروس در خبرنامه وبلاگ عضو شوید )

ابتدا برنامه را از حالت فشرده خارج کنید و بعد برنامه yaremover.exe را اجرا کنید تا شروع به پاک کردن این ویروس بکند . در کنار این برنامه یک فایل به اسم x.reg هست که نباید اون را پاک کنید و باید همراه برنامه باشه .

http://khourjavan.parsaspace.ir/anti%20ntde1ect.rar

برای از بین بردن ویروس اتوران نیز از برنامه زیر استفاده کنید

http://www.downloadpuppy.com/getfile.php?id=bqU=

ویروس Antichrist (virus hoax)0

AM!R — Sun, 11 Oct 2009 19:24:21 +0000

تصاویری از این ویروس :

کد:

http://www.tinypic.info/files/tomewp9nlmlukritsynq.jpg

کد:

http://www.tinypic.info/files/qxp8wqrfj2gy06r1wtlo.jpg

این ویروس یا کرم با پیغامی که می دهد در واقع شما را به راه راست هدایت می کند و به نام ویروس ستایش نیز معروف است .

این ویروس که با نام های Day of Judgmet و Antichrist هم شناخته می شود یک کرم ایرانی است که سیستم عامل های ویندوز ۳۲ بیتی را مورد حمله قرار می دهد.

از مشخصه های بارز این کرم می توان به موارد زیر اشاره کرد:

غیرفعال کردن Folder Option

باز شدن صفحه اینترنتی با عنوان Day of Judgment (به معنی روز داوری) که ترجمه انگلیسی سوره حمد بر روی پس زمینه سبز در آن مشاهده می شود.

این هم تصویر صفحه html

این صفحه در هر بار بوت شدن ویندوز به شما نشان داده می شود.همچنین در هر بار بوت شدن ویندوز پنجره ای با تیتر Antichrist و با محتوای Day of Judgment نمایش داده می شود.

در بعضی مواقع جلوی اجرای Regedit و Task Manager با آلوده شدن توسط این ویروس گرفته می شود .

سرعت کلی سیستم به شدت پایین می آید و در فهرست پروسس های ویندوز می توانید Sys.exe و در قسمت برنامه های startup نام wma.exe و blank.htm را مشاهده کنید.

و گاهی اوقات هنگام بالا امدن ویندوز یک فایل html در ادرس c:\windows\system32\blank.htm اجرا می گردد .

همچنین ویروس خود را در تمام درایوها با نام Autoplay.exe کپی می کند که با هر بار کلیک روی درایو ها منتشر می شود .

این هم متن AUTORUN این WORM .

کد:

[autorun]

open=Recycler.{645FF040-5081-101B-9F08-00AA002F954E}\sys.exe a

shell\open=Open

shell\open\Command=Recycler.{645FF040-5081-101B-9F08-00AA002F954E}\sys.exe o

shell\open\Default=1

shell\explore=Expl

shell\explore\Command=Recycler.{645FF040-5081-101B-9F08-00AA002F954E}\sys.exe e

این کرم ایرانی پس از اجرای فایل آن بر روی سیستم کاربر، ابتدا خودش را به صورت ‏زیر بر روی سیستم کپی می‌نماید:‏

کد:

‎%System32%\Sys.exe

‎%Windows%\Shell.exe

‎%Windows%\vxds.exe

‎%Windows%\Help\vxds.exe

‎%Windows%\media\wma.exe

و برای اینکه با هر بار بالا آمدن سیستم این فایل‌ها اجرا گردند، آنها را به شکل زیر در ‏رجیستری ثبت می‌کند:‏

کد:

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

Shell = userinit.exe, sys.exe

Userinit = Explorer.exe shell.exe

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

vxds = %Windows%\vxds.exe

همچنین در مسیر System32 فایلی با نام ‏OEMLOGO.BMP‏ به صورت ‏مخفی ایجاد می‌کند که به شکل زیر

می‌باشد:‏

بعلاوه در همین مسیر فایلی با نام ‏OEMLOGO.INI‏ به صورت مخفی می‌سازد که ‏محتویات آن به شکل زیر است:‏

کد:

[General]

Manufacturer=[Antichrist]

Model=[Day of judgment]

SupportURL=hxxp://www.antichrist.com/

LocalFile=blank.htm

[Support Information]

Line1=When comes the help of Allah, and victory,.

Line2=And thou dost see the people enter Allah’s religion in crowds,.

Line3=Celebrate the praises of thy Lord, and pray for his forgiveness: ‎for he is oft-Returning (in forgiveness)..

فایل دیگری نیز در همین مسیر با نام ‏blank.htm‏ به صورت مخفی ایجاد می‌کند که با ‏اجرای آن صفحه‌ای به شکل زیر به نمایش درمی‌آید:‏

که متن انگلیسی نمایش داده شده در این صفحه ترجمه سوره حمد می‌باشد. آنگاه برای ‏اینکه با هر بار بالا آمدن سیستم این فایل نمایش داده شود آن را به صورت زیر در ‏رجیستری ثبت می‌کند:‏

کد:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Blank = %System32%\blank.htm

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Blank = %System32%\blank.htm

برای اینکه مقدار ‏Home Page‏ و ‏Search Page‏ نرم‌افزار ‏Internet Explorer‏ را ‏برابر با صفحه مذکور قرار دهد، تغییرات زیر را در رجیستری ایجاد می‌نماید:‏

کد:

HKCU\Software\Microsoft\Internet Explorer\Main

Start Page = %System32%\blank.htm

Search Page = %System32%\blank.htm

از کارهای جالب این ویروس این است که در همه درایوها در داخل مسیر ‏Recycler‏ ‏فولدری مخفی و با نام تصادفی ایجاد کرده و یک کپی از خودش را با نام ‏Sys.exe‏ ‏درون آن قرار می‌دهد.

همچنین اثرات دیگری به شکل زیر دارد:‏

با ایجاد تغییراتی در رجیستری باعث می‌شود که قبل از ورود به سیستم صفحه‌ای با تیتر ‏Antichrist‏ و با متن ‏Day of judgment‏ نمایش داده شود. همچنین باعث می‌شود ‏فایل‌های ‏Super Hidden‎‏ نمایش داده نشود. جلوی اجرای برنامه‌های ‏RegEdit‏ و ‏Task Manager‏ را گرفته و رنگ زمینه ‏Windows‏ و صفحه ‏cmd‏ را تغییر می‌دهد. ‏بعلاوه نام ‏User‏ و ‏Organization‏ ثبت شده برای سیستم را با [Antichrist] تغییر می‌دهد.‏

لازم به ذکر است که آخرین نگارش ضدویروس سیمانتک این کرم اینترنتی را شناخته و به صورت کامل پاکسازی می‌نماید.
برای پاکسازی اثرات باقی مانده این ویروس همانند غیر فعال شدن Registry یا Folder Option و یا باز نشدن درایوها با دابل کلیک بر روی آنها و غیره از ابزار پاکسازی زیر یا بالای صفحه استفاده نمایید

نحوه از بین بردن ویروس Antichrist

متاسفانه فعلا حتی نسخه های بروزشده آنتی ویروس Eset NOD۳۲ قادر به شناسایی و خنثی نمودن این ویروس نمی باشند.

اما حداقل سه آنتی ویروس Kaspersky (در نسخه ۷ آزمایش شد) ، McAfee (نسخه ۲۰۰۸) و احتمالا آخرین نگارش ضدویروس سیمانتک (به نقل از سایت امنیتی دمسان) قادر به شناسایی و پاک کردن ویروس مذکور هستند.

نکته : حتما سیستم خودتان را در حالت safe mode ویروس یابی کنید .

و از کلیک کردن روی درایو ها تا پاک شدن کامل ان خود داری کنید .

بعد از پاک شدن ویروس قسمتهای حذف شده را مانند روشهای بالا می توانید برگردانید .

و سپس باید به تمام درایو ها رفته و autoplay.exe را پاک کنید .

نکته : نحوه پاک کردن ویروس autoplay.exe یا autoran را بالا به طور کامل ذکر شده است .

به رجیستری رفته و مسیر زیر را دنبال کنید

کد:

HKEY_LOCAL_MACHINE\Software\Microsoft\windows\curr ent version\run

روی run کلیک کنید و هر چیزی سمت راست اگر گزینه های زیر وجود دارند انها را پاک کنید .
blank
igfxhkcmd
igfsexper
igfxtray
vxds

همه این کارها را باید در حالت safe mode انجام دهید .

نحوه از بین بردن ویروس services.exe

AM!R — Sun, 11 Oct 2009 18:09:29 +0000

متاسفانه اکثر ویروسهایی که جدیدا به وجود می آیند همنام پروسه های مربوط به سیستم عامل می باشند به همین دلیل تشخیص انها هم برای کاربران و هم برای آنتی ویروس ها نسبتا مشکل شده است .
و از کار انداختن انها نیز قدری سخت شده است .

و همین عامل می تواند یکی از نقاط ضعف سیستم عامل های ماکروسافت محسوب شود .

فعالیت های ویروس services.exe

اولین کاری که این ویروس انجام می دهد خودش را با نام فایلهایی که در یک فولدر است در می اورد و فایلهای فولدر را مخفی می کند و یک فایل با نام همان فولدر می سازد که دارای پسوند exe می باشد .

و به فولدر هایی که مخفی می کند علاوه بر خصلت hidden خصلت سیستمی هم می دهد .

سپس به وسیله windows policy برنامه های regedit و cmd و msconfig و taskmanager رو از کار می اندازد(گاهی اوقات هنگام استفاده از دستور cmd کامپیوتر را ریستارت هم میکند) در بعضی مواقع از قسمت folder option گزینه view رو مخفی میکند.

و اجازه دسترسی به بعضی از گزینه های مدیریتی رو بطور کامل از بین میبرد .

و حتی با تعویض ویندوز هم فایلها از حالت مخفی خارج نخواهند شد . به خاطر این که با تعویض ویندوز هنوز اثرات این ویروس در دیگر درایو ها وجود دارد و تنها با کلیک کردن روی یکی از انها ویروس فعال شده و دوباره همه جا را آلوده می کند.

نحوه از بین بردن ویروس services.exe

برای از بین بردن این ویروس ابتدا کدهای زیر را داخل note pad کپی کرده و با نام و پسوند rescue.bat در مسیر در مسیر c:\ ذخیره نمایید.

کد:

@echo off

:try

del c:\windows\services.exe

if exist c:\windows\services.exe goto try

حالا به منوی start رفته و روی گزینه run کلیک کنید و عبارتregedit را تایپ کرده و ok را بزنید. تا وارد محیط رجیستری شوید .
حال به مسیر زیر بروید.

کد:

HKEY_LOCAL_MACHINE\system\currentcontrolset\services\eventlog

روی فایل image path دوبار کلیک کرده و در این پنجره به جای %systemroot%\system32\services.exe عبارت c:\rescue.bat را تایپ کنید.
ویندوز را restart کنید.
دوباره به منوی start رفته و برنامه run را اجرا کرده و regedit را تایپ کرده و ok را بزنید.
حال به مسیر زیر بروید.

کد:

HKEY_LOCAL_MACHINE\system\current control set\services\eventlog

روی فایل image path دوبار کلیک کرده و در این پنجره به جای c:\rescue.bat عبارت %systemroot%\system32\services.exe را تایپ کنید.

کد:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\userinit

userinit را از مسیر بالا باز کرده و به جای عبارت %windir%\services.exe عبارت C:\WINDOWS\system32\userinit.exe را وارد کنید

عبارت %windir%\services.exe را حذف نمایید یعنی مسیر به صورت زیر در می آید.

C:\WINDOWS\system32\userinit.exe

به پوشه temp رفته و در صورت وجود فایل Service.exe ان را پاک کنید .
حالا آنتی ویروس های kaspersky و nod32 را update نمایید و سیستم را به طور کامل در حالت safe mode ویروس یابی کنید .

ضمناً بهتر است بعد از update و ویروس یابی ویندوز خود را عوض کنید.

anti spyware برای از بین بردن ویروس services.exe

این آنتی spyware یکی از بهترین ها برای از بین بردن ویروس services.exe می باشد .

http://www.spywareremove.com/download/Free-SpyHunter-Scanner6p2s2.exe

فقط توجه داشته باشید که این anti spyware ویروس services.exe را پیدا می کند و برای از بین بردن انها حتما باید این برنامه کرک شده باشد

راههای دستی برای برگرداندن قسمتهای حذف شده از سیستم شما

AM!R — Fri, 09 Oct 2009 13:35:48 +0000

میخوام راه هایی رو بهتون معرفی کنم که Registry , task manager , Folder Option , Run ,

رو بشه برگردوند یا فعالش کرد به طور مثال شاید به خطاهایی مانند شکل های زیر برخورد کنید :

فعال ساختن Registry:

روش اول :
ابتدا وارد منوی start شده و روی گزینه run کلیک کنید و کلمه gpedit.msc را تایپ کنید .
در صفحه Group Policy به مسیر پایین بروید:

بعد از کلیک نمودن بروی System در سمت راست پنجره Group Policy بالای

حالا Regedit فعال شده است و شما میتوانید واردش شوید.

روش دوم :
مسیر زیر را داخل note pad کپی کرده و سپس با نام Regedit.reg ذخیره کنید و بعد ان را اجرا کنید . User Configuration> Administrative Templates> System Prevent access to registry editing tools دابل کلیک نموده و در تب Setting گزینه Disable را علامت دار نموده و بالای کلید OK کلیک نمایید اما پنجره Group Policy را نبندید!

کد:

Windows Registry Editor Version 5.00

REG add HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableRegistryTools /t REG_DWORD /d 0 /f

برگرداندن Run :

در صفحه Group Policy به مسیر پایین بروید:

بعد از کلیک نمودن بروی Start Menu and Taskbar، در سمت راست پنجره Group Policy بروی گزینه Remove Run menu from Start Menu دابل کلیک نموده و در تب Setting گزینه Disable را علامت دار نمایید. حالا گزینه Run فعال شده است.

برگرداندن Folder Option :

برای برگرداندن Folder Option به مسیر زیر در پنجره Group Policy بروید:

بعد از کلیک نمودن بروی Windows Explorer، در سمت راست پنجره Group Policy بروی Removes the Folder Options menu item from the Tools menu دابل کلیک نموده و از تب Setting گزینه Disable را علامت دار نمایید و بروی کلید OK کلیک نمایید .

فعال کردن task manager

برای فعال ساختن Task Manager در کادر محاوروی Run عبارت Gpedit.msc را تایپ نموده و اینتر کن و سپس به مسیر پایین برو:

حالا در زیر شاخه System بروی Ctr + Alt + Del کلیک کن و سپس در سمت راست صفحه Group Policy بروی Remove Task Manager دابل کلیک نموده و در تب Setting کزینه Disable را علامت دار کن. بعد از آن بروی کلید OK کلیک نموده و پنجره Group Policy را ببند.

روش دوم :
مسیر زیر را داخل note pad کپی کرده و سپس با نام task manager.reg ذخیره کنید و بعد ان را اجرا کنید . User Configuration> Administrative Templates> Windows Components> Windows Explorer User Configuration > Administrative Templates > System User Configuration> Administrative Templates> Start Menu and Taskbar

کد:

Windows Registry Editor Version 5.00

REG add HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableTaskMgr /t REG_DWORD /d 0 /f