باز شدن درایوها با دابل کلیک در یک پنجره جدید یا باز شدن پنجره search
نحوه پاک کردن ویروس Virus Win32/Jeefo یا SVCHOST.EXE
پاک کردن ویروس Copy.exe
روشی برای از بین بردن ویروس New folder.exe
پاک کردن برنامه ی مخربی که پوشه ها را مخفی ( Super Hidden ) می کند
ویروس MS32DLL.dll.vbs
معرفی برنامه SmitFraudFix
پاک کردن ویروسی که از طریق یاهو مسنجر منتشر می شود
رفع مشکل غیر فعال شدن Home Page اینترنت اکسپلورر
نحوه از بین بردن ویروس services.exe
کرم Wukill ) W32/Wukill.worm.gen )
آموزش پاک سازی ویروس Rundll.exe
باز شدن درایوها با دابل کلیک در یک پنجره جدید یا باز شدن پنجره search
برای حل این مشکل ابتدا باید مطمئن شوید تیک گزینه Open Each Folder In Its Own Window زده شده است . برای این کار به مسیر زیر بروید .
Tools >> Folder Options و سپس تب General
حال اگر مشکل از این قسمت نبود از روشهای زیر استفاده کنید .
روش اول :
ابتدا به منوی start رفته و گزینه run را بزنید و سپس عبارت regsvr32 /i shell32.dll را در ان کپی کنید و سپس کلید اینتر را بزنید .
روش دوم : به منوی start رفته و گزینه Run را بزنید و سپس عبارت regedit را تایپ کنید تا وارد محیط رجیستری شوید .
به هر دو مسیر زیر بروید
HKEY_CLASSES_ROOT\Directory\shell
و
HKEY_CLASSES_ROOT\Drive\shell
در پنل سمت راست ، مقادیر پیش فرض عبارات بالا رو پیدا کنید. سپس روی انها دابل کلیک کرده و در قسمت Value data عبارت none را قرار دهید و سپس روی دکمه Ok رو کلیک کنید.
روش سوم :به منوی start رفته و روی run کلیک کنید و عبارت زیر را داخل ان کپی کرده و کلید اینتر را فشار دهید .
کد:
reg add hkcr\drive\shell /ve /d none /f
نحوه پاک کردن ویروس Copy.exe
اسامی دیگر این ویروس host.exe, xcopy.exe, temp1.exe, temp2.exe and svchost.exe,Salga-A worm
این ویروس یکی از خطرناک ترین ویروس ها هست که به عنوان یک پروسه در سیستم شروع به فعالیت و انتشار خودش می کنه و با توجه به اینکه بعضی از انتی ویروسها به صورت نامناسب این ویروس را پاک می کنند باعث نمایش یک پیغام در زمان دابل کلیک کردن روی درایو و یا فولدر در محیط ویندوز می شوند .
برای پاک کردن دستی این کرم شما باید ابتدا همه پروسه هایی که با نام های host.exe, xcopy.exe, temp1.exe, temp2.exe and svchost.exe,Salga-A worm هستند را پیدا کنید و انها را پاک کنید .
تذکر : مواظب باشید این فایلها را با فایلهای اساسی سیستم عامل اشتباه نگیرید .
مهم : یکی از دلایل اصلی به وجود امدن این مشکل ویروس Autorun.inf هست که شما باید طبق روش هایی که در اموزش گفته ام ان را پاک کنید . این کار را حتما انجام دهید . یعنی حتما باید ابتدا ویروس Autorun.inf را طبق اموزش باید از بین ببرید .
سپس به این ادرس در رجیستری رفته و اگر کلیدی به اسم Copy.exe در زیر منوی MountPoints2 وجود داشت ان را پاک کنید .
کد:
کد:
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\MountPoints2
با استفاده از برنامه های زیر به طور کامل می توانید این ویروس را از بین ببرید .
http://www.securitystronghold.com/do...TrueSword4.exe
برنامه زیر را در حالت safe mode اجرا کنید
http://www.traidnt.org/index.php?action=getfile&id=3726
Show Hidden Files
1- از Start Menu وارد Run بشید و در اونجا تایپ کنید : regedit
وقتی صفحه ی رجیستری باز شد ، از سمت چپ وارد این مسیر بشید :
کد:
کد:
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\Advanced
در این قسمت ، در لیست متغیر هایی که سمت راست وجود دارند ، متغیر آبی رنگی ( DWORD Value ) رو به نام Hidden پیدا کنید و روی ان دابل کلیک کنید . اگر مقدارش ( Value data ) به 0 تغییر کرده ، ان را به 1 یا 2 تغییر دهید و OK کنید . حالا رجیستری رو ببندید و ریستارت کنید .
2- مسیر زیر رو دنبال کنید :
کد:
کد:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\Advanced\Folder\Hidden
اکنون در سمت راست پنجره ی Regedit روی Type دو بار کلیک کرده و مقدار آن رو برابر با group قرار دهید ( یعنی در پنجره ای که باز میشه کلمه ی group رو تایپ کنید ).
با این کار تونستید Show Hidden Files از دست رفته را که دیده نمی شد برگردونید .
3-مسیر زیر رو دنبال کنید :
کد:
کد:
HK LocalMachine\Software\Microsoft\Windows\CurrentVer sion\Explorer\Advanced\Folder\Hidden\SHOWALL
در سمت راست پنجره ی Regedit مقدار CheckedValue رو برابر با 1 قرار بدید.
گرفتن و اجرا کردن این برنامه . وقتی برنامه را اجرا کردید به اخطار داده شده توجهی نکنید و روی ok کلیک کنید .
روشی برای از بین بردن ویروس New folder.exe
سایت انتی ویروس sophos بهترین و جامع ترین راه حل را برای این ویروس ارائه کرده است .
این ویروس با نام های W32/Floppy-E و WORM_GATECOLL.A و Troj_VB.BLA نیز شناخته می شود .
یکی از دلایلی که انتی ویروس ها قادر به از بین بردن یا شناسایی این ویروس نیستند این است که این ویروس با بالا امدن ویندوز به صورت دائمی شروع به فعالیت می کند . و همون طور که می دانید یه فایل در حال اجرا را نمی شود از روی ویندوز پاک کرد .
برای از بین بردن این ویروس شما باید ابتدا فایل 13 مگابایتی زیر را دانلود کنید و پس از دانلود ویندوز را در حالت Safe mode راه اندازی کنید و فایلی را که دانلود کرده اید را در یکی از درایو هایتان و در درون فولدر SAV32CLI از حالت فشرده خارج کنید .
حالا باید command prompt را از منوی استارت اجرا کنید و سه دستور زیر را به ترتیب تایپ کنید .
کد:
کد:
X:
CD SAV32CLI
SAV32CLI -REMOVE -P=C:\LOGFILE.TXT
در این دستور x نام درایوی هست که شما فایل دانلود شده خودتون را توی اون درایو قرار داده اید .
بعد از تایپ خط آخر و اجرا شدن الگوی پاکسازی عملیات ویروس کشی آغاز میشه و بعد از چند بار دادن پاسخ بله به برنامه جهت تایید پاکسازی کرم W32/Floppy-E در عرض چند دقیقه از شر این کرم سمج و دردسر ساز راحت میشید.
معرفی برنامه هایی که توسط انها میتوانید قسمتهای حذف شده یا غیر فعال شده را به حالت او
مثل : folder option و رجیستری و Task Manager و Hidden F iles و پنجره Run و Windows Firewall و show desktop و show taskbar و حذف اتوران و Group policy و ....
برنامه isReset
حتما با ویروسهایی که فایلهای شما را به صورت سیستمی و پنهان در می آورند برخورد کرده اید. این ویروسها را با آنتی ویروس می توان از بین برد ولی برگرداندن فایلها به حالت عادی کار ساده ای نیست. با استفاده از این برنامه می توانید این فایلها را به حالت عادی برگردانید. برای این کار باید فایل یا فولدرهایی که به صورت سیستمی در آورده اند را به روی پنجره این برنامه کشیده و بر روی دکمه Reset کلیک کنید.
http://tebyan.net/Download/NewDownlo...Reset_1240.exe
برنامه Linkfars Virus Remover
با استفاده از این برنامه می توانید ویروس جدیدی که اکثر کامپیوترها را آلوده کرده است را از بین ببرید. این ویروس را آنتی ویروس Symantec با نام W32.Linkfars و Kaspersky آن را با نام Malas نامگذاری کرده است.
در NOD32 هم از انواع Autorun شناخته می شود. از اثرات این ویروس این است که با کلیک بر روی یک درایو محتویات آن را در پنجره جدید باز می کند.
همچنین Folder Options پنهان می شود. در همه درایوها یک فایل Autorun.inf و Autoply.exe به صورت سیستمی و پنهان کپی می شود. یک سرویس svchost.exe با نام User شما درست می شود. یک گزینه برای اجرای فایل OfficeUpdate.exe در برنامه های Startup ساخته می شود.
یک میانبر با آیکون فولدر و نام New Folder در بعضی درایوها و به خصوص حافظه های فلش متصل شده به سیستم ایجاد می شود. در هنگام اتصال به اینترنت شعارهای ضد حکومت و دین در بالای صفحه ظاهر می شود و .... فایل را از حالت فشرده خارج کرده و فایلهای داخل آن را به ترتیب شماره های قرار داده شده اجرا کنید.
http://tebyan.net/Download/NewDownlo...mover_1321.rar
برنامه Ravmon Virus Removal Tool
بازگرداندن قسمت های مهم سیستم به حالت عادی
http://javedkhalil.com/techBlog/wp-c...on-removal.rar
برنامه Restriction Removal Tool
http://download.sergiwa.com/security/RRT.exe
برنامه symantec Removal Tools
http://www.symantec.com/business/sec...movaltools.jsp
پاک کردن برنامه ی مخربی که پوشه ها را مخفی ( Super Hidden ) می کند
نام دقیق این برنامه ی مخرب Trojan.Win32.Delf.aam است .
با زبان برنامه نویسی Borland Delphi نوشته شده .
آی...... این Malware * مانند کرم های New Folder.exe و BronTok.A شبیه آی...... یک پوشه است !
بنابراین به سرعت منتشر می شود .
این برنامه ی مخرب تمام پوشه های Open شده توسط قربانی را Super Hidden می کند و یک نسخه از خودش را با همان نام در همان مـسـیـر کـپـی می کـنـد کـه اگـر Victim * آن را اجرا کـنـد هم Malware اجرا می شـود و هم محـتـوی پوشـه ی Super Hidden نمایـش داده می شود !!
یعنی اگه Victim مبتدی باشه به زودی متوجه نمیشه که چه بلایی داره سر پوشه هاش میاد !
هــمــانــطـــور کـه می دانـیــد برای آشـکار کـردن فایـل ها و پوشـه های Super Hidden باید ابتدا در Folder Options\View روی گزینه ی Show hidden files and folders کلیک کنید و پس از آن تیک گزینه ی (Hide protected operating system files (Recommended را بردارید و به پیغام امنیتی پاسخ مثبت و شستی OK را فشار دهید .
این Malware به Victim اجازه ی آشکار کردن پوشه ها و فایل های Super Hidden را نمی دهد !
ضمنا Registry Tools ، Windows Task Manager و Folder Options را Disable نمی کند .
پر واضح است که این برنامه ی مخرب از آشکار کردن پسوند فایل ها هم جلوگیری می کنه !
برای پاک کردن این ویروس می توانید از برنامه ای که نوشتم استفاده کنید .
http://feng1.persiangig.com/Programs...0T.Delf.aam.7z
ویروس MS32DLL.dll.vbs
گاهی اوقات داخل درایوها فایلی به اسم MS32DLL.dll.vbs نیز وجود دارد که به صورت مخفی می باشد .
در واقع عامل ایجاد این فایل نیز همین ویروس autorun.inf می باشد و در واقع ویروس اتوران یک master هست و فایل MS32DLL.dll.vbs یک worker .
یعنی این فایل برای اجرا شدن نیاز شدیدی به ویروس اتوران دارد و با از بین بردن ویروس اتوران این فایل که یک اسکریپت می باشد نیز ناتوان خواهد شد و به راحتی می توان ان را پاک کرد .
این ویروس باعث می شه یه فایل به اسم MS32DLL.dll.vbs نیز در مسیر c:\windows\MS32DLL.dll.vbs ساخته شود .
برای از بین بردن کامل این ویروس نیز شما نباید به هیچ وجه از دابل کلیک استفاده کنید بلکه باید از راست کلیک روی درایوها یا فولدرها و زدن open استفاده کنید . چون با دابل کلیک این ویروس فعال خواهد شد .
همچنین در بعضی مواقع باعث ایجاد متنی با عنوان Hacked By Godzilla ( ممکن است یک نام دیگر نیز باشد ) در بالای پنجره اینترنت اکسپلور می شود
برای از بین بردن این ویروس و این مشکل کارهای گفته شده را انجام دهید .
ابتدا با زدن کلید های ترکیبی ctrl + alt + delete وارد task manager شوید و در تب processes پروسه های زیر را بیندید .
کد:
کد:
1. wscript.exe
2. mslogon.exe
3. systemnt.exe
4. wscript.exe
5. flashy.exe
6. sondmsg.exe
و سپس ویروس autorun.inf را مطابق اموزش از بین ببرید .
حال به مسیر c:\windows رفته و در صورت وجود فایل MS32DLL.dll.vbs را پاک کنید .
سپس به رجیستری رفته و قسمتهای گفته شده را پاک سازی نمایید .
کد:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run - MS32DLL
HKLM\Software\Microsoft\Windows\CurrentVersion\Run - flashy.exe
HKU\Software\Microsoft\InternetExplorer\Main - "window Title"
HKU\Software\Microsoft\Windows\CurrentVersion\Policies\system – disabletaskmgr
HKU\Software\Microsoft\Windows\CurrentVersion\Policies\system – disableregistrytools
HKU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer – NoFolderOptions
سپس کامپیوتر را ریستارت کنید .
استفاده از برنامه زیر برای از بین بردن این ویروس :
http://albin.1983.googlepages.com/Fix.Godzilla.exe
معرفی برنامه SmitFraudFix
نحوه پاک کردن ویروس Virus Win32/Jeefo یا SVCHOST.EXE
بعلت وجود ویروسی مخرب به اسم Jeefo که با نام SVCHOST.EXE البته در شاخه دیگری غیر از فایل اصلی ساکن می شود و اقدام به خرابکاری تمام فایلهای اجرایی exe می کند .
اکثر انتی ویروس ها SVCHOST.EXE را به عنوان ویروس می شناسند . در حالی که SVCHOST.EXE ویروس نیست بلکه ویروس فایل دیگری می باشد که خود را به این نام در اورده است .
این ویروس باعث می شود که برنامه ها درست اجرا نشوند . و طولانی بودن زمان الودگی سیستم باعث از کار افتادن سیستم عامل می شود.
نحوه پاک کردن ویروس
ابتدا سعی کنید System Restore را غیر فعال کنید .
برای این کار ابتدا روی my computer راست کلیک کنید و سپس properties را بزنید از پنجره باز شده به تب
System Restore رفته و تیک گزینه Turn off System Restore on all drives را بزنید و بعد پنجره را ok کرده و به سوال پرسیده شده جواب مثبت دهید .
حال ابتدا با زدن سه کلید ترکیبی ctrl + alt + delete وارد Task Manager شوید و به تب Processes رفته و از اوجا فایل SVCHOST.EXE در حال اجرا توی ویندوز را پاک می کنیم .
البته در تب Processes شما حداقل 4 تا یا بیشتر SVCHOST.EXE در حال اجرا می بینید که باید با برنامه های مدیریت پروسه های Task Manager بتونید این فایل را تشخیص دهید . زیرا این برنامه ها مسیر پروسه های اجرایی را در Task Manager نشان می دهند . این فایل بیشتر خود را با نام یوزر که در ان هستید (Log On) اجرا می کند .
حال به مسیر C:\WINDOWS رفته و فایل SVCHOST.EXE را پاک می کنیم .
البته شما نباید فایل اصلی SVCHOST.EXE را که در مسیر C:\WINDOWS\System32 قرار دارد را پاک کنید .
بعد از این کار سیستم را ریستارت کنید .
سپس سیستم را در حالت safe mode راه اندازی کرده و انتی ویروس jeefogui را اجرا کنید .
ممکن است بعد از این عملیات بعضی از فایلهای exe شما از کار بیفتند که شما باید دوباره برنامه انها را نصب کنید .
انتی ویروس jeefogui
http://mahdi7610.parsaspace.com/jeefogui.rar
پاک کردن ویروسی که از طریق یاهو مسنجر منتشر می شود
عملکرد این ویروس
1- در ابتدا ویروس صفحه شخصی اینترنت اکسپلورر (Default IE Page) را به یک سایت تغییر می دهد. در این صورت به هیچ طریق امکان عوض کردن آن وجود نخواهد داشت. بعد از هر باز باز کردن یک صفحه وب جدید، ویروس مجددآ خود را در سیستم شما کپی می کند.
غیر فعال کردن Task Manager و رجیستری
ایجاد فایلهایی با نام های svhost.exe , svhost32.exe , internat.exe
نحوه از بین بردن این ویروس و مشکل
ابتدا با استفاده از روشهای گفته شده در بالا Task Manager و رجیستری را فعال کنید .
اتصال خود به اینترنت را قطع کنید .
حال برای برگرداندن صفحه نخست مروگر خود به حالت قبل وارد رجیستری شوید .
ابتدا وارد منوی استارت شوید و روی گزینه run کلیک کنید و عبارت regedit را نوشته تا وارد رجیستری شوید .
میسر های زیر را با دقت پیدا نموده و در آنها وارد شوید حال اسم سایت مورد نظر را که در home page شما قرار گرفته است را پاک کرده و اسم سایت خودتان را بنویسید مثلا
کد:
کد:
http://www.forum.asandownload.com
سپس به internet option رفته و این کار را هم انجام دهید se current- use default -use blank
کد:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main
HKEY_ LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main
HKEY_USERS\Default\Software\Microsoft\Internet Explorer\Main
انتی ویروس Y.V.Remover
کد:
کد:
http://mahdi7610.parsaspace.com/Y.V.Remover.zip
رفع مشکل غیر فعال شدن Home Page اینترنت اکسپلورر
1 . در کادر محاوره ای Run عبارت Regedit را تایپ کنید و از روی کیبرد کلید Enter را فشار دهید تا محیط ویرایش رجیستری ظاهر شود .
2 . به مسیر زیر بروید و 2 متغییر DWORD با نام های RunOnceComplete و RunOnceHasShown به ارزش 1 بسازید .
کد:
کد:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main
محیط ویرایش رجیستری را ببندید و مجددا در کادر محاوره ای Run عبارت inetcpl.cpl را تایپ کنید و شستی OK را فشار دهید تا کادری با عنوان Internet Properties ظاهر شود .
4 . در قسمت Home Page آدرس مورد علاقه ی خود را تایپ کنید و شستی OK را فشار دهید تا تنظیمات دلخواه ذخیره شود .
5 . اکنون Internet Explorer 7 را اجرا کنید و لذت ببرید .
کسانی که این مشکل را از راه اصولی حل کرده اند و اکنون دوست دارند روش فوق را تست کنند ، مراحل زیر را دنبال نمایید ...
1 . در کادر محاوره ای Run عبارت inetcpl.cpl ,6 تایپ کنید و شستی OK را فشار دهید تا کادری با عنوان Internet Properties ظاهر شود .
2 . در زبانه ی Advanced دکمه ی Reset را فشار دهید تا کادر دیگری با عنوان Reset Internet Explorer Settings خودنمایی کند .
3 . مجددا روی دکمه ی Reset کلیک کنید تا تمام تنظیمات IE به حالت پیش فرض بر گردد .
4 . اکنون روش دوم را جهت تغییر Home Page تست کنید
نحوه از بین بردن ویروس services.exe
متاسفانه اکثر ویروسهایی که جدیدا به وجود می ایند همنام پروسه های مربوط به سیستم عامل می باشند به همین دلیل تشخیص انها هم برای کاربران و هم برای انتی ویروس ها نسبتا مشکل شده است .
و از کار انداختن انها نیز قدری سخت شده است .
و همین عامل می تواند یکی از نقاط ضعف سیستم عامل های ماکروسافت محسوب شود .
فعالیت های ویروس services.exe
اولین کاری که این ویروس انجام می دهد خودش را با نام فایلهایی که در یک فولدر است در می اورد و فایلهای فولدر را مخفی می کند و یک فایل با نام همان فولدر می سازد که دارای پسوند exe می باشد .
و به فولدر هایی که مخفی می کند علاوه بر خصلت hidden خصلت سیستمی هم می دهد .
سپس به وسیله windows policy برنامه های regedit و cmd و msconfig و taskmanager رو از کار می اندازد(گاهی اوقات هنگام استفاده از دستور cmd کامپیوتر را ریستارت هم میکند) در بعضی مواقع از قسمت folder option گزینه view رو مخفی میکند.
و اجازه دسترسی به بعضی از گزینه های مدیریتی رو بطور کامل از بین میبرد .
و حتی با تعویض ویندوز هم فایلها از حالت مخفی خارج نخواهند شد . به خاطر این که با تعویض ویندوز هنوز اثرات این ویروس در دیگر درایو ها وجود دارد و تنها با کلیک کردن روی یکی از انها ویروس فعال شده و دوباره همه جا را الوده می کند .
نحوه از بین بردن ویروس services.exe
برای از بین بردن این ویروس ابتدا کدهای زیر را داخل note pad کپی کرده و با نام و پسوند rescue.bat در مسیر در مسیر c:\ ذخیره نمایید.
کد:
کد:
@echo off
:try
del c:\windows\services.exe
if exist c:\windows\services.exe goto try
حالا به منوی start رفته و روی گزینه run کلیک کنید و عبارتregedit را تایپ کرده و ok را بزنید. تا وارد محیط رجیستری شوید .
حال به مسیر زیر بروید.
کد:
کد:
HKEY_LOCAL_MACHINE\system\currentcontrolset\services\eventlog
روی فایل image path دوبار کلیک کرده و در این پنجره به جای %systemroot%\system32\services.exe عبارت c:\rescue.bat را تایپ کنید.
ویندوز را restart کنید.
دوباره به منوی start رفته و برنامه run را اجرا کرده و regedit را تایپ کرده و ok را بزنید.
حال به مسیر زیر بروید.
کد:
کد:
HKEY_LOCAL_MACHINE\system\current control set\services\eventlog
روی فایل image path دوبار کلیک کرده و در این پنجره به جای c:\rescue.bat عبارت %systemroot%\system32\services.exe را تایپ کنید.
کد:
کد:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\userinit
userinit را از مسیر بالا باز کرده و به جای عبارت %windir%\services.exe عبارت C:\WINDOWS\system32\userinit.exe را وارد کنید
عبارت %windir%\services.exe را حذف نمایید یعنی مسیر به صورت زیر در می آید.
C:\WINDOWS\system32\userinit.exe
به پوشه temp رفته و در صورت وجود فایل Service.exe ان را پاک کنید .
حالا آنتی ویروس های kaspersky و nod32 را update نمایید و سیستم را به طور کامل در حالت safe mode ویروس یابی کنید .
ضمناً بهتر است بعد از update و ویروس یابی ویندوز خود را عوض کنید.
anti spyware برای از بین بردن ویروس services.exe
این انتی spyware یکی از بهترین ها برای از بین بردن ویروس services.exe می باشد .
http://www.spywareremove.com/downloa...anner6p2s2.exe
فقط توجه داشته باشید که این anti spyware ویروس services.exe را پیدا می کند و برای از بین بردن انها حتما باید این برنامه کرک شده باشد .
کرم Wukill ) W32/Wukill.worm.gen )
طریقه گسترش کرم :
آلودگی با اجرای فایل کرم انجام می شود . که کرم با فلاپی و تمامی وسایل انتقال فایل منتقل می شود . چون خود ا در هر پوشه ای که باز کنید کپی می کند .
در کامپیوتر آلوده :
بعد از قرار دادن فلاپی ، کرم خود را در آن کپی می کند و یا اگر شخص سیدی رایت کند ، کرم را که به صورت مخفی است را نیز رایت خواهد کرد .
در کامپیوتر میزبان :
اگر شخص از ویندوز های 98 , 2000 , ME و ویندوز هایی که از Customize Folder Wizard استفاده می کند ، داشته باشد با باز کردن پوشه یا فلاپی درایوی که کرم در آن وجود دارد آلوده خواهد شد . چون کرم از آین سرویس ویندوز استفاده کردن و جود را اجرا می کند .
در ویندوز xp چون این سرویس غیر فعال است و دیگر وجود ندارد آلودگی فقط با اجرای مستقیم کرم شروع می شود . در ویندوز های دیگر نیز با اجرای مستقیم کامپیوتر آلوده می شود . بعد از اجرای فایل اگر باز بخواهید فایل را اجرا کنید اختار زیر ظاهر می شود :
کرم خود را با نام های مختلف در یکی از پوشه های Windows ، Temp ، System ، Web ، Help کپی می کند .
و در تمامی پوشه هایی که وارد شوید یک فایل اجرایی با نام پوشه می سازد و در همان پوشه فایل desktop.ini یا Rundesktop.ini را تغییر می دهد و در آن کدهای زیر را اضافه می کند :
تا فایل دومی به نام comment.htt یا Runcomment.htt را بعد از هر بار ورود به پوشه یا درایور هارد اجرا کند . در این فایل هم کدهای زیر قرار دارد :
که فایل اجرایی موجود در پوشه را اجرا می کند .
همچنین کرم فایلی به نام WINFILE.EXE را در تمایم درایو های هارد و بعضی پوشه های می سازد . همچنین در درایو فلاپی . این فایل شبیه پوشه است .
علائم آلودگی :
1) وجود فایل در درایو های هارد
2) کپی شدن خود کار این فایل در فلاپی درایو
3) اگر فایلهای مخفی را ظاهر کنید . دو باره بعد از مدتی مخفی می شوند .
4) هنگام رفتتن به هر پوشه فایلی اجرای به شکل پوشه و با همان نام در آنجا ساخته می شود (البته مخفی ) .
5) در ویندوز های 98 تا 2000 ویندوز بعد از مدتی کند می شود .
6) بعضی مواقع کپی و پست کار نمی کند . یعنی شما فایل را کپی می کنید . اما بعد از رفتن به مقصد گزینه پست غیر فعال شده است انگار کپی انجام نگرفته !
نکته 1 :ویروس به زبان VB نوشته شده توسط مایکروسافت ویژوال استودیو .
نکته 2 : احتمالا نام دیگر ویروس Xgtray
نکته 3 : اگر هنگامی که فایل اصلی کرم در یکی از پوشه های Windows ، Temp ، System ، Web ، Help باشد و شما وارد پوشه ای شوید که کرم در آن است آن وقت کرم جای حود را عوض می کند و به پوشه ی دیگری می رود !
طریقه پاک کردن ویروس :
تمامی آنتی ویروس ها دیگر این ویروس را می شناسند .
اما پاک کردن دستی به این صورت است .
1) ابتدا فایل اجرایی ویروس را از کار می اندازید . ( فایلی که در حافظه است ) با Taskmanenger
2) با سرچ ویندوز دنبال فایلهای اجرایی با حجم 48 کیلو بایت می گردید . بعد آنهایی را که شکل پوشه هستند را پاک می کنید .
3) دو باره باسرچ ویندوز دنبال فایلهایی با پسوند htt و با نام های comment و Runcomment میگردید . همه را پاک کنید .
اما بهترین کار استفاده از یک آنتی ویروس است . بهتر است از مکافی ورژن 8 به بالا استفاده کنید
این ویرس ممکن است کارهای دیگری هم انجام دهد
آموزش پاک سازی ویروس Rundll.exe
این ویروس (که البته در دسته backdoor ها قرار می گیرد) باعث می شود که در هنگام باز کردن یک درایو یا اجرای یک نرم افزار یا مشاهده سایت ها در IE با ارور Can't Find rundll.exe file یا Aplication not found مواجه شوید.
Rundll.exe از پروسه ها و فایل های اصلی سیستم بوده که برای اجرای صحیح برنامههای اصلی سیستم لازم است و نباید قطع شود.اما نسخه ویروس از این فایل ( Rundll.exe یا Rundll32.exe ) ساخته شده است که به عنوان backdoor شناخته می شود که به خاطر اهداف خاص حمله کننده بر روی سیستم شما نصب می شود.
روش پاک سازی با نرم افزار
ابتدا با یک آنتی ویروس قوی و آپدیت شده سیستمتان را اسکن کنید ترجیحا از آنتی ویروس True Sword که قبلا معرفی کرده بودم استفاده کنید.
سپس با استفاده از ابزار Rundll.exe Fix Wizard ارورها و مشکلات ایجدا شده را رفع کنید.
http://www.rundll-exe.com/download/s...sFixWizard.exe
روش پاک سازی دستی:
1.سیستمتان را برای فایل Rundll.exe جستجو کرده و فایل ها را که احتمالا 10 تا 25 تا هستند پاک کنید.
2.تمام پروسه های با نام Rundll.exe و Rundll32.exe را متوفق کنید.
3.تمام کلیدهای رجیستری مرتبط با rundll.exe را پیدا و پاک کنید.
4.از طریق repair یا سایر ترفندها ، فایل rundll.exe اصلی را به سیستم برگردانید.
5.در پایان سیستم را restart کنید.
توجه:
پاک سازی این ویروس به روش دستی چندان توصیه نمی شود!
رفع The specified module could not be found
این ارور که شما هر بار وقتی ویندوز بالا می آید مشاهده می کنید ناشی از مشکلی در فایل های
svchost.exe, regsvr.exe, spoolsv32.exe, taskmgr.exe, sys.exe, rundll.exe, explorasi.exe, csrss.exe,
winupdate.exe که از فایل ها و پروسه های مورد نیاز سیستم بوده می باشد که ممکن است توسط
ویروس آلوده شده باشند یا آنتی ویروس شما آن ها را پاک کرده باشد.
روش پاک سازی با نرم افزار
ابتدا با یک آنتی ویروس قوی و آپدیت شده سیستمتان را اسکن کنید ترجیحا از آنتی ویروس True Sword
که قبلا معرفی کرده بودم استفاده کنید.
سپس با استفاده از ابزار WindowsCannotFindFixWizard ارورها و مشکلات ایجدا شده را رفع کنید.
http://www.windows-cannot-find.com/d...dFixWizard.exe
روش پاک سازی دستی:
1.ابتدا سیستم را در safe mode راه اندازی کرده و قابلیت نمایش فایل ها و فولدرهای مخفی را فعال کنید.
2.پروسه های زیر را قطع کنید
svchost.exe
regsvr.exe
spoolsv32.exe
taskmgr.exe
sys.exe
rundll.exe
explorasi.exe
csrss.exe
winupdate.exe
3.فایل های بالا را جستجو و پاک کنید (البته اگر در فولدر system32 نیستند.)
4.با استفاده از نرم افزار HijackThis مسیر رجیستری که مربوط به این فایل ها هستند را یافته و پاک کنید.
5.از طریق repair یا سایر ترفندها ، فایل های اصلی را به سیستم برگردانید.
6.سیستم را restart کنید.
توجه:
پاک سازی این ویروس به روش دستی چندان توصیه نمی شود!