با سلام
با توجه به افزایش درخواست ها برای روشهای مقابله با انواع ویروس ها تروجان و اسپای وار ها در این تاپیک سعی داریم بمرور بر اساس درخواست های دوستان با روشهای پیشگیری و مقابله با انواع مختلف این فایل های آلوده آشنا شویم توجه داشته باشید تمامی آموزشها و موارد مهم بمرور برای دسترسی بهتر در پست اول اضافه می شوند
با آرزوی موفقیت
هر نوع برداشت بدون ذکر لینک مستقیم منبع غیر مجاز است
W32/Autorun
مشخصات:
نام:Worm:W32/Autorun
نوع: Worm, Virus
پلت فورم: W32
توضیحات: این مالور این روزها در همه جای دنیا بخصوص کشور ما یکی از فراگیر ترین worm های موجود بحساب میاد روش انتقال اون تنها از طریق USB و فلش های آلودست این مشکل بخصوص برای دانشجوها که هر روزه در حال استفاده از فلش در سایتهای دانشکده هستند بروز میکنه دوستان توجه داشته باشند که اکثر سایتهای دانشگاهی با مشکل آلودگی فراگیر به ورژن های مختلف این Worm مواجه هستند
اما از کجا بفهمیم که سیستم ما به این کرم اینترنتی مبتلی شده یا نه !!!! اگر این روزها متوجه شدید که گزینه Show Hidden Files در Folder Option شما کار نمیکنه و شما هیچ دسترسی به فایل های هیدن ندارید و یا زمانی که در My Computer وقتی روی آیکون درایوهاتون دابل کلیک میکنید محتوای درایو در یک صفحه جدید باز می شود و یا بجای باز شدن با منوی Open With مواجه میشید و یا Registry Editor و Task Manage از کار افتاده سیستم شما حتما به این کرم اینترنتی آلوده شده و بهتره بدونید که عوض کردن ویندوزتون هم نمیتونه کمکی به پاک کردن این ویروس بکنه
روشهای پیشگیری:اگر هنوز آلودن نشدید یا تازه از آلودگی به این ویروس رهایی پیدا کردید بهتره مواردی رو رعایت کنید تا مجددا به این ویروس اجازه ورود به سیستمتون رو ندید همونطور که اشاره کردم مهمترین راه ورود این کرم به سیستم شما از طریق فلش آلوده هست یعنی از طریق اینترنت بعیده یه این ویروس مبتلی بشید اما توجه داشته باشید این امکان وجود داره که این کرم از طریق CD و یا DVD رایت شده از روی سیستم آلوده هم منتقل بشه پس به این موضوع هم دقت کنید نکته دیگه اینکه روش فعال شدن این کرم زمانی هست که شما بر روی پوشه آلوده مثلا درایو فلشتون دابل کلیک میکنید دابل کلیک موجب فعال شدن Autorun در هر جایی که هست میشه این رو هم توجه داشته باشید که هرجایی Autorun.inf دیدید حتما یک ویروس نیست Autorun.inf بصورت پیش فرض فایلیست حاوی یک سری دستورات پیش فرض اجرایی که در هر CD و DVD پیدا میشه و کار اون اجرای اتومات اون CD یا DVD یا هر چیز دیگه ای هست که در حال اجراست
توجه داشته باشید بهترین پیشگیری داشتن یک آنتی ویروس یا فایروال بروز روی سیستم شماست اما از اونجایی که هنوز هم پس از گذشت بیش از سه سال از انتشار این ویروس خیلی از آنتی ویروس ها و فایروال ها با شناخت Autorun.inf مشکل دارن به این موارد توجه کنید :
1. سعی کنید فلش آلوده یا CD و DVD مشکوک به آلودگی رو داخل سیستموتون نزارید اما اگر واقعا نیاز دارید در عین اینکه میدونید آلوده هست یا نه در روش مقابله توضیحات رو بخونید
2.اما اگر نمیدونید چگونه می شود فهمید؟خوب اول توجه کنید سیستم شما بصورت پیش فرض هر درایو جانبی که به سیستم متصل بشه رو سریعا اجرا میکنه مگر اینکه شما این امکان رو غیر فعال کنید و یا جلوی اجرای اون رو با فشردن کلید Shift بگیرید توجه کنید اگر اون فلش آلوده باشه در صورت اتصال حتی قبل از دابل کلیک شما ممکنه سیستمتون آلوده بشه به همین دلیل اجرای اتوماتیک پس بهتره اجازه اجرا به اون ندید سپس این مسیر رو دنبال کنید:
وارد پنجره RUN شده و دستور CMD را تایپ کنید پس از باز شدن صفحه کنسول با تایپ دستور \ cd به ریشه درایو مادرتون مثلا \:C می روید حال با تنها نام درایو فلش را همراه با علامت : تایپ کنید مثلا \:j به این روش شما وارد درایو فلش می شوید حال با تایپ dir /ah لیست فایلهای سیستمی فلش جلوی شماست اگر فایل Autorun.inf در لیست مشاهده کردید با تایپ دستور del X:\autorun.inf /f/a/s/q اون رو پاک کنید توجه کنید در اینجا X نام درایو شماست خوب و حالا فلش شما امن هست
2.اگر قصد انتقال اطلاعات از سیستم خاصی مثلا سایت دانشکده دارید اول بهتره قبلش مطمئن بشید که اون سیستم آلوده هست یا نه برای نحوه بررسی هم تمامی مراحل بالا تا قبل از دستور دل رو تکرار کنید توجه کنید اگر مجبورید که از اون سیستم چیزی بردارید حتما فلشتون رو قبل از کپی اطلاعات روی کامپیوتر خودتون از ویروس تمیز کنید
چگونه از دست ویروس اتوران خلاص شویم:
روشهای زیادی برای مقابله تقریبا با تمامی نسل های این ویروس وجود داره بیشتر آنتی ویروس ها بجای پاک کردن ویروس جلوی عمل کردن اون در هنگام اجرای ویندوز رو میگیره کاری که کاسپر اسکای یا مک آفی در ورژن های اپدیتشون میکنن البته در موراد سبک حتی ویروس رو پاک هم میکنن اما در موارد خاص احتمال توانایی پاک کردن فایلهای اصلی ویروس پایین میاد پیشنهاد من استفاده ازnod32 یا Avast هست که nod32 اگر نمیتونید بخرید حتما از نسخه رایگانش استفاده کنید که مدت 30 روزه محدودیت داره و به پیشنهاد میکنم اصلا طرف نسخه های کرک شده برای پاک کردن ویروس ها نرید و Avast هم رایگان و فقط در سایتش برای کد فعال سازی باید ثبت نام کنید اما بریم سر اصل مطلب روشهای پاکسازی ویروس ها در اینجا من چندین روش پیشنهاد میکنم تا هم ویروس رو پاک کنید و هم از اثرات ویروس خلاص شید توجه کنید گاهی ممکن است فقط یکی از این راه ها جواب بده و گاهی فرقی نمیکنه در شرایط عادی روش اول معمولا پاسخ گوست
روش اول:
پس از نصب آنتی ویروس مناسب و مد نظر خودتون سیستم رو ریستارت کرده و بدون دست زدن به هیچ فایل یا آیکونی آنتی ویروس خود را باز کرده و تمامی درایو ها را اسکن میکنید و هر نوع فایل مشکوکی که اطلاع داده شد رو پاک میکنید پس از اسکن سیستم از طریقی که پیش از این گفته شد چک میکنید که فایل اتوران در روت درایو هاتون هست یا نه اگر نیست که ریستارت میکنید اگر هست با دستور del c:\autorun.* /f /a /s /q از طریق کنسول اون رو پاک کنید این دستور رو برای تمامی درایو ها تکرار کنید و سپس ریستارت کنید در شرایط عادی با این شیوه شما از شر ویروس خلاص شدید که در این صورت تنها مشکل عوارض باقی مانده ویروس هست که در پایان شیوه برطرف سازی اون رو هم اشاره خواهم کرد
روش دوم:
گاهی روش اول به تنهایی جوابگوی شما نیست یا اینکه شما نمیتونید از روش اول استفاده کنید دقت کنید در این مرحله مجبورید از روشهای دستی استفاده کنید نکته ای که هست نرم افزار های خاص ضد این ویروس فقط و فقط جهت شناسایی فایل اصلی ویروس عمل میکنن و فایلهای پشتیبانی اون رو پاک نمیکنن از این رو استفاده اونها بصورت مستقل معمولا کار ساز نیست
اما بعد به مراحل زیر عمل کنید:
1.با زدن Ctrl-Alt-Del وارد تسک منیجر شوید
2. در قسمت پروسس این دو فایل رو wscript.exe و explorer.exe با اند تسک ببندید
توجه با انجام دادن قسمت دوم محیط ویندوز شما خالی میشه و دسترسی شما محدود به تسک منیجر هست
3. از طریق Run موجود در تسک منیجر cmd را اجرا کرده وارد محیط کنسول شوید
4. در تک تک درایو هاتون del c:\autorun.* /f /a /s /q دستور را اجرا کنید توجه کنید در اینجا درایو مادر C در نظر گرفته شده شما برای هر درایو بجای C عنوان اون درایو رو میزارید در عین حال شما وقتی کنسول رو باز میکنید مکا نما داخل داکیومنت شماست بنا بر این با تایپ \ cd به روت درایو برمیگردید توجه کنید برای تغییر درایو ها هم کافیست نام اون درایو به همراه : رو وارد کنید مثلا \:E
5.به درایو ویندوز برگردید و به آدرس زیر بروید Windows\System32 با تایپ این دستور cd c:\windows\system32 باز توجه کنید که درایو مادر سی فرض شده
6.اکنون این دستور رو تایپ کنید
7.در بین لیست فایلهای نمایش داده شده بدنبال فایلهایی با عنوان avp0.dll یا avpo.exe یا avp0.exe و همچنین ln9.exe بگردید اگر هر کدام از این فایلها رو دیدید این دستور رو برای اون تایپ کنید
کد:
attrib -r -s -h avpo.exe
del avpo.exe
8.مجددا تسک منیجر رو با استفاده ازCtrl-Alt-Del اجرا کنید و از طریق Run اون و تایپ regedit وارد رجیستری شوید سپس مسیر زیر رو پیدا کنید
کد:
HKEY_CURRENT_USER \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run
9.اگر داخل ران فایل avpo.exe رو مشاهده کردید پاک کنید سپس به دنبال ntde1ect.com از طریق سرچ رجیستری بگردید و وقتی پیدا شد محتویاتش رو پاک کنید اگر هم نشد مهم نیست
10.ریستارت کنید اکنون سیستم شما از شر ویروس خلاص شده
روش سوم:
این روش رو شخصا پیشنهاد نمیکنم چون گاهی ممکنه باعث بروز ایراداتی در ویندوز شما بشه ولی میتونید مستقیما روی هر درایو به ترتیب این دستورات رو بدون توجه به چیزی اجرا کنید
کد:
attrib -s -h -a -r autorun.inf
del autorun.inf
attrib -s -h -a -r explorer.exe
del/P/F/S/Q/A explorer.exe
attrib -s -h -a -r recycler
del/P/F/S/Q/A recycler
attrib -s -h -a -r autorun.exe
del/P/F/S/Q/A autorun.exe
روش چهارم
گاهی اتوران همراه با تروجانی هست به نام copy.exe و گاهی همراه تروجانی به نام ln9.exe
این روش رو میتونید از طریق روش سوم هم انجام بدید
برای پاک کردن ریستارت کنید و با زدن اف8 وارد safe mode ویندوز بشید وقتی ویندوز بالا اومد Task Manager رو باز کنید هر کدوم از فایلهای temp1.exe و temp2.exe که در processes دیدید end process کنید حالا بدون دبل کلیک کردن فقط و فقط با Open with وارد پوشه ویندوزتون بشید سپس system32 رو پیدا کنید و وارد شید سپس دو فایل temp1.exe و temp2.exe رو پیدا و پاک کنید قبل از هر کاری به تاپیک اصلی ویندوز برگردید پوشه %win% رو هم برای اون دو فایل بگردید حالا باید دنبال فایلهای xcopy.exe و host.exe بگردید توجه کنید که حجم این فایلها اگر برابر با 32 کیلوبایت نبود فقط مجاز به پاک کردنشون هستید وگرنه ویندزوتون با ارور مواجه میشهاین فایلها معمولا هیدن هستن پیدا کردنشون هم خیلی سخت نیست
جبران آسیبها و برگرداندن Show Hidden File
برای درست کردن مشکل فایلهای مخفی راه های زیادی هست که آسون ترین اونها از طریق رجیستری هست اما گاهی این روش خوب جواب نمیده همچنین برای کاربران ناآگاه به رجیستری هم راحت نیست بجای اون از روشهای ساده تری استفاده میکنیم نرم افزار Autorun Eater که در پیوست این پست آمده رو دانلود کنید سپس نصب کنید این نرم افزار دو کار مفید میکنه اولا به صورت اتوماتیک هر فایل Autorun.inf که در درایو های شما ببینه پاک میکنه دوما شما با کلیک راست کردن روی آیکون اون بعد از پاک شدن ویروس توسط مراحل بالا از طریق گزینه Fix می تونید ناحیه اسیب دیده مثلا Folder option رو درست کنید که البته بعد از زدن گزینه باید ریستارت کنید تا درست بشه توجه کنید نصب این نرم افزار پیش از پاک کردن سیستمون چندان پیشنهاد نمیشه چون بعلت چک کردن مکرر برای پاک کردن Autorun.inf در صورتی که Autorun.inf از نوع بازگشتی مکرر باشه میتونه راحت کلافتون کنه بجز این روش میتونید از Combofix هم استفاده کنید که فقط در این یه مورد مراقب باشید لوگی که این فایل میده قابل خواندن توسط هر کسی نیست و دستکاری اضافه توی اون هم به هیچ عنوان پیشنهاد نمیشه
Autorun Eater پسورد daneshju
http://tinyurl.com/o6dypj
Combofix
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
روشهای اتوماتیک:
به پیوست پست نرم افزاری هست که خودم تست نکردم اما سورسش رو دیدم و مشکلی ایجاد نباید بکنه از این هم میتونید استفاده کنید
لینک های مفید:
www.eset.com برای نود 32
www.avast.com برای avast
با آرزوی موفقیت Black Hawk سایت علمی دانشجویان ایران
ادامه دارد..............
4پسندیده شده
آشنایی با روشهای مبارزه با ویروسها (پرسش و پاسخ)
پاسخ با نقل قول
ارسالی توسط programmer 1 
این مطلب را به اشتراک بگذارید