۞۞ همه چیز از همه جا ۞۞ - ويروس وسعت نفوذ

مدتي است يک ويروس ايراني موسوم به ويروس وسعت نفوذ بسياري از سيستمها را آلوده کرده است .

اين ويروس بي خطر ولي اعصاب خردکن ! خود را از طريق فلش مموري و درايوهاي قابل حمل تکثير مي کند و مشخصه بارز آن تغيير پشت زمينه دسکتاپ ميباشد . اولین ظهور این ویروس مربوط به یکسال پیش میباشد اما بدلیل عدم شناسیایی توسط آنتی ویروسهای معروف ، جدیدا شیوع بیشتری پیدا کرده است .البته بنا به گفته مهندسان شرکت مهران رایان (آنتی ویروس ایمن) این ویروس در رشت گزارش شده و در استان گیلان بیشترین شیوع را داشته است .

ویروس وسعت نفوذ برنامه حذف پاکسازی و نابود کردن ویروس

اين ويروس تصوير زمينه دسکتاپ به تصويري از يک نوجوان که چشمهايش مانند افراد تبهکار با کادري مشکي پوشانده شده تغيير ميدهد .

عبارات زير روي تصوير فوق نوشته شده است :

white hat

وسعت نفوذ

ho.zare

(o_zare_o@yahoo.com)

کسپرسکی این ویروس را به نام Worm.Win32.AutoRun.fvk را نامگذاری کرده است .

و اما روش پاکسازي و حذف ويروس وسعت نفوذ :

صرفنظر از سرزنش و تقبيح توزيع چنين ويروسي بايد بگم که اين ويروس بسيار ناشيانه نوشته شده و بسيار ساده و راحت حذف مي شود !

البته بسياري از آنتي ويروسهاي آپديت شده اين ويروس را شناسايي و حذفش مي کنند .

روش حذف اين ويروس بسيار ساده است . کافيست مراحل زير را بدقت انجام دهيد :

1.فايل اجرايي وسعت نفوذ را ببنديد :

براي بستن فايل اصلي ويروس وسعت نفوذ ابتدا با زدن کليدهاي Alt+ctrl+del وارد تسک منيجر شده و در تبِ Processes پراسس Explorer.exe را درصورت وجود ببنديد ( روي آن کليک راست کرده و گزينه End Process tree( را انتخاب کنيد .

ویروس وسعت نفوذ برنامه حذف پاکسازی و نابود کردن ویروس

نکته : اگر پس از مرحله اول آيکانهاي دسکتاپ پريد بايد دکمه New task در تب Applications را زده و در کادر کوچکي که باز مي شود عبارت Explorer.exe را بنويسيد و سپس Ok را بزنيد .

ویروس وسعت نفوذ برنامه حذف پاکسازی و نابود کردن ویروس

2.حذف فايلهاي اتوران و اصلي ويروس وسعت نفوذ :

فايلهاي اصلي ويروس وسعت نفوذ اسامي زير را دارند :

Autorun.exe

Explorer.exe

اين فايلهاي مخفي و سيستمي اند و در حالت عادي قابل ديدن نيستند . اين فايلها در تمام درایوهای سیتم کپی وی شوند و آنها را بايد حذف کنيد . البته فایلهای دیگری نیز توسط ویروس در پوشه MMBPlayer در پوشه تمپ کاربر جاری (%temp%) به نامهای زیر ایجاد میکند :

i.JPG

Systools.dll

wallpaper.dll

ایجاد میشود که حذف آنها ضروری نیست .

ویروس وسعت نفوذ برنامه حذف پاکسازی و نابود کردن ویروس

( نکته : براي فعال کردن حالت نمايش کليه فايلهاي سيستمي و مخفي وارد My Computer شده و سپس به منوهاي زير برويد :
Tools=>FolderOptions=>View

سپس گزينه

Show Hidden Files And Folders

را فعال کنيد .

همچنين گزينه

Hide protected operating system files

را غيرفعال نماييد .

توجه کنيد که درايوها را با دابل کليک باز نکنيد و فقط با روشی که در مقالات قبلی گفته ام (استفاده از RUN و تايپ نام درايو به همراه : ) درايوها را باز کنيد . ( مثلا :C )

همچنين براي حذف اين فايلها از برنامه ACS Autorun.inf Remover که قبلا در وبلاگم قرار داده بودم هم میتوانید استفاده کنید .

نکته : فايل Autorun.inf حاوي متن زير ميباشد :

[AutoRun]
OPEN=explorer.exe
shell\open\Command=explorer.exe
shell\open\Default=1
shell\explore\Command=explorer.exe

3.حذف وسعت نفوذ از استارت آپ :

در پنجره RUN دستور Msconfig را نوشته و در تب Startup گزينه اي که در آن Explorer.exe آمده است را از حالت تيکدار بودن خارج کنيد .

ویروس وسعت نفوذ برنامه حذف پاکسازی و نابود کردن ویروس

سپس Ok را زده و در پنجره جديدي که باز مي شود گزينه Exit Without Restart را انتخاب کنيد .

4. حذف از رجيستري :

البته اگر مراحل قبلي را انجام داده باشيد ديگر اين مرحله ضروري نيست . اما براي تکميل کار ، به رجيستري ويندوز و به مسير زير برويد :

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

ویروس وسعت نفوذ برنامه حذف پاکسازی و نابود کردن ویروس

حال متغیر hozare را حذف کنید .

5. پشت زمينه سيستم را به پشت زمينه دلخواه خود تغيير دهيد .

6. سيستم را ري استارت کرده و تمام .

منبع : وبلاگ شخصی الیاس ملکی

نوشته شده توسط نویسنده : ایران در چهارشنبه 1390/02/28 |