{wave}سلام لطفا در باره از بین بردن ویروس ها های اتوران در کامپیو تر بدون اینکه بخواهیم ازروش انتی ویروس ابدیت یا فرمت کامپیوتر استفاده کنیم توضیحاتی بدین با تشکر

{wave}سلام لطفا در باره از بین بردن ویروس ها های اتوران در کامپیو تر بدون اینکه بخواهیم ازروش انتی ویروس ابدیت یا فرمت کامپیوتر استفاده کنیم توضیحاتی بدین با تشکر

روش پاک کردن ویروس های اتوران

http://img.tebyan.net/icon/False2.gif روش پاک کردن ویروس kazme_gheyze.exe

این ویروس در 2 نسخه ارائه شده است. کار آن گذاشتن 2 فایل یکی بنام
kazme_gheze.exe و دیگری autorun.inf در درایو های سیستم و فلش های متصل شده به سیستم است. با اینکار هر بار که بخواهید یک درایو را باز کنید ، چه از طریق 2 بار کلیک ، چه از طریق کلیک راست و Open یا Search و یا Explore فایل Kazme_gheyze.exe اجرا می شود. این ویروس خود را در Home page اینترنت و startup هم قرار می دهد.

همچنین با کنترل نام هایی همچون
regedit.exe ، cmd.exe و taskmgr.exe دیگر از اجرای این برنامه ها جلوگیری می کند.

روش پاک سازی :

نسخه اول ویروس :

در پاک کردن این نوع ویروس ها همیشه بصورت
safe mode ویندوز را اجرا کنید. وقتی به My compter می روید دقت کنید که نباید درایو ها را مستقیما باز کرده بلکه برای باز کردن آنها نام آن درایو را با 2 نقطه در آدرس بار یا Run و سپس اینتر اجرا کنید. همچنین از زدن سه دکمه alt + ctrl +del اجتناب کنید.

پنجره search را باز کرده و در درایوی که ویندوز نصب شده است دنبال 3 فایل regedit.exe و cmd.exe و taskmgr.exe گشته وآنها را به دسکتاپ کپی و اول نام آنها یک حرف مثلا 1 قرار دهید. حال 1taskmgr.exe ر اجرا و دنبال پروسسی که با نام kazm شروع می شود گشته و آن را end process کنید.

1regedit.exe را باز کنید و به دنبال kazm جستجو کرده و موردی را که پیدا شد delete کنید. برای ادامه جستجو F3 را بزنید تا جایی که تمام موارد پیدا شوند و در هر مرحله آنها را حذف کنید. آدرس Home page اینترنت را نیز با رفتن به internet Options به Use blank تغییر دهید.

1cmd.exe ر اجرا کرده و دستور attrib -r -s -h x:\kazme_gheyze.exe را به تعداد درایو های هارد و فلش مموری اجرا کنید. بجای x باید نام درایو هایتان را قرار دهید. سپس دستور del x:\kame_gheyze.exe را به ازای تمام درایو ها اجرا کنید. اکنون دو دستور فوق را برای فایل autorun.inf انجام دهید.

حال سیستم را ری استارت کرده و وارد ویندوز شوید.

نسخه دوم ویروس :

تمام موارد بالا باید انجام شود بغیر از در قسمت حذف موارد از رجیستری که در شاخه
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\shell باید مقدار گزینه shell از %SYSTEMROOT%\explorer.exe, %SYSTEMROOT%\virus.exe به SYSTEMROOT%\explorer.exe تغییر کرده و حذف نگردد.

پنجره search ویندوز را باز کرده all files and folders سپس more advanced options سپس سه گزینه ای که با Search شروع می شود را تیک دار کرده این قسمت را بسته و در درایو ویندوز دنبال نام های زیر گشته و هر کدام را که پیدا کردید حذف کنید.

virus.exe

service.exe

FSP32.exe

hideproc.sys

اکنون سیستم شما از ویروس پاک شده است . می توانید ری استارت کرده و از ویندوز استفاده کنید.

یکی از جدیدترین شیوه های رشد و گسترش ویروس ها و به طور کلی بد افزارهای اینترنتی از طریق درایو های همراه بخصوص USB Flash ها می باشد، این بد افزارها با ایجاد یک فایل که قابلیت اجرا بصورت اتوماتیک را دارا است Autorun این امکان را برای فایل اجرایی تروجان فراهم می آورد تا بتواند بدون قرار گرفتن در شاخه اصلی ویندوز win32 و یا Startup به فعالیت خود به محض باز شدن درایو ها ویندوز ادامه دهد. همچنین این قابلیت را دارد تا در صورت حذف فایل اجرایی آن را باز گردانده و در دیگر دریوا های قابل نوشتن خود را تکثیر کند.

بیتشر آنتی ویروس های جدید علیرغم تبلیغات گسترده نمی توانند این گونه فایل ها را به دلیل ساختار آنها تشخیص داده و یا در صورت تشخیص دادن به دلیل بهره گیری ویروس از اکسپلویت در آنتی ویروس ها آنها را به راحتی همانند ویروس کظم غیظ به اصلاح دور (bypass) می زنند.
یکی از بهترین روش های حذف این گونه ویروس ها استفاده از برنامه مخصوص حذف آنها یعنی Autorun Virus Remover می باشد. این برنامه به صورت Realtime فعال بوده و در صورت ورود فلش درایو آن را چک کرده و همچنین قابلیت اجرای اتوماتیک را نیز غیر فعال می کند.

با توجه به اینکه خود سیستم بنده هم به ویروس zhengbo آلوده شده بود و حتی این برنامه هم قادر به تشخیص و حذف این ویروس نشده بود و در ضمن هیچ آموزشی نیز پیرامون حذف این ویروس و ویروس های مشابه یافت نشد، تصمیم گرفتم تا آموزش چگونگی حذف این گونه ویروس های ساخت یافته رو توسط برنامه unlocker را به شما دوستان آموزش بدم.

1) فایل های مخفی را از منوی tools آشکار کنید.
2) به درایو های خود سر بزنید، در صورت آلوده بودن سیستم، فولدر و یا فایلی با نام autorun.INF وجود خواهد داشت که غیر قابل حذف است.
3) برنامه unlocker را بر روی سیستم خود نصب کنید.
4) فولدر و یا فایل autorun را با راست کلیک کردن بر روی آن توسط نرم افزار unlocker حذف کنید.
5) توجه داشته باشید که در صورت دبل کلیک کردن بر روی هر کدام از درایو های فعال خود ویروس مجدداً فعال خواهد گردید، برای باز کردن درایو های خود جهت پاکسازی ویروس فقط از Open استفاده نمایید.
6) در صورتی که پس از راه اندازی مجدد ویندوز فایل ها را مشاهده نمودید، توسط برنامه startup چک کنید تا شاید بتوانید فایل اجرایی اصلی آن را در صورت وجود حذف نمایید.
توجه: در صورتی که به دلیل ویروسی بودن سیستم خود مجبور به نصب مجدد ویندوز می باشد، قبل از هر کاری اول آنتی ویروس جدید را نصب و سپس درایو های خود را اسکن نمایید، و از باز کدن درایو های خود بپرهیزید چرا که باعث فعال شده دوباره ویروس و غیر فعال شدن آنتی ویروس شما خواهد گردید.
لینک دانلود آخرین نسخه برنامه Portable Autorun Virus Remover v2.3 http://rapidshare.com/files/173509409/X-230618AVR.rar
لینک دانلود مستقیم unlocker :
http://upload.iranblog.com/7/1248621008.zip

لینک دانلود مستقیم Startup ckeker:
http://upload.iranblog.com/7/1248548211.zip

حذف و پاک کردن ویروس Autorun

معرفی:
Autorun نام ویروس جدیدی است که توسط ویروس نویسان چینی نوشته شده است این ویروس با کپی شدن از طریق پست الکترونیک و انواع لوح های فشرده و انواع حافظه های همراه مانند فلش کارتها و حتی فلاپی تکثیر می شوداین ویروس بعد از آلوده کردن سیستم شما در پوشه system 32 کپی شده و 1 فایل اجرایی با نام xcopy.exeمی سازد. طرز کار این ویروس خیلی جالبه این ویروس با ایجاد یک فایل autorun.inf در داخل درایوها با محتوای [autorun] Shellexecute=copy.exe کلید تکثیر خودشو فعال می کنه به این صورت که با هربار کلیک کردن شما بر روی درایو مربوطه دو فایل ویروسیcopy.exe , host.exeایجاد میکنه و تکثیر میشهاین ویروس میتونه باعت ایجاد اختلال در سرورهای محلی و خانگی بشه و با تکثیر خودش روی سیستم و اجرای دائم فایلهاش باعث کاهش سرعت سیستمهای خانگی بشهیکی از قطعات سخت افزاری که از این یروس آسیب می بینه فلاپی درایو سیستم هستشچون این ویروس هر 30 ثانیه یکبار برای تکثیر خودش فلاپی درایو رو چک می کند.

راه حل :

اولین راه حل استفاده از ویروس کش های بین دیفایندر، کاسپر اسکای یا نویید هست.

این ویروس از دو طریق خود را فعال می کند.

1- از طریق پروسه هایی که به صورت استارت آپ بالا میان که از دو فایل temp1.exe و temp2.exe در پوشه ی %win%system32 سر چشمه می گیرند .
2- با دابل کلیک بر روی هر کدام از درایو های قابل نوشتن از جمله درایو های هارد دیسک + درایو های فلش و...

برای رهایی از شر این ویروس ابتدا باید پروسه های temp1.exe و temp2.exe رو از بین برد. برای این کار لازم هست که windows به صورت safe mode بالا بیاید و ذکر این نکته هم ضروریست که نباید روی درایو ها دابل کلیک کرد چون فایل autorun.inf روی هر کدام از درایو ها قرار دارد که با این کار دوباره پروسه های temp1.exe و temp2.exe رو فعال می کند.

خوب حالا که win بصورت safe mode راه اندازی شده می توانید با کلیک راست و انتخاب open به هر کدام از درایو ها وارد بشین { البته من در برخی از نسخه های این ویروس دیدم که حتی درون پوشه ی %win% هم فایل autorun.inf وجود داره - بنابراین توصیه اکید میکنم که تمام درایوها و پوشه ها رو با راست کلیک باز کنید .} حالا به پوشه ی system32 درون %win% میرویم و دو فایل temp1.exe و temp2.exe رو حذف میکنیم.

{ البته قبل از آن باید پروسه های آنها را از لیست TaskMgr حذف کرد. برای این کار Windows Task Manager را فعال و پروسه های temp1.exe و temp2.exe را از لیست processes با کلیک بر روی end process حذف کرد.}

حال میمونه فایل autorun.inf و فایل های وابسته.

خدمت شما عرض کنم که این فایل autorun.inf با هر بار فعال شدن موجب میشه که دو فایل copy.exe [xcopy.exe] و host.exe درون همون درایو فعال بشن و دوباره دو فایل temp1.exe و temp2.exe رو بسازن.

{ البته باید بگم که این فایل های copy.exe[xcopy.exe] رو نباید با فایل های خود windows که درون پوشه ی system32 هستند اشتباه گرفت. این فایل های ویروسی دقیقا درون پوشه ی root درایو هستند.}

حالا کافیه فایل autorun.inf رو حذف کنید.

{ تا اینجا دیگه شما از شر ویروس خلاص شدین و فقط همون دو فایل copy.exe [xcopy.exe] و host.exe وجود داره که اونها هم نمی تونن خودشونو فعال کنند.}

بعدش به سراغ دو فایل copy.exe [xcopy.exe] و host.exe میریم که باید ابتدا از Folder Option فایل های سیستمی و مخفی رو پدیدار کنیم. حالا با خیال راحت این دو فایل رو حذف میکنیم .

برای تمامی درایو ها همین کار رو میکنید.

خوب شما ویروس رو حذف کردید ولی در مقابل اون مصون نیستید یعنی اگه یه cd یا Flash Memory رو روی سیستم به صورت autorun اجرا کنید و اونها این ویروس رو داشته باشند دوباره همون آش و همون کاسه...

گاهی با ویروسی شدن دستگاههای متصل به USB هنگام اتصال قطعاتی همچون فلش دیسک ها این ویروس به صورت خودکار اجرا شده(به خاطر تعریف در فایل autorun.inf) و قصد آلوده کردن سیستم شما را دارند با نصب این نرم افزار هنگام اتصال قطعه، ویروس شناسایی شده و بصورت خودکار پاک خواهد شد.
Autorun Virus Remover provides protection against any malicious programs trying to attack via USB drive. When a USB device is inserted into your computer, Autorun Virus Remover will automatically scan it, block and delete autorun virus, trojans, and malicious code. Also, it can detect and remove USB virus such as autorun.inf virus in your computer.


http://i38.tinypic.com/2mmstq1.jpg

دریافت نرم افزار با حجم ۱/۲۹۷ کیلوبایت (http://www.yahaq.org/go.php?aHR0cDovL3JhcGlkc2hhcmUuY29tL2ZpbGVzLzEzMDI 0Mzc4OC9BdXRvcnVuLlZpcnVzLlJlbW92ZXIudjIuMy5yYXI%3 D)

به نقل از سایت :http://www.yahaq.org/software/13870528/504.html

این هم یه نرم افزاره درسته گفتی بدون نرم افزار اما دونستنش خوبه ;)

پاكسازی ویروس های Autorun , Folder

دانلود قویترین آنتی ویروس پاك كننده تمامی ویروس های Autorun , Folder كه در سایتهای خارجی با قیمت 100$ و بعضاً قیمتهای بالاتر برای دانلود قرار داده شده ،‌ما نسخه كامل این نرم افزار خریداری شده را برای استفاده كاربران عزیز سایت برای دانلود قرار داده ایم معمولا بیشتر کول دیسک ها به ویروس اتوران دچار میشند پس حتما دانلود کنید ، امید است مورد رضایت شما واقع شود.


(http://www.irannaz.com/)


http://www.dl.mihandownload.com/update/up6/download%5BMihanDownload%5D.jpg دانلود با حجم 1.23 مگابایت (http://www.dl.mihandownload.com/download/supload/Autorun.Virus.Remover.v2.3.build.0618%5Bmihandownl oad.com%5D.rar)

http://www.dl.mihandownload.com/gmobile/unlock.gif پسورد www.MihanDownload.com( به صورت حروف کوچک وارد کنید!)

هر چند ویروسهای Autorun که با استفاده از درایوهای قابل حمل توزیع می‌شوند، جزء ساده‌ترین و پیش پا افتاده‌ترین انواع ویروسها قرار دارند (حتی میتوان مقام آنها را از Virus به Worm تنزل داد) اما گاهی اوقات وجود آنها واقعا آزار دهنده و ناراحت کننده می‌شود.

تا پیش از این، با استفاده از ابزار ساده Drive Autorun Locker (http://njavan.com/forum/showthread.php?p=135316#post135316) به راحتی با تمام ویروسهای این خانواده مقابله می‌نمودم، اما مدتی است که نمونه‌هایی را از این ویروسها رویت کرده‌ام که اقدام به تغییر نام فولدر Autorun.inf مربوط به ابزار بنده نموده و به قولی پاشنه آشیل آن را هدف گرفته‌اند.

بنده این مسئله را نشانه افزایش سن نویسندگان این دست ویروسها، از مقطع "کودک"، به "نوجوان" (با توانایی Rename کردن Folder ها) می‌دانم. به همین منظور تصمیم گرفتم که با استفاده از روش دیگری، برای همیشه از دست Autorun.inf راحت شوم.

این روش شامل 2 مرحله است:
1. تغییر فرمت درایو مربوطه به NTFS
2. تغییر مجوز دسترسی (Permission) برای Autorun.inf

تغییر فرمت به NTFS:
همانطور که می‌دانید امکان فرمت با سیستم فایل NTFS از طریق UI ویندوز برای درایوهای قابل حمل، درحالت عادی غیر فعال است (البته با تغییر Removable Policy امکانپذیر است). اما با استفاده از هرکدام از فرامین زیر می‌توان این کار را انجام داد:
convert x: /fs:ntfs /nosecurity
format x: /fs:ntfs

توجه داشته باشید که با استفاده از دستور convert، تمامی اطلاعات شما بر روی دیسک حفظ شده و پاک نخواهند شد، اما در صورت استفاده از دستور format می‌بایست یک نسخه پشتیبان از اطلاعات تهیه کرده و پس از تغییر سیستم فایل، بر روی دیسک بازگردانید.


تغییر مجوز دسترسی:
به این منظور ابتدا با استفاده از ابزار Drive Autorun Locker (http://njavan.com/forum/showthread.php?p=135316#post135316)، فهرست "Autorun.inf" را بر روی دیسک ایجاد کرده و سپس در صفحه Properties آن و زبانه Security دکمه Advanced را زده و گزینه Inherit from parent the permission … را غیر فعال کنید تا انتصاب مجوز در این فهرست به صورت مستقل از والد صورت بگیرد.
در پاسخ به سوالی که در مورد مجوز والد پرسیده می‌شود نیز دکمه Remove را بزنید تا همه Permission های آن لغو گردند.

به این شکل مجوز دسترسی به این فولدر لغو شده و دیگر نمیتوان آن را Rename یا Delete نمود.

پ.ن: از آنجا که اغلب مشاهده کرده‌ام که ویروسهای Autorun مسیری به نام recycler ایجاد کرده (همان سطل آشغال ویندوز) و فایل اجرایی خود را در آن پنهان می‌نمایند، پیشنهاد می‌کنم فولدری هم با این نام ساخته و اجازه دسترسی به آن را نیز لغو نمایید.

فکر کنم تاپیک جامعی شد و این هم خیلی میتونه کمکت کنه

شناسایی ویروس autorun.inf و برطرف کردن مشکلات ایجاد شده (http://njavan.ir/forum/showthread.php?t=63778)

موفق باشی

سلام عزیزان لینکاتون به هیچ عنوان کار نمی کنه این در شان سایتی به عنوان نخبگان نیست اگه لینک ندارید پس پستو حذف کنید مردم رو سر کار نزارید خدایش با این وضع اسف بار سرعت اینترنت ظلمه[tafakor]

این ویروس از دو طریق خودشو فعال میکنه
1- از طریق پروسه هایی که به صورت استارت آپ بالا میان که از دو فایل temp1.exe و temp2.exe در پوشه ی %win%system32 سر چشمه می گیرند .
2- با دابل کلیک بر روی هر کدام از درایو های قابل نوشتن از جمله درایو های هارد دیسک + درایو های فلش و...
برای رهایی از شر این ویروس ابتدا باید پروسه های temp1.exe و temp2.exe رو از بین برد. برای این کار لازم هست که windows به صورت safe mode بالا بیاید و ذکر این نکته هم ضروریست که نباید روی درایو ها دابل کلیک کرد چون فایل autorun.inf روی هر کدام از درایو ها قرار دارد که با این کار دوباره پروسه های temp1.exe و temp2.exe رو فعال میکند.
خوب حالا که win بصورت safe mode راه اندازی شده می توانید با کلیک راست و انتخاب open به هر کدام از درایو ها وارد بشین { البته من در برخی از نسخه های این ویروس دیدم که حتی درون پوشه ی %win% هم فایل autorun.inf وجود داره - بنابراین توصیه اکید میکنم که تمام درایوها و پوشه ها رو با راست کلیک باز کنید .} حالا به پوشه ی system32 درون %win% میرویم و دو فایل temp1.exe و temp2.exe رو حذف میکنیم.
{ البته قبل از آن باید پروسه های آنها را از لیست TaskMgr حذف کرد. برای این کار Windows Task Manager را فعال و پروسه های temp1.exe و temp2.exe را از لیست processes با کلیک بر روی end process حذف کرد.}
حال میمونه فایل autorun.inf و فایل های وابسته.
خدمت شما عرض کنم که این فایل autorun.inf با هر بار فعال شدن موجب میشه که دو فایل copy.exe [xcopy.exe] و host.exe درون همون درایو فعال بشن و دوباره دو فایل temp1.exe و temp2.exe رو بسازن.
{ البته باید بگم که این فایل های copy.exe[xcopy.exe] رو نباید با فایل های خود windows که درون پوشه ی system32 هستند اشتباه گرفت. این فایل های ویروسی دقیقا درون پوشه ی root درایو هستند.}
حالا کافیه فایل autorun.inf رو حذف کنید.
{ تا اینجا دیگه شما از شر ویروس خلاص شدین و فقط همون دو فایل copy.exe [xcopy.exe] و host.exe وجود داره که اونها هم نمی تونن خودشونو فعال کنند.}
بعدش به سراغ دو فایل copy.exe [xcopy.exe] و host.exe میریم که باید ابتدا از Folder Option فایل های سیستمی و مخفی رو پدیدار کنیم. حالا با خیال راحت این دو فایل رو حذف میکنیم .
برای تمامی درایو ها همین کار رو میکنید.
خوب شما ویروس رو حذف کردید ولی در مقابل اون مصون نیستید یعنی اگه یه cd یا Flash Memory رو روی سیستم به صورت autorun اجرا کنید و اونها این ویروس رو داشته باشند دوباره همون آش و همون کاسه...
پس مواظب autorun ها باشید و یه Anti Virus خوب مثل KAV نصب کنید