Bad Sector
5th February 2011, 10:11 PM
چگونگی حذف Internet Security 2010 و دیگر آنتی ویروس های جعلی
اگر كاربر همیشگی اینترنت و یا مشتری نگهبان (http://negahbaan.com/) باشید، احتمالا با آنتی ویروس های تقلبی آشنا هستید. شاید هم زمانی خود شما یكی از قربانیان این بدافزارها بوده اید. در این مطلب قصد داریم تا دستورالعمل كاربردی برای خلاصی از شر این برنامه های مخرب آماده نماییم. برای آشنایی بیشتر با این نوع از بدافزارها، پیشنهاد می شود ابتدا این مقاله را مطالعه كنید:
اینترنت سیکیوریتی 2010 یکی از برنامه های آنتی ویروس جعلی مشهور است. شیوه کار آن به این صورت است که بعد از نصب به نوعی کامپیوتر شما را گروگان می گیرد، تا مجبور به پرداخت پولی به عنوان خرید لایسنس برنامه (و در واقع به عنوان باج) شوید. برنامه هایی از این دست معمولا به شما هشدار می دهند که کامپیوترتان به ویروس های زیادی آلوده شده (که در واقع دروغ است). اگر هم بخواهید انها را حذف کنید از این کار با روش های مختلف جلوگیری خواهند کرد.
http://negahbaan.com/sites/default/files/blue/image67-negahbaan-com.jpg
تجزیه و تحلیل آلودگی
ابتلا به این نوع آنتی ویروس ها معمولا با نمایش پیامی مانند تصویر زیر شروع می شود. اغلب، سایت های پورن حاوی این گونه بدافزارها هستند و پیام هایی از این دست را به شما نشان می دهند. البته همیشه اینطور نیست و حتی یك سایت معمولی دانلود بازی یا نرم افزار هم ممكن است آلوده باشد.
نکته مهم
اگر شما خواننده دائمی ما باشید، احتمالا آنقدر زرنگ هستید که بدانید چگونه از نصب این چیزها می توانید جلوگیری کنید. اما همه که مثل شما خوره کامپیوتر نیستند. مثلا ممکن است پدر یا مادر شما هنگام کار با اینترنت با چنین پیامی مواجه شوند:
http://negahbaan.com/sites/default/files/blue/image68-negahbaan-com.jpg
در چنین مواقعی توصیه ای که من به مادر خودم می کنم این است:
(دکمه پاور رایانه خود را به مدت 10 ثانیه نگه دار تا خاموش شود!)
باور کنید که خاموش کردن فوری کامپیوتر خیلی بهتر از آلوده شدن به یک بدافزار است و برای فردی که نمی داند چگونه جلوی مقابله با این بدافزارها را بگیرد این شاید بهترین انتخاب باشد. اما از این توصیه برای کاربران غیر حرفه ای که بگذریم می توانیم سراغ حرفه ای تر ها برویم:
حرکت به جلو...
هنگامی که شما بر روی پیام خطای تصویر بالا و گزینه OK کلیک می کنید ، به شما صفحه ای نمایش داده می شود که ظاهری مانند My Computer دارد. در این صفحه به دروغ هشدار داده می شود که کامپیوتر شما آلوده شده است. نكته جالب اینجا است كه هیچ آنتی ویروس واقعی چنین ظاهری ندارد. اما متاسفانه خیلی از کاربران معمولی کامپیوتر به هیچ وجه به این موضوع توجهی ندارند!
http://negahbaan.com/sites/default/files/blue/image69-negahbaan-com.jpg
پس از گذشت چند ثانیه،یک پنجره باز شده که می گوید کامپیوتر شما آلوده می باشد و شما فقط می توانید دکمه Remove allرا کلیک کنید. این پنجره محاوره ای واقعی به نظر می رسد. به نظر می رسد اینجا همان مرحله ای است که اکثر کاربران معمولی دچار سردرگمی شده و به دام می افتند!
http://negahbaan.com/sites/default/files/blue/image70-negahbaan-com.jpg
هنگامی که بر روی Remove all کلیک کنید، از شما خواسته می شود برنامه نصب را اجرا کنید، در طول نصب هم ممکن است متوجه چند پنجره هشدار شوید.
http://negahbaan.com/sites/default/files/blue/image71-negahbaan-com.jpg
به محض این که برنامه نصب اجرا شود، شما آلوده شده اید.
http://negahbaan.com/sites/default/files/blue/image72-negahbaan-com.jpg
در اغلب اوقات شما دیگر قادر به باز کردن هیچ برنامه ای نخواهید بود...
http://negahbaan.com/sites/default/files/blue/image73-negahbaan-com.jpg
و دیگر به هیچ صورتی نمی توانید آنتی ویروس جعلی را از کنترل پنل حذف کنید.
http://negahbaan.com/sites/default/files/blue/image74-negahbaan-com.jpg
حذف آنتی ویروس های دروغین و جعلی (راهنمای عمومی)
یک سری مراحل عمومی وجود دارند که معمولا می توانند شما را از شر مشکلات بسیاری آنتی ویروس های جعلی و اکثر بدافزار یا جاسوس افزارها خلاص كنند
سعی کنید نسخه ای از برنامه رایگان و قابل حمل SUPERAntiSpyware را برای حذف ویروس ها استفاده کنید. در صورتی که ویروس اجازه کار با این برنامه را به شما نمی دهد، سعی کنید کامپیوتر را در حالت safe mode with networking راه اندازی کنید (برای این کار کلید F8 را درست قبل از شروع بارگذاری ویندوز زده و safe mode را انتخاب کنید.) حال دوباره برنامه SUPERAntiSpyware امتحان كنید.
اگر روش بالا کار نمی کند، احتمالا حالت safe mode مسدود شده است. سعی کنید از برنامه ComboFix (http://www.combofix.org/) برای رفع مشكل safe mode استفاده کرده و سپس مراحل بالا را دوباره انجام دهید. برنامه MalwareBytes را نصب و آن را اجرا کنید،با این برنامه باید سیستم را یك دور كامل اسكن كرد.
کامپیوتر را دوباره ریستارت کنید. با استفاده از برنامه آنتی ویروس نصب شده روی رایانه تان یك اسکن کامل سیستم را انجام دهید. در این هنگام کامپیوتر شما پاک شده است.
حذف اینترنت سیکیوریتی 2010
اولین کاری که بایستی انجام دهیم، كشتن ویروسی است که در حال حاضر بر روی سیستم در حال اجرا است (یعنی حذف پروسه ای که ویروس در حال اجرای آن روی ویندوز است). خوشبختانه بدون دانلود هیچ نرم افزار ویژه ای یک راه بسیار آسان برای بستن برنامه اینترنت سیکیوریتی 2010 فقط با بستن پروسه آن وجود دارد. (با این حال ما هنوز هم نیاز به دانلود برنامه ای برای پاکسازی کامل رایانه داریم). این کارها را انجام دهید:
منوی استارت را باز کرده، بر روی دکمه Run کلیک كنید. (یا به طور همزمان دکمه های ویندوز و R را بزنید) سپس در کادر پنجره Run عبارت زیر را وارد کنید:
taskkill /f /im is2010.exe
http://negahbaan.com/sites/default/files/blue/image75-negahbaan-com.jpg
کلید اینتر را بزنید تا با این دستور پنجره اصلی ویروس بسته شود. پس از آن باید به سرعت دستورات زیر را در پنجره Run وارد کرده و با زدن اینتر اجرا نمایید:
taskkill /f /im winlogon86.exe
taskkill /f /im winupdate86.exe
در این مرحله ویروس دیگر در حال اجرا بر روی سیستم شما نیست. اما هنوز هم در سایه و در کمین شما است. حالا می توانید هر ابزار ویژه حذف نرم افزارهای مخربی را دوست دارید برای حذف این بدافزار استفاده کنید.
استفاده از SUPERAntiSpyware برای حذف بدافزار
حالا که ما تمام فرآیندهای مرتبط با بدافزار را خاتمه دادیم ، باید کل بدافزار را با برنامه SUPERAntiSpyware برای همیشه از رایانه حذف کنیم. شما می توانید از نسخه کامل برنامه استفاده کنید، یا اگر مایلید از نسخه های پرتابل استفاده کنید. توصیه ما هم استفاده از نسخه های پرتابل است.
http://negahbaan.com/sites/default/files/blue/image481-negahbaan-com.jpg
اگر از نسخه کامل و قابل نصب برنامه استفاده می کنید، با استفاده از دکمه Check for Updates اطمینان یابید که آخرین به روز رسانی برنامه را در اختیار دارید. سپس بر روی دکمه Scan Your Computer کلیک کنید. مطمئن شوید که حتما اسکن کامل انجام شود. برای این منظور همه درایوهای هارددیسك را انتخاب کنید.
http://negahbaan.com/sites/default/files/blue/image511-negahbaan-com.jpg
این برنامه باید به راحتی همه آثار و آلودگی های ناشی از بدافزار را پیدا کرده و آنها را از میان بردارد. احتمالا شما با مشاهده تصویر زیر فهمیده اید که بر روی این رایانه خاص که برای آموزش مطلب از آن استفاده شده، بسیاری از بدافزارهای دیگر هم بوده که خوشبختانه برنامه SUPERAntiSpyware آنها را نیز شناسایی و نابود کرده است.
http://negahbaan.com/sites/default/files/blue/image541-negahbaan-com.jpg
پس از آن انجام مرحله اسکن کامل سیستم، برنامه به شما اجازه می دهد همه موارد شناسایی شده را تنها با یک کلیک حذف کنید. پس از این کار از شما می خواهد تا رایانه را راه اندازی مجدد کنید. اما فعلا نباید ریستارت کنید. کار هنوز کاملا تمام نشده!
نصب Malwarebytes و اسکن سیستم
در مرحله بعد بایستی برنامه MalwareBytes (http://www.malwarebytes.org/) را نصب و آن را اجرا کنید. باز هم اطمینان حاصل کنید که برنامه به اجرای اسکن کامل می پردازد. دلیل اصلی برای استفاده از این برنامه آن است که هیچ راهی برای اطمینان صد در صد از درستی کار یک ابزار حذف بدافزار وجود ندارد. ممکن است بعد از استفاده از یك برنامه حذف بدافزار هنوز هم اجزای کوچکی از آن در سیستم باقی مانده باشند.
http://negahbaan.com/sites/default/files/blue/image76-negahbaan-com.jpg
نصب Microsoft Security Essentials
پس از استفاده ازMalwareBytes و اسکن کامل یادتان باشدحتما یك آنتی ویروس قوی و مناسب نصب كرده و یك بار اسكن كامل سیستم را اجرا كنید. ملزومات امنیتی مایکروسافت(Microsoft Security Essentials (http://www.microsoft.com/security_essentials/)) پیشنهاد ما برای این كار است.
توجه : اگر شما از درایوهای قابل حمل مانند كول دیسك استفاده می کنید، در هر مرحله ای آن را هم اسکن کنید. زیرا برخی ویروس ها خود را در فلش مموری یا هارد اکسترنال تکثیر کرده و پس از اتصال درایو به رایانه آن را آلوده کنند.
اگر كاربر همیشگی اینترنت و یا مشتری نگهبان (http://negahbaan.com/) باشید، احتمالا با آنتی ویروس های تقلبی آشنا هستید. شاید هم زمانی خود شما یكی از قربانیان این بدافزارها بوده اید. در این مطلب قصد داریم تا دستورالعمل كاربردی برای خلاصی از شر این برنامه های مخرب آماده نماییم. برای آشنایی بیشتر با این نوع از بدافزارها، پیشنهاد می شود ابتدا این مقاله را مطالعه كنید:
اینترنت سیکیوریتی 2010 یکی از برنامه های آنتی ویروس جعلی مشهور است. شیوه کار آن به این صورت است که بعد از نصب به نوعی کامپیوتر شما را گروگان می گیرد، تا مجبور به پرداخت پولی به عنوان خرید لایسنس برنامه (و در واقع به عنوان باج) شوید. برنامه هایی از این دست معمولا به شما هشدار می دهند که کامپیوترتان به ویروس های زیادی آلوده شده (که در واقع دروغ است). اگر هم بخواهید انها را حذف کنید از این کار با روش های مختلف جلوگیری خواهند کرد.
http://negahbaan.com/sites/default/files/blue/image67-negahbaan-com.jpg
تجزیه و تحلیل آلودگی
ابتلا به این نوع آنتی ویروس ها معمولا با نمایش پیامی مانند تصویر زیر شروع می شود. اغلب، سایت های پورن حاوی این گونه بدافزارها هستند و پیام هایی از این دست را به شما نشان می دهند. البته همیشه اینطور نیست و حتی یك سایت معمولی دانلود بازی یا نرم افزار هم ممكن است آلوده باشد.
نکته مهم
اگر شما خواننده دائمی ما باشید، احتمالا آنقدر زرنگ هستید که بدانید چگونه از نصب این چیزها می توانید جلوگیری کنید. اما همه که مثل شما خوره کامپیوتر نیستند. مثلا ممکن است پدر یا مادر شما هنگام کار با اینترنت با چنین پیامی مواجه شوند:
http://negahbaan.com/sites/default/files/blue/image68-negahbaan-com.jpg
در چنین مواقعی توصیه ای که من به مادر خودم می کنم این است:
(دکمه پاور رایانه خود را به مدت 10 ثانیه نگه دار تا خاموش شود!)
باور کنید که خاموش کردن فوری کامپیوتر خیلی بهتر از آلوده شدن به یک بدافزار است و برای فردی که نمی داند چگونه جلوی مقابله با این بدافزارها را بگیرد این شاید بهترین انتخاب باشد. اما از این توصیه برای کاربران غیر حرفه ای که بگذریم می توانیم سراغ حرفه ای تر ها برویم:
حرکت به جلو...
هنگامی که شما بر روی پیام خطای تصویر بالا و گزینه OK کلیک می کنید ، به شما صفحه ای نمایش داده می شود که ظاهری مانند My Computer دارد. در این صفحه به دروغ هشدار داده می شود که کامپیوتر شما آلوده شده است. نكته جالب اینجا است كه هیچ آنتی ویروس واقعی چنین ظاهری ندارد. اما متاسفانه خیلی از کاربران معمولی کامپیوتر به هیچ وجه به این موضوع توجهی ندارند!
http://negahbaan.com/sites/default/files/blue/image69-negahbaan-com.jpg
پس از گذشت چند ثانیه،یک پنجره باز شده که می گوید کامپیوتر شما آلوده می باشد و شما فقط می توانید دکمه Remove allرا کلیک کنید. این پنجره محاوره ای واقعی به نظر می رسد. به نظر می رسد اینجا همان مرحله ای است که اکثر کاربران معمولی دچار سردرگمی شده و به دام می افتند!
http://negahbaan.com/sites/default/files/blue/image70-negahbaan-com.jpg
هنگامی که بر روی Remove all کلیک کنید، از شما خواسته می شود برنامه نصب را اجرا کنید، در طول نصب هم ممکن است متوجه چند پنجره هشدار شوید.
http://negahbaan.com/sites/default/files/blue/image71-negahbaan-com.jpg
به محض این که برنامه نصب اجرا شود، شما آلوده شده اید.
http://negahbaan.com/sites/default/files/blue/image72-negahbaan-com.jpg
در اغلب اوقات شما دیگر قادر به باز کردن هیچ برنامه ای نخواهید بود...
http://negahbaan.com/sites/default/files/blue/image73-negahbaan-com.jpg
و دیگر به هیچ صورتی نمی توانید آنتی ویروس جعلی را از کنترل پنل حذف کنید.
http://negahbaan.com/sites/default/files/blue/image74-negahbaan-com.jpg
حذف آنتی ویروس های دروغین و جعلی (راهنمای عمومی)
یک سری مراحل عمومی وجود دارند که معمولا می توانند شما را از شر مشکلات بسیاری آنتی ویروس های جعلی و اکثر بدافزار یا جاسوس افزارها خلاص كنند
سعی کنید نسخه ای از برنامه رایگان و قابل حمل SUPERAntiSpyware را برای حذف ویروس ها استفاده کنید. در صورتی که ویروس اجازه کار با این برنامه را به شما نمی دهد، سعی کنید کامپیوتر را در حالت safe mode with networking راه اندازی کنید (برای این کار کلید F8 را درست قبل از شروع بارگذاری ویندوز زده و safe mode را انتخاب کنید.) حال دوباره برنامه SUPERAntiSpyware امتحان كنید.
اگر روش بالا کار نمی کند، احتمالا حالت safe mode مسدود شده است. سعی کنید از برنامه ComboFix (http://www.combofix.org/) برای رفع مشكل safe mode استفاده کرده و سپس مراحل بالا را دوباره انجام دهید. برنامه MalwareBytes را نصب و آن را اجرا کنید،با این برنامه باید سیستم را یك دور كامل اسكن كرد.
کامپیوتر را دوباره ریستارت کنید. با استفاده از برنامه آنتی ویروس نصب شده روی رایانه تان یك اسکن کامل سیستم را انجام دهید. در این هنگام کامپیوتر شما پاک شده است.
حذف اینترنت سیکیوریتی 2010
اولین کاری که بایستی انجام دهیم، كشتن ویروسی است که در حال حاضر بر روی سیستم در حال اجرا است (یعنی حذف پروسه ای که ویروس در حال اجرای آن روی ویندوز است). خوشبختانه بدون دانلود هیچ نرم افزار ویژه ای یک راه بسیار آسان برای بستن برنامه اینترنت سیکیوریتی 2010 فقط با بستن پروسه آن وجود دارد. (با این حال ما هنوز هم نیاز به دانلود برنامه ای برای پاکسازی کامل رایانه داریم). این کارها را انجام دهید:
منوی استارت را باز کرده، بر روی دکمه Run کلیک كنید. (یا به طور همزمان دکمه های ویندوز و R را بزنید) سپس در کادر پنجره Run عبارت زیر را وارد کنید:
taskkill /f /im is2010.exe
http://negahbaan.com/sites/default/files/blue/image75-negahbaan-com.jpg
کلید اینتر را بزنید تا با این دستور پنجره اصلی ویروس بسته شود. پس از آن باید به سرعت دستورات زیر را در پنجره Run وارد کرده و با زدن اینتر اجرا نمایید:
taskkill /f /im winlogon86.exe
taskkill /f /im winupdate86.exe
در این مرحله ویروس دیگر در حال اجرا بر روی سیستم شما نیست. اما هنوز هم در سایه و در کمین شما است. حالا می توانید هر ابزار ویژه حذف نرم افزارهای مخربی را دوست دارید برای حذف این بدافزار استفاده کنید.
استفاده از SUPERAntiSpyware برای حذف بدافزار
حالا که ما تمام فرآیندهای مرتبط با بدافزار را خاتمه دادیم ، باید کل بدافزار را با برنامه SUPERAntiSpyware برای همیشه از رایانه حذف کنیم. شما می توانید از نسخه کامل برنامه استفاده کنید، یا اگر مایلید از نسخه های پرتابل استفاده کنید. توصیه ما هم استفاده از نسخه های پرتابل است.
http://negahbaan.com/sites/default/files/blue/image481-negahbaan-com.jpg
اگر از نسخه کامل و قابل نصب برنامه استفاده می کنید، با استفاده از دکمه Check for Updates اطمینان یابید که آخرین به روز رسانی برنامه را در اختیار دارید. سپس بر روی دکمه Scan Your Computer کلیک کنید. مطمئن شوید که حتما اسکن کامل انجام شود. برای این منظور همه درایوهای هارددیسك را انتخاب کنید.
http://negahbaan.com/sites/default/files/blue/image511-negahbaan-com.jpg
این برنامه باید به راحتی همه آثار و آلودگی های ناشی از بدافزار را پیدا کرده و آنها را از میان بردارد. احتمالا شما با مشاهده تصویر زیر فهمیده اید که بر روی این رایانه خاص که برای آموزش مطلب از آن استفاده شده، بسیاری از بدافزارهای دیگر هم بوده که خوشبختانه برنامه SUPERAntiSpyware آنها را نیز شناسایی و نابود کرده است.
http://negahbaan.com/sites/default/files/blue/image541-negahbaan-com.jpg
پس از آن انجام مرحله اسکن کامل سیستم، برنامه به شما اجازه می دهد همه موارد شناسایی شده را تنها با یک کلیک حذف کنید. پس از این کار از شما می خواهد تا رایانه را راه اندازی مجدد کنید. اما فعلا نباید ریستارت کنید. کار هنوز کاملا تمام نشده!
نصب Malwarebytes و اسکن سیستم
در مرحله بعد بایستی برنامه MalwareBytes (http://www.malwarebytes.org/) را نصب و آن را اجرا کنید. باز هم اطمینان حاصل کنید که برنامه به اجرای اسکن کامل می پردازد. دلیل اصلی برای استفاده از این برنامه آن است که هیچ راهی برای اطمینان صد در صد از درستی کار یک ابزار حذف بدافزار وجود ندارد. ممکن است بعد از استفاده از یك برنامه حذف بدافزار هنوز هم اجزای کوچکی از آن در سیستم باقی مانده باشند.
http://negahbaan.com/sites/default/files/blue/image76-negahbaan-com.jpg
نصب Microsoft Security Essentials
پس از استفاده ازMalwareBytes و اسکن کامل یادتان باشدحتما یك آنتی ویروس قوی و مناسب نصب كرده و یك بار اسكن كامل سیستم را اجرا كنید. ملزومات امنیتی مایکروسافت(Microsoft Security Essentials (http://www.microsoft.com/security_essentials/)) پیشنهاد ما برای این كار است.
توجه : اگر شما از درایوهای قابل حمل مانند كول دیسك استفاده می کنید، در هر مرحله ای آن را هم اسکن کنید. زیرا برخی ویروس ها خود را در فلش مموری یا هارد اکسترنال تکثیر کرده و پس از اتصال درایو به رایانه آن را آلوده کنند.