نرم افزارهای انتی ویروس

**Mohammad.Reza** · ۱۳۸۸-۱۲-۱۵, ۰۲:۴۰ بعد از ظهر

برگرداندن Run :

در صفحه Group Policy به مسیر پایین بروید:

User Configuration> Administrative Templates> Start Menu and Taskbar

بعد از کلیک نمودن بروی Start Menu and Taskbar، در سمت راست پنجره Group Policy بروی گزینه Remove Run menu from Start Menu دابل کلیک نموده و در تب Setting گزینه Disable را علامت دار نمایید. حالا گزینه Run فعال شده است.

*برگرداندن

Folder Option :

برای برگرداندن Folder Option به مسیر زیر در پنجره Group Policy بروید:

User Configuration> Administrative Templates> Windows Components> Windows Explorer

بعد از کلیک نمودن بروی Windows Explorer، در سمت راست پنجره Group Policy بروی Removes the Folder Options menu item from the Tools menu دابل کلیک نموده و از تب Setting گزینه Disable را علامت دار نمایید و بروی کلید OK کلیک نمایید .

**Mohammad.Reza** · ۱۳۸۸-۱۲-۱۵, ۰۲:۴۰ بعد از ظهر

فعال کردن task manager

روش اول:
برای فعال ساختن Task Manager در کادر محاوروی Run عبارت Gpedit.msc را تایپ نموده و اینتر کن و سپس به مسیر پایین برو:

User Configuration > Administrative Templates > System

حالا در زیر شاخه System بروی Ctr + Alt + Del کلیک کن و سپس در سمت راست صفحه Group Policy بروی Remove Task Manager دابل کلیک نموده و در تب Setting کزینه Disable را علامت دار کن. بعد از آن بروی کلید OK کلیک نموده و پنجره Group Policy را ببند.

روش دوم :
- مسیر زیر را داخل note pad کپی کرده و سپس با نام task manager.reg ذخیره کنید و بعد ان را اجرا کنید .

Windows Registry Editor Version 5.00

REG add HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\System /v DisableTaskMgr /t REG_DWORD /d 0 /f

- استفاده از برنامه ای که در زیر برای شما معرفی کرده ام.
این برنامه قادر به انجام کارهای زیر می باشد:

۱- از بين بردن ويروس های ravmon.exe و mdm.exe و SCVHOST.exe و SVCHOST.ini
۲- فعال کردن قسمتهاي زير

NoFolderOptions, NoControlPanel, DisableTaskMgr, DisableRegistryTools, DisableCMD

۳- به حالت پيش فرض برگرداندن قسمتهاي زير

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\

CurrentVersion\Explorer\Advanced\Folder\Hidden\NOH IDDEN

]
“CheckedValue”=dword:00000002

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\

CurrentVersion\Explorer\Advanced\Folder\Hidden\NOH IDDEN

]
“DefaultValue”=dword:00000002

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\C
urrentVersion\Explorer\Advanced\Folder\Hidden\SHOW ALL]
“CheckedValue”=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\

CurrentVersion\Explorer\Advanced\Folder\Hidden\SHO WALL

]
“DefaultValue”=dword:00000002

http://javedkhalil.com/techBlog/wp-c...on-removal.rar

بعد از اجرا کردن برنامه سیستم خود را ریستارت کنید .

**Mohammad.Reza** · ۱۳۸۸-۱۲-۱۵, ۰۲:۴۱ بعد از ظهر

*پاک کردن برنامه ی مخربی که پوشه ها را مخفی ( Super Hidden ) می کند:
نام دقیق این برنامه ی مخرب Trojan.Win32.Delf.aam است.
با زبان برنامه نویسی Borland Delphi نوشته شده.
این برنامه ی مخرب تمام پوشه های Open شده توسط قربانی را Super Hidden می کند و یک نسخه از خودش را با همان نام در همان مـسـیـر کـپـی می کـنـد کـه اگـر طرف آن را اجرا کـنـد هم Malware اجرا می شـود و هم محـتـوی پوشـه ی Super Hidden نمایـش داده می شود !!
یعنی اگه طرف مبتدی باشه به زودی متوجه نمیشه که چه بلایی داره سر پوشه هاش میاد !
هــمــانــطـــور کـه می دانـیــد برای آشـکار کـردن فایـل ها و پوشـه های Super Hidden باید ابتدا در Folder Options\View روی گزینه ی Show hidden files and folders کلیک کنید و پس از آن تیک گزینه ی (Hide protected operating system files (Recommended را بردارید و به پیغام امنیتی پاسخ مثبت و شستی OK را فشار دهید .
این Malware به کاربر اجازه ی آشکار کردن پوشه ها و فایل های Super Hidden را نمی دهد !
ضمنا Registry Tools ، Windows Task Manager و Folder Options را Disable نمی کند .
پر واضح است که این برنامه ی مخرب از آشکار کردن پسوند فایل ها هم جلوگیری می کنه !
برای پاک کردن این ویروس می توانید از برنامه ای که نوشتم استفاده کنید.

http://feng1.persiangig.com/Programs...0T.Delf.aam.7z

**Mohammad.Reza** · ۱۳۸۸-۱۲-۱۵, ۰۲:۴۱ بعد از ظهر

*نحوه پاک کردن ویروس

W32/Saldost

این بد افزار اینترنتی پس از اجرای فایل آن بر روی سیستم كاربر، ابتدا خودش را بر روی سیستم كپی می*كند و سپس با تغییر دادن كلیدهایی در رجیستری باعث بروز مشكلاتی از جمله باز نشدن ‪ Folder Option‬و مخفی نگه داشتن فایل*های مخفی می*شود.
از جمله كارهای دیگر این ویروس این است كه خودش را در ریشه همه درایوها با نام ‪ autoply.exe‬كپی كرده و در كنار آن فایلی با نام ‪ Autorun.inf‬ایجاد می*كند.
این عمل باعث می*شود كه هر گاه كاربر بخواهد به هر شكلی وارد هر درایوی شود، فایل مربوط به كرم اجرا گردد.
نوع ‪ Autorun‬ایجاد شده به گونه*ای است كه اگر فایل ‪ autoply.exe‬كه خود كرم است از روی سیستم پاك شده ولی فایل ‪ Autorun.inf‬باقی بماند، با دوبار كلیك كردن بر روی نام درایو پنجره ‪ Open with‬نمایش داده می*شود و كاربر نمی*تواند وارد درایو شود. در این حالت با كلیك راست نمودن بر روی نام درایو و انتخاب گزینه open‬ نیز نمی*توان وارد درایو شد.

این کرم اینترنتی ایرانی بوده که توسط ضدویروس ایمن شناسایی و پاکسازی می شود و پس از اجرای فایل ﺁن بر روی سیستم کاربر، ابتدا خودش را به صورت زیر بر روی سیستم کپی می نماید:
%TEMP%\svchost.exe

%PROGRAMFILES%\Sound Utility\Soundmax.exe

%PROGRAMFILES%\Common Files\Microsoft Shared\MSshare.exe

%WINDIR%\Web\OfficeUpdate.exe

سپس فایل خود با نام svchost.exe در مسیر %TEMP% را اجرا کرده و برای این که با هر بار راه اندازی سیستم ﺁلوده به طور خود کار اجرا گردد، خود را به شکل زیر در رجیستری ثبت می نماید:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVe rsion\Run
SoundMax = %PROGRAMFILES%\Sound Utility\Soundmax.exe

سپس کلیدهای در رجیستری را به شکل زیر تغییر می دهد:

HKCU\Software\Microsoft\Windows\Curr entVersion\Explorer\Advanced
Hidden =

۲

HideFileExt =

۲

ShowSuperHidde n =

۲

HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\Explorer
Nof olderoptions =

۲

HKLM\Software\Microsoft\Windows\CurrentVersion\Pol icies\E xplorer
Nofolderoptions =

۱

HKLM\SOFTWARE\Policies\Microsoft\Windows NT\ SystemRestore
DisableConfig =

۱

DisableSR =

۱

تغییرات فوق باعث بروز مشکلاتی از جمله باز نشدن FolderOption و مخفی نگه داشتن فایلهای مخفی می گردد که برای برطرف کردن این مشکلات می توانید برنامه زیر را از سایت ایمن دانلود کرده و ر جیستری خود را پاکسازی نمایید:

http://www.imenantivirus.com/RegRepair.zip

همچنین کلید IsShortCut را از مسیرهای زیر در رجیستری پاک می کند:

HKEY_CLASSES_ROOT\lnkfile

HKEY_CLASSES_ROOT\piffile

HKEY_CLASSES_ROOT\InternetShortcut

و کلیدی با نام Wintek در مسیر زیر ایجاد می کند:

HKEY_CURRENT_USER\Software

\
و کلید زیر را در ﺁن ایجاد می نماید:

Install = b

۲ed۳ (Dword - Value i s in hex)

بعد از انجام کارهای فوق تمام برنامه های موجود در زمانبند ویندوز (دستور at) را پا ک کرده و با استفاده از زمانبند ویندوز فایل خود را که با نام OfficeUpdate.exe در مسیر WINDIR%\Web% وجود دارد هر روز در ساعات ۱۱:۳۰ و ۲۰:۳۰ اجرا می نماید.

یکی دیگر از کارهای این کرم این است که خود را در مسیرهای زیر با نام های فریبنده کپی می کند و از ﺁنجایی که برخی از این مسیرها مخصوص برنامه ها ی شبکه های اشتراک گذاری فایل (یا P۲P) هستند، با این کار امکان انتشار ﺁن در سراسر دنیا از طریق اینگونه برنامه ها فراهم می گردد:

%PROGRAMFILES%\Kazaa Lite \My Shared Folder\
%PROGRAMFILES%\Kazaa\My Shared Folder\
%PROGRAMFILES%\I cq\Shared Files\
%PROGRAMFILES%\emule\incoming\
%PROGRAMFILES%\Gnucleus\Do wnloads\Incoming\
%PROGRAMFILES%\KMD\My Shared Folder\
%PROGRAMFILES%\Lime wire\Shared\
%PROGRAMFILES%\XPCode\

C:\Inetpub\ftproot

\
به علاوه در مسیرهایی که در ﺁنها فایل های از نوع MP۳ ، JPG یا EXE وجود داشته باشد، خود را با نام zfile.exe کپی می کند. همچنین خود را با نام setup.exe و setlib.exe در مسیرهای زیر کپی می کند:
\WINDOWS\system۳۲\config\systemprofile\My Documents\

\WINDOWS\system۳۲\config\systemprofile\Start Menu\Programs\

\WINDOWS\system۳۲\config\systemprofile\Start Menu\Programs\Accessories\

\WINDOWS\system۳۲\ config\systemprofile\Start Menu\Programs\Accessories\Entertainment\

WINDOWS\system

۳۲\config\systemprofile\Start Menu\Programs\Startup\…

\WINDOWS\system۳۲\drivers\

\WINDOWS\system۳۲\spool\drivers\

\WINDOWS\system۳۲\spool\drivers\w۳۲×۸۶\۳\

اين كرم برای اينكه بتواند خود را درون شبكه تكثير كند، كامپيوترهای موجود در آن را جستجو كرده و با استفاده از درايوهای به اشتراك گذاشته شده، سعی می*كند خودش را به شكل زير بر روی آن سيستم*ها كپی كند:

C:\Documents and Settings\All Users\Start Menu\Programs\Startup\AdobeUpdate.exe

اين كار باعث می*شود كه پس از راه*اندازی آن سيستم*ها، ويروس به طور خودكار اجرا شده و عمليات تكثيری خود را بر روی آنها انجام دهد.
از جمله كارهای جالب اين ويروس اين است كه خودش را در ريشه همه درايوها با نام autoply.exe كپی كرده و در كنار آن فايلی با نام Autorun.inf ايجاد می*كند.

اين عمل باعث می*شود كه هر گاه كاربر بخواهد به هر شکلی وارد هر درايوی شود، فايل مربوط به كرم اجرا گردد.
نوع Autorun ايجاد شده به گونه*ايست كه اگر فايل autoply.exe كه خود كرم است از روی سيستم پاك شده ولی فايل Autorun.inf باقی بماند، با دوبار كليك كردن بر روی نام درايو پنجره Open with نمايش داده می*شود و كاربر نمی*تواند وارد درايو شود. در اين حالت با كليك راست نمودن بر روی نام درايو و انتخاب گزينه Open نيز نمی*توان وارد درايو شد. برای برطرف نمودن اين مشكل بايستی فايل زير را از روی سايت ايمن دانلود نموده و آن را بر روی سيستم خود اجرا نماييد:

http://www.imenantivirus.com/NoAutorun.zip

اين كرم فايلی با نام Important.htm را در مسيرهای زير بر روی سيستم كاربر کپی می*نمايد كه حاوی جملاتی به زبان فارسی است:
%USERPROFILE%\Desktop\
%USERPROFILE%\My Documents\
یکی از نشانه*های ویروس به نمايش درآوردن نواری زرد رنگ در بالای صفحه همراه با جملاتی فارسی با رنگ قرمز است

**BaSaFa** · ۱۳۸۸-۱۲-۱۵, ۱۰:۱۲ بعد از ظهر

مرسی از شما محمد رضا جان !!!

موضوع: نرم افزارهای انتی ویروس

ابزارهای موضوع

نحوه نمایش موضوع

3 کاربر برای این پست سودمند از Mohammad.Reza عزیز تشکر کرده اند:

2 کاربر برای این پست سودمند از Mohammad.Reza عزیز تشکر کرده اند:

یک کاربر برای این پست سودمند از Mohammad.Reza عزیز تشکر کرده اند:

یک کاربر برای این پست سودمند از Mohammad.Reza عزیز تشکر کرده اند:

یک کاربر برای این پست سودمند از BaSaFa عزیز تشکر کرده اند:

موضوعات مشابه

دانلود و معرفی نرم افزارهای کامپیوتری(کلی)

معرفی سخت افزارهای روز دنیا

نرم افزارهای درخواستی خود را در این تاپیک بیان کنید!!!

//-- نرم افزار های موبایل --//

آموزش تصویری آپدیت آفلاین بهترین آنتی ویروس جهان NOD32 ver4

کلمات کلیدی این موضوع

مجوز های ارسال و ویرایش