با گسترش استفاده از درایوهای USB ، این وسیله ها ابزاری مناسب جهت انتقال ویروسها شده اند. در این پست می خواهیم شما را با ابزاری مفید آشنا کنیم که در عین رایگان بودن می تواند کمک شایانی جهت حفاظت از شما در برابر انواع ویروسهای قابل انتقال از USB درایوها و کول دیسک ها کند.



http://www.shahvar.net/wp-content/uploads/2009/10/GGreat-USBAB_shahvar.net.jpg






نرم افزار GGreat USB Antibody امکان سنجش امنیت درایو USB ، کول دیسک ، حافظه های سیار ، دوربین عکاسی و تلفنهای همراه را به شما می دهد.
شما توسط این ابزار می توانید فایلهای مخرب را در فایل معروف Autorun.inf یافته و آنها را حذف کنید. همچنین می توانید از آلوده شدن این فایل توسط ویروسها جلوگیری کنید.


Download GGreat USB AntiBody (http://download.cnet.com/GGreat-USB-AntiBody/3000-2239_4-10964357.html?part=dl-10051974&subj=dl&tag=button)

http://www.p30download.com/images/usbTD_p30download.com.jpg بیشتر کاربران از فلش دیسک ها برای ذخیره سازی اطلاعات و انتقال فایل از یک کامپیوتر (http://www.p30download.com/) به کامپیوتر دیگر استفاده می کنند. این قسمت خوب ماجراست! نویسندگان ویروس ها و جاسوس افزارها نیز می دانند که استفاده از فلش دیسک ها بین کاربران رایج شده است، بنابراین ویروس هایی می سازند که به راحتی از این راه کامپیوترهای زیادی را آلوده می کنند. با توجه به این که هر روز ورژن جدیدی از این ویروس ها ساخته می شود بیشتر آنتی ویروس (http://www.p30download.com/) ها نمی توانند سیستم را به طور کامل در مقابل این تهدید حقاظت کنند.
USB Threat Defender از فناوری اسکن تعریف شده و پیش گزیده برای ایجاد یک سطح ایمنی جدید استفاده می کتد. این سطح حفاظت جدید تهدیدهای شناخته شده و ناشناخته که توسط آنتی ویروس نادیده گرفته می شود را در بر می گیرد و یک حفاظت حداکثری برای تهدیدهای USB فراهم می کند. همچنین می تواند ویروسهایی که از قبل بر روی سیستم نصب شده اند را شناسایی و حذف نماید. این برنامه به گونه ای طراحی شده که بدون نیاز به آپدیت سیستم های آنلاین (http://www.p30download.com/) و آفلاین خانه یا اداره را در برابر تهدیدها حفاظت می کند. (http://www.p30download.com/)

قابلیت های کلیدی USB Threat Defender:
- فراهم کردن حداکثر حفاظت در برابر تهدیدهای USB
- استفاده از فناوری پیش گزیده برای شناسایی بدافزارهای ناشناخته
- استفاده از فناوری تعریف شده برای شناسایی بدافزارهای شناخته شده
- توانایی حذف بدافزارهای نصب شده روی سیستم
- تعمیر و بازیابی سلامت سیستم
- آنالیز دقیق سیستم برای شناسایی بد افزارها
- (http://www.p30download.com/) حفاظت بصورت real-time برای شناسایی بدافزارها در مراحل ابتدایی
- قابلیت قرنطینه نمودن برای امکان بازیابی فایلهای آلوده
- بدون نیاز به آپدیت مداوم
- حفاظت از سیستم های آنلاین و آفلاین
- استفاده راحت از محیط گرافیکی برنامه
- اجرا شدن در تمام ویندوزها و ویندوز 7



http://www.p30download.com/images/ico/money.gif قیمت: 39.95 دلار
http://www.p30download.com/images/ico/key.gif پسورد: (http://www.p30download.com/)www.p30download.com (http://www.p30download.com/)
http://www.p30download.com/images/ico/download.gif دانلود - 1.37 مگابایت (http://www.p30share.net/users/531/soft/anti_virus/USB_Threat_Defender_1.0-%5Bp30download.com%5D.zip) | لینک کمکی (http://rapidshare.com/files/286807163/USB_Threat_Defender_1.0-_p30download.com_.zip.html)
http://www.p30download.com/images/ico/pictures.gif تصاویر محیط برنامه (http://www.p30download.com/go.php?u=http://www.arzoosoft.com/utdefender.html)
http://www.p30download.com/images/ico/home.gif سایت سازنده (http://www.p30download.com/go.php?u=http://www.arzoosoft.com/)
http://www.p30download.com/images/ico/undo.gif لینک منبع (http://www.p30download.com/)

http://www.dl.vatandownload.com/software/zz/img/88.9.7/Panda-USB-Vaccine%20copy.jpg

روزانه تعداد ویروس ها و کدهای مخربی که قابلیت اجرا یا انتقال خودکار در رایانه هستند در حال افزایش است. این ویروس ها می توانند از طریق انواع حافظه های جانبی قابل اتصال به رایانه مانند پخش کننده های موسیقی، حافظه های فلش، دوربین های دیجیتال، تلفن های همراه و ... به سیستم های رایانه ای مختلف نفوذ کنند و یا در معرض آلودگی های داخلی آن ها قرار بگیرند.
برای جلوگیری از نفوذ و حذف قابلیت اجرای خودکار این ویروس ها راه های مختلفی وجود دارد که یکی از آنها استفاده از نرم افزار رایگان و کم حجم Panda USBVaccine می باشد که توسط سایتvatandownload به شما معرفی میشود. این برنامه قادر است رایانه یا انواع حافظه جانبی شما را در برابر انتقال خودکار ویروس ها و آلودگی های ناشی از آن محافظت کند. این نرم افزار ابزار مناسبی برای جلوگیری از انتشار ویروس از طریق USB می باشد که دو بخش محافظت از دیسک سخت سیستم و محافظت از حافظه های قابل اتصال به پورت تشکیل شده است.




قابلیت های کلیدی نرم افزار Panda USB Vaccine:
- جلوگیری از انتشار ویروس از راه USB
- مقابله با نفوذ ویروس ها و کدهای مخرب
- افزایش امنیت رایانه
- محافظت از دیسک سخت سیستم
- استفاده ی کاملا رایگان از نرم افزار
- محافظت از حافظه های قابل اتصال به پورت
- پشتیبانی از نسخه های مختلف ویندوز
- و ...

http://www.vatandownload.com/img/sz.gif حجم :695k
http://www.vatandownload.com/img/dl2.gif دانلود نرم افزار:

دانلود با لینک مستقیم (http://www.dl.vatandownload.com/software/zz/88.9.7/Panda-USBVaccine-%5Bvatandownload.com%5D.rar) -لینک کمکی ( رپیدشیر) (http://rapidshare.com/files/313767060/Panda-USBVaccine-_vatandownload.com_.rar)

http://www.vatandownload.com/img/key.gif پسورد فایل فشرده : www.vatandownload.com (http://www.vatandownload.com/)

با سلام
======

بعد از اینکه سیستم ویروسی میشه کلید هایی بر روی رجیستری ویندوز درست میشوند،که بعد از پاک کردن ویروس این کلید ها باقی می مانند، یه کدی طراحی کردم که می تونید رجیستری رو به حالت اولیه برگردونید، فقط کافی این فایل رو اجرا کنیدhttp://www.persiansats.org/forum/images/New%20smilies/83.gif



(http://coder68.persiangig.com/persiansats/RegRepair.zip)

ویروس كظم غیظ (كاظم جون)مثل وبا در كشور ما شیوع پیدا كرد. این ویروس task man وfolder option و رجیستری ویندوز شما را دستكاری و غیر فعال می*كند home page شما را نیز تغییر داده و شما قادر به اصلاح آن نخواهید بود این ویروس به هر وسیله جانبی كه به pc شما وصل شود كپی می*شود و به صورت یك فایل بدون رنگ و مخفی است كه به صورت اتوران اجرا می*شود و این خاصیتش باعث تكثیر آن به سرعت در بین كاربران ایرانی گردیده*است. آنتی*ویروس های موجود در زمان ایجاد این ویروس و تا مدتی بعد از آن قادر به شناسایی این ویروس نبودند در ضمن بعد از آلوده شدن به این ویروس قادر به نصب یا اجرای آنتی ویروس های معروف و قوی موجود بر روی سیستم خود نیستیم. در این حالت در ابتدا تنها راه*حل فرمت كردن كل درایوها بود تا اینكه برنامه*نویسان عزیز به داد ملت رسیده و آنتی كظم*غیظ های متعددی نوشته*اند كه به پاك*سازی سیستم و برگرداندن تغییرات ایجاد شده را انجام می*دهند، كه جای تقدیر و تشكر دارد يك انتي مخصوص اين ويروس مهلك را با حجم كم اماده دانلود كرديم اميد است مورد استفاده شما عزيزان قرار گيرد پيشنهاد ميكنم اگر حتي به اين ويروس گرفتار نشديد اين انتي ويروس رو براي روز مبادا داشته باشيد چون در صورت ويروسي شدن باعث خيلي خرابي ها در سيستم شما ميشود.

اخیرا ویروسها و تروجانهایی شایع شده است که یا Folder Option را حذف میکند و یا باعث میشود فایلهایی که مخفی کرده اید دیگر نمایش داده نشوند و کلا مشکلاتی که اساس آنها Folder Option و مشکلات فایلهای Hidden است بوجود می آید.
حالا از کجاها بفهمیم که کامیپوتر ما ویروس گرفته است:

موقعي که شما وارد My Computer مي شويد و روي درايو هاي آن راست کليک مي کنيد و در اين هنگام يک گزينه با يک زبان نامفهوم را مي بينيد.یا اینکه وقتی روی درایو هایتان دو بار کلیک می کنید محتوای درایو های شما در یک صفحه جدید باز می شود .یا موقع دابل کلیک کردن روی درایو هایتان پنجره Open With باز می شود و به شما می گوید Choose the program you want to use to open this file یا هنگام کلیک بر روی درایو هایتان error به شما داده می شود .گاهی اوقات هم زمانیکه روی درایوهایتان راست کلیک میکنید گزینه ی Auto Run دیده میشود.این موارد نشان میدهد که یعنی سیستم شما ویروسی شده است. این ویروس، ویروس autorun.inf می باشد. نحوه پاک کردن این ویروس را در قسمت پایین توضیح میدهم.همچنين اين ويروس باعث از بين رفتن و پاک شدن Folder Options خواهد شد.و اگر شما گزينه هاي Show hidden files and folders و Hide protected operating system files (Recommended) را مارک دار کنيد با ok کردن پنجره اين گزينه کار نخواهند کرد . و دوباره به حالت اوليه باز خواهند گشت.همچنين اين ويروس باعث غير فعال شدن Task Manageو Registry Editor خواهد شد .اگر شما روي گزينه command prompt يا cmd نيز کليک کنيد يا باز نخواهد شد و پيغام زير را خواهد داد يا اينکه به سرعت باز و بسته خواهد شد .
the command prompt has been disabled by your administrator
راههاي ورود اين ويروس از طريق قطعاتي خواهد بود که از طريق USB با سيستم شما ارتباط دارند . قطعاتي مانند فلش مموري ها ( کولديسک ) ، موبايل ها ، رم ريدر ها و ...

نحوه از ببن بردن ویروس autorun.inf


روش اول :
ابتدا وارد My Computer شوید.بعد از مشاهده لیست درایوها از نوار بالا بروی گزینه Tools کلیک کرده سپس گزینه Folder Options را انتخاب کنیددر پنجره جدید باز شده گزینه View را انتخاب کنید و بروی گزینه Show hidden files and folders کلیک کنید تا دایره آن توپر شود .کمی پایینتر تیک گزینه Hide Protected Operating System Files را بر دارید.حالا ok کنید سپس با راست کلیک کردن و زدن open وارد درایو هایتان شوید(حتما یادتون باشه با راست کلیک کردن و زدن open وارد درایو هایتان شوید اگر دوبار روی درایوی کلیک کنید باز هم ویروس فعال خواهد شد و دوباره همه چیز به حالت اول بر خواهد گشت . پس حتما با راست کلیک کردن و زدن open وارد درایوهایتان شوید(سپس دنبال یک فایل به نام autorun.inf بگرید و ان را پاک کنید برای همه درایو ها این کار را انجام بدید .بعد از این کار بلافاصله بدون هیچ معطلی سیستم خودتون را ریستارت کنید . یادتون نره حتما حتما بدون انجام هیچ کاری سیستم را ریستارت کنید .

روش دوم :
ابتدا با زدن کلید F8 سیستم را در حالت safe mode راه اندازی کنید و سپس از منوی استارت گزینه run را بزنید و سپس داخل ان cmd را تایپ کنید و ok بزنید .
عبارات زیر را یکی یکی نوشته و enter بزنید . این کار را برای تمامی درایو ها انجام دهید .

del x:/autorun.inf \a:h
del x:/autorun.inf \a:r
del x:/autorun.inf \a:s

به جای x باید نام درایوها را بنویسید .

روش سوم :

copy.exe

تروجانی است که گاهی اوقات در تمامی درایو های شما قرار میگیره و با هر بار کلیک بر روی درایو ها فایل autorun.inf فایل این فایل را اجرا می کند.
یکی از روشهای پاک کردن این ویروس این است که ابتدا شما باید پروسه های temp1.exe و temp2.exe رو از بین ببرید . برای این کار ابتدا باید سیستم را به صورت safe mode راه اندازی کنید .
شما نباید روی درایو ها یتان دابل کلیک کنید چون با این کار ویروس autorun.inf که در درایو هایتان قرار دارد باعث فعال شدن پروسه های temp1.exe و temp2.exe می شود.
بعد از راه اندازی سیستم به صورت safe mode شما باید با راست کلیک کردن و زدن گزینه open وارد درایو c ویندوز شده و به پوشه windows و بعد هم پوشه system32 رفته و دو فایل temp1.exe و temp2.exe را حذف کنید.
البته در بعضی از نسخه های ویروس copy.exe ویروس autorun.inf حتی درون پوشه %win% هم وجود داره بنابراین حتما حتما برای ورود به درایوها پوشه ها را با راست کلیک باز کنید.
نکته: قبل از اینکار باید ابتدا این پروسه ها را از Task Manager پاک کنید. برای این کار با زدن کلید های ترکیبی ctrl + alt + delete وارد Task Manager بشید و پروسه های temp1.exe و temp2.exe را از لیست processes با کلیک بر روی انها و زدن end process حذف کنید.
ویروس autorun.inf با هر بار فعال شدن موجب میشود که دو فایل xcopy.exe و host.exe درون همان درایو فعال بشوند و دوباره دو فایل temp1.exe و temp2.exe را بسازند.
شما نباید فایل های xcopy.exe را با فایل های خود windows که درون پوشه ی system32 هستند اشتباه بگیرید.
برای تشخیص ویروس xcopy.exe و فایل xcopy.exe که در پوشه system32 است باید از حجم انها این دو را شناسایی کرد اگر فایل xcopy.exe حجمی معادل 32 کیلو بایت داشت مربوط به خود ویندوز می باشد در غیر این صورت ویروس خواهد بود.
حالا فایلهای سیستمی را مانند روش اول از حالت هایدن خارج کنید و ویروس autorun.inf را پاک کنید و بعد هم به درایوهای خودتون نگاه کنید اگر فایلهایی با عنوان xcopy.exe وhost.exe بودند با خیال راحت پاک کنید.

نحوه پاک کردن ویروس Copy.exe


اسامی دیگر این ویروس host.exe, xcopy.exe, temp1.exe, temp2.exe and svchost.exe,Salga-A worm


این ویروس یکی از خطرناک ترین ویروس ها هست که به عنوان یک پروسه در سیستم شروع به فعالیت و انتشار خودش می کنه و با توجه به اینکه بعضی از انتی ویروسها به صورت نامناسب این ویروس را پاک می کنند باعث نمایش یک پیغام در زمان دابل کلیک کردن روی درایو و یا فولدر در محیط ویندوز می شوند.
برای پاک کردن دستی این کرم شما باید ابتدا همه پروسه هایی که با نام های host.exe, xcopy.exe, temp1.exe, temp2.exe and svchost.exe,Salga-A worm هستند را پیدا کنید و آنها را پاک کنید .

تذکر: مواظب باشید این فایلها را با فایلهای اساسی سیستم عامل اشتباه نگیرید .

مهم :یکی از دلایل اصلی به وجود امدن این مشکل ویروس Autorun.inf هست که شما باید طبق روش هایی که در اموزش گفته ام ان را پاک کنید . این کار را حتما انجام دهید . یعنی حتما باید ابتدا ویروس Autorun.inf را طبق اموزش باید از بین ببرید.
سپس به این آدرس در رجیستری رفته و اگر کلیدی به اسم Copy.exe در زیر منوی MountPoints2 وجود داشت آن را پاک کنید.

HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\MountPoints2



با این برنامه به طور کامل می توانید این ویروس را از بین ببرید .

http://www.securitystronghold.com/download/solutions/TrueSword4.exe (http://www.securitystronghold.com/download/solutions/TrueSword4.exe)

راههای دستی برای از بين بردن ویروسی که Show Hidden Files را غیر فعال می کند:

از Start Menu وارد Run بشيد و در اونجا تايپ کنيد : regedit
وقتي صفحه ي رجيستري باز شد ، از سمت چپ وارد اين مسير بشيد :

HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\Advanced


در اين قسمت ، در ليست متغير هايي که سمت راست وجود دارند ، متغير آبي رنگي (DWORD Value) رو به نام Hidden پيدا کنيد و روی ان دابل کليک کنيد . اگر مقدارش (Value data) به 0 تغيير کرده ، ان را به 1 یا 2 تغییر دهید و OK کنيد. حالا رجيستري را ببنديد و ريستارت کنيد.

مسير زير را دنبال کنيد:


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft


\Windows\CurrentVersion\Explorer\Advanced\Folder\Hi dden<=

اکنون در سمت راست پنجره ي Regedit روي Type دو بار کليک کرده و مقدار آن رو برابر با group قرار دهيد ( يعني در پنجره اي که باز ميشه کلمه ي group رو تايپ کنيد).
با اين کار تونستيد Show Hidden Files از دست رفته را که دیده نمی شد برگردونید .

مسير زير رو دنبال کنيد :

HK LocalMachine\Software\Microsoft\Windows\CurrentVer sion\Explorer\Advanced\Folder\Hidden\SHOWALL

در سمت راست پنجره ي Regedit مقدار CheckedValue رو برابر با 1 قرار بديد.

راههای دستی برای برگرداندن قسمتهای حذف شده از سیستم شما

فعال ساختن ( Registry ( Regedit :


روش اول:
ابتدا وارد منوی start شده و روی گزینه run کلیک کنید و کلمه gpedit.msc را تایپ کنید .
در صفحه Group Policy به مسیر پایین بروید:

User Configuration> Administrative Templates> System

بعد از کلیک نمودن بروی System در سمت راست پنجره Group Policy بالای

Prevent access to registry editing tools

دابل کلیک نموده و در تب Setting گزینه Disable را علامت دار نموده و بالای کلید OK کلیک نمایید اما پنجره Group Policy را نبندید!
حالا Regedit فعال شده است و شما میتوانید واردش شوید.

روش دوم :
مسیر زیر را داخل note pad کپی کرده و سپس با نام Regedit.reg ذخیره کنید و بعد ان را اجرا کنید .


Windows Registry Editor Version 5.00

REG add HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\System /v DisableRegistryTools /t REG_DWORD /d 0 /f

برگرداندن Run :

در صفحه Group Policy به مسیر پایین بروید:

User Configuration> Administrative Templates> Start Menu and Taskbar

بعد از کلیک نمودن بروی Start Menu and Taskbar، در سمت راست پنجره Group Policy بروی گزینه Remove Run menu from Start Menu دابل کلیک نموده و در تب Setting گزینه Disable را علامت دار نمایید. حالا گزینه Run فعال شده است.



*برگرداندن

Folder Option :


برای برگرداندن Folder Option به مسیر زیر در پنجره Group Policy بروید:


User Configuration> Administrative Templates> Windows Components> Windows Explorer

بعد از کلیک نمودن بروی Windows Explorer، در سمت راست پنجره Group Policy بروی Removes the Folder Options menu item from the Tools menu دابل کلیک نموده و از تب Setting گزینه Disable را علامت دار نمایید و بروی کلید OK کلیک نمایید .

فعال کردن task manager

روش اول:
برای فعال ساختن Task Manager در کادر محاوروی Run عبارت Gpedit.msc را تایپ نموده و اینتر کن و سپس به مسیر پایین برو:

User Configuration > Administrative Templates > System

حالا در زیر شاخه System بروی Ctr + Alt + Del کلیک کن و سپس در سمت راست صفحه Group Policy بروی Remove Task Manager دابل کلیک نموده و در تب Setting کزینه Disable را علامت دار کن. بعد از آن بروی کلید OK کلیک نموده و پنجره Group Policy را ببند.

روش دوم :
- مسیر زیر را داخل note pad کپی کرده و سپس با نام task manager.reg ذخیره کنید و بعد ان را اجرا کنید .


Windows Registry Editor Version 5.00

REG add HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\System /v DisableTaskMgr /t REG_DWORD /d 0 /f


- استفاده از برنامه ای که در زیر برای شما معرفی کرده ام.
این برنامه قادر به انجام کارهای زیر می باشد:

۱- از بين بردن ويروس های ravmon.exe و mdm.exe و SCVHOST.exe و SVCHOST.ini
۲- فعال کردن قسمتهاي زير

NoFolderOptions, NoControlPanel, DisableTaskMgr, DisableRegistryTools, DisableCMD

۳- به حالت پيش فرض برگرداندن قسمتهاي زير

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\

CurrentVersion\Explorer\Advanced\Folder\Hidden\NOH IDDEN

]
“CheckedValue”=dword:00000002



[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\

CurrentVersion\Explorer\Advanced\Folder\Hidden\NOH IDDEN

]
“DefaultValue”=dword:00000002



[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\C
urrentVersion\Explorer\Advanced\Folder\Hidden\SHOW ALL]
“CheckedValue”=dword:00000001



[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\

CurrentVersion\Explorer\Advanced\Folder\Hidden\SHO WALL

]
“DefaultValue”=dword:00000002



http://javedkhalil.com/techBlog/wp-c...on-removal.rar (http://javedkhalil.com/techBlog/wp-content/uploads/2007/11/ravmon-removal.rar)
بعد از اجرا کردن برنامه سیستم خود را ریستارت کنید .

*پاک کردن برنامه ی مخربی که پوشه ها را مخفی ( Super Hidden ) می کند:
نام دقیق این برنامه ی مخرب Trojan.Win32.Delf.aam است.
با زبان برنامه نویسی Borland Delphi نوشته شده.
این برنامه ی مخرب تمام پوشه های Open شده توسط قربانی را Super Hidden می کند و یک نسخه از خودش را با همان نام در همان مـسـیـر کـپـی می کـنـد کـه اگـر طرف آن را اجرا کـنـد هم Malware اجرا می شـود و هم محـتـوی پوشـه ی Super Hidden نمایـش داده می شود !!
یعنی اگه طرف مبتدی باشه به زودی متوجه نمیشه که چه بلایی داره سر پوشه هاش میاد !
هــمــانــطـــور کـه می دانـیــد برای آشـکار کـردن فایـل ها و پوشـه های Super Hidden باید ابتدا در Folder Options\View روی گزینه ی Show hidden files and folders کلیک کنید و پس از آن تیک گزینه ی (Hide protected operating system files (Recommended را بردارید و به پیغام امنیتی پاسخ مثبت و شستی OK را فشار دهید .
این Malware به کاربر اجازه ی آشکار کردن پوشه ها و فایل های Super Hidden را نمی دهد !
ضمنا Registry Tools ، Windows Task Manager و Folder Options را Disable نمی کند .
پر واضح است که این برنامه ی مخرب از آشکار کردن پسوند فایل ها هم جلوگیری می کنه !
برای پاک کردن این ویروس می توانید از برنامه ای که نوشتم استفاده کنید.


http://feng1.persiangig.com/Programs...0T.Delf.aam.7z (http://feng1.persiangig.com/Programs/Anti%20T.Delf.aam.7z)

*نحوه پاک کردن ویروس

W32/Saldost



این بد افزار اینترنتی پس از اجرای فایل آن بر روی سیستم كاربر، ابتدا خودش را بر روی سیستم كپی می*كند و سپس با تغییر دادن كلیدهایی در رجیستری باعث بروز مشكلاتی از جمله باز نشدن ‪ Folder Option‬و مخفی نگه داشتن فایل*های مخفی می*شود.
از جمله كارهای دیگر این ویروس این است كه خودش را در ریشه همه درایوها با نام ‪ autoply.exe‬كپی كرده و در كنار آن فایلی با نام ‪ Autorun.inf‬ایجاد می*كند.
این عمل باعث می*شود كه هر گاه كاربر بخواهد به هر شكلی وارد هر درایوی شود، فایل مربوط به كرم اجرا گردد.
نوع ‪ Autorun‬ایجاد شده به گونه*ای است كه اگر فایل ‪ autoply.exe‬كه خود كرم است از روی سیستم پاك شده ولی فایل ‪ Autorun.inf‬باقی بماند، با دوبار كلیك كردن بر روی نام درایو پنجره ‪ Open with‬نمایش داده می*شود و كاربر نمی*تواند وارد درایو شود. در این حالت با كلیك راست نمودن بر روی نام درایو و انتخاب گزینه open‬ نیز نمی*توان وارد درایو شد.

این کرم اینترنتی ایرانی بوده که توسط ضدویروس ایمن شناسایی و پاکسازی می شود و پس از اجرای فایل ﺁن بر روی سیستم کاربر، ابتدا خودش را به صورت زیر بر روی سیستم کپی می نماید:
%TEMP%\svchost.exe


%PROGRAMFILES%\Sound Utility\Soundmax.exe


%PROGRAMFILES%\Common Files\Microsoft Shared\MSshare.exe


%WINDIR%\Web\OfficeUpdate.exe



سپس فایل خود با نام svchost.exe در مسیر %TEMP% را اجرا کرده و برای این که با هر بار راه اندازی سیستم ﺁلوده به طور خود کار اجرا گردد، خود را به شکل زیر در رجیستری ثبت می نماید:


HKLM\SOFTWARE\Microsoft\Windows\CurrentVe rsion\Run
SoundMax = %PROGRAMFILES%\Sound Utility\Soundmax.exe


سپس کلیدهای در رجیستری را به شکل زیر تغییر می دهد:


HKCU\Software\Microsoft\Windows\Curr entVersion\Explorer\Advanced
Hidden =

۲

HideFileExt =

۲

ShowSuperHidde n =

۲


HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\Explorer
Nof olderoptions =

۲


HKLM\Software\Microsoft\Windows\CurrentVersion\Pol icies\E xplorer
Nofolderoptions =

۱


HKLM\SOFTWARE\Policies\Microsoft\Windows NT\ SystemRestore
DisableConfig =

۱

DisableSR =

۱

تغییرات فوق باعث بروز مشکلاتی از جمله باز نشدن FolderOption و مخفی نگه داشتن فایلهای مخفی می گردد که برای برطرف کردن این مشکلات می توانید برنامه زیر را از سایت ایمن دانلود کرده و ر جیستری خود را پاکسازی نمایید:


http://www.imenantivirus.com/RegRepair.zip


همچنین کلید IsShortCut را از مسیرهای زیر در رجیستری پاک می کند:

HKEY_CLASSES_ROOT\lnkfile


HKEY_CLASSES_ROOT\piffile


HKEY_CLASSES_ROOT\InternetShortcut


و کلیدی با نام Wintek در مسیر زیر ایجاد می کند:

HKEY_CURRENT_USER\Software

\
و کلید زیر را در ﺁن ایجاد می نماید:

Install = b

۲ed۳ (Dword - Value i s in hex)

بعد از انجام کارهای فوق تمام برنامه های موجود در زمانبند ویندوز (دستور at) را پا ک کرده و با استفاده از زمانبند ویندوز فایل خود را که با نام OfficeUpdate.exe در مسیر WINDIR%\Web% وجود دارد هر روز در ساعات ۱۱:۳۰ و ۲۰:۳۰ اجرا می نماید.

یکی دیگر از کارهای این کرم این است که خود را در مسیرهای زیر با نام های فریبنده کپی می کند و از ﺁنجایی که برخی از این مسیرها مخصوص برنامه ها ی شبکه های اشتراک گذاری فایل (یا P۲P) هستند، با این کار امکان انتشار ﺁن در سراسر دنیا از طریق اینگونه برنامه ها فراهم می گردد:

%PROGRAMFILES%\Kazaa Lite \My Shared Folder\
%PROGRAMFILES%\Kazaa\My Shared Folder\
%PROGRAMFILES%\I cq\Shared Files\
%PROGRAMFILES%\emule\incoming\
%PROGRAMFILES%\Gnucleus\Do wnloads\Incoming\
%PROGRAMFILES%\KMD\My Shared Folder\
%PROGRAMFILES%\Lime wire\Shared\
%PROGRAMFILES%\XPCode\

C:\Inetpub\ftproot

\
به علاوه در مسیرهایی که در ﺁنها فایل های از نوع MP۳ ، JPG یا EXE وجود داشته باشد، خود را با نام zfile.exe کپی می کند. همچنین خود را با نام setup.exe و setlib.exe در مسیرهای زیر کپی می کند:
\WINDOWS\system۳۲\config\systemprofile\My Documents\

\WINDOWS\system۳۲\config\systemprofile\Start Menu\Programs\

\WINDOWS\system۳۲\config\systemprofile\Start Menu\Programs\Accessories\

\WINDOWS\system۳۲\ config\systemprofile\Start Menu\Programs\Accessories\Entertainment\


WINDOWS\system

۳۲\config\systemprofile\Start Menu\Programs\Startup\…

\WINDOWS\system۳۲\drivers\

\WINDOWS\system۳۲\spool\drivers\

\WINDOWS\system۳۲\spool\drivers\w۳۲×۸۶\۳\

اين كرم برای اينكه بتواند خود را درون شبكه تكثير كند، كامپيوترهای موجود در آن را جستجو كرده و با استفاده از درايوهای به اشتراك گذاشته شده، سعی می*كند خودش را به شكل زير بر روی آن سيستم*ها كپی كند:


C:\Documents and Settings\All Users\Start Menu\Programs\Startup\AdobeUpdate.exe


اين كار باعث می*شود كه پس از راه*اندازی آن سيستم*ها، ويروس به طور خودكار اجرا شده و عمليات تكثيری خود را بر روی آنها انجام دهد.
از جمله كارهای جالب اين ويروس اين است كه خودش را در ريشه همه درايوها با نام autoply.exe كپی كرده و در كنار آن فايلی با نام Autorun.inf ايجاد می*كند.

اين عمل باعث می*شود كه هر گاه كاربر بخواهد به هر شکلی وارد هر درايوی شود، فايل مربوط به كرم اجرا گردد.
نوع Autorun ايجاد شده به گونه*ايست كه اگر فايل autoply.exe كه خود كرم است از روی سيستم پاك شده ولی فايل Autorun.inf باقی بماند، با دوبار كليك كردن بر روی نام درايو پنجره Open with نمايش داده می*شود و كاربر نمی*تواند وارد درايو شود. در اين حالت با كليك راست نمودن بر روی نام درايو و انتخاب گزينه Open نيز نمی*توان وارد درايو شد. برای برطرف نمودن اين مشكل بايستی فايل زير را از روی سايت ايمن دانلود نموده و آن را بر روی سيستم خود اجرا نماييد:


http://www.imenantivirus.com/NoAutorun.zip


اين كرم فايلی با نام Important.htm را در مسيرهای زير بر روی سيستم كاربر کپی می*نمايد كه حاوی جملاتی به زبان فارسی است:
%USERPROFILE%\Desktop\
%USERPROFILE%\My Documents\
یکی از نشانه*های ویروس به نمايش درآوردن نواری زرد رنگ در بالای صفحه همراه با جملاتی فارسی با رنگ قرمز است

مرسی از شما محمد رضا جان !!!

اصطلاح «كظم غيظ» يعني خودداري از اظهار خشم و نگه داشتن آن در دل است. چرا کاظم جون به کار بردی؟
این ویروس متعلق به یک جوان ایریانی است که برای بالا بردن آمار بازدید کنندگان سایت تجاری خود اقدام به نوشتن آن کرده بود.

اصطلاح «كظم غيظ» يعني خودداري از اظهار خشم و نگه داشتن آن در دل است. چرا کاظم جون به کار بردی؟
این ویروس متعلق به یک جوان ایریانی است که برای بالا بردن آمار بازدید کنندگان سایت تجاری خود اقدام به نوشتن آن کرده بود.
با تشکر از شما!
این اصطلاح رو من نمیگم ،توی دنیای نت به این نام مشهوره!!!!!!!
در مورد میروس هم ، یه سری شعار بالای دسکتاپ مینویسه! خبری از سایت تجاری نی!!!!!!!
موفق باشید:گل رز:

نسخه جدید آزمایشی آنتی ویروس محبوب .ESET NOD32 Antivirus 5.0.65.0 Beta
http://www.mihansoftware.com/uploads/1305233889_nod32-antivirus-beta5.jpg

NOD32 آنتی ویروسی قدرتمند، محصولی از کمپانی Eset است که از سیستم قدرتمندی برخوردار بوده که نهایت سعی خود را برای جلوگیری از نفوذ ویروس ها به رایانه شما میکند. شرکت Eset، این محصول را بیشتر برای کاربران حرفه ای در نظر گرفته است، در واقع این نرم افزار برای کاربرانی که قصد دارند مسائل حفاظتی رایانه خود را تا بالاترین سطح ممکن تنظیم کنند ایده آل است.Nod32 از روش های مختلفی برای تشخیص ویروس ها استفاده میکند و عمدتاً بر پایه دو روش اکتشافی (heuristic) (یعنی پیش بینی هوشمندانه نسبت به فایل هایی مشکوک به آلودگی هستند) و تشخیص امضاء کار میکند، این امضاء ها به صورت خودکار در قالب فایل های نسبتاً کوچک به سرعت از اینترنت دریافت شده و برنامه را در کمترین زمان ممکن (حتی برای کاربران DialUp) به روز رسانی میکند. زیبایی این برنامه بیشتر در این امر است که توانسته کارایی عالی را با حجم کوچک و ساختار ساده و بدون کمترین اختلال، در هم آمیزد. Nod32 برای آن دسته از کاربرانی که از نصب نرم افزار های امنیتی بزرگ (که عملا از قدرت و کارایی سیستم می کاهند و کاربر را سوال پیچ میکنند) خسته شده اند، انتخابی ایده آل است، چراکه این برنامه کار خود را به آرامی در پس زمینه سیستم انجام داده و هیچ مزاحمتی برای شما ایجاد نخواهد کرد. این برنامه قادر است تک تک درایو ها یا پوشه های انتخابی شما را ویروس یابی کرده و حتی در حین مرور اطلاعات کامپیوتر، در صورت مواجه شدن با ویروس، این موضوع را بصورت خودکار به اطلاع شما برساند.


قابلیت های کلیدی نرم افزار ESET NOD32 Antivirus 5.0.65.0 Beta:
- چک کردن کد ها برای پیدا کردن برنامه های مخرب مانند ویروس ها، برنامه های جاسوسی و …
- جستجو کننده ای بی نظیر و هوشمند برای پیدا کردن File هایی که مشکوک به آلودگی های جدید و ناشناخته هستند
- محافظت از تمام راههای نفوذ ویروس ها به سیستم شامل : SMTP، POP3، HTTP و all local و removable media
- جلوگیری از اجرا و انتشار File های آلوده به ویروس
- توانایی پاک کردن برنامه های مخرب فعال در حافظه
- پاک کردن آلودگی از File هایی که فقط خواندنی هستند. (مانند File های DLL در حال اجرا)
- اجرای خودکار در هنگام بالا آمدن ویندوز
- آپدیت ساعتی آنتی ویروس و کم حجم بودن حجم آپدیت های دانلود شده (مناسب برای سرعت های پایین)
- پشتیبانی از ویندوز ویستا و سون

دانلود NOD32 Antivirus 5.0.65.0 x64bit
http://www.dl.mihansoftware.com/IMG/Web_Post/Download.gif دانلود برنامه لینک مستقیم - 48.4 مگابایت (http://www.dl.mihansoftware.com/SoftWare/Security/Anti_Virus/Nod32/Eset%20Nod32%20Antivirus/Beta/NOD32_Antivirus_5.0.65.0.x64bit_www.MihanSoftware.com.zip) | لینک کمکی (https://rapidshare.com/files/2556293005/NOD32_Antivirus_5.0.65.0.x64bit_www.MihanSoftware.com.zip) | لینک کمکی (http://hotfile.com/dl/117723537/67a59d0/NOD32_Antivirus_5.0.65.0.x64bit_www.MihanSoftware.com.zip.html)
http://www.dl.mihansoftware.com/IMG/Web_Post/lock.gif پسورد فایل: www.mihansoftware.com (http://www.mihansoftware.com)