نام سايت

تبلیغات

اموزش شناسایی و حذف ویروسها و تروجانهای متداول و مشکل ساز کامپیوتر

شناسایی و حذف ویروس / تروجان soundmix.exe

هنگامی که کامپیوتر شما به این ویروس آلوده شود دیگر نخواهید توانست فایل های پنهان شده تان (Hidden) را ببینید.منوی Folder Option باز می شود اما گزینه Show Hidden files and folder کار نمی کند.خود ویروس هم که در پوشه System32 ویندوزتان هم قرار دارد خود را مخفی کرده است.پس از گسترش ، ویروس مانع دسترسی شما به تنظیمات رجیستری (از طریق regedit ) می شود.با رشد ویروس ، سرعت ویندوز کندتر و کندتر می شود.عمده ترین راه گسترش این ویروس ، از طریق حافظه های قابل حمل (FlashMemory،Mp3 Player و …) است.در نتیجه قبل از اتصال این وسایل به کامپیوتر از عاری از ویروس بودن آنها مطمئن شوید.

 

ساده ترین روش ممکن برای حل این مشکل ایجاد یک فایل متنی بوسیله notepad بدون محتوا و با نام stop.txt درون شاخه اصلی درایو C کامپیوترتان میباشد.این روش فقط مانع گسترش تروجان شده و اثرات آن را از بین نمیبرد.

 

آنتی ویروسهایی مانند nod32و bitdefender و kasperskyقادر به پاک کردن تروجان هستند ولی به محض پاک شدن دیگر نخواهید توانست برنامه های خود را اجرا کنید و با پیغام open with ویندوز مواجه خواهید شد که دلیل آن هم ایجاد یک کلید در رجیستری ویندوز است که باعث می شود همراه با اجرای هر برنامه اجرایی این تروجان نیز اجرا گردد :
HKEY_CLASSES_ROOT\exefile\shell\open\command

اگر از برنامه های آنتی ویروس برای پاک کردن این تروجان استفاده می کنید کافیست بعد از اتمام کار اسکن و اطمینان از ایمن بودن کامپیوتر آنتی تروجانی مانند trojan remover را بر روی کامپیوتر نصب کنید تا شاخه های رجیستری ساخته شده در ویندوز را پاک نماید.(در صورت آلودگی گسترش یافته در هنگام نصب برنامه و یا هنگام به اجرا در آوردن برنامه ها همانطور که گفته شد با پنجره open with مواجه خواهید شد که برای رهایی از دست این پنجره این پیغام را تایید کرده و به مسیری که فایل اجرایی برنامه مورد نظر قرار دارد رفته و آن را انتخاب می کنیم تا برنامه اجرا شود به عنوان مثال برای اجرای برنامه ای مانند مدیا پلیر ویندوز به آدرس :C:\Program Files\Windows MediaPlayer\Wmplayer

 

مراجعه می کنیم.

 

و دوستانی که حوصله انجام این کار ا ندارند و به اینتر نت هم دسترسی دارند می توانند این فایل را دانلود کرده و اجرا کنند تا مشکل برطرف شود.و یا متن زیر را به دقت درون یک فایل notepad کپی کرده و با پسوند reg ذخیره می کنیم و بعد اجرا می کنیم:

REGEDIT4

 

[-HKEY_CLASSES_ROOT\.

[HKEY_CLASSES_ROOT\.
@=”exefile”
“Content Type”=”application/x-msdownload”

[HKEY_CLASSES_ROOT\.exe\
@=”{۰۹۸f2470-bae0-11cd-b579-08002b30bfeb}”

[-HKEY_CLASSES_ROOT\

[HKEY_CLASSES_ROOT\
@=”Application”
“EditFlags”=hex:38,07,00,00
“TileInfo”=”prop:FileDescription;Company;FileVersion”
“InfoTip”=”prop:FileDescription;Company;FileVersion;Create;Size”

[HKEY_CLASSES_ROOT\exefile\
@=”%۱″

[HKEY_CLASSES_ROOT\exefile\

[HKEY_CLASSES_ROOT\exefile\shell\
“EditFlags”=hex:00,00,00,00

[HKEY_CLASSES_ROOT\exefile\shell\open\
@=”\”%۱\” %*”

[HKEY_CLASSES_ROOT\exefile\shell\

[HKEY_CLASSES_ROOT\exefile\shell\runas\
@=”\”%۱\” %*”

[HKEY_CLASSES_ROOT\exefile\

[HKEY_CLASSES_ROOT\exefile\shellex\
@=”{۸۶C86720-42A0-1069-A2E8-08002B30309D}”

[HKEY_CLASSES_ROOT\exefile\shellex\

[HKEY_CLASSES_ROOT\exefile\shellex\PropertySheetHandlers\
@=”{۸۶F19A00-42A0-1069-A2E9-08002B30309D}”

[HKEY_CLASSES_ROOT\exefile\shellex\PropertySheetHandlers\ShimLayer Property
@=”{۵۱۳D916F-2A8E-4F51-AEAB-0CBC76FB1AF8}”

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\
“CheckedValue”=dword:00000001

 

 ———————————————————————————-

حذف ویروس kernel.vbs و اصلاح و بازیابی فایلهای HTML

 ———————————————————————————-

این ویروس قابلیت انتشار بسیار بالایی دارد و به راحتی از طریق یک برنامه اسکریپ تکثیر میشود. راه انتقال آن معمولا فایل های html که درون یک سایت قرار داده شده و آدرس آن از طریق برنامه یاهو مسنجر منتشر میشود.

 

 این کرم کلیه فایل های وب شما مانند HTML, HTM, HTT  را آلوده می کند و با هر بار اتصال شما به اینترنت و لوگین کردن در برنامه  Yahoo Messenger یاهو مسنجر،   لیست دوستان شما را استخراج می کند و خودش را به تمام آنها منتقل می کند. انتقال زمانی کامل میشود که دوستان شما لینک اینترنتی ناخواسته شما را که بدون دخالت شما از طریق مسنجر ارسال شده را مشاهده کنند و یا بعبارتی بر روی آن تنها کلیک کنند.
 

این برنامه یک کد اسکریپت به تمام فایل های از نوع html آن ضمیمه میکند و معمولا به همراه مشکلاتی کار کردن با کامپیوتر را مختل میکند. مخصوصا هنگام کار با visual studio .net بدلیل تخریب فایل های html آن موجب می شود که پیغام های خطای گوناگونی ظاهر شود.
افرادی که طراح صفحات وب هستند با این ویروس همچنان مشکل دارند و بسیاری از فایل هایشان با این ویروس خطرناک تخریب شده است و قابل بار گذاری نیست.
 همواره هر html دو فایل kernel.vbs  و TSP32v.dll را در دایرکتوری ویندوز سیستم ۳۲ کپی می کند و مسیر اجرای آن را در رجیستری ثبت می کند تا با هر بار بالا آمدن سیستم، ویروس با سرعت بیشتر گسترده تر شود و سیستم شما آلوده تر گردد.
 

تا کنون که این مطالب را می نویسم، برنامه ای بر روی اینترنت پیدا نکردم که آن را پاک کند و یا فایل های تخریب شده را بازیابی کند.
در نهایت با توجه به بروز مشکلات زیادی که بر روی کامپیوترم بوجود آمد، برنامه ای نوشتم تا این کرم مزاحم را از روی سیستم حذف کند و تمامی فایل های آلوده را اصلاح کند. نام آن FASIX است. 

توجه : پس از اجرای برنامه، ابتدا درایو c را انتخاب کنبد و دکمه جستجو را بزنید. حداقل ۵ دقیقه زمان نیاز است تا برنامه درایو هارد شما را جستجو کند و فایل های مورد نظر را انتخاب کند، لذا صبور باشید. پس از این مرحله دکمه remove infected files را کلیک کنید تا برنامه فایل های آلوده را شناسایی و اصلاح کند. این کار را برای سایر درایوها جداگانه انجام دهید.
 

لینک دانلود.

 

Download Anti worm kernel.vbs
 

By this program, you are able to remove any kernel.vbs worms and virus on your computer.this simple program, will repair any infected kernel.vbs html, htm or htt file on you computer.
 

I wrote this program in Borland Delphi 7.
after running program, please select c:\ drive and then push search button. be patient. after near 5 min, all probable infected file will index. now, push the repair infected file button

 ——————————————————————–

حذف ویروس ویروس Win32/PSW.Agent.NDP

 ———————————————————————

این ویروس باعث غیرفعال شدن گزینه show hidden files and folders در folder option می شود و باعث عدم نمایش فایلهای مخفی می شود و اجازه نمی دهد کاربرها فایلهای مخفی را از حالت مخفی بیرون بیاورند .

این ویروس با دستکاری رجیستری ویندوز باعث می شد که شما نتونید تنظیمات hidden file and folder را تغییر دهید .
به محض تغییر دادن این قسمت و خارج شدن از ان تنظیمات به حالت پیش فرض خود برمیگردند .
البته این ویروس خرابکاریهای دیگری هم انجام می دهد اول اینکه داخل تمام درایوهای شما یه فایل autorun.inf می سازد که درایوهای هارد شما را autorun می کند .

دوم اینکه دوباره داخل تمام درایوها یک فایل به نام ntde1ect می سازد که شما به محض اینکه فلاپی وارد سیستم کنید یا فلش یا mp3 pleyer را به کامپیوتر متصل کنید یک کپی از خودش به صورت hidden وارد دستگاه شما یا فلاپی شما می کند که شما متوجه ان نمی شوید .

البته فایل ntde1ect خیلی شبیه فایل ntdetect هست که داخل درایو C وجود دارد و برای بالا امدن ویندوز ضروری می باشد .
مواظب باشید این دو فایل را اشتباه نگیرید .
سوم اینکه با اجرای فایل avpo.exe به شما اجازه نمیدهد که فلش یا mp3 pleyer یا هر چیز دیگه رو از پورت USB ، safe remove کنید .

نحوه پاک کردن ویروس Win32/PSW.Agent.NDP

در حالت safe mode وارد ویندوز شوید . ( با زدن دکمه F8 قبل از بالا آمدن ویندوز حالت safe mode را انتخاب کنید )

پنجره Task Manager را باز کنید (Ctrl-Alt-Delete) و برنامه های زیر را در صورت اجرا ببندید .
wscript.exe : اگر در حال اجرا بود آن را ببندید (End process)
avpo.exe : اگر در حال اجرا بود آن را ببندید (End process)

از قسمت start برنامه Run را اجرا کنید و در عبارت cmd را در آن تایپ کنید و enter را بزنید .
در این قسمت در خط فرمان برنامه ، دستور زیر زیر را تایپ کنید و enter را بزنید .

del c:\autorun.* /f /a /s /q
این دستور را برای درایوهای دیگر اجرا کنید . با این دستور تمام فایلهایautorun موجود delete می شود .

در این مرحله در خط فرمان c:\ دستور زیر را تایپ کنید تا وارد پوشه system32 شوید :

C:\cd windows\system32
C:\windows\system32

در ادامه دستور زیر را تایپ کنید و آنرا اجرا کنید .

*.*dir /a avp

در این قسمت هر فایلی به نامهای avp0.dll و avpo.exe و avp0.exe دیده شد آنرا پاک کنید .
attrib -r -s -h avpo.exe
del avpo.exe

بعد از این مراحل تمام پنجره ها رو ببندید و برنامه registry را اجرا کنید :

(Run \regedit)
مسیر زیر را دنبال کنید :
HKEY_CURRENT_USER \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run
در این قسمت هر کلیدی که به نام avpo.exe بود را delete کنید .

در برنامه registry قسمت edit گزینه Findرا کلیک کنید و عبارت ntde1ect را جستجو کنید. تمام کلیدهای پیدا شده را delete کنید .
این کار را برای فایل avpo.exe نیز انجام دهید و تمام کلیدهای پیدا شده راdelete کنید .

در آخر کار سراغ کلید زیر بروید و مقدار CheckedValue را برابر ۱ قرار دهید .

HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion
Explorer/Advanced/Folder/Hidden/SHOWALL

 ————————————————————————

مشکل باز نشدن درایو و نمایش پنجره Open With

 ————————————————————————-

برخی موارد ممکن است با این مشکل مواجه شده باشید  که وقتی بر روی درایوی دابل کلیک میکنید ، آن درایو باز نمی شود و پنجره ای با عنوان Open With  به شما نمایش داده میشود .

مشکل چیست ؟ و از کجا ناشی میشود ؟

این اتفاق معمولا بعد از ویروس یابی های شما رخ میدهد .

دلیل این امر این است که در ریشه درایوی که میخواهید آنرا باز کنید یک فایل متنی به نام Autorun.inf  وجود دارد همانطور که میدانید و ظیفه این فایل اجرای اتوماتیک یک سری دستورات مشخص است .

بسیاری از ویروس ها از این روش برای اجرای اوتوماتیک خود بر روی کامپیوتر قربانی استفاده میکنند به اینصورت که مسیر اجرای فایل اصلی ویروس را درون فایل Autorun.inf   قرار میدهند . با اینکار هر بار که شما بر روی درایو مربوطه کلیک کنید درحقیقت ( پشت پرده ) باعث اجرای ویروس میشوید .

برخی از آنتی ویروسها پس از شناسایی ویروس ،  فایل Autorun.inf ای که به ویروس اشاره میکند را تشخیص نداده و به حال خود رها میکنند . بنابراین مسیر اجرای ویروس پس از پاک شدن آن از بین خواهد رفت یعنی وقتی بر روی درایو  خود کلیلک میکنید فایل Autorun.inf میخواهد ویروس را اجرا کند درحالی که چنین فایلی و چنین مسیری دیگر وجود ندارد و قبلا توسط ویروس یاب پاک شده است . در این هنگام است که شما با پنجره Open With مواجه میشوید .

 

راه حل :

برای اینکه بتوانید وارد درایو مربوطه شوید میتوانید بجای دابل کلیک کردن بر روی نام درایو ، اسم درایو را به همراه علامت ” : ” در نوار آدرس تایپ کنید . مثال

 C:

اما این کار به درد نمیخورد چون هر بار که میخواهید وارد درایو شوید باید از طرق منوی آدرس این دستور را اجرا کنید .

برای رهایی از این مشکل بصورت اساسی کافی  است مراحل زیر را دنبال کنید :

در منوی Start  گزینه Run  را انتخاب کنید

سپس دستور CMD را تایپ کرده و با زدن کلید Enter  آنرا اجرا کنید

حالا فرض میکنیم درایو D  را میخواهیم از فایل Autorun.inf پاک کنیم

دستور زیر را تایپ کرده و با زدن کلید  Enterآنرا اجرا کنید

del D:\autorun.* /f /a /s /q

 ——————————————————————————————–

آموزش حذف ویروس یاهو مسنجر Exploit.JS.ADODB.Stream.e

 ——————————————————————————————–

یکی از قوی ترین و شایع ترین ویروس / تروجان هایی که اخیرا در حال گسترش بین کاربران استفاده کننده از یاهو مسنجر می باشد ویروس ” Exploit.JS.ADODB.Stream.e ” است .

در صورتیکه کامپیوتر شما نیز به این ویروس آلوده شده باشد بدون آنکه متوجه شوید به لیست دوستانتان پیغامهایی مبنی بر بازدید از سایت nsl-school.org ارسال می شود . بدین ترتیب در صورت کلیک بر روی این لینکها دوستان شما نیز آلوده خواهند شد .

هنوز مشخص نیست سازنده این ویروس چه کسی است و این احتمال داده می شود که ویروس مذکور به سرقت اطلاعات و رمزهای شخصی افراد می پردازد . در صورتیکه شما و یا یکی از دوستانتان به این ویروس آلوده شده شده اید روش زیر مناسب ترین گزینه برای از بین بردن آن است :

پیام و لینک هایی که این ویروس ارسال می کند چیست ؟
در متن تمامی این پیغام ها لینکی به سایت Nsl-school.org داده شده است که در صورت کلیک کردن بر روی آن کامپیوتر شما آلوده می شود .

در صورتیکه به ویروس آلوده شوید چه مشکلاتی پیش خواهد آمد ؟
در ابتدا ویروس صفحه شخصی اینترنت اکسپلورر (Default IE Page) را به سایت nsl-school.org تغییر می دهد . در این صورت به هیچ طریق امکان عوض کردن آن وجود نخواهد داشت . بعد از هر باز باز کردن یک صفحه وب جدید ، ویروس مجددآ خود را در سیستم شما کپی می کند .

گزینه های Task Manager و Reg Edit در کامپیوتر غیر فعال می شوند تا شخص نتواند از این طریق فعالیت ویروس را مشاهده و یا از بین ببرد .

فایل هایی با نامهای svhost.exe , svhost32.exe , internat.exe در کامپیوتر ایجاد می شوند . ( برای اطمینان پوشه های windows و temp را بررسی کنید . )

ویروس بدون آنکه متوجه شوید پیغام هایی را به لیست دوستان شما ( Yahoo Messenger ID List ) ارسال می کند .

چگونه ویروس را از کامپیوتر خود پاک کنیم ؟

مرورگر اینترنت اکسپلورر را ببندید . از یاهو مسنجر خارج شوید . اتصال اینترنت را قطع کنید .

جهت فعال کردن Reg Edit دکمه های Start > Run را کلیک کنید و در کادر مربوطه عیناً عبارت زیر را وارد کنید و در نهایت کلید Enter را کلیک کنید .

REG add HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableRegistryTools /t REG_DWORD /d 0 /f

جهت فعال کردن Task Manager دکمه های Start > Run را کلیک کنید و در کادر مربوطه عیناً عبارت زیر را وارد کنید و در نهایت کلید Enter را کلیک کنید .

REG add HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableTaskMgr /t REG_DWORD /d 0 /f

اکنون نیاز به آن داریم که صفحه نخست مرورگر خود را به حالت قبل برگردانیم . دکمه های Start > Run را کلیک کنید و در کادر مربوطه عبارت Regedit را وارد کنید . و در نهایت کلید Enter را کلیک کنید . میسرهای زیر را با دقت پیدا نموده و در آنها وارد شوید . اکنون تمام لینک هایی را که به سایت ویروس یعنی (nsl-school.org) وجود دارند تغییر داده و بجای آنها سایت مورد نظر خود مثلاً گوگل ( google.com ) را وارد کنید .

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main

HKEY_ LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main

HKEY_USERS\Default\Software\Microsoft\Internet Explorer\Main

اکنون نیاز به آن داریم که فعالیت ویروس را متوقف کنیم . دکمه های Ctrl + Alt + Del را فشار دهید . در لیست برنامه های فعال تمامی فایل های svhost32.exe را یافته و آنها را End Task نمایید .

از طریق جستجو و یا وارد شدن به پوشه های Windows و temp فایل های svhost32.exe و svhost.exe را یافته و حذف نمایید .

مجددآ به قسمت Start menu > Run > Regedit باز گردید . از طریق جستجو به دنبال عبارت svhost بگردید و تمام موارد یافت شده را حذف نمایید .

کامپیوتر خود را ریست نمایید . و تمام

 —————————————————————————————————————————

حذف Trojan.Win32.Hider.i   تروجان / اسب تروا یا به قول عام ویروسی که تمام پوشه ها را مخفی می کند

 ————————————————————————————————–

عناوین دیگر :

Trojan.Win32.Hider.i (Kaspersky Internet Security or Antivirus)
Generic.dx (McAfee)
W32.SillyFDC (Symantec)
 TR/Hider.I.12 (Avira)
Troj/Hider-O (Sophos)
 Trojan:Win32/Hider.gen (Microsoft)

سیستمهای در معرض آسیب :

 Windows 2000, XP, Server 2003

توضیحات مختصر :

مخفی  و سیستمی کردن کلیه پوشه ها
کپی خود در تمام پوشه هایی که کاربر وارد آنها می شود یا آنها را مرور می کند .
تنظیم عدم نمایش فایلهای مخفی سیستمی و پسوند فایلها
تغییرات در رجیستری

شیوه آلودگی :
این ویروس از طریق مراجعه و ویزیت سایتهای آلوده  و همچنین دانلود کرکها و فایلهای مشکوک به سیستم کاربران وارد می شود .

 عملکرد تروجان هایدر :
این ویروس با ترفند بسیار جالبی ابتدا با استفاده از تنظیم خصوصیات سیستمی ، تمام پوشه هایی که کاربر بر روی آن کلیک می کند را ، بصورت سیستمی مخفی می کند و سپس خودش را با اسامی همنام آن پوشه ها ایجاد می کند که آیکن آنها به شکل پوشه است و هنگامی که کاربر روی آنها دابل کلیک می کند با پوشه خالی مواجه می شود و گمان می کند پوشه های وی حذف شده است .
درواقع بسیاری از کابران به محض آلوده سدن به این ویروس اظهار میدارند که ویروس تمام محتویات پوشه های آنها را حذف کرده است و بسیاری نیز به فکر ریکاوری سیستم خود می افتند !
این ویروس همچنین خاصیت نمایش پسوند فایلها را غیرفعال می کند تا کپی هایی که از خود ایجاد کرده و پسوند Exe دارند قابل شناسایی نباشد و از آنجا که با دستکاری رجیستری آیکان فایلهای کاربردی و Exe را به شکل فولدر تغییر می دهد ، خود را همانند پوشه خالی نمایش می دهد .
این تروجان خود را در رجیستری به صورت اتواستارت قرار می دهد و با هربار اجرای ویندوز مجددا اجرا می شود .

 

فایل اصلی این ویروس ISASS.EXE نام دارد که در شاخه اصلی ویندوز و در پوشه System32  ذخیره می شود .

WINDOWS\system32\isass.exe

 همکنون اکثر آنتی ویروسهای بروز شده این ویروس را شناسایی می کنند و قادر به حذف فایلهای ایجاد شده توسط آن هستند .
اما مشکلی که باقی می ماند آنست که بایستی به صورت دستی تمام پوشه های مخفی و سیتمی شده را به حالت قبل برگرداند ضمن آنکه تغییرات رجیستری انجام شده توسط این ویروس را بایستی به صورت دستی تصحیح کرد .

 طریقه حذف و پاکسازی ویروس هایدر :

۱٫    ابتدا System Restore را غیرفعال کنید .

۲٫    سپس بایستی سیستم را در حالت Safe Mode بوت کنید .

۳٫    در صورتی که در تسک منیجر ، پراسسی به نام isass.exe مشاهده می کنید آن را انتخاب کرده و روی آن کلیک راست نموده و End Task Tree را کلیک کنید .

۴٫    سپس با اجرای برنامه ی ویرایش رجیستری ویندوز
( نوشتن عبارت Regedit.exe در پنجره RUN و کلیک OK )

کلیدهای زیر در رجیستری را حذف کنید :
( این مسیر موجب اجرای ویروس در هرباری اجرای ویندوز می شود )

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\CSNetManagerXp
ImagePath = “%System%\isass.exe”

نکته : منظور از  %System% پوشه سیستمی ویندوز است . این پوشه  در Windows 2000 با مسیر C:\WINNT\System32 و در Windows XP  و  Server 2003 با مسیر  C:\Windows\System32 میباشد .

۵٫    کلیدهای زیر در رجیستری را اصلاح کنید :
برای اصلاح نمایش پسوند فایلها مقدار متغیر   HideFileExt  را ز ۱ به مقدار صفر تغییر دهید (در مسیر زیر : )

HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>
Windows>CurrentVersion>Explorer>Advanced>Folder>HideFileExt

مقدار متغیر SuperHidden را نیز از مسیر

HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>
Windows>CurrentVersion>Explorer>Advanced>Folder>SuperHidden

از مقدار فعلی صفر به مقدار یک تغییر دهید .

برای اصلاح و برگرداندن آیکان فایلهای اجرایی Exe در رجیستری ادیتور به مسیر

HKEY_LOCAL_MACHINE>SOFTWARE>Classes>exefile

رفته و مقدار متغیر default را از مقدار “File Folder” به ” Application ” تغییر دهید .
در پایان به مسیر

HKEY_CURRENT_USER> Software>Microsoft>Windows>
CurrentVersion>Explorer>Advanced

 رفته و مقدار دو متغیر  HideFileExt  و ShowSuperHidden  را به صورت زیر اصلاح کنید :
HideFileExt از مقدار فعلی ۱ به مقدار صفر
ShowSuperHidden از مقدار فعلی صفر به مقدار یک

۶٫ از برنامه ویرایش رجیستری خارج شوید و سیستم را ری استارت نمایید .

پس از بالا آمدن سیستم بایستی کلیه فایلهای آلوده ای که همنام با “پوشه های مخفی سیستمی شده” میباشند و دارای پسوند exe هستند را به صورت دستی پاک کنید .

 ——————————————————————–

آموزش از بین بردن ویروس kazme__gheyz.exe

 ———————————————————————

این ویروس به صورت دو فایل در درایوها قرار میگیرد و TaskManager,Registry,command dos,gpeditرا از کار می اندازه و نام فایل ویروس به نامهای kazme__gheyz.exe و autorun.inf هست.که توسط فردی ایرانی و برای معرفی وبللاگش ساخته شده

مراحل از بین بردن ویروس

۱- یک کپی از فایل Taskmgr.exe گرفته و نام آن را تغییر دهید (مثلاً Taskmgr1.exe).آدرس اون C:\Windows\System32 هستش

۲-Taskmgr1.exe را اجرا کرده و از قسمت Process پروسسهای Kazme_Gheyz.exe یا Kazme__Gheyz.exe را با دکمه End Task خاتمه دهید.

۳- تمام فایلهای Kazme__Gheyz.exe و Kazme_Gheyz.exe و Autorun.inf را از فهرست ریشه تمام درایوها پاک کنید.

۴- فایلهای Kazme__Gheyz.exe یا Kazme_Gheyz.exe از شاخه Windows/system32 را هم پاک کنید.

۵- از منوی start->Run برنامه Regedit را اجرا کنید.

۶-اگه رجیستری هم اجرا نشد از فایلش یه کپی بگیرید و اسمشو عوض کنید(مثلا Regedit1.exe).آدرس اون C:\Windows\System32 هستش

۷- داخل رجیستری برید و Find رو بزنید و عبارت Kazm در آن نوشته و Enter را کنید. تمامی مواردی که یا فت می شود را با دکمه Del پاک کنید. برای یافتن مورد بعدی کلید F3 را بزنید.

۸- برنامه Internet Explorer را اجرا کرده از منوی Tools->Internet Option دکمه Use blank را انتخاب کنید.
اکنون کامپیوتر شما از این ویروس پاک شده است.

مهر ۲۹ام, ۱۳۸۹ | دسته: دانـستـنـیهای عمـومـی

http://www.nazpatogh.com/wp-content/uploads/2012/11/123.gif

http://www.nazpatogh.com/wp-content/uploads/2013/08/%D8%AA%DB%8C%DA%A9-%D9%86%D8%A7%D8%B2.jpg لینک های ارسالی شما

http://www.nazpatogh.com/wp-content/uploads/2013/08/%D8%AA%DB%8C%DA%A9-%D9%86%D8%A7%D8%B2.jpg مبارزه خونین بوکسور ایرانی! + تصاویر تماشایی

http://www.nazpatogh.com/wp-content/uploads/2013/08/%D8%AA%DB%8C%DA%A9-%D9%86%D8%A7%D8%B2.jpg پیشنهاد بی شرمانه یک اسپانسر به خانم های بسکتبالیست ایران!

http://www.nazpatogh.com/wp-content/uploads/2013/08/%D8%AA%DB%8C%DA%A9-%D9%86%D8%A7%D8%B2.jpg کلیپ دیدنی از زدن سر با شمشیر در عربستان!

http://www.nazpatogh.com/wp-content/uploads/2013/08/%D8%AA%DB%8C%DA%A9-%D9%86%D8%A7%D8%B2.jpg خرید و فروش دختران برای ازدواج!

» جدیدترین های سایت ... «

http://www.nazpatogh.com/wp-content/uploads/2012/11/123.gif

http://www.nazpatogh.com/wp-content/uploads/2013/08/%D8%AA%DB%8C%DA%A9-%D9%86%D8%A7%D8%B2.jpg لینک های ارسالی شما

»» وبگـــردي : جذابتــرين مطالب اينتــرنت را از دست ندهيد ...

لعیا زنگنه در لباس نظامی!!! +تصاویر جديد

بازیگران مشهور ایران در مراسم! +تصاویر جديد

بهنوش بختیاری در فیلم همسرش! +عکس جديد

عکس های دیدار والیبال بازیگران زن ایران با تیم متین! +تصاویر جديد

خرید و فروش دختران برای ازدواج!!! جديد

کلیپ ته خنده از تفریح عرب ها در خیابان ها! جديد

مجازات وحشتناک جاسوس اسرائيل در غزه !!! + تصاوير بالاي 18 سال جديد

کليپ وحشتناک زدن سر با شمشير در عربستان !!! (18+) جديد

فتواي جديد فقها درباره ازدواج موقت دختران!!! جديد

مبارزه خونين بوکسور ايراني!+تصاوير (??+) جديد

پيشنهاد بي شرمانه يک اسپانسر به دختران بسکتباليست ايران!!! جديد

تفريحات مايه دارها در ايران!+ تصاوير جديد

پدر و پسرهاي موسيقي در ايران را ميشناسيد + عکس جديد

دختر 1 ساله اي که شبيه پيرزن 80 ساله شده!!!+تصاوير جديد

گرانترين و زيباترين ماشين عروس جهان در اصفهان!+تصاوير جديد

»» ورود به آرشيو مطالب جذاب ...

    سلمان گفته است :

    -----------------------------------

    دستتون دردنکنه


کلیپ های جدید

 
16598