تبلیغات
پرتال فناوری اطلاعات ایران - مطالب مهر 1393
 
پرتال فناوری اطلاعات ایران
SKype:reza.arefan www.facebook.com/reza.arefan
درباره وبلاگ



مدیر وبلاگ : رضا عارفان
موضوعات
مطالب اخیر
پیوندهای روزانه
آمار وبلاگ
  • کل بازدید :
  • بازدید امروز :
  • بازدید دیروز :
  • بازدید این ماه :
  • بازدید ماه قبل :
  • تعداد نویسندگان :
  • تعداد کل پست ها :
  • آخرین بازدید :
  • آخرین بروز رسانی :

در این بخش به بررسی و نحوه کامل پاکسازی این ویروس در چند روش مختلف میپردازیم و تمامی راه های مقابله با آن را از اینترنت برای شما در پایگاه ضد ویروس جمع آوری کرده ایم

http://up.zedevirus.ir/up/zedeviruse/Pictures/news/svchost.jpg

روش اول:

بعلت وجود ویروسی مخرب به اسم Jeefo که با نام SVCHOST.EXE البته در شاخه دیگری غیر از فایل اصلی ساکن می شود و اقدام به خرابکاری تمام فایلهای اجرایی exe می کند .
اکثر انتی ویروس ها SVCHOST.EXE را به عنوان ویروس می شناسند .در حالی که SVCHOST.EXE ویروس نیست بلکه ویروس فایل دیگری می باشد که خود را به این نام در اورده است .
این ویروس باعث می شود که برنامه ها درست اجرا نشوند . و طولانی بودن زمان آلودگی سیستم باعث از کار افتادن سیستم عامل می شود.

نحوه پاک کردن ویروس

ابتدا سعی کنید System Restore را غیر فعال کنید .
برای این کار ابتدا روی my computer راست کلیک کنید و سپس properties را بزنید از پنجره باز شده به تب
System Restore رفته و تیک گزینه Turn off System Restore on all drives را بزنید و بعد پنجره را ok کرده و به سوال پرسیده شده جواب مثبت دهید .

حال ابتدا با زدن سه کلید ترکیبی ctrl + alt + delete وارد Task Manager شوید و به تب Processes رفته و از اوجا فایل SVCHOST.EXE در حال اجرا توی ویندوز را پاک می کنیم .

البته در تب Processes شما حداقل ۴ تا یا بیشتر SVCHOST.EXE در حال اجرا می بینید که باید با برنامه های مدیریت پروسه های Task Manager بتونید این فایل را تشخیص دهید . زیرا این برنامه ها مسیر پروسه های اجرایی را در Task Manager نشان می دهند . این فایل بیشتر خود را با نام یوزر که در ان هستید (Log On) اجرا می کند .
حال به مسیر C:WINDOWS رفته و فایل SVCHOST.EXE را پاک می کنیم .
البته شما نباید فایل اصلی SVCHOST.EXE را که در مسیر C:WINDOWSSystem32 قرار دارد را پاک کنید .

بعد از این کار سیستم را ریستارت کنید .

سپس سیستم را در حالت safe mode راه اندازی کرده و انتی ویروس jeefogui را اجرا کنید .
ممکن است بعد از این عملیات بعضی از فایلهای exe شما از کار بیفتند که شما باید دوباره برنامه انها را نصب کنید .

دانلود آنتی ویروس jeefogui از سایت jeefogui.findmysoft.com

منبع: اینترنت و itsn.ir

 

 

روش دوم:

ویروس svchost.exe یا Win32.Jeefo.A و روش پاكسازی آن

اول باید این نکته مهم را بدانیم که همیشه در میان پروسه های ویندوز چندین پروسه svchost.exe وجود داشته و همین اول مشکوک نشین که ویروس هستند چون طبیعیه.بعضی ها مربوط به system و بعضی ها هم مربوطه NETWORK System می باشند.
در مواقعی که سیستم به این ویروس آلوده میشه اکثرا هیچ آنتی ویروسی قادر به پاک سازی آن نیست زیرا ویروس اصلی این پروسه نبوده و ویروس در پشت یکی از این پروسه ها فعالیت می کند که در این هنگام مصرف cpu ناشی از پروسه مربوطه بسیار بالا می رود.اگر شما سعی کنید که پروسه را قطع کنید کامپیوتر هنگ کرده و مشکلاتی به وجود می آید زیرا همانطور که گفتم ویروس این پروسه نبوده و این پروسه سیستم می باشد.

حالا راه های پاک سازی را برای سه ویندوز xp ، vista و 7 شرح می دهم:

در ویندوز xp :

ابتدا سه فایل زیر را دانلود کرده و در روت درایو c قرار دهید.

WindowsUpdateAgent30-x86.exe
fix_svchost.bat
WindowsXP-KB927891.exe

حالا ویندوز را ری استارت و با safe mode بالا بیایید.(به این صورت که در هنگام بوت پشت سر هم F8 را زده و سپس در صفحه بعدی گزینه safe mode را انتخاب کنید.)
نکته مهم اینست که با Administrator لوگین شوید.
سپس از منوی start به run رفته و بنویسید:

کد:
c:fix_svchost.bat

برنامه ای اجرا شده و چند دقیقه طول کشیده تا کارش به پایان برسد.
دوباره به run رفته و بنویسید:

کد:
c:WindowsUpdateAgent30-x86.exe

و آن را نصب کنید.
دوباره به run رفته و بنویسید:

کد:
c:WindowsXP-KB927891.exe

و آن را نصب کنید.
در آخر ویندوز را ری استارت کنید.

در ویندوز vista یا 7 :

1.دکمه های ctrl+alt+delete را فشرده تا task manager باز شود.
2.به تب processes رفته و بر روی Show processes from all users کلیک کنید.
3.سپس روی continue کلیک کنید.
4.در اینجا لیست بلندی از پروسه های svchost.exe را می بینید.
5.پروسه svchost.exe را که مصرف cpu را بالا برده پیدا و روی آن راست کلیک کنید سپس Go to Service را انتخاب کنید.
6.در این مرحله تعدادی سرویس می بینید که هایلایت شده اند.این ها همان سرویس های تابع svchost.exe مربوطه هستند.
7.حالا شما باید با دقت یکی از این سرویس ها که احتمال می دهید ویروس است را stop کنید.
پس از اینکه پروسه ویروس را پاک کردید باید با یک آنتی ویروس یا آنتی اسپای ور سیستم را اسکن بکنید.

همچنین بهتر است که از نرم افزار پاک سازی رجیستری استفاده کنید.یکی از این نرم افزارها 
SmitFraudFix بوده که مخصوص پاک سازی malware ها و adware ها از رجیستری هست.


معرفی نرم افزار Process Explorer

این نرم افزار که احتیاجی به نصب ندارد دارای این قابلیت است که تمامی پروسه ها را نمایش داده و با بردن موس بر روی یک پروسه تمامی زیرشاخه های آن را نمایش میدهد.


معرفی نرم افزار Security Task Manager
این نرم افزار تمامی پروسه های سیستم را نشان داده و محل فایل سرویس ، درجه خطر و ... هر کدام را نیز مشخص می کند.علاوه بر این با کلیک بر روی هر پروسه اطلاعات دقیقی در مورد آن بدست می آورید.

 

 

روش سوم:


در این مطلب به شرح روش های فهمیدن پروسه مخرب که باعث بالا رفتن مصرف cpu می شود می پردازیم.

روش اول:
ابتدا نرم افزار Process Explorer را دانلود و سپس اجرا کنید.
در بین پروسه های svchost.exe و زیر مجموعه های آن گشته و سرویس مخرب را پیدا کرده و قطع کنید.
حال اگر پروسه مربوط به یکی از نرم افزارهای سیستم بود آن نرم افزار را uninstall کنید.
اما اگر مربوط به پروسه های سیستم مثل فایروال یا سیستم آپدیت بود ،از سایت مایکروسافت آخرین آپدیت های ویندوز را دانلود و نصب کنید سپس پروسه را فعال و سیستم را ری استارت کنید.


روش دوم:
از منوی start به run رفته و بنویسید cmd .
حال در محیط command prompt دستور زیر را تایپ کنید:

کد:
tasklist /svc /fi "imagename eq svchost.exe

 

در اینجا پروسه های svchost.exe و زیرمجموعه های آن را می بینید که البته نام مختصر رمزی آنها مشخص است.
حالا به run رفته و بنویسید services.msc در پنجره باز شده با توجه به سه تب status ، startup ، log on as پروسه های مدنظر را محدود کرده و با دابل کلیک روی آنها و مشاهده همان نام رمزی پروسه مدنظر که با آنچه در cmd دیدید را تطابق دهید و آن را قطع کرده و دوباره مثل بالا عمل کنید:
حال اگر پروسه مربوط به یکی از نرم افزارهای سیستم بود آن نرم افزار را uninstall کنید.
اما اگر مربوط به پروسه های سیستم مثل فایروال یا سیستم آپدیت بود ،از سایت مایکروسافت آخرین آپدیت های ویندوز را دانلود و نصب کنید سپس پروسه را فعال و سیستم را ری استارت کنید.
البته این روش سخت و سردرگم کننده است و چندان توصیه نمی شود.


یک نکته مهم:
در مجموع مقالاتی که دیدم نتیجه کلی آنست که مشکل ناشی از svchost.exe می تواند هم عامل ویروسی داشته باشد و هم عامل نرم افزاری مربوط به خود ویندوز.
اگر پروسه svchost.exe با نام یوزر شما در task manager قرار داشت به احتمال زیاد ویروس می باشد برای اطمینان اگر در مسیر c:windows فایلی به نام svchost.exe قرار داشت مطمئنا ویروس است زیرا svchost.exe اصلی در system32 قراردارد.برای پاک سازی این ویروس من نرم افزارSmitfraudFix را پیشنهاد می کنم زیرا خودم بر روی یک سیستم امتحان کرده و نتیجه گرفتم.

منبع: اینترنت و سایت ترفندستان





نوع مطلب :
برچسب ها :
لینک های مرتبط :

       نظرات
شنبه 19 مهر 1393
رضا عارفان

ویروس recycler که نام علمی آن W32.Lecna.H می باشد در تمام درایوها فایل autorun.inf و پوشه ای سیستمی به نام recycler را کپی می کند.با وصل کردن فلش مموری به سیستم آن هم آلوده این ویروس می شود.
این ویروس از یک فایل batch برای تغییر رجیستری و اجرای خودش همرا با startup ویندوز استفاده می کند.
همچنین فایلهای زیر را می سازد:

کد:
AUTORUN.INF
confi.exe
Config.ini
Recycler.exe
uninstx.exe
keyvect.dll
netscv.exe


این ویروس بسیار خطرناک بوده و با متصل شدن به سایت های مخرب ، کدهای خطرناک و مخرب را دانلود می کند که باعث سرقت اطالاعات محرمانه شما می شوند.این سایت عموما به آدرس های زیر هستند:

کد:
http://www.km-nyc.com/thrMilitary/thrba
http://www.km-nyc.com/thrMilitary/thrap
http://www.km-nyc.com/thrMilitary/thrmya or http://tmtech.com.cn/thrMilitary/thrba
http://tmtech.com.cn/thrMilitary/thrap
http://tmtech.com.cn/thrMilitary/thrmya


اکثر آنتی ویروس ها این ویروس را شناسایی کرده اما قادر به پاک کردن آن نمی باشد.

روش پاک سازی

1.دکمه های ctrl+alt+del را زده تا پنجره task manager باز شود.در میان پروسه ها CTFMON.EXE پیدا کرده و آن را قطع کنید.
2.فایل CTFMON.EXE را جستجو و سپس پاک کنید.
3.از منوی start به run رفته و بنویسید msconfig و سپس در پنجره باز شده به تب startup رفته و تیک گزینه CTFMON.EXE را بردارید و Ok کنید.
4.ویندوز را restart کنید و با safe mode بالا بیایید.(به این صورت که پشت سر هم F8 را زده،safe mode را انتخاب کرده و با یوزر خودتان وارد شوید.

5.حالا بدون اینکه کلیک اضافی کنید از منوی استارت وارد run شوید و بنویسید cmd تا وارد محیط command prompt شوید سپس با استفاده از دستور زیر صفات system file/folder , hidden , read only را از فایل autorun.inf و پوشه recycler بگیرید و بعد با وارد شدن به هر درایو این دو را پاک کنید.

کد:
ATTRIB -R -H -S d:filename


جای [d:] نام درایو و جای filename نام فایل را پوشه را بنویسید.این کار برای باری تمام درایو ها و همه فایل های autorun.inf و پوشه recylcer انجام دهید.مثال:

کد:
ATTRIB -R -H -S c:autorun.inf

6.محتویات سطل آشغال را پاک کنید.

7.در run بنویسید regedit را وارد ویرایشگر رجیستری شوید.سپس کلیدهای زیر را پیدا و پاک کنید.

کد:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun "Windows Recycled" = "%System%Recycler.exe" HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun "uninstx.exe" = "%System%uninstx.exe" HKEY_LOCAL_MACHINESOFTWAREMicrosoftNetWorkSetup "pid" = [RANDOM NUMBER] HKEY_LOCAL_MACHINESOFTWAREMicrosoftNetWorkSetup "hostid" = [ENCRYPTED HEXIDECIMAL CHARACTERS


و کلیدهای زیر را پیدا کرده و مقدارشان را به حالت اولیه برگردانید.

کد:
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced "HideFileExt" = "0" HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced "HideFileExt" = "1"


8.ویندوز را ری استارت کرده و پیشنهاد می شود که با یک آنتی ویروس آپدیت شده اسکن کنید.

نکته بسیار مهم:

سیستم های با فرمت درایو ntfs در هر درایو فولدری به نام recycler دارند که ویروس نمی باشد.یعنی همین اول نگویید که ویروس است.اگر علائم ویروس مثل ارور و ... را دیدید یعنی این ویروس که همنام فولدر سیستمی می باشد سیستمتان را آلوده کرده است که به روش بالا آن را پاکسازی کنید.

منبع: 
Abolfazl.E
ترفندستان





نوع مطلب : مقالات وآموزشها، 
برچسب ها :
لینک های مرتبط :

       نظرات
شنبه 19 مهر 1393
رضا عارفان

سیستم فایل NTFS یه ویژگی عجیبی داره که میگن بخاطر سازگاری با سیستم فایل سیستم عامل مکینتاش درنظر گرفته شده بوده.

این ویژگی اسمش Alternate data streams (ADS) هست.
ما کاری به شرح فنیش نداریم، و در اینجا فقط بررسی میکنیم که باهاش میشه چه کارهای جالبی انجام داد!!

بوسیلهء این ویژگی ما میتونیم یک یا چند فایل رو تحت نام یک فایل دیگه ذخیره کنیم (البته فقط روی درایوهایی که سیستم فایل اونا NTFS باشه) به صورتی که اون فایلها دیده نمیشن، حجمشون در فایل اصلی نشون داده نمیشه، و در سرچ ویندوز پیدا نمیشن (البته مسلما ابزارهای جداگانه ای برای پیدا کردن و بررسی و دستکاری این نوع دیتای پنهان وجود داره).

خب شروع میکنیم.
پنجرهء خط فرمان ویندوز رو باز کنید.
فرمان زیر را وارد کنید:

كد:   cd 

تا بریم به ریشهء درایو C
معمولا درایو C که توش ویندوز نصب میکنن NTFS هست، ولی بقیهء درایوها ممکنه FAT32 باشن.
ضمنا ما فرض میکنیم که ویندوز شما در درایو C و در دایرکتوری ای بنام WINDOWS نصب شده. و این تست هم روی ویندوز XP صورت گرفته. از وضعیت ویندوز 7 در این زمینه خبر ندارم!

خب حالا دو فایل به نامهای زیر در ریشهء درایو C ایجاد کنید:

كد:  1.txt 2.txt

داخل فایل 1.txt بنویسید 111 و سیو کنید و داخل فایل 2.txt رشتهء 222 رو ذخیره کنید.

حالا این فرمان رو اجرا کنید:

كد:  type 2.txt > 1.txt:hidden.txt

برای اونایی که به خط فرمان وارد نیستن بگم که فرمان type محتویات یک فایل رو چاپ میکنه و چون از علامت بزرگتر در انتهای فرمان استفاده کردیم، خروجی ما بجای پرینت شدن به فایلی که اسمش بعد از علامت بزرگتر اومده هدایت (به اصطلاح ریدایرکت - Redirect) میشه. البته در اینجا ما از خصیصهء ADS سیستم فایل NT استفاده کردیم و بنابراین خروجی ما تحت نام hidden.txt که وابسته به فایل اصلی 1.txt است ذخیره میشه.

خب حالا فایل 2.txt رو دلیت کنید تا مطمئن بشید وجود نداره. البته این کار لزومی نداره و فقط برای اطمینان از نتایج آزمایشه.

حالا این فرمان رو اجرا کنید:

كد:  start c:1.txt:hidden.txt

با اجرای این فرمان مشاهده میکنید که فایلی با محتوای 222 در نوتپد ویندوز (یا text editor دیگری) باز میشه.

حالا بعنوان یه تست دیگه یه فایل اجرایی رو تحت 1.txt پنهان میکنیم:

كد:  type c:WINDOWSsystem32calc.exe > c:1.txt:hidden.exe

نکته: calc.exe فایل اجرایی برنامهء ماشین حساب ویندوزه.

حالا ماشین حساب ویندوز رو با این فرمان استارت میکنیم:

كد:  start c:1.txt:hidden.exe

یعنی به این شکل میتونید یک برنامه رو هم تحت یک فایل دیگه پنهان کرده و هروقت خواستید بصورت مخفی اجرا کنید.

نکتهء مهمی که در تست ها فهمیدم اینه که موقعی که میخواید فایلی رو که تحت فایل هدف پنهان شده به این روش باز/اجرا کنید باید مسیر از ریشه بهش بدید (یعنی مسیر با بک اسلش از ریشهء درایو شروع بشه) و/یا درایو رو مشخص کنید.
بطور مثال:

كد:  start 1.txt:hidden.exe

کار نمیکنه.
اما هر یک از این 3 دستور دیگه کار میکنن:

كد:  start c:1.txt:hidden.exe start c:1.txt:hidden.exe start 1.txt:hidden.exe

تذکر: وقتی فایل دارای دیتای پنهان رو به درایو غیر NTFS منتقل کنید، همهء فایلها/دیتای پنهان اون از بین میرن.

-------------------------------------------

ضمنا بعنوان یه نکتهء جالب فنی، نقل از توضیحات مقالهء ویکیپدیا، عرض کنم که:
آیا تاحالا از خودتون پرسیدید وقتی مثلا یه فایل exe رو که از اینترنت دانلود کردید میخواید اجرا کنید ویندوز از کجا میفهمه که اون فایل از اینترنت دانلود شده و قبل از اجرای اون به شما هشدار میده و تایید میخواد؟
این قبلا برای من کم و بیش سوال بود.
الان فهمیدم که این کار با استفاده از ذخیرهء دیتای پنهان خاصی با استفاده از همین ویژگی انجام میشه.
یعنی مرورگر شما اطلاعات خاص کوچکی رو با استفاده از این ویژگی تحت اون فایل برای علامتگذاریش ذخیره میکنه که ویندوز از روی اون اطلاعات میفهمه که اون فایل از اینترنت دانلود شده. البته این کار اولین بار توسط مرورگر IE انجام شده و بعدا مرورگرهایی مثل فایرفاکس هم ازش تبعیت کردن.

نکات مکمل:

از ویژگی ADS بعضی از بدافزارها هم برای پنهان کردن کد خودشون استفاده کردن.

همچنین بعضی کاربردهای کم اهمیت تر و کمتر متداول که دیگه نیازی نمیبینم ذکر کنم و در متن انگلیسی میتونید بخونید.

امیدوارم از این مطلب خوشتون اومده باشه!

------------

منبع دقیقش را نمیدونم اما از لینک زیر گرفته شده است

باتشکر از نویسنده محترم

برگرفته از:

http://forum.hammihan.com





نوع مطلب : مقالات وآموزشها، 
برچسب ها :
لینک های مرتبط :

       نظرات
شنبه 19 مهر 1393
رضا عارفان

سلام به همه دوستان

از نظرات پر مهر شما انرژی میگیریم

به همین خاطر یک مطلب مفید در اینترنت خوندم که در اینجا برای شما قرار میدهم

با تشکر از نویسنده اصلی این مطلب

 

ویروس boot.exe که حتما باهاش دارید دست و پنجه نرم می کنید کار یه دوست یا ... ایرانی هستش  که روی خیلی از سیستم های ایرانی پخش شده درجه خطرش بالاست ( یوزر پس سند میکنه )
این ویروس به طور AUTORUN خودشو از رویه فلش یا ... جا به جا میکنه ( هیچ آنتی ویروسی تا به حال پیداش نکرده برایه nod میلش کردم فعلا جواب نداده )

امروز با 5 ساعت کار روش تونستم یه کمیشو باز کنم و اطلاعاتی در موردش در بیارم 

1- با vb6 نوشته شده.
2- فایل ویروس رو با نام loinplay.exe ( ممکن هست نامه فایل رو برای هر سیستم مغییر پروسس کنه دقت کنید مثل : Project1 و mlogginf32 و logginf32 ) در C:WINDOWSsystem32 قرار می ده و با تغییرات در ریجیستری باعث می شه با هر بار لود شدن سیستم اجرا بشه 

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurre ntVersionRun

3- به صورت آنلاین فایل AOSMTP.dll رو از رویه نت دانلود می کنه ( از آدرسhttp://roomezonline.persiangig.ir/password/AOSMTP.dll) و در مسیر C:WINDOWSsystem32 کپی می کنه ( این فایل لازم برای اجرای ویروس هست اگه هم پاکش کنید خود ویروس دوباره دانلودش می کنه )

4 - در تسک با شماره آیدی 32770# اجرا می شه و حجم بالایی از cpu رو میگیره
5- ساعت سیستم رو kill می کنه و به 2006 تغییرش میده.

روش پاک کردن ویروس : 

ابتدا كلید های CTRL+ALT+DELETE رو با هم بزنید بعد از باز شدن TaskManeger سربرگ Processes رو انتخاب كنید
بعد بر حسب نام مرتب كنید . 

تمامی perocess هایی كه جلوشون نام كاربر ویندوز شم نوشته رو به جز Explorer.exe و Taskmge.exe رو End Proceess كنید.
از منوی Tools گزینه آخر Folder Option و بعد View رو انتخاب کنید در قسمت Hidden files and folders گزینه Show Hidden files and folders رو انتخاب کنید و تیک دو گزینه پایین را بردارید ok کنید .
My Computer رو باز کنید در قسمت address درایو ها رو یکی یکی باز کنید و فایل boot.exe و AUTORUN رو پاک کنید ( مراقب باشید فایل رو اجرا نکنید )


فایل loinplay.exe رو در درایو ویندوز سرچ کنید و پاکش کنید.
در ریجیستری HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurre ntVersionRun کلید system32 رو پاک کنید
حالا سیستم رو ریستارت کنید و تموم





نوع مطلب : مقالات وآموزشها، 
برچسب ها :
لینک های مرتبط :

       نظرات
شنبه 19 مهر 1393
رضا عارفان

کنترل و از بین بردن ویروسA.s.K.jpg.exe

بسیار مهم 

برخی کامپیوترها  تازگیها دچار ویروسی به اسم A.s.K.jpg.exe شده بود که با این روشی که ما پیشنهاد میکنیم ، عکس های شما از بین نمیرن و همگی برخواهند گشت.

 اولاً از كجا بفهمیم ویروس ask.jpg.exe رو گرفتیم ؟

* اگر تمام عکس های کامپیوترتون خراب شده و با همان نام ، تبدیل به فایل NAME.jpg.exe شده اند.

* اگر هنگام اتصال فلاش مموری (كول دیسك)  تعداد زیادی پنجره خطا باز میشه .

 * اگر زمانی كه در folder option تیك Hide extensions for known file type رو برمی دارید و ok می كنید عكساتون رو با نام name.JPG.EXE مشاهده می كنید .

مارا در این مطلف مفید همراهی کنید...


توضیح : ویروس از طریق فلاش مموری تحت نام ASK.JPG.EXE انتقال پیدا می كنه كه اگر مثل مورد قبل تیك فعال باشه بصورت ASK.JPG و با آیكون عكس مشخصه . به هیچ وجه اونو اجرا نكنید چون سیستمتون آلوده میشه .

 این ویروس فرمت عکسها رو به exe تبدیل میکرد .عملکرد این ویروس مثل یک کرم بود بعد از اجرا بلافاصله تمامی عکسها رو به exe تبدیل کرده و یک کپی از اونا گرفته و اونارو hidden میکنه عجیب اینجاست که هیچ گونه آنتی ویروسی نمیتونست این ویروس رو شناسایی کنه حتی اونا که 2009 بودن نمیتونستن این ویروس رو پیدا کنند . این ویروس 2تا پروسه به اسمها ی LSASS باز میکرد که قابل kill هم نبودند و حجم زیادی 
از سی پی یو رو اشغال میکرند جالبتر اینجاست که این ویروس هنوز توی اینترنت پخش نشده و فقط توی شهر ما 
 هستش حالا دلیلشو نمیدونم ولی ما به این صورت این ویروس رو پاک کردیم اگه کسی از دوستان عکس مشکوکی
 دید بالافاصله اجرا نکنه چون هیچ آنتی ویروسی نمیتونه این ویروس رو شناسایی کنه.

راستی ابتدا این نکته را ذکر کنم که اگر توسط آنتی ویروس های آبدیت موجود ، کامپیوتر خود را که مبتلا به این ویروس است ، ویروس یابی کنید ، یکی اینکه عموما اصل فایل از روی کامپیوتر شما پاک نخواهد شد و ثانیا عکس های شما که برگشته اند همیشه به حالت مخفی باقی خواهند ماند.
 
خوب حالا روش پاک کردن این ویروس پنج بخش است که به شرح زیر می باشد :

1- هیچ گونه آنتی ویروسی بر روی کامپیوتر شما نباید باشد.

2- حال ویروس یاب Antivirus virus ASK.EXE رو که دانلود برنامه ی آن به این آدرس است

antivirus virus ASK.EXE

   را بر روی کامپیوتر خود نصب کنید و سپس بوسیله ی آن یکبار تمام درایوهای خود و فلش ها و ... خود را ویروس یابی کنید.

3- حال احتمالا اصل فایل از روی کامپیوتر شما پاک نشده باشد . برای این کار برنامه ی process-master را که 
دانلود برنامه ی آن به این آدرس است:

دانلود برنامه process-master

 را بر روی کامپیوتر خود نصب نموده و crack آن را در پوشه ای که 
 این برنامه درون آن نصب شده است که احتمالا به آدرس زیر باشد ، کپی نمایید.

 C:Program FilesProcess Master

حال اگر برنامه را اجرا کنید ، صفحه ای باز خواهد شد که تعدادی فایل را برای شما نمایش میدهد.
 فایل اصلی ویروس اسمش LSASS.EXE هستش و تو این آدرس زیره که جلوی فایل مشخص شده است.
 C:Documents and SettingsuserLocal SettingsApplication Data

دقت بکنید که آدرسش همون باشه که گفتم چون یه Lsass دیگه هست که یه فایل سیستمی است و نباید به اون کار داشته باشید .
حال با کلیک راست بر روی این گزینه (که ممکن است تعداد آن  یکی و  یا بیشتر باشد ) ، و انتخاب گزینه ی اول به اسم
 kill process ، فایل مورد نظر را از بین ببرید.
همچنین توجه داشته باشید که بدون استفاده از این برنامه ، سیستم اجازه ی پاک کردن این فایل را به شما نمیدهد.

خب فعالیت پایگاه ویروس رو متوقف كردید . حالا باید برید پاكش كنید . برید به همون آدرس C:Documents and SettingsuserLocal SettingsApplication Data . قبلش باید فایلهای مخفی و سیستمی رو  از حالت مخفی خارج كنید . برای این كار باید از توی folder option قسمت view گزینه show hidden file and folders رو انتخاب كنید و همچنین تیك Hide protected operating system files رو بردارید .

وقتی به این آدرس رفتید یه فایل هست به اسم LSASS.EXE خب اونو پاك كنید

4- حال جهت تکمیل کار خود بایستی یک آنتی ویروس آبدیت را مانند  Nod32 ٬ بر روی کامپیوتر خود نصب نمایید ،

آنتی ویروس ممکن است فایل آنتی ویروس Antivirus virus ASK.EXE  را ویروس بشناسد و همچنین بعضی فایلها که بعد از نصب این برنامه بر روی کامپیوتر شما نمایان میشوند مانند:

s.exe در پوشه ی system 32  در درایو ویندوز شما و  احیانا فایل  ASK2 

 

5- بعد از انجام تمامی این گزینه ها ، بر روی هارد خود بگردید . میتوانید برای این کار از قسمت  start در پایین صفحه desktop وارد گزینه ی search شده و کلمه ی jpg.exe  را در هارد خود جستجو نمایید ، اگر فایل A.s.K.jpg.exe  یا  A.s.K.jpg و یا عکسی با پسوند jpg.exe   مشاهده نمودید ، آن را پاک کنید و اگر پاک نشد بر روی این فایل کلیک راست کرده و با کلیک بر روی گزینه ی advanced options و بعد گزینه ی 
quarantine file  ، فایل مورد نظر را قرنتینه کنید. این گزینه ها بعد از نصب آنتی ویروسNod32 بر روی کامپیوتر شما نمایان خواهد شد. 

حال توصیه ما این است که حتما فلش(کول دیسک)  یا حافظه موبایل خود را فرمت کامل format full   نمایید. چون معمولا این ویروس از روی فلش بوسیله تمامی این مراحل پاک نخواهد شد و معمولا به صورت مخفی در خواهد آمد.

باتشکر از نویسنده اصلی موضوع بالا

nikeshop.blogfa.com

 

----------------------

همچنین سایت ضد ویروس شما را به خواندن این متن تکمیلی و اختصاصی در باره این ویروس دعوت میکند:

حتماً به لینک های زیر مراجعه کنید

لینک اول

دانلود برنامه

--------------------

لینک دوم

 www.zedevirus.ir

موفق باشید





نوع مطلب : مقالات وآموزشها، 
برچسب ها :
لینک های مرتبط :

       نظرات
شنبه 19 مهر 1393
رضا عارفان

سلام به همه دوستان

یکی از مشکلاتی که در مورد فلش مموری ها پیش میاد،قفل شدن مموری و یا بسته شدن کپی و پیست کردن فایل بر روی آنها است

البته در جاهایی این موضوع کاربرد دارد برای مثال برای جلو گیری کردن از نشستن ویروس بر روی فلش شما

در نتیجه میتوانید طبق این آموزش فلش خود را باز کنید و یا ببندید

منبع این مطلب مفید بر روی تصاویر درج شده است

آیا شما هم تا به حال با این پیغام اعصاب خورد کن مواجه شدید؟؟

 

 

The disk is write-protected. Remove the write-protection or use another drive.

 

حل خطای The disk is write-protected با استفاده از 5 روش ساده

گاهی اوقات به دلایلی هنگام استفاده از یک حافظه جانبی مثل فلش مموری و یا کارتهای حافظه این پیغام ظاهر می شود که استفاده از ابزار را غیرممکن می کند. گاهی اوقات حتی اجازه ی فرمت کردن حافظه را هم نداریم.

  در این مطلب به 5 روش کلی می پردازیم که ممکن است در هنگام مواجه با این خطا و مشکل به کمک ما بیایند.

 

 

1- باز کردن قفل سخت افزاری حافظه

 

برخی از فلش مموری ها و حافظه های جانبی یک سوییچ برای قفل کردن آن ابزار دارند. با قفل کردن ابزار امکان استفاده از آن وجود نخواهد داشت.

حل خطای The disk is write-protected با استفاده از 5 روش ساده

پس اگر سوییچ در حالت قفل است، آن را باز کنید!

 

----------------------------------------------------

 

2- چک کردن مجوزهای استفاده از سیستم

 

_ در پنجره ی Computer روی درایو مموری کلیک راست کرده و گزینه ی properties را انتخاب کنید.

_ در پنجره ی باز شده، روی تبsecurity کلیک کنید.

_ کاربر را در لیست انتخاب کرده و روی دکمه ی Edit کلیک کنید.

_ حالا باید به کاربر اختیار و مجوز استفاده کامل را بدهید. برای این منظور تیک گزینه ی Full Control را بزنید تا فعال شود. یا Write را انتخاب کنید تا فقط مجوز استفاده و نوشتن را داشته باشد.

 

 

حل خطای The disk is write-protected با استفاده از 5 روش ساده

 

 

------------------------------------------

من خودم از این روش استفاده کردم و جواب داد

 

3- با استفاده از رجیستری ویندوز

 

_ کلیدهای Win+R را همزمان فشار داده و در پنجره ی Run عبارت regedit را تایپ و تأیید کنید.

_ در ویرایشگر رجیستری به مسیر زیر بروید:

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlStorageDevicePolicies

 

اگر کلیدی به عنوان StorageDevicePolicies مشاهده نکردید باید آن را بصورت دستی ایجاد کنید. پس روی کلید Control راست کلیک کنید و از منوی New گزینه ی Key را انتخاب کنید.

 

 

حل خطای The disk is write-protected با استفاده از 5 روش ساده

 

نام آن را هم StorageDevicePolicies قرار دهید.

 

_ در سمت راست پنجره، راست کلیک کنید و از منوی New گزینه یDWORD (32 bit) Value را انتخاب کنید. نام متغیر جدید را هم WriteProtect قرار دهید.

 

_ روی متغیر تازه ایجاد شده دابل کلیک کرده و مقدار 0 را در قسمت Value وارد کنید.

 

 

حل خطای The disk is write-protected با استفاده از 5 روش ساده

 

-----------------------------------------

 

4- با استفاده از Disk Part ویندوز

 

_ کلیدهای Win+R را همزمان فشار داده و در پنجره ی Run عبارت CMD را تایپ و تأیید کنید.

 

_ در پنجره ی Command Prompt عبارت زیر را تایپ و تأیید کنید:

کد:
 Diskpart

_ در پنجره ی Diskpart عبارت زیر را تایپ و تأیید کنید:

کد:
list disk

لیستی از درایوهای سیستم نمایش داده می شود. شماره ی درایو مورد نظر را مشاهده می کنید. (با دقت روی حجم درایو می توان متوجه شماره آن شد).

 

 

حل خطای The disk is write-protected با استفاده از 5 روش ساده

 

_ حالا عبارت زیر را تایپ و تأیید کنید:

کد:
select disk #

 

به جای # باید شماره ی درایوی که مشاهده کرده بودید را تایپ کنید

_ و در آخر عبارت زیر را وارد کنید:

کد:
attributes disk clear readonly

-------------------------------------------------

 

5- گزینه ی آخر، فرمت کردن درایو حافظه

 

اگر در حالت عادی نمی توانید درایو حافظه را فرمت کنید، به روش زیر این کار را انجام دهید:

_ با فشار همزمان کلیدهای Win+R پنجره ی Run را باز کرده و عبارت CMD را در آن تایپ و تأیید کنید.

_ در پنجره ی Command Prompt عبارت زیر را تایپ و تأیید کنید:

کد:
format F:

 

به جای F: باید حرف مختص درایو حافظه را وارد کنید.

_ در Run عبارت diskmgmt.msc را تایپ و تأیید کنید. سپس در پنجره ی disk managementروی درایو مورد نظر کلیک راست کرده و گزینه ی Format را انتخاب کنید و درایو را فرمت کنید.

 

 

حل خطای The disk is write-protected با استفاده از 5 روش ساده

 

 

_ اما می توانید با دانلود یک برنامه ی کم حجم، نسبت به فرمت کردن درایو حافظه خود اقدام کنید.نرم افزار HDD LLF Low Level Format Tool یک برنامه ی قدرتمند برای فرمت کردن سطح پایین انواع هارد و حافظه است. فرمت کردن هارد با این برنامه می تواند بدسکتور هارد را نیز از بین ببرد.

 

 

حل خطای The disk is write-protected با استفاده از 5 روش ساده

 

نکات مهم:

 

مسئولیت استفاده نادرست از این برنامه و یا از دست دادن اطلاعات شما، به عهده خود شما می باشد.

در حین کار با برنامه و هنگام فرمت کردن درایو حافظه خود، به هیچ عنوان برنامه را نبندید و از برنامه ی دیگری هم استفاده نکنید.

ممکن است بعد از استفاده از این برنامه، نیاز به تغییر سیستم فایل درایو خود داشته باشید تا برای دستگاهها قابل خواندن باشد.

بعد از استفاده از این برنامه و فرمت کردن درایو، امکان بازیابی اطلاعات آن درایو به هیچ عنوان ممکن نخواهد بود.

 

امیدواریم یکی از این راهکارها مشکل شما را حل کرده باشد.





نوع مطلب : مقالات وآموزشها، 
برچسب ها :
لینک های مرتبط :

       نظرات
شنبه 19 مهر 1393
رضا عارفان