اکثر کاربرانی که به این قسمت مراجعه می کنند مشکل همگی غیر فعال شدن گزینه Show Hidden Files می باشد .
بنابراین دست به کار شدم تا بتونم روشهای از بین بردن این ویروس را پیدا کنم تا شما راحتر بتونید این ویروس را از روی سیستم خود پاک کنید .
در این تاپیک قصد دارم راه ها و برنامه هایی را براتون قرار بدم که بتونید از طریق این راه ها گزینه ی Show Hidden Files رو که در برنامه ی Folder Option مربوط به Windows Explorer هست را اگر کار نمی کند برگردونید .
( یعنی شما تیک Show Hidden Files رو میزنید ولی کار نمی کند و وقتی بر می گردید هنوز روی Do Not Show Hidden Files هست ! ) این مشکل به دلیل وجود ویروسهایی متعددی روی سیستم شما بوده است که با پاک شدن انها توسط انتی ویروس ها آثارشون باقی مانده .
حالا از کجاها بفهمیم که کامیپوتر ما ویروس گرفته است .
موقعی که شما وارد My Computer می شوید و روی درایو های ان راست کلیک می کنید و در این هنگام یک گزینه با یک زبان نامفهوم مطابق عکسی که قرار داده ام را می بینید .
یا اینکه وقتی روی درایو هایتان دوبار کلیک می کنید محتوای درایو های شما در یک صفحه جدید باز می شود .
یا موقع دابل کلیک کردن روی درایو هایتان پنجره Open With باز می شود و به شما می گوید Choose the program you want to use to open this file
یا هنگام کلیک بر روی درایو هایتان error ی به شما داده می شود .
یعنی سیستم شما ویروسی شده است . این ویروس ، ویروس autorun.inf می باشد . نحوه پاک کردن این ویروس را در قسمت پایین گفته ام .
همچنین این ویروس باعث از بین رفتن و پاک شدن Folder Options خواهد شد
و اگر شما گزینه های Show hidden files and folders و Hide protected operating system files (Recommended) را مارک دار کنید با ok کردن پنجره این گزینه کار نخواهند کرد . و دوباره به حالت اولیه باز خواهند گشت .
همچنین این ویروس باعث غیر فعال شدن Task Manageو Registry Editor خواهد شد .
اگر شما روی گزینه command prompt یا cmd نیز کلیک کنید یا باز نخواهد شد و پیغام زیر را خواهد داد یا اینکه به سرعت باز و بسته خواهد شد .
the command prompt has been disabled by your administrator
راههای ورود این ویروس از طریق قطعاتی خواهد بود که از طریق usb با سیستم شما ارتباط دارند . قطعاتی مانند فلش مموری ها ( کولدیسک ) ، موبایل ها ، رم ریدر ها و ...
نحوه از ببن بردن ویروس autorun.inf
روش اول :
ابتدا وارد My Computer شوید .
بعد از مشاهده لیست درایوها از نوار بالا بروی گزینه Tools کلیک کرده سپس گزینه Folder Options را انتخاب کنید
در پنجره جدید باز شده گزینه View را انتخاب کنید و بروی گزینه Show hidden files and folders کلیک کنید تا دایره آن توپر شود .
کمی پایینتر تیک گزینه Hide Protected Operationg System Files را بر دارید.حالا ok کنید
سپس با راست کلیک کردن و زدن open وارد درایو هایتان شوید
(حتما یادتون باشه با راست کلیک کردن و زدن open وارد درایو هایتان شوید اگر دوبار روی درایوی کلیک کنید باز هم ویروس فعال خواهد شد و دوباره همه چیز به حالت اول بر خواهد گشت . پس حتما با راست کلیک کردن و زدن open وارد درایوهایتان شوید(
سپس دنبال یک فایل به نام autorun.inf بگرید و ان را پاک کنید برای همه درایو ها این کار را انجام بدید .
بعد از این کار بلافاصله بدون هیچ معطلی سیستم خودتون را ریستارت کنید . یادتون نره حتما حتما بدون انجام هیچ کاری سیستم را ریستارت کنید .
روش دوم :
ابتدا با زدن کلید F8 سیستم را در حالت safe mode راه اندازی کنید و سپس از منوی استارت گزینه run را بزنید و سپس داخل ان cmd را تایپ کنید و ok بزنید .
عبارات زیر را یکی یکی نوشته و enter بزنید . این کار را برای تمامی درایو ها انجام دهید .
del x:/autorun.inf \a:h
del x:/autorun.inf \a:r
del x:/autorun.inf \a:s
به جای x باید نام درایوها را بنویسید .
روش سوم :
copy.exe تروجانی است که گاهی اوقات در تمامی درایو های شما قرار میگیره و با هر بار کلیک بر روی درایو ها فایل autorun.inf فایل این فایل را اجرا می کنه .
یکی از روشهای پاک کردن این ویروس این است که ابتدا شما باید پروسه های temp1.exe و temp2.exe رو از بین ببرید . برای این کار ابتدا باید سیستم را به صورت safe mode راه اندازی کنید .
شما نباید روی درایو ها یتان دابل کلیک کنید چون با این کار ویروس autorun.inf که در درایو هایتان قرار دارد باعث فعال شدن پروسه های temp1.exe و temp2.exe می شود .
بعد از راه اندازی سیستم به صورت safe mode شما باید با راست کلیک کردن و زدن گزینه open وارد درایو c ویندوز شده و به پوشه windows و بعد هم پوشه system32 رفته و دو فایل temp1.exe و temp2.exe را حذف کنید .
البته در بعضی از نسخه های ویروس copy.exe ویروس autorun.inf حتی درون پوشه %win% هم وجود داره بنابراین حتما حتما برای ورود به درایوها پوشه ها را با راست کلیک باز کنید .
نکته : قبل از اینکار باید ابتدا این پروسه ها را از Task Manager پاک کنید . برای این کار با زدن کلید های ترکیبی ctrl + alt + delete وارد Task Manager بشید و پروسه های temp1.exe و temp2.exe را از لیست processes با کلیک بر روی انها و زدن end process حذف کنید .
ویروس autorun.inf با هر بار فعال شدن موجب میشه که دو فایل xcopy.exe و host.exe درون همون درایو فعال بشن و دوباره دو فایل temp1.exe و temp2.exe رو بسازن.
شما نباید فایل های xcopy.exe را با فایل های خود windows که درون پوشه ی system32 هستند اشتباه بگیرید .
برای تشخیص ویروس xcopy.exe و فایل xcopy.exe که در پوشه system32 است باید از حجم انها این دو را شناسایی کرد اگر فایل xcopy.exe حجمی معادل 32 کیلو بایت داشت مربوط به خود ویندوز می باشد در غیر این صورت ویروس خواهد بود .
حالا فایلهای سیستمی را مانند ورش اول از حالت هایدن خارج کنید و ویروس autorun.inf را پاک کنید و بعد هم به درایوهای خودتون نگاه کنید اگر فایلهایی با عنوان xcopy.exe و host.exe بودند با خیال راحت پاک کنید .
نحوه پاک کردن ویروس Copy.exe
اسامی دیگر این ویروس host.exe, xcopy.exe, temp1.exe, temp2.exe and svchost.exe,Salga-A worm
این ویروس یکی از خطرناک ترین ویروس ها هست که به عنوان یک پروسه در سیستم شروع به فعالیت و انتشار خودش می کنه و با توجه به اینکه بعضی از انتی ویروسها به صورت نامناسب این ویروس را پاک می کنند باعث نمایش یک پیغام در زمان دابل کلیک کردن روی درایو و یا فولدر در محیط ویندوز می شوند .
برای پاک کردن دستی این کرم شما باید ابتدا همه پروسه هایی که با نام های host.exe, xcopy.exe, temp1.exe, temp2.exe and svchost.exe,Salga-A worm هستند را پیدا کنید و انها را پاک کنید .
تذکر : مواظب باشید این فایلها را با فایلهای اساسی سیستم عامل اشتباه نگیرید .
مهم : یکی از دلایل اصلی به وجود امدن این مشکل ویروس Autorun.inf هست که شما باید طبق روش هایی که در اموزش گفته ام ان را پاک کنید . این کار را حتما انجام دهید . یعنی حتما باید ابتدا ویروس Autorun.inf را طبق اموزش باید از بین ببرید .
سپس به این ادرس در رجیستری رفته و اگر کلیدی به اسم Copy.exe در زیر منوی MountPoints2 وجود داشت ان را پاک کنید .
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\MountPoints2
با این برنامه به طور کامل می توانید این ویروس را از بین ببرید .
کد:
http://www.securitystronghold.com/do...TrueSword4.exe
راههای دستی برای از بین بردن ویروسی که Show Hidden Files را غیر فعال می کند .
1- از Start Menu وارد Run بشید و در اونجا تایپ کنید : regedit
وقتی صفحه ی رجیستری باز شد ، از سمت چپ وارد این مسیر بشید :
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\Advanced
در این قسمت ، در لیست متغیر هایی که سمت راست وجود دارند ، متغیر آبی رنگی ( DWORD Value ) رو به نام Hidden پیدا کنید و روی ان دابل کلیک کنید . اگر مقدارش ( Value data ) به 0 تغییر کرده ، ان را به 1 یا 2 تغییر دهید و OK کنید . حالا رجیستری رو ببندید و ریستارت کنید .
2- مسیر زیر رو دنبال کنید :
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\Advanced\Folder\Hidden]
4-اکنون در سمت راست پنجره ی Regedit روی Type دو بار کلیک کرده و مقدار آن رو برابر با group قرار دهید ( یعنی در پنجره ای که باز میشه کلمه ی group رو تایپ کنید ).
با این کار تونستید Show Hidden Files از دست رفته را که دیده نمی شد برگردونید .
3-مسیر زیر رو دنبال کنید :
HK LocalMachine\Software\Microsoft\Windows\CurrentVer sion\Explorer\Advanced\Folder\Hidden\SHOWALL
در سمت راست پنجره ی Regedit مقدار CheckedValue رو برابر با 1 قرار بدید.
راههای دستی برای برگرداندن قسمتهای حذف شده از سیستم شما .
فعال ساختن ( Registry ( Regedit :
روش اول :
ابتدا وارد منوی start شده و روی گزینه run کلیک کنید و کلمه gpedit.msc را تایپ کنید .
در صفحه Group Policy به مسیر پایین بروید:
User Configuration> Administrative Templates> System
بعد از کلیک نمودن بروی System در سمت راست پنجره Group Policy بالای
Prevent access to registry editing tools دابل کلیک نموده و در تب Setting گزینه Disable را علامت دار نموده و بالای کلید OK کلیک نمایید اما پنجره Group Policy را نبندید!
حالا Regedit فعال شده است و شما میتوانید واردش شوید.
روش دوم :
مسیر زیر را داخل note pad کپی کرده و سپس با نام Regedit.reg ذخیره کنید و بعد ان را اجرا کنید .
Windows Registry Editor Version 5.00
REG add HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\System /v DisableRegistryTools /t REG_DWORD /d 0 /f
برگرداندن Run :
در صفحه Group Policy به مسیر پایین بروید:
User Configuration> Administrative Templates> Start Menu and Taskbar
بعد از کلیک نمودن بروی Start Menu and Taskbar، در سمت راست پنجره Group Policy بروی گزینه Remove Run menu from Start Menu دابل کلیک نموده و در تب Setting گزینه Disable را علامت دار نمایید. حالا گزینه Run فعال شده است.
برگرداندن Folder Option :
برای برگرداندن Folder Option به مسیر زیر در پنجره Group Policy بروید:
User Configuration> Administrative Templates> Windows Components> Windows Explorer
بعد از کلیک نمودن بروی Windows Explorer، در سمت راست پنجره Group Policy بروی Removes the Folder Options menu item from the Tools menu دابل کلیک نموده و از تب Setting گزینه Disable را علامت دار نمایید و بروی کلید OK کلیک نمایید .
فعال کردن task manager
برای فعال ساختن Task Manager در کادر محاوروی Run عبارت Gpedit.msc را تایپ نموده و اینتر کن و سپس به مسیر پایین برو:
User Configuration > Administrative Templates > System
حالا در زیر شاخه System بروی Ctr + Alt + Del کلیک کن و سپس در سمت راست صفحه Group Policy بروی Remove Task Manager دابل کلیک نموده و در تب Setting کزینه Disable را علامت دار کن. بعد از آن بروی کلید OK کلیک نموده و پنجره Group Policy را ببند.
روش دوم :
مسیر زیر را داخل note pad کپی کرده و سپس با نام task manager.reg ذخیره کنید و بعد ان را اجرا کنید .
Windows Registry Editor Version 5.00
REG add HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\System /v DisableTaskMgr /t REG_DWORD /d 0 /f
استفاده از برنامه ای که در زیر برای شما معرفی کرده ام
این برنامه قادر به انجام کارهای زیر می باشد .
از بین بردن ویروس های ravmon.exe و mdm.exe و SCVHOST.exe و SVCHOST.ini
فعال کردن قسمتهای زیر
NoFolderOptions, NoControlPanel, DisableTaskMgr, DisableRegistryTools, DisableCMD
و به حالت پیش فرض برگرداندن قسمتهای زیر
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Explorer\Advanced\Folder\Hidden\NOH IDDEN]
“CheckedValue”=dword:00000002
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Explorer\Advanced\Folder\Hidden\NOH IDDEN]
“DefaultValue”=dword:00000002
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\C
urrentVersion\Explorer\Advanced\Folder\Hidden\SHOW ALL]
“CheckedValue”=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Explorer\Advanced\Folder\Hidden\SHO WALL]
“DefaultValue”=dword:00000002
http://javedkhalil.com/techBlog/wp-c...on-removal.rar
بعد از اجرا کردن برنامه سیستم خود را ریستارت کنید .
نحوه از بین بردن تروجان Win32/Agent.AEC یا ویروس Soundmix.exe
همون طور که می دونید اخیرا ویروسی به نام Soundmix.exe انتشار یافته و باعث الوده شدن بسیاری از سیستم های خانگی و اداره ها شده است . قصد دارم در این قسمت نحوه پاک کردن این تروجان را اموزش دهم .
شایع ترین راه انتقال این ویروس حافظه های فلش می باشد. هرچند که باز کردن برخی سایت های آلوده نیز می تواند این ویروس را در سیستم مستقر سازد
این ویروس با دستکاری رجیستری ، هر بار که ویندوز راه اندازی می شود خود را اجرا می کند. با اجرای هر فایل اجرایی در ویندوز نیز این فایل اجرا خواهد شد و پس از اجرا Processes آن را به هیچ عنوان نمی توان خاتمه داد.
این ویروس اجازه دیدن فایل های پنهان را به کاربر نمی دهد و فایل هایی که مخفی شوند دیگر قادر به مشاهده نخواهند بود. دسترسی به برخی سایت ها ممکن نمی باشد و این ویروس با اجرای خود منجر به ایجاد سربار روی سیستم ، کندی دستگاه ، بسته شدن ناخواسته برخی برنامه ها و احیانا بوت شدن خود بخود کامپیوتر می گردد.
همچنین با آلوده کردن حافظه های فلشی که به دستگاه متصل می گردند ، سعی به انتشار خود می کند.
راههای شناخت این تروجان
برای این که متوجه شوید که ایا سیستم شما الوده به این تروجان است یا نه از طریق فشرن همزمان سه کلید
Alt + Ctrl + Delete وارد Task Manager شوید و سپس به تب Processes رفته و در صورتی که فایل اجرایی Soundmix.exe در حال اجرا باشد سیستم شما به این تروجان آلوده شده است.
راه دیگر شناسایی این تروجان عدم نمایش پسوند فایلهاست
از طریق منوی Folder Option و فعال کردن گزینه Show Hidden files and folder و تایید آن در صورتی که پسوند فایلها نمایش داده نشوند سیستم شما به این تروجان الوده شده است.
این تروجان در درایو ویندوز و در مسیر زیر قرار میگیرد .
C:\WINDOWS\system32\soundmix.exe
فایل کتابخانه ای ان نیز در مسیر زیر قرار میگیرد
C:\WINDOWS\system32\dllcachezipexr.dll
این تروجان علاوه بر کاهش سرعت سیستم باعث عدم نمایش پسوند فایلها و جلوگیری از دسترسی شما به رجستری ویندوزتان می شود و باعث دزدیده شدن اطلاعات سیستم شما خواهد شد.
این ویروس خودش را در system32 با نام soundmix.exe و به صورت یک فایل سیستمی قرار می دهد .
یک کپی در dllcache با نام zipexr.dll نگه می دارد و اگر شما این فایل را پاک کنید بعد از این که سیستم بالا می اید هیچ فایل exe رو اجرا نمی کند .
سه قسمت را در رجیستری دستکاری می کند
Software\Microsoft\Windows\CurrentVersion\Run
exefile\shell\open\command
SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer \Advanced\Folder\Hidden\SHOWALL
بعد از اتصال حافظه فلش خود به سیستم روی آیکون حافظه که ایجاد شده است کلیک راست کنید. در حالت عادی گزینه های زیر بایستی نمایان گردد :
Open
Explore
Search
Autoplay
در غیر این صورت اگر نوشته هایی عجیب و غریب مشاهده گردد بیان گر وجود ویروس می باشد
راه پاکسازی Soundmix.exe یا تروجان Win32/Agent.AEC
در حال حاضر انتی ویروسهایی که توانایی شناسایی این ویروس را داردند آنتی ویروس NOD32 و کسپر اسکای و بیدیفندر می باشند شایان ذکر است این انتی ویروس ها نیز فقط در صورتی که به روز باشد توانایی پاکسازی Soundmix.exe را خواهد داشت .
در ضمن می توانید از برنامه ای که برای پاک کردن این ویروس درست شده است استفاده کنید .
http://mahdi7610.parsaspace.com/ANTI%20SOUNDMIX.rar
حل مشکل open with
اگر بر روی هر درایو کلیک می کنید پنجره open with باز می شود به دلیل پاک شدن فایلی می باشد که مسئول باز کردن درایو می باشد .
شما می توانید از برنامه زیر برای حل این مشکل استفاده کنید . البته قبل از ان باید ویروس autoran را از درایو های خودتون پاک کرده باشید . بعد از اجرا کردن برنامه باید چند دقیقه منتظر باشید تا برنامه کار خود را انجام دهد . بعد از اینکه کارش به اتمام رسید به شما پیغام می دهد . پس صبور باشید .
کد:
http://www.techsupportforum.com/sect...isinfector.exe
نحوه پاک کردن ویروس Virus Win32/Jeefo یا SVCHOST.EXE
بعلت وجود ویروسی مخرب به اسم Jeefo که با نام SVCHOST.EXE البته در شاخه دیگری غیر از فایل اصلی ساکن می شود و اقدام به خرابکاری تمام فایلهای اجرایی exe می کند .
اکثر انتی ویروس ها SVCHOST.EXE را به عنوان ویروس می شناسند . در حالی که SVCHOST.EXE ویروس نیست بلکه ویروس فایل دیگری می باشد که خود را به این نام در اورده است .
این ویروس باعث می شود که برنامه ها درست اجرا نشوند . و طولانی بودن زمان الودگی سیستم باعث از کار افتادن سیستم عامل می شود.
نحوه پاک کردن ویروس
ابتدا سعی کنید System Restore را غیر فعال کنید .
برای این کار ابتدا روی my computer راست کلیک کنید و سپس properties را بزنید از پنجره باز شده به تب
System Restore رفته و تیک گزینه Turn off System Restore on all drives را بزنید و بعد پنجره را ok کرده و به سوال پرسیده شده جواب مثبت دهید .
حال ابتدا با زدن سه کلید ترکیبی ctrl + alt + delete وارد Task Manager شوید و به تب Processes رفته و از اوجا فایل SVCHOST.EXE در حال اجرا توی ویندوز را پاک می کنیم .
البته در تب Processes شما حداقل 4 تا یا بیشتر SVCHOST.EXE در حال اجرا می بینید که باید با برنامه های مدیریت پروسه های Task Manager بتونید این فایل را تشخیص دهید . زیرا این برنامه ها مسیر پروسه های اجرایی را در Task Manager نشان می دهند . این فایل بیشتر خود را با نام یوزر که در ان هستید (Log On) اجرا می کند .
حال به مسیر C:\WINDOWS رفته و فایل SVCHOST.EXE را پاک می کنیم .
البته شما نباید فایل اصلی SVCHOST.EXE را که در مسیر C:\WINDOWS\System32 قرار دارد را پاک کنید .
بعد از این کار سیستم را ریستارت کنید .
سپس سیستم را در حالت safe mode راه اندازی کرده و انتی ویروس jeefogui را اجرا کنید .
ممکن است بعد از این عملیات بعضی از فایلهای exe شما از کار بیفتند که شما باید دوباره برنامه انها را نصب کنید .
انتی ویروس jeefogui
http://mahdi7610.parsaspace.com/jeefogui.rar
پاک کردن ویروسی که از طریق باهو مسنجر منتشر می شود
عملکرد این ویروس
1- در ابتدا ویروس صفحه شخصی اینترنت اکسپلورر (Default IE Page) را به یک سایت تغییر می دهد. در این صورت به هیچ طریق امکان عوض کردن آن وجود نخواهد داشت. بعد از هر باز باز کردن یک صفحه وب جدید، ویروس مجددآ خود را در سیستم شما کپی می کند.
غیر فعال کردن Task Manager و رجیستری
ایجاد فایلهایی با نام های svhost.exe , svhost32.exe , internat.exe
نحوه از بین بردن این ویروس و مشکل
ابتدا با استفاده از روشهای گفته شده در بالا Task Manager و رجیستری را فعال کنید .
اتصال خود به اینترنت را قطع کنید .
حال برای برگرداندن صفحه نخست مروگر خود به حالت قبل وارد رجیستری شوید .
ابتدا وارد منوی استارت شوید و روی گزینه run کلیک کنید و عبارت regedit را نوشته تا وارد رجیستری شوید .
میسر های زیر را با دقت پیدا نموده و در آنها وارد شوید حال اسم سایت مورد نظر را که در home page شما قرار گرفته است را پاک کرده و اسم سایت خودتان را بنویسید مثلا www.forum.p30world.com
سپس به internet option رفته و این کار را هم انجام دهید se current- use default -use blank
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main
HKEY_ LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main
HKEY_USERS\Default\Software\Microsoft\Internet Explorer\Main
اگر Homepage شما همچنان غیر فعال است مسیر زیر را هم انجام دهید
HKEY_CURRENT_USER\Software\Policies\Microsoft\Inte rnet Explorer\Control Panel
در منوی سمت راست گزینه ی Homepage را پیدا کرده، بر روی آن کلیک کنید و مقدار آنرا از عدد 1 به عدد 0 تغییر دهید.
حالا با زدن کلید های ترکیبی ctrl + alt + delete وارد Task Manager شوید و به تب Processes رفته و اگر فایلی با نام svhost32.exe وجود دارد ان را end کنید .
( مواظب باشید این فایل را با SVCHOST.EXE اشتباه نگیرید )
از طریق جستجو در ویندوز دو فایل svhost32.exe و svhost.exe را پیدا کرده و انها را پاک کنید .
حال وارد رجیستری شوید و با زدن کلید F3 فایلی به نام svhost را جستجو کرده و در صورت مشاهده ان را پاک کنید .
( ممکنه شما فایلی با نام svhost را پیدا نکنید اما یادتان باشد که ان را با SVCHOST.EXE اشتباه نگیرید چون فایل svhost مربوط به ویروس است اما SVCHOST.EXE یکی از فایلهای اصلی ویندوز می باشد .)
باید شما هر دو کار را انجام داده باشید یعنی هم ویروس را پاک کرده باشید و هم صفحه اینتر نت اکسپلورر را تغییر داده باشید تا مشکل حل شود . اگر یکی را انجام داده و یکی را انجام ندهید باز ویروس فعال خواهد شد .
سپس سیستم را ریستارت کنید .
انتی ویروس Y.V.Remover
http://mahdi7610.parsaspace.com/Y.V.Remover.zip
نحوه از بین بردن ویروس services.exe
متاسفانه اکثر ویروسهایی که جدیدا به وجود می ایند همنام پروسه های مربوط به سیستم عامل می باشند به همین دلیل تشخیص انها هم برای کاربران و هم برای انتی ویروس ها نسبتا مشکل شده است .
و از کار انداختن انها نیز قدری سخت شده است .
و همین عامل می تواند یکی از نقاط ضعف سیستم عامل های ماکروسافت محسوب شود .
فعالیت های ویروس services.exe
اولین کاری که این ویروس انجام می دهد خودش را با نام فایلهایی که در یک فولدر است در می اورد و فایلهای فولدر را مخفی می کند و یک فایل با نام همان فولدر می سازد که دارای پسوند exe می باشد .
و به فولدر هایی که مخفی می کند علاوه بر خصلت hidden خصلت سیستمی هم می دهد .
سپس به وسیله windows policy برنامه های regedit و cmd و msconfig و taskmanager رو از کار می اندازد(گاهی اوقات هنگام استفاده از دستور cmd کامپیوتر را ریستارت هم میکند) در بعضی مواقع از قسمت folder option گزینه view رو مخفی میکند.
و اجازه دسترسی به بعضی از گزینه های مدیریتی رو بطور کامل از بین میبرد .
و حتی با تعویض ویندوز هم فایلها از حالت مخفی خارج نخواهند شد . به خاطر این که با تعویض ویندوز هنوز اثرات این ویروس در دیگر درایو ها وجود دارد و تنها با کلیک کردن روی یکی از انها ویروس فعال شده و دوباره همه جا را الوده می کند .
نحوه از بین بردن ویروس services.exe
برای از بین بردن این ویروس ابتدا کدهای زیر را داخل note pad کپی کرده و با نام و پسوند rescue.bat در مسیر در مسیر c:\ ذخیره نمایید.
@echo off
:try
del c:\windows\services.exe
if exist c:\windows\services.exe goto try
حالا به منوی start رفته و روی گزینه run کلیک کنید و عبارتregedit را تایپ کرده و ok را بزنید. تا وارد محیط رجیستری شوید .
حال به مسیر زیر بروید.
HKEY_LOCAL_MACHINE\system\currentcontrolset\servic es\eventlog
روی فایل image path دوبار کلیک کرده و در این پنجره به جای %systemroot%\system32\services.exe عبارت c:\rescue.bat را تایپ کنید.
ویندوز را restart کنید.
دوباره به منوی start رفته و برنامه run را اجرا کرده و regedit را تایپ کرده و ok را بزنید.
حال به مسیر زیر بروید.
HKEY_LOCAL_MACHINE\system\current control set\services\eventlog
روی فایل image path دوبار کلیک کرده و در این پنجره به جای c:\rescue.bat عبارت %systemroot%\system32\services.exe را تایپ کنید.
فایلهای مسیرهای زیر را پاک کنید .
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\serenta
و
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run
و
"services.exe"="%windir%\services.exe"
حال تغییرات زیر را انجام دهید.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\shell
shell را از مسیر بالا باز کنید.حال به جای explorer.exe %windir%\services.exe عبارت explorer.exe را تایپ کنید یعنی به عبارت ساده ته اون را پاک کنید.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\userinit
userinit را از مسیر بالا باز کرده و به جای عبارت C:\WINDOWS\system32\userinit.exe,,%windir%\service s.exe
عبارت ,,%windir%\services.exe را حذف نمایید یعنی مسیر به صورت زیر در می آید.
C:\WINDOWS\system32\userinit.exe
به پوشه temp رفته و در صورت وجود فایل Service.exe ان را پاک کنید .
حالا آنتی ویروس های kaspersky و nod32 را update نمایید و سیستم را به طور کامل در حالت safe mode ویروس یابی کنید .
ضمناً بهتر است بعد از update و ویروس یابی ویندوز خود را عوض کنید.
anti spyware برای از بین بردن ویروس services.exe
این انتی spyware یکی از بهترین ها برای از بین بردن ویروس services.exe می باشد .
http://www.spywareremove.com/downloa...anner6p2s2.exe
فقط توجه داشته باشید که این anti spyware ویروس services.exe را پیدا می کند و برای از بین بردن انها حتما باید این برنامه کرک شده باشد .
این برنامه کرک شده نیست . اگه کسی کرک اونا پیدا کرد لطف کنه بده بزارمش اینجا تا دوستان دیگه هم استفاده کنند .