فرهنگ و تاريخ | سرگرمي | نيازمنديها | مذهبي | اقتصادي | خانواده و اجتماع | هنر | اخبار | ورزش | کامپيوتر | گردشگري | صنعت و دانشگاه | صفحه اصلي

آموزش کارکردن با نرم افزارها
دانلود نرم افزارهاي کاربردي
آموزش سخت افزار کامپيوتر
آخرين قيمت قطعات کامپيوتر
آموزش ويندوز و ترفندهاي آن
معرفي انواع سيستم عاملها
آموزش کار با اينترنت و شبکه
مبارزه با ويروسهاي کامپيوتري
رده بندي سايتهاي کامپيوتري
نشريات و کتابهاي کامپيوتري
 
 

عنوان: مقابله با ويروس ايراني سالدوست يا ويروس شعار نويس

نويسنده:

منبع اطلاعاتي: www.Fadak.us            تاريخ نگارش:

عکس
 

 

گالري تصاوير

 

- - - - -

   
 
 

ويروس سالدوست W32/Saldost يکي از ويروسهاي ويروسهاي شايع ايراني مي باشد که در بهمن 1386 همزمان با انتخابات دوره هشتم مجلس در ايران شايع شد و به سرعت هزاران کامپيوتر در ايران را آلوده کرد. از آنجايي که اين ويروس از يک ويروس خارجي کپي برداري و سپس دستکاري شده است، بسياري از نرم افزارهاي امنيتي معروف به سختي قادر به شناسايي آن و يا حذف کامل آن هستند و اخيرا نسخه هاي مشابهي از آن در اينترنت منتشر شده است. اين ويروس در واقع نسخه خاصي از دو ويروس Malas و همچنين Sality ميباشد. البته سالدوست را مي توان بدافزار ناميد.

 

يکي از نشانه‌هاي اين ويروس به نمايش درآوردن نواري زرد رنگ در بالاي صفحه همراه با جملاتي فارسي با رنگ قرمز است

 

 نحوه کار ويروس سالدوست:
اين ويروس اغلب اعمال زير را انجام مي دهد:
         يک نوار زرد رنگ در بالاي صفحه رايانه و همراه با جملات فارسي به رنگ قرمز نمايش داده مي‌شود. جملاتي که بيشتر توسط اين ويروس نمايش مي يابد شعارها و جملاتي بر عليه جمهوري اسلامي ايران ، باورها و ارزشهاي جامعه ميباشد.
         يک فايل HTM با نام Important يا Harf يا نامهايي ديگر بر روي Desktop کامپيوتر شما ظاهر مي شود که در آن نيز جملاتي برعليه ارزشها نوشته شده است.
         اين ويروس گزينه Folder Options کامپيوتر شما را غير فعال ميکند. 
         همچنين اين ويروس دو فايل مخفي و سيستمي به نامهاي Autorun.exe يا autoply.exe و Autorun.inf را در کليه درايوهاي هارد ايجاد مي کند و موجب مي شود که با دابل کليک کردن روي درايوها ، فايل اجرايي اتوران اجرا شده و درايو مورد نظر در پنجره اي ديگر باز شود و يا در نسخه هايي اصلا درايو باز نشود. تنها راه بازکردن درايوها نوشتن نام درايو به ههراه دونقطه (:) در پنجره RUN ميباشد.


اين بدافزار اينترنتي پس از اجراي فايل ، بر روي سيستم کاربر، ابتدا خودش را بر روي سيستم کپي مي‌کند و سپس با تغيير دادن کليدهايي در رجيستري باعث بروز مشکلاتي از جمله باز نشدن  Folder Option و مخفي نگه داشتن فايل‌هاي مخفي و سيستمي مي‌شود.


 روشهاي مقابله و حذف :
روشي که در زير گفته ايم ممکن است در نسخه هاي مختلف اين ويروس مقداري با هم متفاوت باشند اما اصول و پايه کار به همين صورت است و کمي تلاش و خلاقيت شما را نيز طلب مي کند.
قبل از هر چيز Task Manager را اجرا کنيد ( با زدن کليدهاي Alt , CTRL , Del به صورت همزمان ) و برنامه هاي مشکوکي مانند Systray.exe و Userinit.exe و Spoolsv.exe و Soundman.exe و Sounmax.exe را با زدن دکمه End Task ببنديد.
از آنتي ويروس Nod۳۲ و همچين Kaspersky نيز ميتوانيد براي شناسايي و حذف اين ويروس استفاده کنيد. ( البته بايستي اين دو انتي ويروس آپديت شده باشند و ممکن است ويروس فوق با نامهاي Malas يا Sality و يا P۲p.Worm.Generic شناسايي کنند)
اين ويروس در نسخه هاي جديد با نام W۳۲/Nahkos توسط آنتي ويروس پاندا شناسايي مي شود.
ويروس کش مک آفي(McAfee) اين ويروس را با عنوان W۳۲/Bindo.worm مي شناسد.
آنتي ويروس سوفوس با نام Troj/Yusufali- A و آنتي‌ويروس کوئيک‌هيل با نام‌هاي "Win۳۲.Malas.c" و "Win۳۲.Malas.A" و "Trojan.Win۳۲.VB.zu" اين ويروس را شناسايي مي کند.
اما باز بايد به صورت دستي فايلهاي Autorun.inf و Autorun.exe موجود در درايوهاي آلوده را حذف کنيد.
براي حذف اين دوفايل مي توانيد وارد پنجره RUN شده و دستور CMD را بنويسيد تا پنجره اجراي دستورات داس نمايان گردد ، سپس در اين پنجره دستورات زير را براي کليه درايوها انجام دهيد.
حذف AUTORUN.INF :
attrib -r -a -h -s Drive:\AUTORUN. INF
del Drive:\AUTORUN. INF
حذف Autorun.exe :
AUTORUN.INF
attrib -r -a -h -s Drive:\autorun. exe
del Drive:\autorun. exe
(به جاي کلمه Drive نام درايو را قرار دهيد مثلا براي درايو C بايد بنويسيد) :
attrib -r -a -h -s C:\AUTORUN.INF
همچنين مي توانيد فايل زير را از صفحه دانلود فايل از همين سايت دريافت نموده و اجرا کنيد تا به صورت اتوماتيک اين فايلها از سيستم حذف شوند..دانلود برنامه حذف اتوپلي و اتوران از درايوها که باعث باز نشدن درايوها مي شود Download Link
AutoPaly.exe Remover
دانلود برنامه حذف اتوران اجرايي و اتوران از درايوها که باعث باز نشدن درايوها مي شود Autorun.exe
رفع عيوب رجيستري که توسط ويروس ايراني سالدوست ايجاد شده ، بازگرداندن فولدر آپشن Saldost Registry Repair
براي برگرداندن فولدرآپشنز به پنجره Run رفته و دستور Regedit را نوشته و اجرا کنيد تا وارد نرم افزار ويرايش رجيستري ويندوز شويد.
حال از منوي Edit گزينه Find را انتخاب کنيد و عبارت NoFolderOption را نوشته تا اين عبارت در رجيستري جستجو شود. هر بار که اين عبارت را يافتيد بايستي روي آن دابل کليک کرده و مقدار ارزش آن را از ۱ به صفر تغيير دهيد. (نمايش فولدر آپشنز پس از اين عمل درصورت راه اندازي مجدد سيستم صورت ميگيرد ).
درصورتيکه Taskmanager و يا Regedit نيز غير فعال شده اند به مقاله " فعال کردن رجيستري که توسط ويروس غير فعال شده است " و همچنين " فعال کردن تسک منيجر که توسط ويروس غير فعال شده است " مراجعه کنيد.
▪ نکته : براي فعال کردن حالت نمايش کليه فايلهاي سيستمي و مخفي وارد MyComputer شده و سپس به منوهاي زير برويد :
Tools=>FolderOptions=>View
سپس گزينه Show Hidden Files And Filders را فعال کنيد.
همچنين گزينه Hide protected operating system files را غيرفعال نماييد.
توجه کنيد که درايوها را با دابل کليک باز نکنيد و فقط با روش گفته شده در بالا (استفاده از RUN و تايپ نام درايو به همراه : ) درايوها را باز کنيد.
به درايوي که ويندوز در آن نصب شده برويد و در مسير Program files پوشه XpCode را حذف کنيد.
به درايوي که ويندوز در آن نصب شده برويد و وارد پوشه Documents and Settings شده و درآنجا وارد پوشه اي که به نام کاربر فعلي ميباشد شده و سپس در پوشه Local Settings فايل Startup.exe را حذف کنيد. ( توجه کنيد که Local Settings نيز پوشه اي مخفي و سيستمي است )
در همين پوشه وارد پوشه Temp شده و کليه فايلهاي موجود در آن (خصوصا Systray.exe) را حذف کنيد.
در پنجره Run عبارت MsConfig را نوشته و در بخش Startup کليه گزينه ها را از حالت انتخاب خارج کنيد ( هيچکدام تيکدار نباشند ).
از پوشه Startup ( واقع در C:\Documents and Settings\ user\Start Menu\Programs\ Startup ) برنامه هايي که کلمه Update را دارند حذف کنيد. ( مانند Office Update ويا Adobe Update )
حال سيستم را ري استارت کنيد.
پس از راه اندازي مجدد سيستم ، يکبار کل سيستم را با آنتي ويروس بروز شده اسکن کنيد و درصورت رفع مشکل باز در پنجره Run عبارت MsConfig را نوشته و در بخش Startup گزينه هايي را که غيرفعال کرده بوديد را به حالت قبل درآوريد.
▪ نکته : در يکي از نسخه هاي اين ويروس در بخش Startup فايلي به نام Soundman.exe يا SoundMax.exe نيز وجود دارد که بايد غير فعال شود و اين فايل نيز از مسير \Sound Utility\Soundmax. exe حذف گردد.
همچنين از طريق رجيستري در مسير
HKLM\SOFTWARE\ Microsoft\ Windows\CurrentV ersion\Run\ SoundMax
بايد Soundmax يا Soundman.exe را حذف کنيد.

 

 

 

 

 

گروه علمي فدک

کليه مطالب ارسالي با نام اشخاص و ذکر منبع در اين سايت درج مي شود

راهنما  |  آمار سايت  |  درباره ما  |  تماس با ما  |  نظر خواهي  | آرشيو  |  عضويت در سايت