درود مهمان گرامی!   ورود   )^(   ثبت نام زمان کنونی: ۲-۴-۱۳۹۷, ۰۶:۱۳ عصر



ارسال پاسخ 
 
امتیاز موضوع:
  • 0 رأی - میانگین امتیازات: 0
  • 1
  • 2
  • 3
  • 4
  • 5

حالت موضوعی | حالت خطی
طریقه مقابله و حذف با ویروس سالدوست
نویسنده پیام
کاربر 10 ستاره
*
آفلاین
ارسال‌ها: 9,439
تاریخ عضویت: ۷ مرداد ۱۳۸۸
اعتبار: 19
سپاس ها 0
سپاس شده 611 بار در 611 ارسال
ارسال: #1
طریقه مقابله و حذف با ویروس سالدوست




یکی از نشانه‌های اين ویروس به نمايش درآوردن نواری زرد رنگ در بالای صفحه همراه با جملاتی فارسی با رنگ قرمز است

ويروس
سالدوست W32/Saldost يکي از ويروسهاي ويروسهاي شايع ايراني مي باشد که در
بهمن 1386 در ايران شايع شد و به سرعت هزاران کامپيوتر در ايران را آلوده
کرد. از آنجايي که اين ويروس از يک ويروس خارجي کپي برداري و سپس دستکاري
شده است، بسياري از نرم افزارهاي امنيتي معروف به سختي قادر به شناسايي آن
و يا حذف کامل آن هستند و اخيرا نسخه هاي مشابهي از آن در اينترنت منتشر
شده است. اين ويروس در واقع نسخه خاصي از دو ويروس Malas و همچنين Sality
ميباشد. البته سالدوست را مي توان بدافزار ناميد.








یکی از نشانه‌های اين ویروس به نمايش درآوردن نواری زرد رنگ در بالای صفحه همراه با جملاتی فارسی با رنگ قرمز است



نحوه کار ويروس سالدوست:

این ویروس اغلب اعمال زیر را انجام می دهد :

یک
نوار زرد رنگ در بالای صفحه رایانه و همراه با جملات فارسی به رنگ قرمز
نمایش داده می‌شود. جملاتی که بیشتر توسط این ویروس نمایش می یابد شعارها
و جملاتی بر علیه جمهوری اسلامی ایران ، باورها و ارزشهای جامعه میباشد.

یک
فایل HTM با نام Important یا Harf یا نامهایی دیگر بر روی Desktop
کامپیوتر شما ظاهر می شود که در آن نیز جملاتی برعلیه ارزشها نوشته شده
است .

این ویروس گزینه Folder Options کامپیوتر شما را غیر فعال میکند.

همچنین
این ویروس دو فایل مخفی و سیستمی به نامهای Autorun.exe یا autoply.exe و
Autorun.inf را در کلیه درایوهای هارد ایجاد می کند و موجب می شود که با
دابل کلیک کردن روی درایوها ، فایل اجرایی اتوران اجرا شده و درایو مورد
نظر در پنجره ای دیگر باز شود و یا در نسخه هایی اصلا درایو باز نشود .
تنها راه بازکردن درایوها نوشتن نام درایو به ههراه دونقطه (:) در پنجره
RUN میباشد.




این بدافزار اینترنتی پس از اجرای فایل ، بر روی سیستم کاربر، ابتدا خودش
را بر روی سیستم کپی می‌کند و سپس با تغییر دادن کلیدهایی در رجیستری باعث
بروز مشکلاتی از جمله باز نشدن Folder Option و مخفی نگه داشتن فایل‌های
مخفی و سیستمی می‌شود.




روشهای مقابله و حذف :

روشی که در زیر
گفته ایم ممکن است در نسخه های مختلف این ویروس مقداری با هم متفاوت باشند
اما اصول و پایه کار به همین صورت است و کمی تلاش و خلاقیت شما را نیز طلب
می کند .

قبل از هر چیز Task Manager را اجرا کنید ( با زدن کلیدهای Alt , CTRL ,
Del به صورت همزمان ) و برنامه های مشکوکی مانند Systray.exe و
Userinit.exe و Spoolsv.exe و Soundman.exe و Sounmax.exe را با زدن دکمه
End Task ببندید .

از آنتی ویروس Nod۳۲ و همچین Kaspersky نیز میتوانید برای شناسایی و حذف
این ویروس استفاده کنید . ( البته بایستی این دو انتی ویروس آپدیت شده
باشند و ممکن است ویروس فوق با نامهای Malas یا Sality و یا
P۲p.Worm.Generic شناسایی کنند)

این ویروس در نسخه های جدید با نام W۳۲/Nahkos توسط آنتی ویروس پاندا شناسایی می شود .

ویروس کش مک آفی(McAfee) این ویروس را با عنوان W۳۲/Bindo.worm می شناسد .

آنتی ویروس سوفوس با نام Troj/Yusufali- A و آنتی‌ویروس کوئیک‌هیل با
نام‌های "Win۳۲.Malas.c" و "Win۳۲.Malas.A" و "Trojan.Win۳۲.VB.zu" این
ویروس را شناسایی می کند .

اما باز باید به صورت دستی فایلهای Autorun.inf و Autorun.exe موجود در درایوهای آلوده را حذف کنید .

برای حذف این دوفایل می توانید وارد پنجره RUN شده و دستور CMD را بنویسید
تا پنجره اجرای دستورات داس نمایان گردد ، سپس در این پنجره دستورات زیر
را برای کلیه درایوها انجام دهید .

حذف AUTORUN.INF :

attrib -r -a -h -s Drive:\AUTORUN. INF

del Drive:\AUTORUN. INF

حذف Autorun.exe :

AUTORUN.INF

attrib -r -a -h -s Drive:\autorun. exe

del Drive:\autorun. exe

(به جای کلمه Drive نام درایو را قرار دهید مثلا برای درایو C باید بنویسید) :

attrib -r -a -h -s C:\AUTORUN.INF

همچنین می توانید فایل زیر را از اشما قادر به مشاهده لينک ها نمي باشيد . برای عضویت سریع کلیک کنید. دریافت نموده و اجرا کنید تا به صورت اتوماتیک این فایلها از سیستم حذف شوند.

.شما قادر به مشاهده لينک ها نمي باشيد . برای عضویت سریع کلیک کنید.r

شما قادر به مشاهده لينک ها نمي باشيد . برای عضویت سریع کلیک کنید.

رفع عیوب رجیستری که توسط ویروس ایرانی سالدوست ایجاد شده ، بازگرداندن فولدر آپشن Saldost Registry Repair

برای برگرداندن فولدرآپشنز به پنجره Run رفته و دستور Regedit را نوشته و اجرا کنید تا وارد نرم افزار ویرایش رجیستری ویندوز شوید .

حال از منوی Edit گزینه Find را انتخاب کنید و عبارت NoFolderOption را
نوشته تا این عبارت در رجیستری جستجو شود . هر بار که این عبارت را یافتید
بایستی روی آن دابل کلیک کرده و مقدار ارزش آن را از ۱ به صفر تغییر دهید
. (نمایش فولدر آپشنز پس از این عمل درصورت راه اندازی مجدد سیستم صورت
میگیرد ).

درصورتیکه Taskmanager و یا Regedit نیز غیر فعال شده اند به مقاله " فعال
کردن رجیستری که توسط ویروس غیر فعال شده است " و همچنین " فعال کردن تسک
منیجر که توسط ویروس غیر فعال شده است " مراجعه کنید.

▪ نکته : برای فعال کردن حالت نمایش کلیه فایلهای سیستمی و مخفی وارد MyComputer شده و سپس به منوهای زیر بروید :

Tools=>FolderOptions=>View

سپس گزینه Show Hidden Files And Filders را فعال کنید .

همچنین گزینه Hide protected operating system files را غیرفعال نمایید .

توجه کنید که درایوها را با دابل کلیک باز نکنید و فقط با روش گفته شده در
بالا (استفاده از RUN و تایپ نام درایو به همراه : ) درایوها را باز کنید .

به درایوی که ویندوز در آن نصب شده بروید و در مسیر Program files پوشه XpCode را حذف کنید .

به درایوی که ویندوز در آن نصب شده بروید و وارد پوشه Documents and
Settings شده و درآنجا وارد پوشه ای که به نام کاربر فعلی میباشد شده و
سپس در پوشه Local Settings فایل Startup.exe را حذف کنید . ( توجه کنید
که Local Settings نیز پوشه ای مخفی و سیستمی است )

در همین پوشه وارد پوشه Temp شده و کلیه فایلهای موجود در آن (خصوصا Systray.exe) را حذف کنید .

در پنجره Run عبارت MsConfig را نوشته و در بخش Startup کلیه گزینه ها را از حالت انتخاب خارج کنید ( هیچکدام تیکدار نباشند ) .

از پوشه Startup ( واقع در C:\Documents and Settings\ user\Start
Menu\Programs\ Startup ) برنامه هایی که کلمه Update را دارند حذف کنید .
( مانند Office Update ویا Adobe Update )

حال سیستم را ری استارت کنید .

پس از راه اندازی مجدد سیستم ، یکبار کل سیستم را با آنتی ویروس بروز شده
اسکن کنید و درصورت رفع مشکل باز در پنجره Run عبارت MsConfig را نوشته و
در بخش Startup گزینه هایی را که غیرفعال کرده بودید را به حالت قبل
درآورید .

▪ نکته : در یکی از نسخه های این ویروس در بخش Startup فایلی به نام
Soundman.exe یا SoundMax.exe نیز وجود دارد که باید غیر فعال شود و این
فایل نیز از مسیر \Sound Utility\Soundmax. exe حذف گردد.

همچنین از طریق رجیستری در مسیر

HKLM\SOFTWARE\ Microsoft\ Windows\CurrentV ersion\Run\ SoundMax

باید Soundmax یا Soundman.exe را حذف کنید .


شما قادر به مشاهده لينک ها نمي باشيد . برای عضویت سریع کلیک کنید.



موضوع‌های مرتبط با این موضوع...
آموزش حذف پسورد تنظیم شده بر روی آنتی ویروس NOD32
راهی ساده برای مقابله با تروجان Magic-PS 1.5
آموزش پاکسازی سیستم از ویروس ها بدون آنتی ویروس
تهیه نسخه پشتیبان از آپدیت های آنتی ویروس McAfee
نرم افزار آنتی ویروس(Anti Viruse) چیست؟
آشنایی با انواع ویروس های رایانه ای
نکاتی مهم در مورد ویروس های کامپیوتری
روش هایی برای محافظت از کامپیوترهای سازمان ها و شرکت ها در برابر ویروس ها
معرفی و آشنایی با ویروس هاس کامپیوتری
انتشار ویروس فلیم
نینجا شمشیری است میان خیزران....سرعت و دقت قدرت نینجاست.....نا امیدی مرگ نینجاست
۱۱-۶-۱۳۸۸ ۱۲:۱۸ صبح
مشاهده‌ی وب‌سایت کاربر یافتن تمامی ارسال‌های این کاربر نقل قول این ارسال در یک پاسخ

ارسال پاسخ 

کاربرانِ درحال بازدید از این موضوع: 1 مهمان
پرش به انجمن:


موضوع‌های مرتبط با این موضوع...
موضوع: نویسنده پاسخ: بازدید: آخرین ارسال
  چگونه می توان از اصل بودن برند دوربین مدار بسته اطمینان حاصل کرد؟ reza.arta 0 643 ۶-۲-۱۳۹۴ ۱۰:۳۰ عصر
آخرین ارسال: reza.arta
  دستگاه های دزدگیر بی سیم reza.arta 0 737 ۲۶-۱-۱۳۹۴ ۰۵:۴۰ عصر
آخرین ارسال: reza.arta
  آموزش کامل و جامع اسکریپت نویسی هک کوکی و حساب بانکی (جدید) maryammoradii 0 1,162 ۵-۱-۱۳۹۴ ۰۱:۱۰ عصر
آخرین ارسال: maryammoradii
  باگ امنیتی در وایبر! sahar.malekiyan70 0 917 ۷-۱۱-۱۳۹۳ ۰۵:۱۹ عصر
آخرین ارسال: sahar.malekiyan70
  ۷ مرحله بالا بردن امنیت شبکه‌های Wi – Fi نگار313 0 789 ۲-۱۱-۱۳۹۳ ۰۶:۱۷ عصر
آخرین ارسال: نگار313


درباره ایران فروم

تالار گفتگوی ایرانیان از سال 1387 هجری شمسی فعالیت خود را آغاز کرده و هم اکنون با بیش از 850.000 کاربر ثابت بزرگ ترین تالار گفتگوی فارسی زبان در جهان می باشد.

برای سفارش تبلیغات در ایران فروم کلیک کنید

لینک دوستان

لینک دوستان

لینک دوستان