حذف تروجان.win32 یاویروس Soundmix.exe

شایع ترین راه انتقال این ویروس حافظه های فلش می باشد.

هرچند که باز کردن برخی سایت های آلوده نیز می تواند این ویروس را در سیستم مستقر سازد این ویروس با دستکاری رجیستری ، هر بار که ویندوز راه اندازی می شود خود را اجرا می کند. با اجرای هر فایل اجرایی در ویندوز نیز این فایل اجرا خواهد شد و پس از اجرا Processes آن را به هیچ عنوان نمی توان خاتمه داد.
این ویروس اجازه دیدن فایل های پنهان را به کاربر نمی دهد و فایل هایی که مخفی شوند دیگر قادر به مشاهده نخواهند بود. دسترسی به برخی سایت ها ممکن نمی باشد و این ویروس با اجرای خود منجر به ایجاد سربار روی سیستم ، کندی دستگاه ، بسته شدن ناخواسته برخی برنامه ها و احیانا بوت شدن خود بخود کامپیوتر می گردد.
همچنین با آلوده کردن حافظه های فلشی که به دستگاه متصل می گردند ، سعی به انتشار خود می کند. راههای شناخت این تروجان برای این که متوجه شوید که ایا سیستم شما الوده به این تروجان است یا نه از طریق فشرن همزمان سه کلید Alt + Ctrl + Delete  وارد Task Manager شوید و سپس به تب Processes رفته و در صورتی که فایل اجرایی Soundmix.exe در حال اجرا باشد سیستم شما به این تروجان آلوده شده است.

راه دیگر شناسایی این تروجان عدم نمایش پسوند فایلهاست از طریق منوی Folder Option و فعال کردن گزینه Show Hidden files and folder  و تایید آن در صورتی که پسوند فایلها نمایش داده نشوند سیستم شما به این تروجان الوده شده است.

 این تروجان در درایو ویندوز و در مسیر زیر قرار میگیرد .  C:\WINDOWS\system32\soundmix.exe

فایل کتابخانه ای ان نیز در مسیر زیر قرار میگیرد . C:\WINDOWS\system32\dllcachezipexr.dll

این تروجان علاوه بر کاهش سرعت سیستم باعث عدم نمایش پسوند فایلها و جلوگیری از دسترسی شما به رجستری ویندوزتان می شود و باعث دزدیده شدن اطلاعات سیستم شما خواهد شد.

این ویروس خودش را در system32 با نام soundmix.exe و به صورت یک فایل سیستمی قرار می دهد . یک کپی در dllcache با نام zipexr.dll نگه می دارد و اگر شما این فایل را پاک کنید بعد از این که سیستم بالا می اید هیچ فایل exe رو اجرا نمی کند .
دو قسمت را در رجیستری دستکاری می کند

Software\Microsoft\Windows\CurrentVersion\Run exefile\shell\open\command SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer \Advanced\Folder\Hidden\SHOWALL
 

بعد از اتصال حافظه فلش خود به سیستم روی آیکون حافظه که ایجاد شده است کلیک راست کنید. در حالت عادی گزینه های زیر بایستی نمایان گردد :
 Open
Explore
Search Autoplay

 در غیر این صورت اگر نوشته هایی عجیب و غریب مشاهده گردد بیان گر وجود ویروس می باشد .
 در ضمن از این برنامه که برای پاک کردن این ویروس درست شده است استفاده کنید

»دانلود از سایت سازنده

»دانلود از سرور 4shared

»دانلود از سرور سایت WhineOnline

طریقه حذف ویروس Fooool.exe در ۸ مرحله

1- سیستم خود را ریسیت کنید.2- با زدن کلید F8 به حالت Safe Mode With Command Prompt بروید.
3- سپس با اجرای Start / Run و تایپ cmd موارد زیر را اجرا کنید.4- به ریشه اصلی درایو c بروید، شاید لازم باشد از دستور cd کمک بگیرید.
5- این خط را تایپ کنید , Enter بزنید:
attrib Fooool.* -s -h -r -a
6- دستور زیر را تایپ کرده Enter بزنید:
dir /s Fooool.exe
7- اگر فایلی لیست شده بود، پس ویروس وجود دارد و با دستور زیر آنرا پاک کنید:
del Fooool.exe
8- دستورات فوق را برای کلیه درایوهای خود انجام دهید تا از حذف کامل این ویروس اطمینان حاصل کنید.

یکی از مشکلات کاربران اینترنت الوده شدن به انواع ویروس است. این ویروسها معمولا طوری هستند که حتی با از بین بردن آنها اثرشان در ویندوز باقی می ماند و خیلی از قسمتهای اساسی سیستم را غیر فعال میکند که چند نمونه انها در زیر ذکر شده است

 پنهان شدن Folder Options
- عدم نمایش فایلهای Hidden
- غیر فعال شدن رجیستری
- غیر فعل شدن Task Manager
- عوض شدن Home Page مرورگر IE
- بسته شدن ناگهانی Internet Explorer
- غیر فعال شدن راست کلیک IE
- غیر فعال شدن Internet Options
- هدایت شما به صفحه ای دیگر در هنگام مرور اینترنت
- غیر فعال شدن کنترل پنل
- غیر فعال شدن msconfig
- غیر فعال شدن Command Prompt
- غیر فعال شدن منوی راست کلیک Taskbar
- غیر فعال شدن جستجوی ویندوز- پنهان شدن دکمه Log off از منوی Start
- غیر فعال شدن Shut Down
و.......

RRT Sergiwa Antiviral Toolkit Enterprise مجوعه کامل  از ابزارهایی است که میتواند تمام اثرات باقی مانده از ویروسها را در سیستم شما حذف کند و شما را به یک سیستمی سالم برگرداند یعنی تمام گزینهای غیر فعال شده را که در بالا زکر شدند فعال کند.

دانلود این نرم افزار در ادامه مطلب

طریقه حذف ویروس Win32/PSW.Agent.NDP

این ویروس باعث غیرفعال شدن گزینه show hidden files and folders در folder option می شود و باعث عدم نمایش فایلهای مخفی می شود و اجازه نمی دهد کاربرها فایلهای مخفی را از حالت مخفی بیرون بیاورند .

این ویروس با دستکاری رجیستری ویندوز باعث می شد که شما نتونید تنظیمات hidden file and folder را تغییر دهید .
به محض تغییر دادن این قسمت و خارج شدن از ان تنظیمات به حالت پیش فرض خود برمیگردند .
البته این ویروس خرابکاریهای دیگری هم انجام می دهد اول اینکه داخل تمام درایوهای شما یه فایل autorun.inf می سازد که درایوهای هارد شما را autorun می کند .

دوم اینکه دوباره داخل تمام درایوها یک فایل به نام ntde1ect می سازد که شما به محض اینکه فلاپی وارد سیستم کنید یا فلش یا mp3 pleyer را به کامپیوتر متصل کنید یک کپی از خودش به صورت hidden وارد دستگاه شما یا فلاپی شما می کند که شما متوجه ان نمی شوید .

البته فایل ntde1ect خیلی شبیه فایل ntdetect هست که داخل درایو C وجود دارد و برای بالا امدن ویندوز ضروری می باشد .
مواظب باشید این دو فایل را اشتباه نگیرید .
سوم اینکه با اجرای فایل avpo.exe به شما اجازه نمیدهد که فلش یا mp3 pleyer یا هر چیز دیگه رو از پورت USB ، safe remove کنید . 

نحوه پاک کردن ویروس Win32/PSW.Agent.NDP

در حالت safe mode وارد ویندوز شوید . ( با زدن دکمه F8 قبل از بالا آمدن ویندوز حالت safe mode را انتخاب کنید )

پنجره Task Manager را باز کنید (Ctrl-Alt-Delete) و برنامه های زیر را در صورت اجرا ببندید .
wscript.exe : اگر در حال اجرا بود آن را ببندید (End process)
avpo.exe : اگر در حال اجرا بود آن را ببندید (End process)

از قسمت start برنامه Run را اجرا کنید و در عبارت cmd را در آن تایپ کنید و enter را بزنید .
در این قسمت در خط فرمان برنامه ، دستور زیر زیر را تایپ کنید و enter را بزنید .

del c:\autorun.* /f /a /s /q
این دستور را برای درایوهای دیگر اجرا کنید . با این دستور تمام فایلهایautorun موجود delete می شود .

در این مرحله در خط فرمان c:\ دستور زیر را تایپ کنید تا وارد پوشه system32 شوید :

C:\cd windows\system32
C:\windows\system32

در ادامه دستور زیر را تایپ کنید و آنرا اجرا کنید .

*.*dir /a avp

در این قسمت هر فایلی به نامهای avp0.dll و avpo.exe و avp0.exe دیده شد آنرا پاک کنید .
attrib -r -s -h avpo.exe
del avpo.exe

بعد از این مراحل تمام پنجره ها رو ببندید و برنامه registry را اجرا کنید :

(Run \regedit)
مسیر زیر را دنبال کنید :
HKEY_CURRENT_USER \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run
در این قسمت هر کلیدی که به نام avpo.exe بود را delete کنید .

در برنامه registry قسمت edit گزینه Findرا کلیک کنید و عبارت ntde1ect را جستجو کنید. تمام کلیدهای پیدا شده را delete کنید .
این کار را برای فایل avpo.exe نیز انجام دهید و تمام کلیدهای پیدا شده راdelete کنید .

در آخر کار سراغ کلید زیر بروید و مقدار CheckedValue را برابر 1 قرار دهید .

HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion
Explorer/Advanced/Folder/Hidden/SHOWALL

آموزش از بین بردن ویروس kazme__gheyz.exe

راه اول - استفاده از نرم افزار

این ویروس به صورت دو فایل در درایوها قرار میگیرد و TaskManager,Registry,command dos,gpeditرا از کار می اندازه و نام فایل ویروس به نامهای kazme__gheyz.exe و autorun.inf هست.که توسط فردی ایرانی و برای معرفی وبللاگش ساخته شده

برنامه ازبین بردن ویروس جدید Kazme_gheyz.exe (یا همان TR/Crypt.CFI.GEN )
را میتوانید در ادامه مطلب همین پست دانلود نمائید

مخفی کردن نوشته در فایل بدون نرم‌افزار های جانبی

یکی از خصوصیات فایل سیستم NTFS قابلیت نسبت دادن فایل ها به چند داده مختلف یا همان Alternate Data Stream است. که کاربرد های زیادی در نوشتن نرم افزار ها دارد و به ما این امکان را می‌دهد که مثلآ یک نوشته را در قالب یک نوشته دیگر مخفی کنیم.

* برای راحت انجام دادن این ترفند باید آشنایی جزئی با خط فرمان (Command Prompt) ویندوز داشته باشید.

طرز استفاده:

ابتدا cmd را باز کنید و تایپ کنید: notepad c:\MyText.txt

در پیغام ظاهر شده روی صفحه Yes را انتخاب کنید و یک متن دلخواه بنویسید. حالا فایل را ذخیره کرده و Notepad را ببندید. سپس تایپ کنید: notepad c:\MyText.txt:Code.txt

مانند دفعه قبل روی Yes کلیک کنید و متنی که می‌خواهید مخفی کنید را تایپ کنید و فایل را ذخیره کنید.

خوب همه چیز تمام شد ، حالا به پوشه‌ای که فایل ها را ذخیره کرده‌اید بروید (در این مثال درایو C). الان فقط یک فایل با نام MyText می‌بینید که اگر آن را باز کنید متن اولیه‌ای که وارد کرده‌اید نمایش داده می‌شود.

حالا برای دیدن رمز مخفی شده در نوشته دوباره cmd را باز کنید و تایپ کنید:notepad c:\MyText.txt:Code.txt

فایل MyText باز می‌شود فقط با این تفاوت که این بار رمز مخفی شده در فایل به نمایش در می‌آید.

از مزیت های این روش می‌توان به موارد زیر اشاره کرد:

+ عدم تغییر سایز فایل حاوی کد ، یعنی اگر یک متن ۱۰۰ کیلوبایتی را در یک نوشته ۱۰ کیلوبایتی مخفی کنید حجم فایل ۱۰ کیلوبایتی ثابت می‌ماند و باعث شک کردن افراد نسبت به اینکه فایل حاوی اطلاعات دیگری است نمی‌شود.

+ عدم نیاز به نرم‌افزار های جانبی دیگر ، برای انجام این ترفند یک ویندوز با یک درایو NTFS کافی است.

البته امنیت این روش به هیچ وجه قابل مقایسه با سیستم های کد‌گذاری (Encrypting) نیست و این کار در واقع یک نوع استفاده‌ی دیگر از یکی از قابلیت های ویندوز است.

شاید بپرسید چطوری فایل هایی که به این صورت مخفی شده‌اند را پیدا کنیم ؟

خیلی راحت ، نرم افزار LADS را از اینجا (34KB) دریافت کنید و در خط فرمان (cmd) اجرا کنید. برای مثال من فایلی که در مرحله‌ی قبل با هم مخفی کردیم را به این صورت پیدا می‌کنم:

فایل lads.exe را در درایو C قرار داده و در خط فرمان به \:C رفته و تایپ می‌کنم :

\:lads C

می‌توانید نوشته‌ی خود را در یک عکس هم مخفی کنید:

فرض کنید در درایو C یک فایل txt و یک فایل jpg داریم و می‌خواهیم محتویات فایل txt را در قالب فایل jpg مخفی کنیم.

وارد cmd شده و تایپ می‌کنم: type c:\Secret.txt >Golf.jpg:Secret.txt

حالا فایل Secret.txt را پاک می‌کنم و هر وقت خواستم کد را ببینم وارد cmd شده و تایپ می‌کنم:

Start c:\Golf.jpg:Secret.txt

* اگر بعد از کلمه‌ی Start عبارت \:C را ننویسید با پیغام Access Denied مواجه می‌شوید.

* این ترفند را روی اکثر پسوند های دیگر نیز می‌توانید انجام دهید.

* توجه داشته باشید که فایلی که شما کد را به آن می‌چسبانید در صورت تغییر مکان یافتن از هارد دیسک (بین درایو ها مجاز است) ، اطلاعات خود را از دست می‌دهد. این به این معنی است که شما نمی‌‌توانید مثلآ فایل عکس حاوی کد را روی فلش دیسک در کامپیوتر های دیگر اجرا کنید و کد آن را ببینید.

موفق باشید.