حذف Trojan.Win32.Hider.i

حذف Trojan.Win32.Hider.i   تروجان / اسب تروا یا به قول عام ویروسی که تمام پوشه ها را مخفی می کند

عناوین دیگر :

Trojan.Win32.Hider.i (Kaspersky Internet Security or Antivirus)
Generic.dx (McAfee)
W32.SillyFDC (Symantec)
 TR/Hider.I.12 (Avira)
Troj/Hider-O (Sophos)
 Trojan:Win32/Hider.gen (Microsoft)

سیستمهای در معرض آسیب :

 Windows 2000, XP, Server 2003

توضیحات مختصر :

مخفی  و سیستمی کردن کلیه پوشه ها
کپی خود در تمام پوشه هایی که کاربر وارد آنها می شود یا آنها را مرور می کند .
تنظیم عدم نمایش فایلهای مخفی سیستمی و پسوند فایلها
تغییرات در رجیستری

شیوه آلودگی :
این ویروس از طریق مراجعه و ویزیت سایتهای آلوده  و همچنین دانلود کرکها و فایلهای مشکوک به سیستم کاربران وارد می شود .

 عملکرد تروجان هایدر :
این ویروس با ترفند بسیار جالبی ابتدا با استفاده از تنظیم خصوصیات سیستمی ، تمام پوشه هایی که کاربر بر روی آن کلیک می کند را ، بصورت سیستمی مخفی می کند و سپس خودش را با اسامی همنام آن پوشه ها ایجاد می کند که آیکن آنها به شکل پوشه است و هنگامی که کاربر روی آنها دابل کلیک می کند با پوشه خالی مواجه می شود و گمان می کند پوشه های وی حذف شده است .
درواقع بسیاری از کابران به محض آلوده سدن به این ویروس اظهار میدارند که ویروس تمام محتویات پوشه های آنها را حذف کرده است و بسیاری نیز به فکر ریکاوری سیستم خود می افتند !
این ویروس همچنین خاصیت نمایش پسوند فایلها را غیرفعال می کند تا کپی هایی که از خود ایجاد کرده و پسوند Exe دارند قابل شناسایی نباشد و از آنجا که با دستکاری رجیستری آیکان فایلهای کاربردی و Exe را به شکل فولدر تغییر می دهد ، خود را همانند پوشه خالی نمایش می دهد .
این تروجان خود را در رجیستری به صورت اتواستارت قرار می دهد و با هربار اجرای ویندوز مجددا اجرا می شود .

فایل اصلی این ویروس ISASS.EXE نام دارد که در شاخه اصلی ویندوز و در پوشه System32  ذخیره می شود .

WINDOWS\system32\isass.exe

 همکنون اکثر آنتی ویروسهای بروز شده این ویروس را شناسایی می کنند و قادر به حذف فایلهای ایجاد شده توسط آن هستند .
اما مشکلی که باقی می ماند آنست که بایستی به صورت دستی تمام پوشه های مخفی و سیتمی شده را به حالت قبل برگرداند ضمن آنکه تغییرات رجیستری انجام شده توسط این ویروس را بایستی به صورت دستی تصحیح کرد .

 طریقه حذف و پاکسازی ویروس هایدر :

1.    ابتدا System Restore را غیرفعال کنید .

2.    سپس بایستی سیستم را در حالت Safe Mode بوت کنید .

3.    در صورتی که در تسک منیجر ، پراسسی به نام isass.exe مشاهده می کنید آن را انتخاب کرده و روی آن کلیک راست نموده و End Task Tree را کلیک کنید .

4.    سپس با اجرای برنامه ی ویرایش رجیستری ویندوز
( نوشتن عبارت Regedit.exe در پنجره RUN و کلیک OK )

کلیدهای زیر در رجیستری را حذف کنید :
( این مسیر موجب اجرای ویروس در هرباری اجرای ویندوز می شود )

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\CSNetManagerXp
ImagePath = "%System%\isass.exe"

نکته : منظور از  ‌%System% پوشه سیستمی ویندوز است . این پوشه  در Windows 2000 با مسیر C:\WINNT\System32 و در Windows XP  و  Server 2003 با مسیر  C:\Windows\System32 میباشد .

5.    کلیدهای زیر در رجیستری را اصلاح کنید :
برای اصلاح نمایش پسوند فایلها مقدار متغیر   HideFileExt  را ز 1 به مقدار صفر تغییر دهید (در مسیر زیر : )

HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>
Windows>CurrentVersion>Explorer>Advanced>Folder>HideFileExt

مقدار متغیر SuperHidden را نیز از مسیر

HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>
Windows>CurrentVersion>Explorer>Advanced>Folder>SuperHidden

از مقدار فعلی صفر به مقدار یک تغییر دهید .

برای اصلاح و برگرداندن آیکان فایلهای اجرایی Exe در رجیستری ادیتور به مسیر

HKEY_LOCAL_MACHINE>SOFTWARE>Classes>exefile

رفته و مقدار متغیر default را از مقدار "File Folder" به " Application " تغییر دهید .
در پایان به مسیر

HKEY_CURRENT_USER> Software>Microsoft>Windows>
CurrentVersion>Explorer>Advanced

 رفته و مقدار دو متغیر  HideFileExt  و ShowSuperHidden  را به صورت زیر اصلاح کنید :
HideFileExt از مقدار فعلی 1 به مقدار صفر
ShowSuperHidden از مقدار فعلی صفر به مقدار یک

6. از برنامه ویرایش رجیستری خارج شوید و سیستم را ری استارت نمایید .

پس از بالا آمدن سیستم بایستی کلیه فایلهای آلوده ای که همنام با "پوشه های مخفی سیستمی شده" میباشند و دارای پسوند exe هستند را به صورت دستی پاک کنید .

آشنایی با کار ویروس ها

اولین قدم برای امنیت در سیستم نصب یک ضد ویروس کارآمد و قوی است. شما باید تنها یک ضد ویروس را در سیستم نصب کنید زیرا هیچ ضد ویروسی با دیگر ضد ویروس‌ها سازگار نیست و این کار باعث می‌شود تا از سرعت سیستم شما کاسته شود,در این میان هر ضد ویروسی که قوی تر باشد ضد ویروس دیگر را غیر فعال می کند و در اکثر موارد NOD32موفق می‌شود و دیگر انواع ضد ویروس را غیر فعال می‌کند. شما می‌توانید با نصب یک ضد ویروس فعال امنیت در سیستم خود را برقرار کنید.

آشنایی با کار ویروس ها

انواع مختلفی از ویروس ها وجود دارند که من شیوه حمله چند نوع از جدیدترین آنها را برای شما توضیح می دهم, انواع آخرین ویروس ها یعنی ساسر و بلستر خود را به صورت خودکار (پس از اینکه به هر طریقی به سیستم نفوذ کردند) در رجیستری ویندوز قرار می دهند سپس با هر بار روشن شدن ویندوز مجددا خود را اجرا و بازخوانی می کنند,به این صورت شما هر چقدر که ویروس را پاک کنید فایده ای ندارد و با روشن شدن مجدد ویروس خود را بازخوانی می کند!! با این کار شما تنها یک راه دارید -> فایل ویروسی را شناسایی کنید -> سپس آن را از رجیستری خارج کنید. اما برای ابزار های جاسوسی حتما به یک ضد ویروس مثل Nod32 نیاز خواهید داشت تا عملیات را به صورت خودکار انجام دهد.

انواع ویروس ها

ویروس‌ها از نظر حمله به بخش‌های مختلف سیستم انواعی دارند:

● حمله به نرم افزار

● حمله به سخت افزار

● حمله به ویندوز

● حمله به سیستم عامل

و...

راه‌های ورود

ویروس ها از راه های مختلفی به سیستم شما نفوذ می کنند از طریق شبکه و سخت افزار امکان حمله ویروس به سیستم وجود دارد :

سخت افزار :

● CD , DVD

● Memory , Lan

نرم افزار :

● اینترنت , فایل

ویروس ها می توانند از نبود یا ضعف یک ضدویروس استفاده کنند! اما این کار از پیش تعیین شده که ضد ویروس از چه راه یا راه‌هایی وارد سیستم شود و تا به حال یک ویروس هوشمند که بتواند ضعف ضدویروس را به دست آورد، ساخته نشده است!

اما امکان ساخته شدن چنین ویروسی وجود دارد و برای یک برنامه نویس ++C و #C حرفه ای این کار تنها کمی برنامه ریزی و وقت نیاز دارد.

راه های عملی

شما هرگز فایل های مشکوک را به حالت عادی اجرا نکنید و به وسیله نرم افزار مخصوص ویرایش فایل آن را اجرا کنید.

نمونه:

فایل با آیکون فایل‌های تصویری را با فتوشاپ باز کنید و هرگز به صورت عادی روی آن کلیک نکنید.

شما با این کار باعث می شوید که در صورت ویروسی بودن فایل(حتی اگر آنتی ویروس آن را ویروسی اعلام نکرد)ویروس از طرف سیستم عامل اجرا نشود بلکه از طرف نرم افزار اجرا شود و این کار باعث جلوگیری از حمله ویروس به سیستم عامل می شود و ویروس به نرم افزار حمله می کند و به دلیل نداشتن شرایط حمله ویروس ناکام می ماند.این روش بر پایه حمله ویروس ها به نرم افزار مجری و اجرا کننده اش طراحی شده است.در صورت اجرا نشدن فایل توسط ویرایشگر آن را حذف کنید.

هرگز از فایل های ویروسی نترسید! فایل های ویروسی(البته ویروس های پیش از سال 2001) هیچ خطری برای سیستم ندارند! شما نرم افزار ویروسی مورد نظر خود را نصب کنید,سپس به وسیله یک ضد ویروس سیستم را Scan کنید,پس از شناسایی,حذف یا ترمیم فایل ویروسی نرم افزار را اجرا کنید, اگر نرم افزار اجرا شد عمل شما صحیح بوده است در غیر این صورت فایل ویروسی یکی از فایل‌های اصلی نرم افزار بوده است و شما باید نرم افزار را حذف کنید!

(اگر نرم افزار در بخش Remove خود گزینه Repair داشت شما می توانید به وسیله این گزینه نرم افزار را بازسازی کنید)

سیستم خود را همیشه چک کنید!

شما باید سیستم خود را هفته ای یک بار به وسیله NOD32 چک کنید, وسط و آخر هفته باید سیستم چک شود تا کنترل از هر ویروس و نرم افزار جاسوسی خارج شود. شما باید پیش از هر بار Scan کردن سیستم را Reset-Restart کنید تا ویروس‌هایی که خود را در رجیستری قرار داده‌اند اجرا شوند و آنتی ویروس بتواند آنها را شناسایی کند به این روش هیچ ویروسی نمی‌تواند از دست آنتی ویروس شما فرار کند و شما می توانید بدون هیچ مشکلی از سیستم خود استفاده کنید. آنتی ویروس خود را همیشه Up To Date کنید تا اطلاعات جدید برای مقابله با ویروس‌های جدید را به دست آورد.

معرفی ویروس ساسر :

ویروس (ساسر) Sasser یا Sasser.B تقریبا شبیه کرم Blaster کار می کند. وقتی روی کامپیوتری قرار گرفت، خودش را در رجیستری ویندوز قرار می‌دهد و در هر بار بوت شدن کامپیوتر خودش را اجرا می‌کند. در هنگام فعال بودن سعی می کند کامپیوتر را Shut Down کند و در هر بار بوت شدن ویندوز دوباره این کار را تکرار می‌کند. همچنین از کامپیوتر شما برای حمله به کامپیوترهای دیگر هم استفاده می کند. با تولید IPهای تصادفی، کامپیوترهای دیگر را که در برابر حمله این ویروس آسیب پذیر هستند را پیدا می‌کند و خودش را روی آنها اجرا می‌کند و باعث آلوده شدن کامپیوترهای دیگر هم می‌شود.

اگر فهمیدید که کامپیوتر ویروسی شده، برای پاک کردن ویروس می توانید این طور عمل کنید:

1-دکمه های ctrl+alt+del را بزنید.

2-وارد Task Manager شوید.

3-زبانه Process را انتخاب کنید. برنامه avserve.exe را پیدا کنید و با فشردن دکمه End Process برنامه را از کار بیاندازید.

هر برنامه دیگر را هم که اسمش شامل 4 یا 5 عدد به علاوه _up.exe است نیز پیدا کنید و از کار بیاندازید (مثلا برنامه با نام 74354_up.exe*)

4-برنامه System Restore را از کار بیاندازید. (معمولا فعال نیست).

5-به قسمت Start/Run بروید، با تایپ نام برنامه regedit و فشار دادن OK برنامه را اجرا کنید.

به قسمت HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run بروید و در قسمت راست صفحه عبارت:

avserve.exe=%Windir%\avserve.exe

را پیدا کرده و پاک کنید.

%Windir%: شاخه ای است که ویندوز نصب شده است مثلا C:\windows.