حذف Trojan.Win32.Hider.i


حذف Trojan.Win32.Hider.i   تروجان / اسب تروا یا به قول عام ویروسی که تمام پوشه ها را مخفی می کند




عناوین دیگر :
Trojan.Win32.Hider.i (Kaspersky Internet Security or Antivirus)
Generic.dx (McAfee)
W32.SillyFDC (Symantec)
 TR/Hider.I.12 (Avira)
Troj/Hider-O (Sophos)
 Trojan:Win32/Hider.gen (Microsoft)
سیستمهای در معرض آسیب :
 Windows 2000, XP, Server 2003

توضیحات مختصر :

مخفی  و سیستمی کردن کلیه پوشه ها
کپی خود در تمام پوشه هایی که کاربر وارد آنها می شود یا آنها را مرور می کند .
تنظیم عدم نمایش فایلهای مخفی سیستمی و پسوند فایلها
تغییرات در رجیستری

شیوه آلودگی :
این ویروس از طریق مراجعه و ویزیت سایتهای آلوده  و همچنین دانلود کرکها و فایلهای مشکوک به سیستم کاربران وارد می شود .

 عملکرد تروجان هایدر :
این ویروس با ترفند بسیار جالبی ابتدا با استفاده از تنظیم خصوصیات سیستمی ، تمام پوشه هایی که کاربر بر روی آن کلیک می کند را ، بصورت سیستمی مخفی می کند و سپس خودش را با اسامی همنام آن پوشه ها ایجاد می کند که آیکن آنها به شکل پوشه است و هنگامی که کاربر روی آنها دابل کلیک می کند با پوشه خالی مواجه می شود و گمان می کند پوشه های وی حذف شده است .
درواقع بسیاری از کابران به محض آلوده سدن به این ویروس اظهار میدارند که ویروس تمام محتویات پوشه های آنها را حذف کرده است و بسیاری نیز به فکر ریکاوری سیستم خود می افتند !
این ویروس همچنین خاصیت نمایش پسوند فایلها را غیرفعال می کند تا کپی هایی که از خود ایجاد کرده و پسوند Exe دارند قابل شناسایی نباشد و از آنجا که با دستکاری رجیستری آیکان فایلهای کاربردی و Exe را به شکل فولدر تغییر می دهد ، خود را همانند پوشه خالی نمایش می دهد .
این تروجان خود را در رجیستری به صورت اتواستارت قرار می دهد و با هربار اجرای ویندوز مجددا اجرا می شود .


فایل اصلی این ویروس ISASS.EXE نام دارد که در شاخه اصلی ویندوز و در پوشه System32  ذخیره می شود .
WINDOWS\system32\isass.exe
 همکنون اکثر آنتی ویروسهای بروز شده این ویروس را شناسایی می کنند و قادر به حذف فایلهای ایجاد شده توسط آن هستند .
اما مشکلی که باقی می ماند آنست که بایستی به صورت دستی تمام پوشه های مخفی و سیتمی شده را به حالت قبل برگرداند ضمن آنکه تغییرات رجیستری انجام شده توسط این ویروس را بایستی به صورت دستی تصحیح کرد .

 طریقه حذف و پاکسازی ویروس هایدر :

1.    ابتدا System Restore را غیرفعال کنید .

2.    سپس بایستی سیستم را در حالت Safe Mode بوت کنید .

3.    در صورتی که در تسک منیجر ، پراسسی به نام isass.exe مشاهده می کنید آن را انتخاب کرده و روی آن کلیک راست نموده و End Task Tree را کلیک کنید .

4.    سپس با اجرای برنامه ی ویرایش رجیستری ویندوز
( نوشتن عبارت Regedit.exe در پنجره RUN و کلیک OK )

کلیدهای زیر در رجیستری را حذف کنید :
( این مسیر موجب اجرای ویروس در هرباری اجرای ویندوز می شود )
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\CSNetManagerXp
ImagePath = "%System%\isass.exe"

نکته : منظور از  ‌%System% پوشه سیستمی ویندوز است . این پوشه  در Windows 2000 با مسیر C:\WINNT\System32 و در Windows XP  و  Server 2003 با مسیر  C:\Windows\System32 میباشد .

5.    کلیدهای زیر در رجیستری را اصلاح کنید :
برای اصلاح نمایش پسوند فایلها مقدار متغیر   HideFileExt  را ز 1 به مقدار صفر تغییر دهید (در مسیر زیر : )
HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>
Windows>CurrentVersion>Explorer>Advanced>Folder>HideFileExt
مقدار متغیر SuperHidden را نیز از مسیر
HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>
Windows>CurrentVersion>Explorer>Advanced>Folder>SuperHidden
از مقدار فعلی صفر به مقدار یک تغییر دهید .

برای اصلاح و برگرداندن آیکان فایلهای اجرایی Exe در رجیستری ادیتور به مسیر
HKEY_LOCAL_MACHINE>SOFTWARE>Classes>exefile
رفته و مقدار متغیر default را از مقدار "File Folder" به " Application " تغییر دهید .
در پایان به مسیر
HKEY_CURRENT_USER> Software>Microsoft>Windows>
CurrentVersion>Explorer>Advanced
 رفته و مقدار دو متغیر  HideFileExt  و ShowSuperHidden  را به صورت زیر اصلاح کنید :
HideFileExt از مقدار فعلی 1 به مقدار صفر
ShowSuperHidden از مقدار فعلی صفر به مقدار یک

6. از برنامه ویرایش رجیستری خارج شوید و سیستم را ری استارت نمایید .

پس از بالا آمدن سیستم بایستی کلیه فایلهای آلوده ای که همنام با "پوشه های مخفی سیستمی شده" میباشند و دارای پسوند exe هستند را به صورت دستی پاک کنید .