پرسش

سلام به تازگی وقتی كامپیوتر رو روشن می كنم یه نوار زرد رنگ بالای صفحه می یاد كه در اون لطیفه نوشته شده اینطور كه من شنیدم یه ویروس ایرانیه و راهی هم برای پاك كردن اون نیست اگه می شه من رو به طور كامل راهنمایی كنین در ضمن فولدر آپشن هم غیر فعال شده است.

پاسخ

با سلام
دوست عزیز، روشی که در زیر گفته ایم ممکن است در نسخه های مختلف این ویروس مقداری با هم متفاوت باشند اما اصول و پایه کار به همین صورت است و کمی تلاش و خلاقیت شما را نیز طلب می کند:

قبل از هر چیز Task Manager را اجرا کنید ( با زدن کلیدهای Alt , CTRL , Del به صورت همزمان ) و برنامه های مشکوکی مانند Systray.exe و Userinit.exe و Spoolsv.exe و Soundman.exe و Sounmax.exe را با زدن دکمه End Task ببندید .
همچنین در بعضی از نسخه ها لازم است پروسس Svchost.exe را نیز با کلیک راست کردن و انتخاب End Process Tree ببینید . ( البته چندین Svchost.exe وجود دارد که شما باید پروسسی که در ستون UserName نام کابر فعلی جلوی Svchost.exe نوشته شده را ببندید )


سپس باید به صورت دستی فایلهای Autorun.inf و Autorun.exe و Autoply.exe موجود در درایوهای آلوده را حذف کنید .
در کلیه مراحل حذف ویروس درایوها را با دابل کلیک باز نکنید و فقط با روش استفاده از RUN و تایپ نام درایو به همراه : درایوها را باز کنید .

برای حذف این دوفایل می توانید وارد پنجره RUN شده و دستور CMD را بنویسید تا پنجره اجرای دستورات داس نمایان گردد ، سپس در این پنجره دستورات زیر را برای کلیه درایوها انجام دهید .
حذف AUTORUN.INF :

attrib -r -a -h -s Drive:\AUTORUN.INF
del Drive:\AUTORUN.INF

حذف Autorun.exe :

AUTORUN.INF
attrib -r -a -h -s Drive:\autorun.exe
del Drive:\autorun.exe

حذف Autoply.exe :

attrib -r -a -h -s Drive:\autoply.exe
del Drive:\autoply.exe


(به جای کلمه Drive نام درایو را قرار دهید مثلا برای درایو C باید بنویسید) :
attrib -r -a -h -s C:\AUTORUN.INF

همچنین می توانید فایل های زیر را دریافت نموده و اجرا کنید تا به صورت اتوماتیک این فایلها از سیستم حذف شوند:

1.دانلود برنامه حذف اتوپلی و اتوران از درایوها که باعث باز نشدن درایوها می شود:
دانلود برنامه ی AutoPaly.exe Remover
http://www.4shared.com/file/59109644/5d5a2842/Autoply_Remover2.html

2.دانلود برنامه حذف اتوران اجرایی و اتوران از درایوها که باعث باز نشدن درایوها می شود:
دانلود حذف کننده ی Autorun.exe
http://www.4shared.com/file/59109682/188cc27b/Autorun_Remover.html

3.رفع عیوب رجیستری که توسط ویروس ایرانی سالدوست ایجاد شده ، برگرداندن فولدر آپشن:
دانلود Restore / Saldost Registry Repair
http://www.4shared.com/file/59108943/70de9db9/RegRepair.html

--------------------

برای برگرداندن فولدرآپشن به پنجره Run رفته و دستور Regedit را در Run نوشته و اجرا کنید تا وارد نرم افزار ویرایش رجیستری ویندوز شوید .

حال از منوی Edit گزینه Find را انتخاب کنید و عبارت NoFolderOption را نوشته تا این عبارت در رجیستری جستجو شود . هر بار که این عبارت را یافتید بایستی روی آن دابل کلیک کرده و مقدار ارزش آن را از 1 به صفر تغییر دهید . (نمایش فولدر آپشنز پس از این عمل درصورت راه اندازی مجدد سیستم صورت میگیرد یا می توانید باز وارد تسک منیجر شده و Explorer.exe را End Task کنید مجددا New Task را زده و عبارت Explorer.exe را بنویسید و OK را بزنید .)

( نکته : برای فعال کردن حالت نمایش کلیه فایلهای سیستمی و مخفی وارد My Computer شده و سپس به منوهای زیر بروید :
Tools=>FolderOptions=>View
سپس گزینه Show Hidden Files And Filders را فعال کنید .
همچنین گزینه Hide protected operating system files را غیرفعال نمایید .

توجه کنید که درایوها را با دابل کلیک باز نکنید و فقط با روش گفته شده در بالا (استفاده از RUN و تایپ نام درایو به همراه : ) درایوها را باز کنید . ( مثلا :C )

به درایوی که ویندوز در آن نصب شده بروید و در مسیر Program files پوشه XpCode را حذف کنید .
به درایوی که ویندوز در آن نصب شده بروید و وارد پوشه Documents and Settings شده و در آنجا وارد پوشه ای که به نام کاربر فعلی میباشد شده و سپس در پوشه Local Settings فایل Startup.exe را حذف کنید . ( توجه کنید که Local Settings نیز پوشه ای مخفی و سیستمی است )
در همین پوشه وارد پوشه Temp شده و کلیه فایلهای موجود در آن (خصوصا Systray.exe) را حذف کنید.
در پنجره Run عبارت MsConfig را نوشته و در بخش Startup کلیه گزینه ها را از حالت انتخاب خارج کنید ( هیچکدام تیکدار نباشند ) .

از پوشه Startup ( واقع در C:\Documents and Settings\ user\Start Menu\Programs\Startup ) برنامه هایی که کلمه Update را دارند حذف کنید . ( مانند Office Update ویا Adobe Update )
حال سیستم را ری استارت کنید .
پس از راه اندازی مجدد سیستم ، یکبار کل سیستم را با آنتی ویروس بروز شده اسکن کنید و درصورت رفع مشکل باز در پنجره Run عبارت MsConfig را نوشته و در بخش Startup گزینه هایی را که غیرفعال کرده بودید را به حالت قبل درآورید .

نکته : در یکی از نسخه های این ویروس در بخش Startup فایلی به نام Soundman.exe یا SoundMax.exe نیز وجود دارد که باید غیر فعال شود و این فایل نیز از مسیر \Sound Utility\Soundmax.exe حذف گردد.
همچنین از طریق رجیستری در مسیر
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\SoundMax
باید Soundmax یا Soundman.exe را حذف کنید .

در یکی از نسخه ها هم که من جدیدا آن را مشاهده کردم ویروس فایلی را با نام Svchost.exe در مسیر
C:\Documents and Settings\Currentuser \Local Settings\Temp
ایجاد می کند که باید آن را نیز حذف کنید . همانطور که در بالا نیز گفتم ابتدا باید پروسس Svchost.exe را در تسک منیجر یافته و با کلیک راست کردن و انتخاب End Process Tree ببندید و سپس آن را حذف کنید . ( البته چندین Svchost.exe وجود دارد که شما باید پروسسی که در ستون UserName نام کابر فعلی جلوی Svchost.exe نوشته شده را ببندید )

* منظور از Currentuser نام کابر فعلی است . مثلا در سیستم من این مسیر به شکل زیر بود :
C:\Documents and Settings\Fallahi\Local Settings\Temp

ونیز در مسیر \Windows\Web\ نیز توسط این ویروس فایلی با نامهایی مشابه Office , OfficeUpdate.exe و غیره ایجاد می کند که بایستی آنها را نیز حذف کنید .

البته نرم افزار ویروس یاب جهت شناسایی کامل ویروس سالدوست توسط واحد فناوری اطلاعات مرکز تربیت معلم شهید بهشتی مشهد در لینک زیر قرار دارد که میتوانید آن را دانلود نموده و اجرا کنید . ( البته ممکن است به خاطر تنوع این ویروس بسیاری از مراحل بالا را باز به طور دستی انجام دهید و یا عمل پاکسازی توسط نرم افزار زیر کاملا موفقیت آمیز نباشد )

http://www.tarbiatmoallem.com/kav_help/repair_virus
این برنامه در بسیاری از موارد جدید ویروس بدرستی عمل نمی کند .


از آنتی ویروس Nod32 و همچین Kaspersky نیز میتوانید برای شناسایی و حذف این ویروس استفاده کنید . ( البته بایستی این دو انتی ویروس آپدیت شده باشند و ممکن است ویروس فوق با نامهای Malas یا Sality و یا P2p.Worm.Generic شناسایی کنند)

این ویروس در نسخه های جدید با نام W32/Nahkos توسط آنتی ویروس پاندا شناسایی می شود .
ویروس کش مک آفی(McAfee) این ویروس را با عنوان W32/Bindo.worm می شناسد .
آنتی ویروس سوفوس با نام Troj/Yusufali-A و آنتی‌ویروس كوئیك‌هیل با نام‌های “Win32.Malas.c” و “Win32.Malas.A” و “Trojan.Win32.VB.zu” این ویروس را شناسایی می کند .

اما بهترین پیشنهاد من در حال حاضر استفاده از آنتی ویروس Avira Antivir میباشد .(این آنتی ویروس این ویروس را با نام Worm.Malas.C می شناسد )
آنتی ویروس را نصب کنید و سپس آن را از طریق اینترنت بروزرسانی نمایید سپس یکبار سیستم را ری استارت کنید و عمل اسکن را انجام دهید .

موفق باشید