متاسفانه آشنایی نداشتن کاربران ویندوز با دستورات ساده سطح DOS، دستوراتی حتی مثل CD (Change Dir), MD (Make Dir) , Dir باعث شده است که براحتی مورد هجوم کرمهای بیخودی که این روزا در خیلی از فلشها دارند طی سیر می کنند قرار گیرند. متاسفانه تعدادی از این کرمها هم برای ضدویروسها ناشناس بوده و اگر هم نباشند ضد ویروسها قدر به ترمیم معایبی که به ویندوز وارد می کنند نیستند.
نسخه های زیادی از این کرمها تولید می شود که هر کدام کارهایی می کنند. عملکرد اکثر آنها در محدوده زیر پخش شده است
- کپی کردن خود به ریشه درایوها
- قراردادن Autorunها در درایوها
- مخفی کردن پوشه ها و قراردادن فایل اجرایی هم نام با آنها
عموما این ویروسها زیاد خطرناک نیستند البته بهتر است بگیم کرم نه ویروس اینم یکی از اون خطرناکهاش رحم هم نداره من بازی کردم دیدم
ربطی به مطلب نداره این بازی کرمها است
یادمه زمانهای قدیم که ویروسها بیشتر خطرناک بودند ویروس OneHalf عملا هارددیسک شما رو از بین می برد، ویروس jeefo خودش رو به فایلهای اجرایی می چسبوند و با اینکه پاک می شد ول یفایل اجرایی را خراب می کرد بنده خودم کلی فایل از دست دادم بخاطر این ویروس . .. .
باید خدا رو شکر کنیم این کرمها رو خیلی راحت بدون نیاز به AntiVirus می شه پاک کرد.
۱- خیلی ساده می تونید AutoRun رو در سیستم عامل ویندوز غیر فعال کنید برای اینکار برید gpEdit.msc رو از Start سپس Run باز کنید. این همون Group Policy ویندوز هستش که می تونید از Control Panel قسمت Administrative Tools هم پیداش کنید.
در قسمت Administrative templates و در قسمت System در لیست موجود دنبال Turn off Autoplay بگردید و مقدار آنرا فعال Enable کنید.
بعد از restart شدن دیگر در سیستم عامل شما هیچ از درایوها بصورت اتوماتیک فایل autorun را اجرا نکرده و در نتیجه امکان افتادن ویروس یا کرم از این راه من می شود.
۲- با استفاده از خط فرمان Command Shell می تونید ویروس را پاک کنید. بهتر است برای اینکار ابتدا سیستم عامل رو restart کرده و با استفاده از گزینه Safe mode with command prompt اونو بالا بیارید. در این حالت این کرمها در حال اجرا نیستند.
اگر نشد سعی کنید در Start سپس Run دستور CMD را تایپ کنید اگر اجرا نشد ابتدا Command را نوشته و سپس در آن CMD را اجرا کنید.
بعضی از این کرمها رجیستری ویندوز را دستکاری می کنند تا برنامه های اجرایی با پسوند Exe نتونند اجرا بشوند. آنها اینکار را با تغییر محتوی HKEY_CLASSES_ROOTexefileshellopencommand انجام می دهند باید مقدار آن بصورت زیر باشد اگر نبود تغییر دهید.
“%۱″ %*
تفاوت CMD با Command دراین است که Command.com یک برنامه پایه برای اجرای دستورات می باشد. ایندو دستورات را بصورت مستقیم و بدون استفاده از ابزارهای جانبی ویندوز مثل rundll اجرا می کنند. CMD بهینه شده Command می باشد و با نامهای غیر MS-DOS سازگار است. (نام ۸ کاراکتری و پسوند ۳ کاراکتری) در CMD هنگام نوشتن نام پوشه ها و یا فایلها اگر کلید TAB را در کیبورد بزنید بقیه نام را برای شما تکمیل می کند.
۴- دستورات Dir و CD
خوب کمی DOS خونده باشید با این دو دستور آشنایید فقط اینو بدونید که برای دستور Dir اگر سوئیچ a/ را استفاده کنید لیست فایلهای مخفی و حتی سیستمی را نشان می دهد خوب این کرمها هم معمولا خود را سیستمی می کنند که دیده نشوند و Explorer ویندوز رو هم دستکاری می کنند که دیده نشوند.
۵- دستور Del که با استفاده از آن می تونید فایلها رو پاک کنید فقط چون سیستمی هستند این کرمها باید از سوییچ های f/ و a/ استفاده کنید. مانند
Del /f /a u2.com
که در اینجا u2.com نام یک کرم است. این کرمها در تمامی درایوها در ریشه آنها همراه با یک فایل autorun.inf قرار می گیرند شما می تونید محتوای فایل autorun.inf را با دستور type autorun.inf مشاهده کنید و در قسمت Open و یا Shell نام فایلهایی که باز می کنند و آدرس آنها رو خواهید دید اونارو پیدا کرده و پاک کنید.
۶- دستور attrib می تونه خاصیت فایلها و فولدرها رو عوض کنه مثلا یک کرم پوشه music در درایو F شما رو سیستمی کرده و شما نمی تونید ببینیدش با دستورات زیر می تونید اونو برگردونید به حالت عادی.
f:
CD
attrib -r -s -h music
یا بصورت کامل
attrib -r -s -h f:music
سعی کنید فولدرها رو قبل از اینکه باز کنید در قسمت توضیحات ببینید که File Folderنوشته شده یا Application همچنین می توانید در منوی Tools و Folder Option و در قسمت View تیک گزینه Hide extension for known file types رو بردارید در اینصورت برای همه فایلها پسوند اونارو هم نشون میده.
تا اینجا کافیه مطلبی سوالی بود باز هم اضافه می کنم
ببخشید خلاصه نوشتم
VN:F [1.0.9_379]
Rating: 8.3/10 (3 votes cast)
