بهترین ومطمئن ترین راه مقابله با ویروس recycler با نام علمی w32.lecna.H
ویروس recycler با نام علمی W32.Lecna.H می باشد که در تمام درایوها فایل autorun.inf و پوشه ای سیستمی با نام recycler را کپی میکند ، با وصل کردن فلش مموری به سیستم آن هم آلوده می شود زیرا این ویروس autorun هست و در انتظار برای مشاهده یک حافظه جدید و کپی کردن فایل های خودش در این حافظه است . این ویروس از یک فایل batch برای تغییر رجیستری و اجرای خودش همراه با startup ویندوز استفاده می کند این ویروس بسیار خطرناک است و با اتصال به سایتهای مخرب ، کدهای خطرناک و مخرب را دانلود می کند که باعث سرقت اطلاعات محرمانه شما می شود . بیشتر آنتی ویروسها یا توانایی شناسایی این ویروس را ندارند یا در صورت شناسایی قدرت پاک کردن آن را نخواهند داشت برای خود من باعث تعجب بود که حتی کسپراسکای هم نتونست این ویروس رو پاک کنه البته این ورژن بسیار خطرناکی از recycler بود . حالا که با این ویروس آشنا شدین می پردازم به روش پاک سازی ویروس :
مراحلی رو که عرض میکنم باید حتما به ترتیب انجام بدین تا جواب بگیرین :
1- دکمه های alt+ctrl+delete رو بزنین تا task manager با ز بشه حالا در سر برگ process فایل CTFMON.EXE را پیدا کرده آن را انتخاب و گزینه end process را کلیک کنین .
2- بدون هیچ کلیک اضافه ای به منوی start برین و search رو کلیک کنین و در این پنجره CTFMON.EXE رو سرچ کنین و در هر کدام از درایوهاتون پیداش کردین اون رو پاک کنین .
3- از منوی start گزینه run رو انتخاب کنین در این پنجره msconfig را تایپ و اینتر کنین سپس در سربرگ startup تیک گزینه CTFMON.EXE را بردارید و ok کنین .یه نکته ای که در اینجا لازم میدونم عرض کنم CTFMON.EXE یک فایل ویروسی نیست بلکه مدیریت کلیه فایل های متنی رو در ویندوز به عهده داره و چون recycler طوری برنامه ریزی شده که از یک فایل متنی باز شده که مخفی هستش برای محافظت از خودش استفاده می کنه بنابراین ما باید اول اجرای کلیه فایل های متنی رو از این طریق متوقف کنیم .
4- ویندوز را restart کرده و پس از اون قبل از این که سیستم بخواد وارد محیط ویندوز بشه کلید F8 رو بزنینن و پس از اون گزینه safe mode را با استفاده از کلیدهای جهتی انتخاب و اینتر کنین(در ضمن باید با یوزر admin وارد شین ،قابل توجه اونایی که سیستمشون چند تا کاربر داره)
5- حالا بدون کلیک اضافی از منوی استارت وارد run بشین و تایپ کنین cmd و اینتر کنین تا وارد command prompt بشین سپس با استفاده از دستور زیر صفات read only ,hidden,system file/folder رو از فایل autorun.inf و پوشه recycler بگیرین حالت کلی دستور به صورت زیر است:
ATTRIB -R -H -S d:\filename
یک بار برای recycler
ATTRIB -R -H -S C:\recycler و سپس اینتر کنین و برای تک تک درایوهاتون (به جای Cنام درایو مورد نظر رو وارد کنین) این دستور رو بنویسین و هربار پس از نوشتن دستور حتما اینتر کنین تا دستور شما اجرا بشه
نکته: شما لازم نیست هربار این دستور رو تایپ کنین در این محیط کافیه یه بار دستور رو تایپ کنین و اینتر کنین و برای درایو بعدی فقط کافیه با استفاده از کلید های جهتی و زدن کلید بالا یک کپی از دستور قبل رو در این خط داشته باشین و فقط نام درایو رو تغییر بدین(با استفاده از کلید های جهتی روی نام درایو قرار بگیرین و delete کنین و نام درایو مورد نظر رو تایپ کنین) تادر کلیه درایوهاتون این دستور برای پوشه recycler اجرا بشه.
حالا نوبت به فایل autorun .inf میرسه در ادامه باز هم همین دستور قبل رو منتها این بار برای autorun.inf اجرا کنین
ATTRIB -R -H -S C:\autorun.inf
مراحلی رو که برای دستور قبلی عرض کردم برای کلیه درایو هاتون انجام بدین یعنی همین دستور استفاده میشه و باز هم فقط هربار نام درایو رو تغییر بدین تا در کلیه درایوهاتون اجرابشه البته توجه داشته باشین در این بین کار اضافه ای انجام ندین و فقط دستورات رو دنبال کنین و کلیک اضافه نکنین و وارد درایوهاتون هم لازم نیست بشین
الان این ویروس کاملا بی دفاع شده و وقت پاک کردنش فرا رسده حال در ادامه دستور زیر رو برای پاک کردن کلیه درایوها اجرا کنین :
del C:\recycler
باز هم این دستور رو باری تمام درایوهاتون اجرا کنین و پوشه recycler رو از کلیه درایوهاتون پاک سازی کنین فقط هربار کافیه طبق روشی که در قسمت های قبل گفتم نام درایو رو تغییر بدین و هر بار بازدن کلید اینتر سراغ درایو بعدی برین .
در آخرین مرحله نوبت به پاک کردن فایل autorun.inf می رسه با استفاده از دستور زیر کلیه درایوها رو از این فایل پاک کنین
del C:\autorun.inf
این دستور ور هم برای کلیه درایوها اجرا کنین و هر بار با زدن کلید اینتر سراغ درایو بعدی برید و فقط نام درایو رو که در این مثال ها من درایو C رو مثال زدم تغییر بدین واینتر کنین تا کلیه درایوها پاک سازی بشن
6- یه نگاهی به recycle bin ویندوز بندازین و هر چی که اونجا هست رو پاک کنین
مراحلی رو که عرض میکنم باید حتما به ترتیب انجام بدین تا جواب بگیرین :
1- دکمه های alt+ctrl+delete رو بزنین تا task manager با ز بشه حالا در سر برگ process فایل CTFMON.EXE را پیدا کرده آن را انتخاب و گزینه end process را کلیک کنین .
2- بدون هیچ کلیک اضافه ای به منوی start برین و search رو کلیک کنین و در این پنجره CTFMON.EXE رو سرچ کنین و در هر کدام از درایوهاتون پیداش کردین اون رو پاک کنین .
3- از منوی start گزینه run رو انتخاب کنین در این پنجره msconfig را تایپ و اینتر کنین سپس در سربرگ startup تیک گزینه CTFMON.EXE را بردارید و ok کنین .یه نکته ای که در اینجا لازم میدونم عرض کنم CTFMON.EXE یک فایل ویروسی نیست بلکه مدیریت کلیه فایل های متنی رو در ویندوز به عهده داره و چون recycler طوری برنامه ریزی شده که از یک فایل متنی باز شده که مخفی هستش برای محافظت از خودش استفاده می کنه بنابراین ما باید اول اجرای کلیه فایل های متنی رو از این طریق متوقف کنیم .
4- ویندوز را restart کرده و پس از اون قبل از این که سیستم بخواد وارد محیط ویندوز بشه کلید F8 رو بزنینن و پس از اون گزینه safe mode را با استفاده از کلیدهای جهتی انتخاب و اینتر کنین(در ضمن باید با یوزر admin وارد شین ،قابل توجه اونایی که سیستمشون چند تا کاربر داره)
5- حالا بدون کلیک اضافی از منوی استارت وارد run بشین و تایپ کنین cmd و اینتر کنین تا وارد command prompt بشین سپس با استفاده از دستور زیر صفات read only ,hidden,system file/folder رو از فایل autorun.inf و پوشه recycler بگیرین حالت کلی دستور به صورت زیر است:
ATTRIB -R -H -S d:\filename
یک بار برای recycler
ATTRIB -R -H -S C:\recycler و سپس اینتر کنین و برای تک تک درایوهاتون (به جای Cنام درایو مورد نظر رو وارد کنین) این دستور رو بنویسین و هربار پس از نوشتن دستور حتما اینتر کنین تا دستور شما اجرا بشه
نکته: شما لازم نیست هربار این دستور رو تایپ کنین در این محیط کافیه یه بار دستور رو تایپ کنین و اینتر کنین و برای درایو بعدی فقط کافیه با استفاده از کلید های جهتی و زدن کلید بالا یک کپی از دستور قبل رو در این خط داشته باشین و فقط نام درایو رو تغییر بدین(با استفاده از کلید های جهتی روی نام درایو قرار بگیرین و delete کنین و نام درایو مورد نظر رو تایپ کنین) تادر کلیه درایوهاتون این دستور برای پوشه recycler اجرا بشه.
حالا نوبت به فایل autorun .inf میرسه در ادامه باز هم همین دستور قبل رو منتها این بار برای autorun.inf اجرا کنین
ATTRIB -R -H -S C:\autorun.inf
مراحلی رو که برای دستور قبلی عرض کردم برای کلیه درایو هاتون انجام بدین یعنی همین دستور استفاده میشه و باز هم فقط هربار نام درایو رو تغییر بدین تا در کلیه درایوهاتون اجرابشه البته توجه داشته باشین در این بین کار اضافه ای انجام ندین و فقط دستورات رو دنبال کنین و کلیک اضافه نکنین و وارد درایوهاتون هم لازم نیست بشین
الان این ویروس کاملا بی دفاع شده و وقت پاک کردنش فرا رسده حال در ادامه دستور زیر رو برای پاک کردن کلیه درایوها اجرا کنین :
del C:\recycler
باز هم این دستور رو باری تمام درایوهاتون اجرا کنین و پوشه recycler رو از کلیه درایوهاتون پاک سازی کنین فقط هربار کافیه طبق روشی که در قسمت های قبل گفتم نام درایو رو تغییر بدین و هر بار بازدن کلید اینتر سراغ درایو بعدی برین .
در آخرین مرحله نوبت به پاک کردن فایل autorun.inf می رسه با استفاده از دستور زیر کلیه درایوها رو از این فایل پاک کنین
del C:\autorun.inf
این دستور ور هم برای کلیه درایوها اجرا کنین و هر بار با زدن کلید اینتر سراغ درایو بعدی برید و فقط نام درایو رو که در این مثال ها من درایو C رو مثال زدم تغییر بدین واینتر کنین تا کلیه درایوها پاک سازی بشن
6- یه نگاهی به recycle bin ویندوز بندازین و هر چی که اونجا هست رو پاک کنین
7- حالا سیستم رو restart کنین و وارد محیط ویندوز شین در اینجا پیشنهاد می کنم قبل از هر کاری آنتی ویروس خودتون رو آپدیت کنین و کل سیستم رو یه اسکن کنین و با خیال راحت از سیستمتون استفاده کنین.
منبع: http://peymanmehrabun.blogfa.com
+ نوشته شده در ۱۳۹۱/۱۰/۱۰ ساعت 23:34 توسط Admin
|