تکنولوژی اطلاعات (آخرین خبرهای IT ) - آنتی ویروس رایانه ی خود باشید

آنتی ویروس رایانه ی خود باشید

اخیرا ویروسها و تروجانهایی شایع شده است که یا Folder Option را حذف میکند و یا باعث میشود فایلهایی که مخفی کرده اید دیگر نمایش داده نشوند و کلا مشکلاتی که اساس آنها Folder Option و مشکلات فایلهای Hidden است بوجود می آید.

حالا از کجاها بفهمیم که کامیپوتر ما ویروس گرفته است:

موقعي که شما وارد My Computer مي شويد و روي درايو هاي آن راست کليک مي کنيد و در اين هنگام يک گزينه با يک زبان نامفهوم را مي بينيد.یا اینکه وقتی روی درایو هایتان دو بار کلیک می کنید محتوای درایو های شما در یک صفحه جدید باز می شود .یا موقع دابل کلیک کردن روی درایو هایتان پنجره Open With باز می شود و به شما می گوید Choose the program you want to use to open this file یا هنگام کلیک بر روی درایو هایتان error به شما داده می شود .گاهی اوقات هم زمانیکه روی درایوهایتان راست کلیک میکنید گزینه ی Auto Run دیده میشود.این موارد نشان میدهد که یعنی سیستم شما ویروسی شده است. این ویروس، ویروس autorun.inf می باشد. نحوه پاک کردن این ویروس را در قسمت پایین توضیح میدهم.همچنين اين ويروس باعث از بين رفتن و پاک شدن Folder Options خواهد شد.و اگر شما گزينه هاي Show hidden files and folders و Hide protected operating system files (Recommended) را مارک دار کنيد با ok کردن پنجره اين گزينه کار نخواهند کرد . و دوباره به حالت اوليه باز خواهند گشت.همچنين اين ويروس باعث غير فعال شدن Task Manageو Registry Editor خواهد شد .اگر شما روي گزينه command prompt يا cmd نيز کليک کنيد يا باز نخواهد شد و پيغام زير را خواهد داد يا اينکه به سرعت باز و بسته خواهد شد .

the command prompt has been disabled by your administrator

راههاي ورود اين ويروس از طريق قطعاتي خواهد بود که از طريق USB با سيستم شما ارتباط دارند . قطعاتي مانند فلش مموري ها ( کولديسک ) ، موبايل ها ، رم ريدر ها و ...

*نحوه از ببن بردن ویروس autorun.inf

روش اول :

ابتدا وارد My Computer شوید.بعد از مشاهده لیست درایوها از نوار بالا بروی گزینه Tools کلیک کرده سپس گزینه Folder Options را انتخاب کنیددر پنجره جدید باز شده گزینه View را انتخاب کنید و بروی گزینه Show hidden files and folders کلیک کنید تا دایره آن توپر شود .کمی پایینتر تیک گزینه Hide Protected Operating System Files را بر دارید.حالا ok کنید سپس با راست کلیک کردن و زدن open وارد درایو هایتان شوید(حتما یادتون باشه با راست کلیک کردن و زدن open وارد درایو هایتان شوید اگر دوبار روی درایوی کلیک کنید باز هم ویروس فعال خواهد شد و دوباره همه چیز به حالت اول بر خواهد گشت . پس حتما با راست کلیک کردن و زدن open وارد درایوهایتان شوید(سپس دنبال یک فایل به نام autorun.inf بگرید و ان را پاک کنید برای همه درایو ها این کار را انجام بدید .بعد از این کار بلافاصله بدون هیچ معطلی سیستم خودتون را ریستارت کنید . یادتون نره حتما حتما بدون انجام هیچ کاری سیستم را ریستارت کنید .

روش دوم :

ابتدا با زدن کلید F8 سیستم را در حالت safe mode راه اندازی کنید و سپس از منوی استارت گزینه run را بزنید و سپس داخل ان cmd را تایپ کنید و ok بزنید .

عبارات زیر را یکی یکی نوشته و enter بزنید . این کار را برای تمامی درایو ها انجام دهید .

del x:/autorun.inf \a:h

del x:/autorun.inf \a:r

del x:/autorun.inf \a:s

به جای

x باید نام درایوها را بنویسید .

روش سوم :

copy.exe

تروجانی است که گاهی اوقات در تمامی درایو های شما قرار میگیره و با هر بار کلیک بر روی درایو ها فایل autorun.inf فایل این فایل را اجرا می کند.

یکی از روشهای پاک کردن این ویروس این است که ابتدا شما باید پروسه های

temp1.exe و temp2.exe رو از بین ببرید . برای این کار ابتدا باید سیستم را به صورت safe mode راه اندازی کنید .

شما نباید روی درایو ها یتان دابل کلیک کنید چون با این کار ویروس

autorun.inf که در درایو هایتان قرار دارد باعث فعال شدن پروسه های temp1.exe و temp2.exe می شود.

بعد از راه اندازی سیستم به صورت

safe mode شما باید با راست کلیک کردن و زدن گزینه open وارد درایو c ویندوز شده و به پوشه windows و بعد هم پوشه system32 رفته و دو فایل temp1.exe و temp2.exe را حذف کنید.

البته در بعضی از نسخه های ویروس

copy.exe ویروس autorun.inf حتی درون پوشه %win% هم وجود داره بنابراین حتما حتما برای ورود به درایوها پوشه ها را با راست کلیک باز کنید.

نکته: قبل از اینکار باید ابتدا این پروسه ها را از

Task Manager پاک کنید. برای این کار با زدن کلید های ترکیبی ctrl + alt + delete وارد Task Manager بشید و پروسه های temp1.exe و temp2.exe را از لیست processes با کلیک بر روی انها و زدن end process حذف کنید.

ویروس

autorun.inf با هر بار فعال شدن موجب میشود که دو فایل xcopy.exe و host.exe درون همان درایو فعال بشوند و دوباره دو فایل temp1.exe و temp2.exe را بسازند.

شما نباید فایل های

xcopy.exe را با فایل های خود windows که درون پوشه ی system32 هستند اشتباه بگیرید.

برای تشخیص ویروس

xcopy.exe و فایل xcopy.exe که در پوشه system32 است باید از حجم انها این دو را شناسایی کرد اگر فایل xcopy.exe حجمی معادل 32 کیلو بایت داشت مربوط به خود ویندوز می باشد در غیر این صورت ویروس خواهد بود.

حالا فایلهای سیستمی را مانند روش اول از حالت هایدن خارج کنید و ویروس

autorun.inf را پاک کنید و بعد هم به درایوهای خودتون نگاه کنید اگر فایلهایی با عنوان xcopy.exe وhost.exe بودند با خیال راحت پاک کنید.

*نحوه پاک کردن ویروس

Copy.exe

اسامی دیگر این ویروس

host.exe, xcopy.exe, temp1.exe, temp2.exe and svchost.exe,Salga-A worm

این ویروس یکی از خطرناک ترین ویروس ها هست که به عنوان یک پروسه در سیستم شروع به فعالیت و انتشار خودش می کنه و با توجه به اینکه بعضی از انتی ویروسها به صورت نامناسب این ویروس را پاک می کنند باعث نمایش یک پیغام در زمان دابل کلیک کردن روی درایو و یا فولدر در محیط ویندوز می شوند.

برای پاک کردن دستی این کرم شما باید ابتدا همه پروسه هایی که با نام های

host.exe, xcopy.exe, temp1.exe, temp2.exe and svchost.exe,Salga-A worm هستند را پیدا کنید و آنها را پاک کنید .

تذکر: مواظب بD8�.

مسير زير را دنبال کنيد:

HKEY_LOCB�رید .

مهم :یکی از دلایل اصلی به وجود امدن این مشکل ویروس

Autorun.inf هست که شما باید طبق روش هایی که در اموزش گفته ام ان را پاک کنید . این کار را حتما انجام دهید . یعنی حتما باید ابتدا ویروس Autorun.inf را طبق اموزش باید از بین ببرید.

سپس به این آدرس در رجیستری رفته و اگر کلیدی به اسم

Copy.exe در زیر منوی MountPoints2 وجود داشت آن را پاک کنید.

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2

با این برنامه به طور کامل می توانید این ویروس را از بین ببرید .

http://www.securitystronghold.com/download/solutions/TrueSword4.exe

*راههای دستی برای از بين بردن ویروسی که

Show Hidden Files را غیر فعال می کند:

از

Start Menu وارد Run بشيد و در اونجا تايپ کنيد : regedit

وقتي صفحه ي رجيستري باز شد ، از سمت چپ وارد اين مسير بشيد :

HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\Advanced

در اين قسمت ، در ليست متغير هايي که سمت راست وجود دارند ، متغير آبي رنگي (

DWORD Value) رو به نام Hidden پيدا کنيد و روی ان دابل کليک کنيد . اگر مقدارش (Value data) به 0 تغيير کرده ، ان را به 1 یا 2 تغییر دهید و OK کنيد. حالا رجيستري را ببنديد و ريستارت کنيد.

مسير زير را دنبال کنيد:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft

Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden<=

اکنون در سمت راست پنجره ي

Regedit روي Type دو بار کليک کرده و مقدار آن رو برابر با group قرار دهيد ( يعني در پنجره اي که باز ميشه کلمه ي group رو تايپ کنيد).

با اين کار تونستيد

Show Hidden Files از دست رفته را که دیده نمی شد برگردونید .

مسير زير رو دنبال کنيد :

HK LocalMachine\Software\Microsoft\Windows\CurrentVer sion\Explorer\Advanced\Folder\Hidden\SHOWALL

در سمت راست پنجره ي

Regedit مقدار CheckedValue رو برابر با 1 قرار بديد.

راههای دستی برای برگرداندن قسمتهای حذف شده از سیستم شما

*فعال ساختن (

Registry ( Regedit :

روش اول:

ابتدا وارد منوی start شده و روی گزینه run کلیک کنید و کلمه gpedit.msc را تایپ کنید .

در صفحه Group Policy به مسیر پایین بروید:

User Configuration> Administrative Templates> System

بعد از کلیک نمودن بروی

System در سمت راست پنجره Group Policy بالای

Prevent access to registry editing tools

دابل کلیک نموده و در تب Setting گزینه Disable را علامت دار نموده و بالای کلید OK کلیک نمایید اما پنجره Group Policy را نبندید!

حالا

Regedit فعال شده است و شما میتوانید واردش شوید.

روش دوم :

مسیر زیر را داخل

note pad کپی کرده و سپس با نام Regedit.reg ذخیره کنید و بعد ان را اجرا کنید .

WindowsD

برای فعال ساختن Task Manager در کادر مح%n lang="FA">

*برگرداندن

Run :

در صفحه Group Policy به مسیر پایین بروید:

User Configuration> Administrative Templates> Start Menu and Taskbar

بعد از کلیک نمودن بروی

Start Menu and Taskbar، در سمت راست پنجره Group Policy بروی گزینه Remove Run menu from Start Menu دابل کلیک نموده و در تب Setting گزینه Disable را علامت دار نمایید. حالا گزینه Run فعال شده است.

*برگرداندن

Folder Option :

برای برگرداندن Folder Option به مسیر زیر در پنجره Group Policy بروید:

User Configuration> Administrative Templates> Windows Components> Windows Explorer

بعد از کلیک نمودن بروی

Windows Explorer، در سمت راست پنجره Group Policy بروی Removes the Folder Options menu item from the Tools menu دابل کلیک نموده و از تب Setting گزینه Disable را علامت دار نمایید و بروی کلید OK کلیک نمایید .

*فعال کردن

task manager

روش اول:

برای فعال ساختن Task Manager در کادر محاوروی Run عبارت Gpedit.msc را تایپ نموده و اینتر کن و سپس به مسیر پایین برو:

User Configuration > Administrative Templates > System

حالا در زیر شاخه

System بروی Ctr + Alt + Del کلیک کن و سپس در سمت راست صفحه Group Policy بروی Remove Task Manager دابل کلیک نموده و در تب Setting کزینه Disable را علامت دار کن. بعد از آن بروی کلید OK کلیک نموده و پنجره Group Policy را ببند.

روش دوم :

- مسیر زیر را داخل

note pad کپی کرده و سپس با نام task manager.reg ذخیره کنید و بعد ان را اجرا کنید .

Windows Registry Editor Version 5.00

REG add HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\System /v DisableTaskMgr /t REG_DWORD /d 0 /f

- استفاده از برنامه ای که در زیر برای شما معرفی کرده ام.

این برنامه قادر به انجام کارهای زیر می باشد:

۱- از بين بردن ويروس های

ravmon.exe و mdm.exe و SCVHOST.exe و SVCHOST.ini

۲- فعال کردن قسمتهاي زير

NoFolderOptions, NoControlPanel, DisableTaskMgr, DisableRegistryTools, DisableCMD

۳- به حالت پيش فرض برگرداندن قسمتهاي زير

[

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\

CurrentVersion\Explorer\Advanced\Folder\Hidden\NOH IDDEN

]

“

CheckedValue”=dword:00000002

[

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\

CurrentVersion\Explorer\Advanced\Folder\Hidden\NOH IDDEN

]

“

DefaultValue”=dword:00000002

[

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\C

urrentVersion\Explorer\Advanced\Folder\Hidden\SHOW ALL

]

“

CheckedValue”=dword:00000001

[

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\

CurrentVersion\Explorer\Advanced\Folder\Hidden\SHO WALL

]

“

DefaultValue”=dword:00000002

http://javedkhalil.com/techBlog/wp-content/uploads/2007/11/ravmon-removal.rar

بعد از اجرا کردن برنامه سیستم خود را ریستارت کنید .

*پاک کردن برنامه ی مخربی که پوشه ها را مخفی (

Super Hidden ) می کند:

نام دقیق این برنامه ی مخرب

Trojan.Win32.Delf.aam است.

با زبان برنامه نویسی

Borland Delphi نوشته شده.

این برنامه ی مخرب تمام پوشه های

Open شده توسط قربانی را Super Hidden می کند و یک نسخه از خودش را با همان نام در همان مـسـیـر کـپـی می کـنـد کـه اگـر طرف آن را اجرا کـنـد هم Malware اجرا می شـود و هم محـتـوی پوشـه ی Super Hidden نمایـش داده می شود !!

یعنی اگه طرف مبتدی باشه به زودی متوجه نمیشه که چه بلایی داره سر پوشه هاش میاد !

هــمــانــطـــور کـه می دانـیــد برای آشـکار کـردن فایـل ها و پوشـه های

Super Hidden باید ابتدا در Folder Options\View روی گزینه ی Show hidden files and folders کلیک کنید و پس از آن تیک گزینه ی (Hide protected operating system files (Recommended را بردارید و به پیغام امنیتی پاسخ مثبت و شستی OK را فشار دهید .

این

Malware به کاربر اجازه ی آشکار کردن پوشه ها و فایل های Super Hidden را نمی دهد !

ضمنا

Registry Tools ، Windows Task Manager و Folder Options را Disable نمی کند .

پر واضح است که این برنامه ی مخرب از آشکار کردن پسوند فایل ها هم جلوگیری می کنه !

برای پاک کردن این ویروس می توانید از برنامه ای که نوشتم استفاده کنید.

http://feng1.persiangig.com/Programs/Anti%20T.Delf.aam.7z

*نحوه پاک کردن ویروس

W32/Saldost

این بد افزار اینترنتی پس از اجرای فایل آن بر روی سیستم كاربر، ابتدا خودش را بر روی سیستم كپی می‌كند و سپس با تغییر دادن كلیدهایی در رجیستری باعث بروز مشكلاتی از جمله باز نشدن

‪ Folder Option‬و مخفی نگه داشتن فایل‌های مخفی می‌شود.

از جمله كارهای دیگر این ویروس این است كه خودش را در ریشه همه درایوها با نام

‪ autoply.exe‬كپی كرده و در كنار آن فایلی با نام ‪ Autorun.inf‬ایجاد می‌كند.

این عمل باعث می‌شود كه هر گاه كاربر بخواهد به هر شكلی وارد هر درایوی شود، فایل مربوط به كرم اجرا گردد.

نوع

‪ Autorun‬ایجاد شده به گونه‌ای است كه اگر فایل ‪ autoply.exe‬كه خود كرم است از روی سیستم پاك شده ولی فایل ‪ Autorun.inf‬باقی بماند، با دوبار كلیك كردن بر روی نام درایو پنجره ‪ Open with‬نمایش داده می‌شود و كاربر نمی‌تواند وارد درایو شود. در این حالت با كلیك راست نمودن بر روی نام درایو و انتخاب گزینه open‬ نیز نمی‌توان وارد درایو شد.

این کرم اینترنتی ایرانی بوده که توسط ضدویروس ایمن شناسایی و پاکسازی می شود و پس از اجرای فایل ﺁن بر روی سیستم کاربر، ابتدا خودش را به صورت زیر بر روی سیستم کپی می نماید:

TEMP%\svchost.exe

PROGRAMFILES%\Sound Utility\Soundmax.exe

PROGRAMFILES%\Common Files\Microsoft Shared\MSshare.exe

WINDIR%\Web\OfficeUpdate.exe

سپس فایل خود با نام

svchost.exe ج/span>)

بعد از انجام کارهای فوق تمام برنام�7ر بار راه اندازی سیستم ﺁلوده به طور خود کار اجرا گردد، خود را به شکل زیر در رجیستری ثبت می نماید:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVe rsion\Run

SoundMax = %PROGRAMFILES%\Sound Utility\Soundmax.exe

سپس کلیدهای در رجیستری را به شکل زیر تغییر می دهد:

HKCU\Software\Microsoft\Windows\Curr entVersion\Explorer\Advanced

Hidden =

HideFileExt =

ShowSuperHidde n =

HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\Explorer

Nof olderoptions =

HKLM\Software\Microsoft\Windows\CurrentVersion\Pol icies\E xplorer

Nofolderoptions =

HKLM\SOFTWARE\Policies\Microsoft\Windows NT\ SystemRestore

DisableConfig =

DisableSR =

تغییرات فوق باعث بروز مشکلاتی از جمله باز نشدن

FolderOption و مخفی نگه داشتن فایلهای مخفی می گردد که برای برطرف کردن این مشکلات می توانید برنامه زیر را از سایت ایمن دانلود کرده و ر جیستری خود را پاکسازی نمایید:

http://www.imenantivirus.com/RegRepair.zip

همچنین کلید

IsShortCut را از مسیرهای زیر در رجیستری پاک می کند:

HKEY_CLASSES_ROOT\lnkfile

HKEY_CLASSES_ROOT\piffile

HKEY_CLASSES_ROOT\InternetShortcut

و کلیدی با نام

Wintek در مسیر زیر ایجاد می کند:

HKEY_CURRENT_USER\Software

و کلید زیر را در ﺁن ایجاد می نماید:

Install = b

۲ed۳ (Dword - Value i s in hex)

بعد از انجام کارهای فوق تمام برنامه های موجود در زمانبند ویندوز (دستور

at) را پا ک کرده و با استفاده از زمانبند ویندوز فایل خود را که با نام OfficeUpdate.exe در مسیر WINDIR%\Web% وجود دارد هر روز در ساعات ۱۱:۳۰ و ۲۰:۳۰ اجرا می نماید.

یکی دیگر از کارهای این کرم این است که خود را در مسیرهای زیر با نام های فریبنده کپی می کند و از ﺁنجایی که برخی از این مسیرها مخصوص برنامه ها ی شبکه های اشتراک گذاری فایل (یا

P۲P) هستند، با این کار امکان انتشار ﺁن در سراسر دنیا از طریق اینگونه برنامه ها فراهم می گردد:

PROGRAMFILES%\Kazaa Lite \My Shared Folder\

PROGRAMFILES%\Kazaa\My Shared Folder\

PROGRAMFILES%\I cq\Shared Files\

PROGRAMFILES%\emule\incoming\

PROGRAMFILES%\Gnucleus\Do wnloads\Incoming\

PROGRAMFILES%\KMD\My Shared Folder\

PROGRAMFILES%\Lime wire\Shared\

PROGRAMFILES%\XPCode\

C:\Inetpub\ftproot

به علاوه در مسیرهایی که در ﺁنها فایل های از نوع

MP۳ ، JPG یا EXE وجود داشته باشد، خود را با نام zfile.exe کپی می کند. همچنین خود را با نام setup.exe و setlib.exe در مسیرهای زیر کپی می کند:

WINDOWS\system۳۲\config\systemprofile\My Documents\

WINDOWS\system۳۲\config\systemprofile\Start Menu\Programs\

WINDOWS\system۳۲\config\systemprofile\Start Menu\Programs\Accessories\

WINDOWS\system۳۲\ config\systemprofile\Start Menu\Programs\Accessories\Entertainment\

WINDOWS\system

۳۲\config\systemprofile\Start Menu\Programs\Startup\…

WINDOWS\system۳۲\drivers\

WINDOWS\system۳۲\spool\drivers\

WINDOWS\system۳۲\spool\drivers\w۳۲×۸۶\

C:\Documents and Settings\All Users\Start Menu\Programs\Startup\AdobeUpdate.exe

اين كار باعث می‌شود كه پس از راه‌اندازی آن سيستم‌ها، ويروس به طور خودكار اجرا شده و عمليات تكثيری خود را بر روی آنها انجام دهد.

از جمله كارهای جالب اين ويروس اين است كه خودش را در ريشه همه درايوها با نام

autoply.exe كپی كرده و در كنار آن فايلی با نام Autorun.inf ايجاد می‌كند.

اين عمل باعث می‌شود كه هر گاه كاربر بخواهد به هر شکلی وارد هر درايوی شود، فايل مربوط به كرم اجرا گردد.

نوع

Autorun ايجاد شده به گونه‌ايست كه اگر فايل autoply.exe كه خود كرم است از روی سيستم پاك شده ولی فايل Autorun.inf باقی بماند، با دوبار كليك كردن بر روی نام درايو پنجره Open with نمايش داده می‌شود و كاربر نمی‌تواند وارد درايو شود. در اين حالت با كليك راست نمودن بر روی نام درايو و انتخاب گزينه Open نيز نمی‌توان وارد درايو شد. برای برطرف نمودن اين مشكل بايستی فايل زير را از روی سايت ايمن دانلود نموده و آن را بر روی سيستم خود اجرا نماييد:

http://www.imenantivirus.com/NoAutorun.zip

اين كرم فايلی با نام

Important.htm را در مسيرهای زير بر روی سيستم كاربر کپی می‌نمايد كه حاوی جملاتی به زبان فارسی است:

USERPROFILE%\Desktop\

USERPROFILE%\My Documents\

یکی از نشانه‌های ویروس به نمايش درآوردن نواری زرد رنگ در بالای صفحه همراه با جملاتی فارسی با رنگ قرمز است

*معرفی برنامه

SmitFraudFix

ابزاری است برای از بین بردن ویروسهای مانند adware و malware و تروجان و پاکسازی رجیستری

ابتدا برنامه را از لینک زیر دانلود کنید . و ان را روی دسکتاپ قرار بدید .

http://siri.urz.free.fr/Fix/SmitfraudFix.exe

کامپیوتر را در حالت

safe mode راه اندازی کنید

برای این کار سیستم را ریستارت کنید و قبل از بالا امدن ویندوز کلید

F8 را چند مرتبه پشت سر هم بزنید .

از صفحه باز شده گزینه

safe mode را انتخاب کنید . و سپس وارد یوزر خودتان شوید .

برنامه

Smitfraudfix.exe را اجرا کنید . منتظر بمانید تا صفحه ای آبی ظاهر شود.

سپس یکی از کلید های روی صفحه کلید را فشار دهید.

عدد 2 را انتخاب کنید یعنی

Clean (SafeMode Recommended)0 و سپس کلید اینتر را بزنید

با این کار اسکن کردن و

clean کردن سیستم اغاز می شود .

بعد از انجام این مراحل ابزار

Disk Cleanup tool اجرا می شود و فایلهای بی مصرف را از روی سیستم پاک می کند .

بعد از

Disc Cleanup پنجره زیر نشان داده می شود .

Do you want to clean the registry

ایا شما می خواهید پاکسازی کنید رجیستری را : کلید

Y را فشار دهید تا رجیستری بازسازی شود .

Replace infected file

ایا جایگزین کند فایلهای الوده را که شما کید

Y را فشار می دهید .

در این هنگام سیستم احتیاج به یکبار راه اندازی دارد . که سیستم به طور اتوماتیک راه اندازی می شود .

اگر این اتفاق نیفتاد شما خودتان به صورت دستی این کار را انجام دهید .

در این هنگام فایلی به نام

rapport.txt در درایو c ایجاد می شود که گزارشاتی از کارهای انجام گرفته را به شما می دهد .

همچنین این ابزار فایل های

wininet.dll را نیز چک میکند مبادا الوده باشند .

+ نوشته شده در دوشنبه بیست و چهارم فروردین 1388ساعت 7:48 توسط علی طرلانی |

	تکنولوژی اطلاعات (آخرین خبرهای IT )
	این وبلاگ رو تقدیم میکنم به همسر مهربانم