مطالبی در مورد ویروس های کامپیوتر

راه های انتشار ویروس
*******************************
1.فلش ها
******************************* 
فلش ها امروزه بهترین راه انتشار ویروس ها هستند 
خب حالا یعنی اینکه ما فلش به کامپیوتر نزنیم؟
نه،اینطور که نمی شه الان همه فلش دارن خب پس راهش چیه؟
شاید همه بگید آنتی ویروس

آره خب ،البته تا حدی!چون الان این ویروس ها دست ساز کوچولو زیاد شده طوری منتشر می شن که حتی این آنتی ویروس ها هم قادر به شناسایی نیستند.
 پس راه حل چیه ؟
دو راه رو می گم:یکی برای خیلی آماتور ها یکی هم برای اون 
:هایی که می خوان کامپیوتر رو بفهمن
راه اول اینکه از برنامه های آتوران رمور کمک بگیریم که مخصوص ویروس ها اینچنینی ساخته می شن که بهشون می گن تروجان(تلفظ صحیح :تروجن
=trojan)
که این ویروس ها رو شناسایی و پاک می کنن!
البته نه صددر صد بیشتر فایل های آتوران رو بلوک می کنند.چون 
شما خیلی آماتورید بیشتر نمی گم(البته ببخشید)
اسم یکی از این برنامه ها autorun virus remover
که تو اینترنت پیداش می کنید

راه دوم برا اون هایی که کامپیوتر و می خوان بفهمن:

خب چون شما دیگه نمی خواین آماتور باشید پس باید بدونید که هر تروجنی که تو فلشه یا دو تا فایله (به این ویروس ها ویروس ها آتوران گفته می شه)
اولی فایل اصلی یا همون ویروس
دومین فایل آتوران(به معنای اجرای خودکار)و یا
یک فایل اصلی در یک پوشه و فایل آتوران در صفحه اصلی فلش یا همون روت(root)فلش،که باید پاک شن البته قبل از باز کردن 
فلش مموری یا همون به قول آمریکایی ها یو اس بی استیک حالا چطوری، آها! این همون راهی که باز باید از یه برنامه کمک بگیریم
که خیلی رایج باشه و هم بعد باز کردن فلش ویروس فعال نشه!
برنامه winrarکه خیلی ها دارن برای فشرده سازی فایل هاست
که تو اینترنت قابل دانلوده و برنامه neroکه من همون وینرر توصیه می کنم.بعد نصب این برنامه ،اجراش کنید می بینید محیطی شبیه اکسپلویر ویندوز داره توش درایو ها خودتون رو می بینید
و البته درایو فلش ! و موضوع دیگه این که این برنامه قادر به نمایش فایل ها مخفی و سوپر مخفی (hidden &super hidden)
هم هست.خب حالا با این برنامه وارد فلش می شید بدون اینکه 
ویروسی فعال بشه وبعدش فایل ویروس رو پاک می کنید:
فایل اصلی می تونه اسم های مختلفی داشته باشه مثلا:
ah8w.exe
یا
irpvb.exe
یا
dsgfu.pif
ویا
new folder.exe
و فایل دوم که اسمش همون آتورانه =autorun.inf
که باید پاک بشه
خب حالا شما دیگه از فلش ویروسی نمی شید
******************************
2.cd , dvd,و یا فلاپی دیسک ها
******************************
خب الانا که از فلاپی زیاد استفاده نمی شه ولی این ها مثل فلشن از همون راه بالا استفاده کنید تا پاکش کنید
و برای سی دی و دی وی دی هم همینطور البته با این تفاوت که
شما ویروس رو نمی تونید پاکش کنید ولی با استفاده از Winrar
 می تونید جلوی اجراشو بگیرید و یا از فایل های دیگه مورد نیازن کپی بگیریدو اجراشون کنید.(فایل آتوران در سی دی یا دی وی دی ها همیشه ویروس اجرا نمی کنه و لی داخل فلش لزومی نداره باشه)
******************************
3.اجرا نکردن فایل ها مشکوک 
******************************
خیلی مهمه که فایل های ناشناخته اجرا نکنید.هم از طریق ایمیل ها فرستاده می شن و هم اینکه تو یه سی دی باشن یا فلشی. این به صورت خودکار اجرا نمی شن مگر اینکه شما کنجکاوی کنید ،اجرا شون کنید.یه ویروسی دیدم که شاید شما هم دیده باشید new folderمی سازه که روش پاک کردنشو بعدا می گم،این ویروس شکلش شبیه پوشه است و خیلی معمولیه
برای اینکه بفهمید این ویروس روش کیلیک سمت راست کنید
و propertiesبزنید و بعد تو قسمت type of file:اگه نوشته باشه
application، مطمئن باشید ویروسه و هر چیزی به جز file folderباشه باید بهش شک کرد!
چون پوشه ها پسوند یا فرمت ندارند.
********************************
آنتی ویروس مطئن و خوب
********************************
بهتون توصیه می کنم حتما از آنتی ویروس nod32استفاده کنید
چون آنتی ویروسی بدون دردسر ،کم حجم و خوبه و بی خود به 
فایل های دیگه گیر نمی ده و اینکه همه ویروس ها تحت عنوان یک فایل به سیستم شما حمله نمی کنند.و به یه فایل می چسبن که از عهده من و شما فعلا خارجه!بزاریدش به عهده یه آنتی ویروس خوب که پاکش کنند
*************************************************
پاک کردن ویروس ها:
*************************************************
اول با عمل کردشون آشنا بشید:

همون طور که گفتم ما می تونیم ویروس های آتوران رو پاک کنیم
که اصلا هم سخت نیست.
وقتی شما چیزی رو باز می کنید(فلش ،سی دی و...)
این ویروس ها که مخفی هستند با دستور فایل آتوران که یک
فایل سیستمی ویندوز است که می شه ازش استفاده ها اینچنین کرد اجرا میشند.

عمل کرد فایل آتوران(autorun.inf):

فایل های آتوران با برنامه notpadباز می شن که اگه تو محیط برنامه winrarاین فایل رو بازکنید مشکلی پیش نمی آد و دستور ها داخل اون اجرا نمی شه چون دستورات آتوران در برنامه اکسپلویر ویندوز شما کاربرد.فکر کنم تا حالا برای شما پیش اومده که وقتی سی دی بازی ها و برنامه داخل سی دی رام می زارید.این فایل آتوران فعال می شه (با دستورات ویندوز این فایل در سی دی رام اجرا می شه ،که لغوش تو ویدوز ها مختلف راه داره) و همراه با آهنگه و یه منو هایی داره مثلا نصب بازی ها از این چیز ها فکر کنم فهمیدید!
بله فایل آتوران داخلش این طوریه 
[autorun]
open=smn.exe
الان این فایل autorun.inf این دستور می ده که بعد اجرا سی دی فایل smn.exe باز شود.
تا این جاش که سخت نبود .بود؟
بقیه رو بخونید.خب فکر کنم نحوه عملکرد فایل آتو ران رو فهمیده باشید.خب حالا اگه این فایل در فلش باشه چطور؟یا در یک درایو
هارد شما؟!راستش همچین چیزی از نظر ویندوز نباید باشه و با دستور بالا هم امکان پذیر نیست،ولی کسی که آتوران ویروس می سازه طوری دستور می نویسه این فایل ها در فلش هم اجرا بشن و دستور رو اجرا کنند.

خب فکر کنم که دیگه فهمید باشید موضوع آتوران ویروس چیه؟
بله ویروس ها بدون خواسته شما و مخفیانه اجرا می شن!
خب حالا چه کار کنیم؟

عمل کرد فایل اصلی ویروس:

درکل وقتی فایل ویروس باز می شه این اتفاق ها می افته:
1.ویروس فعال می شه و در رم شما اجرا می شه
2.یک فایل اصلی در درایو ویندوز می سازه(99%)
3.بعضی ها هم علاوه بر فایل اصلی یک فایل ویروس و یک 
فایل آتوران در هر درایو می سازن(60%)
4.بعضی ها هم در درایو ویندوز یه جایی دیگه فایل ویروس رو می سازن که معمولا در پوشه یوزر است(40%)
5.بعضی ها هم حالت های 3و4با هم دارن
6.بعدش یه دستور شروع خودکار همراه ویندوز می دن(یعنی وقتی ویندوز بالا اومد اجرا می شن که خیلی از برنامه ها و یا
فایل های سیستمی ،که برنامه اجرا شده کنار ساعت ویندوز
یا همون سینی ویندوز نمایش داده میشن)
***************
*نحوه پاک کردنشون :خب حالا شما باید به ترتیب این کار ها رو کنید :
اول باید ویروس که در رم شما اجرا شده و داره خراب کاری هاشو می کنه رو ببندید چطوری؟
با برنامه task managerکه با گرفتن سه کلید :Alt و CtrlوDelete
اجرا می شه (شاید اجرا نشه ویه ارور بگیرید که میگه برنامه غیر فعال شده ،که در واقع ویروس غیر فعالش کرده!)
اگه اجرا شده و ارور نمایش داده نشده(برای غیر فعال شده هم راه داره) به سربرگ دوم برید یعنی processesبرید یه خیلی اسم می بینید.که در واقع این ها نام های فایل های اجرا شده است که تو رم جاری اند!برای اینکه فایل ویروس رو راحتتر پیدا کنید بهتون توصیه می کنم اول همه برنامه ها رو ببنید بعدش بگردید 
دنبالش ،هنوز هم برای راحت تر شدن به جلوی اسم ها توجه کنید.یعنی زیر قسمت user nameاگه نوشته بود systemو یا 
network serviceفعلا کاری باهشون نداشته باشید چون این ها فایل های سیستمی هستند که ویندوز اجرا کرده .اون فایل هایی که نوشته رو به روش اسم کاربری شماست مثلا :
mohammad یا smn ویا هر چیز غیر از نتورک سرویس و سیستم
فایل هایی است که شما اجرا کردید و یا باید اجرا می شد و یا 
ناخواسته اجرا کردید مثل:ویروس ،حالا باید بفهمید کدوم فایل ویروسه اگه با این اسم ها مواجه شدید ویروس *نیستند*:
ctfmon.exe(اگه دوتا بود یکی ویروسه هر دو تا رو ببنید)
Rscmpt.exe
EXPLORER.EXE(که خیلی مهمه اصلا نبندید)
برای بستن روی دکمه end processکلیک کنید
***
خب بعضی از ویروس ها هستند خودشون رو هم اسم فایل های
سیستمی می کنند.مثلا یه ویروس هتسش که اسمش smss.exeاست که تو نوع سیستمی اش هم هست ولی باید
به اسم کاربری جلوش نگاه کنید.
اگه این ویروس رو پیدا نکردید (البته خوب دقت کنید)
برید سراغ فایل ها network serviceبرید که احتمالش خیلی کمه
ولی اینو بدونید که بستن فایل ها سیستمی باعث خاموشی 
کامپیوتر می شه!

********
مرحله دوم!: برید تو پوشه windowsو بعدش برید سراغ فایلregedit.Exeاجراش کنید ،این فایل قلب تنظیمات ویندوزه!
برید تو این قسمتش:(اگه این فایل هم غیر فعال بود کار ویروسه 
راه داره ادامه بدید به خوندن)
\HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
تو قسمت آخر یعنی ران لیست برنامه هایی رو می بینید که به صورت خودکار اجرا میشن اوردمتون اینجا که مسیر فایل ویروس رو پیدا کنید.همون فایلی که تو رم بستید رو می بیند البته با آدرسش! حالا برو به همون آدرس و فایل رو پاکش کن!این
آدرس رو هم تو رجیستری پاک کنید(کلیک سمت راست روش بعدش دلیت)
خب اون هایی که ویروس regedit رو غیر فعال کرده این کار رو کنن:برید به منو startبعدش run رو اجرا کنید و این دستور رو بنویسد و دکمه enterرو بزنید msconfig
اگه ارور داد دستور رو اشتباه دادین.بهتره کپی کنین دستور رو
بعد اجرا این دستور برنامه ای اجرا می شه برید به سربرگ startupو همون اسم ویروس تیکش رو بردارید و ok کنید.
با این کار شما ویروس رو پاک نکردید ولی خب غیر فعالش کردید
فرقی نمی کنن!
حالا اون هایی که برنامه task managerشون غیر فعال بود 
برای بستنش باید یه برنامه ای مثل این برنامه پیدا کنید مثلا
این برنامه:TuneUp Utilities 2007 
که هر مشابه هر دو برنامه بالا یعنی task managerوRegedit
داره !
خب حالا چند نکته : اون ویروس هایی که تو درایو های دیگه 
فایل ویروس می سازن باید با برنامه winrarپاک شن ،چون اگه دوباره این داریو ها باز بشن ویروس فعال شده روز از نو روزی از نو! همینه که بعضی ها ویندوزشون رو عوض میکنند ولی باز ویروس فعال می شه چون تو داریو های دیگه است!!!
که بعد عوض کردن ویندوز باید بدون باز کردن درایوی با برنامه winrarپاک بشن.

اگه مرحله اول رو درست انجام ندین ،مرحله های بعدی پاک کردن مسیر یا برداشتن تیک در msconfigبعد بستنشون باز 
به وجود می آن.که خودش نشونه ای می تونه باشه برای درست نبودن مرحله اول و یا ازشون برای مرحله اول کمک بگیرید.مثل اسم فایل!