نوشته اصلی توسط
aryaiee
رضا جان این ویروس یک قابلیتی دارد و اون هم اینه که عموما در درایوهای دیگر هم کلونی شده و حتی پس از نصب ویندوز شما فقط یک مدت کوتاهی رو بدون اون سپری می کنید.
خب راه حلش چیه؟
توی نت این روش ها رو پیشنهاد دادن
الف)
1.دکمه هاي ctrl+alt+del را زده تا پنجره task manager باز شود.در ميان پروسه ها CTFMON.EXE پيدا کرده و آن را قطع کنيد.
2.فايل CTFMON.EXE را جستجو و سپس پاک کنيد.
3.از منوي start به run رفته و بنويسيد msconfig و سپس در پنجره باز شده به تب startup رفته و تيک گزينه CTFMON.EXE را برداريد و Ok کنيد.
4.ويندوز را restart کنيد و با safe mode بالا بياييد.(به اين صورت که پشت سر هم F8 را زده،safe mode را انتخاب کرده و با يوزر خودتان وارد شويد.
5.حالا بدون اينکه کليک اضافي کنيد از منوي استارت وارد run شويد و بنويسيد cmd تا وارد محيط command prompt شويد سپس با استفاده از دستور زير صفات system file/folder , hidden , read only را از فايل autorun.inf و پوشه recycler بگيريد و بعد با وارد شدن به هر درايو اين دو را پاک کنيد.
کد:
ATTRIB -R -H -S d:filename
جاي [d:] نام درايو و جاي filename نام فايل را پوشه را بنويسيد.اين کار براي باري تمام درايو ها و همه فايل هاي autorun.inf و پوشه recylcer انجام دهيد.مثال:
کد:
ATTRIB -R -H -S c:autorun.inf
6.محتويات سطل آشغال را پاک کنيد.
7.در run بنويسيد regedit را وارد ويرايشگر رجيستري شويد.سپس کلیدهای زیر را پیدا و پاک کنید.
کد:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentV ersionRun "Windows Recycled" = "%System%Recycler.exe" HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVe rsionRun "uninstx.exe" = "%System%uninstx.exe" HKEY_LOCAL_MACHINESOFTWAREMicrosoftNetWorkSetup "pid" = [RANDOM NUMBER] HKEY_LOCAL_MACHINESOFTWAREMicrosoftNetWorkSetup "hostid" = [ENCRYPTED HEXIDECIMAL CHARACTERS
و کلیدهای زیر را پیدا کرده و مقدارشان را به حالت اولیه برگردانید.
کد:
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVe rsionExplorerAdvanced "HideFileExt" = "0" HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVe rsionExplorerAdvanced "HideFileExt" = "1"
8.ويندوز را ري استارت کرده و پيشنهاد مي شود که با يک آنتي ويروس آپديت شده اسکن کنيد.
نکته بسیار مهم:
سیستم های با فرمت درایو ntfs در هر درایو فولدری به نام recycler دارند که ویروس نمی باشد.یعنی همین اول نگویید که ویروس است.اگر علائم ویروس مثل ارور و ... را دیدید یعنی این ویروس که همنام فولدر سیستمی می باشد سیستمتان را آلوده کرده است که به روش بالا آن را پاکسازی کنید
ب):
این فولدر در واقع محل نگهداری فایل هایی است که شما به سطل آشغال می فرستید. علامت سطل آشغال روی صفحه نمایش شما میانبر (shortcut) به این فولدر است. اما ویروسی به نام Recycler هم وجود دارد که از خاصیت اتوران استفاده می کند و خود را در هر درایو تکثیر می کند. این ویروس به سایت های خاصی متصل می شود و کد های مخربی از آنها دانلود می کند.
برای پاک کردن این ویروس به صورت دستی:
با فشردن Ctrl+Alt+Delete از لیست برنامه های در حال اجرا CTFMON.EXE را کلیک و End Task کنید.
سیستم را به صورت Safe Mode راه اندازی کنید.
از پنجره Run عبارت cmd.exe را تایپ کنید.
در همه درایو ها خاصیت مخفی بودن، سیستمی بودن و فقط خواندنی بودن فایل autorun.inf و recycler را غیر فعال کنید و آنها را حذف کنید.
سطل آشغال ویندوز را تخلیه کنید.
ویرایشگر رجیستری را اجرا کنید (regedit.exe) و در مسیر HKEY_LOCAL_MACHINESOFTWARE HKEY_CURRENT_USERSOFTWARE مقدار NoDriveTypeAutoRun را برابر ۰۳ffffff قرار دهید.
دستگاهتان را ری استارت کنید و آن را با ویروس کش آپدیت شده اسکن کنید
نظر شما اساتید چیه؟