پاک کردن ویروس های مخفی win

[Mohamad]

ویروس های جدید امروزه از هوش بالایی برخوردار هستند و مهم ترین ویژگی آنها این است که به محض ورورد به سیستم قربانی خود را به روشی جالب از دید او و آنتی ویروس او مخفی نگه می دارند به طوری که حتی با آنتی ویروس های قوی مانند Nod32 و Kaspersky نیز قابل رویت و حذف نیستند! همچنین با تعویض ویندوز نیز دردی دوا نمی شود و ویروس ها همچنان به کار خود ادامه می دهند! دلیل این مشکل این است که آنتی ویروس ها اجازه دسترسی به فایل های حفاظت شده سیستمی را ندارند و هنگام جستجو به راحتی از کنار ویروس هایی با مشخصات فایل سیستمی عبور می کنند! این ویروس ها نیز بسیار هوشمندانه برنامه ریزی شده اند به طوری که خود را به صورت فایل های حفاظت شده سیستم عامل در می آورند و بدین صورت خود را مخفی می کنند تا از چنگ آنتی ویروس ها در امان باشند.

اما در این ترفند ما با روشی بسیار ساده این اجازه را به آنتی ویروس ها می دهیم که به فایل های سیستمی نیز دسترسی یابند و آنها را نیز اسکن کند و ویروس های پنهان را کشف و پاک نماید! بنابراین اگر تا به حال سیستم شما حتی یک بار هم ویروسی شده است حتما این ترفند را بخوانید تا از عدم وجود ویروس های مخفی در سیستم خود مطمین شوید!
در این ترفند ما با فعال کردن قابلیت نمایش فایل های حفاظت شده سیستم عامل این اجازه را به آنتی ویروس ها می دهیم که به فایل های سیستمی نیز دسترسی یابد و آنها را نیز اسکن کند و ویروس های پنهان را کشف و پاک نماید.
برای این کار:
۱- به My computer بروید و در Toolbar گزینه Tools را انتخاب کنید.
۲- در منوی Tools گزینه Folder Option را انتخاب نمایید.
۳- سپس به سر برگ Veiw بروید.
۴- در بخش Hidden files and folders تنظیمات زیر را اعمال کنید:
الف- گزینه Show hidden files and folders را انتخاب کنید زیرا اکثر ویروس ها Hidden هستند.
ب- تیک گزینه Hide extensions for known file types را برای نمایش پسوند فایل ها بردارید (پسوند ویروس ها اکثرا exe می باشد)
ج- تیک گزینه (Hide protected operating system files (Recommended را برای نمایش فایل های حفاظت شده سیستمی بردارید و با اخطاری که می دهد موافقت کنید.
۵- سپس Ok را بزنید و از Toolbarخارج شوید.
۶- کار تمام است! حالا با خیال راحت با یک آنتی ویروس آپدیت شده ( ترجیحا Nod32 یا Kaspersky ) کل هارد دیسک ، فلش و حافظه های جانبی خود را اسکن کنید تا سیستم خود را از شر این ویروس های مخفی و هوشمند به طور کامل پاک کنید!

ضمنا پس از پایان اسکن و یافتن و پاک کردن ویروس ها دوباره تنظیمات قبلی را به حالت اول برگردانید

[n1ma]

درود با تشکر از جناب محمد
اما بنده هم نظری دارم.
به نظرم در اینجا تا حدی این انتی ویروس ها دست کم گرفته شده اند.
در واقع اضافه کردن System Hidden Files تاثیری در روند اسکن ما ندارد. این تنها باعث می شود که کاربر بتواند این فایل ها را ببینند. من حتی گاهی اوقات دیده ام که انتی ویروس ها با خراب بودن MFT درایو هم فایل ها را به نحوی تشخیص داده و اسکن می کنند. در واقع انتی ویروس ها سوا از هر نوع تنظیمی در ویندوز شروع به اسکن می کنند و در صورت لزوم هم از Driver Filter استفاده می کنند تا جلوی ویروس های اجرا شده را بگیرند و اجرای هر نوع حرکتی از طرف ان ها را لغو کنند. به همین علت هست که اکثر انتی ویروس ها چندین فایل SYS همراه خود دارند و نصب می کنند.
البته امیدوارم که بد برداشت نشود! مهم نیت هست!!
روز خوش

[Dreamsss2011]

با سلام و ضمن تشکر.
بله همونطورکه نیما جان گفتند آنتی ویروس ها خودشون پوشه های مخفی رو میگردندو نیازی به تغییر این تنظیمات نیست.
مثلا وقتی در دیتیلز اسکن آنتی ویروس نگاه میکنم نشون میدهکه داره پوشه های System Volume Information ،‌ $RECYCLE.BIN .... رو جستجو میکنه که اینها تا وقتی اون تنظیمات صورت نگیره دیده نمیشن این ترفند بیشتر مواقعی به درد میخورهکه ویروسی شدیم یعنی فلش یا رممون ویروسی شده با تغییر به این حالت میشه فایل هایی که توسط ویروس مخفی شدن رو دید.
موفق باشید.

[hadi98]

سلام
یه بار که من به این نیماجان میگفتم که: من بلافاصله بعد از نصب ویندوز؛ اولین کاری که میکنم همین تنظیماتی است که شما گفتید یعنی خارج کردن فایلهای مزبور از حالت مخفی؛
در جواب به من گفت که الآن دوره مخفی کردن تموم شده
بعد به یه تکنیک و روشهایی اشاره کرد که یادم نیست و خیلی مبـهم بود. پیامش را هم نتونستم پیداش کنم.
میخواست بگه که با خارج کردن از حالت مخفی هم نمیشه با اون تکنیک مقابله کرد! نمیدونم منظورش چیه؟!!

[n1ma]

درود
اقا من کی چنین حرفی زدم چرا حرف تو دهن مردم می گذاری؟!
ما تکنیکی کار نمی کنیم! تاکتیکی کار می کنیم!
جدا از شوخی، هیچ نوع تکنیکی رو این ها جواب نمی دهد!! برای اینکه یک ویروس در اکثر مواقع باید یک فایل اجرایی باشد و اگر هم یک فایل اجرایی باشد، انتی ویروس ان را تشخیص می دهد. همین مورد برای ویروس های DLL صادق است. مگر اینکه ویروس به شکل یک فایل دیگر در بیاید که در ان صورت دیگر ویروس نیست (توانایی تخریب را از دست می دهد ) و Header ان هم متفاوت هست و انتی ویروس هم لزومی ندارد که ان را بشناسد!
ولی حالا یک سرچ بکن شاید پیغام من را پیدا کردی

[hossenf]

سلام
من از این روش ظاهر کردن پوشه های مخفی برای نابود کردن ویروس ها استفاده میکرم! البته در روش بدون آنتی ویروس

آخه همه جا که اینترنت پرسرعت وجود نداره ! آنتی ویروس بدون بروز رسانی هم فایده نداره! پس مجبوریم گاهی دستی ویروس را حذف کنیم! که گاهی شدیدا اعصاب داغون کن و طولانیه!

نیما روش اختراع کردی نمیخوای پابلیک کنی؟ نیما از قدیم از این روشها کشف میکرده

[hadi98]

درود
اقا من کی چنین حرفی زدم چرا حرف تو دهن مردم می گذاری؟!
...
ولی حالا یک سرچ بکن شاید پیغام من را پیدا کردی

ها . پیداش کردم . الآن معلوم میشه که کی تو دهن کی حرف میذاره :دی
نیما من یادم میاد داشتی به کسپرسکی گیر میدادی و میگفتی در مقابل ویروسها مترسکه و از این قبیل (گوش سیدمصطفی نشنود ها :دی)
بعد گفتی که کسپرسکی داخل درایوهای دیگه هم چیز میز میریزه نصب میکنه
و من پرسیدم که:

بعد، جریان این چیز ریختن کسپر توی درایوها دیگه چیه از خودت درآوردی؟ یعنی چی توی درایوها چیزمیز میریزه؟
من همه فایلهای مخفی را مرئی کرده ام ولی هیچ جیز اضافی نمیبینم که کسپرسکی ریخته باشه! مطمئنی حالت خوبه یا شاید خوفه!

و تو جواب دادی:

درود
اوکی
در مورد کسپر هم دوباره بخون چی نوشتم اینبار دیگه مبهم نبود!!!
چیز میز هم علاوه بر این که در درایو ها میریزه در رجیستری هم تغییراتی را ایجاد می کند.
زمان مرئی کردن گذشت!!
الان با اینجکت کد به اکسپلورر راحت می تونن فایل رو مخفی کنند!
البته یک روشی هست درستی اش را نمی دانم ولی به نظرم باید از mft درایو استفاده کنه که اگر واقعا بشه که فوق محشره!!
حتی فکرش رو هم نمیشه کرد که چکار ها با این mft میشه کرد!!
فعلا!!
دستم درد گرفت!

خب . ما منتظریم آقای مهندس توضیح بده :دی

[n1ma]

درود
حالا که اینطور هست یک جواب درست و حسابی باید بدهم!
اول این که این بحثی که ما داشتیم در مورد شیوه های مخفی سازی بود نه این که بگوییم که چطور فایل را از انتی ویروس مخفی کنیم.
پس بحث به کل تمام هست!
اما توضیحی اضافه تر راجب حرفی که زده بودم:
من این حرف را یکبار دیگر در تاپیک n1ma Folderlock تکرار کردم :

و اما ایده هایی که تا بحال برای قفل کردن پوشه ها به ذهن من رسیده اند.

1) همانطور که در صفحه اول اشاره کردم اگر بشود نرم افزار قفل کنی به کمک Inject کردن یک DLL به Explorer بنویسیم. البته این کار نیازمند برنامه نویسی سطح بالایی ست که البته اگر دوستان همت کنند و زبان ++C را تمام کنند می شود یک کار هایی کرد. طی گفتگو هایی که با سازنده نرم افزار Unlocker داشتم قرار شده بود که سورس برنامه را در اختیار من قرار بدهد ( برای این که Unlocker دقیقا از همین روش استفاده می کند ) که البته ایشون بعد از چند روز اومدن و گفتند که سورس برنامه رایگان نیست و بسیار هم گران است!!!!!!!!!!!!!!!!!!!!!!!!!!!!

2) روش دوم استفاده از نام های غیر مجاز است. نام هایی مثل Aux , Con ... هست که ویندوز اجازه ساخت ان ها را به شما نمی دهد. و یا اگر اشتباه نکنم prn هم باشد که اگر ما ان ها را به صورت پسوند قرار دهیم ، هیچ نرم افزاری قادر به خواندن فولدر نیست و اصلا فولدر را نمی ببیند. این دقیقا همان روشی بوده که شرکت پرند در بسته های نرم افزاری خود KING از ان ها استفاده می کند. اگر اشتباه نکنم می گویند که این تغییر نام را در مکینتاش می دهند و وقتی به ویندوز می اورند، فلودر خوانده نمی شود.

3) روش اخر دستکاری در MFT پارتیشن هست!! البته این فقط یک ایده است ولی اگر عملی بشود ...

1) من در مورد Inject کردن هنوز هم سر حرف خودم هستم. این روش توسط بعضی برنامه های مخفی سازی انجام می شود و توسط اینجکت DLL صورت می گیرد.
روش ضد ان هم فقط Unlock کردن DLL اینجکت شده است که اگر به درستی صورت نگیرد، خرابی هایی را در Explorer در پی دارد.

2) در مورد فولدر های غیر مجاز خیر. این کار عملی نیست. پوشه را می توان قفل کرد ولی مخفی سازی ممکن نیست.
و این که چطور پرند این فولدر ها را مخفی می کند؟ این کار را توسط رایت فولدر های غیر مجاز و مخفی سازی ان ها توسط Ultra ISO انجام می دهد که ظاهرا تنها در هنگام رایت ممکن است.

پس بگذارید همینجا یک توضیحی راجب Winmend HideFolder بدهم.
این نرم افزار در واقع در هر درایو فولدری با نام خود می سازد و سپس در ان فولدر چندین فولدر دیگر می سازد تا که به اخرین فولدر یعنی CN می رسیم. این فولدر را نمی توان باز کرد و ویندوز فکر می کند که این فولدر وجود ندارد و این اتفاق دقیقا همان اتفاقی ست که در شبکه ها می افتد وقتی که یوزری که از شبکه خارج می شود و شما داشتید به صورت Remote فایل های ان را جستجو می کردید.
کلید این کار دست خود نرم افزار WinMend هست. ولی بعد چه کار می کند؟ بعد فولدری که می خواهد مخفی کند را به فولدر CN انتقال می دهد. سپس یک فایل INI در قرار می دهد و می نویسد که این فولدر را از کجا برداشته هست تا که بعدا وقتی می خواهد ان را باز گرداند، ادرس فولدر را داشته باشد. شیوه بدست اوردن پسورد نرم افزار را هم که سید زحمتش را کشیده بود.

3) اما در مورد MFT
من در هر دو پست با شک و شبه در مورد ان صحبت کردم. برای اینکه هنوز مطمئن نیستم. ولی می دانم که انتی ویروس حتی با خراب شدن MFT هم می تواند بعضی فایل ها را بخواند. این رازی از ویندوز هست که هنوز برای من کندذهن برملا نشده هست!

4) روش جدیدی که به ان پی بردم Driver Filter هست. این عبارت را در پست بالای خودم در همین تاپیک برای انتی ویروس به کار بردم ولی اینجا برای مخفی سازی هم استفاده می شود.
روش کار اجرا یک درایور هست که به کرنل (Kernel) میگوید که فولدر را نمایش ندهد.


برای هر یک از موارد بالا، یک تاپیک و بیشتر هم می توان نوشت ولی افسوس که نه خریدار دارد و نه نویسنده وقت نوشتن را دارد!

سوالی بود در خدمتم
بدرود

[Magsoud]

بنام دوست

در این تاپیک که مطالعه میکردم ، دیدم که مطالب خوبی داخلش هست ولی بهر دلیل صرفا" به صورت اشاره ، نه توضیح.
و بعد احساس کردم که یک سری سوالات برای دوستان انجمن پیش آمده که تقریبا" میشود گفت در یک انجمن آموزشی
بیجواب رها شده.

دوستان ، اینکه ما فایلی یا پوشه ای را مخفی یا مثلا" غیر قابل دیلیت کنیم ، در دنیای بیرون دیگر به افسانه ها پیوسته
است. چون هر کاربر نیمه واردی هم میتواند این ها را شناسایی و راه مقابله را پیدا کند.
ویروس نویس ها امروزه از روش هایی استفاده میکنند که من و شما حتی به فکرمان هم نمیرسد.

در اینجا بنده قصد سخنرانی و غیره ندارم و فقط میخواهم یک اصطلاحی را که در پست های این انجمن تکرار شد و مجهول
ماند را مختصر تعریف کنم تا اول مسئله از مجهول بودن در بیاید.

یکی از راههاییکه ویروس نویس های امروزی برای پنهان کردن فایل خودشان انجام میدهند استفاده از روش Ingect کردن
کد است.
یعنی چه؟ میدانیم که فایل اجرایی ویروس ها تا جائیکه بنده اطلاع دارم یک فایل خیلی کم حجم است که فقط از چند
سطر کد ساخته شده است.
قبلا" ها ویروس نویس این فایل اجرایی را بعد از ساخت به طریقی وارد سیستم قربانی کرده و اجرا میکرد و آن را مخفی
می نمود. ولی الان دیگر اینگونه نیست . بصورتی میشود گفت که ویروس نویس اصلا" فایلی در داخل سیستم قربانی
اضافه نمیکند. لذا لازم نیست که آن را مخفی هم بکند.

پس چکار میکند؟ برای درک مطلب به شرح مختصر زیر با دقت توجه فرمایید:

فرضا" اگر بیاییم کد های موجود در فایل Notepad.exe را توسط یک برنامه ای نگاه کنیم متوجه میشویم که این برنامه
از فرضا" 100 سطر کد تشکیل شده است. و اگر بیشتر دقت کنیم میبینیم که کد های این فایل جا های خالی هم
زیاد دارد.

حال دوباره فرض میکنیم که ویروس نویس کدی نوشته که از 10 سطر تشکیل شده و او نمیخواهد این 10 سطر را
کامپایل کرده و به فایل اجرایی تبدیل کند. بلکه می آید در داخل فایل Notepad.exe که بالا صحبت کردیم ، در قسمت
خالی ، کد های اجرایی خود را اضافه میکند.

با این کار کد اجرایی ایشان به درون فایل Notepad.exe تزریق یا بقولی Ingect شده است.

حال چه اتفاقی می افتد؟ با این کار اولا" ضد ویروس چون Notepad.exe را ویروس نمیداند لذا کاری به کارش ندارد.
از طرف دیگر با این کار منبعد هر بار که Notepad.exe اجرا شود ویروس هم یکبار اجرا میشود

اما این Ingect کردن کد دو نوع است استاتیکی و دینامیکی. در نوع استاتیکی کد به اول برنامه Notepad.exe اضافه
میشود لذا همواره وقتی کاربر برنامه Notepad.exe را اجرا میکند اول ویروس اجرا شده و بعد خود Notepad اجرا
میشود.
در نوع دینامیکی برعکس بوده یعنی ویروس بعد از اجرای Notepad اجرا میشود.

من سالیان درازی است که در این قبیل مسائل کار نکرده ام ولی قول میدهم اگر حوصله بکشد در زمانی دیگر مثالی
از اینگونه را درست و با شرح توضیح دهم.

امیدوارم توانسته باشم مطلب را تا حدودی از مبهم بودن در بیاورم

[hossenf]

سلام
ممنون از توضیحات دوستان

اما بنده با این موضوع که آنتی ویروس به inject گیر نمیده موافق نیستم! نیما هم میگه گیر نمیده اما من فکر میکنم حداقل در مواردی گیر میده، البته فایر وال به خود عمل inject گیر میده(حداقل در مواردی) و در موردی که کد inject شده مخرب شناسایی بشه مطمئنم آنتی واکنش نشون میده،

برای تست فایروالتون هم میتونید به عنوان مثال به لینک زیر برید و CLT را دانلود کنید و تست کنید! البته موارد دیگه هم برای تست وجود دارند،

http://personalfirewall.comodo.com/onlinetest.html