مقدمه:

شاید تا حالا مجبور شده باشید سیستم عامل کامپیوتر خود را عوض کنید. دلایل زیادی برای این کار وجود دارد مثلا خراب شدن فایل های سیستم یا ویروس. ما هم قصد داریم به شما آموزش هایی بدهیم تا دیگر مجبور به تعویض سیستم عامل خود نشوید.

در این مطلب یاد میگیرید ک به طور دستی با استفاده از ابزار های ویندوز از شر ویروس ها خلاص بشید.

در این مطلب شما یاد میگیرید ویروس رو به طور دستی پیدا و متوقف کنید. بعد یاد میگیرید ک ویروس رو به طور کامل پاک کنید و اثرات اون رو خنثی کنید.

این مطلب بیشتر برای ویروس های معمولی یا ساده بیشتر کاربرد داره. و به عنوان مثال ویروس Regsvr رو بررسی میکنیم. ودر مطالب بعدی آموزش های خیلی پیشرفته تر رو داریم.

برای حل دیگر مشکلاتی ک باعث میشوند ویندوزتان را عوض کنید بعد ها روش ها و راه حل هایی را معرفی خواهیم کرد.

نمیتوان به طور قطع گفت این آ»وزش کاملا کامل هست. ولی سعی شده راه حل مشکلات رایج رو معرفی کنه.

در اینجا ما میخواهیم به عنوان مثال ویروس regsvr رو تحلیل و پاک کنیم. ولی ویروس های دیگه رو هم میشه از همین روش پاک کرد. برای دیگر بد افزار های پیشرفته تر هم در آینده آموزش خواهیم داد.

دانلود REgsvr

آموزش پاک کردن ویروس Regsvr.exe

خب در اپتدا بگم بسته به نوع سیستم عامل شما و بسته به ورژن این ویروس ممکنه بعضی از ایم مشکلات برای شما پیش نیامده باشند.

برای این ک کارتون خیلی راحت باشه میتونید از نرم افزار uvk استفاده کنید ک آموزشش رو بعدن خواهم گذاشت.

یکی از مشکلات رایج:

#//شما وارد ویندوز میشوید اما هیچ چیز نمی بینید جز یک یه صحفه ی سیاه.

//ممکن است این حالت یا برای شما پیش نیاید یا بوسیله ی ویروس یا چیز دیگری ایم مشکل پیش بیاید.

راه حل:

با فشردن کلید های Ctrl +Alt +Del وارد تسک مسنجر شوید.

به لایر یا زبانه ی پروسس رفته و Run New Procces را زده و explore.exe را وارد و اینتر .

//در ویندوز ویستا و سون و هشت از منوی فایل گزینه ی New Task ...

بعد از اجرای پروسس اکسپلورر شما میتوانید دسکتاپ خود را مشاهده کنید.

و برای حل دائمی این مشکل باید ویروس یا عامل رو پاک کنیم. ک در ادامه میبینید.

اگر هم نتونستید وارد تسک منیجر بشید. در ادامه خواهید آموخت ک چطور مشکل رو رفع کنید. 

#//اگر نتوانستید تسک منیجر رو باز کنید. یعنی ب روش بالا تسک مسنجر رو باز کنید: باید قبل از لود شدن ویندوز وارد Turboshut ویندوز بشید.

و از اونجا cmd ویندوز رو باز کنید و ادامه اش در ادامه ی آموزش.

//برای باز کردن turboshut یا troubleshoot ویندوز /xp,7,8/ وقتی ک سیستم میخواهد بالا بیاید ... یعنی وقتی ک لوگوی ویندوز رو میبینید کلید F8 رو فشار دهید. و بعد در داخل منیی ک میاد این گزینه رو انتخاب و از اونجا cmd رو اجرا کنید. و...

مرحله اول:

با فرض اینکه دسکتاپ شما لود شده و شما آن را میبینید

اپتدا باید ویروس ای ک اجرا هست رو متوقفش کنید.

برای اینکار وارد تسک منیجر شوید و در لایر پروسس به دنبال پروسس مورد نظر بگردید.Regsvr  و روی آن راست کلیک و با End Task اون رو متوقف کنید.

خب اگه نتونستید وارد تسک منیجر یا مسنجر بشید.باید بوسیله cmd با همون Command Prompt این کار رو بکنید.

Win+R -> (write) cmd (inter) ->(in cmd write) tasklist (inter) -> (@1) -> (@2) (write in cmd) taskkill /pid @@@@ (inter)

@1 :پروسس مورد نظر رو از لیست پیدا کنید.

@2 :در جلوی اون پروسس یک عدد چهار رقمی به عنوای آیدی آون پروسس هست اون عدد رو بخونید و در دستور بعد به جای @@@@ بنویسید.

خب این مرحله از کار تمومه و شما الان ویروس رو متوقف کنید.

#//اگر نتونستید cmd رو باز کنید در Run به جای cmd بنویسید command یا cmd32.exe 

یا برید به درایوی ک ویندوز تون در اونجا نصبه. بعد در مسیر ویندوز و سیستم 32 فایل cmd.exe رو در جایی کپی کنید و نام اون رو تغییر بدید به چیزی جز خودش. بعد میتونید اجراش کنید.

مرحله ی دوم :پاک سازی اتوران ویندوز

برای این ک ویروس هر بار ک ویندوز اجرا میشه ، اجرا بشه باید یا خودش به تنهایی یا برنامه ای ک به اون بایند(چسبیده) شده داخل اتوران ویندوز  باشه.

برای این کار چندین روش هست که توضیح مختصری در مورد هر کدوم میدم.

روش اول :استفاده از msconfig

Win + R ->(write) msconfig (inter) ->(in new windows) go to startup layer -> check Item directory and reg adress -> exit and Exit without restart

توضیح مراحل کار :

در مرحله اول شما وارد Run ویندوز میشوید.

در مرحله دوم بوسیله ی Run شما وارد System Configuration میشوید.

"   "       وارد زبانه ی استارت آپ 

"    "      چهارم مواردی ک میبینید رو چک کنید ببینید ک مشکوک نیستند.مثلا در یکی از نسخه های REgsvr در سیستم من موردی به نام Msn masenger بود ولی آدرس فایل اجرایی ،به regsvr.exe ختم میشد.

در اینجا شما میتونید ببینید ک فایل اصلی خود ویروس کجاست تا بتونید پاکش کنید. و از آدرس رجیستری اون هم میتونید استفاده کنید تا از رجیستری هم پاکش کنید.

در مرحله پنجم مورد ی ک پیدا کردید رو غیر فعال کرده و خارج شوید.

اگر نتونستید به طور عادی فایل ویروس رو پاک کنید میتونید از نرم افزار های جداگانه برای این کار استفاده کنید./Force Delete/

 روش دوم: رجیستری

""پاک کردن ویروس ها از رجیستری ویندوز کار مشکلی است چون که پیدا کردن جایی ک ویروس در آنجا مخفی شده است کار سختی است.همچنین تقییر دادن داده های داخل رجیستری کار خطرناکی است اگر شما یک کلید یا داده را اشتباهی وارد یا پاک کنید  ممکن است ویندوز پس از آن اجرا نشود.در اینجا ما فقط میخواهیم آموزش بدیم ک در هنگام اجرای ویندوز چطور از اجرا شدن برنامه های ناخواسته در حافظه کامپیوتر/رم/  جلوگیری کنیم.

اگه نتونستید با روش فبل مشکل رو برطرف کنید باید وارد رجیستری بشید ک این هم چند روش دارد.ک بعدن میگم.

Win + R ->(write) regedit (inter) ->(in regedit go to) hk_local-Machine ->software ->microsoft ->windows -> curentversion ->Run

مواردی ک شما در System Configuration دیدید.موادی هستند ک در این سه کلید وجود دارند./Run,RunOnce,RunOnceEx/

روی دایرکتوری/کلید/ Run کلیک کنید تا در قسمت راست برنامه داده های وارد شده را ببینید.

باز هم موارد و داده های آنها (آدرس فایل های اجرایی) را چک کنید و مورد مشکوک رو حذف کنید.

نکته:ممکن اه ک ویروس regsvr در سیستم شما باشد ولی با نام دیگری.پس بیشتر دقت کنید. اغلب ابن ویروس در سیستم 32 خودشو کپی میکنه.

بعد از چک کردن کلید های بالا از منوی Edit گزینه ی Find را انتخاب کنید. /Ctrl + F/ تا برنامه ی جستجو گر رجیستری باز شود. , در آن عبارت "regsvr.exe" را تایپ و جستجو کنید.

بعد با احتیاط میتوانید مواردی ک پیدا کردید را پاک کنید.

نکته:Regsvr32.exe ویروس نیست.! و یکی از برنامه های ویندوز است ک در پوشه یسیستم32 وجود دارد.

99 در صد افراد با باز کردن regeditor مشکل دارند. خب حالا چطور بازش کنیم.

نکته:برای ایجاد تقییری در رجیستری باید به یک یوزر ادمین استاتور دسترسی داشته باشید.یعنی رمز اون رو داشته باشید.

آموزش باز کردن Registry Editor

راه اصولی:باید ویندوز رو در حالت SafeMod اجرا کنید.برای باز کردن حالت safemod 

1.کامپیوتر رو ریاستارت کنید.

2.به محض لود شدن بایوس کلید F8 را فشار دهید تا زمانی ک Windows Advanced Options menu نمایش داده شود.

3.بعد در همان جا گزینه ی Safe mod را انتخاب و Inter

راه اول به داخل پوشه ی سیستم 32 رفته در آدرس //درایوی ک ویندوز در اون نصبه و در داخل درایو پوسه ای به نام ویندوز هست ک سیستم 32 در داخل اون هست اش // و فایل Regedit.exe را در جایی کپی کنید  و نام اون رو تقییر بدید و بازش کنید.

راه دوم : وقتی رجیستری ادیتور را باز میکنید اروری میبینید ک نوشته دسترسی شما توسط ادمین ممنوع شده

شما میتونید با گروپ پالیسی خیلی کار های زیاد و جالبی بکنید. ک این فقط یه قطره از دریاست ...

Win + R ->(write) gpedit.msc ->(in new windows go to ) User Confi... ->AdminStrator ->system

بعد از کلیک کردن روی دایرکتوری سیستم در سمت راست برنامه مواردی رو مشاهده خواهید کرد.

به دنبال Prevent access to registry editor بگردید و روی آن دابل کلیک کنید.

در پنجره ی جدیدی ک دیدید گزینه ی disabled رو انتخاب کنید و apply و ok و حالا میتونید وارد رجیستری ادیتور بشید.

و اگه باز نتونستید وارد بشید. مطمئن باشید هنوز ویروس در حال اجراس.

نکته در همینجا هم میتونید با استفاده از Prevent access to Command prompt دسترسی خودتون به cmd رو حل کنید.

//در رجیستری آدرس های مشهور بیشتری هست ک میتونید اونهارو هم چک کنید.

hk_curent_user ->software ->microsoft ->windows -> curentversion ->Policies

در آدرس بالا شما میتونید سیاست های ویندوز خودتون رو به اجرا بزارید.

مثلا در آدرس بالا و در داخل پوشه ی سیستم اگه داده ای از نوع دیوورد به نام "disabletaskmgr" بسازید.و مقدار یک رو در اون وارد کنید.

دیگه نمیتونید وارد تسک مسنجر بشوید.

C:windowsstart menuprogramsstartup

* [HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerShell Folders] 
Startup="C:windowsstart menuprogramsstartup"

* [HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerUser Shell Folders] 
Startup="C:windowsstart menuprogramsstartup"

* [HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionexplorerUser Shell Folders] 
"Common Startup"="C:windowsstart menuprogramsstartup"

* [HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionexplorerShell Folders] 
"Common Startup"="C:windowsstart menuprogramsstartup"

"Anything over here execute when you start up your computer"

2) Windows Scheduler:
Check for entries in the Scheduled Tasks, as well as via the AT command at a command prompt.

3) c:windowswinstart.bat 
'It basically behaves like a normal batch file, then only difference is that it can be used to delete files when you start up your computer

4) Registry :

[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices] 
"Whatever"="c:runfolderprogram.exe"

[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServicesOnce] 
"Whatever"="c:runfolderprogram.exe"

[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun] 
"Whatever"="c:runfolderprogram.exe"

[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunOnce] 
"Whatever"="c:runfolderprogram.exe"

[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun] 
"Whatever"="c:runfolderprogram.exe"

[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunOnce] 
"Whatever"="c:runfolderprogram.exe"

[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunServices] 
"Whatever"="c:runfolderprogram.exe"

5) "Autoexec.bat"

6) These reg keys will basically spawn your programs, as you can see this is very dangerous because these keys are very used by viruses and Trojans.

[HKEY_CLASSES_ROOTexefileshellopencommand] @=""%1" %*" 
[HKEY_CLASSES_ROOTcomfileshellopencommand] @=""%1" %*" 
[HKEY_CLASSES_ROOTbatfileshellopencommand] @=""%1" %*" 
[HKEY_CLASSES_ROOThtafileShellOpenCommand] @=""%1" %*" 
[HKEY_CLASSES_ROOTpiffileshellopencommand] @=""%1" %*" 
[HKEY_LOCAL_MACHINESoftwareCLASSESbatfileshellopencommand] @=""%1" %*" 
[HKEY_LOCAL_MACHINESoftwareCLASSEScomfileshellopencommand] @=""%1" %*" 
[HKEY_LOCAL_MACHINESoftwareCLASSESexefileshellopencommand] @=""%1" %*" 
[HKEY_LOCAL_MACHINESoftwareCLASSEShtafileShellOpenCommand] @=""%1" %*" 
[HKEY_LOCAL_MACHINESoftwareCLASSESpiffileshellopencommand] @=""%1" %*" 
The key should have a value of Value "%1 %*", if this is changed to "server.exe %1 %*", the

server.exe will be executed EVERYTIME an exe/pif/com/bat/hta is executed.

7) Explorer start-up

The problem with these operating systems is that they look for a file called "explorer.exe" whenever you start up your computer, that file is basically the one that you see all the time but don’t realize it is there , if you go to your taskmaganer you can see it, you can even kill it and you will see that everything in your computer that belongs to Microsoft will disappear, except for the extra windows that you open such as cmd, regedit, services.msc etc, but your desktop will be gone. 
As you can see this is dangerous because it also means that if somebody modify your explorer.exe file then your computer will be corrupted. In fact, to change the name of the start bottom, has to be done by modifying the explorer.exe file, so there is a clue of a small difference that can have an effect in your computer.

here is the key: HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogonShell 
if a Trojan changes that to a path of another "infected explorer.exe file" your computer will start up the file the Trojan told it to and not the one used by Microsoft.

8)"Active-X Component"

[HKEY_LOCAL_MACHINESoftwareMicrosoftActive SetupInstalled ComponentsKeyName] 
StubPath=C:PathToFileFilename.exe 

خب باید بگم ک دیگه کار تمومه و میتونید کامپیوتر تون رو ریستارت کنید و دوباره پروسس های اون رو چک کنید.

در اغلب موارد چندین ویروس با هم وارد در یک فایل اجرایی وارد کامپیوتر شما میشوند و با روش های بالا میتونید اون ها رو پیدا و حذف اشون کنید. حالا ما میخوایم ک اثرات دیگر ویروس ها رو هم بر طرف کنیم. در بین ویروس هایی ک مثل regsvr پخش میشوند و عمل میکنند ویروس Newfolder.exe هم شهرت خوبی دارد.این ویروس رو هم همینطور ک گفته شد پیدا و پام کرد ولی آثاری هم از خودشون میگذارند ک میخوام اون ها رو بر طرف کنیم.

#//فایل ها و فولدر های داخل درایو ها یا فلش درایو یا یک پوشه شما غیبشان زده.یا آیکون اونها عوض شده و نمیتوانید اون ها رو باز کنید.

برای دیدن این موارد وارد فایل اکسپلورر /مای کامپیوتر/ شده و (کلید Alt را نگه دارید) و از منوی Tools گزینه ی Folder...Option را بزنید.تا پنجره ی Folder Option باز شود.

بعد  در همان پنجره به لایر View و بعد علامت گزینه ی " ... Show Hidden Files"   را فعال کنید. و بعد از آن دنبال گزینه ی "Hide Protected Operation system file" بگردید و علامت اون رو بردارید. و در پیامی ک به شما میده گزینه ی Yes رو انتخاب کنید. بعد OK کنید و حالا میتوانید فایل ها و فولدر های خود را ببینید.

اگه نتونستید دوباره اون هارو ببینید دو حالت داره.

1.یا ویروس در حال اجراس و تنظیمات رو دوباره بر میگردونه.

2.یا چیزی وجود نداره

حالا چگونه فایل هارو به حالت اولیه اشون برگردونیم؟

نرم افزار NoteePad را باز کرده و متن زیر رو در داخل اون کپی کنید.بعد در منوی فایل گزینه ی Save As رو انتخاب کرده و فایل را در محل مورد نظر بافوvمت یا پسوند bat. ذخیره کنید مثلن Test.bat

echo off

attrib -s -h /s /d /l

cls

echo Ffinished!!!

pause

این مطلب هنوز کامل نیس و کامل کردنش وقت زیادی میخواد.

حتمن ذز آینده ویروس های بیشتری رو بررسی میکنیم.

در ضمن در آینده متالب بهتر و جالب تری در انتظار شماست.