چگونه ویروس Sality را از سیستم پاکسازی کنیم

جمعه ٢٧ شهریور ۱۳۸۸
۱۱:٢٦ ‎ب.ظ
پرویز برومندنژاد


غیرفعال کردن Alt+Ctrl+Delete یا همان تسک منیجر Task Manager ، از کار افتادن Regedit ( رجیستری ویندوز) ،همچنین محدود کردن دسترسی به سایتهای آنتی ویروس ، بستن آنتی ویروس و همچنین خراب کردن فایلهای اجرایی سیستم مختصری از اعمال این ویروس است . ( همراه با برنامه های مورد نیاز )
کته ابتدایی : توجه کنید که فعلا ابزاری برای بازگرداندن فایلهای exe و Scr که آلوده به ویروس سالیتی شده اند وجود ندارد ( حداقل من ندیده ام ) و در واقع اگر فایل اجرایی ای آلوده به این ویروس شده باشد شما بایستی آن را حذف کنید و بکلی از خیر آن بگذرید ! . حتی دستور Disinfect در آنتی ویروس kaspersky قادر به بازگرداندن فایل اصلی شما نیست .
روش دستی و بدون ابزار ویژه برای ازبین بردن ویروس Sality :


روش دستی و قدم به قدم از بین بردن این ویروس بسیار پیچیده و مشکل است و اگر حرفه ای باشید و زیاد با ویروسها آشنایی داشته باشید میتوانید از طریق برنامه های کوچکی که در بخش دانلود گذاشته ام این ویروس را از بین ببرید .

برای برگرداندن رجیستری ادیتور و تسک منیجر فایلهای زیر را دانلود کرده و اجرا نمایید :

برنامه فعال کردن تسک منیجر

برنامه فعال کردن رجیستری

پس از آنکه TaskManager را فعال کردید بایستی بلافاصله Alt+Ctrl+Del را زده و تسک منیجر را اجرا کنید و سپس پراسسهای SCVhost.exe و همچنین Explorer.exe را از بخش Processes ببندید ( روی پراسس مورد نظر کلیک راست کرده و End Process Tree را کلیک کنید )



سپس مقادیری از رجیستری که موجب اجرای مجدد ویروس می شوند را بایستی پاک کنید :

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon]
Shell = "Explorer.exe SCVHSOT.exe"


[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVe rsionRun]
Yahoo Messengger = "%System%SCVHSOT.exe"


برای سهولت این عمل و مدیریت برنامه هایی به صورت StartUp اجرا می شوند ( یعنی همراه با بالا آمدن ویندوز اجرا میگردند) از برنامه زیر استفاده کنید :

برنامه مدیریت بر روی برنامه های استارت آپ

کاربرد : مدیریت و تنضیمات استارت آپ و حذف یا اضافه کردن برنامه در استارت آپ
با این برنامه می توانید فایل اصلی ویروس را که در استارت آپ قرار گرفته غیرفعال نمایید .( فایل اصلی ویروس نام دقیقی ندارد ولی در بعضی از سیستمها من آن را به نام SCVHSOT.exe دیده ام )

برای رفع مشکلات رجیستری فایل زیر را دانلود کرده و اجرا کنید :

برنامه رفع مشکلات رجیستری

روش دیگر از بین بردن ویروس Sality با استفاده از ابزار SalityOff :

سایت Kaspersky روش مقابله با این ویروس را با استفاده از ابزاری به نام Sality_Off ارائه کرده است که ترجمه آن را در ذیل آورده ام :

نکته : روش زیر به کلی این ویروس را پاکسازی نمی کند بلکه با غیر فعال کردن موقت عملکرد ویروس ، به شما اجازه می دهد یک آنتی ویروس مناسب بر روی سیستم نصب کنید و فایلهای آلوده به این ویروس را یافته و حذف کنید .
این روش برای حذف و مقابله با نسخه های زیر از ویروس Sality بکار میرود :

o Virus.Win32.Sality.y
o Virus.Win32.Sality.z
o Virus.Win32.Sality.aa
ابتدا فایل Sality_off.exe را دانلود نمایید .

دانلود برنامه نابود کننده و مانیتورینگ ویروس

حال این برنامه را یکبار اجرا کنید . این برنامه کل عملیات سیستم را مانیتور می کند و در صورت مشاهده عملکرد ویروس سالیتی آن را شناسایی و ازبین میبرد .
توجه کنید که این برنامه بصورت یک پنجره داس اجرا می شود و در صفحه باقی میماند . در هنگام باز بودن این برنامه بهتر است کمی درایوها را مرور کنید .
سپس به

Start > All programs > Startup
رفته و روی گزینه Startup کلیک راست کرده و Open را انتخاب نمایید .

حال در پنجره فوق کلیک راست کرده و از منوی کلیک راست گزینه New و سپس Shortcut را انتخاب نمایید .
در پنجره Create Shortcut روی گزینه Browse کلیک کنید .
حال به مسیری که فایل Sality_off.exe ذخیره شده است بروید و فایل Sality_off.exe را انتخاب کنید . حال OK را بزنید .
در کادر Type a name for this shortcut عبارت –m را اضافه نمایید . ( در نهایت مثلا اگر فایل Sality_off.exe را در درایو C ذخیره کرده باشید به صورت C:Sality_off.exe -m خواهد بود )

حال Next و سپس OK را بزنید .

این عمل باعث می شود تا فایل Sality_off.exe در استارت آپ قرار گیرد .
حال ویندوز را ری استارت نمایید .


پس از بالا آمدن ویندوز Sality_off.exe مجددا خودبخود اجرا شده و حال می توانید براحتی یک آنتی ویروس مناسب روی سیستم نصب و اجرا کنید و کل سیستم را اسکن نمایید .
من با آنتی ویروسهای Avira AntiVir و Kaspersky Internet Security و NOD32
براحتی توانستم این ویروس را پاکسازی نمایم


موضوعات مرتبط:
برچسب‌ها: ترفندها
تمامی حقوق این وب سایت متعلق به 💻بینهایت💻 است. || پرویز برومند نژاد