recycler virus
امروز تصمیم گرفتم درباره یکی دیگر از ویروسها که مورد سوال بسیاری از کاربران هم میباشد مطلب بنویسم .
مدتی قبل یکی از کابران که عکاس بود اظهار داشت که سیستمش به محض زدن فلش دیسک هنگ می کند و یا پیام خطا میدهد .این پیام خطا مربوط به اجرای پراسسی به نام Smss.exe بود که فایلهای به نام Autorun.inf و Autoplay.exe در کلیه درایوهای ( چه محلی و چه شبکه ای) ایجاد میکرد .
همانروز یکی از بازدیدکنندگان سایت با بنده تماس گرفت و میگفت به فایل اجرایی ای به نام Smss.exe مشکوک است و مشکلاتی ازاین دست داشت .
وقتی در اینترنت هم گشتم دیدم بسیاری از کاربران با این ویروس گرفتارند !
لذا تصمیم گرفتن روش دستی حذف این ویروس را آموزش دهم .
*برای نمایش بهتر تصاویر روی آنها کلیک کنید .
مختصری راجع به این ویروس :
ابتدا باید متذکر شوم که یکی از فایلهای اساسی ویندوز نیز Smss.exe است و در مسیر C:\windows\system32 قرار دارد . حجم این فایل غیرآلوده حدود 49.5 کیلوبایت است . لذا نباید آن را حذف کرد و یا به آن مشکوک شد . این فایل بی خطر در واقع Session Manager Subsystem میباشد و پراسسسی است که در تمام سیستمها وجود دارد .اما فایل اصلی ویروس Worm/Autorun.WQH نیز Smss.exe نام دارد ، از تشابه اسمی جهت فریب کاربر استفاده می کند و دارای حجم بیشتری میباشد .
این ویروس و از طریق فلش دیسک ( و هر نوع حافظه قابل حمل) خود را در کلیه درایوهای محلی و درایوهای به اشتراک گذاشته شده در شبکه منتشر می کند .
عناوین دیگر این ویروس بشرح زیر است :
البته این ویروس نسخه های مشابه دیگری مانند Worm/Autorun.xqa نیز دارد که کمی در ظاهر متفاوت عمل می کند .
سیستم عاملهای مورد حمله :
Windows 2003/XP/2000/NT/ME/98/95
نتیجه بررسی فایل آلوده و ویروس فوق توسط اسکنرهای آنلاین را میتوانید از این لینک مشاهده نمایید همچنین در این لینک .
عملکرد جهت انتشار :
Smss
برای انتشار خود از قابلیت Autorun یا درواقع Autoplay استفاده می کند
بدینصورت که فایلی به نام Autorun.inf و خود ویروس را در فلش دیسک آلوده
کپی می کند و به محض استفاده از فلش دیسک در سیستم دیگر خودبخود مجددا
اجرا می شود و سیستم جدید را نیز آلوده می کند.
در صورتیکه در مورد فایل Autorun.inf میخواهید بیشتر بدانید به اینجا یا اینجا و نیز اینجا مراجعه فرمایید !!
با ایجاد فایل Autorun.inf با متنی مشابه متن زیر :
[autorun]
;Please Do Not Change This Line.
Open=RECYCLER\..\RECYCLER\autoplay.exe
;Please Do Not Change This Line.
shell\open\Command=RECYCLER\autoplay.exe -open
;Please Do Not Change This Line.
shell\open\Default=1
;Please Do Not Change This Line.
shell\explore\Command=RECYCLER\autoplay.exe -explore
;Please Do Not Change This Line.
[:))]
با هربار دابل کلیک کردن درایوها ، مجددا این ویروس فعال شده و تکثیر می شود .
این ویروس خود را در کلیه درایوها در پوشه ای به نام Recycler و با نام Autoplay.exe کپی میکند .
همچنین خود را در مسیر
کپی می کند و برای آنکه با هربار اجرا ویندوز بازهم اجرا شود ( یعنی در استارت آپ قرار گیرد ) متغیری به نام SysUtils در رجیستری ویندوز ایجاد می کند.
مسیر رجیستری فوق میتواند بصورت زیر باشد :
که در آن مقدار متغیر SysUtils بصورت زیر است :
که X همان نام درایوی است که ویندوز اکس پی در آن نصب شده است .
چگونه این ویروس را ازبین ببریم ؟
( روش دستی پاکسازی ویروسWorm.Win32.AutoRun.wqh Smss.exe )
از انجاییکه این ویروس خود را در مُد سیستمی اجرا می کند براحتی نمیتوان از طریق ، TaskManager فایل در حال اجرای آن را (پراسس ) متوقف کرد و بست .
چرا که وقتی از ستون Processes پراسس Smss.exe را انتخاب کنیم و End Task را کلیک کنیم پیامی به شکل زیر ظاهر میشود :
لذا بایستی از روش دیگری برای بستن این پراسس استفاده کنیم .
برای بست پراسسهایی که با کلیک روی End Task بسته نمیشوند بصورت زیر عمل کنید :
ابتدا تسک منیجر را اجرا کنید (Alt+ctrl_delete را بزنید.
سپس به منوی View رفته و Select Column… را انتخاب کنید .
در لیستی که نمایش می یابد .
PID: Process Identifier را تیک دار نمایید .
خواهید دید که در جلوی هر پراسسی در لیست پراسسهای تسک منیجر یک عدد نمایش می یابد .
هر عدد متعلق به یک پراسس است و به آن شناسه پراسس یا PID گویند .
شما بایستی عدد مقابل Smss.exe آلوده را یافته و سپس دستور زیر را در RUN نوشته و اجرا کنید :
که منظور از X همان PID مربوط به برنامه مورد نظر است .
مثلا اگر روبروی Smss.exe عدد 843 نوشت هشده بود برای بستن آن باید دستور زیر را بنویسید :
حال که توانستید فایل اجرایی این ویرس را ببندید میتوانید براحتی با طی مراحل زیر ویروس فوق را حذف کنید .
نکته بسیار مهم : در طی تمامی این مراحل بهیچوجه روی درایوی دابل کلیک نکنید بلکه برای ورود به درایوها از روش زیراستفاده کنید :
به پنجره RUN رفته و نام درایو را به همراه دونقطه نوشته و OK را بزنید .
مثلا برای بازکردن درایو C دستور بشکل زیر خواهد بود :
فایلهایی که باید حذف شوند :
نکته مهم : توجه کنید که فایلهای مربوط به این ویروس مخفی و سیستمی هستند .
"فعال کردن حالت نمایش فایلهای مخفی و سیستمی" را در بند 18 مطلب زیر مطالعه فرمایید:
* فایل Smss.exe را در مسیر
در صورت وجود حذف کنید . توجه کنید که منظور از X درایوی است که ویندوز شما در آن نصب شده است . مثلا اگر ویندوز اکس پی شما در درایو C نصب باشد این فایل در مسیر
قرار دارد و باید حذف شود .
* پوشه هایی که نام recycler دارند و در ریشه درایوها قرار دارند را حذف کنید . و اگر کاملا حذف نشدند کافیست فایل Autoplay.exe موجود در آن را حذف کنید .
* فایلهایی که نام Autorun.inf دارند و در ریشه درایوها قرار دارند را حذف کنید .
* حال باید به رجیستری ویندوز بروید . ( در پنجره RUN دستور Regedit را بنویسید و اجرا کنید )
در رجیستری به مسیر زیر بروید :
وکلید SysUtils را حذف کنید .
( برای اطمینان بیشتر میتوایند عبارت
را جستجو کرده و درصورت یافتن ، حذفش کنید .
همچنین ممکن است این ویروس در محل دیگری نیز وجود داشته باشد .
مثلا در :
مثلا در سیستم من مسیر زیر بود :
روش دیگر:
اگر نتوانستید بدینصورت نیز Smss.exe را ببندید میتوایند سیستم را درحالت سیف مود بالا بیاورید و سپس به مسیرهای
C:\Documents and Settings\All Users\smss.exeو
سپس با اجرای msconfig در پنجره RUN و رفتن به بخش StartUp گزینه Smss را یافته و آن را از حالت تیکدار بودن خارج سازید .