بتازگي شاهد گسترش ويروسي هستيم كه با استفاده از نام و پسوند تصاوير jpg قصد پوشش و گسترش خودش رو داره.  مهمترين و اولين نقطه براي شروع پاكسازي يه ويروس مرحله detect (كشف يا تشخيص) هست. اين ويروس علائم و ويژگي‌هاي زير رو از خودش نشون ميده.

1-      از طريق حافظه هاي جانبي مثل كول ديست مموري فلش و يا هارد اكسترنال يا عمليات هاردبه هارد و... منتقل ميشه.

2-      زماني كه از طريق فلش ممور ويروس اوتوران اجرا ميشه تعداد زيادي پنجره خطا ظاهر ميشه.

3-      اگر در folder option تيك Hide extensions for known file type رو برداريد و  تاييد كنيد عكساتون رو با نام name.JPG.EXE مشاهده مي كنيد.

4-      درصورتي كه تصوير jpg خود رو در محيط myComputer  مشاهده ميكنيد و حالت نمايش رو روي thumbnails قرار ميديد بجاي نمايش بندانگشتي تصويرتون icon تصاوير jpg نمايش داده ميشه.

5-      اگه حجم و سايز تصاوير رو مشاهده كنيد (بكمك قرار دادن حالت نمايش بر روي details يا نگه داشتن موس برروي تصوير)   متوجه ميشيد كه تمامي تصاوير يك سايز و يه حجم دارند مثلا سايز 1024*768  و حجم 614 كيلو بايت. (ممكنه سايز و حجم متفاوت از اين نمونه اي كه گفته شده باشه)

اخطار: پس از اتصال حافظه جانبي ويروس از طريق ASK.JPG.EXE انتقال پيدا ميكند. پس به هيچ وجه اون رو اجرا نكنيد.

اخطار: قبل از هركاري آموزش پاكسازي ويروس رو يك بار تا انتها مطالعه كنيد و سپس قدم به قدم از آموزش جلو بريد.

برخي از ويژگي هاي ديگه اين ويروس رو در ادامه توضيحات در مرحله پاكسازي متوجه ميشيد.

درصورتي كه ويروس به سيستم شما منتقل شد بايد اون رو از حافظه فعال سيستم خارج كنيد و سپس هسته اون رو حذف كنيد.

براي از بين بردن پايگاه داده ويروس از مسير زير فايل LSASS رو پيدا و حذف كنيد:

C:\Documents and Settings\user\Local Settings\Application Data

البته سيستمي كه من ويروس يابيش كردم ويندوزش مجددا نصب شده بود و تمامي تصاوير به هارد اكسترنال منتفل شده بود.

براي غير فعال كردن ويروس درصورتي كه ويروس روي سيستم فعال باشه نميزاره هسته يا پايگاهش حذف بشه براي همين شما بايد از هر طريق ممكن اول اون رو از حافظه خارج كنيد. شما ميتونيد به كمك نرم افزار process master (دانـلــــود از ايـــنجـــــا) هر برنامه اي رو كه تمايل داريد از پردازش خارج كنيد كه الان برنامه مورد نظر ما ويروس هست بعد از نصب و قرار دادن كرك نرم افزار در محل نصب شده و اجراي برنامه از طريق كرك LSASS رو پيدا كنيد و دقت كنيد كه مسير اجراش دقيقا مسيري باشه كه بالا ذكر شد. اگه فايل هم نام اين ويروس كه يه فايل سيستمي هست و در پوشه system32 قرار داره رو حذف كنيد اخطاري به شما داده ميشه كه يك دقيقه تا Restart‌ سيستم بشما مهلت داده. اگه همچين اتفاقي افتاد ميتونيد ساعت سيستم رو عقب بكشيد.

(مطمئنا كساني كه بصورت دستي ويروس پاك  ميكنن خيلي قدر نرم افزاري مثل Process Master رو ميدونن)

توضيح مختصري درباره آدرس ذكر شده: منظور از درايو سي درايوي هست كه ويندوز در اون نصب شده و منظور از user  نام كاربر سيستم شما هست مثلا NavidWeb

بعد از اينكه پروسه ذكر شده رو kill كرديد نوبت به حذف ديتابيس ميرسه كه توضيح داده شد.

تذكر: اگه شما ويروسي هستين اما فايل گفته شده توي مسير بالا نبود احتمال مخفي شده و ميتونيد به كمك فايل اجرايي كه همراه Process Master براي دانلود گذاشتم اون رو از حالت مخفي خارج كنيد. (فايل اجرايي با نام NavidWeb درون پوش Process Master r  قرار داده شده)

براي حذف ويروسهاي منتشر شده با نام تصاوير شما بايد صفحه سرچ رو باز كنيد و سراغ فايلهايي كه دقيقا همنام name.jpg.exe بگرديد. منظور از name نام تصوير شما هست. براي اينكار شما در MyComputer  كليد F3‌ رو فشار بديد و بعد All Files & Folders  رو انتخاب كنيد jpg.exe  يا *.jpg.exe رو سرچ كنيد.

تمامي فايلهايي كه پيدا شده رو حذف كنيد.

نترسيد، با اين كار فايلهاي شما از بين نميره فقط ويروس همنامش از بين ميره. تصاوير شما به حالت Supper Hiden  در اومدن كه بعدا برشون ميگردونيم. اگه شك داريد ميتونيد از تمامي فولدرهاي تصاويرتون بك آپ بگيرد بعد اينكارو كنيد!!!

من 193244 تا پيدا كردم، ببينم شما چيكار ميكنيد

براي خارج كردن تصاوير از حالت مخفي فايل bat رو كه ايجاد كردم تويه ريشه جايي كه تصاويرتون بوده اجرا كنيد اين فايل حاوي دستورات زير هست:

attrib -h -a -s -r *.jpg /s /d

اين فايل همراه با نرم افزار Process Master با نام NavidWeb براي استفاده قرار داده شده.

هرجا تصويري ظاهر نشده بود اين فايل رو كپي و يك بار اجرا كنيد.

در انتهاي كار بكمك يه آنتي ويروس بروز سيستم رو بصورت كامل براي ازبين بردن فايلهاي Auto run ايجاد شده Scan كنيد.

ظاهرا منشاء پيدايش اين ويروس دزفول بوده و انديمشكي ها براي يك عمليات انتحاري اون رو طراحي كردن( ;) اين يه تيكه آخريش شوخي بود)

ولي حرف حديث در اين باره هست. نكته ديگه من قاعده و مراحل توضيح رو از يه سايت دزفولي به اسم فرما تودسفيل كمك گرفتم... اينم از كپي رايت و حق دوستمون

آموزش با سه صلوات بر محمد و آل محمد و خاندان پاك و مطهرش رايگان بود.

عرض تبريك و باآرزوي موفقيت براي شما، هرجا كه بمشكل برخوردين ميتونيد همينجا سوال خودتون رو مطرح كنيد.