آیا کامپیوتر شما مشکوک به داشتن ویروس است؟ / بخش اول: بالا نیامدن ویندوز
-------------------------------- این روزها نرم افزارهای مخرب تبدیل به یک اپیدمی شدهاند؛ به نظر میرسد همه جا هستند. هم چنین متاسفانه روش عملکرد آنها نیزتغییر کرده و پیشرفتهتر شده است. پیش از این بدافزارها فقط باعث کند شدن سیستم یا پنجرههای پاپ آپ اذیت کننده میشدند اما امروزه بسیار پیچیدهتر شدهاند. همین حالا ممکن است سیستم شما آلوده باشد و روح شما نیز خبر نداشته باشد. بدتر از آن اینکه گویا تنها راه فهمیدن آلوده بودن سیستم، اسکن کردن آن با برنامههای مختلف آنتی ویروس است. این روش میتواند وقت گیر بوده و اسکن کردن کامپیوترتان را کند میکند. بعد از آن نیز هنوز مطمئن نیستید که سیستم صد در صد پاک شده باشد چرا که آنتی ویروسها نمیتوانند تمام انواع بدافزار را تشخیص دهند.
------------------------------------ به دلیل همین مشکلات، باید روش بهتری وجود داشته باشد. این روش برنامههایی را به کار میگیرد، نه برای پاک کردن فایلها بلکه برای تحلیل کامپیوتر. هرکدام از این برنامهها بسیار موثر بوده و به سادگی قابل استفادهاند؛ همگی آنها اپلیکیشنهایی قابل حمل و نقل هستند و هیچ مشکلی را در کامپیوتر شما ایجاد نمیکنند چرا که فقط زمانی اجرا میشوند که از آنها استفاده کنید.
با این حال، این برنامهها قطعا به اینترنت محتاجاند. نگران نباشید، اگر اینترنت به دلیل آلوده شدن سیستم شما از کار افتاده است، راه حلهایی نیز برای آن وجود دارد. بعد از طی کردن مراحلی که گفته خواهد شد، این روش مطمئنتر، سریعتر و بسیار سادهتر از روشهای دیگر خواهد بود. هیچ نوع بدافزار فعالی نمیتواند از تیغ این روش فرار کند. هرچند بدافزارهای غیرفعال ممکن است با این روش شناسایی نشوند اما توسط دیگر برنامهها قابل شناسایی خواهند بود. به یاد داشته باشید که بدافزارهای غیرفعال تهدید مستقیمی محسوب نمیشوند.
این مطلب در مورد کامپیوترهایی است که مطمئن نیستید به بدافزار آلوده هستند یا نه؛ وگرنه اگر مطمئن هستید که سیستم به بدافزار آلوده شده است باید روش دیگری را در پیش بگیرید که در مطالب دیگر به آن میپردازیم.
برای کارایی این روش «باید»تمام مراحل را حتما انجام دهید و این مراحل جداگانه کاربردی نخواهند داشت و به هم مربوط هستند.در هر مرحله اگر هشداری دریافت کردید که سیستم شما آلوده است سریعا باید سیستمتان را نجات دهید.
----------------------------------------------------------------------------------------- اگر کامپیوترتان بالا نمیآید:
توجه کنید که اگر سیستم شما میتواند ویندوز را بالا بیاورد، این مرحله را حذف کنید و مستقیما به مرحله بعد بروید. اگر کامپیوتر شما قادر نیست وارد ویندوز شود، این مراحل را باید طی کنید:
الف)تلاش کنید ویندوز را بدون ریسک تعمیر کنید:
اگر ویندوز ۷ یا ویستا دارید و نمیتوانید وارد آن شوید، راه سادهای برای حل مشکلات احتمالی وجود دارد. ابتدا آن را ری استارت کرده و به محض روشن شدنکلید F8 را پشت سر هم فشار دهید تا یک منو ظاهر شود.حالا گزینه «Repair Your computer» را انتخاب کرده و اینتر را بزنید. به سوالهایی که پرسیده میشود پاسخ داده و بگذارید سیستم مشکلات را حل کند.
---------- اگر از ویندوز «XP»یا پیش از آن استفاده میکنید، یا راه حل بالا مشکل را حل نکرد، به مرحله بعد بروید.
------------------------------------------------------------------------------- ب)ویندوز را از طریق دیسک ویندوز تعمیر کنید:
کامپیوترتان را از طریق دیسک بوت ویندوز بالا بیاورید. توجه کنید که نظم بوت شدن را در «BIOS» تغییر دهید تا کامپیوتر از طریق سی دی بوت شود. بعد از بوت کردن با دیسک، گزینه «Repair Windows» را اجرا کنید. در پنجره بعد که گزینههای مختلفی برای تعمیر در اختیار شما قرار داده میشود، گزینه «Startup Repair» را انتخاب کنید.
اگر دیسک بوت را ندارید،برنامه «Sardu»را دانلود کنید.
این برنامه برای ایجاد سی دی بوت برای پاک کردن بدافزار و تعمیر کامپیوتر طراحی شده است. به شدت مراقب برنامههایی که همراه با این کامپیوتر قصد نصب شدن را دارند باشید و نگذارید نصب شوند. برنامه را اجرا کرده و به قسمت ویندوز بروید.در بخش «Windows Recovery disk» برای ویندوز «XP» دیسک ریکاوری را دانلود کنید.
بعد از دانلود فایلهای «ISO» آنها را به فولدر «ISO» منتقل کنید که در فولدر «Sardu» واقع شده است. حالا «Sardu» میتواند دیسک را برای شما تولید کند.
------------------------------------------------------------------------------------------------------ ج) «Master Boot Record» را تعمیر کنید:
اگر راه حلهای پیشین بیفایده بود احتمالا «Master Boot Record» دچار مشکل شده است. در این حالت، از اینجا نسخه قابل بوت «MiniTool» را دانلود کنید و بعد فایل «ISO» را روی یک سی دی رایت کنید. حالا کامپیوترتان را از طریق همان سی دی بوت کنید و بالا بیاورید.
بعد از اجرا کردن برنامه، باید روی «Disk1» کلیک راست کنید و گزینه «Rebuild MBR» را انتخاب کنید. حالا در گوشه پااین سمت چپ یک عمل منتظر شما است تا تایید کنید. پس از تایید احتمالا مشکل شما حل شده و سیستم شما میتواند به صورت معمولی وارد ویندوز شود.
----------------------- در قسمتهای دیگر به بررسی دیگر مشکلات سیستمهای مشکوک به آلودگی خواهیم پرداخت.
بخش دوم: روت کیت
--------------- مشکل یابی کامپیوتر شما که مشکوک به ویروس و بدافزار است، شرایطی را در نظر گرفتیم که کامپیوتر شما نتواند وارد ویندوز شود و راه حلهای مربوط به آن را ارائه کردیم.
----------------------- در این مطلب تلاش می کنیم بفهمیم آیا سیستم شما به روت کین آلوده شده است یا نه؟
در درجه اول باید مطمئن شوید که کامپیوتر شما بهروت کیت (Rootkit)آلوده نشده باشد. برای این کار، ابتدا باید کامپیوتر خود را با برنامه "Kaspersky TDSSkiller" اسکن کنید. این برنامه ر میتوانید از لینک زیر دانلود کنید.
دقت کنید که اگر نسخه". EXE" فایل در کامپیوتر شما کار نکرد، باید نسخه". ZIP" را امتحان کنید. همزمان باید برنامه زیپ شده"Comodo Cleaning Essentials" را از لینک زیر دانلود کنید.
دقت کنید که نسخه مناسب با سیستم عامل کامپیوترتان(ویندوز۶۴ یا ۳۲، لینوکس یا مک) را دانلود کنید. اگر هیچکدام به درستی دانلود نشده و یا اینترنت شما قطع شده است، باید از طریق یک کامپیوتر دیگر فایلها را دانلود کنید و با فلش مموری به کامپیوترتان منتقل کنید. دقت کنید که فایل دیگری در فلش مموری وجود نداشته باشد. در مورد فلش مموری نیز دقت کنید چرا که ممکن است با وصل آن به کامپیوتر به بدافزار آلوده شود، بنابراین بعد از وصل کردن آن به کامپیوترتان آن را با بیدقتی به کامپیوتر دیگر وصل نکنید.
------------------------------------------------------------------ برنامه "Kaspersky TDSSKiller" کامپیوتر شما را برای رایجترین انواع روت کیت اسکن میکند. دقت کنید این برنامه در حد خوبی است و حالتهای «مثبت کاذب» در آن بسیار کم است.
حالا فایل "TDSSKiller" را اجرا کنید. سپس گزینه "Start Scan" را انتخاب کنید. اگر این اسکن فایل مشکوک یا آلودهای را پیدا کند، کامپیوتر شما آلوده است اما اگر فایل آلودهای پیدا نشد، کامپیوترتان را با برنامه "Comodo Cleaning Essential" اسکن کنید.
فولدر "CCE" را از حالت زیپ خارج کنید. سپس روی فایل "CCE" دوبار کلیک کنید. این فایل برنامه اصلی را اجرا میکند. اگر فایل اجرا نشد، دکمه "Shift" را نگه دارید و بعد روی فایل"CCE" کلیک کنید. بعد از اجرا شدن کامل برنامه، دکمه شیفت را رها کنید. اگر این برنامه در کل اجرا نشد،بهتر است برنامهای به نام "RKill" را اجرا کنید.
بعد از اجرای این برنامه، برنامه "CCE" نیز میتواند اجرا شود.
توجه کنید: هیچ چیز در مورد برنامه "CCE" را حذف یا غیرفعال نکنید چرا که این کار بسیار خطرناک است. این برنامه را نباید برای یافتن هر نوع بدافزاری استفاده کنید.
----------------------------------------------------------------------------- حالا گزینه "smart scan" را در برنامه "CCE" انتخاب کنید. این گزینه سریعا یکدیتابیس (پایگاه داده)از ویروسها را دانلود میکند که ممکن است طول بکشد. وقتی دانلود کردن تمام شد، اسکن به سرعت شروع میشود. این اسکن، تمام انواع بدافزار را جستجو میکند. این اسکن نباید خیلی طول بکشد. این برنامه ممکن است چند مورد حالت«مثبت کاذب»داشته باشد. بنابراین بهتر این است که اگر فایل مشکوکی شناخته شد، آن را با برنامهکومودو(Comodo)نیز چک کنید.
متاسفانه راه سادهای برای پیدا کردن فایل مشکوک وجود ندارد. برای پیدا کردن آن، باید به طور دستی در فولدرها و فایلها آن را جستجو کنید.
برنامه کومودو نیز کامپیوتر شما را اسکن میکند تا مبادا در سیستم شما تغییراتی در اثر بدافزارها به وجود آمده باشد. این اسکن به همراه نتایج آنها نمایش داده میشود. اگر این تغییرات را خودتان انجام نداده باشید، این نشانهای برای وجود بدافزار در سیستم شما است.به شما توصیه میکنیم که این آیتمها را با برنامه "CCE" اسکن کنید اما فقط همین آیتمها نه دیگر فایلها.
بعد از اتمام اسکن، از شما خواسته میشود که کامپیوترتان را ری استارت کنید؛ این کار را انجام دهید. هیچ برنامه دیگری را باز نکنید، این کار مراحل بعدی را سادهتر خواهد کرد. بعد از ری استارت، پنجره «پاپ آپ» در مورد نتایج نهایی ظاهر خواهد شد. اگر فایلی پیدا نشد و روشهایی که گفته شد بیفایده بود، باید به مراحل بعد در مطالب بعدی به دنبال راه حل باشید اما اگر فایل مشکوکی پیدا شد و کومودو هم آن را مخرب شناخت، باید به مطلبی در مورد پاک کردن کامپیوتر از بدافزار که بعدا منتشر خواهد شد، مراجعه کنید.
تا به حال در دو بخش قبل(بخشهای اول و دوم)، شرایطی را بررسی کردیم که اگر در کامپیوتر شما ویندوز بالا نمیآید از چه راهکاری استفاده کنیم و یا کامپیوتر را برای آلوده بودن به روت کیت اسکن کنیم. در این بخش توضیح میدهیم که اگر راهکارهای بخشهای قبل به کار نیامد و هیچ بدافزاری پیدا نشد،در مرحله بعد مراحل زیر را برای استفاده از "KillSwitch" پیگیری کنید:
الف)استفاده از "KillSwitch" برای اسکن برنامههای در حال اجرا
در بخش پیش توضیح دادیم که چگونه باید از"Comodo Cleaning Essentials" یا "CCE" استفاده کنید. در این مرحله نیز باید از همین برنامه استفاده کنید اما این بار باید به بخش "Tools" رفته و گزینه "OpenKillSwitch" را انتخاب کنید. این برنامه سریعاً شروع به اسکن کردن تمام برنامههای در حال اجرا میکند. این اسکن فقط چند دقیقه کوتاه طول میکشد. بدون آنکه منتظر شوید تا این پروسه کامل شود، میتوانید به "View" رفته و گزینه "Hide Safe Processes" را انتخاب کنید. این کار باعث میشود تا پروسههایی که توسط کومودو، سالم شناخته میشوند، پنهان شوند. دلیل اینکه در مرحله قبل از شما خواستیم تا هیچ برنامه دیگری را اجرا نکنید، این بود که بدافزارها تقریباً همیشه اولین برنامههایی هستند که آغاز به کار میکنند، در حالیکه برنامههای سالم اینطور نیستند.
-------------------------------------------- بعد از تمام شدن اسکن، هر چه باقیمانده است، یا بدافزار و خطرناک است یا در لیست سفید کومودو نیست. اگر در لیست سفید کومودو نباشد، به عنوان "FLS. Unknown" شناخته میشود. توجه داشته باشید که این عبارت لزوماً به معنای خطرناک بودن نیست. این فقط به این معنی است که این فایل تاکنون توسط کومودو شناخته نشده است.
comodo-cleaning-essentials-22.jpg
------------------------------------------------------------------------------------------ ب)نتایج را تحلیل کنید:
اگر برنامه "KillSwitch" به شما میگوید: "There areno item to show"، در نتیجه کامپیوتر شما این مرحله را با موفقیت رد کرده است و باید به مراحل بعد مراجعه کنید. با این حال، اگر فایلهایی در لیست باقی ماندهاند، باید آنها را تجزیه و تحلیل کنید. برای این کار ابتدا باید مکان فایلها را در هارد کامپیوترتان پیدا کنید. به این منظور، روی فایل کلیک راست کرده و گزینه" Jump to Folder" را انتخاب کنید. این کار، فولدر حاوی فایل را باز میکند.
-------------------------------------------------------------------------------------------------------- برای فایلهایی که به عنوان فایلهای خطرناک (dangerous) شناخته شدهاند اما شما معتقدید احتمالاً در واقعیت سالم و امن هستند، به شما قویاً توصیه میکنیم که آنها را به عنوان حالت«مثبت کاذب» (False-Positive)در وبسایت زیر قرار دهید تا نتایج را ببینید.
کافی است گزینه "False-Positive" را انتخاب کنید و اطلاعات خواسته شده را بدهید.اگر حالت «مثبت کاذب» اتفاق افتاده باشد، فایل مورد نظر امن است.
با این حال، برای فایلهایی که فکر میکنید واقعاً خطرناک هستند اما به عنوان "FLS. Unknown" شناخته شدهاند، خودتان میتوانید آنها را چک کنید و از سلامت آنها مطمئن شوید. برای این کار در آینده مطالبی را ارائه خواهیم داد. همچنین اگر نتیجه این چک کردن این بود که فایل امن است، میتوانید آن را به لیست سفید کومودو اضافه کنید. نحوه انجام این کار را نیز در آینده توضیح خواهیم داد.
مهمترین فایده استفاده از لیست سفید این است که شما نیازی ندارید خودتان کاری انجام دهید و در آینده نیز وقتی کامپیوترتان را چک میکنید، بسیاری از فایلها در لیست سفید قرار دارند و کار خاصی برای آنها انجام نمیشود. در واقع، شما تمام برنامههای امن کامپیوترتان را به کومودو معرفی میکنید و برنامه "KillSwitch" تعداد فایل ناشناخته کمتری دارد و نتایج به تدریج معتبرتر خواهد شد.
http://tech.tavaana.org/fa/InfectedSystems1 
