این ویروس اغلب اعمال زیر را انجام می دهد
یک نوار زرد رنگ در بالای صفحه رایانه و همراه با جملات فارسی به رنگ قرمز نمایش داده میشود. جملاتی که بیشتر توسط این ویروس نمایش می یابد شعارها و جملاتی بر علیه باورها و ارزش های جامعه می باشد.
• یک فایل HTM با نام Important یا Harf یا نام هایی دیگر بر روی Desktop کامپیوتر شما ظاهر می شود که در آن نیز جملاتی برعلیه ارزش ها نوشته شده است
این ویروس گزینه Folder Options کامپیوتر شما را غیر فعال می کند.
•
چگونه ویروس سالدوست (حرف) و اتوران را از کامپیوتر و فلاش خود ، حذف کنیم ؟
روش حذف ویروس حرف harf از سیستم
ویروس سالدوست W32/Saldost یکی از ویروسهای ویروسهای شایع ایرانی می باشد که در بهمن 1386 همزمان با انتخابات دوره هشتم مجلس در ایران شایع شد و به سرعت هزاران کامپیوتر در ایران را آلوده کرد. از آنجایی که این ویروس از یک ویروس خارجی کپی برداری و سپس دستکاری شده است، بسیاری از نرم افزارهای امنیتی معروف به سختی قادر به شناسایی آن و یا حذف کامل آن هستند و اخیرا نسخه های مشابهی از آن در اینترنت منتشر شده است. این ویروس در واقع نسخه خاصی از دو ویروس Malas و همچنین Sality می باشد. البته سالدوست را می توان بدافزار نامید.
این بدافزار اینترنتی پس از اجرای فایل ، بر روی سیستم کاربر، ابتدا خودش را بر روی سیستم کپی می کند و سپس با تغییر دادن کلیدهایی در رجیستری باعث بروز مشکلاتی از جمله باز نشدن Folder Option و مخفی نگه داشتن فایلهای مخفی و سیستمی می شود.
روشهای مقابله و حذف :
روشی که در زیر گفته ایم ممکن است در نسخه های مختلف این ویروس مقداری با هم متفاوت باشند اما اصول و پایه کار به همین صورت است و کمی تلاش و خلاقیت شما را نیز طلب می کند .
قبل از هر چیز Task Manager را اجرا کنید ( با زدن کلیدهای Alt , CTRL , Del به صورت همزمان ) و برنامه های مشکوکی مانند Systray.exe و Userinit.exe و Spoolsv.exe و Soundman.exe و Sounmax.exe را با زدن دکمه End Task ببندید .
از آنتی ویروس Nod32 و همچین Kaspersky نیز می توانید برای شناسایی و حذف این ویروس استفاده کنید . البته بایستی این دو انتی ویروس آپدیت شده باشند و ممکن است ویروس فوق با نام های Malas یا Sality و یا P2p.Worm.Generic شناسایی کنند
این ویروس در نسخه های جدید با نام W32/Nahkos توسط آنتی ویروس پاندا شناسایی می شود .
ویروس کش (McAfee) این ویروس را با عنوان W32/Bindo.worm می شناسد .
آنتی ویروس سوفوس با نام Troj/Yusufali- A و آنتی*ویروس کوئیک*هیل با نام*های "Win32.Malas.c" و "Win32.Malas.A" و "Trojan.Win32.VB.zu" این ویروس را شناسایی می کند .
اما باز باید به صورت دستی فایل های Autorun.inf و Autorun.exe موجود در درایوهای آلوده را حذف کنید .
برای حذف این دوفایل می توانید وارد پنجره RUN شده و دستور CMD را بنویسید تا پنجره اجرای دستورات داس نمایان گردد ، سپس در این پنجره دستورات زیر را برای کلیه درایوها انجام دهید .
حذف AUTORUN.INF :
attrib -r -a -h -s Drive:\AUTORUN. INF
del Drive:\AUTORUN. INF
حذف Autorun.exe :
AUTORUN.INF
attrib -r -a -h -s Drive:\autorun. exe
del Drive:\autorun. exe
به جای کلمه Drive نام درایو را قرار دهید مثلا برای درایو C باید بنویسید :
attrib -r -a -h -s C:\AUTORUN.INF
.دانلود برنامه حذف اتوپلی و اتوران از درایوها که باعث باز نشدن درایوها می شود Download Link
AutoPaly.exe Remover
دانلود برنامه حذف اتوران اجرایی و اتوران از درایوها که باعث باز نشدن درایوها می شود Autorun.exe
رفع عیوب رجیستری که توسط ویروس ایرانی سالدوست ایجاد شده ، بازگرداندن فولدر آپشن Saldost Registry Repair
برای برگرداندن فولدرآپشنز به پنجره Run رفته و دستور Regedit را نوشته و اجرا کنید تا وارد نرم افزار ویرایش رجیستری ویندوز شوید .
حال از منوی Edit گزینه Find را انتخاب کنید و عبارت NoFolderOption را نوشته تا این عبارت در رجیستری جستجو شود . هر بار که این عبارت را یافتید بایستی روی آن دابل کلیک کرده و مقدار ارزش آن را از یک به صفر تغییر دهید . (نمایش فولدر آپشنز پس از این عمل درصورت راه اندازی مجدد سیستم صورت می گیرد ).
درصورتیکه Taskmanager و یا Regedit نیز غیر فعال شده اند به مقاله " فعال کردن رجیستری که توسط ویروس غیر فعال شده است " و همچنین " فعال کردن تسک منیجر که توسط ویروس غیر فعال شده است " مراجعه کنید.
نکته : برای فعال کردن حالت نمایش کلیه فایلهای سیستمی و مخفی وارد MyComputer شده و سپس به منوهای زیر بروید :
Tools=>FolderOptions=>View
سپس گزینه Show Hidden Files And Filders را فعال کنید .
همچنین گزینه Hide protected operating system files را غیرفعال نمایید .
توجه کنید که درایوها را با دابل کلیک باز نکنید و فقط با روش گفته شده در بالا (استفاده از RUN و تایپ نام درایو به همراه : ) درایوها را باز کنید .
به درایوی که ویندوز در آن نصب شده بروید و در مسیر Program files پوشه XpCode را حذف کنید .
به درایوی که ویندوز در آن نصب شده بروید و وارد پوشه Documents and Settings شده و درآنجا وارد پوشه ای که به نام کاربر فعلی میباشد شده و سپس در پوشه Local Settings فایل Startup.exe را حذف کنید . توجه کنید که Local Settings نیز پوشه ای مخفی و سیستمی است
در همین پوشه وارد پوشه Temp شده و کلیه فایلهای موجود در آن (خصوصا Systray.exe) را حذف کنید .
در پنجره Run عبارت MsConfig را نوشته و در بخش Startup کلیه گزینه ها را از حالت انتخاب خارج کنید هیچکدام تیک دار نباشند.
از پوشه Startup ( واقع در C:\Documents and Settings\ user\Start Menu\Programs\ Startup ) برنامه هایی که کلمه Update را دارند حذف کنید . ( مانند Office Update ویا Adobe Update )
حال سیستم را ری استارت کنید .
پس از راه اندازی مجدد سیستم ، یکبار کل سیستم را با آنتی ویروس بروز شده اسکن کنید و درصورت رفع مشکل باز در پنجره Run عبارت MsConfig را نوشته و در بخش Startup گزینه هایی را که غیرفعال کرده بودید را به حالت قبل درآورید .
نکته : در یکی از نسخه های این ویروس در بخش Startup فایلی به نام Soundman.exe یا SoundMax.exe نیز وجود دارد که باید غیر فعال شود و این فایل نیز از مسیر
\Sound Utility\Soundmax. exe حذف گردد.
همچنین از طریق رجیستری در مسیر
HKLM\SOFTWARE\ Microsoft\ Windows\CurrentV ersion\Run\ SoundMax
باید Soundmax یا Soundman.exe را حذف کنید .