حذف Trojan.Win32.Hider.i تروجان / اسب تروا یا به قول عام ویروسی که تمام پوشه ها را مخفی می کند
عناوین دیگر :
Trojan.Win32.Hider.i (Kaspersky Internet Security or Antivirus)
Generic.dx (McAfee)
W32.SillyFDC (Symantec)
TR/Hider.I.12 (Avira)
Troj/Hider-O (Sophos)
Trojan:Win32/Hider.gen (Microsoft)
سیستمهای در معرض آسیب :
Windows 2000, XP, Server 2003
توضیحات مختصر :
مخفی و سیستمی کردن کلیه پوشه ها
کپی خود در تمام پوشه هایی که کاربر وارد آنها می شود یا آنها را مرور می کند .
تنظیم عدم نمایش فایلهای مخفی سیستمی و پسوند فایلها
تغییرات در رجیستری
شيوه آلودگي :
اين ويروس از طريق مراجعه و ويزيت سايتهاي آلوده و همچنين دانلود كركها و فايلهاي مشكوك به سيستم كاربران وارد مي شود .
عملكرد تروجان هايدر :
این ویروس با ترفند بسیار جالبی ابتدا با استفاده از تنظیم خصوصیات سیستمی ، تمام پوشه هایی که کاربر بر روی آن کلیک می کند را ، بصورت سیستمی مخفی می کند و سپس خودش را با اسامی همنام آن پوشه ها ایجاد می کند که آیکن آنها به شکل پوشه است و هنگامی که کاربر روی آنها دابل کلیک می کند با پوشه خالی مواجه می شود و گمان می کند پوشه های وی حذف شده است .
درواقع بسياري از كابران به محض آلوده سدن به اين ويروس اظهار ميدارند كه ويروس تمام محتويات پوشه هاي آنها را حذف كرده است و بسياري نيز به فكر ريكاوري سيستم خود مي افتند !
این ویروس همچنین خاصیت نمایش پسوند فایلها را غیرفعال می کند تا كپي هايي كه از خود ايجاد كرده و پسوند Exe دارند قابل شناسايي نباشد و از آنجا كه با دستكاري رجيستري آيكان فايلهاي كاربردي و Exe را به شكل فولدر تغيير مي دهد ، خود را همانند پوشه خالي نمايش مي دهد .
اين تروجان خود را در رجیستری به صورت اتواستارت قرار می دهد و با هربار اجرای ویندوز مجددا اجرا می شود .
فایل اصلی این ویروس ISASS.EXE نام دارد که در شاخه اصلی ویندوز و در پوشه System32 ذخیره می شود .
WINDOWS\system32\isass.exe
همکنون اکثر آنتی ویروسهای بروز شده این ویروس را شناسایی می کنند و قادر به حذف فایلهای ایجاد شده توسط آن هستند .
اما مشکلی که باقی می ماند آنست که بایستی به صورت دستی تمام پوشه های مخفی و سیتمی شده را به حالت قبل برگرداند ضمن آنکه تغییرات رجیستری انجام شده توسط این ویروس را بایستی به صورت دستی تصحیح کرد .
طريقه حذف و پاكسازي ويروس هايدر :
1. ابتدا System Restore را غيرفعال كنيد .
2. سپس بايستي سيستم را در حالت Safe Mode بوت كنيد .
3. در صورتي كه در تسك منيجر ، پراسسي به نام isass.exe مشاهده مي كنيد آن را انتخاب كرده و روي آن كليك راست نموده و End Task Tree را كليك كنيد .
4. سپس با اجراي برنامه ي ويرايش رجيستري ويندوز
( نوشتن عبارت Regedit.exe در پنجره RUN و كليك OK )
كليدهاي زير در رجيستري را حذف كنيد :
( اين مسير موجب اجراي ويروس در هرباري اجراي ويندوز مي شود )
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\CSNetManagerXp
ImagePath = "%System%\isass.exe"
نكته : منظور از %System% پوشه سيستمي ويندوز است . اين پوشه در Windows 2000 با مسير C:\WINNT\System32 و در Windows XP و Server 2003 با مسير C:\Windows\System32 ميباشد .
5. كليدهاي زير در رجيستري را اصلاح كنيد :
براي اصلاح نمايش پسوند فايلها مقدار متغير HideFileExt را ز 1 به مقدار صفر تغيير دهيد (در مسير زير : )
HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>
Windows>CurrentVersion>Explorer>Advanced>Folder>HideFileExt
مقدار متغير SuperHidden را نيز از مسير
HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>
Windows>CurrentVersion>Explorer>Advanced>Folder>SuperHidden
از مقدار فعلي صفر به مقدار يك تغيير دهيد .
براي اصلاح و برگرداندن آيكان فايلهاي اجرايي Exe در رجيستري اديتور به مسير
HKEY_LOCAL_MACHINE>SOFTWARE>Classes>exefile
رفته و مقدار متغير default را از مقدار "File Folder" به " Application " تغيير دهيد .
در پايان به مسير
HKEY_CURRENT_USER> Software>Microsoft>Windows>
CurrentVersion>Explorer>Advanced
رفته و مقدار دو متغير HideFileExt و ShowSuperHidden را به صورت زير اصلاح كنيد :
HideFileExt از مقدار فعلي 1 به مقدار صفر
ShowSuperHidden از مقدار فعلي صفر به مقدار يك
6. از برنامه ويرايش رجيستري خارج شويد و سيستم را ري استارت نماييد .
پس از بالا آمدن سيستم بايستي كليه فايلهاي آلوده اي كه همنام با "پوشه هاي مخفي سيستمي شده" ميباشند و داراي پسوند exe هستند را به صورت دستي پاك كنيد .
