UNiComp.iR

توضيحات :

Imaut-A يك كرم كامپيوتري براي سيستم هاي  ويندوزي است .

اين كرم خودش رادر شبكه هاي share  شده و درايوهاي قابل انتقال  به صورت زير كپي مي كند :

            \Funny UST Scandal.avi.exe
\smss.exe
\lsass.exe
\Funny UST Scandal.exe
\killer.exe

همچنين مدخل زير در رجيستري ايجاد مي شود تا smss.exe بتواند اجرا شود :

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Runonce
\smss.exe

مدخل زير نيز تغيير مي كند تا killer.exe بتواند با آغاز ويندوز اجرا شود :

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Shell
explorer.exe, killer.exe

مدخل هاي زير نيز تغيير مي كنند :

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
CheckedValue
0

توصيه هايي براي پاك  كردن اين كرم كامپيوتري :

   1 .        به روز كردن آنتي ويروس

  2.روش پاك سازي دستي توسط آنتي ويروس  سوفوس براي Windows NT مدل 4.5x  و Windows NT/2000/XP/2003 مدل 4.1x  و پايين تر :

براي حذف يك كرم كامپيوتري كارهاي زير را انجام دهيد :

• همه ي برنامه هاي خود را ببنديد
• مراحل Start|Programs| SophosAnti-Virus را بگذرانيد وبرنامه آنتي ويروس را اجرا كنيد
• تب ''''Immediate'''' و سپس درايو مورد نظر  را انتخاب كنيد
• به Options|Configuration رفته و تب ''''Disinfection'''' يا  ''''Action'''' را انتخاب كرده سپس ''''Infected files'''' وبعد از آن ''''Delete'''' را انتخاب كنيد  و در آخر ''''OK.  را بزنيد
• براي اجرا كردن پويش، ''''scan'''' يا دكمه ''''GO'''' را بزنيد
• فايل هاي مورد نظر را پاك كنيد ، سپس يك پويش ديگر را اجرا كنيد تا مطمئن شويد پاك سازي صورت گرفته است
• به Options|Configuration برگرديد و تب ''''Disinfection'''' يا  ''''Action'''' انتخاب كرده سپس ''''Infected files'''' وبعد از آن ''''Delete'''' را انتخاب كنيد  و در آخر ''''OK.  را بزنيد
• كامپيوتر را Reboot كرده و پويش نهايي را اجرا كنيد تا كاملا مطمئن شويد پاك ساري صورت گرفته است

3 .       روش پاك سازي به صورت دستي :

 ابتدا تمامي داده خود را در سيستم تغيير داده و يك كپي از آنها تهيه كنيد.

پسورد Administrator را دوباره تغيير دهيد و يك نگاهي به مسايل امنيتي شبكه خود بيندازيد.

در taskbar دكمه start را بزنيد و منوي run را اجرا كنيد و در آن Regedit را بنويسيد و دكمه ok را كليك كنيد تا صفحه ويرايشگر رجيستري شما باز شود . فراموش نكنيد كه قبل از دستكاري رجيستري يك نسخه پشتيبان از آن تهيه كنيد .

براي تهيه نسخه پشتيبان از رجيستري خود ؛ در منوي Registry روي گزينه"''''''''Export Registry File  و در پنل''''Export range''''گزينه All را انتخاب كرده و سپس دكمه Save را كليك كنيد تا نسخه پشتيبان از رجيستري شما تهيه شود.

حال در مدخل HKEY_CURRENT_USERرجيستري زير مدخل:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Runonce
\smss.exe

هر مدخلي كه به فايلي اشاره مي كرد حذف كنيد.

همچنين در مدخل HKEY_LOCAL_MACHINE مقدار VALUE از CheckedValue را 1 و از Shell را explorer.exe بگذاريد :

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
CheckedValue
0

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Shell
explorer.exe, killer.exe

سپس رجيستري خود را ببنديد و دوباره سيستم خود را راه اندازي كنيد.

4. براي اطلاعات بيشتر در اينجا كليك كنيد