همانطور که در نوشته ای از قبل در مورد آمار بزرگترین ویروس های سال 2013 (لینک مقاله) به این مسئله اشاره کردیم که نوع جدید باج افزار ها (Ransomware) به سیستم ها نفوذ کرده و فایل های مهم را قفل می کنند و در مقابل باز کردن آنها 300 الی 400 دلار می خواهند.
باج افزار و ویروس جدید MoneyPak و Paysafecard
حال اگر سیستم شما به این نوع تروجان ها دچار شد این را بدانید که راهی برای بازگشت فایل های قفل شده فعلا نیست و اگر در آینده روشی برای آن کشف شود در همینجا اضافه می گردد. دلیل این کشف نشدن هم قفل شدن فایل ها با یک روش امن و کلید دار هست که کلید آن تنها دست سازنده تروجان می باشد و تنها او می تواند فایل های شما را نجات دهد. ولی در اینجا روشی مطمئن برای رهایی از خود تروجان را برای شما معرفی می کنیم که امیدواریم مفید واقع گردد. برای مشاهده متن آموزش به ادامه همین مطلب مراجعه نمایید.
توجه» سطح آموزش تخصصی می باشد و در صورتی که از دانش کامپیوتری کافی برخوردار نیستید انجام آموزش را به افراد با دانش کافی موکول نمایید تا خسارت وارده بیشتر نگردد.
برای رهایی چند روش هست که ما روش اول را توصیه می کنیم ولی اگر جواب نداد روش های بعدی را بیازمایید.
روش اول) استفاده از System Restore در حالت Safe Mode:
این ویروس در حالت Safe Mode بخش چک کردن تنظیمات سیستمی ندارد و میتوانید از این ویژگی کمک گرفته و از شر وجود آن رهایی یابید. برای این کار اینترنت را به کل قطع کرده و سیستم را ریستارت کرده و موقع بالا آمدن آن دکمه F8 یا در برخی سیستمها Shift و دکمه F8 را چند بار بفشارید تا پنجره Windows Advanced Options Menu ظاهر گردد. در این پنجره Safe Mode with Command Prompt را انتخاب کرده و Enter را بفشارید و منتظر بمانید ویندوز بالا بیاید. حال با یک اکانت ادمین وارد سیستم شوید. حال دقت نمایید فقط چند ثانیه وقت دارید تا در پنجره داس عبارت explorer را تایپ و Enter بزنید در غیر این صورت پس از چند ثانیه ویروس عمل کرده و مانع انجام این کار میشود. در صورتی که موفق نشدید دوباره ریسارت کرده و مجدد مراحل را انجام دهید تا بتوانید پنجره Explorer را اجرا کنید. حال به آدرس زیر بروید:
Windows XP: C:\windows\system32\restore\rstrui.exe and press Enter
Other above version: C:\windows\system32\rstrui.exe and press Enter
حال به چند روز قبل که در System Restore ثبت شده است برگردید و مراحل را طبق نمایش System Restore طی کنید. حال سیستم را ریستارت کرده و بطور معمول ویندوز را بالا بیاورید ولی به درایو های هارد دیسک کاری نداشته باشید و نرم افزار رایگان SpyHunter را دانلود و نصب کنید (لینک دانلود مستقیم از سازنده) و Full اسکن کنید تا فایلی در سیستم باقی نماند.
.
روش دوم) استفاده از قابلیت MSConfig ویندوز در حالت Safe Mode:
در این روش هم مانند روش قبل وارد Safe Mode شوید (موقع بوت سیستم دکمه F8 یا Shift + F8 را چندبار بفشارید). گزینه اول یعنی Safe Mode را برگزینید و منتظر بمانید تا ویندوز بالا بیاید و مطمئن شوید که اکانتی که وارد می شوید Admin هست. پس از بالا آمدن Run را با زدن دکمه های کلیدی Windows + R بالا آورده و عبارت msconfig را اجرا نمایید. وارد تب StartUp شوید. (دقت کنید در ویندوز 8 به بعد این مورد در Task Manager می باشد) و یک موردی را بیابید که یک Command را با استفاده از rundll32.exe اجرا می کند برای مثال مانند مورد زیر:
C:\Windows\System32\rundll32.exe C:\Users\username\appdata\local\temp\regepqzf.dll,H1N1
این مورد را غیرفعال کنید. OK کرده و سیستم را ریستارت کنید. و همانند روش قبلی بطور معمول ویندوز را بالا بیاورید ولی به درایو های هارد دیسک کاری نداشته باشید و نرم افزار رایگان SpyHunter را دانلود و نصب کنید (لینک دانلود مستقیم از سازنده) و Full اسکن کنید تا فایلی در سیستم باقی نماند.
.
روش سوم) پاک سازی از Register ویندوز در حالت Safe Mode:
در این روش هم مانند دو روش قبل وارد Safe Mode شوید (موقع بوت سیستم دکمه F8 یا Shift + F8 را چندبار بفشارید). گزینه اول یعنی Safe Mode را برگزینید و منتظر بمانید تا ویندوز بالا بیاید و مطمئن شوید که اکانتی که وارد می شوید Admin هست. پس از بالا آمدن Run را با زدن دکمه های کلیدی Windows + R بالا آورده و عبارت registry را تایپ و اجرا نمایید. حال آدرس زیر را بیابید:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
گزینه ای برای اجرا توسط rundll32.exe وجود دارد که نام مختلفی دارد ابتدا آدرس بعد rundll32.exe را یادداشت کرده و سپس آن مورد ار از رجیستری پاک کنید. منظور از این آدرس بسته به نوع تروجان و ویندوز یک فایل اجرایی با نام رندم معمولا در Document ویندوز می باشد. برای مثال فایل زیر:
Windows XP: C:\Documents and Settings\Michael\Application Data\pg_0rt_0p.exeOther version: C:\Users\USERNAME\AppData\Romaming\pg_0rt_0p.exe
این فایل را پاک کرده و نام آن را در کل سیستم و حتی پوشه های Temp ویندوز جست جو کرده و پاک نمایید. (ما نرم افزار رایگان و سریع Everything را توصیه می کنیم) حال تنها یک کار باقی مانده که آن هم چک کردن پوشه Startup می باشد که آن را هم باید با Everything جست جو کنید و پوشه آن را بسته به ویندوز خود بیابید و یک فایل لینک شده (میانبر / Shortcut) به آدرس Temp و اجرای یک فایل اجرایی یا DLL را می یابید که آن را هم پاک کنید و سیستم را ریستارت کنید. و همانند روش قبلی بطور معمول ویندوز را بالا بیاورید ولی به درایو های هارد دیسک کاری نداشته باشید و نرم افزار رایگان SpyHunter را دانلود و نصب کنید (لینک دانلود مستقیم از سازنده) و Full اسکن کنید تا فایلی در سیستم باقی نماند.
.
اگر سوال یا مشکلی دارید ابتدا بخش دیدگاه های پایین را نگاه کنید شاید از قبل پرسیده باشند و اگر پرسیده نشده بود بپرسید تا بررسی گردد.
لطفا دقت کنید تهیه این آموزش و گردآوری آن ساعت ها توسط این جانب وقت برده و بصورت کاملا رایگان در اینجا ارائه شده است، در صورت کپی و استفاده در هر جایی نام سایت و لینک به اصل مطلب در “دانش کامپیوتری” فراموش نگردد.