بسم الله الرحمن الرحيم
السلام عليكم و رحمه الله و بركاته...
الكثير منا فى الفترة الاخيرة عاني من فيروسات عائلة اوتورن التي تنتشر فى الجهاز كالهشيم و التي تنتقل الى الجهاز غالبا عبر الفلاشات و البورتابل هارددسك , و ان شاء الله فى هذا الموضوع سوف نتعرض للخطوات الواجب اتباعها لتامين و حماية الجهاز و الفلاشة من الاصابة بهذا الفيرس اللعين, إتباع هذه الخطوات طبعاً لا يعني التامين نهائيا من الفيروس و لكن يقلل الاصابة على قدر الامكان لذلك اتبع الخطوات التالية مع كل اقسام الهارددسك لديك و فلاشتك و ايضا حاول تطبيقها على اجهزة و فلاشات اصدقائك حتى لا ينقلوا الاصابة لجهازك فانت تحميهم و تحمي نفسك.
الخطوات:
1- إلغاء خاصية الـ Autorun الخاصة بالويندوز
خاصية الاوتورن خاصية مفيدة عند تثبيت البرامج من سي دي مثل اسطوانة مايكروسوفت أوفيس او اسطوانة تعريفات الجهاز ,فمثلا إسطوانة تثبيت الويندوز مثل الاكس بى عندما نقوم بادخالها الى الجهاز نجد نافذة الـ setup قد ظهرت امامنا لنبدء عملية تنصيب الويندوز اذا اردنا, طبعا هذه الخاصية تعتمد على اوامر موجودة داخل ملف يسمي Autorun.inf هذا الملف موجود داخل جذر السي دي مباشرة و يحتوى على اوامر مثل هذه الاوامرك
كما ترون فى الملف ان اول امر هو امر فتح الملف المسمى setup.exe و طبعا فى حالة الفيروسات سوف يكون الملف المراد تشغيله عبر ملف الاوتورن هو ملف الفيرس عندما تقوم بادخال الفلاشة او السي دي المصاب الى الجهاز و بالتالي يبدا الفيرس فى عمله مباشر و الانتشار, و هذا مثال للمربع الذى يظهر لك فى حالة الفلاشة
فى الخطوات التالية سوف نستعرض كيفية ايقاف هذه الخاصية عن الاجهزة المراد سواء كانت سي دي ام فلاشة ام هارد خارجي , هناك طريقين الاولى عبر الـ Control Panel و الثاني عبر الـ Registry
• الطريقة الاولي عبر الـ Control Panel • الطريقة الثانية عبر عبر الـ Registry
نقوم بفتح محرر الريجستري و ذلك عير الخطوات التالية
1- من قائمة ابدا نختار تشغيل RUN
2- نكتب الامر REGEDIT ثم OK
3- نتوجه الى هذا المسار
من الناحية اليمين نقوم بدبل كليك على القيمة NoDriveTypeAutoRun, وهذا الجدول يستعرض القيم المناسب فى حالة التعديل على هذه القيمة
طبعا الافضل اختيار القيمة الاخيرة كما بالجدول لمنع جميع الانواع من العمل
من خلال الجدول السابق نستطيع منع تشغيل خاصية الاوتورن على اجهزة معينة على سبيل المثال اريد من خاصية الاوتورن من على CD-ROMs و Removable devices فى هذه الحالة نجد ان القيمة المقابلة لكن منها طبقا للجدول كهى كالتالي 4 , 32 وبعد ذلك نقوم بجمعهما معا فيكون الناتج هو 36 فنقوم نتعديل قيمة NoDriveTypeAutoRun طبقا لهذا الرقم.
ملحوظة هامة:
فى بعض الاحيان عند الوصول للخطوة السابقة لا نجد القيمة NoDriveTypeAutoRun فى هذه الحالة نقوم بانشائها و ذلك عبر الخطوات التالية:
بهذا نكون انتهينا من الجزئية الأولي و هى الغاء خاصية الـ Autorun من على الويندوز
الخطوة الثانية: هذه الخطوة تتكون من جزئيتين
الجزئية الاولى: و هى تحويل ملفات النظام للبارتيشنات الى نظام NTFS الاحدث و كذلك الفلاشات.
الجزئية الثانية: عمل فولدر بأسم Autorun.inf فى جذر كل بارتيشن و اعطاءه الحماية من التعديل و المسح.
الجزئية الاولي:
نظام الملفات القديم Fat32/Fat لايمنحك الكثير من خصائص الامان مقارنة بالنظام الاحدث NTFS لذلك اذا كانت لديك البارتيشنات بالنظام القديم الان حان وقت تحويلها الى نظام NTFS الاحدث و لمعرفة نوع نظام الملفات لاى بارتيشن نقوم بكليك يمين على هذا البارتيشن و من القائمة التى تظهر نختار الامر Properties و من النافذة التي تظهر سوف نعرف نوع ملفات النظام سواء كان Fat32 or NTFS
فى حالة كان نظام الملفات لدينا لاى بارتيشن هو النظام القديم Fat32 يمكننا استخدام الامر التالي لاتمام عملية تحويل نظام الملفات للبارتيشن من النظام القديم الى الحديث
ملحوظة: نفس هذه الخطوة نطبقها على ايضا ادوات التخزين مثل الفلاش ميموري او الهارد دسك الخارجي.
الجزئية الثانية:
الخطوة التالية بعد التحويل الى نظام الملفات الاحدث NTFS هو عمل فولدر فى جذر كل بارتيشن و كذلك جذر الفلاشات لديك و هذا الفولدر سوف يكون اسمه Autorun.inf و بذلك نسد الميه و النور على الفايرس حيث لن يستطيع نسخ ملف الاوتورن الخاص به الذى ينتشر عبره, و ايضا جعل هذا الفولدر مخفى و غير قابل للمسح (طبعا المقصود بواسطة الفيرس)
الخطوات :
نذهب الى جذر البارتيشن المراد عمل الفولدر فيه و نتبع الخطوات التالية كما بالصور:
طبعا الفولدر سوف يختفى من اما منا من على النافذة والحل هو اظهار الملفات فى الجهاز و لذلك ذلك نتوجه الى لوحة التحكم Control Panel فى الجهاز و نتبع الخطوات كما بالصورة:
الان حاول حذف الملف وشوف النتيجة
بالنسبة للفلاشة كيف نحميها , نقوم بالخطوات السابقة و هى تحويل الـ File System الخاص بالفلاشة من Fat16 الى NTFS,عمل مجلد باسم Autorun.inf و عمل التعديلات عليه كما قمنا فى الخطوات السابقة.وبذلك نحمي الفلاشة من خطر الفيرسات التى تستغل ثغرة الاتورن,
سوف يطر على بال البعض سؤال مثل لماذا قمنا بعمل مجلد و ليس ملف باسم autorun.inf ,طبعا اختيار مجلد افضل من ملف للاسباب التالية:
نستطيع عمل ملف نصى بالاسم autorun.inf , و لكن الافضل عمل مجلد لاننا ربما نعطى الفلاشة الى صديق لنا و قمنا بتطبيق هذه الخطوات على الفلاشة و بالتالى سوف يجد ملف بالاسم السابق و رما يظنه ملف الاتورن الخاص بفيرس لذلك عمل مجلد افضل, ايضا لو جاء يوم ووجدت ان ان هناك ملف اسمه autorun.inf و ليس مجلد فى هذه الحالة ندرك انه فيرس و نتبع خطوات ازالته,
كيفية اظهار الملفات المخفية:
لما الفيروس بيصيب الجهاز اول حاجة بيعملها هى انه يمنعك من انك تحذفه و ازاى تحذفه طبعا عن طريق حذف ملفاته , طيب و عشان لا تصل لملفاته التى بطبيعة الحال اكيد هتكون مخفية بيعمل ايه , الفيرس يمنعك من خاصية اظهار الملفات المخفية و التى نصل لها عن طريق فتح لوحة التحكم Control panel ثم خيارات المجلدات Folder options نقوم بأزالة التاشير من الاختيارات كما بالصورة التالية:
طبعا المفروض و المعتاد انك بعد ما تعمل الخطوة اللى فاتت تلاقى كل الملفات المخفية حتى لو كانت ملفات سيستم ظهرت لكن لا شيء يحدث و اذا رجعت للنافذة السابقة تجد الاعدادات الافتراضية كما هى , كما لو انك لم تقم باى تعديل , طيب ازاى نظهر الملفات المخفية عشان نخذف ملفات الفيرس المرمية فى جذر على بارتيشن, وداخل ملفات مجلدات السيستم, الحل عبر الريجستري ازاى .... نتبع الخطوات التالية:
- افتح قائمة start
- ننقر على الامر تشغيل Run
- فى المربع الحوارى نكتب الامر regedit ثم ok
- نتبع المسار التالى كما بالصورة التالية
نتاكد من ان القيم فى الناحية اليمين مثل التى فى الصورة خصوصا القيمة الاخيرة Hidden
و بعد الانتهاء من الخطوات السابقة نستطيع التحكم فى خاصية اظهار الملفات المخفية و التعديل عليها.
- ايضا تاكد من ازالة القيم الخاصة بالفيروس من قائمة بدء التشغيل و ذلك عبر الخطوات التالية
1- افتح قائمة Start
2- ننقر على تشغيل Run
3- نكتب داخل المربع الحوارى الامر msconfig ثم Ok
سوف تظهر لنا نافذة system configuration نختار منها التبويب Startup ثم نقوم بازالة العلامة من امام كل الاختيارات ماعدا القيمة الخاص ببرنامج الانتى فايرس و ايضا القيم الخاصة بالبرامج التى تحتاج اليها ان تبدا مع بدء التشغيل مثل برنامج التورنت مثلا او برنامج التعامل مع الطباعة لديك, طبعا الفيروس يقوم فى بعض الاحيان بتسميه نفسها باسم ملفات السيتم حتى لا تشك و فى بعض الاحيان الاخرى يقوم بتسميه نفسه باسم ليس لها معنى مثل aa45h3.exe و غالبا يكون مساره داخل مجلد النظام التالي c:\windows\system32 لذلك اى ملف تشك به قم بحذف العلامة من امامه ثم قم بعمل اعادة تشغيل للجهاز و الدخول للويندوز باسختدام الوضع الامن safe mode و ذلك بالنقر على مفتاح F8 عند بداية تشغيل الجهاز سوف تظهر قائمة نختار منها الامر الاول و هو safe mode بعد قم بالتوجه الى المسار الموجود به ملفات الفيروس كما لاحظت من الشاشة السابقة و قم بحذفها.
هذه قائمة بـ بعض المواضيع التي ناقشت هذه المشكلة , اتمنى منكم المرور عليه للفائدة.
حل فيرس اوتورن ( autorun ) وعائلتة ...
حل مشكلة عدم ظهور الملفات المخفية في الوندوز
كيفية مسح فيروس auto run وravmon شــرح بالصــور
عاجل : ماهو الحل مع فيروس zPharaoh & tazebama
فى النهاية اتمنى ان الموضوع قد يساعد فى حل هذه المشكلة و اتمنى انكم تنشروا الطريقة للفائدة العامة.
لكم منى فائق التقدير والاحترام ,,,
دمتم سالمين