طريقة القضاء على فيروس المجلد الوهمي او الshortcut virus نهائيا وبعدة طرق (شرح بالصور خطوة بخطوة)

السلام عليكم ورحمة الله وبركاته

زوار مدونتي الكرام

اقدم لكم اليوم شرح بالصور  لطريقة القضاء على فيروس المجلد الوهمي او ال  خطوة بخطوة shortcut virus

 

تحذير:

*رجاءاً إقرأ الموضوع كاملا حتى نهايته لأنه مهم جدا ولو لم يكن كذلك لما تعبت وكتبته اصلا.

*الطرق التالية بعضها جربته شخصيا وبعضها لا وفي كلا الحالتين انا غير مسؤول عن اي شيء يحدث لجهازك بسبب خطأ في التطبيق او لأي سبب كان جربها على مسؤوليتك الشخصية.

 

سأتناول في حديثي اربع نقاط اساسية وهي :
- تعريف بالفيروس.
- إستراتيجية عمل الفيروس.

- كيفية إسترجاع ملفات تم فقدانها بواسطة الفيروس إن أمكن ذلك.
- الوقاية للأجهزة السليمة والعلاج والحلول للأجهزة المصابة.

نبدأ على بركة الله

اولا: تعريف بالفيروس :

من منا لم ير مثل هذه الصورة عند فتح فلاشه او كرت ذاكرة ؟

إنه بالفعل موضوعنا لهذا اليوم
إنه فيروس المجلد الوهمي

ما هو فيروس المجلد الوهمي وماذا يفعل ؟؟

فيروس المجلد الوهمي هو احد اكثر الفيروسات إنتشارا وينتقل عبر تداول الفلاشات وكروت الذاكرة وغيرها وهو فيروس يتسبب في بطء جهاز الحاسوب احيانا وقد يتسبب في فقدان الملفات من كروت الذاكرة والفلاشات التي تدخل على اجهزة الحواسيب المصابة لكن لحسن الحظ هذا الفيروس ليس خطيرا جدا وفي اغلب الاحيان يمكن إستعادة الملفات وتخليص الحاسوب من هذا الفيروس اللعين بدون الحاجة إلى فورماته وسمي فيروس المجلد الوهمي بهذا الإسم لأنه يقوم بعمل shortcuts او إختصارات كما سنرى لاحقا  ولهذا الفيروس عدة انواع سنتطرق إلى أشهرها.

ثانيا: إسترتيجية عمل الفيروس :

لفهم طريقة القضاء على الفيروس يجب اولا معرفة طريقة عمله.

يقوم فيروس المجلد الوهمي اولا بنسخ نفسه من جهاز الحاسوب المصاب إلى الفلاشة عند إدخالها.

وبعد ذلك يقوم بعمل بإخفاء كل الملفات والمجلدات التي بداخل الفلاشة ويقوم بنقلها إلى داخل مجلد يقوم هو بإنشاءه  وهذا المجلد او الفولدر يختلف إسمه بإختلاف نوع فيروس المجلد الوهمي ويقوم بعمل إختصارات للملفات كما في الصورة ادناه :

 

 

 وقد يقوم بعمل إختصار لشكل الفلاشة نفسها بعد فتحها :

 

 ويتميز الإختصار بوجود السهم المائل الذي في الاسفل على اليسار والإختصار هو ملف صغير الحجم يقوم بفتح ملف موجود في مكان اخر عند فتحه وقد يقوم بتفيذ عدة عمليات في الخلفية وهنا تكمن خطورته

لمعرفة ما إذا كان الإختصار ملفا خبيثا او لا كل ما عليك فعله هو النقر عليه بمفتاح الماوس الايمن وإختيار اخر خيار properties او الخصائص ورؤية خانة الهدف او target  فإذا كان مكتوب فيهاsystem32\cmd.exe  كما في الصورة ادناه فهذا يعني انه سيقوم بتنفيذ امر ما عند الضغط عليه وهو قد يكون خطيير جدا

 

فلنعد لموضوعنا بعد ان يقوم الفيروس بعمل هذه الإختصارات يقوم كما قلنا سابقا بنقل جميع الملفات والمجلدات إلى داخل الملف الذي يقوم بإنشاءه وينسخ جميع ملفاته إلى داخل الفلاشه.عند إدخال الفلاشه في جهاز اخر غير مصاب وتقوم بفتح الفلاشة وتضغط بدبل كليك على الإختصارات التي أنشأها الفيروس ظنا منك أنها نفس ملفاتك او لأ نك لا تستطيع التفريق بين الإختصار والملفات والمجلدات الحقيقية يقوم الفيروس بتنفيذ الأوامر المكتوبة في الإختصار والتي تقوم بنسخ ملفات الفيروس إلى الجهاز الجديد ووضعها في اوامر التشغيل الذاتي (اي انها ستعمل وحدها في المرة القادمة التي تقوم فيها بتشغيل الحاسوب) وهذا يصبح الجهاز الجديد ايضا مصابا بالفيروس وبإمكانه نقل العدوى عند إدخال الفلاشات إليه وهكذا تبدأ دورة جديدة.

ثالثا: إستخراج ملفاتك المهمة من الفلاشات المصابة:

هنالك العديد من الطرق لإستخراج الملفات منها ما يحتاج لبرامج متخصصه لهذا الفيروس حيث تقوم هذه البرامج بإستخراج الملفات بعد فحص الفلاشه ومنها ماهو يدوي وسأكتفي بطريقتين للقيام بذلك:

كلا الطريقتين تعتمدان على الفتح الآمن للفلاشة والذي لابد من القيام به قبل اي من الطريقتين

عند إدخالك لأية فلاشة لا تقم بفتحها بالنقر المزدوج بمفتاح الماوس الايسر بالماوس فذلك من شأنه تشغيل الفيروسات التي تعمل تلقائيا وإنما إضغط كليك يمين بمفتاح الماوس ومن ثم إختر explore او إستكشاف او قم بكتابة حرف الفلاشة مثلا  f ثم اكتب : واضغط انتر كما في الصورة

بعدها إن كان الفلاش مصابا ستجد ملفاتك بإحدى الصورتين ادناه

إما :

 او :

وستجد إختصارات بدلا عن ملفاتك كما ذكرنا سابقا فإن الإختصار يوجد به سهم بالاسفل على اليسار وايضا فإن الإختصار إن وقفت عليه بمؤشر الماوس فسيظهر "Location"  وإن كان ملفا ضارا فسيكون "Location: C:\Windows\system32\cmd.exe" اما الملف الحقيقي فسيظهر "File type:" عند الوقوف عليه بمؤشر الماوس او "File type: folder" إن كان مجلدا وهنالك كما ذكرنا بالأعلى طريقة اخرى هي المكتوبة باللون الاحمر للتأكد من ان هذا الإختصار خبيث.

الطريقة الاولى : (بإستخدام ضبط الويندوز نفسه):

مميزات هذه الطريقة :
انه يكفي عملها لمرة واحدة فقط ولا يجب تكرارها عند كل مرة تقوم فيها بإدخال فلاشة مصابة .

عيوب هذه الطريقة :
انها غير قادرة على إرجاع الخصائص لجميع الملفات التي اخفاها الحاسوب ولا تظهرها إذا تم نقل هذه الملفات إلى جهاز اخر لذا يجب تطبيق هذه الخطوة على الجهاز الذي تم نقل الملفات إليه لتظهر.

كما انها تظهر ملفات النظام system files وهذا قد يعرض نظام التشغيل للخطر إذا تم مسح او تعديل هذه الملفات.

شرح الطريقة:

ادخل على لوحة التحكم  اوPanel Control واختار خيارات المجلد او Folder Options

بعدها إنتقل إلى قائمة view واختار Show hidden files, folders, and drives
وبعدها ازل التعليم من خانة Hide protected operating system files (Recommended)
وستفتح نافذة تحذيرية إضغط نعم او yes

الطريقة الثانية : (بإستخدام محرر الاوامر command prompt) :

عيوب هذه الطريقة:

انها اصعب قليلا من سابقتها وانه يجب عملها في كل مرة تتعرض فيها الفلاشة للإصابة (تم حل هذه المشكلة في الخطوة القادمة).

مميزات هذه الطريقة:

انها تستطيع إستعادة خصائص الملفات التي قام الفيروس بتحويلها إلى ملفات نظام او system غير قابلة للتعديل اي انها ستظهر من جديد وستكون ظاهرة في اي كومبيوتر اخر يتم نقله لها.

طريقة الدخول لمحرر الاوامر command في ويندوز (XP و7  وvista ):

إضغط مفتاح الويندوزمن لوحة المفاتيح مع ضغط حرف R في الوقت نفسه وستفتح نافذة التشغيل Run نكتب فيها cmd ونضغط مفتاح الإدخال enter

وستفتح شاشة سوداء وهي شاشة محرر الاوامر command prompt

طريقة الدخول لمحرر الاوامر command في ويندوز (8 و8.1 و10 ):

إضغط بمفتاح الماوس الايمن على ايقونة ابدأ في اسفل الشاشه او إضغط مفتاح الويندوز من لوحة المفاتيح مع ضغط حرف X في الوقت نفسه بعدها نختار Command Prompt (Admin) ونضغط yes او نعم في شاشة طلب الفتح كمسؤوول

بعد فتح نافذة محرر الاوامر في ويندوز 7 او 8 اكتب الأمر التالي:

attrib f:*.* /d /s -h -r –s

بحيث تستبدل الحرف f بحرف الفلاشة كما في الصورة ادناه

او إذا كنت ترى بأن هذه الطريقة صعبة ومعقدة فقط جرب الطريقة التالية

الطريقة الثالثة وهي الأسهل والتي اوصي بها :

إنها في الحقيقة نفس الطريقة السابقة ولكن يقوم بها بدلا عنك برنامج من برمجتي و تصميمي شخصيا

حمل هذه الاداة التي برمجتها بنفسي من هنا

او من هنا (رابط مباشر)

(لا تخف الاداة مضمونة وهي من برمجتي الخاصة ولا تحتوي علي اية برامج خبيثة او ضارة او برامج تجسس)

للتأكد رابط فحص الأداة من موقع totalvirus هنا (لم تتجاوز جميع مضادات الفيروسات 3/55)

ومن ثم الصقها في داخل الفلاشة بعد فتحها بالطريقة الامنة التي ذكرتها سابقا

وإفتحها ونضغط yes او نعم في شاشة طلب الفتح كمسؤوول وبعد فتح الاداة إضغط s وإضغط مفتاح الإدخال او  enter كما في الصورة ادناه

ستظهر بعدها هذه النافذة فقط إنتظر قليلا فالاداة تقوم بتحرير الملفات

اما إذا ظهرت لك هذه الرسالة في النافذة الحمراء فلا تقلق هذا يعني انه لا يوجد إختصارات على الفلاشة فربما تكون قد إتمسحت في وقت سابق

وستظهر جميع ملفاتك إن شاء الله بعد ظهور هذه النافذة الخضراء

الان إضغط X وإضغط زر الإدخال enter للخروج

بعد القيام بإحدى الطريقتين السابقتين وفتح الفلاشة بالطريقة الآمنة التي سبق شرحها ستظهر عدة ملفات في داخل الفلاشة قم بفتح الملف الذي يظهر بدون إسم (قد يختلف مكان وجود الملفات بإختلاف نوع الفيروس في بعض الانواع تكون داخل مجلد يبدأ إسمه ب.T ولكن غالبا ما تكون بداخل المجلد الذي لا إسم له لأن هذا هو النوع الاشهر للفيروس وإذا لم تجدها إبحث عنها في داخل المجلدات الموجودة ولكن إحذر من فتح اي إختصار او ملف غريب)

كما في الصورة

والان إلى الخطوة الرابعة و الأخيرة والأهم وهي إيقاف الفيروس عن العمل في الأجهزة المصابة :

كما يقولون الوقاية خير من العلاج

هنالك العديد من الطرق لإيقاف هذا الفيروس اللعين عن العمل بصورة وقائية وفي مقدمتها إستخدام مضادات الفيروسات التي تتلقى التحديث بإستمرار (لأن الفيروس يمكنه إصابة مضادات الفيروسات الغير محدثه وبالتالي سيجعلها لا توقف الفيروس او تمسحه) ويفضل ان تكون نسخة مدفوعة

وهنالك ايضا العديد من الأدوات التي توقف الفيروس وبعضها يرجع الملفات المفقودة ايضا ولكن بصراحة لم اجرب إلا بعضها فقط

وهذا رابط للاداة التي قمت بتجربتها وهي عبارة عن مضاد فيروسات للفلاشات صغير الحجم مع سيريال التفعيل الخاص به

يمكنك تحميله من هنا Smadav pro

وهنالك برنامج اخر يقي من الفيروسات التي تعمل تلقائيا يدعى
USB disk security
اوصي به بشدة يمكنك تحميله مع سيريال التفعيل الخاص به من هنا (رابط مباشر)

او

 من هنا  

ويمكنكم إيجاد المزيد من الادوات لمكافحة الفيروسات من هذا الرابط من هنا

او من هنا

والآن إلى الطريقة الأكثر فعالية وهي القضاء على الفيروس يدويا :

نقوم بالدخول إلى إدارة المهام وذلك بالضغط على شريط المهام الموجود فيه مفاتيح النوافذ المفتوحة في الأسفل بزر الماوس الأيمن وإختيار إبدأ إدارة المهام او start task manager (task manager لمستخدمي ويندوز 8 او 8.1) كما في الصور ادناه

 او لمستخدمي ويندوز 8.1

 وبعدها نضغط في قائمة العمليات او Processes

ونبحث عن التطبيق wscript.exe ونضغط إنهاء العملية او End Process

هكذا نكون قد اوقفنا الفيروس ولكن قلت سابقا بأن الفيروس يضع نفسه في قائمة التشغيل التلقائي للويندوز Startup اي انه سيعمل مرة اخرى بمجرد إعادة تشغيل الحاسب لذا يتوجب علينا إيقافه منها لمنعه من العمل مرة اخرى

اولا نقوم بالدخول إلى التشغيل التلقائي Startup

طريقة الدخول :

إضغط مفتاح الويندوز مع حرف R في الوقت نفسه وعندما تفتح نافذة التشغيل Run نكتب msconfig وبعد ان تفتح النافذة ننتقل إلى قائمة Startup

( لمستخدمي ويندوز 8 و8.1 إضغط في عبارة Open Task Manager )

 ونبحث عن البرنامج  التالي Microsoft © Windows Script Host

ونزيل الصاح منه ( لمستخدمي ويندوز 7 )

او لمستخدمي ويندوز 8 و 8.1 نضغط  في البرنامج ونضغط إلغاء تمكين او Diable

وإذا كنت محترف فمن الأفضل لك إلغاء جميع البرامج التي تشك في أمرها (إنتبه إلغاء تشغيل البرامج التي في المسار C:\Windows قد يوقف نظام التشغيل الخاص بك ويعطل الحاسوب )

الان قم بإعادة تشغيل الحاسوب ومبرو99999999ك عليك

يمكنك التأكد من ان الفيروس قد توقف عن العمل بإدخال فلاشة وفرمتتها ونسخ ملفات وفولدرات إليها وإخراج الفلاشة وإعادة إدخالها مرة اخرى فإذا لم تجد إختصارات وكانت ملفاتك موجودة كما هي فمبرو99999ك فالفيروس قد اصبح من الماضي

وإذا كان الفيروس لايزال موجودا والإختصارات تظهر والملفات تختفي فيمكنك تجربة هذا السكربت حمله من هنا (رابط مباشر)

او من هنا

وافتحه واضغط Ok حتى تظهر رسالة
Congratulations! Your Computer is disinfected of amvo virus and variants

بعدها اضغط Ok مرتين وستحل المشكلة بإذن الله

(الاداة ليست من برمجتي ولا اتحمل اي مسؤلية تجاهها ولكني فحصتها على موقع يفحص ب55 برنامج مضاد للفيروسات واظهرت نتائج الفحص بأنها نظيفة)

للتأكد رابط فحص الأداة من موقع totalvirus هنا (تجاوزت جميع مضادات الفيروسات 0/55 )

تنويهات مهمة جدا :

 *ّقد توجد اكثر من طريقة في بعض الاحيان ولكن يكفي القيام بطريقة واحدة فقط او طريقة اخرى للقيام بنفس الشيء على طريقتك الخاصة.

*إحفظ جميع اعمالك قبل القيام بالخطوات السابقة.

*يفضل مسح الملفات المؤقته لأن بعض الانواع من الفيروسات قد تختبيء فيها ولأنها تأخذ مساحة من السعة التخزينية على القرص اولا اقفل الفيروس من قائمة المهام كما تم شرح ذلك سابقا وبعدها يمكنك الدخول إلى الملفات المؤقته بالضغط على مفتاح الويندوزمن لوحة المفاتيح مع ضغط حرف R في الوقت نفسه وستفتح نافذة التشغيل Run نكتب فيها %temp% ونضغط مفتاح الإدخال enter ونحدد جميع الملفات ونقوم بمسحها ونقوم بتجاوز الملفات الغير قابلة للمسح (لاتقم بمسح هذه الملفات إذا كنت تستخدم برنامج winrar او كنت تقوم بفك الضغط عن ملفات).

*بعد إستخدام الطريقة الاولى لإظهار الملفات بإستخدام ضبط خيارات المجلد Folder Options يفضل إعادة الإعدادات إلى ما كانت عليه لأنها تجعل الملفات الضرورية لتشغيل النظام والتي كانت مخفية مكشوفة وعرضة للمسح وبالتالي تعرض نظام التشغيل للخطر.
*الفيروس يمكن ان يصيب برنامج الحماية ويجعله غير قادر على مسحه وإيقافه مالم تحدثه بإستمرار.

*بعض الفيروسات قد تشغل إستعادة النظام تلقائيا وتعيد نفسها بعد إزالتها فمن الافضل إيقاف إستعادة النظام او الSystem restore وحذف جميع نقاط الإستعادة السابقة.
*إحذز من الإختصارات -التي تم شرحها سابقا- والملفات الغريبة التي بداخل الفلاشة فأي نقرة او فتح للملفات والإختصارات كفيلة بتعرييص الحاسوب الخاص بك للعدوى.

*هنالك أنواع عديدة للفيروس قد تختلف طرق إيقافها ومعالجتها وفقا لنوع الفيروس.

*بعض انواع الفيروسات تعمل تلقائيا بعد إدخال الفلاشة حتى بدون فتحها فلذا انصح ببرنامج USB Disk Security الذي تم الحديث عنه سابقا لإيقاف مثل هذه الفيروسات.

*إذا لم تنجح الطرق السابقة في حل مشكلتك فعذرا هذا اقصى ما يمكنني القيام به للمساعدة إبحث عن حلول اخرى على الإنترنت.

*اكرر إخلاء مسؤوليتي عن اية اضرار تصيب جهازك مهما كان السبب.

واخيرا عذرا على الإطالة فالموضوع كبير ويتطلب ذلك

وتعبت فيه كثيرا وقد إستغرق مني ساعات لإعداده

وشكرا على حسن المتابعة والقراءة

لا تنسونا من صالح دعائكم
:)

كاتب الموضوع : Ahmed Argawi

تصنيف :