امروز تصمیم گرفتم درباره یکی دیگر  از ویروسها که مورد سوال بسیاری از کاربران هم میباشد مطلب بنویسم .
مدتی قبل یکی از کابران که عکاس بود اظهار داشت که سیستمش به محض زدن فلش دیسک هنگ می کند و یا پیام خطا میدهد .

این پیام خطا مربوط به اجرای پراسسی به نام Smss.exe بود که فایلهای به نام Autorun.inf  و Autoplay.exe در کلیه درایوهای ( چه محلی و چه شبکه ای) ایجاد میکرد .

ضمن اینکه درایوهای او کمی کند باز می شد .
همانروز یکی از بازدیدکنندگان سایت با بنده تماس گرفت و میگفت به فایل اجرایی ای به نام  Smss.exe مشکوک است و مشکلاتی ازاین دست داشت .
وقتی در اینترنت هم گشتم دیدم بسیاری از کاربران با این ویروس گرفتارند !

لذا تصمیم گرفتن روش دستی حذف این ویروس را آموزش دهم .

*برای نمایش بهتر تصاویر روی آنها کلیک کنید .

مختصری راجع به این ویروس :

ابتدا باید متذکر شوم که یکی از فایلهای اساسی ویندوز نیز  Smss.exe است و در مسیر C:\windows\system32  قرار دارد . حجم این فایل غیرآلوده حدود 49.5 کیلوبایت است . لذا نباید آن را حذف کرد و یا به آن مشکوک شد . این فایل بی خطر در واقع Session Manager Subsystem میباشد و پراسسسی است که در تمام سیستمها وجود دارد .

اما فایل اصلی ویروس Worm/Autorun.WQH نیز  Smss.exe نام دارد ، از تشابه اسمی جهت فریب کاربر استفاده می کند و دارای حجم بیشتری  میباشد .
این ویروس و از طریق  فلش دیسک ( و هر نوع حافظه قابل حمل) خود را در کلیه درایوهای محلی و درایوهای به اشتراک گذاشته شده در شبکه  منتشر می کند  .

عناوین دیگر این ویروس بشرح زیر است :

البته این ویروس نسخه های مشابه دیگری مانند Worm/Autorun.xqa نیز دارد که کمی در ظاهر متفاوت عمل می کند .

سیستم عاملهای مورد حمله :

Windows 2003/XP/2000/NT/ME/98/95


نتیجه بررسی فایل آلوده و ویروس فوق توسط اسکنرهای آنلاین را میتوانید از این  لینک مشاهده نمایید همچنین در این لینک .

عملکرد جهت انتشار :

Smss برای انتشار خود از قابلیت Autorun یا درواقع Autoplay استفاده می کند بدینصورت که فایلی به نام Autorun.inf و خود ویروس را در فلش دیسک آلوده کپی می کند و به محض استفاده از فلش دیسک در سیستم دیگر  خودبخود مجددا اجرا می شود و سیستم جدید را نیز آلوده می کند.
در صورتیکه در مورد فایل Autorun.inf میخواهید بیشتر بدانید به اینجا  یا اینجا و نیز اینجا مراجعه فرمایید !!

با ایجاد فایل Autorun.inf با متنی مشابه متن زیر :

[autorun]
;Please Do Not Change This Line.
Open=RECYCLER\..\RECYCLER\autoplay.exe
;Please Do Not Change This Line.
shell\open\Command=RECYCLER\autoplay.exe -open
;Please Do Not Change This Line.
shell\open\Default=1
;Please Do Not Change This Line.
shell\explore\Command=RECYCLER\autoplay.exe -explore
;Please Do Not Change This Line.
[:))]

با هربار دابل کلیک کردن درایوها ، مجددا این ویروس فعال شده و تکثیر می شود .

این ویروس خود را در کلیه درایوها در پوشه ای به نام Recycler و با نام Autoplay.exe کپی میکند .

همچنین خود را در مسیر

C:\Documents and Settings\All Users\smss.exe

کپی می کند و برای آنکه با هربار اجرا ویندوز بازهم اجرا شود ( یعنی در استارت آپ قرار گیرد ) متغیری به نام SysUtils در رجیستری ویندوز ایجاد می کند.

مسیر رجیستری فوق میتواند بصورت زیر باشد :

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\SysUtils

که در آن مقدار متغیر SysUtils بصورت زیر است :

X:\Documents and Settings\All Users\smss.exe

که X همان نام درایوی است که ویندوز اکس پی در آن نصب شده است .

چگونه این ویروس را ازبین ببریم ؟
( روش دستی پاکسازی ویروسWorm.Win32.AutoRun.wqh  Smss.exe )

از انجاییکه این ویروس خود را در مُد سیستمی اجرا می کند براحتی نمیتوان از طریق   ، TaskManager فایل در حال اجرای آن را  (پراسس ) متوقف کرد و بست .

چرا که وقتی از ستون Processes پراسس Smss.exe را انتخاب کنیم و End Task را کلیک کنیم پیامی به شکل زیر ظاهر میشود :

 
لذا بایستی از روش دیگری برای بستن این پراسس استفاده کنیم .
برای بست پراسسهایی که با کلیک روی End Task بسته نمیشوند بصورت زیر عمل کنید :
ابتدا تسک منیجر را اجرا کنید (Alt+ctrl_delete را بزنید.
سپس به منوی View رفته و Select Column… را انتخاب کنید .

در لیستی که  نمایش می یابد .


PID: Process Identifier را تیک دار نمایید .

خواهید دید که در جلوی هر پراسسی در لیست پراسسهای تسک منیجر یک عدد نمایش می یابد .
هر عدد متعلق به یک پراسس است و به آن شناسه پراسس یا PID گویند .
شما بایستی عدد مقابل Smss.exe آلوده را یافته و سپس دستور زیر را در RUN نوشته و اجرا کنید :

taskkill /pid  X /f /t

که منظور از X همان PID مربوط به برنامه مورد نظر است .
مثلا اگر روبروی Smss.exe عدد 843 نوشت هشده بود برای بستن آن باید دستور زیر را بنویسید :

taskkill /pid 843  /f /t

حال که توانستید فایل اجرایی این ویرس را ببندید میتوانید براحتی با طی مراحل زیر ویروس فوق را حذف کنید .
نکته بسیار مهم : در طی تمامی این مراحل بهیچوجه روی درایوی دابل کلیک نکنید بلکه برای ورود به درایوها از روش زیراستفاده کنید :
به پنجره RUN رفته و نام درایو را به همراه دونقطه نوشته و OK را بزنید .
مثلا برای بازکردن درایو C  دستور بشکل زیر خواهد بود :

فایلهایی که باید حذف شوند :

نکته مهم  : توجه کنید که فایلهای مربوط به این ویروس مخفی و سیستمی هستند .
"فعال کردن حالت نمایش فایلهای مخفی و سیستمی" را در بند 18  مطلب زیر مطالعه فرمایید:


* فایل Smss.exe را در مسیر

X:\Documents and Settings\All Users

در صورت وجود حذف کنید . توجه کنید که منظور از X درایوی است که ویندوز شما در آن نصب شده است . مثلا اگر ویندوز اکس پی شما در درایو C نصب باشد این فایل در مسیر

C:\Documents and Settings\All Users

قرار دارد و باید حذف شود .

* پوشه هایی که نام recycler دارند و در ریشه درایوها قرار دارند را حذف کنید . و اگر کاملا حذف نشدند کافیست فایل Autoplay.exe موجود در آن را حذف کنید .

* فایلهایی که نام Autorun.inf دارند و در ریشه درایوها قرار دارند را حذف کنید .
 

* حال باید به رجیستری ویندوز بروید . ( در پنجره RUN دستور Regedit را بنویسید و اجرا کنید )

در رجیستری به مسیر زیر بروید :

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ SysUtils

وکلید SysUtils را حذف کنید .

( برای اطمینان بیشتر میتوایند عبارت

 Documents and Settings\All Users\smss.exe

را جستجو کرده و درصورت یافتن ، حذفش کنید .

همچنین ممکن است این ویروس در محل دیگری نیز وجود داشته باشد .
مثلا در :

Documents and Settings\CU\smss.exe

که منظور از CU همان نام کاربری یا اکانت فعلی شماست .
مثلا در سیستم من مسیر زیر بود  :

C:\Documents and Settings\EliassMaleki\smss.exe

یا  مثل شکل زیر که در سیستمی با نام کاربری Mr.Faghih این ویروس نشان داده شده است :

همچنین در رجیستری به آدرس

HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache

متغیر رشته ای را که مربوط به Smss.exe هست را حذف کنید :

شکل زیر را ببینید : ( برای نمایش بهتر روی آن کلیک کنید .

recycler/autoplay.exe smss.exe virus how to remove ویروس طرقه حذف ازبین بردن اس ام اس اس دات اگزه

روش دیگر:

اگر نتوانستید بدینصورت نیز Smss.exe را ببندید میتوایند سیستم را درحالت سیف مود بالا بیاورید و سپس به مسیرهای

C:\Documents and Settings\All Users\smss.exe
و
C:\Documents and Settings\CU\smss.exe
که منظور از CU همان نام کاربری یا اکانت فعلی شماست .رفته و آنها را به نام دلخواهی تغییر دهید .
سپس با اجرای msconfig در پنجره RUN و رفتن به بخش StartUp گزینه Smss را یافته و آن را از حالت تیکدار بودن خارج سازید .

و سپس در ری استارت بعدی ادامه مراحل را مشابه روش اول انجام دهید .

البته میتوانید از برنامه کوچکی که من بصورت Bat آن را نوشتم استفاده کنید .

این برنامه را بایستی در حالت حالت سیفمود  اجرا کنید و سپس سیستم را ری استارت نمایید .

بزودی این فایل را هم قرار خواهم داد .

کلمات کلیدی :

 چگونه ویروس ازبین از بین بردن مقاله مطلب حذف ویروس ويروس اس ام اس اس دات اگزه Smss.exe Virus Trojan worm how to remove Drives error article how delete smss.exe

پاکسازی حذف طریقه حذف روش حذف و پاکسازی نابود کردن نابودسازی پاک کردن چگونه چطور ویروس اس ام اس اس را ازبین ببرم ازبین بردن حذف اتوران از درایوها درایوها باز نمی شوند درایو کند باز می شود ایراد در بازشدن درایوها دبل کلیک کارنمی کند دابل کلیک کار نمی کند .نمایش فایلهای سیستمی و مخفی آموزش پاکسازی دستی روش حذف دستی بدون آنتی ویروس ویروس کش  ازبین برنده اس ام اس اس دات اگزه Worm.Win32.AutoRun!IK Worm/Autorun.WQH Win32:AutoRun-ARC [Wrm] Worm/Generic.TAN Worm.Generic.39721 Worm.Autorun-1783 Worm.Win32.AutoRun.wqh Troj.W32.Agent.aif Win32.HLLW.Autoruner.6138 Worm.Win32.AutoRun.wqh [AVP] W32/AutoRun.WQH!worm  orm.Win32.AutoRun.wqh [Engine:A] Worm.Win32.Autorun.196608.B Worm.Win32.AutoRun مقالات مقاله نرم افزار سخت افزار ویروس ويروسهای کامپیوتری ویروسها  Worm/AutoRun.fdl Worm.Win32.AutoRun.wqh Worm.AutoRun.196608 W32/Autorun.worm.k Worm:Win32/Hikjav.A  32/AutoRun.KQG W32/AutoRun.DJ.worm  WORM_AUTORUN.DCU Worm.AutoRun.wqh Worm.Win32.Agent.acg Mal/SillyFDC-A W32.SillyFDC Worm/W32.AutoRun.196608 W32/AutoRun.wqh Win32.AutoRun.Agent.FT چرا درایوها باز نمیشه  کند باز شدن درایوها مشکل  سیستم وقتی فلش دیسک یا مموری کارت میزنم هنگ می کند مشکل فلش مموری یو اس بی فلش حافظه جانبی اتصال  Documents and Settings\All Users\smss.exe CurrentVersion\Run\SysUtils سیس یوتیلس یوتیلز