در اين اواخر تعدادي از مشتريان در تماس با من اظهار ميدارند كه كامپيوتر آنها به ويروسي آلوده شده كه كليه فايلهاي داخلي پوشه ها را حذف مي كند و از من در مورد ريكاوري اين فايلها سوال مي كنند غافل از اينكه اين ويروس فايلها را حذف نكرده است .
 بلكه كليه پوشه ها را مخفي و سيستمي كرده و از ديد كاربر پنهان نموده است و براي رد گم كني فايلهايي با آيكاني شبيه پوشه و با نام پوشه هاي مخفي شده ايجاد مي كند كه كاربر با وارد شده به آن با پوشه اي خالي مواجه مي شود !!

نوع بدافزار : تروجان / اسب تروا

عناوین دیگر :
Trojan.Win32.Hider.i (Kaspersky Internet Security or Antivirus)
Generic.dx (McAfee)
W32.SillyFDC (Symantec)
 TR/Hider.I.12 (Avira)
Troj/Hider-O (Sophos)
 Trojan:Win32/Hider.gen (Microsoft)
سیستمهای در معرض آسیب :
 Windows 2000, XP, Server 2003

توضیحات مختصر :

مخفی  و سیستمی کردن کلیه پوشه ها
کپی خود در تمام پوشه هایی که کاربر وارد آنها می شود یا آنها را مرور می کند .
تنظیم عدم نمایش فایلهای مخفی سیستمی و پسوند فایلها
تغییرات در رجیستری

شيوه آلودگي :
اين ويروس از طريق مراجعه و ويزيت سايتهاي آلوده  و همچنين دانلود كركها و فايلهاي مشكوك به سيستم كاربران وارد مي شود .

 عملكرد تروجان هايدر :
این ویروس با ترفند بسیار جالبی ابتدا با استفاده از تنظیم خصوصیات سیستمی ، تمام پوشه هایی که کاربر بر روی آن کلیک می کند را ، بصورت سیستمی مخفی می کند و سپس خودش را با اسامی همنام آن پوشه ها ایجاد می کند که آیکن آنها به شکل پوشه است و هنگامی که کاربر روی آنها دابل کلیک می کند با پوشه خالی مواجه می شود و گمان می کند پوشه های وی حذف شده است .
درواقع بسياري از كابران به محض آلوده سدن به اين ويروس اظهار ميدارند كه ويروس تمام محتويات پوشه هاي آنها را حذف كرده است و بسياري نيز به فكر ريكاوري سيستم خود مي افتند !
این ویروس همچنین خاصیت نمایش پسوند فایلها را غیرفعال می کند تا كپي هايي كه از خود ايجاد كرده و پسوند Exe دارند قابل شناسايي نباشد و از آنجا كه با دستكاري رجيستري آيكان فايلهاي كاربردي و Exe را به شكل فولدر تغيير مي دهد ، خود را همانند پوشه خالي نمايش مي دهد .
اين تروجان خود را در رجیستری به صورت اتواستارت قرار می دهد و با هربار اجرای ویندوز مجددا اجرا می شود .

فایل اصلی این ویروس ISASS.EXE نام دارد که در شاخه اصلی ویندوز و در پوشه System32  ذخیره می شود .
WINDOWS\system32\isass.exe
 همکنون اکثر آنتی ویروسهای بروز شده این ویروس را شناسایی می کنند و قادر به حذف فایلهای ایجاد شده توسط آن هستند .
اما مشکلی که باقی می ماند آنست که بایستی به صورت دستی تمام پوشه های مخفی و سیتمی شده را به حالت قبل برگرداند ضمن آنکه تغییرات رجیستری انجام شده توسط این ویروس را بایستی به صورت دستی تصحیح کرد .

 طريقه حذف و پاكسازي ويروس هايدر :

1.    ابتدا System Restore را غيرفعال كنيد .

2.    سپس بايستي سيستم را در حالت Safe Mode بوت كنيد .

3.    در صورتي كه در تسك منيجر ، پراسسي به نام isass.exe مشاهده مي كنيد آن را انتخاب كرده و روي آن كليك راست نموده و End Task Tree را كليك كنيد .

4.    سپس با اجراي برنامه ي ويرايش رجيستري ويندوز
( نوشتن عبارت Regedit.exe در پنجره RUN و كليك OK )
كليدهاي زير در رجيستري را حذف كنيد :
( اين مسير موجب اجراي ويروس در هرباري اجراي ويندوز مي شود )

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\CSNetManagerXp
ImagePath = "%System%\isass.exe"

نكته : منظور از  ‌%System% پوشه سيستمي ويندوز است . اين پوشه  در Windows 2000 با مسير C:\WINNT\System32 و در Windows XP  و  Server 2003 با مسير  C:\Windows\System32 ميباشد .

5.    كليدهاي زير در رجيستري را اصلاح كنيد :
براي اصلاح نمايش پسوند فايلها مقدار متغير   HideFileExt  را ز 1 به مقدار صفر تغيير دهيد (در مسير زير : )

HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>
Windows>CurrentVersion>Explorer>Advanced>Folder>HideFileExt
مقدار متغير SuperHidden را نيز از مسير
HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>
Windows>CurrentVersion>Explorer>Advanced>Folder>SuperHidden
از مقدار فعلي صفر به مقدار يك تغيير دهيد .

براي اصلاح و برگرداندن آيكان فايلهاي اجرايي Exe در رجيستري اديتور به مسير
HKEY_LOCAL_MACHINE>SOFTWARE>Classes>exefile
رفته و مقدار متغير default را از مقدار "File Folder" به " Application " تغيير دهيد .
در پايان به مسير
HKEY_CURRENT_USER> Software>Microsoft>Windows>
CurrentVersion>Explorer>Advanced
 رفته و مقدار دو متغير  HideFileExt  و ShowSuperHidden  را به صورت زير اصلاح كنيد :
HideFileExt از مقدار فعلي 1 به مقدار صفر
ShowSuperHidden از مقدار فعلي صفر به مقدار يك

6. از برنامه ويرايش رجيستري خارج شويد و سيستم را ري استارت نماييد .

پس از بالا آمدن سيستم بايستي كليه فايلهاي آلوده اي كه همنام با "پوشه هاي مخفي سيستمي شده" ميباشند و داراي پسوند exe هستند را به صورت دستي پاك كنيد .


از آنجایی که برگرداندن کلیه پوشه های مخفی و سیستمی شده به حالت اولیه بسیار وقتگیر و مشکل است من یک دستور بتچ دسته اي کوچک نوشته ام که شما می توانید، براحتی با استفاده از آن تمام پوشه های مخفی و سیستمی شده در یک مسیر خاص را به حالت قبل درآورید .
کافیست فایل ACS-UnHider.Bat  را در درایو یا مسیری که پوشه های داخلی آن مخفی و سیستمی شده اند کپی کنید و سپس آن را اجرا نمایید . اين برنامه تمام پوشه هاي هم مسير خود را از حالت سيستمي و مخفي خارج مي كند .
این برنامه بسیار کوچک (کمتر از یک کیلوبایت) را از لینک زیر دریافت نمایید .

كلمات كليدي اين مقاله :
Win32/Hider.I   destructive   program   named   W32/Trojan.AEVE   Generic.dx
Trojan.Win32.Hider.i   هايدر هايد كننده پوشه ها فولدرها دايركتوري Hide Hidden Virus Which Hide My All folders directories Which Delete My All Folders Removed Folders Trojan
Problem File Extension Is not Checked Show Hidden Files Problem error Empty Folder
ويروس پوشه هاي من را حذف كرده فولدرهاي من ناپديد شده حذف شده - مخفي گرديده گشته
چرا پوشه هاي من خالي است . ISASS.EXE  مشكل فولدر اوپشن فولدر آپشنز آپشن ايراد خطا ارور Error  مشكل نمايش پسوندهاي فايلها ايراد AntiHider AntyHider AntiVirus AntiHide Folder Options ويروسي كه  مقالات مقاله نرم افزار سخت افزار ویروس ويروسهای کامپیوتری ویروسها آموزش مطلب نوشته درباره
 ویروس اسب تروا جاسوس افزار Spyware Spe Malware Troj Trojan Removal tools remove how to remove  viruses cleaner clean