السبت، 23 نوفمبر 2013

كل مايجب عليك ان تعرفه عن ملف System Volume Information و Recycle.bin$

لعلك عند القيام بالكشف عن الملفات الخفية في ويندوز وكذلك الملفات المحمية ، قدلاحظت تواجد ملفين على القرص الصلب :C او :D .  فماهي هذه الملفات ومادورها على الويندوز ؟
كل مايجب عليك ان تعرفه عن ملف  System Volume Information و Recycle.bin$

ملف System Volume Information
recycle-system-volume-information هو ملف يتواجد في جذر القرص :C ودوره يقتصر على تخزين معلومات نقاط الاسترجاع Restoration points وهي تلك التي من خلالها يمكن إرجاع  حالة الويندوز إلى اي تاريخ قديم ، في حالة وقع النظام في مشاكل . كما يقوم هذا الملف بتخزين جميع الاحداث التي حصلت اثناء إستعمالك للويندوز (ملف Log ) ، كما يستعمل لأخد نسخ إحتياطية من Windows Indexing Service والتي تساعد النظام على سرعة البحث عن الملفات ...
طبعا الملف يأخد مساحة معينة على القرص الصلب ويمكن ان تجده سواء في الاقراص الصلبة الذاخلية للحاسوب مثل Cاو Dكذلك على المخزنات الخارجية مثل الاقراص الصلبة او مفاتيح الايسبي USB في حالة إذا تم إختيارها لكي تشكل نقاط رجوع للويندوز في حالة اصابه عطل restoration . ويمكنك حذف المساحة التي يستغلها هذا الملف على الويندوز ذلك عن طريق النقر على My computer  او poste de travaille بزر الفأرة الايمن تم التوجه إلى proprieties بعد ذلك ستجد خيار في اقصى اليسار system protection انقر عليه

كما يضهر بالصورة اختر القرص C تم انقر على  configure بعد ذلك علم على Disable system protection و انقر على Delete تم انقر على apply وستلاحظ ان مساحة الملف اصبحت 0 .


 لاتحاول ان تحذف ملف recycle-system-volume-information لان ذلك سيسب مشاكل في إستقرار النظام .

ملف Recycle.bin$

من الملفات التي اجزم انك سبق لك وشاهدتها  على القرص C  ، ودور ملف Recycle.bin$ يختصر في انه يخزن الملفات التي تحذفها من الويندوز لمدة وجيزة إلى حين ان تقوم بتفريغ سلة المهملات ، فعند حذفك لاي ملف في الويندوز فإنه يخزن في ملف Recycle.bin$  قبل ان يتم حذفه نهائيا من الويندوز عن طريق تفريغ سلة المهملات ، فهو الملف الذي يسمح لك بإعادة إسترجاع الملفات المحذوفة عن طريق الخطأ وعليه فإنه يعد ضروري في الويندوز  . وحذف هذا الملف لايشكل اي مشكلة في تباث النظام كون ان الويندوز سيقوم بإنشاء ملف جديد فور حذفك لأي شيئ من على الويندوز .

ڤيروس Recycle.bin$ وكيف تحذفه 

للاسف توجد بعض الڤيروسات التي تتخد بعض الاسماء الشبيهة باسماء ملفات النظام ، مما يجعل المستعمل العادي يختلط عليه أمر إن كان إسم الملف هو ڤيروس او ملف النظام ،طبعا ملف Recycle.bin$هو ليس بڤيروس كما شرحت في بداية هذه التدوينة   وڤيروس Recycle.bin$ يمكن ان يقلد هذا الاسم من اجل ان يوهم المستعمل انه ليس ڤيروس ، ويعتبر هذا النوع من الڤيروسات من أقبح انواع الڤيروسات التي يمكن ان تحقن بالنظام حيث يكمن الحل في حذفها في طريقتين : 

الطريقة الاولى وهي إعتماد برنامج حماية مثل Malwarebytes الاخير الذي يعد قوي في محاربة البرامج الضارة ، يكفي ان تقوم بتحميل النسخة المجانية من البرنامج وتتبيثها على الويندوز تم قم بفحص كامل للحاسوب ، وفي حالة فشل البرنامج في الكشف عن البرنامج الضار ، يجب عليك الإنتقال إلى الخطوة اليدوية وهي الطريقة الثانية .

الطريقة الثانية : وتكمن في حذف الڤيروس يدويا ، كل ماعليك هو إعادة تشغيل الويندوز عن طريق  safe mode /mode sans échec وذلك من خلال الضغط على F8 فور إعادة تشغيل الويندوز تم الإقلاع من خيار Safe Mode with Networking .

  قم بالنقر على CTRL+ALT+DEL تم في إدارة المهام قم بتوقيف البروسيس الذي يحمل إسم Recycle.bin 

بعد ذلك إذهب إلى قائمة إبدأ تم تنفيد الاوامر run او إضغط تباعا على نافدة + الزر R واكتب الامر regedit تم إبحث واحذف القيم الاتية من ملفات الرجستري عن طريق النقر على edit تم Find كما في الصورة . بعد الإنتهاء قم إعادة تشغيل الحاسوب . لقد قمت بحذف الڤيروس يدويا ! مبروك .
C:\RECYCLER\S-1-5-21-0243336031-4052116379-881863308-0851\vse432.exe\Infected:$Recycle.Bin
C:\RECYCLER\S-1-5-21-3497612302-3102775374-3015387129-1005\Dc1.exe\Infected: Backdoor.$Recycle.Bin 
C:\RECYCLER\S-1-5-21-3497612302-3102775374-3015387129-1005\Dc5.exe\Infected: Backdoor$Recycle.Bin.hpz 
:الان قم بحذف هذه الملفات من المسارات الاتية
%UserProfile%\[random].exe%ProgramFiles%\Internet Explorer\Connection Wizard\[random]
C:\windows\system32\SearchFilterHost.exe
C:\windows\system32\SearchProtocolHost.exe
C:\windows\system32\consent.exe
C:\windows\System32\cscript.exe
C:\windows\system32\wbem\unsecapp.exe
C:\windows\system32\wbem\wmiprvse.exe
C:\windows\system32\svchost.exe -k NetworkServiceNetworkRestricted
C:\windows\system32\svchost.exe -k LocalServiceAndNoImpersonation


ڤيروس  System Volume Information 
طريقة حذف هذا الڤيروس بسيطة تكمن اولا في حذف الملفات المتواجدة في System Volume Information كما اشرت لذلك في بداية هذه التدوينة ، بعد ذلك قم بتحميل برنامج الحماية malwarebytes وقم بفحص الحاسوب ، سيقوم البرنامج بالكشف عنه وحذفه ، بعد ذلك يمكنك إعادة تفعيل System Volume Information  إن اردت .

المصدر
http://www.th3professional.com/2013/10/system-volume-information-recyclebin.html

0 التعليقات:

Twitter Delicious Facebook Digg Stumbleupon Favorites More