regsvr.exe یکی از ویروس های طبقه بندی W32.Imaut worm بوده که با هر بار بالا آمدن ویندوز اروری را مشابه تصویر بالا نمایش می دهد.
چند روز پیش ویندوز XP ام به این ویروس آلوده شد که پس از پاکسازی اش تصمیم گرفتم روش انجام کار رو برای شما نیز شرح دهم.
در ادامه این مطلب می خوانید:

  • پاکسازی ویروس regsvr.exe رفع ارور آن
  • فعال کردن Registry Editor و Task Manager که ویروس آنها را غیرفعال کرده


تغییراتی که ویروس انجام داده است:

  1. غیرفعال کردن Registry Editor
  2. غیرفعال کردن Task Manager
  3. ساخت فایل autorun.inf در ریشه تمامی درایوها
  4. وجود فایل regsvr.exe در مسیر C:\Windows\system32
  5. ساخت زمان بندی اجرا در scheduled tasks
  6. ساخت یک کلید رجیستری برای اجرا همگام با ویندوز
  7. تغییر چند کلید رجیستری

مراحل پاکسازی و رفع مشکل:
۱. اگر task manager و registry editor غیر فعال هستند ابتدا آنها را به روش زیر فعال کنید.
برای فعال ساختن Task Manager در کادر Run عبارت Gpedit.msc را تایپ نموده و اینتر کنید و سپس به مسیر پایین بروید:
User Configuration > Administrative Templates > System
حالا در زیر شاخه System بروی Ctr + Alt + Del کلیک کنید و سپس در سمت راست صفحه Group Policy بروی Remove Task Manager دابل کلیک نموده و در تب Setting کزینه Disable را علامت دار کنید. بعد از آن بروی کلید OK کلیک نموده و پنجره Group Policy را ببندید.
برای فعال ساختن Regedit ابتدا وارد منوی start شده و روی گزینه run کلیک کنید و کلمه gpedit.msc را تایپ کنید .
در صفحه Group Policy به مسیر پایین بروید:
User Configuration> Administrative Templates> System
بعد از کلیک نمودن بروی System در سمت راست پنجره Group Policy روی Prevent access to registry editing tools دابل کلیک نموده و در تب Setting گزینه Disable را علامت دار نموده و روی کلید OK کلیک نمایید.
۲. با استفاده از دستور attrib و del در خط فرمان، فایل های autorun.inf را از تمامی درایوها پاک کنید. دستور attrib صفات فایل ها و فولدرها را تغییر می دهد. به Run رفته و cmd را تایپ کنید و اینتر بزنید، در صفحه command prompt می توانید دستور را بنویسید. شکل کلی آن به صورت زیر است:
ATTRIB [+ R|-R] [+A|-A] [+ H|-H] [+ S|-S] [d:][path]filename [/S]
برای صفت سیستمی، A برای آرشیو، R برای read only (فقط خواندنی) ، H هم برای صفت فایل مخفی (Hidden) است. با استفاده از قسمت S/ هم می توانید صفاتی را که می خواهید به همه ساب دایرکتوری های آن مسیر بدهبد. علامت + برای دادن صفت و علامت – هم برای برداشتن صفت است.
ما باید در اینجا صفات سیستمی، فقط خواندنی و مخفی را از فایل مدنظر گرفته و به آن صفت آرشیو دهیم سپس آن را پاک کنیم.
مثلا برای فایل autorun.inf در درایو C می نویسیم:
attrib -s -h -r +a c:\autorun.inf
اینتر بزنید
del c:\autorun.inf
اینتر بزنید
۳. در پنجره run تایپ کنید msconfig و به تب startup بروید. تیک کنار مورد regsvr.exe را بردارید. (پیامی می بینید که از شما اجازه ری استارت سیستم را می خواهد، گزینه Exit without restart را انتخاب کنید.)
۴. به control panel -> scheduled tasks رفته و مورد At1 را پاک کنید.
۵.در کادر run بنویسید regedit تا ویرایشگر رجیستری باز شود؛ از Edit -> Find برای regsvr.exe جستجو و موارد پیدا شده را پاک کنید.
البته مراقب باشید موارد مربوط به regsvr32.exe که از فایل های سیستمی است را پاک نکنید.
من به شما پیشنهاد می کنم برای جستجو در رجیستری از نرم افزار بسیار کم حجم RegScanner استفاده کنید که تمام نتایج را یکجا نشان داده و همچنین عمل جستجو بسیار سریع انجام می شود.
دانلود Regscanner
حالا در رجیستری به مسیر زیر رفته و مقدار shell را از “Explorer.exe regsvr.exe” به Explorer.exe تغییر دهید.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
6. به control panel > folder options > view رفته تنظیمات را مطابق شکل زیر انجام دهید.

۹. حالا به مسیر c:\windows\system32 رفته و فایل regsvr.exe را پاک کنید.
۱۰. در پایان سیستم را ری استارت کنید.