طرق إزالة الفيروسات من نظام ويندوز

عندما يصبح جهاز الكمبيوتر الخاص بك مصاباً بالفيروسات، جرِّب بعض الحلول التي يمكنك القيام بها بنفسك. لقد قمنا بتطوير قائمةٍ بالخيارات الخاصة بك في هذه المقالة بدءاً من أسهل الخيارات وصولاً إلى أكثرها تقدّماً وتعقيداً.

قد تتطلّب بعض الطرق الأكثر تقدّماً مساعدةً من صديقٍ مهنيٍّ أو صديقٍ ذكيّ على إطلاعٍ بأحدث التقنيات والبرامج المتوفرة، بالإضافة إلى ذلك، لا يوجد دليلٌ عمليٌّ واحدٌ يرشدك خطوةً بخطوةً لإصلاح جميع أنواع الفيروسات. ومع وجود الآلاف من الفيروسات المتغيّرة والحديثة، يحتاج كلٌّ منها إلى إجراءٍ مُحَدّدٍ خاصٍّ بذلك النوع من الفيروسات.

قم بتشغيل برنامج مكافحة الفيروسات:

إذا كان جهاز الكمبيوتر الخاص بك الذي يعمل بنظام ويندوز مصاباً بفيروس، فإن خطوتك الأولى هي تحديث برنامج مكافحة الفيروسات الموجود في جهازك، ومن ثمّ عمل فحص شامل لجهاز الكمبيوتر بواسطته.

ملاحظة مهمة: أغلق جميع البرامج التي قمت بتشغيلها قبل البدء بفحص نظام التشغيل لديك.

قد تستغرق عملية فحص الفيروسات عدّة ساعات، لذا نَفِّذ هذه المهمّة عندما لا تحتاج إلى استخدام الكمبيوتر لفترةٍ من الوقت، وعلى كل حال إذا كان جهاز الكمبيوتر الخاص بك مصاباً بالفيروسات فيجب عليك ألا تستخدمه.

إذا عثر برنامج مكافحة الفيروسات على برامج ضارة في أحد الملفات لديك، فسيتخذ أحد الإجراءات الثلاثة التالية:

• تنظيف الملف (Clean): في هذا الإجراء يزيل مضاد الفيروسات العدوى من الملف ولكنه لا يحذف الملف. هذا هو الخيار الأفضل إذا كنت بحاجةٍ إلى الاحتفاظ بالملف ومعلومات الملف.
• حجر الملف (عزل الملف Quarantine): يقوم برنامج مكافحة الفيروسات في هذا الإجراء بنقل الفيروس إلى مكانٍ آمن يديره برنامج مكافحة الفيروسات بنفسه. إنّ هذا الخيار لا يقوم بحذف الملف ولا يُنَظّفُه. يشبه هذا الإجراء الحجرَ الصحيّ لشخصٍ مريضٍ حتى لا يصيب أيّ شخصٍ آخر؛ لا تتم إزالة الفيروس ولا تنظيفه، وإنّما يتم قفل الملف المصاب بحيث لا يمكن لأحدٍ تشغيله لاحقاً، بالطبع يمكنك تجاوز هذا الإجراء يدوياً في حال حدوثه، إلا أنّ تجاوزه غير محبّذ إلا من قبل شخصٍ مختصٍّ يعلم ما يفعل.
• حذف الملف (Delete): يُزيل هذا الإجراء الملفَّ بالكامل من جهاز الكمبيوتر، وهو أمرٌ مفيدٌ إذا كنت لا تريد هذا الملف بعد الآن. كما هو الحال مع أيّ ملفٍّ محذوف، لم يعد الملف الذي يحذفه برنامج مكافحة الفيروسات مرئياً وبالتالي لا يمكنك استخدامه بعد الآن.

إذا تمت إزالة البرامج الضارة بعد إجراء فحص الفيروسات ولكنك مازلت تتلقّى أخطاءً في نظام التشغيل أو “شاشة الموت الزرقاء” (Blue screen of death) الخاصة بويندوز، فقد تحتاج إلى استعادة ملفات النظام المفقودة، إذ يكون في هذه الحالة قد قام مضاد الفيروسات بحذف ملفٍّ مصابٍ بالفيروسات من ملفات النظام الضرورية للتشغيل.

إقلاع نظام التشغيل في الوضع الآمن Safe Mode:

يمنع الوضع الآمن (Safe Mode) التطبيقات من التحميل والتشغيل بشكلٍ تلقائيّ وذلك حتى تتمكّن من التفاعل مع نظام التشغيل في بيئةٍ قابلة للتحكّم وتحت السيطرة. لا تدعم جميع برامج مكافحة الفيروسات الوضع الآمن، ولكن حاول إقلاع نظام ويندوز في “الوضع الآمن” ومن ثمّ تشغيل فحص مكافحة الفيروسات من هناك.

إذا لم تتمّكن من تشغيل الوضع الآمن أو لم تستطع تشغيل برنامج مكافحة الفيروسات الخاص بك في الوضع الآمن، فقم بإعادة تشغيل الكمبيوتر بشكلٍ طبيعي ثم اضغط مع الاستمرار على مفتاح Shift من لوحة المفاتيح عندما يبدأ تشغيل ويندوز. يمنع ضغط مفتاح Shift عند بدء تشغيل ويندوز أيّ تطبيقاتٍ (بما في ذلك بعض البرامج الضارة) من التحميل والتشغيل بشكلٍ تلقائيّ عند بدء تشغيل ويندوز.

في حالة استمرار تحميل وتشغيل التطبيقات (أو البرامج الضارة) حتى بعد استخدام حيلة مفتاح Shift السابقة، فقد يكون الفيروس قام بتغيير إعداد “تجاوز مفتاح Shift”. ولحلّ هذا، عليك تعطيل إعداد “تجاوز مفتاح Shift” ولإجراء ذلك عليك اتباع الخطوات التالية:

1. قم بتشغيل “محرر سجل النظام” (regedit.exe)، إذا كنت لا تعلم ما هو محرر سجل النظام أو لم تقم باستخدامه من قبل، يرجى الاستعانة بشخصٍ خبير، لأنّ أيّ تعديلٍ على محرر التسجيل سيكون له تأثيرٌ مباشرٌ على عمل نظام التشغيل ويندوز.
2. انتقل عبر المجلدات كالتالي:
   • HKEY_LOCAL_MACHINE.
   • Microsoft.
   • Windows NT.
   • CurrentVersion.
   • Winlogon.
3. من قائمة “تحرير” (Edit)، اختر “جديد” (New)، ومن ثمّ “سلسلة نصية” (String Value).
4. أدخل الاسم كالتالي: IgnoreShiftOverride ، واضغط على مفتاح Enter من لوحة المفاتيح.
5. انقر نقراً مزدوجاً فوق القيمة الجديدة المضافة، واضبط قيمتها على “1” بدلاً من “0”.
6. أغلق محرر سجل النظام.

قد تحتاج لإعادة تشغيل الكمبيوتر ليتم تفعيل الإعدادت الجديدة. كما أنّ الخطوات السابقة لتعطيل “تجاوز مفتاح Shift” تعمل في “ويندوز 7” و”ويندوز فيستا”، ولا تعمل في “ويندوز “8 أو “ويندوز 10”.

محاولة تحديد موقع البرنامج الضار وإزالته يدوياً:

يمكن للبرنامج الضار أن يقوم بتعطيل مضاد الفيروسات، وبالتالي يمنعه من إزالة الملفات المصابة بالفيروسات. في هذه الحالة، عليك القيام بإزالة الفيروس يدوياً من نظامك. تتطلّب محاولة إزالة الفيروس يدوياً مستوىً معيناً من المهارة والمعرفة في استخدام ويندوز. وكحدٍّ أدنى، تحتاج إلى معرفة كيفية:

• استخدام محرر سجل النظام (System Registry): وهو عبارةٌ عن قاعدة بيانات، تحوي مفاتيح التسجيل (Registry Keys)، يمكن اعتبار أن مفاتيح التسجيل تشبه إلى حدٍّ ما مجلد الملفات، ولكنه موجودٌ فقط في سجل نظام ويندوز. تحتوي مفاتيح التسجيل على “قيم التسجيل” (Registry Value)، تماماً مثل المجلدات التي تحتوي على ملفات. يمكن أن تحتوي مفاتيح التسجيل أيضاً على مفاتيح تسجيل أخرى، يشار إليها أحياناً بمفاتيح التسجيل الفرعية (Sub-Key). ولكن كما أسلفنا بأنّ استخدام “محرر سجل النظام” بحاجةٍ إلى شخصٍ خبيرٍ قام بالتعامل معه من قبل.
• التنقل ضمن النظام باستخدام متغيرات البيئة (Environment Variables): متغيّر البيئة هو قيمةٌ ديناميكية متغيّرة يمكن لنظام التشغيل والبرامج الأخرى استخدامها لتحديد معلومات خاصةٍ بجهاز الكمبيوتر. بمعنى آخر، “متغير البيئة” هو شيءٌ يُشِيْر إلى شيءٍ آخر، مثل موقع مجلد معيّن على جهاز الكمبيوتر الخاص بك، ورقم إصدار ويندوز، وقائمة بالكائنات المتوفرة في ويندوز، إلخ… يتم وضع علامة النسبة المئوية (٪) قبل وبعد “متغير البيئة” للدلالة عليه، كما هو الحال في ٪temp٪، وذلك لتمييز هذه المتغيرات عن النص العادي. يوجد نوعان من متغيرات البيئة، “متغيرات بيئة المستخدم” (User Environment Variables) و”متغيرات بيئة النظام” (System Environment Variables).
• استعراض المجلدات وتحديد موقع الملفات: لا بدّ من أنّ أيّ شخصٍ لديه نظام ويندوز يعرف تماماً ما هي المجلدات وما هي الملفات، بالإضافة لمعرفته بكيفية التنقل بين المجلدات والنسخ واللصق إلخ… ولكن يتوجب عليك أكثر من ذلك معرفة طريقة إظهار الملفات والمجلدات المخفية، لأنّ ذلك سيفيدك في حال قام الفيروس بإخفاء ملفاته ومجلداته، او قام بإخفاء الملفات المصابة.
• تحديد نقاط إدخال التشغيل التلقائي (Autostart Entry Point): هناك العديد من الأماكن والقيم داخل ويندوز التي بتغيير محتوياتها يمكن إضافة برنامج ما (كالفيروس مثلاً) إلى قائمة البرامج التي يتم تشغيلها بشكلٍ تلقائيّ عند إقلاع نظام التشغيل ويندوز. وبإلقاء نظرةٍ على هذه المواقع يستطيع الشخص الخبير معرفة أيّ من البرامج الغريبة قام بإضافة نفسه ليتمّ تشغيله تلقائياً وبالتالي قد يكون برنامجاً يحوي فيروساً يجب إزالته. تتضمن نقاط الإدخال هذه:
  • ملفات مثل: WIN.INI وSYSTEM.INI.
  • مجلداتٍ مثل: Startup Folder.
  • قيم ضمن محرر سجل النظام مثل: Run وRunOnce وRunServices وغيرها.
• الحصول على “تدقيق المجموع” (Checksum) لملفٍّ ما، باستخدام خوارزميات مثل (MD5/SHA1/CRC): وذلك بهدف مقارنة أيّ تغييراتٍ على الملفات وخاصةً ملفات النظام، إذ إنّ قيمة “تدقيق المجموع” (Checksum) لملفٍّ ما ستتغيّر في حال دخل على الملف أيّ تعديلٍ كفايروس أو غيره.
• الوصول إلى مدير مهام ويندوز (Windows Task Manager): إدارة المهام هي أداةٌ مساعدةٌ مضمّنةٌ في ويندوز تُظهر لك البرامج التي تعمل على جهاز الكمبيوتر الخاص بك. يمنحك مدير المهام (Task Manager) أيضاً بعض التحكم المحدود في تلك المهام التي هي قيد التشغيل. كما يمنحك الوصول إلى قائمة “بدء التشغيل” (Startup). كل ما عليك الضغط من لوحة المفاتيح على Alt+Ctrl+Del لفتح مدير المهام، ومن ثمّ الانتقال إلى تبويب “بدء التشغيل” لتظهر أمامك قائمةٌ بالبرامج التي يتم تشغيلها عند بدء تشغيل نظام ويندوز. تفحّص هذه القائمة جيداً فقد يكون البرنامج الضار مختبئاً في واحدٍ من هذه البرامج.
• إقلاع ويندوز في الوضع الآمن (Safe Mode): عند إقلاع ويندوز في “الوضع الآمن” لا يتم تشغيل البرامج التي تعمل تلقائياً، وبالتالي إذا كان البرنامج الخبيث مختبئاً في أحد البرامج التي تعمل تلقائياً لن يتم تشغيله. بالنسبة لويندوز 7 والإصدارات السابقة، يكفي الضغط باستمرار على زر F8 عند بدء إقلاع ويندوز ومن ثمّ اختيار الوضع الآمن Safe Mode. أما في ويندوز 8 والإصدارات اللاحقة (ويندوز 10)، فيجب الضغط من لوحة المفاتيح على Windows+R ومن ثمّ تشغيل msconfig، ثمّ الانتقال إلى تبويب “إقلاع” (Boot) ووضع إشارة اختيار بجانب “الإقلاع الآمن” Safe boot، ثمّ ضغط موافق، ثمّ زر “إعادة التشغيل”.

بالإضافة لما سبق عليك التأكد من إظهار لواحق الملفات (File Extension). افتراضياً، لا يتم إظهار لواحق الملفات، لذا فهذه خطوةٌ مُهَمَّةٌ للغاية، كما عليك التأكّد أيضاً أنّ التشغيل التلقائي (Autorun) قد تمّ تعطيله. تقوم ميزة التشغيل التلقائي Autorun في ويندوز بتشغيل برنامج موجود على وسيط خارجي (قرص مضغوط DVD، أو قرص تخزين USB) بمجرد توصيل هذا الوسيط بجهاز الكمبيوتر، تعتبر أقراص تخزين USB ناقلاً أساسياً للفيروسات عند تفعيل ميزة التشغيل التلقائي في ويندوز.

يمكنك أيضاً محاولة إغلاق عمليات (Processes) البرامج الضارة باستخدام مدير المهام (Task Manager) الذي تكلّمنا عنه في الأعلى. للقيام بذلك، انقر بزر الماوس الأيمن فوق العملية التي تريد إيقافها واختر “إنهاء المهمة” (End Task).

إذا كنت غير قادرٍ على تحديد موقع الملفات التي تقوم بتشغيل العمليات (Processes) الضارة باستخدام أداة “إدارة المهام”، فقم بفحص “نقاط إدخال التشغيل التلقائي” الشائعة (تحدثنا عنها في الأعلى) للعثور على مكان تحميل البرامج الضارة. لاحظ، مع ذلك، أن البرامج الضارة قد تكون عبارة عن “روتكيت” (Rootkit) ومخفيّة عن الأنظار.

إذا كنت غير قادرٍ على تحديد موقع العمليات (Process) التي هي قيد التشغيل باستخدام إدارة المهام أو عن طريق فحص “نقاط إدخال التشغيل التلقائي”، فقم بتشغيل فاحص روتكيت (Rootkit Scanner) لتحديد الملفات أو العمليات المعنية. قد تمنع البرامج الضارة أيضاً الوصول إلى “خيارات المجلد” (Folder Options) الموجودة في لوحة التحكم، مما يجعل من المستحيل تغيير خيارات عرض الملفات المخفية أو ملحقات الملفات. في هذه الحالة، عليك إعادة تمكين عرض “خيارات المجلد”.

إذا وجدت ملفاتٍ مشبوهةً تشكُّ في أنّها قد تحمل فيروسات، يمكنك عندها استخدام برامج معيّنة للحصول على “تدقيق المجموع” (Checksum) باستخدام خوارزميات تشفير MD5 أو SHA1، ومن ثمّ إجراء بحث عن تفاصيل عنها باستخدام تدقيق المجموع هذا. تستخدم هذه الطريقة لتحديد ما إذا كانت الملفات المشبوهة ضارةً أم لا. يمكنك أيضاً إرسال الملفات إلى مواقع تقوم بفحص هذه الملفات عبر الإنترنت لتشخيصها، هناك العديد من هذه المواقع الموثوقة مثل: Virus Total، وKaspersky VirusDesk، وAvira.

بمجرد تحديد الملفات الضارة، فإن الخطوة التالية هي حذفها. قد يكون هذا الإجراء صعباً، حيث تستخدم البرامج الضارة عادةً ملفات متعدّدة تراقب وتمنع حذف الملفات الضارة. إذا كنت غير قادرٍ على حذف ملفٍ ضار، فعليك عندها إلغاء تسجيل ملف DLL المقترن به، أو إيقاف عملية winlogon ومحاولة حذف الملف مرة أخرى.

إنشاء قرص إنقاذ إمّا DVD أو قرص USB قابل للإقلاع:

إذا لم تنجح مع الخطوات المذكورة أعلاه في إزالة الفيروس، قم بإنشاء قرص إنقاذ DVD أو قرص USB الذي يُوَفِّرُ وصولاً كاملاً إلى محرّك الأقراص المصاب. هناك العديد من الخيارات مثل:

• BartPE الذي يقوم بإنشاء (Windows XP) قابل للتشغيل من القرص مباشرةً.
• VistaPE الذي يقوم بإنشاء (Windows Vista) قابل للتشغيل من القرص مباشرةً.
• WindowsPE: الذي يقوم بإنشاء (Windows 7) قابل للتشغيل من القرص مباشرةً.

أمّا في حالة نظام التشغيل ويندوز 10 أو Windows 8 / 8.1، استخدم أداة “استعادة النظام” (System Restore) بدلاً من “قرص الإنقاذ” المضغوط.

بعد تشغيل ويندوز الموجود على قرص الإنقاذ المضغوط، افحص “نقاط الإدخال” (Autostart) الشائعة للعثور على الموقع الذي يتم تحميل البرامج الضارة منه. استعرض المجلدات والملفات للوصول إلى المواقع المتوفرة في نقاط إدخال التشغيل التلقائي هذه وقم بحذف الملفات الضارة. إذا لم تكن متأكّداً من الملف هل هو ضارٌّ أم لا، فاحصل على “تدقيق المجموع” MD5 أو SHA1 وإجراء بحث عبر الإنترنت للتحقق من الملفات باستخدام “تدقيق المجموع” هذا.

الخيار الأخير، إعادة تهيئة وتثبيت نظام ويندوز من جديد:

كخيارٍ أخير، ولكن يعتبر الأفضل في أغلب الأحيان، هو إعادة تهيئة (reFormat) الكمبيوتر المصاب وإعادة تثبيت نظام التشغيل وجميع البرامج. تعتبر هذه الطريقة أكثر العمليات أماناً في معالجة الفيروسات.

قم بتغيير كلمات مرور تسجيل الدخول للكمبيوتر وأي مواقع حساسة تستخدمها عبر الإنترنت (بما في ذلك الخدمات المصرفية وشبكات التواصل الاجتماعي والبريد الإلكتروني…) بعد إكمال تثبيت النظام.

على الرغم من أنه من الآمن عموماً استعادة ملفات البيانات -الملفات الشخصية وملفات العمل التي قمت بإنشائها- فتأكد أولاً أنها لا تحتوي أيضاً على فيروسات. إذا قمت بتخزين ملفات النسخ الاحتياطي على محرك أقراص USB، فلا تقم بتوصيله مرة أخرى بالكمبيوتر الذي تمت تهيئته حديثاً حتى تقوم بتعطيل التشغيل التلقائي (Autorun). إذا قمت بتوصيله بدون تعطيل التشغيل التلقائي عندها تكون فرصة الإصابة بالفيروسات كبيرةً مرّةً أخرى من خلال دودة التشغيل التلقائي.

بعد تعطيل التشغيل التلقائي، قم بتوصيل محرك النسخ الاحتياطي وفحصه باستخدام أكثر من موقع فحص فيروسات عبر الإنترنت. إذا حصلت على نتيجة فحصٍ إيجابيّة من اثنين أو أكثر من المواقع الفاحصة عبر الإنترنت، فيمكنك نقل هذه الملفات بأمانٍ مرّةً أخرى إلى جهاز الكمبيوتر الذي قمت بإعادة تهيئتة للتوّ.

المصدر