علاء الدين مصطفى
06-12-2009, 12:06 PM
السلام عليكم
الموضوع ده للي عندهم مشكلة بعد فورمات الجهاز الفايروسات لسه موجوده
-----------------------------
من المشاكل اللي يخلفها الفايروس :
1. خيار ال Folder Options موجود لكن عندما تحاول تفعل خيار Show Hidden Files
ما راح يتفعل ...
2. كل البارتشنات او الدرايفات { يعني ال C وال D ... الخ } ... من تحاول تفتحها راح تظهر
بنافذه جديدة ...
3. لما تفتح اي برنامج مرتين او 3 مرات ... بعدها الفايروس يخفي هالبرنامج ويخلي يشتغل بالباك كراوند..
بهالحالة لا تكدر تفتح البرنامج مرة ثانية .. ولا تكدر تشتغل بيه !
-----------------------------------------------------
البرنامج اللي تم صنع الفايروس عن طريقه هو : AutoIt V3
-----------------------------------------------------
الملفات اللي يقوم الفايروس بزرعها في النظام هي :
الاسم : Killer.exe
الحجم: 4084 kb
مسار الملف: c:\windows
الاسم : lsass.exe
الحجم : 3920kb
مسار الملف :
c:\documents and settings\all users\start menu\programs\startup
الاسم : smss.exe
الحجم : 4088kb
مسار الملف : في كل بارتشنات الحاسبة وفي c:\windows ايضا ..
الاسم : autorun.inf
الحجم : 1kb
مسار الملف : في كل بارتشنات الحاسبة ..
محتويات الملف :
كود:
open=smss.exeshell\Open\Command=smss.exeshell\open \Default=1shell\Explore\Command=smss.exeshell\Auto play\command=smss.exe
الاسم : Funny UST Sandal.avi.exe
الحجم : 228kb
مسار الملف : في كل بارتشنات الحاسبة ..
-----------------------------------------------------
مفاتيح الريجستري التابعة للفايروس :
الاول :
كود:
HKEY_LOCAL_MACHINE\Software\Microsoft\WindowNT\Cur rentVersion\Winlogon=shell(killer.exe
الثاتي :
كود:
HKEY_CURRENT_USER\Software\Microsoft\windows\Curre ntversion\Run=runonce(c:\windows\smss.exe)
-----------------------------------------------------
{ كيفية ازالة الفايروس }
{ خطوات الدوز }
هسه شوية ركزو ويايه .... لنفترض عندك 4 بارتشنات بالحاسبة واللي هيه : C - D - E - F
راح نطبق الايعازات التالية على كل واحد منهم ! ...
نروح على قائمة Start ونختار ال Run ونكتب بالحقل الفارغ :
{ نكتب السطر الاول ونضغط Enter ثم نعود للRun ونكتب السطر الثاني وهكذا }
كود:
attrib -h -s c:\smss.exeattrib -h -s c:\autorun.infattrib -h -s c:\Funny UST Sandal.avi.exe
بعدها نجي نطبقها على درايف ال D :
كود:
attrib -h -s d:\smss.exe attrib -h -s d:\autorun.infattrib -h -s d:\Funny UST Sandal.avi.exe
وهكذا مع كل اسم بارتشن نغير الايعازات بحيث نبدل ال { C } بحرف البارتشن التالي
--------------------------------
بهذي الخطوات كدرنا نعطل خاصيتي hidden و system file عن ملفات الفايروس الثلاثة ..
بالتالي ملف الاوتورن ما راح يشتغل
-------------------------------------------------
نكدر هسه نروح لل C وباقي البارتشنات ونمسح هذي الملفات : smss.exe , autorun.inf , Funny UST Sandal.avi.exe
هسه نجي نطبق هذا الامر بال Run ايضا :
كود:
attrib -h -s c:\windows\smss.exe
ونروح لفولدر الوندوز داخل السي { او اي بارتشن آخر منصب عليه الوندوز } ونمسح هذا الملف { smss.exe } وكذلك الملف { killer.exe }
----------------------------------------------------------------------------
بعدها نروح للمسار التالي :
C:\Documents and Settings\All users\Startmenu\Programs\Startup
ونمسح الملف اللي اسمه lsass.exe ...
----------------------------------------------------------------------------
{ خطوات الريجستري }
الآن نذهب الى قائمة Start ومن ثم الى Run ونكتب فيه regedit
ونبحث عن المفاتيح التالية :
الاول :
كود:
HKEY_LOCAL_MACHINE\Software\Microsoft\WindowNT\Cur rentVersion\Winlogon=shell(killer.exe
الثاتي :
كود:
HKEY_CURRENT_USER\Software\Microsoft\windows\Curre ntversion\Run=runonce(c:\windows\smss.exe)
ونحذفها بالضغط على Delete من الكيبورد ..
بعدها سوي ريستارت للحاسبة .... وانتهت المشكلة انشالله !
----------------------------------------------------------------------------
طريقة اخرى للذين لا يعرفون كيفية التعامل مع الريجستري !!
طريقة اخرى لكن بيها شوية خسائر تعتمد على المدة اللي قضاها الفايروس بحاسبتك ..
والخسائر هي ان البرامج اللي نصبتها بعد التاريخ اللي راح ترجعله بالسستم ريستور راح تروح !
مجرد تسوي سستم ريستور لتاريخ يكون قبل تاريخ دخول الفايروس للحاسبة ...
وبعدها تطبق الخطوات الخاصة بالدوز { يعني بدون تحميل برنامج تاسك كيلر }
----------------------------------------------------------------------------
تـــــــــرقــــــبـــــــوا المــــــــزيـــــــــد
الموضوع ده للي عندهم مشكلة بعد فورمات الجهاز الفايروسات لسه موجوده
-----------------------------
من المشاكل اللي يخلفها الفايروس :
1. خيار ال Folder Options موجود لكن عندما تحاول تفعل خيار Show Hidden Files
ما راح يتفعل ...
2. كل البارتشنات او الدرايفات { يعني ال C وال D ... الخ } ... من تحاول تفتحها راح تظهر
بنافذه جديدة ...
3. لما تفتح اي برنامج مرتين او 3 مرات ... بعدها الفايروس يخفي هالبرنامج ويخلي يشتغل بالباك كراوند..
بهالحالة لا تكدر تفتح البرنامج مرة ثانية .. ولا تكدر تشتغل بيه !
-----------------------------------------------------
البرنامج اللي تم صنع الفايروس عن طريقه هو : AutoIt V3
-----------------------------------------------------
الملفات اللي يقوم الفايروس بزرعها في النظام هي :
الاسم : Killer.exe
الحجم: 4084 kb
مسار الملف: c:\windows
الاسم : lsass.exe
الحجم : 3920kb
مسار الملف :
c:\documents and settings\all users\start menu\programs\startup
الاسم : smss.exe
الحجم : 4088kb
مسار الملف : في كل بارتشنات الحاسبة وفي c:\windows ايضا ..
الاسم : autorun.inf
الحجم : 1kb
مسار الملف : في كل بارتشنات الحاسبة ..
محتويات الملف :
كود:
open=smss.exeshell\Open\Command=smss.exeshell\open \Default=1shell\Explore\Command=smss.exeshell\Auto play\command=smss.exe
الاسم : Funny UST Sandal.avi.exe
الحجم : 228kb
مسار الملف : في كل بارتشنات الحاسبة ..
-----------------------------------------------------
مفاتيح الريجستري التابعة للفايروس :
الاول :
كود:
HKEY_LOCAL_MACHINE\Software\Microsoft\WindowNT\Cur rentVersion\Winlogon=shell(killer.exe
الثاتي :
كود:
HKEY_CURRENT_USER\Software\Microsoft\windows\Curre ntversion\Run=runonce(c:\windows\smss.exe)
-----------------------------------------------------
{ كيفية ازالة الفايروس }
{ خطوات الدوز }
هسه شوية ركزو ويايه .... لنفترض عندك 4 بارتشنات بالحاسبة واللي هيه : C - D - E - F
راح نطبق الايعازات التالية على كل واحد منهم ! ...
نروح على قائمة Start ونختار ال Run ونكتب بالحقل الفارغ :
{ نكتب السطر الاول ونضغط Enter ثم نعود للRun ونكتب السطر الثاني وهكذا }
كود:
attrib -h -s c:\smss.exeattrib -h -s c:\autorun.infattrib -h -s c:\Funny UST Sandal.avi.exe
بعدها نجي نطبقها على درايف ال D :
كود:
attrib -h -s d:\smss.exe attrib -h -s d:\autorun.infattrib -h -s d:\Funny UST Sandal.avi.exe
وهكذا مع كل اسم بارتشن نغير الايعازات بحيث نبدل ال { C } بحرف البارتشن التالي
--------------------------------
بهذي الخطوات كدرنا نعطل خاصيتي hidden و system file عن ملفات الفايروس الثلاثة ..
بالتالي ملف الاوتورن ما راح يشتغل
-------------------------------------------------
نكدر هسه نروح لل C وباقي البارتشنات ونمسح هذي الملفات : smss.exe , autorun.inf , Funny UST Sandal.avi.exe
هسه نجي نطبق هذا الامر بال Run ايضا :
كود:
attrib -h -s c:\windows\smss.exe
ونروح لفولدر الوندوز داخل السي { او اي بارتشن آخر منصب عليه الوندوز } ونمسح هذا الملف { smss.exe } وكذلك الملف { killer.exe }
----------------------------------------------------------------------------
بعدها نروح للمسار التالي :
C:\Documents and Settings\All users\Startmenu\Programs\Startup
ونمسح الملف اللي اسمه lsass.exe ...
----------------------------------------------------------------------------
{ خطوات الريجستري }
الآن نذهب الى قائمة Start ومن ثم الى Run ونكتب فيه regedit
ونبحث عن المفاتيح التالية :
الاول :
كود:
HKEY_LOCAL_MACHINE\Software\Microsoft\WindowNT\Cur rentVersion\Winlogon=shell(killer.exe
الثاتي :
كود:
HKEY_CURRENT_USER\Software\Microsoft\windows\Curre ntversion\Run=runonce(c:\windows\smss.exe)
ونحذفها بالضغط على Delete من الكيبورد ..
بعدها سوي ريستارت للحاسبة .... وانتهت المشكلة انشالله !
----------------------------------------------------------------------------
طريقة اخرى للذين لا يعرفون كيفية التعامل مع الريجستري !!
طريقة اخرى لكن بيها شوية خسائر تعتمد على المدة اللي قضاها الفايروس بحاسبتك ..
والخسائر هي ان البرامج اللي نصبتها بعد التاريخ اللي راح ترجعله بالسستم ريستور راح تروح !
مجرد تسوي سستم ريستور لتاريخ يكون قبل تاريخ دخول الفايروس للحاسبة ...
وبعدها تطبق الخطوات الخاصة بالدوز { يعني بدون تحميل برنامج تاسك كيلر }
----------------------------------------------------------------------------
تـــــــــرقــــــبـــــــوا المــــــــزيـــــــــد