باب المراد
16-01-2009, 04:15 PM
بسم الله الرحمن الرحيم
السلام عليكم ورحمة الله وبركاتة
تحية طيبة الى كل الموجودين في المنتدى و احب اذكر الكم اليوم موضوع جدا مهم و غالبا ما عانينة من اصابة حاسباتنا بالفايروس الصيني الخطير و المزعج و بعد ما اشرح الكم طريقة التخلص من الفايروس الصيني اشرح الكم طريقة تتخلصون بيها من فايروس الفرفوري هع هع هع هع
اليكم بعض المعلومات
اولا :- اسم الفايروس (( V irus.W in32.X o r e r ))
ثانيا :- اخطر اصدار للفايروس اسمة ( Win32.Xorer.fb )
ثالثا :- طرق الاصابة بالفايروس :-
تحدث الاصابة عند تشغيل احد ملفات الفايروس او اي ملف تشغيلي ( exe ) مصاب به
وتصل الينا هذه الملفات اما بتحميلها من الانترنت ,, او استخدام فلااش ميموري على جهاز مصاب
حيث تنشر الاصابة بالفايروس عند ادخالها بأي جهاز آخر
رابعا :- أعراض الاصابة بالفايروس :-
أهم هذه الاعراض: تعطيل جميع برامج الحماية ( المشهوره ) الموجوده على الجهازثقل بتشغيل البرامج ,, عدم تشغيل بعض البرامج ,, اختفاء ( خيار ) اظهار ملفات النظام المخفية
ظهور الشاشة الزرقاء عند استخدام الوضع الآمن للويندوز
ويقوم الفايروس بفتح موقع صيني ,, كما بهذه الصوره .
http://www.zyzoom.net/zyzoom_absba_/china_virus/1.png
خامسا :- وايضا من حركاته المزعجه ,, اظهاره لرسائل دعائية عند تصفحك للانترنت كما في الصوره
http://www.zyzoom.net/zyzoom_absba_/china_virus/2.png
سادسا :- ملفات الفايروس واماكنها
كود:
c:\037589.log
c:\894729.log
c:\118766.log
c:\119141.log
c:\118688.log
c:\118610.log
c:\122610.log
c:\122438.log
c:\118219.log
c:\118563.log
c:\118454.log
c:\119266.log
--------------------
c:\pagefile.pif
c:\pagefile.exe
c:\AUTORUN.INF
تنسخ على جميع محركات الجهاز
--------------------
--------------------
c:\~.EXE.????.exe
c:\lsass.exe.????.exe
c:\SMSS.exe.????.exe
????= ارقام متغيره
--------------------
%windir%\system32\Com\netcfg.000
%windir%\system32\Com\netcfg.dll
%windir%\system32\Com\lsass.exe
%windir%\system32\Com\smss.exe
%windir%\system32\dnsq.dll
----------------
%ALLUSERSPROFILE%\Start Menu\Programs\Startup\~.exe
%ALLUSERSPROFILE%\Start Menu\Programs\Startup\~.exe.????.exe
????= ارقام متغيره----------------
%Temp%\RarSFX0
%Temp%\irsetup.exe
%Temp%\@2.tmp
%windir%\system32\ntfsus.exe
%windir%\system32\wmdrtc32.dll
%windir%\system32\wmdrtc32.dl_
%windir%\system32\894729.log
%windir%\system32\118766.log
%windir%\system32\119141.log
%windir%\system32\118688.log
%windir%\system32\118610.log
%windir%\system32\122610.log
%windir%\system32\122438.log
%windir%\system32\118219.log
%windir%\system32\118563.log
%windir%\system32\118454.log
%windir%\system32\119266.log
------------------------------------------
Virus.Win32.Xorer.x النسخة
تستخدم وتستبدل ملفات الونرار بنسخه من الفايروس
%ProgramFiles%\WinRAR
ويجب حذف المجلد بالكامل
سابعا :- عمليات الفايروس بالذاكره ( لجميع الاصدارات )
كود:
%windir%\system32\com\lsass.exe
%windir%\system32\com\smss.exe
%ALLUSERSPROFILE%\Start Menu\Programs\Startup\~.exe
%ALLUSERSPROFILE%\Start Menu\Programs\Startup\~.exe.????.exe
%ProgramFiles%\winrar\uninstall.exe
%ProgramFiles%\RAR.exe
%Temp%\RarSFX0\Setup.exe
????.log
c:\~.EXE.????.exe
c:\lsass.exe.????.exe
c:\SMSS.exe.????.exe
????= ارقام متغيرهوايضا يقوم بدمج ملفه dnsq.dll بعمليات الملفات التالية
كود:
%Windir%\explorer.exe
%ProgramFiles%\messenger\msmsgs.exe
%Windir%\dns\sdnsmain.exe
%ProgramFiles%\internet explorer\iexplore.exe
%Temp%\irsetup.exe
%windir%\system32\ntfsus.exe
%windir%\system32\dllhost.exe
مفاتيح لمسجل النظام ,, يقوم بحذفها الفايروس
كود:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}]
(Default) = "DiskDrive"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}]
(Default) = "DiskDrive"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\Advanced\Folder\SuperHidden]
Type = "radio"
ثامنا :- مفاتيح لمسجل النظام ,, يقوم باضافتها الفايروس
كود:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{450EC9C 4-0F7F-407F-B084-D1147FE9DDCC}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{D990123 9-34A2-448D-A000-3705544ECE9D}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{2D9 6C4BF-8DCA-4A97-A24A-896FF841AE2D}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{AAC 17985-187F-4457-A841-E60BAE6359C2}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{81429 3BA-8708-42E9-A6B7-1BD3172B9DDF}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\IFOBJ.IfObjCtr l.1
تاسعا :- كيفية التخلص من الفايروس
للأسف الفايروس من الصعب حذفه باستخدام برامج الحماية ,,, اوبالطرق التقليدية كـ سكربتات الحذف من الدوس
او حذفه باستخدام مستعرض الويندوز ,, وحتى لو نعطل ملفات الفايروس الاساسية باستخدام مدير المهام او اي اداة اخرى
واذا حذفنا هذه الملفات ,, شوي والخبيث يرجع من جديد وترجع ملفاته
وولقضاء على هذا الخبيث نستخدم ادوات حذف الملفات بعد التشغيل
كـ Killbox او Unlocker او bootdeleter او DelLater او The Avenger v2
او استخدام هذه الاداة الزيزومية تساعد في التخلص من الفايروس وملفاته بشكل تلقائي
اداة التخلص من جميع اصدارت الفيرس الصينى win.32xorer
لوندوز اكس بي فقط
http://www.megaupload.com/?d=2Z6YMZ04 (http://www.megaupload.com/?d=2Z6YMZ04)
روابط اضافية بتاريخ اليوم لعيون اعضاء منتدى ليالي الكاظمية و الى العراقيين الي يعنون من الفايروس ويبجون منه
http://mihd.net/4c3tnob (http://mihd.net/4c3tnob) او http://www.zshare.net/download/9699321017e773/ (http://www.zshare.net/download/9699321017e773/)
عاشرا :- طريقة الاستخدام ,,
عند تشغيل الاداة سوف تظهر لك القائمة الرئيسية ,, اضغط على ( تشغيل الاداة )
لحظات ويعاد تشغيل جهازك تلقائيا ,, وعند دخول سطح المكتب ,, سوف تكمل الاداة عملية الحذف للفايروس
بعدها تظهر لك رسالة ,, تبين نتيجة العملية
ويجب عليك تحديث برنامج الحماية الموجود لديك ,, وعمل فحص وتنظيف شامل للجهاز
حادي عشر :- دمتم للمنتدى الغالي شنو كيفتو يالله حمل و رد على الموضوع ترى ازعل http://www.layaly-kadhimiya.net/vb/images/smilies/43767_imgcache.gif
اخوكم دوما 007 ابو طبيخ
__________________
العلم خير من المال ..
لأن المال يحرسه و العلم يحرسك ..
والمال تفنيه النفقة و العلم يزكو على الإنفاق ..
والعلم حاكم و المال محكوم عليه ..
مات خازنو المال وهم أحياء ..
و العلماء باقون مابقي الدهر ..
أعبائهم مفقودة و آثارهم في القلب موجودة !!
http://www.layaly-kadhimiya.net/vb/images/smilies/43691_imgcache.gif
منقول
السلام عليكم ورحمة الله وبركاتة
تحية طيبة الى كل الموجودين في المنتدى و احب اذكر الكم اليوم موضوع جدا مهم و غالبا ما عانينة من اصابة حاسباتنا بالفايروس الصيني الخطير و المزعج و بعد ما اشرح الكم طريقة التخلص من الفايروس الصيني اشرح الكم طريقة تتخلصون بيها من فايروس الفرفوري هع هع هع هع
اليكم بعض المعلومات
اولا :- اسم الفايروس (( V irus.W in32.X o r e r ))
ثانيا :- اخطر اصدار للفايروس اسمة ( Win32.Xorer.fb )
ثالثا :- طرق الاصابة بالفايروس :-
تحدث الاصابة عند تشغيل احد ملفات الفايروس او اي ملف تشغيلي ( exe ) مصاب به
وتصل الينا هذه الملفات اما بتحميلها من الانترنت ,, او استخدام فلااش ميموري على جهاز مصاب
حيث تنشر الاصابة بالفايروس عند ادخالها بأي جهاز آخر
رابعا :- أعراض الاصابة بالفايروس :-
أهم هذه الاعراض: تعطيل جميع برامج الحماية ( المشهوره ) الموجوده على الجهازثقل بتشغيل البرامج ,, عدم تشغيل بعض البرامج ,, اختفاء ( خيار ) اظهار ملفات النظام المخفية
ظهور الشاشة الزرقاء عند استخدام الوضع الآمن للويندوز
ويقوم الفايروس بفتح موقع صيني ,, كما بهذه الصوره .
http://www.zyzoom.net/zyzoom_absba_/china_virus/1.png
خامسا :- وايضا من حركاته المزعجه ,, اظهاره لرسائل دعائية عند تصفحك للانترنت كما في الصوره
http://www.zyzoom.net/zyzoom_absba_/china_virus/2.png
سادسا :- ملفات الفايروس واماكنها
كود:
c:\037589.log
c:\894729.log
c:\118766.log
c:\119141.log
c:\118688.log
c:\118610.log
c:\122610.log
c:\122438.log
c:\118219.log
c:\118563.log
c:\118454.log
c:\119266.log
--------------------
c:\pagefile.pif
c:\pagefile.exe
c:\AUTORUN.INF
تنسخ على جميع محركات الجهاز
--------------------
--------------------
c:\~.EXE.????.exe
c:\lsass.exe.????.exe
c:\SMSS.exe.????.exe
????= ارقام متغيره
--------------------
%windir%\system32\Com\netcfg.000
%windir%\system32\Com\netcfg.dll
%windir%\system32\Com\lsass.exe
%windir%\system32\Com\smss.exe
%windir%\system32\dnsq.dll
----------------
%ALLUSERSPROFILE%\Start Menu\Programs\Startup\~.exe
%ALLUSERSPROFILE%\Start Menu\Programs\Startup\~.exe.????.exe
????= ارقام متغيره----------------
%Temp%\RarSFX0
%Temp%\irsetup.exe
%Temp%\@2.tmp
%windir%\system32\ntfsus.exe
%windir%\system32\wmdrtc32.dll
%windir%\system32\wmdrtc32.dl_
%windir%\system32\894729.log
%windir%\system32\118766.log
%windir%\system32\119141.log
%windir%\system32\118688.log
%windir%\system32\118610.log
%windir%\system32\122610.log
%windir%\system32\122438.log
%windir%\system32\118219.log
%windir%\system32\118563.log
%windir%\system32\118454.log
%windir%\system32\119266.log
------------------------------------------
Virus.Win32.Xorer.x النسخة
تستخدم وتستبدل ملفات الونرار بنسخه من الفايروس
%ProgramFiles%\WinRAR
ويجب حذف المجلد بالكامل
سابعا :- عمليات الفايروس بالذاكره ( لجميع الاصدارات )
كود:
%windir%\system32\com\lsass.exe
%windir%\system32\com\smss.exe
%ALLUSERSPROFILE%\Start Menu\Programs\Startup\~.exe
%ALLUSERSPROFILE%\Start Menu\Programs\Startup\~.exe.????.exe
%ProgramFiles%\winrar\uninstall.exe
%ProgramFiles%\RAR.exe
%Temp%\RarSFX0\Setup.exe
????.log
c:\~.EXE.????.exe
c:\lsass.exe.????.exe
c:\SMSS.exe.????.exe
????= ارقام متغيرهوايضا يقوم بدمج ملفه dnsq.dll بعمليات الملفات التالية
كود:
%Windir%\explorer.exe
%ProgramFiles%\messenger\msmsgs.exe
%Windir%\dns\sdnsmain.exe
%ProgramFiles%\internet explorer\iexplore.exe
%Temp%\irsetup.exe
%windir%\system32\ntfsus.exe
%windir%\system32\dllhost.exe
مفاتيح لمسجل النظام ,, يقوم بحذفها الفايروس
كود:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}]
(Default) = "DiskDrive"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}]
(Default) = "DiskDrive"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\Advanced\Folder\SuperHidden]
Type = "radio"
ثامنا :- مفاتيح لمسجل النظام ,, يقوم باضافتها الفايروس
كود:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{450EC9C 4-0F7F-407F-B084-D1147FE9DDCC}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{D990123 9-34A2-448D-A000-3705544ECE9D}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{2D9 6C4BF-8DCA-4A97-A24A-896FF841AE2D}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{AAC 17985-187F-4457-A841-E60BAE6359C2}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{81429 3BA-8708-42E9-A6B7-1BD3172B9DDF}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\IFOBJ.IfObjCtr l.1
تاسعا :- كيفية التخلص من الفايروس
للأسف الفايروس من الصعب حذفه باستخدام برامج الحماية ,,, اوبالطرق التقليدية كـ سكربتات الحذف من الدوس
او حذفه باستخدام مستعرض الويندوز ,, وحتى لو نعطل ملفات الفايروس الاساسية باستخدام مدير المهام او اي اداة اخرى
واذا حذفنا هذه الملفات ,, شوي والخبيث يرجع من جديد وترجع ملفاته
وولقضاء على هذا الخبيث نستخدم ادوات حذف الملفات بعد التشغيل
كـ Killbox او Unlocker او bootdeleter او DelLater او The Avenger v2
او استخدام هذه الاداة الزيزومية تساعد في التخلص من الفايروس وملفاته بشكل تلقائي
اداة التخلص من جميع اصدارت الفيرس الصينى win.32xorer
لوندوز اكس بي فقط
http://www.megaupload.com/?d=2Z6YMZ04 (http://www.megaupload.com/?d=2Z6YMZ04)
روابط اضافية بتاريخ اليوم لعيون اعضاء منتدى ليالي الكاظمية و الى العراقيين الي يعنون من الفايروس ويبجون منه
http://mihd.net/4c3tnob (http://mihd.net/4c3tnob) او http://www.zshare.net/download/9699321017e773/ (http://www.zshare.net/download/9699321017e773/)
عاشرا :- طريقة الاستخدام ,,
عند تشغيل الاداة سوف تظهر لك القائمة الرئيسية ,, اضغط على ( تشغيل الاداة )
لحظات ويعاد تشغيل جهازك تلقائيا ,, وعند دخول سطح المكتب ,, سوف تكمل الاداة عملية الحذف للفايروس
بعدها تظهر لك رسالة ,, تبين نتيجة العملية
ويجب عليك تحديث برنامج الحماية الموجود لديك ,, وعمل فحص وتنظيف شامل للجهاز
حادي عشر :- دمتم للمنتدى الغالي شنو كيفتو يالله حمل و رد على الموضوع ترى ازعل http://www.layaly-kadhimiya.net/vb/images/smilies/43767_imgcache.gif
اخوكم دوما 007 ابو طبيخ
__________________
العلم خير من المال ..
لأن المال يحرسه و العلم يحرسك ..
والمال تفنيه النفقة و العلم يزكو على الإنفاق ..
والعلم حاكم و المال محكوم عليه ..
مات خازنو المال وهم أحياء ..
و العلماء باقون مابقي الدهر ..
أعبائهم مفقودة و آثارهم في القلب موجودة !!
http://www.layaly-kadhimiya.net/vb/images/smilies/43691_imgcache.gif
منقول