الحالة
موضوع مغلق

AZKO_04

موقوف
التسجيل
29/6/08
المشاركات
132
الإعجابات
58
#1
<b>
'',

اداه لحذف دوده الخطيره

Worm.win32.mabezat.b

ولها مسميات اخرى مثل

ًWorm.Win32.Mabezat.b (Kspersky)
W32/Mabezat (McAfee)
W32.Mabezat.B ( Symantec)
Worm/Mabezat.B ( Avira )
W32/Mabezat-B ( Sophos)
Virus: Win32/Mabezat.B - microsoft



معلومات

النوع فيروس يصيب الويندوز باختلاف انواعه و يعمل ببيئه 32 بت win32 اي انه لا يعمل على نظام الدوس
الانتشار: الاقراص القابله للازاله مثل الفلاشات و الاقراص المرنه ايضا المجلدات و الملفات المشتركه على الشبكه

حجم الدوده : 155 KB


طريقه عمله

بعد الإستخراج تقوم الدوده بنسخ نفسها الى المسارات التاليه

%drive%\Documents and Settings\

ويكون تحت اسم

tazebama.dl_

hook.dl_

tazebama.dll

ثم يقوم بصنع مجلد له في المسار

%appdata%\tazebama\

ومن ثم يقوم بحذف هذه القيم من الريجستري

[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\Explorer]
"NoDriveTypeAutoRun"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Policies\Explorer]
"NoDriveTypeAutoRun
"


ويقوم بإضافه قيم له في الريجستري تحت

[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\Advanced]
"Hidden" = 2

[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\Advanced]
"HideFileExt" = 1

[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\Advanced]
"ShowSuperHidden" = 0


ويقوم الفايروس بإصابه جميع البرامج القابله للإستخراج ذات الصيغه exe
وينتشر بسرعه كبيره جدا

الإنتشار

يقوم بنسخ نفسه عندما يتنقل داخل الأقراص تحت اسم
zPharaoh.exe

وفي نفس المجلد الي يكون اسمه
zPharaoh
يتواجد بنفس المجلد ملف
autorun.inf



اصابه الأقراص القابله للإزاله

عندما يصيبها يكون مستخدم احد الأسماء التاليه
Adjust Time.exe

AmericanOnLine.exe

Antenna2Net.exe

BrowseAllUsers.exe

CD Burner.exe

Crack_GoogleEarthPro.exe

Disk Defragmenter.exe

FaxSend.exe

FloppyDiskPartion.exe

GoogleToolbarNotifier.exe

HP_LaserJetAllInOneConfig.exe

IDE Conector P2P.exe

InstallMSN11Ar.exe

InstallMSN11En.exe

JetAudio dump.exe

KasperSky6.0 Key.doc.exe

Lock Folder.exe

LockWindowsPartition.exe

Make Windows Original.exe

MakeUrOwnFamilyTree.exe

Microsoft MSN.exe

Microsoft Windows Network.exe

msjavx86.exe

NokiaN73Tools.exe

Office2003 CD-Key.doc.exe

Office2007 Serial.txt.exe

PanasonicDVD_DigitalCam.exe

RadioTV.exe

Recycle Bin.exe

RecycleBinProtect.exe

ShowDesktop.exe

Sony Erikson DigitalCam.exe

Win98compatibleXP.exe

Windows Keys Secrets.exe

WindowsXp StartMenu Settings.exe

WinrRarSerialInstall.exe




معلومات اخرى

قد يستطيع اصابه هذه اللاحقه

.ASP
.ASPX
.ASPX.CS
.BAS
.C
.CPP
.DOC
.H
.HLP
.HTM
.HTML
.MDB
.MDF
.PAS
.PDF
.PHP
.PPT
.PSD
.RAR
.RTF
.TXT
.XLS
.ZIP


طبعا في حاله نادره او اذا كانت الإصابه شديده ^^^


والدوده قد تجدها في المسار وهو
%userprofile%\Local Settings\Application Data\Microsoft\CD Burning\
^^
اذا كان كذالك ,, فسوف يكون الفايروس او الدوده تحت مسمى
zPharaoh.exe
وقد نجد
autorun.inf في نفس المجلد


وقد تمسح جميع مايكون بالمجلد اعلاه ^^


وقد تصنع لنفسها مستند نصي باالمسار
%appdata%\tazebama\zPharaoh.dat


وقد تجدها ايضا في المجلد

%drive%\Documents and Settings\ folder:


تحت اسم

MyDocuments.rar
backup.rar
documents_backup.rar
imp_data.rar
source.rar
windows_secrets.rar
passwords.rar
serials.rar
office_crack.rar
windows.rar


طريقه التخلص من الدوده

عطلوا استعاده النظام حسب الشرح الاتي


قوموا بتحميل الأداه التاليه

الأداه مقدمه اصلا من شركه AVG
وهذا رابط فحصها

http://www.virustotal.com/analisis/d9f242ca7f0be36c9279a6b05b03c0af

رابط مباشر



ملاحظه : مستخدمي النود

Nod32 or ESET Smart Security


قوموا بتعطيل البرنامج قبل التحميل ,, لأن البرنامج معتبرها اداه غير معروفه

بالطريقه السلميه التاليه

في طور الـ Advance mode






ثم ادخلوا اي فلاش ميموري او قرص خارجي او اي شي ثم شغلوا الاداه وسوف تقوم بفحص جهازك على طول اول ماتشغلها





وبعد كذا يفضل ان تحدثوا المكافح وان تعملوا فحص شامل للجهاز افضل

وعلى كل حال برامج الحمايه تستيع حذفه لكن ليس اغلبها

ملاحظه ::
انصح وبشده بعمل فحص للجهاز بالاداه من السيف مود
Safe Mode

وهنا طرق الدخول للجهاز من السيف مود

4 طرق للدخول للوضع الآمن (Safe Mode) :شرح بالصور :



حل اخر

من الأستاذ زيزوووم غفر الله له ورحم والديه في موضوعه

أداة حذف وتنظيف ( فيروسات الفلااش ميموري ) تحديث شهر / رجب 1429 هـ

والي يعرف حل اخر يخبرنا عشان نضيفه هنا
لانه كثرت المواضيع عن الدوده هذي بهذا القسم
واكثر دول الي تصيبها هذي الدوده هي دول الخليج

كما صرحت شركه AVG



هذه إضافة >
حلول اخرى مجربـة وبسيـطة عن طريق الكاسبر سكاي



عطل نقطة استعادة النظام
ثم اتبع الشرح المناسب لك




لـ صحاب الكاسبر سكاي 2009


ركب ملف الإعدادات :

الانترنت سيكيوريتي



الانتي فايروس




شرح التركيب















بـعد ذلك اعمل فحص كامل لـ الجهاز وسيقوم الكاسبر سكاي بتنظيـف كل ملفات المصابـة


ثم اعد التشغيـل وان شاء الله تتخلص من الفايروس نهائيا




لـ مستخدمي الكاسبر سكاي الإصدار الـ سابع ( 7 )


ركب ملف الإعدادات المناسب لـ نوع نسختك :


اعدادات الكاسبر انتي فايروس ( 7 )



اعدادات الكاسبر انترنت سيكرتي ( 7 )




شرح التركيب













بـعد ذلك اعمل فحص كامل لـ الجهاز وسيقوم الكاسبر سكاي بتنظيـف كل ملفات المصابـة


ثم اعد التشغيـل وان شاء الله تتخلص من الفايروس نهائيا




لـ مستخدمي برامج الحمايـة الأخرى

حمل الكاسبر سكاي المحمول ولاا يحتاج تثبيت ( بروتبل ) :


http://dnl-eu6.kaspersky-labs.com/devbuilds/AVPTool/

بعد التحميل ،، دبل كلك وسيتم استخراج ملف الاداة الى مجلد بسطح المكتب لحظات وتبدأ الاداة بالعمل

تابع الشرح لفحص الجهاز وتنظيفه وارفاق التقرير










بـعد ذلك اعمل فحص كامل لـ الجهاز وسيقوم الكاسبر سكاي بتنظيـف كل ملفات المصابـة


ثم اعد التشغيـل وان شاء الله تتخلص من الفايروس نهائيا


اتمنى الإستفادة التامـة لـ الجميـع
ملاحظه/
بعض الصور والروابط من أحد المنتديات الأخرى
مع إحتافظي ومنتدياتي المميزه داماس بحق الإخراج والتقديم
أخوكم / AZKOF_UCHIHA
 

الحالة
موضوع مغلق

أعلى