أستغفر الله العظيم ... سبحان الله وبحمده



العودة   منتديات داماس > برامج الكمبيوتر والانترنت > برامج


مواضيع مميزة  


آخر عشرة مواضيع المواضيع النشطة


02-11-2004, 03:24 AM
CrazyWorm غير متصل
عضو ذهبي
رقم العضوية: 3116
تاريخ التسجيل: Dec 2003
الإقامة: In Hole
المشاركات: 983
إعجاب: 39
تلقى 154 إعجاب على 64 مشاركة
تلقى دعوات الى: 0 موضوع
    #1  

اخر صيحة الفيروسات


صيحة الفيروسات

هذي أخر فيروسات في السوق اليوم .......
----
الأول ...


------------------------------- البطاقة التعريفية-------------------------


الاسم : WORM_SDBOT.YD

النوع : Worm دودة

تدميري : No لا <<< هذا معناه أن الملف المصاب يمكن اصلاحه

مشهور بإسم : Win32.Slinbot.KZ

امكانية الضرر : High عالية

امكانية التدمير: High عالية

تقارير عن انتشاره : Low قليلة

وبذلك فإنه يحوز على تقدير low Risk خطورة منخفضة

-------------------------------------------------------------------------------------
الثاني ....

---

------------------------------- البطاقة التعريفية-------------------------


الاسم : Trojan.Ducky.B

النوع : Trojan Horse حصان طروادة

تدميري : ـــــــــ

مشهور باسم : Bloodhound.Exploit.13* Exploit.Win32.MS04-028.gen

امكانية الضرر : Low منخفضة

امكانية التدمير : Low منخفضة

تقارير انتشاره : ـــــــــــــــ

مواصفاته .. يسقط ملف system%\t2.exe % من النظام ..
ويهاجم الأنظمة التالية ...

Windows 2000* Windows 95* Windows 98* Windows Me* Windows NT* Windows XP

واذا كنت مصاب به فتجد ملف باسم Bloodhound.Exploit.13 في ملفات النظام

-------------------------------------------------------------------------------------
الثالث ...


------------------------------- البطاقة التعريفية-------------------------


الاسم : PWSteal.Tarno.J

النوع : Trojan Horse حصان طروادة

امكانية الضرر : Low منخفضة

وتجده بين ملفات النظام باسم PWSteal.Tarno.J

وهو يهاجم جميع أنظمة ويندوز ..

Windows 2000* Windows 64-bit (AMD64)* Windows 64-bit (IA64)* Windows 95* Windows 98* Windows Me* Windows NT* Windows Server 2003* Windows XP

والفيروس يقوم بنسخ نفسه في ملفات النظام باسم %Windir%

كما يقوم بإضافة القيمة "%kern64dll" = %Windows في ملفات الريجستري
وينشأ %Windir%\HookerDll.dll الملف الرئيسي لطروادة
ثم ينشا ملف %Windir%\Klogn.txt حيث يخزن به المعلومات المسروقة ...

وللتأكد من أنك لاتحمله في جهازك .. اتبع الخطوات التالية ....

start > run > regedit > HKEY_CURRENT USER >Software > Microsoft > WINDOWS >CurrentVersion > RUN
واذا وجد ملف باسم %kern64dll" = %Windows
فاعلم انك مصاب به
_____

----------------- البطاقة التعريفية---------------


الاسم : Backdoor.prorat

النوع : Trojan Horse حصان طروادة

يستهدف الانظمة التالية :

Windows 2000* Windows 95* Windows 98* Windows Me* Windows NT* Windows XP

طول العدوى : متغيرة

المستوى التدميري : Medium متوسط

قوة الانتشار : low منخفضة

ويستهدف المنفذ ... Ports: 58343

التفاصيل .. :-

يتواجد في النظام باسم %System% أو %Windir%

ثم يقوم بنسخ نفسه ويصبح


%System%\Main.exe
%System%\Loader.exe
%System%\Msmsg.exe
%System%\Winserv.dll
%System%\Fservice.exe
%System%\Sservice.exe
%Windir%\Winlogon.exe


أما عن %windir% فتجده في ملف C:\Windows أو C:\Winnt بين ملفات النظام

أما عن %system% فيتواجد في C:\Windows\System أو C:\Winnt\System32

ثم يضيف أحد القيم السابقةالى الرجيستري في هذه المسارات ..

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Wi ndows\Curr entVersion\Run

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Wi ndows\Curr entVersion\
Policies\Explorer\Run

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ac tive Setup\Installed Components\{5Y99AE78-58TT-11dW-BE53-Y67078979Y}


ولتتحقق من ذلك
اتبع الخطوات التالية ...

Start>run>regedit>HKEY_LOCAL_MACHINE>Sof tware>Microsoft>Windows NT>CurrentVersion>Winlogon

ستجد ملف باسم

explorer.exe %System%\Fservice.exe

ويبدا عمله مع بدأ الويندوز


***************************************

أما عن كيفية التخلص منه ..

1- الغ نظام استعادة ملفات النطام فقد تتضرر (للويندوز ME و XP )

2- حمل آخر ابديت للانتي فيروس الي تستخدمه

3- أعد تشغيل الجهاز في نظام الsafe mode للويندوز 98 و 95 و Me
أو Safe mode with Command Prompt لويندوز 2000 و XP

4- غير احداثيات الرجيستري (يعني امسح الفيروس اذا كان مسجل هناك )

5- أعد تشغيل الكمبيوتر في الوضع العادي normal

6- اعمل scan للفيروس .. تخلص منه .. لازم يكتب لك
detected as Backdoor.Prorat

ولمزيد من المعلومات

اضغط هنا


----------------البطاقة التعريفية--------------


الاسم : Backdoor.Rtkit.B

النوع : Trojan Horse حصان طروادة

يستهدف الانظمة التالية :


Windows 2000* Windows 95* Windows 98* Windows Me* Windows NT* WindowsXP


المستوى التدميري : low منخفض

سرعة الانتشار : Low منخفض

ويصنف ضمن : Low Risk قليل الخطورة

اسمه في ملفات النظام : %System%\com\sserver


التفاصيييييييييييل ...:-

هذا الفيروس أول مايتحمل على الجهاز ..

1- ينسخ نفسه بالأسماء التالية ..

System%\com\sserver\ntrootkit.exe %
System%\com\sserver\globalc.dll%
System%\com\sserver\npf.sys %
System%\com\sserver\rtkit.log %

في الرجيستري ....


HKEY_LOCAL_MACHINE\SYSTEM\CurrentControl Set\Enum\R oot\LEGACY_RTKIT
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControl Set\Enum\R oot\LEGACY_NPF
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControl Set\Servic es\ROOTKIT1
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControl Set\Servic es\NPF
HKEY_LOCAL_MACHINE\SOFTWARE\RtKit


........................................ .......... ....................................
أضراره

1- يغير كلمات السر في النظام
2- يغير مفاتيح التسجيل في الرجستري
3- يبدأ برفض خدمة دوس DOS في الويندوز
4- يحصل على معلوملت النظام (جميع الباسوردات * جميع المعلومات في الرجيستري..)

**************************************** *

وكيفية التخلص منه ...

اتبع الخطوات التالية ....

1- حمل أبديت النورتون أو المكافي أو البي بس سيلنت أو *******
2 - أعمل سكان Scan للفيروس ... ووو تخلص منه ؟؟
3- للتخلص منه منالرجيستري اتبع التالي : -

Start> Run > Regedit> ok

ابحث عن التالي واحذفه ...


HKEY_LOCAL_MACHINE\SYSTEM\CurrentControl Set\Enum\R oot\LEGACY_RTKIT
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControl Set\Enum\R oot\LEGACY_NPF
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControl Set\Servic es\ROOTKIT1
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControl Set\Servic es\NPF
HKEY_LOCAL_MACHINE\SOFTWARE\RtKit


4- لازالة الملف الرئيسي للفيروس ..

واسمه %System%\com\sserver

افتح المستكشف Explorer وابحث عن %System%\com\sserver
وDelete ازله ..

----- ----- ----- ----- ----- ----- ----- ----- ----- ----- ----- -----


ولاحظوا اخواني تقريبا كل يوم في فيروس
فانتبهوا ........... الابديت نزلوه أول بأول

----- ----- ----- ----- ----- ----- ----- ----- ----- ----- ----- -----

--------------- البطاقة التعريفية ---------------


الاسم : W32.Jeefo

-- في الMcAfee يعرف بـ : W32/Jeefo أما في ال Trend : PE_JEEFO.A

النوع : Virus فيروس

يتواجد بحجم : 36*352 bytes (يعني مانحس فيه بالمرة )

يهجم على الأنظمة : Windows 95* Windows 98* Windows ME* Windows NT* Windows 2000* Windows XP

وهذا الفيروس نزل يوم : June 03* 2003 > 3\6\2003 << قديييم

سرعة الانتشار : Low منخفضة

مستوى الخطر : Low منخفض

يصنف ضمن : Low Risk خطورة منخفضة

يتواجد في النظام باسم .. :: Svchost.exe يعني بتحصله يشتغل في البرنامج Svchost.exe الي هو تقريبا عصب الاويندوز
%Windir% وهذا الملف الي بتحصله فيه

---------------
أول خطواته ينتظر من المضيف (حامل الوباء)
انه يشغل البرنامج الحامل له
..
يمسح أي آثار له ويضيف القيمة التالية للرجيستري ..

"PowerManager"="%windir%\svchost.exe"

في المسار أو المفتاح ..


HKEY_LOCAL_MACHINE\Software\Microsoft\Wi ndows\Curr entVersion\
RunServices



يعني ان هذا الفيروس يشتغل كل مرة تعيد الجهاز Restart أو تشغل الجهاز ..

في الانظمة Windows NT/2000/XP

يصيب الملفات ويتحكم في نظام الطاقة للويندوز Power Manager
------------------------

للتخلص منه

نفس الخطوات الي أقولها في كل مرة
1- تحمل الابديت
2- تدخل من الsafe mode (ملاحظة اذا كنت في الSafe mode تقدر تنقل ملفاتك من ال \:C أي من المكان الي عليه الويندوز .. بدون أي خطورة يعني اذا حبييت تسوي فورمات للجهازصيحة الفيروسات)

وتمسح القيمة "PowerManager"="%windir%\svchost.exe"
من الرجيستري من المفتاح أو المسار المذكور بالأعلى
3- تعيد تشغيل الجهاز في النظام العادي
4- تعمل Scan للفيروس وووو ........................

الباقي عليك

----------------------- البطاقة التعريفية -----------------------


الاسم : W32.Bagz@mm

النوع : Worm دودة

المستوى التدميري : Low منخفض لكن

مستوى الانتشار أو سرعة الانتشار : High عااااااااااااالية << كلها اسبوع ويكون في الشرق الأوسط

يهجم الأنظمة :


Windows 2000* Windows 95* Windows 98* Windows Me* Windows NT* Windows XP


أول شيء يسويه مثله زي أي فيروس ...

1- ينسخ نفسه باسم System%\tutorial.doc <spaces> .exe%
بين ملفات النظام ..

2- يضيف القيمة "syslogin.exe" = "syslogin.exe"
الي الرجيستري في المفتاح أو المسار

HKEY_LOCAL_MACHINE\Software\Microsoft\Wi ndows\Curr entVersion\Run

وبالتالى يستطيع العمل في كل مرة تبدأ فيها تشغيل الجهاز .

بنشىء الملفات
System%\dl.exe%
System%\syslogin.exe%

بين ملفات النظام
4- يعطل عمل الجدار الناري للويندوز Windows FireWall

5- يحمل ملفاته من الشبكة حتى يتم التحميل ...

6- ثم يهجم ملفات بالمتدادات .......

.txt
.dbx
.tbi
.tbb


ويرسلها الى أيميل المضيف للفيروس ...

تكون الرسالة غالبا بأسم المرسل ... ( spoofed )

ويكون عنوان الرسالة أحد العناوين التالية ....


Re: User ID Update
Fwd: Your Funds are Eligible for Withdrawal
find a solution with this customer
No Subject
Re: Help Desk Registration
failure notice
Fwd: Password
when should i call you?
RE: Re: A question
Knowledge Base Article
Open Invoices
Returned mail: see transcript for details
building maintenance
[Fwd: Broken link]
WinXP
troubles are back again
Questions
Order Approval
units available
progress news
big announcements
Need help pls
You have recieved an eCard!
What is this ????
Deactivation Notice
Message recieved* please confirm
My funny stories
Cost Inquiry
Re: payment
referrences
Webmail Invite
RE: quote request


وبأحد المرفقات التاالية أيضا ..


Ctutorial.doc <spaces> .exe
doc.doc <spaces> .exe
documents.doc <spaces> .exe
atach.doc <spaces> .exe
file.doc <spaces> .exe
read.doc <spaces> .exe
readme.doc <spaces> .exe
contact.doc <spaces> .exe
mail.doc <spaces> .exe
att.doc <spaces> .exe
warning.doc <spaces> .exe
db.doc <spaces> .exe
msg.doc <spaces> .exe
message.doc <spaces> .exe
messages.doc <spaces> .exe
archive.doc <spaces> .exe
arch.doc <spaces> .exe
support.doc <spaces> .exe
account.doc <spaces> .exe
doc.zip
documents.zip
atach.zip
file.zip
read.zip
readme.zip
contact.zip
mail.zip
att.zip
warning.zip
db.zip
msg.zip
message.zip
messages.zip
archive.zip
arch.zip
support.zip
account.zip


هذا .... أما عن محتوى الرسالة << الكلام


Hello*
Sorry* I forgot to attach the new contact information.
Please view the attached (.pdf) contact sheet.
Sincerely*
User

------------------------
Hello*
I resent this email as attachment because
it was previously blocked by your email filters.
Please read the attachment and respond.
Thanks*
User

----------------------
Hello*
I was in a hurry and I forgot to attach an important
document. Please see attached.
Best Regards*
User

----------------------
Hello*
Your email was received.
YOUR REPLY IS URGENT!
Please view the attached text file for instructions.
Regards*
User

----------------------
Hello*
Your email was sent in an INVALID format.
To verify this email was sent from you*
simply open the attached email (.eml) file
and click yes in the sender options box.
Thank You*
User

----------------------
Hello*
My PC crashed while I was sending that last email.
I have re-attached the document of yours that I discovered.
Please read attached document and respond ASAP.
Sincerely*
User

---------------------
Hello*
What version of windows you are using?
This last document I received from you came out weird.
Please see the attached word file and resend the file to me.
Many thanks*
User

---------------------
***YOUR MESSAGE HAS BEEN RECOGNIZED AS SPAM***
Hello*
The previous email you sent has been recognized as spam.
This means your email was not delivered to your friend or client.
You must open the attached file to receive more information.
***YOUR MESSAGE HAS BEEN RECOGNIZED AS SPAM***

***ATTENTION: YOUR EMAIL IS NOT BEING DELIVERED!***
You are currently unable to send emails.
This may be a billing issue.
Please call the billing center.
The # for the billing office is located in the attached
contact list for your convenience.
***ATTENTION: YOUR EMAIL IS NOT BEING DELIVERED!***

***URGENT: SERVICE SHUTDOWN NOTICE***
Due to your failure to comply with our email
Rules and Regulations* your email account has been
temporarily suspended for 24 hours unless we are contacted regarding
this situation.
You must read the attached document for further
instructions. Failure to comply will result in termination of your account.
Regards*
Net Operator
***URGENT: SERVICE SHUTDOWN NOTICE***

last request before refunding



-----------------------------------------------------------------------


أما لازالة هذا الفيروس

اتبع الخطوات في أي من المقالات السابقة ...

غير أن كيفية ازالته من الرجيستري ... تختلف ... <<< أكيد مش عايزة سؤال

بتدخل على المفتاح ...

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Wi ndows\Curr entVersion\Run

وتمسح ..:-

"syslogin.exe" = "syslogin.exe" وانتهت المشكلة ...





المواضيع المشابهه
الموضوع كاتب الموضوع المنتدى مشاركات آخر مشاركة
برنامج لازالة الفيروسات المستعصية من الفلاش وحمايتها من الفيروسات After Death6.0.0.7 ABU.AMR برامج 20 17-11-2017 07:04 PM
برنامج مكنسه الفيروسات الاصدار السادس beta عربي للقضاء على الفيروسات hadialmhamed برامج الحماية 13 28-08-2016 07:12 PM
أفاست! مضاد الفيروسات المجاني هو برنامج مكافحة الفيروسات mohammadayn_hilal برامج الحماية 1 26-04-2015 03:53 AM
طلب من فراودة البوابة : عايز مكنسة الفيروسات 6.0.99.3 خالية من الفيروسات adel mahmood برامج الحماية 6 11-04-2010 02:34 PM
إفحص جهازك من الفيروسات أو ملفات التجسس مجــــانا أولا :- الفحص من الفيروسات ramy_saied برامج الحماية 7 08-12-2004 10:52 PM
02-11-2004, 03:47 AM
alhoodhod غير متصل
الوسـام الذهبي
رقم العضوية: 223
تاريخ التسجيل: May 2003
المشاركات: 1,760
إعجاب: 49
تلقى 4 إعجاب على 4 مشاركة
تلقى دعوات الى: 1 موضوع
    #2  
بارك الله فيك


02-11-2004, 04:45 AM
arabqatar غير متصل
عضو محترف
رقم العضوية: 457
تاريخ التسجيل: Jul 2003
المشاركات: 400
إعجاب: 1
تلقى إعجاب 1 على مشاركة واحدة
تلقى دعوات الى: 0 موضوع
    #3  
مشكور يعطيك العافيه :)


02-11-2004, 05:28 AM
New star متصل
مدير عام ومؤسس بوابة داماس
رقم العضوية: 1
تاريخ التسجيل: Mar 2003
الإقامة: SYRIA
المشاركات: 26,997
إعجاب: 4,666
تلقى 6,818 إعجاب على 856 مشاركة
تلقى دعوات الى: 1779 موضوع
    #4  
مشكور أخوي على المعلومات بارك الله بك



02-11-2004, 06:05 AM
sikovluv غير متصل
الوسـام الماسـي
رقم العضوية: 50
تاريخ التسجيل: Apr 2003
المشاركات: 4,902
إعجاب: 6
تلقى 69 إعجاب على 50 مشاركة
تلقى دعوات الى: 0 موضوع
    #5  
ألف شكر أخي العزيز على هذه المعلومات المهمة


 


اخر صيحة الفيروسات

English

Powered by vBulletin® Version
Copyright ©2000 - 2017, Jelsoft Enterprises Ltd.
The owner and operator of the site is not responsible for the availability of, or any content provided.
Topics that are written in the site reflect the opinion of the author.
جميع ما يُطرح من مواضيع ومشاركات تعبر عن رأي كاتبها ولا تعبر عن رأي مالك الموقع أو الإدارة بأي حال من الأحوال.