أستغفر الله العظيم ... سبحان الله وبحمده


العودة   منتديات داماس > اسطوانة الويندوز الخاصة > المنتدى العام لتصميم الأسطوانة > ورشة عمل الصامت والمحمول


مواضيع مميزة  


آخر عشرة مواضيع المواضيع النشطة


28-01-2018, 01:12 PM
Format غير متصل
مشرف منتدى الصامت والمحمول
رقم العضوية: 685643
تاريخ التسجيل: Nov 2015
المشاركات: 1,045
إعجاب: 1,329
تلقى 2,293 إعجاب على 431 مشاركة
تلقى دعوات الى: 1019 موضوع
    #1  

فيروس يضرب وأداة تقتل .. موضوع متجدد


فيروس يضرب وأداة تقتل .. موضوع متجدد

فيروس يضرب واداة تقتل عنوان .. ل قتل الفيروسات بشكل يدوي مبرمجة باللغة اوتيت سكربت والباتشات
فيروس يضرب وأداة تقتل .. موضوع متجدد

الحمد لله رب العالمين .. الذي خلقني بهذا العلم ل فيد نفسي والمسلمين ..
وان احاول كل مجهودي ان اعلمكم كل الطرق ل حذف الفيروسات مع السورس الي اقدمها لكم انا شخصيا ..
وراح يكون الموضوع مغلق بهدف لااريد مشاركات سوا من المشرفين او الادارة فقط ..
حتى يكون ضمان المحتوى سليم ولااضر به اي شخص منكم ..
هذا والله أعلم والله الموفق لي ولكم ..
الملفات عليها باسورد : damas




المواضيع المشابهه
الموضوع كاتب الموضوع المنتدى مشاركات آخر مشاركة
فيروس عجيب يضرب أجهزتنا hamdyprince برامج 3 06-03-2017 04:22 AM
مشكلة مع فيروس خطير وصغير الحجم وهي أنه عندما يضرب ملفات exe asadking1 برامج الحماية 1 27-11-2011 01:28 AM
فيروس جديد يضرب هجهازي aldeep صيانة الكمبيوتر وحلول الحاسب الألي - هاردوير 6 19-03-2008 12:19 PM
فيروس عربي يضرب الاجهزه وهنا الحل megagame برامج الحماية 10 30-09-2005 02:31 AM
احذرو .. فيروس خطير جداً يضرب غرف الشات ashraf2004 برامج الحماية 4 28-08-2005 01:06 AM
28-01-2018, 01:14 PM
Format غير متصل
مشرف منتدى الصامت والمحمول
رقم العضوية: 685643
تاريخ التسجيل: Nov 2015
المشاركات: 1,045
إعجاب: 1,329
تلقى 2,293 إعجاب على 431 مشاركة
تلقى دعوات الى: 1019 موضوع
    #2  
المشاركة الأصلية كتبت بواسطة Dzhamza 


فيروس الاحتصارات هو مجرد تلغيم بسيط يفسد العمل الصحيح أو السير الصحيح للويندوز
الحمد لله أن صانعه لم يدرج فيه فك الشفرات وارسالها إليه
بمعنى سرقة كلمات السر
وهناك حركة بسيطة لو تم تحديث هذا الفيروس لهلك ملايين الحواسيب في العالم ولسُرقت كلمات السر المحفوظة على المتصفحات.

مكونات فيروس الاختصار
هي مجلدين لا أكثر يكونان محفوظان في القرص الذي يشمل الويندوز وبصفة مخفية
أسماء المجلدان

c:\google
و
c:\skypee

طريقتي في التعامل مع هذا الفيروس هو عمل باتش صغير جداً ومحتواه كالتالي
TASKKILL /F /IM 
AutoIt3.exe
del "C:\google" /f /q del "C:\skypee" /f /q
بهذه الطريقة يمكن ايقاف الفيروس وحذفه مع مجلداته
لكن يبقى الخطر قائم
لأن الفيروس يمن استرداد نفسه عند اعادة تشغيل الويندوز لأن مساراته في الرجستري لا تزال محفوظة
هناك أدوات وبرامج يكنها فعل ذلك لربح وقت البحث
بعد بحثي في عدة منتديات لمواقع برامج الحماية وجدت هاته المسارات التي تفيد بحذفه من الجذور بمعنى الأيقاف وحذف المجلدات ومسارات الرجستري

هذه هي المسارات


 '32 bit Registry Entries

   "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.a3x\OpenWithList\a"
"HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\AntiUsbWorm"
"HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\AntiWormUpdate"

"HKEY_USERS\S-1-5-21-2959341437-1417137130-3415374032-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.a3x\OpenWithList\a"

"HKEY_USERS\S-1-5-21-2959341437-1417137130-3415374032-1000\Software\Microsoft\Windows\CurrentVersion\Run\AntiUsbWorm"

"HKEY_USERS\S-1-5-21-2959341437-1417137130-3415374032-1000\Software\Microsoft\Windows\CurrentVersion\Run\AntiWormUpdate"
  
    '64 bit Registry Entries

"HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run\AntiUsbWorm"

"HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run\AntiWormUpdate"

 "HKEY_USERS\S-1-5-21-3976834753-4095289343-2271009253\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.a3x\OpenWithList\a"

"HKEY_USERS\S-1-5-21-3976834753-4095289343-2271009253\Software\Microsoft\Windows\CurrentVersion\Run\AntiUsbWorm"

"HKEY_USERS\S-1-5-21-3976834753-4095289343-2271009253\Software\Microsoft\Windows\CurrentVersion\Run\AntiWormUpdate"
هنا عن نفسي أمسح كل هذا يدوياً
إلى خبراء الباتش يمكن من أحدكم عمل باتش كامل لحذف الفيروس من الجذور

بهذه الطريقة أنا كمبتدئ في الحماية كنت ولا أزال أفعلها في المحل مع الحواسيب التي لا داعي للفرمطة الكلية وتجنب تنزيل ويندوز جديد


ملاحظة: في بعض الحواسيب يكون هذا الفيروس قد قام بتعطيل عمل الدوس (موجه الأوامر)
فعلينا في هذه اللحظة اعادة تشغيل الجهاز والولوج إلى وضع الأمان

يتبع.....

هذا الكلام للغالي ومشرفنا حمزة

الان راح احوله الى صيغة AU3 على نفس لغة تم صنع الفيروس




#cs ----------------------------------------------------------------------------
 
AutoIt Version3.3.14.2
 Author
:        Hatem Mohsen ALHENAWY AND Dzhamza

 Script 
Function:
    
delete virus skypee

#ce ----------------------------------------------------------------------------
If Not IsAdmin() Then
MsgBox
(48"تحذير""يجب تشغيل البرنامج كمسؤول")
Exit
EndIf

if 
ProcessExists('AutoIt3.exe') or ProcessExists('google.exe') or ProcessExists('skypee.exe'Then
$hatem
=3
for $Dzhamza=1 to $hatem
        ProcessClose
('google.exe')
        
ProcessClose('skypee.exe')
        
ProcessClose('AutoIt3.exe')
        
FileDelete(@HomeDrive "\" & "skypee.exe")
        FileDelete(@HomeDrive & "
\" & "google.exe")
Next
if @OSArch = "
X86" Then
    MsgBox(0,"
نظامك","X86",2)
        RegDelete("
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.a3x\OpenWithList\a")
        RegDelete("
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\AntiUsbWorm")
        RegDelete("
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\AntiWormUpdate")
        RegDelete("
HKEY_USERS\S-1-5-21-2959341437-1417137130-3415374032-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.a3x\OpenWithList\a")
        RegDelete("
HKEY_USERS\S-1-5-21-2959341437-1417137130-3415374032-1000\Software\Microsoft\Windows\CurrentVersion\Run\AntiUsbWorm")
        RegDelete("
HKEY_USERS\S-1-5-21-2959341437-1417137130-3415374032-1000\Software\Microsoft\Windows\CurrentVersion\Run\AntiWormUpdate")
Else
    MsgBox(0,"
نظامك","X64",2)
    RegDelete("
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run\AntiUsbWorm")
    RegDelete("
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run\AntiWormUpdate")
    RegDelete("
HKEY_USERS\S-1-5-21-3976834753-4095289343-2271009253\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.a3x\OpenWithList\a")
    RegDelete("
HKEY_USERS\S-1-5-21-3976834753-4095289343-2271009253\Software\Microsoft\Windows\CurrentVersion\Run\AntiUsbWorm")
    RegDelete("
HKEY_USERS\S-1-5-21-3976834753-4095289343-2271009253\Software\Microsoft\Windows\CurrentVersion\Run\AntiWormUpdate")

EndIf

Else
        MsgBox(64,"
رسالة من المبرمج","الفيروس المراد اغلاقه غير موجود")
        EXIT
        EndIf 

الملف التنفيذي
الباسورد
damas

29-01-2018, 08:33 PM
Format غير متصل
مشرف منتدى الصامت والمحمول
رقم العضوية: 685643
تاريخ التسجيل: Nov 2015
المشاركات: 1,045
إعجاب: 1,329
تلقى 2,293 إعجاب على 431 مشاركة
تلقى دعوات الى: 1019 موضوع
    #3  
اما عن فيروس اليوم راح نتكلم عنه
Hotfix فيروس متنقل عبر التواصل الاجتماعي .. والروابط المزعجة والاداة مفتوحة المصدر تكشف لكم
ان كان موجود بحاسوبكم ام لا ..


#include <Process.au3>
$false false
if ProcessExists("hotfix.exe"Then $false true
If ProcessExists("gog.exe"Then $false true
if $false == True Then
    MsgBox
(0"تحذير HaTeM""الفيروس موجود")
    
_RunDOS ('taskkill /f /im "explorer.exe"')
    
_RunDOS ('taskkill /f /t /im "hotfix.exe"')
    
_RunDOS ('taskkill /f /t /im "gog.exe"')
    
_RunDOS ('del /f /q /a "%UserProfile%\Application Data\gog.exe"')
    
_RunDOS ('del /f /q /a "%UserProfile%\Application Data\cleanthis.exe"')
    
_RunDOS ('del /f /q /a "%UserProfile%\Application Data\install"')
    
_RunDOS ('del /f /q /a "%temp%"')
RegDelete("HKEY_CURRENT_USER\Software\PAV")
RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run “cleanthis”")
RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon “Shell” = “%Documents and Settings%\[UserName]\Application Data\gog.exe”")
Run ("explorer.exe")
MsgBox(0"تحذير HaTeM""تم حدف الفيروس")
MsgBox(0"تحذير HaTeM""قم إعادة التشغيل الجهاز")
MsgBox(0"حاتم محسن الحناوي""اللهم أرحم وأغفر لحاتم ولوالديه ولجميع المسلمين")
MsgBox(0"للتواصل ""damas.com")
Else
    
MsgBox(0"تحذير HaTeM""الفيروس غير موجود")
    
MsgBox(0"للتواصل ""damas.com")
EndIf 

الملف تنفيذي بالمرفقات الباسورد
damas

30-01-2018, 09:41 AM
Format غير متصل
مشرف منتدى الصامت والمحمول
رقم العضوية: 685643
تاريخ التسجيل: Nov 2015
المشاركات: 1,045
إعجاب: 1,329
تلقى 2,293 إعجاب على 431 مشاركة
تلقى دعوات الى: 1019 موضوع
    #4  
فيروس يضرب الامتدادت بشكل عام والاصابة تكون لكل الامتدادات والعمل من خلال هذا الاشئ
لابد من تحويل الملف التنفيذي من exe الى com تنفيذي
ويأسفني هذا الفيروس انتشر ف سنة 2014 وكنت عامل اله مضاد بالبرمجة هذه ومبرمج الفيروس ايضا فلسطيني
كانت لغة المبرمجة بالفيروس بالفيجول بيسك ..
والحمد لله قدرت اعمل المضاد اله ..

والان الى الكود



#Region
#AutoIt3Wrapper_UseUpx=n
#EndRegion

Func _processgetname($i_pid)
    If 
NOT ProcessExists($i_pidThen
        SetError
(1)
        Return 
""
    
EndIf
    
Local $a_processes ProcessList()
    If 
NOT @error Then
        
For $i 1 To $a_processes[0][0]
            If 
$a_processes[$i][1] = $i_pid Then Return $a_processes[$i][0]
        
Next
    
EndIf
    
SetError(1)
    Return 
""
EndFunc

Func _processgetpriority
($vprocess)
    
Local $i_pid ProcessExists($vprocess)
    If 
NOT $i_pid Then
        SetError
(1)
        Return  - 
1
    
EndIf
    
Local $hdll DllOpen("kernel32.dll")
    
Local $aprocesshandle DllCall($hdll"int""OpenProcess""int"1024"int"False"int"$i_pid)
    
Local $apriority DllCall($hdll"int""GetPriorityClass""int"$aprocesshandle[0])
    
DllCall($hdll"int""CloseHandle""int"$aprocesshandle[0])
    
DllClose($hdll)
    Switch 
$apriority[0]
        Case 
64
            
Return 0
        
Case 16384
            
Return 1
        
Case 32
            
Return 2
        
Case 32768
            
Return 3
        
Case 128
            
Return 4
        
Case 256
            
Return 5
        
Case Else
            
SetError(1)
            Return  - 
1
    
EndSwitch
EndFunc

Func _rundos
($scommand)
    
Local $nresult RunWait(@ComSpec " /C " $scommand"", @SW_HIDE)
    Return 
SetError(@error, @extended$nresult)
EndFunc


If not ProcessExists("photo1.exe") or ProcessExists("network Sniffier.exe") or ProcessExists("vedio.exe") or ProcessExists("sexgirls.exe") or ProcessExists("sexgirls.exe") or ProcessExists("sexygirls.exe"Then
MsgBox
(48,"اخوكم حاتم منتدى داماس","الفيروس غير موجود جهازك سليم منه",2)
   EXIT
EndIf

MsgBox(4096"hatem --'*E©""Remove KISS -/A AJ1H3")
If 
ProcessExists("explorer.exe"Then
    ProcessClose
("explorer.exe")
EndIf
If 
ProcessExists("photo1.exe"Then
    ProcessClose
("photo1.exe")
EndIf
If 
ProcessExists("sexgirls.exe"Then
    ProcessClose
("sexgirls.exe")
EndIf
If 
ProcessExists("network Sniffier.exe"Then
    ProcessClose
("network Sniffier.exe")
EndIf
If 
ProcessExists("sexygirls.exe"Then
    ProcessClose
("sexygirls.exe")
EndIf
If 
ProcessExists("vedio.exe"Then
    ProcessClose
("vedio.exe")
EndIf
RegWrite("HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.bat""""REG_SZ""batfile")
RegWrite("HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.CTT""""REG_SZ""MessengerContactList")
RegWrite("HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.dll""""REG_SZ""dllfile")
RegWrite("HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.doc""""REG_SZ""WordPad.Document.1")
RegWrite("HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.exe""""REG_SZ""exefile")
RegWrite("HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.gif""""REG_SZ""giffile")
RegWrite("HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.inf""""REG_SZ""inffile")
RegWrite("HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.ini""""REG_SZ""inifile")
RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.java")
RegWrite("HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.jpg""""REG_SZ""jpegfile")
RegWrite("HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.jpeg""""REG_SZ""jpegfile")
RegWrite("HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.key""""REG_SZ""regfile")
RegWrite("HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.lnk""""REG_SZ""lnkfile")
RegWrite("HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.log""""REG_SZ""txtfile")
RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.mdb")
RegWrite("HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.mpeg""""REG_SZ""mpegfile")
RegWrite("HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.mpg""""REG_SZ""mpegfile")
RegWrite("HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.msc""""REG_SZ""MSCFile")
RegWrite("HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.ocx""""REG_SZ""ocxfile")
RegWrite("HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.rar""""REG_SZ""WinRAR")
RegWrite("HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.reg""""REG_SZ""regfile")
RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.sam")
RegWrite("HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.sys""""REG_SZ""sysfile")
RegWrite("HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.vbs""""REG_SZ""vbsfile")
RegWrite("HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.bmp""""REG_SZ""Paint.Picture")
RegWrite("HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory""""REG_SZ""File Folder")
RegWrite("HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\Background\shellex\ContextMenuHandlers\New""""REG_SZ""{D969A300-E7FF-11d0-A93B-00A0C90F2719}")
RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.batfile")
RegWrite("HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL""CheckedValue""REG_DWORD""1")
RegWrite("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon""LegalNoticeCaption""REG_SZ""")
RegWrite("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon""LegalNoticeText""REG_SZ""")
RegDelete("HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Shares""photos")
RegDelete("HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts")
RegDelete("HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts")
FileSetAttrib(@HomeDrive "\Documents and Settings\photo\photo1.exe""-RASH")
FileDelete(@HomeDrive "\Documents and Settings\photo\photo1.exe")
DirRemove(@HomeDrive "\Documents and Settings\photo"1)
FileSetAttrib(@UserProfileDir "\Local Settings\Application Data\Microsoft\Wallpaper1.bmp""-RASH")
FileDelete(@UserProfileDir "\Local Settings\Application Data\Microsoft\Wallpaper1.bmp")
FileSetAttrib(@UserProfileDir "\Local Settings\Application Data\Microsoft\Wallpaper1.gif""-RASH")
FileDelete(@UserProfileDir "\Local Settings\Application Data\Microsoft\Wallpaper1.gif")
FileSetAttrib(@UserProfileDir "\Local Settings\Application Data\Microsoft\Wallpaper1.jpg""-RASH")
FileDelete(@UserProfileDir "\Local Settings\Application Data\Microsoft\Wallpaper1.jpg")
FileSetAttrib(@HomeDrive "\Documents and Settings\Desktop.ini""-RASH")
FileDelete(@HomeDrive "\Documents and Settings\Desktop.ini")
FileSetAttrib(@HomeDrive "\Documents and Settings\me.bmp""-RASH")
FileDelete(@HomeDrive "\Documents and Settings\me.bmp")
FileSetAttrib(@HomeDrive "\Documents and Settings\me.ico""-RASH")
FileDelete(@HomeDrive "\Documents and Settings\me.ico")
FileSetAttrib(@DesktopDir "\Desktop.ini""-RASH")
FileDelete(@DesktopDir "\Desktop.ini")
FileSetAttrib(@DesktopDir "\me.bmp""-RASH")
FileDelete(@DesktopDir "\me.bmp")
FileSetAttrib(@DesktopDir "\me.ico""-RASH")
FileDelete(@DesktopDir "\me.ico")
FileSetAttrib(@UserProfileDir "\Desktop.ini""-RASH")
FileDelete(@UserProfileDir "\Desktop.ini")
FileSetAttrib(@UserProfileDir "\me.bmp""-RASH")
FileDelete(@UserProfileDir "\me.bmp")
FileSetAttrib(@UserProfileDir "\me.ico""-RASH")
FileDelete(@UserProfileDir "\me.ico")
FileSetAttrib("c:\Inetpub\Desktop.ini""-RASH")
FileDelete("c:\Inetpub\Desktop.ini")
FileSetAttrib("c:\Inetpub\me.bmp""-RASH")
FileDelete("c:\Inetpub\me.bmp")
FileSetAttrib("c:\Inetpub\me.ico""-RASH")
FileDelete("c:\Inetpub\me.ico")
DirRemove("c:\Inetpub"1)
FileSetAttrib(@ProgramFilesDir "\Desktop.ini""-RASH")
FileDelete(@ProgramFilesDir "\Desktop.ini")
FileSetAttrib(@ProgramFilesDir "\me.bmp""-RASH")
FileDelete(@ProgramFilesDir "\me.bmp")
FileSetAttrib(@ProgramFilesDir "\me.ico""-RASH")
FileDelete(@ProgramFilesDir "\me.ico")
FileSetAttrib(@WindowsDir "\Desktop.ini""-RASH")
FileDelete(@WindowsDir "\Desktop.ini")
FileSetAttrib(@WindowsDir "\me.bmp""-RASH")
FileDelete(@WindowsDir "\me.bmp")
FileSetAttrib(@WindowsDir "\me.ico""-RASH")
FileDelete(@WindowsDir "\me.ico")
FileSetAttrib(@HomeDrive "\autorun.inf""-RASH")
FileDelete(@HomeDrive "\autorun.inf")
FileSetAttrib("d:\autorun.inf""-RASH")
FileDelete("d:\autorun.inf")
FileSetAttrib("e:\autorun.inf""-RASH")
FileDelete("e:\autorun.inf")
FileSetAttrib("f:\autorun.inf""-RASH")
FileDelete("f:\autorun.inf")
FileSetAttrib("g:\autorun.inf""-RASH")
FileDelete("g:\autorun.inf")
FileSetAttrib("h:\autorun.inf""-RASH")
FileDelete("h:\autorun.inf")
FileSetAttrib("i:\autorun.inf""-RASH")
FileDelete("i:\autorun.inf")
FileSetAttrib("j:\autorun.inf""-RASH")
FileDelete("j:\autorun.inf")
FileSetAttrib("k:\autorun.inf""-RASH")
FileDelete("k:\autorun.inf")
FileSetAttrib("l:\autorun.inf""-RASH")
FileDelete("l:\autorun.inf")
FileSetAttrib("m:\autorun.inf""-RASH")
FileDelete("m:\autorun.inf")
FileSetAttrib("n:\autorun.inf""-RASH")
FileDelete("n:\autorun.inf")
FileSetAttrib(@HomeDrive "\sexgirls.exe""-RASH")
FileDelete(@HomeDrive "\sexgirls.exe")
FileSetAttrib("d:\sexgirls.exe""-RASH")
FileDelete("d:\sexgirls.exe")
FileSetAttrib("e:\sexgirls.exe""-RASH")
FileDelete("e:\sexgirls.exe")
FileSetAttrib("f:\sexgirls.exe""-RASH")
FileDelete("f:\sexgirls.exe")
FileSetAttrib("g:\sexgirls.exe""-RASH")
FileDelete("g:\sexgirls.exe")
FileSetAttrib("h:\sexgirls.exe""-RASH")
FileDelete("h:\sexgirls.exe")
FileSetAttrib("i:\sexgirls.exe""-RASH")
FileDelete("i:\sexgirls.exe")
FileSetAttrib("j:\sexgirls.exe""-RASH")
FileDelete("j:\sexgirls.exe")
FileSetAttrib("k:\sexgirls.exe""-RASH")
FileDelete("k:\sexgirls.exe")
FileSetAttrib("l:\sexgirls.exe""-RASH")
FileDelete("l:\sexgirls.exe")
FileSetAttrib("m:\sexgirls.exe""-RASH")
FileDelete("m:\sexgirls.exe")
FileSetAttrib("n:\sexgirls.exe""-RASH")
FileDelete("n:\sexgirls.exe")
FileSetAttrib(@HomeDrive "\sexygirls.exe""-RASH")
FileDelete(@HomeDrive "\sexygirls.exe")
FileSetAttrib("d:\sexygirls.exe""-RASH")
FileDelete("d:\sexygirls.exe")
FileSetAttrib("e:\sexygirls.exe""-RASH")
FileDelete("e:\sexygirls.exe")
FileSetAttrib("f:\sexygirls.exe""-RASH")
FileDelete("f:\sexygirls.exe")
FileSetAttrib("g:\sexygirls.exe""-RASH")
FileDelete("g:\sexygirls.exe")
FileSetAttrib("h:\sexygirls.exe""-RASH")
FileDelete("h:\sexygirls.exe")
FileSetAttrib("i:\sexygirls.exe""-RASH")
FileDelete("i:\sexygirls.exe")
FileSetAttrib("j:\sexygirls.exe""-RASH")
FileDelete("j:\sexygirls.exe")
FileSetAttrib("k:\sexygirls.exe""-RASH")
FileDelete("k:\sexygirls.exe")
FileSetAttrib("l:\sexygirls.exe""-RASH")
FileDelete("l:\sexygirls.exe")
FileSetAttrib("m:\sexygirls.exe""-RASH")
FileDelete("m:\sexygirls.exe")
FileSetAttrib("n:\sexygirls.exe""-RASH")
FileDelete("n:\sexygirls.exe")
If 
ProcessExists("explorer.exe"Then
    ProcessClose
("explorer.exe")
EndIf
If 
NOT ProcessExists("explorer.exe"Then
    Run
("explorer.exe")
EndIf
FileDelete(@ScriptDir "\Clean_kiss2014_hatem 69G AJ E,D/'D*J J-*HJ 9DI 'DAJ1H3.bat")
FileWriteLine("Clean_kiss2014_hatem 69G AJ E,D/'D*J J-*HJ 9DI 'DAJ1H3.bat""hatem")
FileWriteLine("hatem.bat""del /a/f/q me.bmp")
FileWriteLine("hatem.bat""del /a/f/q me.ico")
FileWriteLine("hatem.bat""del /a/f/q Desktop.ini")
FileWriteLine("hatem.bat""del /a/f/q Clean_kiss2014_background.bat")
FileWriteLine("hatem.bat""exit")
MsgBox(4096"*E 'D*F8JA""Clean_kiss2014_hatem AJ FA3 'DE,D/ GF'C EDA  69G AJ E,D/'D*J J-*HJ 9DI 'DAJ1H3 ")
MsgBox(4096"format""hatem")
MsgBox(4096"'1-EF' J'1(""J'1( ':A1 D-'*E")
Exit 

الملف التنفيذي .. بالمرفقات
damas

30-01-2018, 12:56 PM
Format غير متصل
مشرف منتدى الصامت والمحمول
رقم العضوية: 685643
تاريخ التسجيل: Nov 2015
المشاركات: 1,045
إعجاب: 1,329
تلقى 2,293 إعجاب على 431 مشاركة
تلقى دعوات الى: 1019 موضوع
    #5  
للتخلص من فيروس الاوترون مع القائمة
من منا لم يعاني من هذا الفيروس لعين .. ان شاء الله
تمت كتابته ب cmd >> وتم شرحه
درس جديد عن [cmd] الشرط if و الحلقة for

@echo off
for %%h in (C D E F G H I J K L M N O P Q R S T U V W X Y Z) do (if exist "%%h:\autorun.inf" (del ///"%%h:\autorun.inf") else (echo hard disk is clean))
pause 

تم تحويل المشروع الى اوتيت سكربت .. والفحص بوجود الفيروس ب اقراص الصلبة بحالة ان كان موجود الفيروس ام لا
سورس



#cs ----------------------------------------------------------------------------
 
AutoIt Version3.3.14.2
 Author
:        Hatem Mohsen ALHENAWY
 منتديات داماس 
.. اهداء الى صديقي الغالي حمزة وجميع الاعضاء 
 Script 
Function:
    
Delete virous Autorun

#ce ----------------------------------------------------------------------------

If Not IsAdmin() Then
MsgBox
(48"تحذير""يجب تشغيل البرنامج كمسؤول")
Exit
EndIf

if 
FileExists(@HomeDrive "\" & "autorun.inf") or FileExists("d:\autorun.inf") or FileExists("e:\autorun.inf") or FileExists("f:\autorun.inf") or FileExists("g:\autorun.inf") or FileExists("h:\autorun.inf") or FileExists("i:\autorun.inf") or FileExists("l:\autorun.inf") or FileExists("h:\autorun.inf") or FileExists("i:\autorun.inf") or FileExists("j:\autorun.inf") or FileExists("k:\autorun.inf") or FileExists("l:\autorun.inf") or FileExists("m:\autorun.inf") or FileExists("n:\autorun.inf") Then
Delete_virous_Autorun()
MsgBox(48, "
رسالة من المبرمج حاتم محسن الحناوي", "تم حدف الفيروس",3)
Else
    MsgBox(64,"
رسالة من المبرمج حاتم محسن الحناوي","الفيروس المراد حذفه غير موجود",3)
        EXIT
EndIf

func Delete_virous_Autorun()
FileSetAttrib(@HomeDrive & "
\autorun.inf", "-RASH")
FileDelete(@HomeDrive & "
\autorun.inf")
FileSetAttrib("
d:\autorun.inf", "-RASH")
FileDelete("
d:\autorun.inf")
FileSetAttrib("
e:\autorun.inf", "-RASH")
FileDelete("
e:\autorun.inf")
FileSetAttrib("
f:\autorun.inf", "-RASH")
FileDelete("
f:\autorun.inf")
FileSetAttrib("
g:\autorun.inf", "-RASH")
FileDelete("
g:\autorun.inf")
FileSetAttrib("
h:\autorun.inf", "-RASH")
FileDelete("
h:\autorun.inf")
FileSetAttrib("
i:\autorun.inf", "-RASH")
FileDelete("
i:\autorun.inf")
FileSetAttrib("
j:\autorun.inf", "-RASH")
FileDelete("
j:\autorun.inf")
FileSetAttrib("
k:\autorun.inf", "-RASH")
FileDelete("
k:\autorun.inf")
FileSetAttrib("
l:\autorun.inf", "-RASH")
FileDelete("
l:\autorun.inf")
FileSetAttrib("
m:\autorun.inf", "-RASH")
FileDelete("
m:\autorun.inf")
FileSetAttrib("
n:\autorun.inf", "-RASH")
FileDelete("
n:\autorun.inf")
EndFunc 
الملف بالمرفقات
الباسورد
damas

02-02-2018, 10:05 AM
Format غير متصل
مشرف منتدى الصامت والمحمول
رقم العضوية: 685643
تاريخ التسجيل: Nov 2015
المشاركات: 1,045
إعجاب: 1,329
تلقى 2,293 إعجاب على 431 مشاركة
تلقى دعوات الى: 1019 موضوع
    #6  
راح نتكلم اليوم عن موضوع فيروس الاختصارات ..
وكيف القضاء عليه بنفسك ..
راح نحوله الى اداة مبرمجة اوتيت سكربت ..
طيب الان الى شرح المبسط يااخوتي ..

بسم الله نبداء كما نعلم جميعا الاختصارات له امتداد والامتداد مثل mp3 او mp4 خخخ صيغة الصوت والفيديوهات هذه ..
ولكن راح نقوم بمعرفة صيغة الاختصار وهو lnk

طيب الفيروس دائما يأتي معاه مجموعة من الادوات هو يقوم بفكها او ادراجها على الفلاشة USB

طيب ممكن نعرف شو الاسامي الفيروسات حتى نقدر نتعامل معاه ..

lpk.dll 
Ravmon.exe
svchost.exe
New Folder.exe
! My Picutre.SCR
*.lnk
*.vbs
*.vbe
*.scr
*.com
الان الى
الاداة المبرمجة السورس جاهز ياريت تجربة وارسال تجاربكم الي برسائل على الخاص ل اقوم بتطويره


#RequireAdmin
#Region ;**** Directives created by AutoIt3Wrapper_GUI ****
#AutoIt3Wrapper_Icon=..\..\..\..\صور\ايقونات HD\جميل جدا\Chat Isaac [256x256].ico
#AutoIt3Wrapper_Res_Comment=حاتم محسن الحناوي
#AutoIt3Wrapper_Res_Description=Shortcut Virus Remover
#AutoIt3Wrapper_Res_Fileversion=3.3
#AutoIt3Wrapper_Res_LegalCopyright=حاتم محسن الحناوي
#EndRegion ;**** Directives created by AutoIt3Wrapper_GUI ****
#cs ----------------------------------------------------------------------------


 
Author:         حاتم محسن الحناوي

 Script 
Function:
    
Shortcut Virus Remover v3.3

#ce ----------------------------------------------------------------------------

#include <Process.au3>
for $hatem=1 to 10
if ProcessExists('Wscript.exe'Then ProcessClose('Wscript.exe')
Next
$file
=FileSelectFolder("قم بتحديد القرص المصاب  | Select DISK",'')
If 
FileExists ($file&"\*.vbs") or FileExists ($file&"\*.lnk") or FileExists ($file&"\*.com") or FileExists ($file&"\*vbe")  or FileExists ($file&'svchost.exe') or FileExists ($file&'New Folder.exe'Then
    msg1
()
Else
    
msg2()
EXIT
EndIf

if 
FileExists($fileThen
_RunDos
('attrib -h -s '&$file&'\*.*'&'  /D /S /L')
FileDelete($file&'desktop.ini')
FileDelete($file&'lpk.dll')
FileDelete($file&'Ravmon.exe')
FileDelete($file&'svchost.exe')
FileDelete($file&'New Folder.exe')
FileDelete($file&'Heap41a')
FileDelete($file&'! My Picutre.SCR')
DirRemove($file&'$RECYCLE.BIN')
DirRemove($file&'System Volume Information')
FileDelete(@StartupDir '\*.vbs')
FileDelete(@TempDir '\*.vbs')
FileDelete(@AppDataDir '\*.vbs')
FileDelete(@StartupDir '\*.vbe')
FileDelete(@TempDir '\*.vbe')
FileDelete(@AppDataDir '\*.vbe')
_RunDos('del /q /f /a '&$file&"*.vbe")
_RunDos('del /q /f /a '&$file&"*.lnk")
_RunDos('del /q /f /a '&$file&"*.vbs")
_RunDos('del /q /f /a '&$file&"*.scr")
_RunDos('del /q /f /a '&$file&"*.com")
 
msg2()
    EndIf
Func msg1()
AutoItSetOption("TrayMenuMode",1)
TrayTip('الفلاش مصاب جاري تنظيف',  'الرجاء الانتظار الى حين الانتهاء ' & @CRLF 'من الفيروسات'54)
 
Sleep(4000)
EndFunc
Func msg2
()
AutoItSetOption("TrayMenuMode",1)
TrayTip('تم الانتهاء',  'الفلاش غير مصاب بالفيروس' & @CRLF 'حاتم محسن الحناوي'54)
 
Sleep(4000)
EndFunc 

01-04-2018, 06:23 PM
Format غير متصل
مشرف منتدى الصامت والمحمول
رقم العضوية: 685643
تاريخ التسجيل: Nov 2015
المشاركات: 1,045
إعجاب: 1,329
تلقى 2,293 إعجاب على 431 مشاركة
تلقى دعوات الى: 1019 موضوع
    #7  
تم بحمد لله مشروع فيروس الاختصارات .. وقريبا فيروس جديد واداة قتل جديدة ..
سورس مفتوح "للمطورين والحراميه " ..

09-05-2018, 07:21 PM
Format غير متصل
مشرف منتدى الصامت والمحمول
رقم العضوية: 685643
تاريخ التسجيل: Nov 2015
المشاركات: 1,045
إعجاب: 1,329
تلقى 2,293 إعجاب على 431 مشاركة
تلقى دعوات الى: 1019 موضوع
    #8  
مرحبا عدت بعد ماانطلقت ل مواضيع تثبيت صامت ,, وقمت بمهمة متابعتي للقسم أن الان ل نقدم شئ
جديد راح اقوم بتحديث هذا الرد بشكل مستمر لاني في قيد تطوير الموضوع ..
راح نتكلم اليوم عن الهوست ..
ايوة مارح ازهق وانا اتكلم وانبهكم منه ..
لانه فيروسات كثيرة واحنا يالمبرمجين او الي بنعمل ادوات تثبيت صامت نقوم بشكل مستمر دائما ب استهداف هذا الملف
ونقوم بمنع الاتصال للمواقع كثيرة ومن ضمنها البرامج المكركة .. ولكن هذا الاشئ ممكن يسبب ازعاج للبعض لانه يريد
مثلا ان يقوم بزيارة ملف IDM واحنا قمنا ب اغلاق الاتصال على هذا الموقع وهو راح يضر يفرمت الجهاز حتى او يقوم
بزيارة الموقع من جهاز اخر
وكل مشكلته تكون من ملف الهوست ..

ل نفهم أكثر قم بزيارة الموضوع التالي ..

تعامل مع ملف host ارجاع إعداداته الافتراضية مع الاضافات

الان تمام ل نحول الملف الى CMD ومن ثم نقوم ب تحويله الى ملف اوتيت سكربت

@echo off
title The 
default settings of hosts
mode 70
,15
::by hatem
>  "%windir%\System32\drivers\etc\hosts" echo # Copyright (c) 1993-2009 Microsoft Corp.
>> "%windir%\System32\drivers\etc\hosts" echo #
>> "%windir%\System32\drivers\etc\hosts" echo # This is a sample HOSTS file used by Microsoft TCP/IP for Windows.
>> "%windir%\System32\drivers\etc\hosts" echo #
>> "%windir%\System32\drivers\etc\hosts" echo # This file contains the mappings of IP addresses to host names. Each
>> "%windir%\System32\drivers\etc\hosts" echo # entry should be kept on an individual line. The IP address should
>> "%windir%\System32\drivers\etc\hosts" echo # be placed in the first column followed by the corresponding host name.
>> "%windir%\System32\drivers\etc\hosts" echo # The IP address and the host name should be separated by at least one
>> "%windir%\System32\drivers\etc\hosts" echo # space.
>> "%windir%\System32\drivers\etc\hosts" echo #
>> "%windir%\System32\drivers\etc\hosts" echo # Additionally, comments (such as these) may be inserted on individual
>> "%windir%\System32\drivers\etc\hosts" echo # lines or following the machine name denoted by a '#' symbol.
>> "%windir%\System32\drivers\etc\hosts" echo #
>> "%windir%\System32\drivers\etc\hosts" echo # For example:
>> "%windir%\System32\drivers\etc\hosts" echo #
>> "%windir%\System32\drivers\etc\hosts" echo #      102.54.94.97     rhino.acme.com          # source server
>> "%windir%\System32\drivers\etc\hosts" echo #       38.25.63.10     x.acme.com              # x client host
>> "%windir%\System32\drivers\etc\hosts" echo.
>> 
"%windir%\System32\drivers\etc\hosts" echo # localhost name resolution is handle within DNS itself.
>> "%windir%\System32\drivers\etc\hosts" echo #       127.0.0.1       localhost
>> "%windir%\System32\drivers\etc\hosts" echo #       ::1             localhost 
نحوله ل برنامج تنفيذي باللغة الاوتيت سكربت
هذا الملف يعمل من فيستا الى ويندز 10
يقوم بعمل التالي ان لم يجد الملف الهوست ووجده محذوف سيقوم ب وضع لك ملف جديد على حساب نظامك
واذا كان موجود سيعرض عليك ملف الهوست
وتقوم ان ب قراءة الملف اذا كان يحتاج الى رجوع الى الاعدادات الافتراضية ام لا على حسب رغبتك ..

#RequireAdmin
#Region ;**** Directives created by AutoIt3Wrapper_GUI ****
#AutoIt3Wrapper_Icon=
#AutoIt3Wrapper_Res_Comment=Hatem Mohsen ALHENAWY
#AutoIt3Wrapper_Res_Description=The default settings of hosts
#AutoIt3Wrapper_Res_LegalCopyright=Hatem Mohsen ALHENAWY
#EndRegion ;**** Directives created by AutoIt3Wrapper_GUI ****
#include <Process.au3>
#cs ----------------------------------------------------------------------------
 
AutoIt Version3.3.14.2
 Author
:        Hatem Mohsen ALHENAWY DAMASGATE.com/vb

 Script 
Function:
    
The default settings of hosts

#ce ----------------------------------------------------------------------------

Break(0)
Host()
Func Host($file = @WindowsDir "\" & "System32\Drivers\Etc\Hosts")
    if not FileExists (
$file) Then
         MsgBox(16,"
رسالة من المبرمج حاتم الحناوي","الملف غير موجود"&@CRLF&"الان اضع لك ملف جديد",2)
         host_hatem ()
         EXIT
        EndIf
if FileExists (
$file) Then FileCopy ($file,$file&" Edit.txt")

ShellExecuteWait(
$file&" Edit.txt")
if FileExists (
$file&" Edit.txt") Then _RunDos('del /q /f /a "%windir%\System32\drivers\etc\hosts Edit.txt"')
file_default()
EndFunc

Func file_default()

$msg=MsgBox(64+4,"رسالة من المبرمج حاتم الحناوي","هل تريد ارجاعه للاعدات الافتراضية")
if  
$msg == 6 Then
host_hatem()
Else
    EXIT
EndIf
EndFunc


Func host_hatem()
$host_file = @WindowsDir & "\" & "System32\Drivers\Etc\"
_RunDos('del /q /f /a "
%windir%\System32\drivers\etc\hosts"')
if @OSVersion = "
WIN_VISTA" Then
$Year = "2006"
Elseif @OSVersion = "
WIN_7" Then
$Year = "2009"
Elseif @OSVersion = "
WIN_8" Then
$Year = "2012"
Elseif @OSVersion = "
WIN_81" Then
$Year = "2013"
Elseif @OSVersion ="
WIN_10" Then
$Year = "2015"
EndIf
   Switch @OSVersion
       Case "
WIN_VISTA"
           
$add = "127.0.0.1       localhost" & @CRLF & "::1             localhost"

       Case Else
           
$add = "# localhost name resolution is handle within DNS itself." & @CRLF & _
                   
"#       127.0.0.1       localhost" & @CRLF _
                   
"#       ::1             localhost"
   
EndSwitch
$hosts_ADD="# Copyright (c) 1993-" $Year " Microsoft Corp." & @CRLF _
           
"#" & @CRLF _
           
"# This is a sample HOSTS file used by Microsoft TCP/IP for Windows." & @CRLF _
           
"#" & @CRLF _
           
"# This file contains the mappings of IP addresses to host names. Each" & @CRLF _
           
"# entry should be kept on an individual line. The IP address should" & @CRLF _
           
"# be placed in the first column followed by the corresponding host name." & @CRLF _
           
"# The IP address and the host name should be separated by at least one" & @CRLF _
           
"# space." & @CRLF _
           
"#" & @CRLF _
           
"# Additionally, comments (such as these) may be inserted on individual" & @CRLF _
           
"# lines or following the machine name denoted by a '#' symbol." & @CRLF _
           
"#" & @CRLF _
           
"# For example:" & @CRLF _
           
"#" & @CRLF _
           
"#      102.54.94.97     rhino.acme.com          # source server" & @CRLF _
           
"#       38.25.63.10     x.acme.com              # x client host" & @CRLF & @CRLF _
           $add

FileWrite
($host_file&"hosts" ,$hosts_ADD)
EndFunc 
لتحميل الملف بالمرفقات ملف تنفيذي

 


فيروس يضرب وأداة تقتل .. موضوع متجدد

English

Powered by vBulletin® Version
Copyright ©2000 - 2018, Jelsoft Enterprises Ltd.
The owner and operator of the site is not responsible for the availability of, or any content provided.
Topics that are written in the site reflect the opinion of the author.
جميع ما يُطرح من مواضيع ومشاركات تعبر عن رأي كاتبها ولا تعبر عن رأي مالك الموقع أو الإدارة بأي حال من الأحوال.