العودة   منتديات داماس > انظمة التشغيل والاوفيس > المنتدى العام لتصميم الأسطوانة > ورشة عمل الصامت والمحمول
تحديث الصفحة فيروس يضرب وأداة تقتل .. موضوع متجدد
التسجيل تسجيل الدخول
 
 

ورشة عمل الصامت والمحمول دروس وشروحات عمل البرامج الصامتة والمحمولة

 
28-01-2018, 01:12 PM
Format
مشرف منتدى الصامت والمحمول
رقم العضوية: 685643
تاريخ التسجيل: Nov 2015
المشاركات: 1,099
  
فيروس يضرب وأداة تقتل .. موضوع متجدد

فيروس يضرب واداة تقتل عنوان .. ل قتل الفيروسات بشكل يدوي مبرمجة باللغة اوتيت سكربت والباتشات
فيروس يضرب وأداة تقتل .. موضوع متجدد

الحمد لله رب العالمين .. الذي خلقني بهذا العلم ل فيد نفسي والمسلمين ..
وان احاول كل مجهودي ان اعلمكم كل الطرق ل حذف الفيروسات مع السورس الي اقدمها لكم انا شخصيا ..
وراح يكون الموضوع مغلق بهدف لااريد مشاركات سوا من المشرفين او الادارة فقط ..
حتى يكون ضمان المحتوى سليم ولااضر به اي شخص منكم ..
هذا والله أعلم والله الموفق لي ولكم ..
الملفات عليها باسورد : damas




28-01-2018, 01:14 PM
Format
مشرف منتدى الصامت والمحمول
رقم العضوية: 685643
تاريخ التسجيل: Nov 2015
المشاركات: 1,099
  
المشاركة الأصلية كتبت بواسطة Dzhamza 
السلام عليكم ورحمة الله تعالى وبركاته

فيروس الاحتصارات هو مجرد تلغيم بسيط يفسد العمل الصحيح أو السير الصحيح للويندوز
الحمد لله أن صانعه لم يدرج فيه فك الشفرات وارسالها إليه
بمعنى سرقة كلمات السر
وهناك حركة بسيطة لو تم تحديث هذا الفيروس لهلك ملايين الحواسيب في العالم ولسُرقت كلمات السر المحفوظة على المتصفحات.

مكونات فيروس الاختصار
هي مجلدين لا أكثر يكونان محفوظان في القرص الذي يشمل الويندوز وبصفة مخفية
أسماء المجلدان
c:\google
و
c:\skypee

طريقتي في التعامل مع هذا الفيروس هو عمل باتش صغير جداً ومحتواه كالتالي
TASKKILL /F /IM 
AutoIt3.exe
del "C:\google" /f /q
del "C:\skypee" /f /q
بهذه الطريقة يمكن ايقاف الفيروس وحذفه مع مجلداته
لكن يبقى الخطر قائم
لأن الفيروس يمن استرداد نفسه عند اعادة تشغيل الويندوز لأن مساراته في الرجستري لا تزال محفوظة
هناك أدوات وبرامج يكنها فعل ذلك لربح وقت البحث
بعد بحثي في عدة منتديات لمواقع برامج الحماية وجدت هاته المسارات التي تفيد بحذفه من الجذور بمعنى الأيقاف وحذف المجلدات ومسارات الرجستري

هذه هي المسارات

 '32 bit Registry Entries

   "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.a3x\OpenWithList\a"
"HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\AntiUsbWorm"
"HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\AntiWormUpdate"

"HKEY_USERS\S-1-5-21-2959341437-1417137130-3415374032-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.a3x\OpenWithList\a"

"HKEY_USERS\S-1-5-21-2959341437-1417137130-3415374032-1000\Software\Microsoft\Windows\CurrentVersion\Run\AntiUsbWorm"

"HKEY_USERS\S-1-5-21-2959341437-1417137130-3415374032-1000\Software\Microsoft\Windows\CurrentVersion\Run\AntiWormUpdate"
  
    '64 bit Registry Entries

"HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run\AntiUsbWorm"

"HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run\AntiWormUpdate"

 "HKEY_USERS\S-1-5-21-3976834753-4095289343-2271009253\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.a3x\OpenWithList\a"

"HKEY_USERS\S-1-5-21-3976834753-4095289343-2271009253\Software\Microsoft\Windows\CurrentVersion\Run\AntiUsbWorm"

"HKEY_USERS\S-1-5-21-3976834753-4095289343-2271009253\Software\Microsoft\Windows\CurrentVersion\Run\AntiWormUpdate"
هنا عن نفسي أمسح كل هذا يدوياً
إلى خبراء الباتش يمكن من أحدكم عمل باتش كامل لحذف الفيروس من الجذور

بهذه الطريقة أنا كمبتدئ في الحماية كنت ولا أزال أفعلها في المحل مع الحواسيب التي لا داعي للفرمطة الكلية وتجنب تنزيل ويندوز جديد


ملاحظة: في بعض الحواسيب يكون هذا الفيروس قد قام بتعطيل عمل الدوس (موجه الأوامر)
فعلينا في هذه اللحظة اعادة تشغيل الجهاز والولوج إلى وضع الأمان

يتبع.....

هذا الكلام للغالي ومشرفنا حمزة

الان راح احوله الى صيغة AU3 على نفس لغة تم صنع الفيروس




#cs ----------------------------------------------------------------------------
 AutoIt Version3.3.14.2
 Author:        Hatem Mohsen ALHENAWY AND Dzhamza

 Script Function:
    delete virus skypee

#ce ----------------------------------------------------------------------------
If Not IsAdmin() Then
MsgBox(48"تحذير""يجب تشغيل البرنامج كمسؤول")
Exit
EndIf

if ProcessExists('AutoIt3.exe') or ProcessExists('google.exe') or ProcessExists('skypee.exe'Then
$hatem=3
for $Dzhamza=1 to $hatem
        ProcessClose('google.exe')
        ProcessClose('skypee.exe')
        ProcessClose('AutoIt3.exe')
        FileDelete(@HomeDrive "\" & "skypee.exe")
        FileDelete(@HomeDrive & "\" & "google.exe")
Next
if @OSArch = "X86" Then
    MsgBox(0,"نظامك","X86",2)
        RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.a3x\OpenWithList\a")
        RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\AntiUsbWorm")
        RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\AntiWormUpdate")
        RegDelete("HKEY_USERS\S-1-5-21-2959341437-1417137130-3415374032-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.a3x\OpenWithList\a")
        RegDelete("HKEY_USERS\S-1-5-21-2959341437-1417137130-3415374032-1000\Software\Microsoft\Windows\CurrentVersion\Run\AntiUsbWorm")
        RegDelete("HKEY_USERS\S-1-5-21-2959341437-1417137130-3415374032-1000\Software\Microsoft\Windows\CurrentVersion\Run\AntiWormUpdate")
Else
    MsgBox(0,"نظامك","X64",2)
    RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run\AntiUsbWorm")
    RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run\AntiWormUpdate")
    RegDelete("HKEY_USERS\S-1-5-21-3976834753-4095289343-2271009253\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.a3x\OpenWithList\a")
    RegDelete("HKEY_USERS\S-1-5-21-3976834753-4095289343-2271009253\Software\Microsoft\Windows\CurrentVersion\Run\AntiUsbWorm")
    RegDelete("HKEY_USERS\S-1-5-21-3976834753-4095289343-2271009253\Software\Microsoft\Windows\CurrentVersion\Run\AntiWormUpdate")

EndIf

Else
        MsgBox(64,"رسالة من المبرمج","الفيروس المراد اغلاقه غير موجود")
        EXIT
        EndIf 

الملف التنفيذي
الباسورد
damas

29-01-2018, 08:33 PM
Format
مشرف منتدى الصامت والمحمول
رقم العضوية: 685643
تاريخ التسجيل: Nov 2015
المشاركات: 1,099
  
اما عن فيروس اليوم راح نتكلم عنه
Hotfix فيروس متنقل عبر التواصل الاجتماعي .. والروابط المزعجة والاداة مفتوحة المصدر تكشف لكم
ان كان موجود بحاسوبكم ام لا ..


#include <Process.au3>
$false false
if ProcessExists("hotfix.exe"Then $false true
If ProcessExists("gog.exe"Then $false true
if $false == True Then
    MsgBox(0"تحذير HaTeM""الفيروس موجود")
    _RunDOS ('taskkill /f /im "explorer.exe"')
    _RunDOS ('taskkill /f /t /im "hotfix.exe"')
    _RunDOS ('taskkill /f /t /im "gog.exe"')
    _RunDOS ('del /f /q /a "%UserProfile%\Application Data\gog.exe"')
    _RunDOS ('del /f /q /a "%UserProfile%\Application Data\cleanthis.exe"')
    _RunDOS ('del /f /q /a "%UserProfile%\Application Data\install"')
    _RunDOS ('del /f /q /a "%temp%"')
RegDelete("HKEY_CURRENT_USER\Software\PAV")
RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run “cleanthis”")
RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon “Shell” = “%Documents and Settings%\[UserName]\Application Data\gog.exe”")
Run ("explorer.exe")
MsgBox(0"تحذير HaTeM""تم حدف الفيروس")
MsgBox(0"تحذير HaTeM""قم إعادة التشغيل الجهاز")
MsgBox(0"حاتم محسن الحناوي""اللهم أرحم وأغفر لحاتم ولوالديه ولجميع المسلمين")
MsgBox(0"للتواصل ""damas.com")
Else
    MsgBox(0"تحذير HaTeM""الفيروس غير موجود")
    MsgBox(0"للتواصل ""damas.com")
EndIf 

الملف تنفيذي بالمرفقات الباسورد
damas

30-01-2018, 09:41 AM
Format
مشرف منتدى الصامت والمحمول
رقم العضوية: 685643
تاريخ التسجيل: Nov 2015
المشاركات: 1,099
  
فيروس يضرب الامتدادت بشكل عام والاصابة تكون لكل الامتدادات والعمل من خلال هذا الاشئ
لابد من تحويل الملف التنفيذي من exe الى com تنفيذي
ويأسفني هذا الفيروس انتشر ف سنة 2014 وكنت عامل اله مضاد بالبرمجة هذه ومبرمج الفيروس ايضا فلسطيني
كانت لغة المبرمجة بالفيروس بالفيجول بيسك ..
والحمد لله قدرت اعمل المضاد اله ..

والان الى الكود



#Region
#AutoIt3Wrapper_UseUpx=n
#EndRegion

Func _processgetname($i_pid)
    If NOT ProcessExists($i_pidThen
        SetError(1)
        Return ""
    EndIf
    Local $a_processes ProcessList()
    If NOT @error Then
        For $i 1 To $a_processes[0][0]
            If $a_processes[$i][1] = $i_pid Then Return $a_processes[$i][0]
        Next
    EndIf
    SetError(1)
    Return ""
EndFunc

Func _processgetpriority($vprocess)
    Local $i_pid ProcessExists($vprocess)
    If NOT $i_pid Then
        SetError(1)
        Return  - 1
    EndIf
    Local $hdll DllOpen("kernel32.dll")
    Local $aprocesshandle DllCall($hdll"int""OpenProcess""int"1024"int"False"int"$i_pid)
    Local $apriority DllCall($hdll"int""GetPriorityClass""int"$aprocesshandle[0])
    DllCall($hdll"int""CloseHandle""int"$aprocesshandle[0])
    DllClose($hdll)
    Switch $apriority[0]
        Case 64
            Return 0
        Case 16384
            Return 1
        Case 32
            Return 2
        Case 32768
            Return 3
        Case 128
            Return 4
        Case 256
            Return 5
        Case Else
            SetError(1)
            Return  - 1
    EndSwitch
EndFunc

Func _rundos($scommand)
    Local $nresult RunWait(@ComSpec " /C " $scommand"", @SW_HIDE)
    Return SetError(@error, @extended$nresult)
EndFunc


If not ProcessExists("photo1.exe") or ProcessExists("network Sniffier.exe") or ProcessExists("vedio.exe") or ProcessExists("sexgirls.exe") or ProcessExists("sexgirls.exe") or ProcessExists("sexygirls.exe"Then
MsgBox(48,"اخوكم حاتم منتدى داماس","الفيروس غير موجود جهازك سليم منه",2)
   EXIT
EndIf

MsgBox(4096"hatem --'*E©""Remove KISS -/A AJ1H3")
If ProcessExists("explorer.exe"Then
    ProcessClose("explorer.exe")
EndIf
If ProcessExists("photo1.exe"Then
    ProcessClose("photo1.exe")
EndIf
If ProcessExists("sexgirls.exe"Then
    ProcessClose("sexgirls.exe")
EndIf
If ProcessExists("network Sniffier.exe"Then
    ProcessClose("network Sniffier.exe")
EndIf
If ProcessExists("sexygirls.exe"Then
    ProcessClose("sexygirls.exe")
EndIf
If ProcessExists("vedio.exe"Then
    ProcessClose("vedio.exe")
EndIf
RegWrite("HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.bat""""REG_SZ""batfile")
RegWrite("HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.CTT""""REG_SZ""MessengerContactList")
RegWrite("HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.dll""""REG_SZ""dllfile")
RegWrite("HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.doc""""REG_SZ""WordPad.Document.1")
RegWrite("HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.exe""""REG_SZ""exefile")
RegWrite("HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.gif""""REG_SZ""giffile")
RegWrite("HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.inf""""REG_SZ""inffile")
RegWrite("HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.ini""""REG_SZ""inifile")
RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.java")
RegWrite("HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.jpg""""REG_SZ""jpegfile")
RegWrite("HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.jpeg""""REG_SZ""jpegfile")
RegWrite("HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.key""""REG_SZ""regfile")
RegWrite("HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.lnk""""REG_SZ""lnkfile")
RegWrite("HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.log""""REG_SZ""txtfile")
RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.mdb")
RegWrite("HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.mpeg""""REG_SZ""mpegfile")
RegWrite("HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.mpg""""REG_SZ""mpegfile")
RegWrite("HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.msc""""REG_SZ""MSCFile")
RegWrite("HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.ocx""""REG_SZ""ocxfile")
RegWrite("HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.rar""""REG_SZ""WinRAR")
RegWrite("HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.reg""""REG_SZ""regfile")
RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.sam")
RegWrite("HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.sys""""REG_SZ""sysfile")
RegWrite("HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.vbs""""REG_SZ""vbsfile")
RegWrite("HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.bmp""""REG_SZ""Paint.Picture")
RegWrite("HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory""""REG_SZ""File Folder")
RegWrite("HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\Background\shellex\ContextMenuHandlers\New""""REG_SZ""{D969A300-E7FF-11d0-A93B-00A0C90F2719}")
RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.batfile")
RegWrite("HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL""CheckedValue""REG_DWORD""1")
RegWrite("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon""LegalNoticeCaption""REG_SZ""")
RegWrite("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon""LegalNoticeText""REG_SZ""")
RegDelete("HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Shares""photos")
RegDelete("HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts")
RegDelete("HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts")
FileSetAttrib(@HomeDrive "\Documents and Settings\photo\photo1.exe""-RASH")
FileDelete(@HomeDrive "\Documents and Settings\photo\photo1.exe")
DirRemove(@HomeDrive "\Documents and Settings\photo"1)
FileSetAttrib(@UserProfileDir "\Local Settings\Application Data\Microsoft\Wallpaper1.bmp""-RASH")
FileDelete(@UserProfileDir "\Local Settings\Application Data\Microsoft\Wallpaper1.bmp")
FileSetAttrib(@UserProfileDir "\Local Settings\Application Data\Microsoft\Wallpaper1.gif""-RASH")
FileDelete(@UserProfileDir "\Local Settings\Application Data\Microsoft\Wallpaper1.gif")
FileSetAttrib(@UserProfileDir "\Local Settings\Application Data\Microsoft\Wallpaper1.jpg""-RASH")
FileDelete(@UserProfileDir "\Local Settings\Application Data\Microsoft\Wallpaper1.jpg")
FileSetAttrib(@HomeDrive "\Documents and Settings\Desktop.ini""-RASH")
FileDelete(@HomeDrive "\Documents and Settings\Desktop.ini")
FileSetAttrib(@HomeDrive "\Documents and Settings\me.bmp""-RASH")
FileDelete(@HomeDrive "\Documents and Settings\me.bmp")
FileSetAttrib(@HomeDrive "\Documents and Settings\me.ico""-RASH")
FileDelete(@HomeDrive "\Documents and Settings\me.ico")
FileSetAttrib(@DesktopDir "\Desktop.ini""-RASH")
FileDelete(@DesktopDir "\Desktop.ini")
FileSetAttrib(@DesktopDir "\me.bmp""-RASH")
FileDelete(@DesktopDir "\me.bmp")
FileSetAttrib(@DesktopDir "\me.ico""-RASH")
FileDelete(@DesktopDir "\me.ico")
FileSetAttrib(@UserProfileDir "\Desktop.ini""-RASH")
FileDelete(@UserProfileDir "\Desktop.ini")
FileSetAttrib(@UserProfileDir "\me.bmp""-RASH")
FileDelete(@UserProfileDir "\me.bmp")
FileSetAttrib(@UserProfileDir "\me.ico""-RASH")
FileDelete(@UserProfileDir "\me.ico")
FileSetAttrib("c:\Inetpub\Desktop.ini""-RASH")
FileDelete("c:\Inetpub\Desktop.ini")
FileSetAttrib("c:\Inetpub\me.bmp""-RASH")
FileDelete("c:\Inetpub\me.bmp")
FileSetAttrib("c:\Inetpub\me.ico""-RASH")
FileDelete("c:\Inetpub\me.ico")
DirRemove("c:\Inetpub"1)
FileSetAttrib(@ProgramFilesDir "\Desktop.ini""-RASH")
FileDelete(@ProgramFilesDir "\Desktop.ini")
FileSetAttrib(@ProgramFilesDir "\me.bmp""-RASH")
FileDelete(@ProgramFilesDir "\me.bmp")
FileSetAttrib(@ProgramFilesDir "\me.ico""-RASH")
FileDelete(@ProgramFilesDir "\me.ico")
FileSetAttrib(@WindowsDir "\Desktop.ini""-RASH")
FileDelete(@WindowsDir "\Desktop.ini")
FileSetAttrib(@WindowsDir "\me.bmp""-RASH")
FileDelete(@WindowsDir "\me.bmp")
FileSetAttrib(@WindowsDir "\me.ico""-RASH")
FileDelete(@WindowsDir "\me.ico")
FileSetAttrib(@HomeDrive "\autorun.inf""-RASH")
FileDelete(@HomeDrive "\autorun.inf")
FileSetAttrib("d:\autorun.inf""-RASH")
FileDelete("d:\autorun.inf")
FileSetAttrib("e:\autorun.inf""-RASH")
FileDelete("e:\autorun.inf")
FileSetAttrib("f:\autorun.inf""-RASH")
FileDelete("f:\autorun.inf")
FileSetAttrib("g:\autorun.inf""-RASH")
FileDelete("g:\autorun.inf")
FileSetAttrib("h:\autorun.inf""-RASH")
FileDelete("h:\autorun.inf")
FileSetAttrib("i:\autorun.inf""-RASH")
FileDelete("i:\autorun.inf")
FileSetAttrib("j:\autorun.inf""-RASH")
FileDelete("j:\autorun.inf")
FileSetAttrib("k:\autorun.inf""-RASH")
FileDelete("k:\autorun.inf")
FileSetAttrib("l:\autorun.inf""-RASH")
FileDelete("l:\autorun.inf")
FileSetAttrib("m:\autorun.inf""-RASH")
FileDelete("m:\autorun.inf")
FileSetAttrib("n:\autorun.inf""-RASH")
FileDelete("n:\autorun.inf")
FileSetAttrib(@HomeDrive "\sexgirls.exe""-RASH")
FileDelete(@HomeDrive "\sexgirls.exe")
FileSetAttrib("d:\sexgirls.exe""-RASH")
FileDelete("d:\sexgirls.exe")
FileSetAttrib("e:\sexgirls.exe""-RASH")
FileDelete("e:\sexgirls.exe")
FileSetAttrib("f:\sexgirls.exe""-RASH")
FileDelete("f:\sexgirls.exe")
FileSetAttrib("g:\sexgirls.exe""-RASH")
FileDelete("g:\sexgirls.exe")
FileSetAttrib("h:\sexgirls.exe""-RASH")
FileDelete("h:\sexgirls.exe")
FileSetAttrib("i:\sexgirls.exe""-RASH")
FileDelete("i:\sexgirls.exe")
FileSetAttrib("j:\sexgirls.exe""-RASH")
FileDelete("j:\sexgirls.exe")
FileSetAttrib("k:\sexgirls.exe""-RASH")
FileDelete("k:\sexgirls.exe")
FileSetAttrib("l:\sexgirls.exe""-RASH")
FileDelete("l:\sexgirls.exe")
FileSetAttrib("m:\sexgirls.exe""-RASH")
FileDelete("m:\sexgirls.exe")
FileSetAttrib("n:\sexgirls.exe""-RASH")
FileDelete("n:\sexgirls.exe")
FileSetAttrib(@HomeDrive "\sexygirls.exe""-RASH")
FileDelete(@HomeDrive "\sexygirls.exe")
FileSetAttrib("d:\sexygirls.exe""-RASH")
FileDelete("d:\sexygirls.exe")
FileSetAttrib("e:\sexygirls.exe""-RASH")
FileDelete("e:\sexygirls.exe")
FileSetAttrib("f:\sexygirls.exe""-RASH")
FileDelete("f:\sexygirls.exe")
FileSetAttrib("g:\sexygirls.exe""-RASH")
FileDelete("g:\sexygirls.exe")
FileSetAttrib("h:\sexygirls.exe""-RASH")
FileDelete("h:\sexygirls.exe")
FileSetAttrib("i:\sexygirls.exe""-RASH")
FileDelete("i:\sexygirls.exe")
FileSetAttrib("j:\sexygirls.exe""-RASH")
FileDelete("j:\sexygirls.exe")
FileSetAttrib("k:\sexygirls.exe""-RASH")
FileDelete("k:\sexygirls.exe")
FileSetAttrib("l:\sexygirls.exe""-RASH")
FileDelete("l:\sexygirls.exe")
FileSetAttrib("m:\sexygirls.exe""-RASH")
FileDelete("m:\sexygirls.exe")
FileSetAttrib("n:\sexygirls.exe""-RASH")
FileDelete("n:\sexygirls.exe")
If ProcessExists("explorer.exe"Then
    ProcessClose("explorer.exe")
EndIf
If NOT ProcessExists("explorer.exe"Then
    Run("explorer.exe")
EndIf
FileDelete(@ScriptDir "\Clean_kiss2014_hatem 69G AJ E,D/'D*J J-*HJ 9DI 'DAJ1H3.bat")
FileWriteLine("Clean_kiss2014_hatem 69G AJ E,D/'D*J J-*HJ 9DI 'DAJ1H3.bat""hatem")
FileWriteLine("hatem.bat""del /a/f/q me.bmp")
FileWriteLine("hatem.bat""del /a/f/q me.ico")
FileWriteLine("hatem.bat""del /a/f/q Desktop.ini")
FileWriteLine("hatem.bat""del /a/f/q Clean_kiss2014_background.bat")
FileWriteLine("hatem.bat""exit")
MsgBox(4096"*E 'D*F8JA""Clean_kiss2014_hatem AJ FA3 'DE,D/ GF'C EDA  69G AJ E,D/'D*J J-*HJ 9DI 'DAJ1H3 ")
MsgBox(4096"format""hatem")
MsgBox(4096"'1-EF' J'1(""J'1( ':A1 D-'*E")
Exit 

الملف التنفيذي .. بالمرفقات
damas

30-01-2018, 12:56 PM
Format
مشرف منتدى الصامت والمحمول
رقم العضوية: 685643
تاريخ التسجيل: Nov 2015
المشاركات: 1,099
  
للتخلص من فيروس الاوترون مع القائمة
من منا لم يعاني من هذا الفيروس لعين .. ان شاء الله
تمت كتابته ب cmd >> وتم شرحه
درس جديد عن [cmd] الشرط if و الحلقة for

@echo off
for %%h in (C D E F G H I J K L M N O P Q R S T U V W X Y Z) do (if exist "%%h:\autorun.inf" (del ///"%%h:\autorun.inf") else (echo hard disk is clean))
pause 

تم تحويل المشروع الى اوتيت سكربت .. والفحص بوجود الفيروس ب اقراص الصلبة بحالة ان كان موجود الفيروس ام لا
سورس



#cs ----------------------------------------------------------------------------
 AutoIt Version3.3.14.2
 Author:        Hatem Mohsen ALHENAWY
 منتديات داماس .. اهداء الى صديقي الغالي حمزة وجميع الاعضاء 
 Script Function:
    Delete virous Autorun

#ce ----------------------------------------------------------------------------

If Not IsAdmin() Then
MsgBox(48"تحذير""يجب تشغيل البرنامج كمسؤول")
Exit
EndIf

if FileExists(@HomeDrive "\" & "autorun.inf") or FileExists("d:\autorun.inf") or FileExists("e:\autorun.inf") or FileExists("f:\autorun.inf") or FileExists("g:\autorun.inf") or FileExists("h:\autorun.inf") or FileExists("i:\autorun.inf") or FileExists("l:\autorun.inf") or FileExists("h:\autorun.inf") or FileExists("i:\autorun.inf") or FileExists("j:\autorun.inf") or FileExists("k:\autorun.inf") or FileExists("l:\autorun.inf") or FileExists("m:\autorun.inf") or FileExists("n:\autorun.inf") Then
Delete_virous_Autorun()
MsgBox(48, "رسالة من المبرمج حاتم محسن الحناوي", "تم حدف الفيروس",3)
Else
    MsgBox(64,"رسالة من المبرمج حاتم محسن الحناوي","الفيروس المراد حذفه غير موجود",3)
        EXIT
EndIf

func Delete_virous_Autorun()
FileSetAttrib(@HomeDrive & "\autorun.inf", "-RASH")
FileDelete(@HomeDrive & "\autorun.inf")
FileSetAttrib("d:\autorun.inf", "-RASH")
FileDelete("d:\autorun.inf")
FileSetAttrib("e:\autorun.inf", "-RASH")
FileDelete("e:\autorun.inf")
FileSetAttrib("f:\autorun.inf", "-RASH")
FileDelete("f:\autorun.inf")
FileSetAttrib("g:\autorun.inf", "-RASH")
FileDelete("g:\autorun.inf")
FileSetAttrib("h:\autorun.inf", "-RASH")
FileDelete("h:\autorun.inf")
FileSetAttrib("i:\autorun.inf", "-RASH")
FileDelete("i:\autorun.inf")
FileSetAttrib("j:\autorun.inf", "-RASH")
FileDelete("j:\autorun.inf")
FileSetAttrib("k:\autorun.inf", "-RASH")
FileDelete("k:\autorun.inf")
FileSetAttrib("l:\autorun.inf", "-RASH")
FileDelete("l:\autorun.inf")
FileSetAttrib("m:\autorun.inf", "-RASH")
FileDelete("m:\autorun.inf")
FileSetAttrib("n:\autorun.inf", "-RASH")
FileDelete("n:\autorun.inf")
EndFunc 
الملف بالمرفقات
الباسورد
damas

02-02-2018, 10:05 AM
Format
مشرف منتدى الصامت والمحمول
رقم العضوية: 685643
تاريخ التسجيل: Nov 2015
المشاركات: 1,099
  
راح نتكلم اليوم عن موضوع فيروس الاختصارات ..
وكيف القضاء عليه بنفسك ..
راح نحوله الى اداة مبرمجة اوتيت سكربت ..
طيب الان الى شرح المبسط يااخوتي ..

بسم الله نبداء كما نعلم جميعا الاختصارات له امتداد والامتداد مثل mp3 او mp4 خخخ صيغة الصوت والفيديوهات هذه ..
ولكن راح نقوم بمعرفة صيغة الاختصار وهو lnk

طيب الفيروس دائما يأتي معاه مجموعة من الادوات هو يقوم بفكها او ادراجها على الفلاشة USB

طيب ممكن نعرف شو الاسامي الفيروسات حتى نقدر نتعامل معاه ..

lpk.dll 
Ravmon.exe
svchost.exe
New Folder.exe
! My Picutre.SCR
*.lnk
*.vbs
*.vbe
*.scr
*.com
الان الى
الاداة المبرمجة السورس جاهز ياريت تجربة وارسال تجاربكم الي برسائل على الخاص ل اقوم بتطويره


#RequireAdmin
#Region ;**** Directives created by AutoIt3Wrapper_GUI ****
#AutoIt3Wrapper_Icon=..\..\..\..\صور\ايقونات HD\جميل جدا\Chat Isaac [256x256].ico
#AutoIt3Wrapper_Res_Comment=حاتم محسن الحناوي
#AutoIt3Wrapper_Res_Description=Shortcut Virus Remover
#AutoIt3Wrapper_Res_Fileversion=3.3
#AutoIt3Wrapper_Res_LegalCopyright=حاتم محسن الحناوي
#EndRegion ;**** Directives created by AutoIt3Wrapper_GUI ****
#cs ----------------------------------------------------------------------------


 Author:         حاتم محسن الحناوي

 Script Function:
    Shortcut Virus Remover v3.3

#ce ----------------------------------------------------------------------------

#include <Process.au3>
for $hatem=1 to 10
if ProcessExists('Wscript.exe'Then ProcessClose('Wscript.exe')
Next
$file=FileSelectFolder("قم بتحديد القرص المصاب  | Select DISK",'')
If FileExists ($file&"\*.vbs") or FileExists ($file&"\*.lnk") or FileExists ($file&"\*.com") or FileExists ($file&"\*vbe")  or FileExists ($file&'svchost.exe') or FileExists ($file&'New Folder.exe'Then
    msg1()
Else
    msg2()
EXIT
EndIf

if FileExists($fileThen
_RunDos('attrib -h -s '&$file&'\*.*'&'  /D /S /L')
FileDelete($file&'desktop.ini')
FileDelete($file&'lpk.dll')
FileDelete($file&'Ravmon.exe')
FileDelete($file&'svchost.exe')
FileDelete($file&'New Folder.exe')
FileDelete($file&'Heap41a')
FileDelete($file&'! My Picutre.SCR')
DirRemove($file&'$RECYCLE.BIN')
DirRemove($file&'System Volume Information')
FileDelete(@StartupDir '\*.vbs')
FileDelete(@TempDir '\*.vbs')
FileDelete(@AppDataDir '\*.vbs')
FileDelete(@StartupDir '\*.vbe')
FileDelete(@TempDir '\*.vbe')
FileDelete(@AppDataDir '\*.vbe')
_RunDos('del /q /f /a '&$file&"*.vbe")
_RunDos('del /q /f /a '&$file&"*.lnk")
_RunDos('del /q /f /a '&$file&"*.vbs")
_RunDos('del /q /f /a '&$file&"*.scr")
_RunDos('del /q /f /a '&$file&"*.com")
 msg2()
    EndIf
Func msg1()
AutoItSetOption("TrayMenuMode",1)
TrayTip('الفلاش مصاب جاري تنظيف',  'الرجاء الانتظار الى حين الانتهاء ' & @CRLF 'من الفيروسات'54)
 Sleep(4000)
EndFunc
Func msg2()
AutoItSetOption("TrayMenuMode",1)
TrayTip('تم الانتهاء',  'الفلاش غير مصاب بالفيروس' & @CRLF 'حاتم محسن الحناوي'54)
 Sleep(4000)
EndFunc 

01-04-2018, 06:23 PM
Format
مشرف منتدى الصامت والمحمول
رقم العضوية: 685643
تاريخ التسجيل: Nov 2015
المشاركات: 1,099
  
تم بحمد لله مشروع فيروس الاختصارات .. وقريبا فيروس جديد واداة قتل جديدة ..
سورس مفتوح "للمطورين والحراميه " ..

09-05-2018, 07:21 PM
Format
مشرف منتدى الصامت والمحمول
رقم العضوية: 685643
تاريخ التسجيل: Nov 2015
المشاركات: 1,099
  
مرحبا عدت بعد ماانطلقت ل مواضيع تثبيت صامت ,, وقمت بمهمة متابعتي للقسم أن الان ل نقدم شئ
جديد راح اقوم بتحديث هذا الرد بشكل مستمر لاني في قيد تطوير الموضوع ..
راح نتكلم اليوم عن الهوست ..
ايوة مارح ازهق وانا اتكلم وانبهكم منه ..
لانه فيروسات كثيرة واحنا يالمبرمجين او الي بنعمل ادوات تثبيت صامت نقوم بشكل مستمر دائما ب استهداف هذا الملف
ونقوم بمنع الاتصال للمواقع كثيرة ومن ضمنها البرامج المكركة .. ولكن هذا الاشئ ممكن يسبب ازعاج للبعض لانه يريد
مثلا ان يقوم بزيارة ملف IDM واحنا قمنا ب اغلاق الاتصال على هذا الموقع وهو راح يضر يفرمت الجهاز حتى او يقوم
بزيارة الموقع من جهاز اخر
وكل مشكلته تكون من ملف الهوست ..

ل نفهم أكثر قم بزيارة الموضوع التالي ..

https://www.damasgate.com/vb/t408898/

الان تمام ل نحول الملف الى CMD ومن ثم نقوم ب تحويله الى ملف اوتيت سكربت

@echo off
title The default settings of hosts
mode 70,15
::by hatem
>  "%windir%\System32\drivers\etc\hosts" echo # Copyright (c) 1993-2009 Microsoft Corp.
>> "%windir%\System32\drivers\etc\hosts" echo #
>> "%windir%\System32\drivers\etc\hosts" echo # This is a sample HOSTS file used by Microsoft TCP/IP for Windows.
>> "%windir%\System32\drivers\etc\hosts" echo #
>> "%windir%\System32\drivers\etc\hosts" echo # This file contains the mappings of IP addresses to host names. Each
>> "%windir%\System32\drivers\etc\hosts" echo # entry should be kept on an individual line. The IP address should
>> "%windir%\System32\drivers\etc\hosts" echo # be placed in the first column followed by the corresponding host name.
>> "%windir%\System32\drivers\etc\hosts" echo # The IP address and the host name should be separated by at least one
>> "%windir%\System32\drivers\etc\hosts" echo # space.
>> "%windir%\System32\drivers\etc\hosts" echo #
>> "%windir%\System32\drivers\etc\hosts" echo # Additionally, comments (such as these) may be inserted on individual
>> "%windir%\System32\drivers\etc\hosts" echo # lines or following the machine name denoted by a '#' symbol.
>> "%windir%\System32\drivers\etc\hosts" echo #
>> "%windir%\System32\drivers\etc\hosts" echo # For example:
>> "%windir%\System32\drivers\etc\hosts" echo #
>> "%windir%\System32\drivers\etc\hosts" echo #      102.54.94.97     rhino.acme.com          # source server
>> "%windir%\System32\drivers\etc\hosts" echo #       38.25.63.10     x.acme.com              # x client host
>> "%windir%\System32\drivers\etc\hosts" echo.
>> "%windir%\System32\drivers\etc\hosts" echo # localhost name resolution is handle within DNS itself.
>> "%windir%\System32\drivers\etc\hosts" echo #       127.0.0.1       localhost
>> "%windir%\System32\drivers\etc\hosts" echo #       ::1             localhost 
نحوله ل برنامج تنفيذي باللغة الاوتيت سكربت
هذا الملف يعمل من فيستا الى ويندز 10
يقوم بعمل التالي ان لم يجد الملف الهوست ووجده محذوف سيقوم ب وضع لك ملف جديد على حساب نظامك
واذا كان موجود سيعرض عليك ملف الهوست
وتقوم ان ب قراءة الملف اذا كان يحتاج الى رجوع الى الاعدادات الافتراضية ام لا على حسب رغبتك ..

#RequireAdmin
#Region ;**** Directives created by AutoIt3Wrapper_GUI ****
#AutoIt3Wrapper_Icon=
#AutoIt3Wrapper_Res_Comment=Hatem Mohsen ALHENAWY
#AutoIt3Wrapper_Res_Description=The default settings of hosts
#AutoIt3Wrapper_Res_LegalCopyright=Hatem Mohsen ALHENAWY
#EndRegion ;**** Directives created by AutoIt3Wrapper_GUI ****
#include <Process.au3>
#cs ----------------------------------------------------------------------------
 AutoIt Version3.3.14.2
 Author:        Hatem Mohsen ALHENAWY DAMASGATE.com/vb

 Script Function:
    The default settings of hosts

#ce ----------------------------------------------------------------------------

Break(0)
Host()
Func Host($file = @WindowsDir "\" & "System32\Drivers\Etc\Hosts")
    if not FileExists ($file) Then
         MsgBox(16,"رسالة من المبرمج حاتم الحناوي","الملف غير موجود"&@CRLF&"الان اضع لك ملف جديد",2)
         host_hatem ()
         EXIT
        EndIf
if FileExists ($file) Then FileCopy ($file,$file&" Edit.txt")

ShellExecuteWait($file&" Edit.txt")
if FileExists ($file&" Edit.txt") Then _RunDos('del /q /f /a "%windir%\System32\drivers\etc\hosts Edit.txt"')
file_default()
EndFunc

Func file_default()

$msg=MsgBox(64+4,"رسالة من المبرمج حاتم الحناوي","هل تريد ارجاعه للاعدات الافتراضية")
if  $msg == 6 Then
host_hatem()
Else
    EXIT
EndIf
EndFunc


Func host_hatem()
$host_file = @WindowsDir & "\" & "System32\Drivers\Etc\"
_RunDos('del /q /f /a "%windir%\System32\drivers\etc\hosts"')
if @OSVersion = "WIN_VISTA" Then
$Year = "2006"
Elseif @OSVersion = "WIN_7" Then
$Year = "2009"
Elseif @OSVersion = "WIN_8" Then
$Year = "2012"
Elseif @OSVersion = "WIN_81" Then
$Year = "2013"
Elseif @OSVersion ="WIN_10" Then
$Year = "2015"
EndIf
   Switch @OSVersion
       Case "WIN_VISTA"
           $add = "127.0.0.1       localhost" & @CRLF & "::1             localhost"

       Case Else
           $add = "# localhost name resolution is handle within DNS itself." & @CRLF & _
                   "#       127.0.0.1       localhost" & @CRLF _
                   "#       ::1             localhost"
   EndSwitch
$hosts_ADD="# Copyright (c) 1993-" $Year " Microsoft Corp." & @CRLF _
           "#" & @CRLF _
           "# This is a sample HOSTS file used by Microsoft TCP/IP for Windows." & @CRLF _
           "#" & @CRLF _
           "# This file contains the mappings of IP addresses to host names. Each" & @CRLF _
           "# entry should be kept on an individual line. The IP address should" & @CRLF _
           "# be placed in the first column followed by the corresponding host name." & @CRLF _
           "# The IP address and the host name should be separated by at least one" & @CRLF _
           "# space." & @CRLF _
           "#" & @CRLF _
           "# Additionally, comments (such as these) may be inserted on individual" & @CRLF _
           "# lines or following the machine name denoted by a '#' symbol." & @CRLF _
           "#" & @CRLF _
           "# For example:" & @CRLF _
           "#" & @CRLF _
           "#      102.54.94.97     rhino.acme.com          # source server" & @CRLF _
           "#       38.25.63.10     x.acme.com              # x client host" & @CRLF & @CRLF _
           $add

FileWrite($host_file&"hosts" ,$hosts_ADD)
EndFunc 

لتحميل الملف بالمرفقات ملف تنفيذي

26-06-2018, 10:40 AM
Format
مشرف منتدى الصامت والمحمول
رقم العضوية: 685643
تاريخ التسجيل: Nov 2015
المشاركات: 1,099
  
تم تحديث الموضوع بتاريخ 28/7/2018
ومن منا لم يخف من الاختراق ..
ومنا منا اراد ان يفحص جهازه وتفحص البورتات ومعرفة ان كان لديه اختراق ام لا ..
اليوم راح اعرض عليكم اهم الاوامر الي استخدمها بشكل دائم ل فحص الجهاز .. من الاختراق

الامر بسيط جدا وقد عملت اداة ل هذه الاداة ..
واسميتها بنفس الاسم الامر netstat

الان نقوم بشرح بالصورة

هكذا يتم كتابته في الشاشة الدوس
علما ان البورت 81 هو اشهرها ..
ولكن هناك بورتات كثيرة وراح اضعها امامكم ان شاء الله ..
هذه اهم البورتات التي يكون فيها اختراقات ..
spi 82
spi 288
Bifrost 81
BRMODA 5015
POISON 3460
Turkojan 15963
prorat 5110
shark 60123
HAV-RAT 197
painRAT 3360
SIH 6346 
علما ميزة هذا الامر يجلب لك NO-ip الي يستخدموها اغلب المخترقين ..
لااعلم ان كان هناك اساليب حديثة .. في عالم الاختراق بدل NO-ip حسابات المخترقين ..

الان تحويل هذا الكلام الى لغتنا المفضلة .. الاوتيت سكربت

#RequireAdmin
#Region ;**** Directives created by AutoIt3Wrapper_GUI ****
#AutoIt3Wrapper_Icon=D:\صور\ايقونات HD\ccc2\Firefox [256x256].ico
#AutoIt3Wrapper_Res_Comment=حاتم محسن الحناوي
#AutoIt3Wrapper_Res_Description=تقرير البورتات
#AutoIt3Wrapper_Res_LegalCopyright=حاتم محسن الحناوي
#EndRegion ;**** Directives created by AutoIt3Wrapper_GUI ****
#include <Process.au3>
_RunDos('netstat -b > "%userprofile%\Desktop\netstat.txt"')
if FileExists(@DesktopDir&"\"&"netstat.txt") Then
ShellExecuteWait(@DesktopDir&"\"&"netstat.txt")
$netstat=MsgBox(64+4,"رسالة من المبرمج","هل تريد حذف التقرير؟",5)
if $netstat == 6 Then
FileDelete(@DesktopDir&"\"&"netstat.txt")
Else
    MsgBox(48,"رسالة تنبيه","تم حفظ الملف على سطح المكتب اسم الملف"&@CRLF&"netstat",5)
    Exit
EndIf
EndIf 

الان الى تحميل الملف بصيغة تنفيذية


ملاحظة
الباسورد damas
ايضا حين يتم حفظ التقرير يتم ارساله الى سطح المكتب
اقراء التقرير ان لم تعرف .. قم برفعه للخبراء وراح يعطوك الاجابة الشافية بإذن الله
كل الود والاحترام لكم يااغلى الناس

28-07-2018, 09:38 PM
Format
مشرف منتدى الصامت والمحمول
رقم العضوية: 685643
تاريخ التسجيل: Nov 2015
المشاركات: 1,099
  
درس جديد ان شاء الله ايضا قريبا .. لنا عودة ^_^ ..
كل الود لكم


« مساعدة اخواني في AutoIt | هل يكمن عمل برنامج PotPlayer صامت ببرنامج التجميع 7z SFX Builder »

منتديات داماس - بوابة داماس - الأعلى

Powered by vBulletin® Version
Copyright ©2000 - 2018, Jelsoft Enterprises Ltd.
The owner and operator of the site is not responsible for the availability of, or any content provided.
Topics that are written in the site reflect the opinion of the author.
جميع ما يُطرح من مواضيع ومشاركات تعبر عن رأي كاتبها ولا تعبر عن رأي مالك الموقع أو الإدارة بأي حال من الأحوال.