كيفية إزالة فايروس [ UST Scandal.avi ] ---

[قرصان الشبكات]

وهاي شوية معلومات عن الفايروس للمهتمين بمجال الفايروسات :

----------------------------------------------------
من المشاكل اللي يخلفها الفايروس :

1. خيار ال Folder Options موجود لكن عندما تحاول تفعل خيار Show Hidden Files
ما راح يتفعل ...
2. كل البارتشنات او الدرايفات { يعني ال C وال D ... الخ } ... من تحاول تفتحها راح تظهر
بنافذه جديدة ...
3. لما تفتح اي برنامج مرتين او 3 مرات ... بعدها الفايروس يخفي هالبرنامج ويخلي يشتغل بالباك كراوند..
بهالحالة لا تكدر تفتح البرنامج مرة ثانية .. ولا تكدر تشتغل بيه !

-----------------------------------------------------

البرنامج اللي تم صنع الفايروس عن طريقه هو : AutoIt V3

-----------------------------------------------------
الملفات اللي يقوم الفايروس بزرعها في النظام هي :

الاسم : Killer.exe
الحجم: 4084 kb
مسار الملف: c:\windows

الاسم : lsass.exe
الحجم : 3920kb
مسار الملف :
c:\********s and settings\all users\start menu\programs\startup

الاسم : smss.exe
الحجم : 4088kb
مسار الملف : في كل بارتشنات الحاسبة وفي c:\windows ايضا ..

الاسم : autorun.inf
الحجم : 1kb
مسار الملف : في كل بارتشنات الحاسبة ..
محتويات الملف :

كود:
open=smss.exe****l\Open\Command=smss.exe****l\open \Default=1****l\Explore\Command=smss.exe****l\Auto play\command=smss.exe
الاسم : Funny UST Sandal.avi.exe
الحجم : 228kb
مسار الملف : في كل بارتشنات الحاسبة ..

-----------------------------------------------------

مفاتيح الريجستري التابعة للفايروس :
الاول :

كود:
HKEY_LOCAL_MACHINE\Software\Microsoft\WindowNT\Cur rentVersion\Winlogon=****l(killer.exe
الثاتي :

كود:
HKEY_CURRENT_USER\Software\Microsoft\windows\Curre ntversion\Run=runonce(c:\windows\smss.exe)
-----------------------------------------------------
{ كيفية ازالة الفايروس }

1. الطريقة الاوتوماتيكية ... فقط حمل الملف التالي

{ اضغط هنا }

وفك الضغط عنه وافتحه واضغط على الزر اللي مكتوب عليه
{ patayin ang tangahing virus }
وامسح مفاتيح الريجستري اللي ذكرتها { انزل جوة لفقرة خطوات الريجستري }..

2. اذا حبيت تحذف الفايروس يدويا حتى تتعلم شوية شلون تشيل الفايروسات
من حاسبتك وتتجنبها بالمستقبل ... تعال خلي نتعلم الطريقة اليدوية سوية ...

-----------------------------------------------------
اول شي حمل برنامج Task Killer بالضغط { هنـــــــــــا }
ونصبه بحاسبتك ... بعد التنصيب راح تطلع ايكونة لونها احمر جوة بشريط المهام
اضغط عليها كليك ايسر ... واختار Processes وبعدين اختار المهام التالية حتى تنهي عملها:
-----------------------
1.killer.exe
2.lsass.exe
3.smss.exe
-----------------------
كما في الصورة :



كرر العملية السابقة 3 مرات لآنهاء الملفات الثلاثة المذكورة
----------------------------------------------------------------------------
{ خطوات الدوز }
هسه شوية ركزو ويايه .... لنفترض عندك 4 بارتشنات بالحاسبة واللي هيه : C - D - E - F
راح نطبق الايعازات التالية على كل واحد منهم ! ...

نروح على قائمة Start ونختار ال Run ونكتب بالحقل الفارغ :

{ نكتب السطر الاول ونضغط Enter ثم نعود للRun ونكتب السطر الثاني وهكذا }


كود:
attrib -h -s c:\smss.exeattrib -h -s c:\autorun.infattrib -h -s c:\Funny UST Sandal.avi.exe
بعدها نجي نطبقها على درايف ال D :

كود:
attrib -h -s d:\smss.exe attrib -h -s d:\autorun.infattrib -h -s d:\Funny UST Sandal.avi.exe

وهكذا مع كل اسم بارتشن نغير الايعازات بحيث نبدل ال { C } بحرف البارتشن التالي

--------------------------------

بهذي الخطوات كدرنا نعطل خاصيتي hidden و system file عن ملفات الفايروس الثلاثة ..
بالتالي ملف الاوتورن ما راح يشتغل

-------------------------------------------------

نكدر هسه نروح لل C وباقي البارتشنات ونمسح هذي الملفات : smss.exe , autorun.inf , Funny UST Sandal.avi.exe
هسه نجي نطبق هذا الامر بال Run ايضا :


كود:
attrib -h -s c:\windows\smss.exe

ونروح لفولدر الوندوز داخل السي { او اي بارتشن آخر منصب عليه الوندوز } ونمسح هذا الملف { smss.exe } وكذلك الملف { killer.exe }

----------------------------------------------------------------------------
بعدها نروح للمسار التالي :
C:\********s and Settings\All users\Startmenu\Programs\Startup

ونمسح الملف اللي اسمه lsass.exe ...

----------------------------------------------------------------------------

{ خطوات الريجستري }

الآن نذهب الى قائمة Start ومن ثم الى Run ونكتب فيه regedit
ونبحث عن المفاتيح التالية :
الاول :

كود:
HKEY_LOCAL_MACHINE\Software\Microsoft\WindowNT\Cur rentVersion\Winlogon=****l(killer.exe
الثاتي :

كود:
HKEY_CURRENT_USER\Software\Microsoft\windows\Curre ntversion\Run=runonce(c:\windows\smss.exe)
ونحذفها بالضغط على Delete من الكيبورد ..

بعدها سوي ريستارت للحاسبة .... وانتهت المشكلة انشالله !

----------------------------------------------------------------------------
طريقة اخرى للذين لا يعرفون كيفية التعامل مع الريجستري !!
طريقة اخرى لكن بيها شوية خسائر تعتمد على المدة اللي قضاها الفايروس بحاسبتك ..
والخسائر هي ان البرامج اللي نصبتها بعد التاريخ اللي راح ترجعله بالسستم ريستور راح تروح !
مجرد تسوي سستم ريستور لتاريخ يكون قبل تاريخ دخول الفايروس للحاسبة ...
وبعدها تطبق الخطوات الخاصة بالدوز { يعني بدون تحميل برنامج تاسك كيلر }

----------------------------------------------------------------------------

وسلامتكم !

ملاحظة:
1. تأكد من ان الفايروس الموجود في جهازك هو نفس الفايروس المعني في الموضوع
عن طريق ملاحظة المشاكل اللي يخلفها الفايروس والمذكورة في بداية الموضوع ..
اضافة الى انه الفايروس المعني يضع ايكونة برتقالية على كل ملفاته

2. البعض ربما يتساءل ليش استخدمنا الدوز لأظهار الملفات المخفية بدلا من استخدام
خيار اظهار ملفات السستم في الفولدر اوبشنز ....
الجواب هو ان هذه الطريقة سوف تظهر الملفات للعيان بدون تعطيل خواص الملفات
بالتالي سيعمل الفايروس من جديد بمجرد فتح البارتشن !!

لاي سؤال تفضل بالرد على الموضوع وطرح سؤالك ..

تحيتي
--------------------------------------
( قرصان الشبكات )