msrawy
عضو فعال
عدد الرسائل : 421
السٌّمعَة : 3
نقاط : 6439
 |  موضوع: حل الفايروس الصينىxorer الملقب بpagefile على طريقةrootshell  الخميس 14 مايو 2009, 12:54 am | |
| كيف حالكم ,, عساكم بخير وعافية
أحبائي انتشر فايروس صيني Virus.Win32.Xorer ( مسمى شركة الكاسبر ) بشكل واسع في مواقع الانترنت
ونزلت منه عدة اصدارات ,, وحصرت تقريبا 25 اصدار بمسميات خاصه بشركة الكاسبر بعد بحث مضني دام طويلاا
Trojan-Dropper.Win32.Agent.bbz
Virus.Win32.Xorer.dj
Trojan.Win32.Pakes.c
Virus.Win32.Xorer.x
Virus.Win32.Xorer.bu
Virus.Win32.Xorer.cb
Virus.Win32.Xorer.bs
Virus.Win32.Xorer.k
Virus.Win32.Xorer.ab
Virus.Win32.Xorer.dr
Virus.Win32.Xorer.cz
Virus.Win32.Xorer.dc
Virus.Win32.Xorer.dg
Virus.Win32.Virut.q
Virus.Win32.Xorer.dk
Virus.Win32.Xorer.ed
Virus.Win32.Xorer.ek
Virus.Win32.Xorer.ec
Virus.Win32.Xorer.dy
Virus.Win32.Xorer.cq
Virus.Win32.Xorer.ca
Virus.Win32.Xorer.eb
Virus.Win32.Xorer.b
Virus.Win32.Xorer.s
وفيهم الاصدار Win32.Xorer.fb خبيث بمعنى الكلمه
الفيروس خطير واذا اصاب ملفات exe ما ينظف منها ( فقط حذف )
طرق الاصابة بالفايروس
تحدث الاصابة عند تشغيل احد ملفات الفايروس او اي ملف تشغيلي ( exe ) مصاب به
وتصل الينا هذه الملفات اما بتحميلها من الانترنت ,, او استخدام فلااش ميموري على جهاز مصاب
حيث تنشر الاصابة بالفايروس عند ادخالها بأي جهاز آخر
أعراض الاصابة بالفايروس
أهم هذه الاعراض: تعطيل جميع برامج الحماية ( المشهوره ) الموجوده على الجهاز
ثقل بتشغيل البرامج ,, عدم تشغيل بعض البرامج ,, اختفاء ( خيار ) اظهار ملفات النظام المخفية
ظهور الشاشة الزرقاء عند استخدام الوضع الآمن للويندوز
ويقوم الفايروس بفتح موقع صيني ,, كما بهذه الصوره
ملفات الفايروس واماكنها
 | اقتباس |  |
|
|
|
|
|
|
| --------------------
%windir%\system32\Com\netcfg.000
%windir%\system32\Com\netcfg.dll
%windir%\system32\Com\lsass.exe
%windir%\system32\Com\smss.exe
%windir%\system32\dnsq.dll
----------------
%ALLUSERSPROFILE%\Start Menu\Programs\Startup\~.exe
%ALLUSERSPROFILE%\Start Menu\Programs\Startup\~.exe.????.exe
????= ارقام متغيره
----------------
%Temp%\RarSFX0
%Temp%\irsetup.exe
%Temp%\@2.tmp
%windir%\system32\ntfsus.exe
%windir%\system32\wmdrtc32.dll
%windir%\system32\wmdrtc32.dl_
%windir%\system32\894729.log
%windir%\system32\118766.log
%windir%\system32\119141.log
%windir%\system32\118688.log
%windir%\system32\118610.log
%windir%\system32\122610.log
%windir%\system32\122438.log
%windir%\system32\118219.log
%windir%\system32\118563.log
%windir%\system32\118454.log
%windir%\system32\119266.log
------------------------------------------
Virus.Win32.Xorer.x النسخة
تستخدم وتستبدل ملفات الونرار بنسخه من الفايروس
%ProgramFiles%\WinRAR
ويجب حذف المجلد بالكامل
|
|  |
|  |
|
عمليات الفايروس بالذاكره ( لجميع الاصدارات )
| اقتباس | |
|
|
|
|
|
|
| %windir%\system32\com\lsass.exe
%windir%\system32\com\smss.exe
%ALLUSERSPROFILE%\Start Menu\Programs\Startup\~.exe
%ALLUSERSPROFILE%\Start Menu\Programs\Startup\~.exe.????.exe
%ProgramFiles%\winrar\uninstall.exe
%ProgramFiles%\RAR.exe
%Temp%\RarSFX0\Setup.exe
????.log
c:\~.EXE.????.exe
c:\lsass.exe.????.exe
c:\SMSS.exe.????.exe
????= ارقام متغيره
|
| |
| |
|
وايضا يقوم بدمج ملفه dnsq.dll بعمليات الملفات التالية
| اقتباس | |
|
|
|
|
|
|
| %Windir%\explorer.exe
%ProgramFiles%\messenger\msmsgs.exe
%Windir%\dns\sdnsmain.exe
%ProgramFiles%\internet explorer\iexplore.exe
%Temp%\irsetup.exe
%windir%\system32\ntfsus.exe
%windir%\system32\dllhost.exe
|
| |
| |
|
مفاتيح لمسجل النظام ,, يقوم بحذفها الفايروس
| اقتباس | |
|
|
|
|
|
|
| [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}]
(Default) = "DiskDrive"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}]
(Default) = "DiskDrive"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\Advanced\Folder\SuperHidden]
Type = "radio"
|
| |
| |
|
فيديو شاهده لتشوف شو بيسوى هالفيرس اذا اصاب جهازك
اضغــــط هـــنا
كيفية التخلص من الفايروس
للأسف الفايروس من الصعب حذفه باستخدام برامج الحماية ,,, اوبالطرق التقليدية كـ سكربتات الحذف من الدوس
او حذفه باستخدام مستعرض الويندوز ,, وحتى لو نعطل ملفات الفايروس الاساسية باستخدام مدير المهام او اي اداة اخرى
واذا حذفنا هذه الملفات ,, شوي والخبيث يرجع من جديد وترجع ملفاته
وولقضاء على هذا الخبيث نستخدم ادوات حذف الملفات بعد التشغيل
كـ Killbox او Unlocker او bootdeleter او DelLater او The Avenger v2
او استخدام هذه الاداة تساعد في التخلص من الفايروس وملفاته بشكل تلقائي
الحجم : 1.5 ميقابايت
التوافق : ويندوز xp فقط
اضغــــــــط هـــــــــنا
الباسورد: [ندعوك للتسجيل في المنتدى أو التعريف بنفسك لمعاينة هذا الرابط]
ملاحظه أخرى: قد تجد ان الفايروس قد قام بأصابة جميع الملفات البرمجية ذات الامتداد .exe
يعنى البرامج اللى على جهازك , او اللى تنصب منها برامجك قد تكون قد اصابت
لذا, اياك والضغط على اى برنامج, او انك تحاول تنصب برنامج بعد انزال الويندوز مباشرة
انت بعد ما تنزل الويندوز جديد
1-شغل الاداة لحذف الفايروس
2-ركب انتى فايروس جديد, يعنى حمله من اى موقع من الانترنت ولا تقوم بتثبيت اللى على جهازك لانه البرنامج مصاب 
او من اسطوانة تعريف الmotherboard , قم بتركيب الnorton وبعدين سوى
update وبعدين سوى سكان على كامل جهازك لتشوف شو البرامج اللى انصابت
وانا سويت فعلا هيك.......
طريقة الاستخدام ,,
عند تشغيل الاداة سوف تظهر لك القائمة الرئيسية ,, اضغط على ( تشغيل الاداة )
لحظات ويعاد تشغيل جهازك تلقائيا ,, وعند دخول سطح المكتب ,, سوف تكمل الاداة عملية الحذف للفايروس
بعدها تظهر لك رسالة ,, تبين نتيجة العملية
ويجب عليك تحديث برنامج الحماية الموجود لديك ,, وعمل فحص وتنظيف شامل للجهاز | |
|
abdellatefelgammal
عضو جديد
عدد الرسائل : 3
السٌّمعَة : 0
نقاط : 5404
| | موضوع: رد: حل الفايروس الصينىxorer الملقب بpagefile على طريقةrootshell الخميس 06 أغسطس 2009, 8:09 pm | |
| | |
|
