إحذروا فيروس خطير
هذا الفيروس قد يكون أصابك بدون علمك و رسالة الخطأ التي تقول بان الملف : Temp2.exe / copy.exe لا يمكنه المواصلة دليل قاطع على إصابة جهازك هذا الفيروس قد اصاب لحد الان الاف الاجهزة حول العالم و اذكر بالخصوص البلدة حيث اتواجد إذ ان 95% من الاجهزة مصابة به و هو موجود في كل اجهزة الMp3 Player عند كل شباب المدينة بدون استثناء و هذا ملخص حول هذا الفيروس:
Xabot هو نوع من انواع الملفات الدودية التي تنتقل عبر برتوكول IRC او P2P . كما يحتوي ايضا على خصائص مشابهة لخصائص التروجان الذي يمكنه من السيطرة الكاملة على الجهاز المصاب عن بعد. كما ان تواجد الملف wininit32.exe علامة على اصابة الجهاز.
عند دخول الفيرو س و اسمه - W32.Xabot.Worm- للجهاز يقوم بالاتي:
يقوم بنسخ نفسه في مجلد windows الرئيسي
%System%\wininit32.exe
يقوم بنسخ نفسه في المجلدات :
المجلد المشترك لـ KaZaA
المجلد المشترك لـ Morpheus
المجلد DownloadsLocatio في برنامج iMesh
المجلد \Program Files\eDonkey2000\incoming
المجلد \Program Files\LimWire\Shared
المجلد My Music
و يتخذ في ذلك طريقة تغيير الإسم فنجده مثلا تحت إسم:
Doom 3 NO CD Crack.exe
Half-Life 2 Keygen.exe
Half-Life 2 NO CD Crack.exe
Jedi Academy NO CD Crack.exe
Max Payne 2 NO CD Crack.exe
Medal Of Honor - Pacific Assault NO CD Crack.exe
كما يضيف القيم التالية :
"AllOrNone"="1"
"IncludeKernelFaults"="1"
"IncludeMicrosoftApps"="1"
"IncludeWIndowsApps"="1"
"ShowUI"="0"
"DoReport"="0"
لمفتاح الريجيستري:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\PCHealth\ErrorReporing
ويضيف القيمة :
"SysInit"="wininit32.exe"
لمفاتيح الريجيستري
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion \ RunOnce
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion \ RunServices
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion \ RunOnce
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
ويضيف القيمة :
"StubPath"="wininit32.exe"
لمفتاح الريجيستري:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Active Setup\Installed Components\SysInit
ويضيف القيمة :
"LastMonth"="%MonthOfTheYear%"
لمفتاح الريجيستري:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Connect
ويضيف القيمة :
"DisableRegistryTools"="1"
لمفتاح الريجيستري:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion \ Policies\System
ويضيف القيمة :
"DisallowRun"="1"
لمفتاح الريجيستري:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion \ Policies\Explorer
ويضيف القيم التالية :
"1"="lockdown.exe"
"2"="vsmain.exe"
"3"="msconfig.exe"
"4"="zonealarm.exe"
"5"="zapro.exe"
"6"="blackd.exe"
"7"="blackice.exe"
"8"="processmonitor.exe"
"9"="pmon.exe"
"10"="smc.exe"
"11"="generics.exe"
"12"="netstat.exe"
"13"="ethereal.exe"
"14"="sniffem.exe"
"15"="monitor.exe"
"16"="lockdown2000.exe" "17"="webtrap.exe"
"18"="programauditor.exe"
"19"="sniffem.exe"
"20"="jammer.exe"
"21"="ldnetmon.exe"
"22"="safeweb.exe"
"23"="realmon.exe"
"24"="guw32.exe"
"25"="regmon.exe"
"26"="netmon.exe"
"27"="portmon.exe"
"28"="filemon.exe"
"29"="scan32.exe"
لمفتاح الريجيستري:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion \ Policies\Explorer\DisallowRun
يضيف مفتاح الريجيستري
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run-
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion \ RunServices-
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run-
يحذف القيم التالية:
"Configuration Loader"
"Update"
"WinUpdate"
"Task Manager"
"Windows API Structure"
"Microsoft Diagnostic"
"3Dfx Acc"
"ABsr"
"adp"
"Advapi"
"AIM reminder"
"Alevir"
"Alogserv"
"Amon"
"AnVir"
"Apvxd"
"Apvxdwin"
"ausvc"
"Avast32"
"AvconsoleEXE"
"Avgserv9.exe"
"AvMaiSrv"
"avpcc"
"avx communicator"
"avxlni"
"awhost32"
"Backwork"
"bargains"
"bitdefenderlive"
"BlackIce Utility"
"BMail Installation"
"Bnexe"
"BOCleanautostart"
"Configuration Manager"
"dlder"
"Vet Alert"
"ExplorerTask"
"Bonzi Buddy"
"boot"
"Bymer.Scanner"
"cAgOu"
"CC2KUI"
"Choke"
"CLICKTHEBUTTON"
"CmeSYS"
"CmeUPD"
"msnb"
"Configuration Wizard"
"CoreSrv"
"CyDoor"
"Debug"
"distributed.net client"
"LangSupportEx"
"DownloadWare"
"Dvp95"
"Eac_Cnry"
"eixfi"
"Element"
"Explorer32"
"F-StopW"
"Gator"
"Vet Start UpHookSys"
"I386"
"Kernell32"
"Kernel32"
"LoadBlackD"
"LoadDBackUp"
"LoadFonts"
"LoadOrderVerification"
"LTM2"
"McAfee Firewall"
"McAfeeVirusScanService" "mnsvc"
"MPFExe"
"MprHTML"
"MSAdmin"
"WinUpdatermsdos423"
"MSKernel32"
"msn"
"Msrc"
"MSREGIT"
"Ms Spool32"
"Mswincfg"
"murphy shield"
"Default"
"MxHLp32"
"Myapp"
"NAV Agent"
"navapw32"
"NAV Configuration Wizard"
"NAV DefAlert"
"Netapi"
"Nod32CC"
"Norton Auto-Protect"
"ogrc"
"PAV.EXE"
"PCStart"
"PersFw"
"PPMemCheck"
"procmon"
"RapApp"
"TaskMan"
"rvds"
"rdvs"
"Registry"
"Run_cd"
"Rundllsystem32"
"RunProg"
"ScanInicio"
"ScrSvr"
"VAGuard"
"server"
"serverex"
"Shellapi32"
"sistrai.exe"
"sistray"
"SyncAgent"
"SysProtect"
"SysScan"
"Explorer"
"SystemBoot"
"SystemFTP"
"SystemMD"
"System Monitor"
"SystemReg"
"System-Service"
"Task Bar"
"TaskReg"
"Taskschd"
"Tau monitor"
"tcactive"
"tcmonitor"
"Tiny Personal Firewall"
"TrojanScanner"
"UMXLDRW"
"vscanner"
"Vshwin32EXE"
"VsStatEXE"
"WebScan"
"WebScanX"
"Webtrap"
"Whvlxd"
"Win32BaseServiceMOD"
"Win32DLL"
"Win32 Rundll Loader"
"Win386"
"Winahlp.exe"
"WIN-BUGSFIX"
"Windows"
"WinDSNX"
"WinLoader"
"WinProfile"
"WinProxy"
"Win Server"
"winserver"
"Win Server Updt"
"Winsvc32"
"Winsys"
"WinSystem"
"WQK"
"Zonavirus"
"ZoneAlarm"
"ZoneAlarm Pro"
"vsmon"
"vsmon.exe"
"zzgshp"
"WinHelp"
"WinGate initialize"
"Program In Windows"
"Remote Procedure Call Locator"
"WinDSNX"
"Windows Subsys"
"msconfigurator"
"ps2"
"cmd"
"Supernova"
"WindowsMGM"
"NeroCheck"
"LoadWinConf"
"messnger"
"explore"
"FuckCop"
"InternetConfigure"
"Api"
"Svhost Loader"
"Gforce4DRv"
"Ccapp"
"Ccevtmgr"
"Ccpxysvc"
"Ccregvfy"
"Cd_load"
"Cmesys"
"Cmgrdian"
"Comsocks"
"Cpdclnt"
"Cpd"
"Absr"
"Adservice"
"Aornum"
"Arupld32"
"Atrack"
"wins"
"fSys"
"rundll"
"rundll32"
"Network Connections"
"NTFix"
"System Service"
"windows update"
"WinConfig"
"print sharing"
"WindowsUpdate"
"Loader"
"GForce4DR"
"Microsoft System Monitor"
"Windows Registry Checker"
"WindowsFix32"
"winupd32.exe"
"CriticalUpdate"
"Wininit"
"LoadWinConf"
"vhostl"
"Svhost Loader"
"GForce4DRv"
"ssdpsrv.exe"
"ssdpsvr.exe"
"System Service"
"WindowsUpdate"
"Internat32.exe"
"Winsock2 driverSysCmd"
"NTsocket"
"updatek"
"webiss"
"explorer"
"systemtray"
"systemtray32"
"SystemTray32"
"systray"
"SysTray"
"SysTray32"
"GhostStartTrayApp"
"SymTray - Norton SystemWorks"
"fuckyou"
"WinFix32.exe"
"vptray"
"SystemUpdate"
"Microsoft Configuration"
"WinApp32"
"SVHOST"
"PrinTray"
"tskdbg"
"CMESys"
"CMD"
"WINTASK"
"TaskMonitor"
"winapidr"
"Com+Services"
"System Configuration"
"WIN32 DEBUG"
"poeto."
"NAV Live Update"
"Windows Explorer"
"config32.exe"
"Pop3trap.exe"
"WebTrapNT.exe"
"TrackPointSrv"
"Microsoft Netview"
"Generic Host Process for Win32 Services"...
"AdobeA"
"win32app"
"Explorer de la dc"
"ColdLife - icmp"
"ColdLife ?icmp"
"NT Guard"
"Sustem"
"updateWin"
"Winsock32 driver"
"windows auto update"
من المفاتيح التالية:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion \ RunOnce
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion \ RunServices
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion \ RunOnce
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
يحاول حذف الملفات التالية من مجلد windows الرئيسي:
syscfg32.exe
cnfgldr.exe
sysmon16.exe
tskmgr32.exe
winsys.exe
tskman.exe
taskmrg.exe
win.exe
syslog.exe
msgsrv.exe
msnb.exe
TCPSVS32.exe
NAV32_loader.exe
winservices.exe
RAVMOND.exe
WinHelp.exe
IEXPLORE.exe
يحاول حذف الملفات windows
temp\\r.bat
Hello-Kitty.exe
BigMac.exe
WINMGM32.exe
SNTMLS.dat
DWN.dat
SNTMLS.dat
fonts\\explorer.exe
fonts\\rundll32.exelitmus\\winup.exe
litmus\\MSGSRV320.exe
litmus\\MSGORV32.exe
litmus\\msgsrv32.exe
litmus\\killer.exe
DIRECX.dll
mirc.exe
mirc32.exe
temp.exe
temp2.exe
explore.exe
psexec.exe
rconnect.exe
whvlxd.exe
iiscache.dll
vbrun7.dll
mirc.ini
mirc2.ini
mirc3.ini
script.ini
auth.ini
settings.ini
pr.ini
whvlxd.dat
fdrive.dat
gates.txt
temp.scr
Winnt32.nfo
remote.ini
يستعمل زبونه الخاص للاتصال على Internet Relay Chat و التوزع من جديد
للتخلص منه
بالنسبة لـ Windows XP/2000 :
1-تعطيل خاصية إستعادة النظام و العودة الى ريجيستري قبل فترة الإصابة من أجل عكس التغييرات التي احدثها الفيروس في النظام
2-إعادة التشغيل
3-تحديث قاعدة بيانات مضاد الفيروسات
4-فحص كل محتوى الجهاز بدون إستثناء
5- ؛ذف كل العناصر التي يظهرها مضاد الفيروسات مصابة بالفيروس
لحد الساعة مضاد الفيروس الوحيد الذي استطاع معرفته و التخلص منه هو Kaspersky Antivirus Personal 5 مع أخر تحديث ليوم 12/09/2006 و أي تحديث قبل هذا التاريخ سوف لن يستطيح تحديده )لم أجرب Kaspersky Antivirus Personal 6 (
Norton ,Panda,Macafee,AVG كلهم وقفو عاجزين امام هذا الفيروس حتى بآخر تحديث لهم.
و أخيرا نصيحتي لإخواني:
توقفو عن القايم بتحميل ما هب و دب من ملفات دون المرور عبر الـAntivirus من أجل فحص الملف أولا سواء حصلتم عليه عبر الميل او irc او peer-to-peer او حت قمتم انتم بتحميله من موقع يقول انه آمن من ناحية الفيروسات او حت قدمه لكم احد الاصدقاء
أرجو ان اكون وفقت في شرح الموضوع من اجل الإستفادة العامة و شكرا
هذا الفيروس قد يكون أصابك بدون علمك و رسالة الخطأ التي تقول بان الملف : Temp2.exe / copy.exe لا يمكنه المواصلة دليل قاطع على إصابة جهازك هذا الفيروس قد اصاب لحد الان الاف الاجهزة حول العالم و اذكر بالخصوص البلدة حيث اتواجد إذ ان 95% من الاجهزة مصابة به و هو موجود في كل اجهزة الMp3 Player عند كل شباب المدينة بدون استثناء و هذا ملخص حول هذا الفيروس:
Xabot هو نوع من انواع الملفات الدودية التي تنتقل عبر برتوكول IRC او P2P . كما يحتوي ايضا على خصائص مشابهة لخصائص التروجان الذي يمكنه من السيطرة الكاملة على الجهاز المصاب عن بعد. كما ان تواجد الملف wininit32.exe علامة على اصابة الجهاز.
عند دخول الفيرو س و اسمه - W32.Xabot.Worm- للجهاز يقوم بالاتي:
يقوم بنسخ نفسه في مجلد windows الرئيسي
%System%\wininit32.exe
يقوم بنسخ نفسه في المجلدات :
المجلد المشترك لـ KaZaA
المجلد المشترك لـ Morpheus
المجلد DownloadsLocatio في برنامج iMesh
المجلد \Program Files\eDonkey2000\incoming
المجلد \Program Files\LimWire\Shared
المجلد My Music
و يتخذ في ذلك طريقة تغيير الإسم فنجده مثلا تحت إسم:
Doom 3 NO CD Crack.exe
Half-Life 2 Keygen.exe
Half-Life 2 NO CD Crack.exe
Jedi Academy NO CD Crack.exe
Max Payne 2 NO CD Crack.exe
Medal Of Honor - Pacific Assault NO CD Crack.exe
كما يضيف القيم التالية :
"AllOrNone"="1"
"IncludeKernelFaults"="1"
"IncludeMicrosoftApps"="1"
"IncludeWIndowsApps"="1"
"ShowUI"="0"
"DoReport"="0"
لمفتاح الريجيستري:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\PCHealth\ErrorReporing
ويضيف القيمة :
"SysInit"="wininit32.exe"
لمفاتيح الريجيستري
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion \ RunOnce
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion \ RunServices
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion \ RunOnce
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
ويضيف القيمة :
"StubPath"="wininit32.exe"
لمفتاح الريجيستري:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Active Setup\Installed Components\SysInit
ويضيف القيمة :
"LastMonth"="%MonthOfTheYear%"
لمفتاح الريجيستري:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Connect
ويضيف القيمة :
"DisableRegistryTools"="1"
لمفتاح الريجيستري:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion \ Policies\System
ويضيف القيمة :
"DisallowRun"="1"
لمفتاح الريجيستري:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion \ Policies\Explorer
ويضيف القيم التالية :
"1"="lockdown.exe"
"2"="vsmain.exe"
"3"="msconfig.exe"
"4"="zonealarm.exe"
"5"="zapro.exe"
"6"="blackd.exe"
"7"="blackice.exe"
"8"="processmonitor.exe"
"9"="pmon.exe"
"10"="smc.exe"
"11"="generics.exe"
"12"="netstat.exe"
"13"="ethereal.exe"
"14"="sniffem.exe"
"15"="monitor.exe"
"16"="lockdown2000.exe" "17"="webtrap.exe"
"18"="programauditor.exe"
"19"="sniffem.exe"
"20"="jammer.exe"
"21"="ldnetmon.exe"
"22"="safeweb.exe"
"23"="realmon.exe"
"24"="guw32.exe"
"25"="regmon.exe"
"26"="netmon.exe"
"27"="portmon.exe"
"28"="filemon.exe"
"29"="scan32.exe"
لمفتاح الريجيستري:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion \ Policies\Explorer\DisallowRun
يضيف مفتاح الريجيستري
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run-
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion \ RunServices-
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run-
يحذف القيم التالية:
"Configuration Loader"
"Update"
"WinUpdate"
"Task Manager"
"Windows API Structure"
"Microsoft Diagnostic"
"3Dfx Acc"
"ABsr"
"adp"
"Advapi"
"AIM reminder"
"Alevir"
"Alogserv"
"Amon"
"AnVir"
"Apvxd"
"Apvxdwin"
"ausvc"
"Avast32"
"AvconsoleEXE"
"Avgserv9.exe"
"AvMaiSrv"
"avpcc"
"avx communicator"
"avxlni"
"awhost32"
"Backwork"
"bargains"
"bitdefenderlive"
"BlackIce Utility"
"BMail Installation"
"Bnexe"
"BOCleanautostart"
"Configuration Manager"
"dlder"
"Vet Alert"
"ExplorerTask"
"Bonzi Buddy"
"boot"
"Bymer.Scanner"
"cAgOu"
"CC2KUI"
"Choke"
"CLICKTHEBUTTON"
"CmeSYS"
"CmeUPD"
"msnb"
"Configuration Wizard"
"CoreSrv"
"CyDoor"
"Debug"
"distributed.net client"
"LangSupportEx"
"DownloadWare"
"Dvp95"
"Eac_Cnry"
"eixfi"
"Element"
"Explorer32"
"F-StopW"
"Gator"
"Vet Start UpHookSys"
"I386"
"Kernell32"
"Kernel32"
"LoadBlackD"
"LoadDBackUp"
"LoadFonts"
"LoadOrderVerification"
"LTM2"
"McAfee Firewall"
"McAfeeVirusScanService" "mnsvc"
"MPFExe"
"MprHTML"
"MSAdmin"
"WinUpdatermsdos423"
"MSKernel32"
"msn"
"Msrc"
"MSREGIT"
"Ms Spool32"
"Mswincfg"
"murphy shield"
"Default"
"MxHLp32"
"Myapp"
"NAV Agent"
"navapw32"
"NAV Configuration Wizard"
"NAV DefAlert"
"Netapi"
"Nod32CC"
"Norton Auto-Protect"
"ogrc"
"PAV.EXE"
"PCStart"
"PersFw"
"PPMemCheck"
"procmon"
"RapApp"
"TaskMan"
"rvds"
"rdvs"
"Registry"
"Run_cd"
"Rundllsystem32"
"RunProg"
"ScanInicio"
"ScrSvr"
"VAGuard"
"server"
"serverex"
"Shellapi32"
"sistrai.exe"
"sistray"
"SyncAgent"
"SysProtect"
"SysScan"
"Explorer"
"SystemBoot"
"SystemFTP"
"SystemMD"
"System Monitor"
"SystemReg"
"System-Service"
"Task Bar"
"TaskReg"
"Taskschd"
"Tau monitor"
"tcactive"
"tcmonitor"
"Tiny Personal Firewall"
"TrojanScanner"
"UMXLDRW"
"vscanner"
"Vshwin32EXE"
"VsStatEXE"
"WebScan"
"WebScanX"
"Webtrap"
"Whvlxd"
"Win32BaseServiceMOD"
"Win32DLL"
"Win32 Rundll Loader"
"Win386"
"Winahlp.exe"
"WIN-BUGSFIX"
"Windows"
"WinDSNX"
"WinLoader"
"WinProfile"
"WinProxy"
"Win Server"
"winserver"
"Win Server Updt"
"Winsvc32"
"Winsys"
"WinSystem"
"WQK"
"Zonavirus"
"ZoneAlarm"
"ZoneAlarm Pro"
"vsmon"
"vsmon.exe"
"zzgshp"
"WinHelp"
"WinGate initialize"
"Program In Windows"
"Remote Procedure Call Locator"
"WinDSNX"
"Windows Subsys"
"msconfigurator"
"ps2"
"cmd"
"Supernova"
"WindowsMGM"
"NeroCheck"
"LoadWinConf"
"messnger"
"explore"
"FuckCop"
"InternetConfigure"
"Api"
"Svhost Loader"
"Gforce4DRv"
"Ccapp"
"Ccevtmgr"
"Ccpxysvc"
"Ccregvfy"
"Cd_load"
"Cmesys"
"Cmgrdian"
"Comsocks"
"Cpdclnt"
"Cpd"
"Absr"
"Adservice"
"Aornum"
"Arupld32"
"Atrack"
"wins"
"fSys"
"rundll"
"rundll32"
"Network Connections"
"NTFix"
"System Service"
"windows update"
"WinConfig"
"print sharing"
"WindowsUpdate"
"Loader"
"GForce4DR"
"Microsoft System Monitor"
"Windows Registry Checker"
"WindowsFix32"
"winupd32.exe"
"CriticalUpdate"
"Wininit"
"LoadWinConf"
"vhostl"
"Svhost Loader"
"GForce4DRv"
"ssdpsrv.exe"
"ssdpsvr.exe"
"System Service"
"WindowsUpdate"
"Internat32.exe"
"Winsock2 driverSysCmd"
"NTsocket"
"updatek"
"webiss"
"explorer"
"systemtray"
"systemtray32"
"SystemTray32"
"systray"
"SysTray"
"SysTray32"
"GhostStartTrayApp"
"SymTray - Norton SystemWorks"
"fuckyou"
"WinFix32.exe"
"vptray"
"SystemUpdate"
"Microsoft Configuration"
"WinApp32"
"SVHOST"
"PrinTray"
"tskdbg"
"CMESys"
"CMD"
"WINTASK"
"TaskMonitor"
"winapidr"
"Com+Services"
"System Configuration"
"WIN32 DEBUG"
"poeto."
"NAV Live Update"
"Windows Explorer"
"config32.exe"
"Pop3trap.exe"
"WebTrapNT.exe"
"TrackPointSrv"
"Microsoft Netview"
"Generic Host Process for Win32 Services"...
"AdobeA"
"win32app"
"Explorer de la dc"
"ColdLife - icmp"
"ColdLife ?icmp"
"NT Guard"
"Sustem"
"updateWin"
"Winsock32 driver"
"windows auto update"
من المفاتيح التالية:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion \ RunOnce
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion \ RunServices
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion \ RunOnce
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
يحاول حذف الملفات التالية من مجلد windows الرئيسي:
syscfg32.exe
cnfgldr.exe
sysmon16.exe
tskmgr32.exe
winsys.exe
tskman.exe
taskmrg.exe
win.exe
syslog.exe
msgsrv.exe
msnb.exe
TCPSVS32.exe
NAV32_loader.exe
winservices.exe
RAVMOND.exe
WinHelp.exe
IEXPLORE.exe
يحاول حذف الملفات windows
temp\\r.bat
Hello-Kitty.exe
BigMac.exe
WINMGM32.exe
SNTMLS.dat
DWN.dat
SNTMLS.dat
fonts\\explorer.exe
fonts\\rundll32.exelitmus\\winup.exe
litmus\\MSGSRV320.exe
litmus\\MSGORV32.exe
litmus\\msgsrv32.exe
litmus\\killer.exe
DIRECX.dll
mirc.exe
mirc32.exe
temp.exe
temp2.exe
explore.exe
psexec.exe
rconnect.exe
whvlxd.exe
iiscache.dll
vbrun7.dll
mirc.ini
mirc2.ini
mirc3.ini
script.ini
auth.ini
settings.ini
pr.ini
whvlxd.dat
fdrive.dat
gates.txt
temp.scr
Winnt32.nfo
remote.ini
يستعمل زبونه الخاص للاتصال على Internet Relay Chat و التوزع من جديد
للتخلص منه
بالنسبة لـ Windows XP/2000 :
1-تعطيل خاصية إستعادة النظام و العودة الى ريجيستري قبل فترة الإصابة من أجل عكس التغييرات التي احدثها الفيروس في النظام
2-إعادة التشغيل
3-تحديث قاعدة بيانات مضاد الفيروسات
4-فحص كل محتوى الجهاز بدون إستثناء
5- ؛ذف كل العناصر التي يظهرها مضاد الفيروسات مصابة بالفيروس
لحد الساعة مضاد الفيروس الوحيد الذي استطاع معرفته و التخلص منه هو Kaspersky Antivirus Personal 5 مع أخر تحديث ليوم 12/09/2006 و أي تحديث قبل هذا التاريخ سوف لن يستطيح تحديده )لم أجرب Kaspersky Antivirus Personal 6 (
Norton ,Panda,Macafee,AVG كلهم وقفو عاجزين امام هذا الفيروس حتى بآخر تحديث لهم.
و أخيرا نصيحتي لإخواني:
توقفو عن القايم بتحميل ما هب و دب من ملفات دون المرور عبر الـAntivirus من أجل فحص الملف أولا سواء حصلتم عليه عبر الميل او irc او peer-to-peer او حت قمتم انتم بتحميله من موقع يقول انه آمن من ناحية الفيروسات او حت قدمه لكم احد الاصدقاء
أرجو ان اكون وفقت في شرح الموضوع من اجل الإستفادة العامة و شكرا
» الزمن القديم باقات العربسات القديم صدام كسرت غربا
» أقمار يوتل سات على الغرب
» دي خشت بعد أحتلال بغداد بداية الفرنسية على الغرب أتلانتيك بي
» مستعدين لدي مليون بث أيقاف من العصر هلها فيها مازال
» دورة إدارة الحملات الإعلامية الفعالة أثناء الأزمات
» دورة مهارات الكتابة والتدقيق اللغوي القانوني
» دورة السلامة والصحة المهنية في المشروعات الهندسية 2024
» دورة التصفية المحاسبية للمنتجات التمويلية للبنوك التجارية
» شوفي دي ???? ???? ????
» زمان زمان nilesat iraq waأيام الريسيفرات اللي تشيلها بالقوه
» eutelsat b france
» دورات المحاسبة المالية و الحكومية | Financial accounting and
» دورات المراجعة والتدقيق Audit courses
» لماذا واي الجزائر على عربسات ماللذي تغير قرون وسنين
» استخدام شبكة الانترنت في إدارة المشاريع الهندسية
» أهلا ياجماعة جزائر طولتوا الموافقه نحنو أليت تيم 7
» دورة الجودة في خدمة العملاء – ايزو 10002 لعام 2020
» دورة الايزو 17025 ونظم اتحاد المعامل ISO 17025 لعام 2020
» دورة نظام تقييم الأداء المتوازن لعام 2020