نجيب Admin
| موضوع: لحذف دودة ،tazebama.dl_ ،hook.dl_،zPharaoh.exe،autorun.inf،Worm.win32.mabe zat.b السبت ديسمبر 11, 2010 11:25 pm | |
| السلام عليكم اصاب حاسوبي اليوم فايروس دمرني حيث انتقل لكل الدرايفات وقام بعمل نسخة من كل فولدر اي اصبحت عدد الفولدرات لا تعد وكذلك بطء الحاسبة وكل ما افرمت السي يرجع له كونه موجود في جميع البارتشنات الاخرى وانا لا اريد ان افرمت البارتشنات الاخرى لان فيها برامج ومعلومات مهمة لم اضعها في ال cd وحتى الدخول الى السيف مود لم ينفع . ارجو ان يحملها الجميع في حاسبته هي اداة صغيرة جدا ولكن عملها رائع ومنقذ جدا انا جربتها ارجو ان يستفاد منها الذي يحتاجها . واخيرا وجدت هذه الاداة والحمد لله ومسحت جميع الفيروسات التي تكاثرت في البارتشنات بسرعة كبيرة حيث كان عددها اكثر 200 وبهذه الاسماء My********s.rar backup.rar ********s_backup.rar imp_data.rar source.rar windows_secrets.rar passwords.rar serials.rar office_crack.rar windows.rar
أداة لحذف دودة Worm.win32.mabezat.b
ولها مسميات أخرى مثل :
ًWorm.Win32.Mabezat.b (Kspersky) W32/Mabezat (McAfee) W32.Mabezat.B ( Symantec) Worm/Mabezat.B ( Avira ) W32/Mabezat-B ( Sophos) Virus: Win32/Mabezat.B - microsoft
معلومات عن هذه الدودة :
النوع : فيروس يصيب الويندوز باختلاف انواعه ويعمل ببيئة 32 بت win32 أي انه لا يعمل على نظام الدوس الانتشار : الأقراص القابله للإزالة مثل الفلاشات والأقراص المرنة أيضاً المجلدات والملفات المشتركة على الشبكة
حجم الدودة : 155 KB
طريقة عمل الدودة :
بعد الاستخراج تقوم الدودة بنسخ نفسها إلى المسارات التالية
%drive%\********s and Settings\
ويكون تحت اسم
tazebama.dl_
hook.dl_
tazebama.dll
ثم يقوم بصنع مجلد له في المسار
%appdata%\tazebama\
ومن ثم يقوم بحذف هذه القيم من الريجستري
[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\Explorer] "NoDriveTypeAutoRun"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Policies\Explorer] "NoDriveTypeAutoRun"
ويقوم بإضافة قيم له في الريجستري تحت
[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\Advanced] "Hidden" = 2
[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\Advanced] "HideFileExt" = 1
[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\Advanced] "ShowSuperHidden" = 0
ويقوم الفايروس بإصابة جميع البرامج القابلة للاستخراج ذات الصيغة exe وينتشر بسرعة كبيرة جداً
الإنــتــشــار
يقوم بنسخ نفسه عندما يتنقل داخل الأقراص تحت اسم zPharaoh.exe
وفي نفس المجلد إلي يكون اسمه zPharaoh يتواجد بنفس المجلد ملف autorun.inf
إصابه الأقراص القابلة للإزالة
عندما يصيبها يكون مستخدماً أحد الأسماء التالية
Adjust Time.exe
AmericanOnLine.exe
Antenna2Net.exe
BrowseAllUsers.exe
CD Burner.exe
Crack_GoogleEarthPro.exe
Disk Defragmenter.exe
FaxSend.exe
FloppyDiskPartion.exe
GoogleToolbarNotifier.exe
HP_LaserJetAllInOneConfig.exe
IDE Conector P2P.exe
InstallMSN11Ar.exe
InstallMSN11En.exe
JetAudio dump.exe
KasperSky6.0 Key.doc.exe
Lock Folder.exe
LockWindowsPartition.exe
MakeUrOwnFamilyTree.exe
Microsoft MSN.exe
Microsoft Windows Network.exe
msjavx86.exe
NokiaN73Tools.exe
Office2003 CD-Key.doc.exe
Office2007 Serial.txt.exe
PanasonicDVD_DigitalCam.exe
RadioTV.exe
Recycle Bin.exe
RecycleBinProtect.exe
ShowDesktop.exe
Sony Erikson DigitalCam.exe
Win98compatibleXP.exe
Windows Keys Secrets.exe
WindowsXp StartMenu Settings.exe
WinrRarSerialInstall.exe
معلومات أخرى :
قد يستطيع إصابة هذه اللاحقة
.ASP .ASPX .ASPX.CS .BAS .C .CPP .DOC .H .HLP .HTM .HTML .MDB .MDF .PAS .PDF .PHP .PPT .PSD .RAR .RTF .TXT .XLS .ZIP
طبعاً في حالة نادرة أو إذا كانت الإصابة شديدة
والدودة قد تجدها في المسار وهو %userprofile%\Local Settings\Application Data\Microsoft\CD Burning\
إذا كان كذلك , فسوف يكون الفايروس أو الدودة تحت مسمى zPharaoh.exe
وقد نجد autorun.inf في نفس المجلد
وقد تمسح الدودة جميع مايكون في المجلد أعلاه
وقد تصنع لنفسها مستند نصي باالمسار %appdata%\tazebama\zPharaoh.dat
وقد تجدها أيضاً في المجلد
%drive%\********s and Settings\ folder:
تحت اسم
My********s.rar backup.rar ********s_backup.rar imp_data.rar source.rar windows_secrets.rar passwords.rar serials.rar office_crack.rar windows.rar
تفضل: http://www.zshare.net/download/57912761bb1ca94bمنقول | |
|