كيفية إزالة فايروس [ UST Scandal.avi ] --- [حصري]

[center][b] إزالة فايروس [ UST Scandal.avi ] --- [حصري]

[ السلام عليكم ]

صارلي هوايه ممنزل موضوع جديد ! ... مشاغل ودراسة وتصميم وادارة سايكوز
وما باقي اي وكت ...... بس يلا نعوضها انشالله ...

المهم قبل يومين بنية ويايه بالجامعة انطتني الفلاش مالتها وكالت انو بيه فايروس .. ورادتني اشيله منه
جبت الفلاش خليته بحاسبتي واخذت حذري كلش وحاولت افتحه بدون ما افعّل الفايروس !
تاليها فتحته وبطريقة معينة الفايروس اتفعل بحاسبتي وصار لازم اشيله من الحاسبة ومن الفلاش !!!

المهم .... الفايروس اسمه { UST Scandal.avi }... والظاهر انه المبرمج مالته فيليبيني الجنسية ..

وهاي شوية معلومات عن الفايروس للمهتمين بمجال الفايروسات :

----------------------------------------------------
من المشاكل اللي يخلفها الفايروس :

1. خيار ال Folder Options موجود لكن عندما تحاول تفعل خيار Show Hidden Files
ما راح يتفعل ...
2. كل البارتشنات او الدرايفات { يعني ال C وال D ... الخ } ... من تحاول تفتحها راح تظهر
بنافذه جديدة ...
3. لما تفتح اي برنامج مرتين او 3 مرات ... بعدها الفايروس يخفي هالبرنامج ويخلي يشتغل بالباك كراوند..
بهالحالة لا تكدر تفتح البرنامج مرة ثانية .. ولا تكدر تشتغل بيه !

-----------------------------------------------------

البرنامج اللي تم صنع الفايروس عن طريقه هو : AutoIt V3

-----------------------------------------------------
الملفات اللي يقوم الفايروس بزرعها في النظام هي :

الاسم : Killer.exe
الحجم: 4084 kb
مسار الملف: c:\windows

الاسم : lsass.exe
الحجم : 3920kb
مسار الملف :
c:\documents and settings\all users\start menu\programs\startup

الاسم : smss.exe
الحجم : 4088kb
مسار الملف : في كل بارتشنات الحاسبة وفي c:\windows ايضا ..

الاسم : autorun.inf
الحجم : 1kb
مسار الملف : في كل بارتشنات الحاسبة ..
محتويات الملف :

كود:
open=smss.exe
shell\Open\Command=smss.exe
shell\open\Default=1
shell\Explore\Command=smss.exe
shell\Autoplay\command=smss.exeالاسم : Funny UST Sandal.avi.exe
الحجم : 228kb
مسار الملف : في كل بارتشنات الحاسبة ..

-----------------------------------------------------

مفاتيح الريجستري التابعة للفايروس :
الاول :

كود:
HKEY_LOCAL_MACHINE\Software\
Microsoft\WindowNT\CurrentVersion\Winlogon=shell(killer.exeالثاتي :

كود:
HKEY_CURRENT_USER\Software\
Microsoft\windows\Currentversion\Run=runonce(c:\windows\smss.exe)-----------------------------------------------------
{ كيفية ازالة الفايروس }

1. الطريقة الاوتوماتيكية ... فقط حمل الملف التالي

{ اضغط هنا }

وفك الضغط عنه وافتحه واضغط على الزر اللي مكتوب عليه
{ patayin ang tangahing virus }
وامسح مفاتيح الريجستري اللي ذكرتها { انزل جوة لفقرة خطوات الريجستري }..

2. اذا حبيت تحذف الفايروس يدويا حتى تتعلم شوية شلون تشيل الفايروسات
من حاسبتك وتتجنبها بالمستقبل ... تعال خلي نتعلم الطريقة اليدوية سوية ...

-----------------------------------------------------
اول شي حمل برنامج Task Killer بالضغط { هنـــــــــــا }
ونصبه بحاسبتك ... بعد التنصيب راح تطلع ايكونة لونها احمر جوة بشريط المهام
اضغط عليها كليك ايسر ... واختار Processes وبعدين اختار المهام التالية حتى تنهي عملها:
-----------------------
1.killer.exe
2.lsass.exe
3.smss.exe
-----------------------
كما في الصورة :



كرر العملية السابقة 3 مرات لآنهاء الملفات الثلاثة المذكورة
----------------------------------------------------------------------------
{ خطوات الدوز }
هسه شوية ركزو ويايه .... لنفترض عندك 4 بارتشنات بالحاسبة واللي هيه : C - D - E - F
راح نطبق الايعازات التالية على كل واحد منهم ! ...

نروح على قائمة Start ونختار ال Run ونكتب بالحقل الفارغ :

{ نكتب السطر الاول ونضغط Enter ثم نعود للRun ونكتب السطر الثاني وهكذا }


كود:
attrib -h -s c:\smss.exe
attrib -h -s c:\autorun.inf
attrib -h -s c:\Funny UST Sandal.avi.exeبعدها نجي نطبقها على درايف ال D :

كود:
attrib -h -s d:\smss.exe
attrib -h -s d:\autorun.inf
attrib -h -s d:\Funny UST Sandal.avi.exe
وهكذا مع كل اسم بارتشن نغير الايعازات بحيث نبدل ال { C } بحرف البارتشن التالي

--------------------------------

بهذي الخطوات كدرنا نعطل خاصيتي hidden و system file عن ملفات الفايروس الثلاثة ..
بالتالي ملف الاوتورن ما راح يشتغل

-------------------------------------------------

نكدر هسه نروح لل C وباقي البارتشنات ونمسح هذي الملفات : smss.exe , autorun.inf , Funny UST Sandal.avi.exe
هسه نجي نطبق هذا الامر بال Run ايضا :


كود:
attrib -h -s c:\windows\smss.exe
ونروح لفولدر الوندوز داخل السي { او اي بارتشن آخر منصب عليه الوندوز } ونمسح هذا الملف { smss.exe } وكذلك الملف { killer.exe }

----------------------------------------------------------------------------
بعدها نروح للمسار التالي :
C:\Documents and Settings\All users\Startmenu\Programs\Startup

ونمسح الملف اللي اسمه lsass.exe ...

----------------------------------------------------------------------------

{ خطوات الريجستري }

الآن نذهب الى قائمة Start ومن ثم الى Run ونكتب فيه regedit
ونبحث عن المفاتيح التالية :
الاول :

كود:
HKEY_LOCAL_MACHINE\Software\
Microsoft\WindowNT\CurrentVersion\Winlogon=shell(killer.exeالثاتي :

كود:
HKEY_CURRENT_USER\Software\
Microsoft\windows\Currentversion\Run=runonce(c:\windows\smss.exe)ونحذفها بالضغط على Delete من الكيبورد ..

بعدها سوي ريستارت للحاسبة .... وانتهت المشكلة انشالله !

----------------------------------------------------------------------------
طريقة اخرى للذين لا يعرفون كيفية التعامل مع الريجستري !!
طريقة اخرى لكن بيها شوية خسائر تعتمد على المدة اللي قضاها الفايروس بحاسبتك ..
والخسائر هي ان البرامج اللي نصبتها بعد التاريخ اللي راح ترجعله بالسستم ريستور راح تروح !
مجرد تسوي سستم ريستور لتاريخ يكون قبل تاريخ دخول الفايروس للحاسبة ...
وبعدها تطبق الخطوات الخاصة بالدوز { يعني بدون تحميل برنامج تاسك كيلر }

----------------------------------------------------------------------------

وسلامتكم !

ملاحظة:
1. تأكد من ان الفايروس الموجود في جهازك هو نفس الفايروس المعني في الموضوع
عن طريق ملاحظة المشاكل اللي يخلفها الفايروس والمذكورة في بداية الموضوع ..
اضافة الى انه الفايروس المعني يضع ايكونة برتقالية على كل ملفاته

2. البعض ربما يتساءل ليش استخدمنا الدوز لأظهار الملفات المخفية بدلا من استخدام
خيار اظهار ملفات السستم في الفولدر اوبشنز ....
الجواب هو ان هذه الطريقة سوف تظهر الملفات للعيان بدون تعطيل خواص الملفات
بالتالي سيعمل الفايروس من جديد بمجرد فتح البارتشن !!

لاي سؤال تفضل بالرد على الموضوع وطرح سؤالك ..