المساعد الشخصي الرقمي

مشاهدة النسخة كاملة : للقــضاء على الدوده tazebama.dl


Link Dot Net
2009-08-08, 11:39 PM
السلام عليكم ورحمه الله وبركاته


كيف حالكم حبايبي ،،ان شاء الله بخير


الدوده الخطيره





Worm.win32.mabezat.b

ولها مسميات اخرى مثل

Worm.Win32.Mabezat.b >>Kspersky
W32/Mabezat >>McAfee
W32.Mabezat.B >>Symantec
Worm/Mabezat.B >>Avira
W32/Mabezat-B >>Sophos
Win32/Mabezat.B >>microsoft




معلومات

النوع فيروس يصيب الويندوز باختلاف انواعه و يعمل ببيئه 32 بت win32 اي انه لا يعمل على نظام الدوس

الانتشار
الاقراص القابله للازاله مثل الفلاشات و الاقراص المرنه ايضا المجلدات و الملفات المشتركه على الشبكه
ويقوم بنسخ نفسه عندما يتنقل داخل الأقراص تحت اسم
zPharaoh.exe

وفي نفس المجلد اللي يكون اسمه zPharaoh
يتواجد بنفس المجلد ملف
autorun.inf


طريقه عمله

بعد الإستخراج تقوم الدوده بنسخ نفسها الى المسارات التاليه

%drive%\Documents and Settings\

ويكون تحت اسم

tazebama.dl_

hook.dl_

tazebama.dll

ثم يقوم بصنع مجلد له في المسار

%appdata%\tazebama\

ومن ثم يقوم بحذف هذه القيم من الريجستري

[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\Explorer]
"NoDriveTypeAutoRun"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Policies\Explorer]
"NoDriveTypeAutoRun"



ويقوم بإضافه قيم له في الريجستري تحت

[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\Advanced]
"Hidden" = 2

[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\Advanced]
"HideFileExt" = 1

[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\Advanced]
"ShowSuperHidden" = 0




وينتشر بسرعه كبيره جدا


وتظهر لك هذه الرساله عند تشغيل بعض البرامج




http://i703.photobucket.com/albums/ww38/dollysh_2009/4-19.png


باختصار شديد الفايروس واقسم بالله رفع ضغطي والحمدلله قدرت اتمكن منه بهذي الطريقه
وحبيت افيدكم


اولا


قم بتعطيل استعادة النظام


ويندوز اكس بي


http://i703.photobucket.com/albums/ww38/dollysh_2009/1-17.png



http://i703.photobucket.com/albums/ww38/dollysh_2009/2-24.png



http://i703.photobucket.com/albums/ww38/dollysh_2009/3-20.png


ويندوز فيستا


http://i703.photobucket.com/albums/ww38/dollysh_2009/1-18.png


http://i703.photobucket.com/albums/ww38/dollysh_2009/2-25.png



http://i703.photobucket.com/albums/ww38/dollysh_2009/3-21.png



http://i703.photobucket.com/albums/ww38/dollysh_2009/4-20.png



ثانيا


حمل اداة دكتور ويب
رابط مباشر ومحدث من الشركه


*[/COLOR]**.com/pub/dr***/cureit/launch.exe"]http://mynetimages.com/8e616526.gif (ftp://ftp.drhttp://i703.photobucket.com/albums/ww38/dollysh_2009/1-16.png



http://i703.photobucket.com/albums/ww38/dollysh_2009/2-22.png



http://i703.photobucket.com/albums/ww38/dollysh_2009/3-18.png



http://i703.photobucket.com/albums/ww38/dollysh_2009/4-18.png



http://i703.photobucket.com/albums/ww38/dollysh_2009/5-14.png



http://i703.photobucket.com/albums/ww38/dollysh_2009/6-12.png



http://i703.photobucket.com/albums/ww38/dollysh_2009/7-10.png



http://i703.photobucket.com/albums/ww38/dollysh_2009/7-10.png


عند العثور على فايروس ملف مشبوه راح تطلع لك مثل هالنافذة اضغط كالموضح


http://i703.photobucket.com/albums/ww38/dollysh_2009/8-11.png



بعد الآنتهاء من الفحص



اضغط على select all



ثم اضغط على cure
واختر delete incurable



انتظر لحظات بعدها اعد تشغيل الجهاز


ثالثا

لإعادة مدخلات مسجل النظام للوضع الا فتراضي



حمل هذا الملف




http://mynetimages.com/8e616526.gif (http://www.uploadho.com/files/1249558967.rar)


http://i703.photobucket.com/albums/ww38/dollysh_2009/2-23.png



http://i703.photobucket.com/albums/ww38/dollysh_2009/3-19.png



اتمنى الآفادة للجميــع


كل الود