منتدى ربحني

الفايروســــــــــات
التي تداهم اجهزتنا من غير سابق انذار
او التي تداهمنا بدون مانعرف انها هلاك لنا
اليوم بقدم لكم طرق عديده للتخلص منها
دون اللجوء الى الفرمته او المهندس


بسم الله نبدأ

فيروس WORM_CHIR.A 
النوع : ينتمى هذا الفيروس إلى قائمة ديدان 
وأسماء الشهرة الأخرى : 
W32/Chir@MM … I-Worm.Runouce … Win32/Chir.A@mm درجة الخطورة : متوسطة 
الوصف : ينتقل هذا الفيروس 
خلال الملفات المرفقة Attachments على الهيئة :- 
From: iloveyou @ btamail.net.cn 
Message Body:< > 
Subject: Hi, i am 
Attachment: P.exe طريقة العلاج : 
1- افتح قائمة Start واختر الأمر Run ثم اكتب Regedit وانقر Ok. 
2- ستظهر النافذة و من القائمة اليسرى افتح المجلدات الآتية: 
HKEY_LOCAL_MACHINE>
Software> Microsoft> Windows> CurrentVersion> Run 
3- إذا وجدت في القائمة اليمنى ملف التسجيل Runouce حدده ثم قم بإلغائه. 
4- أعد تشغيل الجهاز. 
5- امسح الجهاز باستخدام برنامج مسح وإزالة الفيروسات
واحذف جميع ملفات WORM_CHIR.A 
فيروس PE_PERRUN.A النوع : ينتمى هذا الفيروس إلى قائمة فيروسات الملفات.
وأسماء الشهرة الأخرى : 
W32.Perrun … W32/Perrun 
درجة الخطورة : متوسطة 
الوصف : ينتقل هذا الفيروس عن طريق الصور او الاعلانات
التي تأتي مع الهاك 
طريقة العلاج : 
1- افتح قائمة Start واختر الأمر Run ثم اكتب Regedit وانقر Ok. 
2- ستظهر النافذة من القائمة اليسرى افتح المجلدات الآتية: 
HKEY_CLASSES_ROOT>jpegfile> shell>open>command 
3- من القائمة اليمنى حدد الملف Default ثم انقر عليه نقرا
مزدوجا حتى يظهر مسار الملف. 
4- تستطيع من هذا المسار أن تحدد ما إذا كانت ملفات الصور
تحت الإمتداد JPEG متأثرة بوجود فيروس أم لا, إذا كان متأثرا
فانقر بزر الماوس الأيمن على الملف ثم اختر Modify. 
5- من مربع الحوار الذى سيظهر أدخل القيمة الآتية إذا كانت غير موجودة 
rundll32.exe %System%&#92;SHIMGVW.DLL,ImageView_Fullscreen 
6- امسح الجهاز باستخدام برنامج مسح وإزالة الفيروسات
واحذف جميع ملفات PE_PERRUN.A 
فيروس WORM_KELINO.A 
النوع : ينتمى هذا الفيروس إلى قائمة ديدان المرفقه 
أسماء الشهرة الأخرى : 
I-Worm.Kelino, KELINO.A 
درجة الخطورة : خطيرة 
طريقة العلاج : 
1- افتح قائمة Start واختر الأمر Run ثم اكتب Regedit وانقر Ok. 
2- ستظهر النافذة من القائمة اليسرى افتح المجلدات الآتية: 
HKEY_LOCAL_MACHINE> 
Software> Microsoft> Windows> CurrentVersion> Run 
3- من القائمة اليمنى حدد الملف %windir% الذى يأتي غالبا على الصورة : 
C:&#92;Windows:"netpatch" "%windir%&#92;netbiospatch10.exe" 4- أعد تشغيل الجهاز. 
5- افتح قائمة Start واختر الأمر Run ثم اكتب EXPLORER.EXE 
ثم انقر Ok. 
6- انقر من الشاشة الجديدة View ثم اخنر الأمر Folder Options . 
7- انقر التبويب View ثم نشط الاختيار Show All Files ثم Ok . 
8- من مجلد التسجيل Registry 
احذف الملف netbiospatch10.exe ثم أعد تشغيل الجهاز. 
9- امسح الجهاز باستخدام برنامج مسح وإزالة الفيروسات
واحذف جميع ملفات WORM_KELINO.A 
فيروس VBS_LOVELETTR.AS 
النوع : ينتمى هذا الفيروس إلى قائمة فيروسات Visual Basic 
أسماء الشهرة الأخرى : 
LOVELETTR.AS … LOVELETTER.AS … … VBS_COLOMBIA
…COLOMBIA… PRESIDENT AND FBI SECRETS 
درجة الخطورة : عالية 
طريقة العلاج : 
1- افتح قائمة Start واختر الأمر Run ثم اكتب Regedit وانقر Ok. 
2- ستظهر النافذة من القائمة اليسرى افتح المجلدات الآتية: 
HKEY_LOCAL_MACHINE> 
Software> Microsoft> Windows> CurrentVersion> Run 
3- احذف الملف LINUX32 من القائمة اليمنى. 
4- افتح قائمة Start مرة أخرى واختر الأمر Run ثم اكتب Regedit وانقر Ok. 
5- ستظهر النافذة من القائمة اليسرى افتح المجلدات الآتية: 
HKEY_LOCAL_MACHINE&#92;Software&#92;Microsoft&#92; Windows&#92; 
CurrentVersion&#92;Run Services&#92;reload 
HKEY_LOCAL_MACHINE&#92;Software&#92;Microsoft&#92; Windows&#92; CurrentVersion&#92;Run&#92;plan columbia 
6- كرر نفس ما سبق ثم أعد تشغيل الجهاز. 
7- امسح الجهاز باستخدام برنامج مسح وإزالة الفيروسات واحذف جميع ملفات VBS_LOVELETTR.AS ثم حدد هذه الملفات أيضا وقم بمسحها: 
c:&#92;Windows&#92;System&#92;LINUX32.vbs 
c:&#92;Windows&#92;reload.vbs 
c:&#92;Windows&#92;important_note.txt 
c:&#92;Windows&#92;System&#92;US-PRESIDENT-AND-FBI-SECRETS.HTM
-------------------------
فايرس Win32-Sality

ومجربه 

قبل ماأبدأ فى سرد كيفية التخلص من الفيرس لابد من شرح عمل هذا الفيرس اللعين
مسميات الفيرس التي ينزل عليها :
bpfq02.com
u7zywp.com
zvco6m.com
qiredremer.biz
sbapodremer.biz 
pgpwdremer.biz
gogcojdremer.biz
rus0396kuku.com
vrrnscdremer.biz
connect2me.org
hut2.ru
invis1blearm3333.com
egozdq.com
5558x7.com
wtcvxu.com 
2.يقوم بوقف معظم برامج الحماية الى موجودة فى الجهاز وعدم استطاعة تثبيت برامج الحماية
ومن أهم البرامج التى يقوم بوقفها


Lockdown
DRWTSN32
DRWATSON
CLEANER
BlackIce
BIDSERVER
NMAIN
ANTI
NOD32
ZoneAlarm
OUTPOST
Drweb
KAV
AVP
AVGSERV
AtGuard
Autotrace

3.ويقوم بوقف عملية safe mode 

4.يقوم بإخفاء ملفات الجهاز

ودى اهم الأشياء التى يقوم بها الفيرس اللعين

الآن نأتى لشرح خطوات حذف الفيرس بكل سهولة تامة

أولاً تحمل برنامج norton 2009 ده اساسى وميكنشى متفيرس او تسطبه من على اسطوانة عشان تضمن انه مش متفيرس 
وبعد متسطبه اعمل اسكان على كل الجهاز وهتقولى لماذا اخترت البرنامج ده بالذات؟ عشان البرنامج ده بيحذف الفيرس من الملفات دون مسح الملف المصاب ولكن لو الإصابة كبيرة فى الملف سوف يمسح الملف كله وهو ده ميزة البرنامج norton 2009 وانصحك من معرفتى الشخصية مفيش حل غير الى انا قولته وفى ميزة تانية للنورتون ان البرنامج بيسطب على اى جهاز مهما كان متفيرس 

ثانياً خطوة إصلاح الجهاز من آثار الفيرس 

لازم تحمل الملف ده
http://www.mediafire.com/?yjzdwqkhmzw
ودى صورة توضح مابداخل الملف

هذه الصورة تم تصغيرها . إضغط على هذا الشريط لرؤية الصورة بحجمها الطبيعي . أبعاد الصورة الأصلية 855x119 .
هذه الصورة تم تصغيرها . إضغط على هذا الشريط لرؤية الصورة بحجمها الطبيعي . أبعاد الصورة الأصلية 855x119 .

واختر الملف حسب نوع الويندوس الى عندك

والملف ده بيصلح مشكلة 
safe mode
-------------------------
فايرس Autorun.inf



يعاني الكثير و الكثير من فيرس الـ Autorun.inf الذي ينتقل بكل الـ Drives في الحاسب
و للأسف الكثير لا يعرفون الحل في كيفية حذف هذا الفيرس خاصتا انه يغير بعض الخصائص في حاسبك
لكي لا تقدر على حذفه لذلك سوف نقوم بمسحه نهائيا و لكن فقط اتبع الخطوات التالية خطوة خطوة

1 - قم بتعطيل الـ System restore
1 - 1 - إذهب الى لوحة التحكم ” Control Panel ” -> ثم System ,
1 - 2 - حدد خانة ” system restore ” , ثم أضف تحديد على ” turn off system store on all devices ” .
2 - أمسح كل الملفات المؤقتة الخاصة بالمتصفح الخاص بك
2 - 1 - في الـ Internet Explorar حدد ” Tools ” , ثم ” Internet Options ” ,
2 - 2 - في الـ Internet temporary files , حدد ” delete files ” -> ثم حدد على ” delete all offline content ” ثم أضغط 
3 - تنظيف القرص "Disk clean up”
3 - 1 - أذهب الى "Start", ثم ” All Programs ", ثم ” Accessories ", ثم ” System Tool ", ثم "Disk Cleanup"
3 - 2 - حدد القرص C و أضغط على "ok", ثم أبدئ عملية التنظيف على القرص
3 - 4 - أعد عمل نفس الخطوات على الاقراص الاخرى ” D,E,F… ” لكي تمتلك أقراص نظيفة
3 - 3 - بعدما تنتهي من عملية التنظيف, ضع تحديد على " all files ” ثم أضغط ” ok ".

الأن كل ملفات الأنترنت المؤقتة تم تنظيفها بالفعل. عادة ما يكون سبب فيرس الـ Autorun هو الـ Flash memory أو باقي الأجهزة المتنقلة في حفظ الملفات
هذا الفيرس له 3 ملفات تنفيذية و هما kavo.exe, autorun.inf ثم ntdelect.com .
هذه الملفات الثلاثة جميعهم ملفات مخفية, و هما يعطلون أو يخفون ” folder option " في جهازك
” show hidden files and folders ” و تجعلك غير قادر على العمل على هذه الخيارات اذا انت غير قادر على البحث عن هذه الملفات
اذا فأنت كذلك لا يمكنك حذفهم ( مخترع الفيرس ذكي جدا, أليس كذلك ؟ ).
كيف يمكنك إظهار هذه الملفات الثلاث ؟ يجب عليك أستخدام الـ DOS command
الخطوات التالية توضح لك طريقة حذف فيرس الـ Autorun


الخطوة الاولى - أضغط على "Start", ثم "Run", ثم أكتب "cmd", بعد ذلك أضغط "Enter” , بهذه الطريقة قد غتحت نافذة الـ DOS

الخطوة الثانية - تحقق من كل قرص , إذا كنت تريد التحقق من القرص C أكتب dir c:&#92; /a/w في نافذة الدوس
إذا كنت تريد القرص D إذ قم بكتابة التالي
dir d:&#92;/a/w

الخطوة الثالثة - كل النظام و ملفات الـ DOS
اتاكد أن في autorun.inf و ntdeleted.com داخل القرص في نافذة الـ DOS
قبل أن نحذف هذه الملفات , نحتاج لتعطيل "hidden”, "system” و "read only”.
للقرص C أكتب في نافذة الـ DOS التالي :

attrib -s -h -r c:&#92;autorun.inf
attrib -s -h -r c:&#92;ntdelect.com
للقرص D أكتب ..

attrib -s -h -r d:&#92;autorun.inf
attrib -s -h -r d:&#92;ntdelect.com

الخطوة الرابعة - بعد تعطيل الصفات, أبدئ بالحذف اليدوي للملفات
( أحذر في هذه الخطوة وحاول ان لا ترتكب اي خطئ )
للقرص C اكتب في نافذة الـ DOS
del c:&#92;autorun.inf
del c:&#92;ntdelect.com
للقرص D أكتب في نافذة الـ DOS
del d:&#92;autorun.inf
del d:&#92;ntdelect.com

الخطوة الخامسة - بعد الحذف اليدوي لـ ” autorun.inf ” و "ntdelect.com” الخطوة التالية
هي "kavo.exe” أنت تحتاج أن تحذف ملف kavo.exe في C:&#92;windows&#92;system32
أكرر الخطوة الثالثة و الخطوة الرابعة لتعطيل صفات و حذف ملفات الأجرائات
أكتب التالي في نافذة الـ DOS
attrib -s -h -r c:&#92;windows&#92;system32&#92;kavo.exe
بعد ذلك قم بحذفه بكتابة التالي في نافذة الـ DOS
del c:&#92;windows&#92;system32&#92;kavo.exe

الخطوة السادسة - حذف ملف الـ "kavo.exe” من الـ registry
افتح الـ registry editor , إذهب الى
و أيضا الى

HKEY_LOCAL_MACHINE&#92;SOFTWARE&#92;Microsoft&#92; Windows &#92;CurrentVersion&#92;Run
HKEY_CURRENT_USER&#92;SOFTWARE&#92;Microsoft&#92;W indows &#92;CurrentVersion&#92;Run
ما تريد أن تفعله هو حذف kavo و المسار c:&#92;windows&#92;system32&#92;kavo.exe من الـ registry editor

الخطوة السابعة - هي السماح لإستخدام ” Show hidden files and folders ”
أفتح برنامج الـ Notepad بصفحة جديدة أنسخ الكود الذي بأسفل و ألصقه في الـ Notepad
و أحفظ الملف بإمتداد .reg يعني مثلا wblogw.reg و احفظه على سطع المكتب ثم أضغط عليه مرتين علشان يتحفظ في الـ registry
و كل حاجة ترجع زي ما كانت قبل الفيرس أن شاء الله
-------------------------------
لحذف ملفات System Volume Informatio
التى تمنع الوصول الى ملفاتها

وقبل أى شيئ يجب



أن نعلم أولا مافائده هذه الملفات ....؟؟هل هناك أضرار من حذف هذه الملفات ....؟؟


--- بالنسبة لفائدتها --- 
مجلد مخفى
تتواجد فى كافةالبارتشنات
عباره عن ذاكره للنظام .. تمكنه من أستعادته فى وقت لاحق

--- بالنسبة لأضرار حذفها --- 


لايوجد ضرر بالنسبة للمستخدم من حذف هذه الملفات
بل على العكس

هذه الملفات يمكن اعتبارها البيت الأبيض  بالنسبةللفيروسات

* كما انها فى بعض الأحيان ومع مرور الأستخدام تأخذ مساحة ضخمة جدااااااا

من ذاكره الهارد ديسكوذلك نظراا لتواجدها فى كافة البارتيشنات
الغرض من الشرح

بالنسبة لمستخدمى نظامNTFS يمنعه النظام من الدخول لملفاتSystem Volume Informatio

اما بالنسبة لمستخدمى نظام FAT32 فلا يوجد مشكلة فى الوصول الى الملفات


*************
نأتى لشرح جعل الملفات يمكن فتحه والوصول الى الملفات لمسحها


 تابع الصور  

لأظهار ملفات النظام
------------------
الملف
System Volume Information

----------
عن محاوله فتح الفولدر تظهر رسالة "منع الوصول الى الملفات"

-----------
قف على الفولدر
وأضغط كلك يمين
وأختارproperties

---------
اختار التبويبSharing



-----------
ضع علامة امام
share this folder on network
وأضغط ok

----------
رسالة لتأكيد share
أضغط yes
هذه الصورة تم تصغيرها . إضغط على هذا الشريط لرؤية الصورة بحجمها الطبيعي . أبعاد الصورة الأصلية 632x180 .
هذه الصورة تم تصغيرها . إضغط على هذا الشريط لرؤية الصورة بحجمها الطبيعي . أبعاد الصورة الأصلية 632x180 .

----------
تمت العملية
هذه الصورة تم تصغيرها . إضغط على هذا الشريط لرؤية الصورة بحجمها الطبيعي . أبعاد الصورة الأصلية 542x157 .
هذه الصورة تم تصغيرها . إضغط على هذا الشريط لرؤية الصورة بحجمها الطبيعي . أبعاد الصورة الأصلية 542x157 .

----------
الملف change.txt هو الملف الوحيد الذى لايمكن حذفه إلا عن طريقة برامج حذف الملفات المستعصية وأفضل برنامج فى ذلك unlocker


------------
ولغلق الفولدر كمان كان
اتيع الصوره

ثانياً

طريقة الحماية من هذه الفيروسات 

بعد أن تتأكد بأنك قمت بتنظيف جهازك كاملا من هذه الفيروسات فاتبع تدابير الأمان التالية
1_ عندما تضع سيدي أو فلاشة أوميموري كارد أو موبايل وهذه الأشياء وخاصة الفلاشة هي التي
تنقل هذا الفيروس إلى جهازك لأنه تلقائيا ينتقل من الجهاز المصاب إلى الفلاشة وبالعكس
2_ لتنظيف الفلاشة أو الكرت قم باظهار ملفات النظام المخفية وادخل إلى الفلاشة أو الكرت عن طريق استكشاف
وقم بحذف كافة الملفات المخفية باستثناء الملفات التي تملكها بالفلاشة والتي تعرف ما تحتوي
وبالنسبة لكرت الموبايل لا تحذف ملف السيستم وقم بحذف كافة الملفات المخفية الغريبة
ومن ثم قم بفحصه بواسطة أي كاشف فيروسات للأمان
3_ إذا كنت لا تريد شيئا من ملفات الفلاشة فقم بتهيئتها أفضل.

وأخيرا تمتع بجهاز نظيف ومريح بلا فيروس الكوبي وأمثاله ومشاكله
وتمتع بلعب لعبتك المفضله wolfteam 

وأخيرا هذا الموضوع منقول للأمانه ولاكن لامانع لنشر الفائده
وقبل انا اضع هذا الموضوع تم تجربته علي وندوز 7
وكنت اعاني الكثير من المشاكل وتم حلها وشكرا 
وأرجو تثبيت الموضوع اذا اعجبكم