atefbaron
24-11-2004, 10:06 AM
للأسف للاسف يقوم بعض الاشخاص غير المتزنين بوضع رابط للتحميل على انه مجموعة فيديو كليب لبعض الفنانات او اشياء اخرى مثيرة ولكن طبعاً هذا ملف تجسس خطير (باتش) وهو فعلاً مُبرمج بشكل مؤذي جداً حيث أنه يمنع عمل النورتون آنتي فايروس من الكشف عن الفيروسات بل ويوقف عمله فورا ويقوم بأعمال مؤذية في النظام كإخفاء العديد من المفاتيح المهمة في الريجيستري ومنع تشغيل نافذة الـ command. ويقوم أيضاً بمحاولات اختراق كثيرة على جميع المنافذ المفتوحة في الجهاز عند اتصالك مباشرة بالإنترنت. ويقوم بإرسال معلومات حساسة من جهازك لكشفها.
المهم حتى طريقة مسح هذا الفيروس صعبة جداً عند عدم معرفتك بها.
وقد نقلت هذ الموضوع من الاخ ابو السعود جزاه الله خير من احد المنتديات الاخرى و قمت بالفعل بالتخلص نهائيا من هذا الفيرس .
الفيروس وعندما تحمله على جهازك من الإنترنت وفتحه يقوم بإنشاء خمسة ملفات في نظامك في ثلاث مواضع.
والملفات هي كالتالي مع مكان وجوده:
1- services.exe ويوجد في مجلد الويندوز C:\windows
2- sservice.exe ويوجد في المجلد C:\windows\system
3- fservice.exe ويوجد في المجلد C:\windows\system32
4- reginv.dll ويوجد في المجلد C:\windows\system32
5- winkey.dll ويوجد في المجلد C:\windows\system32
هذه هي الملفات ومكان وجودها .. لكن للأسف لا يمكنك مسحها مباشرة وعليك القيام بهذه الخطوات لإزالتها نهائياً, لأنها تستخدمي الخاصيتين: Hidden و System
ولإزالتهم اتبع هذه الخطوات:
أولاً: أعد تشغيل الحاسب, وقبل ظهور شعار ويندوز والشريط المتحرك اضغط على الزر F8 لتظهر لك قائمة بعدة خيارات. اختر منها الخيار الثالث وهو: Safe Mode with Command Prompt
وعند بدء تشغيل ويندوز لن يظهر لك أي شيء سوى نافذة الـ Command
وهذه صورة عنها:
http://nightsaken.50megs.com/1.JPG
هنا عليك البدء بكتابة الأوامر التالية:
الشرح تحت الصورة..
http://nightsaken.50megs.com/2.JPG
1- cd\ وهذا لإغلاق المجلد الذي أنت فيه الآن.
2- cd windows وهذا الأمر لفتح مجلد الويندوز
3- attrib –h –s وهذا الأمر لإظهار الملفات المخفية وملفات النظام
4- attrib services.exe –h –s وهذا الأمر لسحب خاصية الإخفاء والنظام من هذا الملف ليكون بإمكانك حذفه.
5- del service.exe لحذف هذا الملف الأول(فيروس)
6- cd system لفتح مجلد الـ System والذي يوجد بداخله الملف الثاني
7- attrib –h –s كما في الخطوة 3
8- attrib sservice.exe –h –s كما في الخطوة 4
9- del sservice.exe كما في الخطوة 5
10- cd.. لإغلاق هذا المجلد والرجوع لمجلد الويندوز الرئيسي
11- cd system32
12- attrib –h –s
13- attrib fservice.exe –h –s
14- del fservice.exe
15- del winkey.dll لحذف هذا الملف الرابع (فيروس)
16- del reginv.dll لحذف هذا الملف الخامس (فيروس)
هنا تكون قد تخلصت من ملفات الفيروس العالقة.. بقي عليك بعض الخطوات الأخيرة..
الآن اضغط ctrl + alt + del لإعادة تشغيل الكومبيوتر كما في هذه الصورة:
اختر ShutDown ثم Restart
http://nightsaken.50megs.com/3.JPG
عند إعادة التشغيل إبدأ الكومبيوتر بشكل عادي ومن ثم إضغط Start (إبدأ) ثم Run (تشغيل)
واكتب في مربع النص: regedit كما في الصورة:
http://nightsaken.50megs.com/4.JPG
تظهر لك نافذة محرر الريجيستري..
من الجانب الأيسر إبدأ بكشف شجرة المفاتيح كالتالي:
HKEY_LOCAL_MACHINE
SOFTWARE
Microsoft
Windows
CurrentVersion
Policies
Explorer
Run
عندها في القسم الأيسر يظهر لك المفتاح DirectX For Microsoft® Windows
علم عليه واضغط Delete لحذفه. كما في الصورة:
http://nightsaken.50megs.com/5.JPG
الآن ارجع إلى بداية الشجرة في القسم الأيسر واكشف هذه المفاتيح:
HKEY_LOCAL_MACHINE
SOFTWARE
Microsoft
Windows NT
CurrentVersion
Winlogon
وابحث من القسم الأيمن عن المفتاح Shell كما في الصورة:
http://nightsaken.50megs.com/6.JPG
انقر عليه مرتان ليظهر لك هذا المربع:
http://nightsaken.50megs.com/7.JPG
علم العبارة: C:\windows\system32\fservice.exe
وقم بحذفها. كما في الصورة التالية:
http://nightsaken.50megs.com/8.JPG
اضغط OK واخرج من البرنامج.
ويكون قد انتهى أمر الفيروس.
لكن للتأكد من أن ملفات نظامك بحالة جيدة شغل برنامج System File Protection
عن طريق الضغط على Start واختر الأمر Run
واكتب فيه sfc /scannow كما في الصورة:
http://nightsaken.50megs.com/9.JPG
أخيراً لا تنسى عمل التحديث الدوري لبرنامج الآنتي فايروس لديك..
المهم حتى طريقة مسح هذا الفيروس صعبة جداً عند عدم معرفتك بها.
وقد نقلت هذ الموضوع من الاخ ابو السعود جزاه الله خير من احد المنتديات الاخرى و قمت بالفعل بالتخلص نهائيا من هذا الفيرس .
الفيروس وعندما تحمله على جهازك من الإنترنت وفتحه يقوم بإنشاء خمسة ملفات في نظامك في ثلاث مواضع.
والملفات هي كالتالي مع مكان وجوده:
1- services.exe ويوجد في مجلد الويندوز C:\windows
2- sservice.exe ويوجد في المجلد C:\windows\system
3- fservice.exe ويوجد في المجلد C:\windows\system32
4- reginv.dll ويوجد في المجلد C:\windows\system32
5- winkey.dll ويوجد في المجلد C:\windows\system32
هذه هي الملفات ومكان وجودها .. لكن للأسف لا يمكنك مسحها مباشرة وعليك القيام بهذه الخطوات لإزالتها نهائياً, لأنها تستخدمي الخاصيتين: Hidden و System
ولإزالتهم اتبع هذه الخطوات:
أولاً: أعد تشغيل الحاسب, وقبل ظهور شعار ويندوز والشريط المتحرك اضغط على الزر F8 لتظهر لك قائمة بعدة خيارات. اختر منها الخيار الثالث وهو: Safe Mode with Command Prompt
وعند بدء تشغيل ويندوز لن يظهر لك أي شيء سوى نافذة الـ Command
وهذه صورة عنها:
http://nightsaken.50megs.com/1.JPG
هنا عليك البدء بكتابة الأوامر التالية:
الشرح تحت الصورة..
http://nightsaken.50megs.com/2.JPG
1- cd\ وهذا لإغلاق المجلد الذي أنت فيه الآن.
2- cd windows وهذا الأمر لفتح مجلد الويندوز
3- attrib –h –s وهذا الأمر لإظهار الملفات المخفية وملفات النظام
4- attrib services.exe –h –s وهذا الأمر لسحب خاصية الإخفاء والنظام من هذا الملف ليكون بإمكانك حذفه.
5- del service.exe لحذف هذا الملف الأول(فيروس)
6- cd system لفتح مجلد الـ System والذي يوجد بداخله الملف الثاني
7- attrib –h –s كما في الخطوة 3
8- attrib sservice.exe –h –s كما في الخطوة 4
9- del sservice.exe كما في الخطوة 5
10- cd.. لإغلاق هذا المجلد والرجوع لمجلد الويندوز الرئيسي
11- cd system32
12- attrib –h –s
13- attrib fservice.exe –h –s
14- del fservice.exe
15- del winkey.dll لحذف هذا الملف الرابع (فيروس)
16- del reginv.dll لحذف هذا الملف الخامس (فيروس)
هنا تكون قد تخلصت من ملفات الفيروس العالقة.. بقي عليك بعض الخطوات الأخيرة..
الآن اضغط ctrl + alt + del لإعادة تشغيل الكومبيوتر كما في هذه الصورة:
اختر ShutDown ثم Restart
http://nightsaken.50megs.com/3.JPG
عند إعادة التشغيل إبدأ الكومبيوتر بشكل عادي ومن ثم إضغط Start (إبدأ) ثم Run (تشغيل)
واكتب في مربع النص: regedit كما في الصورة:
http://nightsaken.50megs.com/4.JPG
تظهر لك نافذة محرر الريجيستري..
من الجانب الأيسر إبدأ بكشف شجرة المفاتيح كالتالي:
HKEY_LOCAL_MACHINE
SOFTWARE
Microsoft
Windows
CurrentVersion
Policies
Explorer
Run
عندها في القسم الأيسر يظهر لك المفتاح DirectX For Microsoft® Windows
علم عليه واضغط Delete لحذفه. كما في الصورة:
http://nightsaken.50megs.com/5.JPG
الآن ارجع إلى بداية الشجرة في القسم الأيسر واكشف هذه المفاتيح:
HKEY_LOCAL_MACHINE
SOFTWARE
Microsoft
Windows NT
CurrentVersion
Winlogon
وابحث من القسم الأيمن عن المفتاح Shell كما في الصورة:
http://nightsaken.50megs.com/6.JPG
انقر عليه مرتان ليظهر لك هذا المربع:
http://nightsaken.50megs.com/7.JPG
علم العبارة: C:\windows\system32\fservice.exe
وقم بحذفها. كما في الصورة التالية:
http://nightsaken.50megs.com/8.JPG
اضغط OK واخرج من البرنامج.
ويكون قد انتهى أمر الفيروس.
لكن للتأكد من أن ملفات نظامك بحالة جيدة شغل برنامج System File Protection
عن طريق الضغط على Start واختر الأمر Run
واكتب فيه sfc /scannow كما في الصورة:
http://nightsaken.50megs.com/9.JPG
أخيراً لا تنسى عمل التحديث الدوري لبرنامج الآنتي فايروس لديك..