دودتان خطيرتان تصيبان الجهاز +طريقة حذفهم

أبو براهيم · 07-05-2004, 02:09 PM

دودتان جديدتان يغزوان الأجهزه بصمت ويحيرون النورتن انتي فايورس وغيره من برامج الحمايه نرجوا من الله أن يبعد عنكم شرهما في هذا الموضوع

سنشرح كل واحد على حده وكيفية ازالته

1- W32.Sasser.B.Worm
وصف الدودة وطريقة الانتقال:
تقوم هذه الدودة باستغلال ثغرة في ملف LSASS.exe أحد ملفات نظام وندوز , بحيث يدخل أمر إلى هذا الملف التنفيذي فيعتم على الانتي فايروس على انه امر شرعي من قبل ملف مصرح به
تنتقل هذه الدودة عن طريق ارقام الايبي بشكل عشوائي .

مضار هذه الدودة :
تقوم هذه الدودة بنفس عمل دودة بلاستر المزعجه , وهو اعادة تشغيل الجهاز وتعتبر دودة مطورة للاصدار السابق.

طريقة ازالتها :
1- ايقاف استعادة النظام عن طريق الضغط على الزر الايمن على جهاز الكمبيوتر ومن ثم خصائص ثم الذهاب إلى ايقاف استعادة النظام والتأشير على ( إيقاف استعادة النظام على كافة محركات الاقراص ) ومن ثم اضغط على تطبيق وليس على موافق كما هو موضح بالصورة في الاسفل

بعد ذلك ستظهر لك هذه النافذه اضغط Yes أو موافق

2- اضغط على البداية او Start من ثم تشغيل أو Run اكتب في الخانة regedit ومن ثم اذهب إلى هذا المسار

HKEY_LOCAL_MACHINE\Softwa
re\Microsoft\Windows\Curr
entVersion\Run

ستجد على الجهة اليسرى بالنسبة للويندوز العربي أو اليمنى للانجليزي هذا المدخل كما هو موضح في الصورة ادناه قم بالضغط على الزر الايمن وحذفه

3- قم بتحديث الانتي فايروس لديك إلى آخر نسخه.

4- قم بعمل بحث كامل بواسطة الانتي فايروس على جميع الاقراص

5- قم باعادة تشغيل الجهاز , ولاتنسى أن تفعل استعادة النظام مرة أخرى.

لمزيد من التفاصيل يمكنك زيارة صفحة الدودة على هذا الرابط
http://securityresponse.symantec.co...ser.b.worm.html

2- W32.Nimos.Worm

وصف الدودة وطريقة الانتقال ومضارها :
هذه الدودة أخطر من سابقتها وأكثر تعقيداً في طريقة برمجتها هذه الدودة تقوم بتخزين كل مايكتب من رسائل وكلمات مرور وتقوم بارسالها لمبرمجي هذه الدودة وتنتقل عن طريق الرسائل البريدية والشبكات وهي كسابقتها في التسلل بصمت عن طريق دمج اوامرها مع نفس الملف Lsass.exe بنفس الطريقة السابقة الذكر.

طريقة ازالتها :
1- ايقاف استعادة النظام عن طريق الضغط على الزر الايمن على جهاز الكمبيوتر ومن ثم خصائص ثم الذهاب إلى ايقاف استعادة النظام والتأشير على ( إيقاف استعادة النظام على كافة محركات الاقراص ) ومن ثم اضغط على تطبيق وليس على موافق كما هو موضح بالصورة في الاسفل

بعد ذلك ستظهر لك هذه النافذه اضغط Yes أو موافق

3- قم بتحديث الانتي فايروس لديك إلى آخر نسخه.

4- قم بعمل بحث كامل بواسطة الانتي فايروس على جميع الاقراص

5- قم باعادة تشغيل الجهاز , ولاتنسى أن تفعل استعادة النظام مرة أخرى.

لمن أراد ازالة الدودة من الرجستري يدويا وهذه الخطوة تتطلب خبرة في استخدام الرجستري ولن يحتاجها من يقوم بالخطوات السابقة هي كالتالي :

a. Click Start, and then click Run. (The Run dialog box appears.)

b. Type regedit

Then click OK. (The Registry Editor opens.)

c. Navigate to the key:

HKEY_LOCAL_MACHINE\Softwa
re\Microsoft\Windows\Curr
entVersionSystem Handler

d. In the left pane, delete the subkey:

System Handler

e. Navigate to the key:

HKEY_LOCAL_MACHINE\SOFTWA
RE\Microsoft\Windows\Curr
entVersion\Run

f. In the right pane, delete the value:

"System Handler"="%Windir%\System\LSASS.EXE"

g. Do one of the following:

· If you are running Windows NT/2000/XP, proceed to step j.

· If you are using Windows 95/98/me, proceed to step h.

h. Navigate to the key:

HKEY_LOCAL_MACHINE\SOFTWA
RE\Microsoft\Windows\Curr
entVersion\RunService

i. In the right pane, delete the value:

"System Handler"="%Windir%\System\LSASS.EXE"

j. Navigate to the registry key:

HKEY_CLASSES_ROOT\exefile
\-----\open\command

k. In the right pane, change the default value to: "%1" %*

l. Exit the Registry Editor.

لمزيد من التفاصيل يمكنك زيارة صفحة الدودة على هذا الرابط
http://securityresponse.symantec.co...nimos.worm.html

م
ن
ق
و
ل

للفائدة.

السعودي · 07-05-2004, 04:31 PM

[c]

[/c]
[c]كفو والله يا أبا إبراهيم

تسلم أخـي الحبيب على هذه الطريقة للتحلص من الفيروس الذي هو حديث مستخدمي الــ xp الــ 2000 [/c]

سراج الخير · 08-05-2004, 03:39 PM

أبو ابراهيم شكرا الك

07-05-2004, 02:09 PM	#1
أبو براهيم عـضـو تاريخ التسجيل: Jan 2004 المشاركات: 52	دودتان خطيرتان تصيبان الجهاز +طريقة حذفهم دودتان جديدتان يغزوان الأجهزه بصمت ويحيرون النورتن انتي فايورس وغيره من برامج الحمايه نرجوا من الله أن يبعد عنكم شرهما في هذا الموضوع سنشرح كل واحد على حده وكيفية ازالته 1- W32.Sasser.B.Worm وصف الدودة وطريقة الانتقال: تقوم هذه الدودة باستغلال ثغرة في ملف LSASS.exe أحد ملفات نظام وندوز , بحيث يدخل أمر إلى هذا الملف التنفيذي فيعتم على الانتي فايروس على انه امر شرعي من قبل ملف مصرح به تنتقل هذه الدودة عن طريق ارقام الايبي بشكل عشوائي . مضار هذه الدودة : تقوم هذه الدودة بنفس عمل دودة بلاستر المزعجه , وهو اعادة تشغيل الجهاز وتعتبر دودة مطورة للاصدار السابق. طريقة ازالتها : 1- ايقاف استعادة النظام عن طريق الضغط على الزر الايمن على جهاز الكمبيوتر ومن ثم خصائص ثم الذهاب إلى ايقاف استعادة النظام والتأشير على ( إيقاف استعادة النظام على كافة محركات الاقراص ) ومن ثم اضغط على تطبيق وليس على موافق كما هو موضح بالصورة في الاسفل بعد ذلك ستظهر لك هذه النافذه اضغط Yes أو موافق 2- اضغط على البداية او Start من ثم تشغيل أو Run اكتب في الخانة regedit ومن ثم اذهب إلى هذا المسار HKEY_LOCAL_MACHINE\Softwa re\Microsoft\Windows\Curr entVersion\Run ستجد على الجهة اليسرى بالنسبة للويندوز العربي أو اليمنى للانجليزي هذا المدخل كما هو موضح في الصورة ادناه قم بالضغط على الزر الايمن وحذفه 3- قم بتحديث الانتي فايروس لديك إلى آخر نسخه. 4- قم بعمل بحث كامل بواسطة الانتي فايروس على جميع الاقراص 5- قم باعادة تشغيل الجهاز , ولاتنسى أن تفعل استعادة النظام مرة أخرى. لمزيد من التفاصيل يمكنك زيارة صفحة الدودة على هذا الرابط http://securityresponse.symantec.co...ser.b.worm.html 2- W32.Nimos.Worm وصف الدودة وطريقة الانتقال ومضارها : هذه الدودة أخطر من سابقتها وأكثر تعقيداً في طريقة برمجتها هذه الدودة تقوم بتخزين كل مايكتب من رسائل وكلمات مرور وتقوم بارسالها لمبرمجي هذه الدودة وتنتقل عن طريق الرسائل البريدية والشبكات وهي كسابقتها في التسلل بصمت عن طريق دمج اوامرها مع نفس الملف Lsass.exe بنفس الطريقة السابقة الذكر. طريقة ازالتها : 1- ايقاف استعادة النظام عن طريق الضغط على الزر الايمن على جهاز الكمبيوتر ومن ثم خصائص ثم الذهاب إلى ايقاف استعادة النظام والتأشير على ( إيقاف استعادة النظام على كافة محركات الاقراص ) ومن ثم اضغط على تطبيق وليس على موافق كما هو موضح بالصورة في الاسفل بعد ذلك ستظهر لك هذه النافذه اضغط Yes أو موافق 3- قم بتحديث الانتي فايروس لديك إلى آخر نسخه. 4- قم بعمل بحث كامل بواسطة الانتي فايروس على جميع الاقراص 5- قم باعادة تشغيل الجهاز , ولاتنسى أن تفعل استعادة النظام مرة أخرى. لمن أراد ازالة الدودة من الرجستري يدويا وهذه الخطوة تتطلب خبرة في استخدام الرجستري ولن يحتاجها من يقوم بالخطوات السابقة هي كالتالي : a. Click Start, and then click Run. (The Run dialog box appears.) b. Type regedit Then click OK. (The Registry Editor opens.) c. Navigate to the key: HKEY_LOCAL_MACHINE\Softwa re\Microsoft\Windows\Curr entVersionSystem Handler d. In the left pane, delete the subkey: System Handler e. Navigate to the key: HKEY_LOCAL_MACHINE\SOFTWA RE\Microsoft\Windows\Curr entVersion\Run f. In the right pane, delete the value: "System Handler"="%Windir%\System\LSASS.EXE" g. Do one of the following: · If you are running Windows NT/2000/XP, proceed to step j. · If you are using Windows 95/98/me, proceed to step h. h. Navigate to the key: HKEY_LOCAL_MACHINE\SOFTWA RE\Microsoft\Windows\Curr entVersion\RunService i. In the right pane, delete the value: "System Handler"="%Windir%\System\LSASS.EXE" j. Navigate to the registry key: HKEY_CLASSES_ROOT\exefile \-----\open\command k. In the right pane, change the default value to: "%1" %* l. Exit the Registry Editor. لمزيد من التفاصيل يمكنك زيارة صفحة الدودة على هذا الرابط http://securityresponse.symantec.co...nimos.worm.html م ن ق و ل للفائدة.

07-05-2004, 04:31 PM	#2
السعودي عـضـو تاريخ التسجيل: Jul 2002 المشاركات: 5,163	[c] [/c] [c]كفو والله يا أبا إبراهيم تسلم أخـي الحبيب على هذه الطريقة للتحلص من الفيروس الذي هو حديث مستخدمي الــ xp الــ 2000 [/c] __________________

08-05-2004, 03:39 PM	#3
سراج الخير عـضـو تاريخ التسجيل: May 2003 البلد: .buraydahcity. المشاركات: 3,435	أبو ابراهيم شكرا الك __________________ . . لا إله إلا أنت سبحانك إنا كنا من الظالمين.. اللهم أعنا على ذكرك وشكرك وحسن عبادتك .. استغفر الله وأتوب إليه..