تمت الافاده ✔ فيروس باتش بالفلاشة

[Ahmed Gholam]

السلام عليكم... الفلاشة فيها فيروس عبارة عن ملف باتش مكتوب عليه Files.bat وفيه فولدر مخفي اسمه Files وبداخله فولدرين وبداخلهم ملفين بصيغة javascript... اللى بيحصل اني كل ما بحط الفلاشة بتقعد حوالي خمس ثواني والجهاز يعلق وكل حاجة تختفي جواها وتتحول الفلاشة ل Removable disk.... حاولت افتح الفلاشة بسرعة وامسح الباتش مش بيتمسح ولا بيتعدل بس لما بعمل كليك يمين عليه واختار edit بسرعة بلاقي الامر مكتوب انه يفتح ملف الjavascript اللى موجود في الفولدر Files... يعني الباتش ده بيشتغل تقائي عشان يشغل الاسكريبت ويقفل الفلاشة.... وجربت بكل برامج الحماية مفيش فايدة لان الفلاشة مش بتظهر عليه وكأنها مش موجودة... وحطيت الفلاشة عالموبايل نفس الفكرة تفتح وتقفل لوحدها... حد جرب طريقة ناجحة لو سمحتم وشكرا مقدما

 

[Ahmed Gholam]

أخى الكريم
معنى ذلك ان الفلاشة أصبح بها
عيب فى الهاردوير والمسألة لا علاقة لها بأى فيروس
فلا تتعب نفسك

​

لكن الفلاشة تعمل فالsafe mode بحجمها العادي والجهاز متعرف عليها فالdevice manager وطالما الفلاشة تفتح وتظهر مابداخلها اعتقد ده بسبب الauto-excute للباتش يعني الملف يشتغل تلقائيا بمجرد فتح الفلاشة وهو اللى بيشغل ملف الاسكريبت ويعطل الفلاشة... جربت تعطيل autorun لكن لاتوثر على تشغيل الباتش... الحل يكمن في طريقة لايقاف التشغيل التلقائي للباتش من قبل وضع الفلاشة بحيث عند وضعها لايستجيب الباتش وبالتالي لن يفتح ملف الاسكريبت

 

[وحي القلموحي القلم is verified member.]

أخى الكريم
ملف الاسكريبت الموجود على الفلاشة تم تصميمه
ليعمل فى بيئة الويندز فقط وإذا تم وضع الفلاشة
فى بيئة غير الويندز فلن يعمل ملف الاسكريبت
وإذا إفترضنا صحة هذا الكلام

فهناك حل أخر ومجرب
عليك بإسطوانة الإنقاذ لبرنامج Kaspersky
وهى تعمل فى بيئة الدوس أدخل عليها
وحدث البرنامج وقم بعمل إسكان على الفلاشة
وبحسب الخبرة برنامج Kaspersky أقوى برنامج
للتنظيف من الإصابات ( فيروس تروجان ديدان إلخ )

Kaspersky Rescue Disk 18.0.11.3c data 2023.06.04

تحميل

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

بالتوفيق​

 

[Lasker]

الاداة جربتها وفعلا نسخت ملف الباتش والفلاشة خرجت بعدها..
فعدلت في الكود بحيث يقدر ينسخ الملفين الاخرين ويتجنب نسخ ملف الباتش اولا وقدرت انسخ الثلاث ملفات اللى فيها المشاكل ورفعها عالرابط

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

\\

 

[hatem-ghouthi]

بعد فحص ملف الباتش الخاص بالفيروس وجدت انه يقوم بتشغيل ملف js عبر برنامج wscript
اول ملاحظة هو ان النظام الخاص بك مصاب بهذا الفيروس. ولا يمكن الكشف عليه لانه غير ضار بالنظام بشكل مباشر. فهو ظاهريا يقوم باجبار الفلاش على الخروج eject
لكن لم اعرف ماذا يعمل الكود في ملف js لانو مشفر كم من مرة.

في طريقة لكن تحتاج تركيز. وهي بتعطيل تشغيل cmd و wscript من النظام نهائيا. بحيث يصبح الفيروس مجرد ملف لا يتعرف عليه النظام. بامكاننا تجربة اولا تعطيل برنامج wscript
البرنامج تجده في مسار system32
قم بظغطه على وينرار لنحتفظ بنسخة احتياطية و احذفه. ثم اظف مجلد بنفس الاسم wscript لمنع النظام من استعادة البرنامج wscript.exe

اذا منعك النظام من حذف البرنامج فقط استعمل برنامج iobit unlocker و اعمل force delete
رابط التحميل

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

وقم بتركيب الفلاشة و اخبرنا بالنتيجة .

 

[hatem-ghouthi]

اذا ما نجحت التجربة فقط اعد البرنامج كما كان
ونزل برنامج 360 total security
ثم اعمل تحديث لقاعدة الفيروسات واعمل فحص كامل
فقط بتنزيل ملف الفيروس تم التعرف عليه و حذفه تلقائيا بهذا البرنامج

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

 

[Ahmed Gholam]

أخى الكريم
ملف الاسكريبت الموجود على الفلاشة تم تصميمه
ليعمل فى بيئة الويندز فقط وإذا تم وضع الفلاشة
فى بيئة غير الويندز فلن يعمل ملف الاسكريبت
وإذا إفترضنا صحة هذا الكلام

فهناك حل أخر ومجرب
عليك بإسطوانة الإنقاذ لبرنامج Kaspersky
وهى تعمل فى بيئة الدوس أدخل عليها
وحدث البرنامج وقم بعمل إسكان على الفلاشة
وبحسب الخبرة برنامج Kaspersky أقوى برنامج
للتنظيف من الإصابات ( فيروس تروجان ديدان إلخ )

Kaspersky Rescue Disk 18.0.11.3c data 2023.06.04

تحميل

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

بالتوفيق​

جربته أخي الكريم والنظام يعمل بنفس طريقة اللينكس وللاسف نفس المشكلة حتى لو وضعت الفلاشة فالموبايل تفتح وتغلق في ثواني

 

[Ahmed Gholam]

اذا ما نجحت التجربة فقط اعد البرنامج كما كان
ونزل برنامج 360 total security
ثم اعمل تحديث لقاعدة الفيروسات واعمل فحص كامل
فقط بتنزيل ملف الفيروس تم التعرف عليه و حذفه تلقائيا بهذا البرنامج

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

مشاهدة المرفق 244452

حذفت الملف لكن لم يؤثر على عمل الباتش... ونزلت البرنامج وفعلا بيتعرف عالملفات اللى استخرجتها من الفلاشة على هيئة فيروس ولكن لم يستطيع الوصول للفلاشة.. بمجرد ادخال الفلاشة تتحول ل removable disk لازم امسح الانتيفيروس عشان تظهر الحجم وتفتح مؤقتا

 

[Ahmed Gholam]

مشاهدة المرفق 244447\\

مشاهدة المرفق 244451


مشاهدة المرفق 244449


مشاهدة المرفق 244450

الملفات تظهر كفيروس فعلا لو وضعناها في اى مكان غير الفلاشة يكون المشكلة ان نفس الملفات دي في الفلاشة جعلتها لاتقبل اي تلاعب فيها لا اعلم طريقة عملها... يعني مثلا لو فتحت الفلاشة مؤقتا وضغطت كليك يمين على ملف الjs. على اساس اختار edit يروح الجهاز يعلق لثواني وتغلق الفلاشة في حين لو نفس الملفات دي عالكمبيوتر اقدر اضغط كليك يمين واختار edit عادي

 

[hatem-ghouthi]

افتح cmd
واكتب
TASKLIST>c:\list.txt
انسخ محتوى الملف النصي على القرص c اسمه List
وضع المحتوى هنا

 

[أبـو محـمد]

اولآ هذي البرمجيات وخاصه الجافا سكربت من اخطرها والسبب عدم كشفه من اغلب الحمايات وثانيآ يتم وضعه بالمتصفح .

عانيت منها كثيرآ لكن يجب عليك اولآ تنظيف جهازك وليس الفلاشه لا تقم بالدخول الى الفلاشه

تأكد من جهازك اولآ وقبل استخدام الفلاشه قم بمسح الملفات المؤقته في temp والخ .

بعدها افتح cmd من خلال حساب المسؤول administrator لا تغلق cmd

وقم بتوصيل الفلاشه اكتب في الـ cmd

مثلآ :

:F ثم انتر لنفترض ان الـ F الفلاشه عند الدخول قم بكتابة الامر del autorun.inf

اهم شي تقوم بحذف هذا -> autorun.inf

كل المحاولات تنتهي بنفس النتيجة
الحل الوحيد هو محاولة معرفة الفيروس و كيف يعمل
انشئ ملف باتش بهذا الكود

@echo off
md "c:\flashfiles"
:a
cls
xcopy "h:\" "c:\flashfiles" /E /H /C /I
goto a

هذا الكود ينسخ جميع الملفات من مصدر محدد مثلا الفلاشة رمزها h الى مجلد على القرص c
كيفية انشاء ملف باتش

شغل الكود اولا قبل وضع الفلاشة. ثم انتظر مدة بعد وضع الفلاشةلكي يحاول نسخ جميع الملفات عليها حتى تخرج الفلاشة وحدها من النظام و اغلق الكود


قم بظغط المجلد
c:\flash files
على القرص بالوينرار و ارفع على اي موقع رفف وعلق برابط التحميل لكي يفحصه فريق الخبراء في زيزوم

سؤال خارج الموضوع
ما اسم البرنامج الي قمت بعمل الشرح عليه .؟

 

[hatem-ghouthi]

سؤال خارج الموضوع
ما اسم البرنامج الي قمت بعمل الشرح عليه .؟

برنامج
LICEcap

 

[أبـو محـمد]

برنامج
LICEcap

شكرآ لك

 

[فراس ابو صالح]

تفضلوا اصدقائي


تنويه مهم جدا: إذا تعارض البرنامج أو الملف المدفعي مع برنامج الحماية لطفا: قم بإيقافه مؤقتا حتى تتم العملية بنجاح وشكرا.
أنا أعمل على تطوير البرامج والبرمجة وقد قمت بتجربة العديد من الأجهزة والخوادم. أنا أدرك تحديات المبرمجين والمطورين في العالم، وأنا ملتزم بتوفير محتوى آمن ومفيد وتجنب أي شيء يمكن أن يضر بك أو يتعارض مع مبادئ الأمان.
لا تتردد في طرح أي استفسارات أو طلبات، وسنكون سعداء بتقديم المساعدة فيما يتعلق بالبرامج والشروح.
شكرًا لتفهمكم. نحن هنا لمساعدتك في أي وقت تحتاج إليه

تم نشر الشرح بالكامل تفضل رابط الموضوع الموجهة له الشرح: الأداة مصممة بشكل خاص وبشكل عام

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

ودمتم بخير​

 

[فراس ابو صالح]

بإذن الله واتمنى الجميع يستفيد من الموضوع

تفضلوا اصدقائي


تنويه مهم جدا: إذا تعارض البرنامج أو الملف المدفعي مع برنامج الحماية لطفا: قم بإيقافه مؤقتا حتى تتم العملية بنجاح وشكرا.
أنا أعمل على تطوير البرامج والبرمجة وقد قمت بتجربة العديد من الأجهزة والخوادم. أنا أدرك تحديات المبرمجين والمطورين في العالم، وأنا ملتزم بتوفير محتوى آمن ومفيد وتجنب أي شيء يمكن أن يضر بك أو يتعارض مع مبادئ الأمان.
لا تتردد في طرح أي استفسارات أو طلبات، وسنكون سعداء بتقديم المساعدة فيما يتعلق بالبرامج والشروح.
شكرًا لتفهمكم. نحن هنا لمساعدتك في أي وقت تحتاج إليه

تم نشر الشرح بالكامل تفضل رابط الموضوع الموجهة له الشرح: الأداة مصممة بشكل خاص وبشكل عام

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

ودمتم بخير​

 

[فراس ابو صالح]

يا ريت كلنا ك هواة أو مبرمجين محترفين أو من يملك خبرة أن نتعاون مع بعضنا البعض ونقوم بإنتاج من نحتاجه لحل مشاكلنا ومشاكل الإخوة والأخوات ونبني قاعدة قوية على الأقل نكون على دراية كاملة ودراسة لكل ما نقدمه أو نقوم على تعداده وأنا أرغب جدا بتواصل مع كل شخص يود التواصل معي من أجل تبادل الخبرات وكل ما اتمناه وأرجوه منكم جميعا فضلا وليس امرا هو الدعاء لروح والدي رحمة الله وللمسلمين والمسلمات أحبكم جميعا بالله وعلى الله فل يتوكل المتوكلون

 

[Ahmed Gholam]

يا ريت كلنا ك هواة أو مبرمجين محترفين أو من يملك خبرة أن نتعاون مع بعضنا البعض ونقوم بإنتاج من نحتاجه لحل مشاكلنا ومشاكل الإخوة والأخوات ونبني قاعدة قوية على الأقل نكون على دراية كاملة ودراسة لكل ما نقدمه أو نقوم على تعداده وأنا أرغب جدا بتواصل مع كل شخص يود التواصل معي من أجل تبادل الخبرات وكل ما اتمناه وأرجوه منكم جميعا فضلا وليس امرا هو الدعاء لروح والدي رحمة الله وللمسلمين والمسلمات أحبكم جميعا بالله وعلى الله فل يتوكل المتوكلون

هو الباسورد كام لوسمحت

 

[فراس ابو صالح]

عذرا اخي الكريم قد نسيت وضعها مع انها ظاهره في الفيديو

كلمة السر هي : 1234

اكرر اعتذراي

 

[Ahmed Gholam]

عذرا اخي الكريم قد نسيت وضعها مع انها ظاهره في الفيديو

كلمة السر هي : 1234

اكرر اعتذراي

لا ولايهمك شكرا لمجهودك طبعا وجاري التجربة

 

[فراس ابو صالح]

لا ولايهمك شكرا لمجهودك طبعا وجاري التجربة

تم تعديل المشاركة و كتابة كلمة السر

انتظر تجربتك صديقي

 

[hatem-ghouthi]

بعد تشغيل الفيروس على نظام وهمي وجدت انه يقوم باظافة نفسه الى مسار مجلد مخفي في مجلد المستخدمين
ويقوم بتعطيل بعض خصائص الويندوز اهمها برنامج msconfig
كيفية ايجاد مجلد الفيروس

الملفات التنفيذية للففيروس تشتغل بشكل تلقائي مع النظام
يوجد حل مناسب الدخول لوضع safe mode ثم الذهاب لمجلد الفيروس كما الشرح السابق
حذف المجلد باكمله
تعطيل wscript كما الشرح السابق
واعادة تشغيل النظام و التجربة



رابط الفيروس

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

كلمة السر

infected