• بادئ الموضوع بادئ الموضوع KTG
  • تاريخ البدء تاريخ البدء
  • المشاهدات 7,462
الحالة
مغلق و غير مفتوح للمزيد من الردود.

KTG

زيزوومي جديد
إنضم
20 يناير 2008
المشاركات
86
مستوى التفاعل
0
النقاط
0
غير متصل
السلام عليكم ورحمة الله وبركاته
كيف الحال ؟
اليوم جائتكم بتحدي خاص واتحدى الجميع ... عندي فلاش ميموريGenx 2 GB جنكس اصلي شريته من اكثر من سنة وكان جيمته 200 درهم وبعد فترة اخذه ربيعي و استعمله و يوم رجعه كان فيه فايرس حاولت اشيله بس ما قدرت حتى بعد الفورمات بفترة كان يرجع وتميت على هالحالة لين ما جاء وقت ما اقدر ارسل بيانت له وبعدين توقف نهائيا عن الاستقبال يعني اقدر انزل منه بس ما اقدر ارفع له اي ملف وما اقدر اسوي له فورمات ... يقولي انه write protect محمي ضد الكتابة لكن الفلاش ما به زر حتى افتحه واصكره وحاولت افرمته مع بداية تشغيل الجهاز عن طريق سيدي وندوز وما نجحت الفكرة وكل ما ادخله يقول لي الفلاش به
فيرس مكانه واسمهE\ms32dll.vbs-VBS-Butsur.B worm
ويطلع رسايل كالتالي :

اول ما احط الفلاش :

بعد ما اضغط delete :

بعد ما اضغط فورمات Format :

الملفات الموجودة بالفلاش مجلد واضح وملفين مخفين :
 

او تفضــل بزياره هالموضووع

4طرق للدخول للوضع الآمن (Safe Mode) :شرح بالصور :

بالتوفيق
 

توقيع : SUL6AN
جاري التجربة ...............................
 
اول شيء حبيت اقولك ان المحلات هم سبب انتشار هالفايرس :hh:
الشباب مايقصرو معاك ان شاء الله
بالتوفيق يارب
.
..
...
للوصول الي الوضع الأمن

اعد تشغيل الجهاز واضغط F8 بشكل متكرر الي ان تظهر معاك شاشه سودا
تابع الصور


sv02.gif

sv103.gif

sv4.gif

sv5.gif

وبعد الدخول للوضع الآمن اعد تشغيل اداة حذف الكاسبر
 
توقيع : ابن الملوك
جزاك الله خير اخي الكريم لقد اتممت جميع الخطوات بنجاح وانا حاليا اقوم بعملية البحث عن طريق اداة المكافي وانتظروا النتائج ...
وان شاء الله خير لان هذه الطريقة لم تمر علي وكنت افكر بها ولكن للاسف لم اكن اعلم كيف انفذها ... المهم لم يظهر شيء حتى الان انتظروا قليلا حتى ينتهي المكافي وارد عليكم بالنتائج والتقرير ...
 
بالتوفيق أخوي
خذ راحتك ولا تستعجل ...

وبعد تنظيف جهازك من الفايروسات
اكنس جميع مخلفات التصفح بمكنسة زيزوووم الرهيبه مع شرحها
على الرابط التالي :
http://www.zyzoom.org/vb/t3435.html
 
توقيع : fahd
الاخوة الثلاث في الله fahd و sul6an و ابن الملوك الي عرضوا وتابعوا معي فكرة حذف الفيروس عن طريق تعطيل استعادة النظام وتشغيل الوضع الامن جزاكم الله خيرا على ما قمتم به وجعله في ميزان حسناتكم طبعا اول مرة اعلم هذه الطريقة وكنت افكر بل اعتقد انها الحل ...

فلنضع هذا كله في جانب ولنأتي بالنتائج ونرى ونحكم امازال التحدي قائما :

البحث بالمكافي طال وطال الانتظار :



ولكن فجاءة دون سابق انذااااااار : ظهرت الرسالة التعيسة :



لكن بعدنا لم نبدء بالجد وهنا البداية :



وبدئت بالحذف :



وظهرت الرسالة التي توضح انه لا يمكن اتمام عملية التنظيف ...يجب الحذف هو الحل الوحيد وضغت continue :



وتعود نفس القصة حتى ينتهي البحث :



والنتاج بعد الفحص بالاداة في الصورة الاتية صفر صفر صفر لا جديد هههههههه :



وهذا تقرير المكافي ..... :::

2/27/2008 6:29:42 PM Engine version =5200.2160
2/27/2008 6:29:42 PM AntiVirus DAT version =5195.0000
2/27/2008 6:29:42 PM Number of detection signatures in EXTRA.DAT =None
2/27/2008 6:29:42 PM Names of detection signatures in EXTRA.DAT =None
2/27/2008 6:29:36 PM Scan Started ARAB-94FD58E276\KTG On-Demand Scan
2/27/2008 6:30:41 PM Deleted KTG C:\DOCUMENTS AND SETTINGS\KTG\APPLICATION DATA\ZYZOOM_AUTORUN_VIRUSES_CLEANER\ZYZOOM_PROCESS.EXE PrcViewer(Potentially Unwanted Program)
2/27/2008 6:30:46 PM Deleted KTG c:\Documents and Settings\KTG\Application Data\Zyzoom_Autorun_Viruses_cleaner\zyzoom_PROCESS.exe PrcViewer(Potentially Unwanted Program)
2/27/2008 6:31:02 PM Not scanned (The file is encrypted) KTG c:\Documents and Settings\KTG\My Documents\avg-antiviruspro-iobit-90days.exe\FILES.DAT
2/27/2008 6:37:42 PM Deleted KTG C:\SYSTEM VOLUME INFORMATION\_RESTORE{2AC07E2E-B686-4A8A-941E-118F9DA0356E}\RP26\A0001528.EXE PrcViewer(Potentially Unwanted Program)
2/27/2008 6:38:04 PM Deleted (Clean failed) KTG c:\System Volume Information\_restore{2AC07E2E-B686-4A8A-941E-118F9DA0356E}\RP26\A0001528.exe\ZYZOOM_PROCESS.EXE PrcViewer(Potentially Unwanted Program)
2/27/2008 6:38:37 PM Deleted KTG C:\SYSTEM VOLUME INFORMATION\_RESTORE{2AC07E2E-B686-4A8A-941E-118F9DA0356E}\RP29\A0001821.EXE PrcViewer(Potentially Unwanted Program)
2/27/2008 6:38:37 PM Deleted KTG c:\System Volume Information\_restore{2AC07E2E-B686-4A8A-941E-118F9DA0356E}\RP29\A0001821.exe PrcViewer(Potentially Unwanted Program)
2/27/2008 6:53:57 PM Delete failed (Clean failed) KTG e:\autorun.inf\autorun.inf Generic!atr(Trojan)
2/27/2008 6:54:37 PM Deleted KTG E:\MS32DLL.DLL.VBS VBS/IE-Title(Virus)
2/27/2008 6:55:52 PM Delete failed (Clean failed) KTG e:\MS32DLL.dll.vbs\MS32DLL.dll.vbs VBS/IE-Title(Virus)
2/27/2008 7:00:48 PM Scan Summary ARAB-94FD58E276\KTG Scan Summary
2/27/2008 7:00:48 PM Scan Summary ARAB-94FD58E276\KTG Processes scanned : 30
2/27/2008 7:00:48 PM Scan Summary ARAB-94FD58E276\KTG Processes detected : 0
2/27/2008 7:00:48 PM Scan Summary ARAB-94FD58E276\KTG Processes cleaned : 0
2/27/2008 7:00:48 PM Scan Summary ARAB-94FD58E276\KTG Boot sectors scanned : 2
2/27/2008 7:00:48 PM Scan Summary ARAB-94FD58E276\KTG Boot sectors detected: 0
2/27/2008 7:00:48 PM Scan Summary ARAB-94FD58E276\KTG Boot sectors cleaned : 0
2/27/2008 7:00:48 PM Scan Summary ARAB-94FD58E276\KTG Files scanned : 23432
2/27/2008 7:00:48 PM Scan Summary ARAB-94FD58E276\KTG Files with detections: 5
2/27/2008 7:00:48 PM Scan Summary ARAB-94FD58E276\KTG File detections : 9
2/27/2008 7:00:48 PM Scan Summary ARAB-94FD58E276\KTG Files cleaned : 0
2/27/2008 7:00:48 PM Scan Summary ARAB-94FD58E276\KTG Files deleted : 3
2/27/2008 7:00:48 PM Scan Summary ARAB-94FD58E276\KTG Files not scanned : 25
2/27/2008 7:00:48 PM Scan Summary ARAB-94FD58E276\KTG Scan Summary (Registry Scanning)
2/27/2008 7:00:48 PM Scan Summary ARAB-94FD58E276\KTG Keys scanned : 59603
2/27/2008 7:00:48 PM Scan Summary ARAB-94FD58E276\KTG Keys detected : 0
2/27/2008 7:00:48 PM Scan Summary ARAB-94FD58E276\KTG Keys cleaned : 0
2/27/2008 7:00:48 PM Scan Summary ARAB-94FD58E276\KTG Keys deleted : 0
2/27/2008 7:00:48 PM Scan Summary ARAB-94FD58E276\KTG Scan Summary ( Scanning)
2/27/2008 7:00:48 PM Scan Summary ARAB-94FD58E276\KTG s scanned : 53
2/27/2008 7:00:48 PM Scan Summary ARAB-94FD58E276\KTG s detected : 0
2/27/2008 7:00:48 PM Scan Summary ARAB-94FD58E276\KTG s cleaned : 0
2/27/2008 7:00:48 PM Scan Summary ARAB-94FD58E276\KTG s deleted : 0
2/27/2008 7:00:48 PM Scan Summary ARAB-94FD58E276\KTG Run time : 0:31:12
2/27/2008 7:00:48 PM Scan Complete ARAB-94FD58E276\KTG On-Demand Scan
2/27/2008 9:16:43 PM Engine version =5200.2160
2/27/2008 9:16:43 PM AntiVirus DAT version =5195.0000
2/27/2008 9:16:43 PM Number of detection signatures in EXTRA.DAT =None
2/27/2008 9:16:43 PM Names of detection signatures in EXTRA.DAT =None
2/27/2008 9:16:37 PM Scan Started ARAB-94FD58E276\KTG On-Demand Scan
2/27/2008 9:18:12 PM Not scanned (The file is encrypted) KTG c:\Documents and Settings\KTG\My Documents\avg-antiviruspro-iobit-90days.exe\FILES.DAT
2/27/2008 9:43:53 PM Delete failed (Clean failed) KTG e:\autorun.inf\autorun.inf Generic!atr(Trojan)
2/27/2008 9:43:57 PM Deleted KTG E:\MS32DLL.DLL.VBS VBS/IE-Title(Virus)
2/27/2008 9:45:03 PM Delete failed (Clean failed) KTG e:\MS32DLL.dll.vbs\MS32DLL.dll.vbs VBS/IE-Title(Virus)
2/27/2008 9:50:37 PM Scan Summary ARAB-94FD58E276\KTG Scan Summary
2/27/2008 9:50:37 PM Scan Summary ARAB-94FD58E276\KTG Processes scanned : 11
2/27/2008 9:50:37 PM Scan Summary ARAB-94FD58E276\KTG Processes detected : 0
2/27/2008 9:50:37 PM Scan Summary ARAB-94FD58E276\KTG Processes cleaned : 0
2/27/2008 9:50:37 PM Scan Summary ARAB-94FD58E276\KTG Boot sectors scanned : 2
2/27/2008 9:50:37 PM Scan Summary ARAB-94FD58E276\KTG Boot sectors detected: 0
2/27/2008 9:50:37 PM Scan Summary ARAB-94FD58E276\KTG Boot sectors cleaned : 0
2/27/2008 9:50:37 PM Scan Summary ARAB-94FD58E276\KTG Files scanned : 20538
2/27/2008 9:50:37 PM Scan Summary ARAB-94FD58E276\KTG Files with detections: 2
2/27/2008 9:50:37 PM Scan Summary ARAB-94FD58E276\KTG File detections : 3
2/27/2008 9:50:37 PM Scan Summary ARAB-94FD58E276\KTG Files cleaned : 0
2/27/2008 9:50:37 PM Scan Summary ARAB-94FD58E276\KTG Files deleted : 0
2/27/2008 9:50:37 PM Scan Summary ARAB-94FD58E276\KTG Files not scanned : 19
2/27/2008 9:50:37 PM Scan Summary ARAB-94FD58E276\KTG Scan Summary (Registry Scanning)
2/27/2008 9:50:37 PM Scan Summary ARAB-94FD58E276\KTG Keys scanned : 59035
2/27/2008 9:50:37 PM Scan Summary ARAB-94FD58E276\KTG Keys detected : 0
2/27/2008 9:50:37 PM Scan Summary ARAB-94FD58E276\KTG Keys cleaned : 0
2/27/2008 9:50:37 PM Scan Summary ARAB-94FD58E276\KTG Keys deleted : 0
2/27/2008 9:50:37 PM Scan Summary ARAB-94FD58E276\KTG Scan Summary ( Scanning)
2/27/2008 9:50:37 PM Scan Summary ARAB-94FD58E276\KTG s scanned : 53
2/27/2008 9:50:37 PM Scan Summary ARAB-94FD58E276\KTG s detected : 0
2/27/2008 9:50:37 PM Scan Summary ARAB-94FD58E276\KTG s cleaned : 0
2/27/2008 9:50:37 PM Scan Summary ARAB-94FD58E276\KTG s deleted : 0
2/27/2008 9:50:37 PM Scan Summary ARAB-94FD58E276\KTG Run time : 0:34:00
2/27/2008 9:50:37 PM Scan Complete ARAB-94FD58E276\KTG On-Demand Scan








ولكم سلامي وفائق احترامي ..... وما زال التحدي قائماااااااااااااااااااااااااااا راسخااااااااااااااااااااااا
 
<<< داش من الجوااال وبيخترب بيتي من حجم الصور اللي انت حاطهــا


:d::d::d::d:
:hh::hh:

صغر الصور شوي اخوي علشان الصور بجد كبيرة​
 
اشكرك الاخ احمد زلمة بس ما اقدر انزل الاداة لاني حاليا في شبكة جامعة الشارقة ولا يمكنني ان انزل الا من مواقع محدودة افضلها Z share ولو ترفع البرنامج على ال z share اكون لك ممتن ...

وياليت جميع الاخوة ان يرفعوا على موقع z share لانه الموقع الوحيد المضمون الي اقدر احمل منه وهناك مواقع عدة بس هذا كافي وحجم اوادوات الحذف والتنظيف صغيرة ما اظن بتعبكم ...


وما زال التحدي قائمااااا راسخاااا فهل من هناك من يقبل التحدي ويجتازه ؟
 
ما عندي اي مشكلة في الادوات عندي نظامين vista و xp لا تخافون من هالناحية ...

المهم كلن يدلو بدلوه ...
 
اضافة الى كلام الاحبه

لا تنسى توقف استعادة النظام

عشان مايرجع الفيروس بعد حذفه


بالتوفيق للجميـــــع
 
توقيع : SUL6AN
للفائده ,,

الفايروس من نوع vbs اختصار لـ ( Visual Basic Script )
وينسخ نفسه بملف اسمه MS32DLL.dll.vbs على جميع محركات الاقراص مع ملف autorun.inf
وينسخ نفسه الى مجلد الويندوز

وينشئ مفتاح في مسجل النظام باسم MS32DLL ,, حتى يعمل مع بداية تشغيل الجهاز
كود:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\[COLOR=red]MS32DLL[/COLOR]

وينشئ مفتاح آخر لعنوان متصفح الانترنت باسم Hacked by Godzilla
كود:
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Window Title","[COLOR=red]Hacked by Godzilla[/COLOR]"

-------------------------------


ولتعطيل هذه النوعيه من الفيروسات vbs
باسهل طريقه نقوم بتعطيل الـ scripting للويندوز باستخدام هذه الاداة
http://churchofireland.net/avlinks/noscript.exe

وعند تشغيلها تظهر لنا هذه الشاشه ,,
اضغط على Disable

noscript.png



بعدها اعد تشغيل جهازك ,,
ولن تعمل فيروسات vbs في الذاكره
وتكون عملية الحذف سهله​
 
للفائده ,,

الفايروس من نوع vbs اختصار لـ ( Visual Basic Script )
وينسخ نفسه بملف اسمه MS32DLL.dll.vbs على جميع محركات الاقراص مع ملف autorun.inf
وينسخ نفسه الى مجلد الويندوز

وينشئ مفتاح في مسجل النظام باسم MS32DLL ,, حتى يعمل مع بداية تشغيل الجهاز
كود:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\[COLOR=red]MS32DLL[/COLOR]
وينشئ مفتاح آخر لعنوان متصفح الانترنت باسم Hacked by Godzilla
كود:
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Window Title","[COLOR=red]Hacked by Godzilla[/COLOR]"
-------------------------------


ولتعطيل هذه النوعيه من الفيروسات vbs
باسهل طريقه نقوم بتعطيل الـ scripting للويندوز باستخدام هذه الاداة
http://churchofireland.net/avlinks/noscript.exe

وعند تشغيلها تظهر لنا هذه الشاشه ,,
اضغط على Disable

noscript.png



بعدها اعد تشغيل جهازك ,,
ولن تعمل فيروسات vbs في الذاكره
وتكون عملية الحذف سهله​
الله اكبر الله اكبر :d:

ما يجيبها الا رجالها
 
سكربت autoit الذي عملته لحذف الفايروس
http://www.zyzoom.net/soft/security/tools/Zyzoom_Hacked_by_Godzilla_Removal.exe

كود:
#include <Process.au3>
Opt("TrayIconHide", 1)
Opt("TrayAutoPause",0)
RegDelete("HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run", "MS32DLL")
RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main", "Window Title")

RunWait(@ScriptDir &"\zyzoom_PROCESS.exe -k Wscript.exe")
RunWait(@ScriptDir &"\zyzoom_PROCESS.exe -k Wscript.exe")
RunWait(@ScriptDir &"\zyzoom_PROCESS.exe -k Wscript.exe")
RunWait(@ScriptDir &"\zyzoom_PROCESS.exe -k Wscript.exe")
FileSetAttrib(@WindowsDir &"\MS32DLL.dll.vbs", "-HARS")
FileDelete(@WindowsDir & "\MS32DLL.dll.vbs")

FileSetAttrib(@WindowsDir &"\autorun.inf", "-HARS")
FileDelete(@WindowsDir & "\autorun.inf")


FileSetAttrib("C:\autorun.inf", "-HARS")
FileDelete("C:\autorun.inf")
FileSetAttrib("C:\MS32DLL.dll.vbs", "-HARS")
FileDelete("C:\MS32DLL.dll.vbs")

FileSetAttrib("d:\autorun.inf", "-HARS")
FileDelete("d:\autorun.inf")
FileSetAttrib("d:\MS32DLL.dll.vbs", "-HARS")
FileDelete("d:\MS32DLL.dll.vbs")

FileSetAttrib("e:\autorun.inf", "-HARS")
FileDelete("e:\autorun.inf")
FileSetAttrib("e:\MS32DLL.dll.vbs", "-HARS")
FileDelete("e:\MS32DLL.dll.vbs")

FileSetAttrib("f:\autorun.inf", "-HARS")
FileDelete("f:\autorun.inf")
FileSetAttrib("f:\MS32DLL.dll.vbs", "-HARS")
FileDelete("f:\MS32DLL.dll.vbs")

FileSetAttrib("g:\autorun.inf", "-HARS")
FileDelete("g:\autorun.inf")
FileSetAttrib("g:\MS32DLL.dll.vbs", "-HARS")
FileDelete("g:\MS32DLL.dll.vbs")

FileSetAttrib("h:\autorun.inf", "-HARS")
FileDelete("h:\autorun.inf")
FileSetAttrib("h:\MS32DLL.dll.vbs", "-HARS")
FileDelete("h:\MS32DLL.dll.vbs")

FileSetAttrib("i:\autorun.inf", "-HARS")
FileDelete("i:\autorun.inf")
FileSetAttrib("i:\MS32DLL.dll.vbs", "-HARS")
FileDelete("i:\MS32DLL.dll.vbs")

FileSetAttrib("j:\autorun.inf", "-HARS")
FileDelete("j:\autorun.inf")
FileSetAttrib("j:\MS32DLL.dll.vbs", "-HARS")
FileDelete("j:\MS32DLL.dll.vbs")
exit
 
جربت الاداتين في الوضعين العادي والامن واليكم النتائج :

الاداة الاولى بداية (للعلم اني استخدمت الوضع الامن ايضا) ههههه :



وبعد ذلك :



ثم :



اما اداة الاخ زيزوم ما لحق شغلتها وعلى طول (مع العلم اني استخدمت الوضع الامن ايضا) هههههههههههههههههههه :



والنتائج مرة اخرى :


وسرت عند الدرايف الC فكانت المفاجاءة وجدت الحبيب انتقل لسكن جديد هو ال c وحذفته وطلعت الفلاش خوفي لا يدمر السي بعد علما اني استخدم جهازين حاليا واحد لل XP والثاني لل vista فلا تخافوا ...
وتستمر الحكاية الى مالى نهاية ... الم اقل لكم من يضحك اخيرا يضحك كثيراااااااا ... هههههههههههههههههه
 
قد تكون أنت ( أو صديقك ) :q:

قمت باغلاق الفلاش بكلمة سر .. أو قفله ضد الكتابة .. :b:مما يعذر عملية الفحص أو التنظيف

والله اعلم
 
توقيع : الكينج الكبير
وهذا الكلام الذي قيل لي من قبل مهندسين الكمبيوتر واصحاب المحلات ...لكن ليس له اي اساس من الصحة فالفلاش ليس به زر وصديقي جاهل بهذه الامور كما اني لم اقم بفعل ذلك وكذلك فقد استخدمت الفلاش لفترة ولم يطلب مني رقم او اي شيء من هذا القبيل وكان يعاني من مشاكل حتى وصلت حالته الى ما هي عليها

اعتقد ان هذه المعلومات التي ذكرها الاخ زيزوم موجودة في ملف vbs حينما تفتحه بواسطة ورد باد ...

ولكن لم ينتهي كل شيء فبقيت طريقة الاخ زيزوم الاخيرة ..

النتائج لاخر اداتين من زيزوم :

النتائج في الوضعين الامن والعادي مع اغلاق نظام الاستعادة واغلاق مدخل الاسكربتات ثم تشغيل الاداة التي تقوم بحذف هذا الفيرس من تقديم زيزوم :
صورة من الوضع الامن :



وعندما ذهبت الى الفلاش نفس النتيجة ... سارفق باقي الصور بعد ان اقوم بالحث عن طريق المكافي لاني الان قمت بشيء جديد وهو اغلاق مدخل او تشغيل السكربتات .. الرجاء الانتظار ...
 
طريقة حذف هذا الفايرس يدويا

شرح مصور للإستاذ : Mowafak

قمت بوضع الشرح بملف وورد على شكل صفحة ويب
ورفعته على موقع : zshare

http://www.zshare.net/download/818473508c4e94
 
توقيع : fahd
الحالة
مغلق و غير مفتوح للمزيد من الردود.
عودة
أعلى