ابي حل مع فيروس tazebama

[الجنتــــــل]

السلام عليكم

ياليت من الاخوان حل لفيروس tazebama

غير الفورمات

جزاكم الله الف خير ..

 

[Future Tank X-1]

ما فيه الا تجرب الدكتور ويب لكن لست مسئول عن اي ضرر قد يلحق به !!
( ان وجد ضرر )​

 

[الجنتــــــل]

على الله لازم اجرب واشوف

 

[Future Tank X-1]

^^
المهم النتيجه لازم اعرفها !!

 

[الجنتــــــل]

ok

 

[الجنتــــــل]

اول شئ اعذروني على التأخر والله جات مشكلة في الجهاز وجلست احلها كم ساعة لكن ما انسى ابدا زيزوم

وعلشان ارضيكم هذا تقرير هيجاك جديد


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:40:14 م, on 07/07/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\Explorer.EXE
D:\Program Files\Internet Download Manager\IDMan.exe
D:\Program Files\Acunetix\Web Vulnerability Scanner 6\WVSScheduler.exe
D:\AppServ\Apache2.2\bin\httpd.exe
D:\AppServ\MySQL\bin\mysqld.exe
D:\AppServ\Apache2.2\bin\httpd.exe
D:\WINDOWS\System32\svchost.exe
D:\Program Files\Internet Download Manager\IEMonitor.exe
D:\WINDOWS\system32\wscntfy.exe
D:\Program Files\Mozilla Firefox\firefox.exe
D:\Program Files\Trend Micro\HijackThis\HijackThis.exe
D:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\winlquaxf.exe
D:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\winltvvtn.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

O1 - Hosts: 92.241.176.188 advanced-virus-remover2009.com
O1 - Hosts: 92.241.176.188

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

O2 - BHO: IDMIEHlprObj Class - {0055C089-8582-441B-A0BF-17B458C2A3A8} - D:\Program Files\Internet Download Manager\IDMIECC.dll
O2 - BHO: (no name) - {140BD8E3-C167-11D4-B4A3-080000180323} - (no file)
O2 - BHO: Adobe PDF Link Helper - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - D:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll (file missing)
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - D:\WINDOWS\system32\dla\tfswshx.dll
O2 - BHO: مساعد تسجيل الدخول إلى Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - D:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: (no name) - {A6984C00-C6EB-11D4-B4A4-080000180323} - D:\PROGRA~1\Rapidown\rapi310.dll
O4 - HKCU\..\Run: [IDMan] D:\Program Files\Internet Download Manager\IDMan.exe /onboot
O4 - HKUS\S-1-5-21-2025429265-1708537768-839522115-500\..\Run: [IDMan] D:\Program Files\Internet Download Manager\IDMan.exe /onboot (User '?')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User '?')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Download all by Rapidown... - D:\Program Files\Rapidown\rapidownGetAll.htm
O8 - Extra context menu item: Download by Rapidown... - D:\Program Files\Rapidown\rapidownGet.htm
O8 - Extra context menu item: تحميل الكل بواسطة Internet Download Manager - D:\Program Files\Internet Download Manager\IEGetAll.htm
O8 - Extra context menu item: تحميل بواسطة Internet Download Manager - D:\Program Files\Internet Download Manager\IEExt.htm
O8 - Extra context menu item: تحميل محتوى FLV بواسطة Internet Download Manager - D:\Program Files\Internet Download Manager\IEGetVL.htm
O9 - Extra button: Rapidown - {57E91B47-F40A-11D1-B792-444553540011} - D:\Program Files\Rapidown\rapidown.exe
O9 - Extra 'Tools' menuitem: Rapidown - {57E91B47-F40A-11D1-B792-444553540011} - D:\Program Files\Rapidown\rapidown.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {2D8ED06D-3C30-438B-96AE-4D110FDC1FB8} (ActiveScan 2.0 Installer Class) -

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) -

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) -

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

O20 - Winlogon Notify: ageduoko - D:\WINDOWS\SYSTEM32\ageduoko.dll
O23 - Service: Acunetix WVS Scheduler v6 (AcuWVSSchedulerv6) - Acunetix Ltd. - D:\Program Files\Acunetix\Web Vulnerability Scanner 6\WVSScheduler.exe
O23 - Service: Apache2.2 - Apache Software Foundation - D:\AppServ\Apache2.2\bin\httpd.exe
O23 - Service: HP WMI Interface (hpqwmi) - Hewlett-Packard Development Company, L.P. - D:\Program Files\HPQ\SHARED\HPQWMI.exe
O23 - Service: mysql - Unknown owner - D:\AppServ\MySQL\bin\mysqld.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - D:\Program Files\WinPcap\rpcapd.exe
O23 - Service: Print Spooler (Spooler) - Unknown owner - D:\WINDOWS\system32\spoolsv.exe

--
End of file - 5176 bytes

 

[:::DeadEnd:::]

اخي انت احذف Mabezat بينحذف Tazebama !

بسم الله الرحمن الرحيم

اداه لحذف دوده الخطيره

Worm.win32.mabezat.b

ولها مسميات اخرى مثل

ًWorm.Win32.Mabezat.b (Kspersky)
W32/Mabezat (McAfee)
W32.Mabezat.B ( Symantec)
Worm/Mabezat.B ( Avira )
W32/Mabezat-B ( Sophos)
Virus: Win32/Mabezat.B - microsoft

​

معلومات

النوع فيروس يصيب الويندوز باختلاف انواعه و يعمل ببيئه 32 بت win32 اي انه لا يعمل على نظام الدوس
الانتشار: الاقراص القابله للازاله مثل الفلاشات و الاقراص المرنه ايضا المجلدات و الملفات المشتركه على الشبكه

حجم الدوده : 155 KB

طريقه عمله

بعد الإستخراج تقوم الدوده بنسخ نفسها الى المسارات التاليه

%drive%\Documents and Settings\

ويكون تحت اسم

tazebama.dl_

hook.dl_

tazebama.dll

ثم يقوم بصنع مجلد له في المسار

%appdata%\tazebama\

ومن ثم يقوم بحذف هذه القيم من الريجستري

[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\Explorer]
"NoDriveTypeAutoRun"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Policies\Explorer]
"NoDriveTypeAutoRun"

ويقوم بإضافه قيم له في الريجستري تحت

[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\Advanced]
"Hidden" = 2

[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\Advanced]
"HideFileExt" = 1

[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\Advanced]
"ShowSuperHidden" = 0

ويقوم الفايروس بإصابه جميع البرامج القابله للإستخراج ذات الصيغه exe
وينتشر بسرعه كبيره جدا

الإنتشار

يقوم بنسخ نفسه عندما يتنقل داخل الأقراص تحت اسم
zPharaoh.exe

وفي نفس المجلد الي يكون اسمه zPharaoh
يتواجد بنفس المجلد ملف
autorun.inf

اصابه الأقراص القابله للإزاله

عندما يصيبها يكون مستخدم احد الأسماء التاليه
Adjust Time.exe

AmericanOnLine.exe

Antenna2Net.exe

BrowseAllUsers.exe

CD Burner.exe

Crack_GoogleEarthPro.exe

Disk Defragmenter.exe

FaxSend.exe

FloppyDiskPartion.exe

GoogleToolbarNotifier.exe

HP_LaserJetAllInOneConfig.exe

IDE Conector P2P.exe

InstallMSN11Ar.exe

InstallMSN11En.exe

JetAudio dump.exe

KasperSky6.0 Key.doc.exe

Lock Folder.exe

LockWindowsPartition.exe

Make Windows Original.exe

MakeUrOwnFamilyTree.exe

Microsoft MSN.exe

Microsoft Windows Network.exe

msjavx86.exe

NokiaN73Tools.exe

Office2003 CD-Key.doc.exe

Office2007 Serial.txt.exe

PanasonicDVD_DigitalCam.exe

RadioTV.exe

Recycle Bin.exe

RecycleBinProtect.exe

ShowDesktop.exe

Sony Erikson DigitalCam.exe

Win98compatibleXP.exe

Windows Keys Secrets.exe

WindowsXp StartMenu Settings.exe

WinrRarSerialInstall.exe

معلومات اخرى

قد يستطيع اصابه هذه اللاحقه

.ASP
.ASPX
.ASPX.CS
.BAS
.C
.CPP
.DOC
.H
.HLP
.HTM
.HTML
.MDB
.MDF
.PAS
.PDF
.PHP
.PPT
.PSD
.RAR
.RTF
.TXT
.XLS
.ZIP

طبعا في حاله نادره او اذا كانت الإصابه شديده ^^^

والدوده قد تجدها في المسار وهو

%userprofile%\Local Settings\Application Data\Microsoft\CD Burning\
​

^^
اذا كان كذالك ,, فسوف يكون الفايروس او الدوده تحت مسمى

zPharaoh.exe
​

وقد نجد

autorun.inf في نفس المجلد


وقد تمسح جميع مايكون بالمجلد اعلاه ^^


وقد تصنع لنفسها مستند نصي باالمسار

%appdata%\tazebama\zPharaoh.dat


وقد تجدها ايضا في المجلد

%drive%\Documents and Settings\ folder:


تحت اسم

MyDocuments.rar
backup.rar
documents_backup.rar
imp_data.rar
source.rar
windows_secrets.rar
passwords.rar
serials.rar
office_crack.rar
windows.rar

^^
طبعا الكلام ترجمته حرفيا من موقع النود
واعتذر اذا كان فيه خطأ

طريقه التخلص من الدوده

عطلوا استعاده النظام حسب الشرح الاتي

قوموا بتحميل الأداه التاليه

الأداه مقدمه اصلا من شركه AVG
وهذا رابط فحصها

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

رابط مباشر

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

على مركز المنتدى

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

ملاحظه : مستخدمي النود

Nod32 or ESET Smart Security

قوموا بتعطيل البرنامج قبل التحميل ,, لأن البرنامج معتبرها اداه غير معروفه

بالطريقه السلميه التاليه

في طور الـ Advance mode

ثم ادخلوا اي فلاش ميموري او قرص خارجي او اي شي ثم شغلوا الاداه وسوف تقوم بفحص جهازك على طول اول ماتشغلها

وبعد كذا يفضل ان تحدثوا المكافح وان تعملوا فحص شامل للجهاز افضل

وعلى كل حال برامج الحمايه تستيع حذفه لكن ليس اغلبها

ملاحظه ::
انصح وبشده بعمل فحص للجهاز بالاداه من السيف مود
Safe Mode

وهنا طرق الدخول للجهاز من السيف مود

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

حل اخر

من الأستاذ زيزوووم غفر الله له ورحم والديه في موضوعه

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

والي يعرف حل اخر يخبرنا عشان نضيفه هنا
لانه كثرت المواضيع عن الدوده هذي بهذا القسم
واكثر دول الي تصيبها هذي الدوده هي دول الخليج :d:
كما صرحت شركه AVG

طريقه اخرى لمراقبنا الغالي

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

غفر الله له ورحم الله والديه وجزاه الله الفردوس الأعلى

اقتباس

​

لعيونك اخوي ديموو وجميـع الزيزوميـن الغوالي

حلول اخرى مجربـة وبسيـطة عن طريق الكاسبر سكاي :king:

عطل نقطة استعادة النظام

​

ثم اتبع الشرح المناسب لك k:

​

لـ صحاب الكاسبر سكاي 2009


ركب ملف الإعدادات :
​

الانترنت سيكيوريتي​

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

​

الانتي فايروس​

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

​

​

شرح التركيب

​

​

​

​

بـعد ذلك اعمل فحص كامل لـ الجهاز وسيقوم الكاسبر سكاي بتنظيـف كل ملفات المصابـة k:

ثم اعد التشغيـل وان شاء الله تتخلص من الفايروس نهائيا :king:

​

لـ مستخدمي الكاسبر سكاي الإصدار الـ سابع ( 7 )


ركب ملف الإعدادات المناسب لـ نوع نسختك :


اعدادات الكاسبر انتي فايروس ( 7 )

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

اعدادات الكاسبر انترنت سيكرتي ( 7 )

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

شرح التركيب

بـعد ذلك اعمل فحص كامل لـ الجهاز وسيقوم الكاسبر سكاي بتنظيـف كل ملفات المصابـة k:

ثم اعد التشغيـل وان شاء الله تتخلص من الفايروس نهائيا :king:
​

لـ مستخدمي برامج الحمايـة الأخرى

حمل الكاسبر سكاي المحمول ولاا يحتاج تثبيت ( بروتبل ) :

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

بعد التحميل ،، دبل كلك وسيتم استخراج ملف الاداة الى مجلد بسطح المكتب لحظات وتبدأ الاداة بالعمل

تابع الشرح لفحص الجهاز وتنظيفه وارفاق التقرير

بـعد ذلك اعمل فحص كامل لـ الجهاز وسيقوم الكاسبر سكاي بتنظيـف كل ملفات المصابـة k:

ثم اعد التشغيـل وان شاء الله تتخلص من الفايروس نهائيا :king:

اتمنى الإستفادة التامـة لـ الجميـع

خالص ودي وتقديري​

​

​

 

[الجنتــــــل]

طيب انا ماني مركب ولا برنامج حماية اجرب الكاسبر واشوف

 

[Future Tank X-1]

^^
للعلم : لقد تم حذف الفيروس من تقرير الهايجك السابق !!

 

[الجنتــــــل]

شكيت انة انحذف بس المصيبة رت النام وسبت الكمبيوتر عند العيال واجي الاقية خربان لمن افتحة دايما تطلع لي رسالة خطا واليوم تطلع لي واذا ضغت عليها تطلع لي صفحة زرقاء غير الصفحة الزرقاء العايدية و سويت اصلاح للوندز برضو ما صلحت <<<شكلي ابي اركب وندز فيستا اجربة ..

 

[Future Tank X-1]

لك الخيار في تركيبهـ لكن اذا لم ترد تركيبهـ

هات تقرير هايجك !!

 

[الجنتــــــل]

الجهاز ما يفتح خير شر

 

[Future Tank X-1]

الجهاز ما يفتح خير شر

اجل ,,
يمدحون الفيستا لكن يجب تجمع كل البارتشات مع بعض لانه يحتاج مساحهـ
لكن الفستا الجيد هو sp2

 

[الجنتــــــل]

ابي افرمتة علشان احملة على جهازي

 

[Future Tank X-1]

ابي افرمتة علشان احملة على جهازي

وظحـ ؟

 

[الجنتــــــل]

اقصد ابي احمل الفيستا يعني لو عندك برنامج تحميل من الرابيدشير اعطيني هو ؟.

 

[الجنتــــــل]

(يغلق ما انحلت المشكلة فرمت الجهاز )