دكة الشايب / زيزوووم ....... حياكم حبايبي

[shaded]

متحمس ما شاء الله عليك ^ ^ دافور قاعد اول واحد :d:​

<< تم حفظ الدرس ​

عاد تعرف الكسول لا صار دافور .. :

يجب الاول على التالي .. :d:

 

[shaded]

:d::d:

وأحلى تقييم لعيوونك :king:​

وترى باقي ملفين للفايروس​

[CENTER]%windir%\system32\[COLOR=red]7852951c.dll[/COLOR]
%windir%\system32\[COLOR=red]c626bec8.exe[/COLOR][/CENTER]

هلا بعمو تركي .. ​

المشكلة حطيت هالملفين الثانيه للفيروس .. ولكن الاداة ماهي قادرة تحذفها !! ​

شوف التقرير ..​

[CENTER]Logfile of The Avenger Version 2.0, (c) by Swandog46
[URL="http://swandog46.geekstogo.com/"]http://swandog46.geekstogo.com[/URL]
Platform:  Windows XP
*******************
Script file opened successfully.
Script file read successfully.
Backups directory opened successfully at C:\Avenger
*******************
Beginning to process script file:
File "c:\auto.exe" deleted successfully.
File "C:\autorun.inf" deleted successfully.
Error:  file "C:\WINDOWS\system32\c626bec8.exe" not found!
Deletion of file "C:\WINDOWS\system32\c626bec8.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
 --> the object does not exist[/CENTER]
 
[CENTER]Error:  file "C:\WINDOWS\system32\7852951c.dll" not found!
Deletion of file "C:\WINDOWS\system32\7852951c.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
 --> the object does not exist[/CENTER]
 
[CENTER]Completed script processing.
*******************
Finished!  Terminate.[/CENTER]

يقول ان الملف غير موجود بهذا الاسم ..

اعتقد ان الملفين هذي .. تتغير مسمياتها عند كل تشغيل .. او فيه شي خطا .. عندي :d:​

[/CENTER]

 

[shaded]

طلع كلامي صحيح .. ان الملفين الاخيرة للفيروس .. تتغير عند كل تشغيل .. :d:​

والدليل تقرير مكافي ..​

[CENTER]McAfee VirusScan for Win32 v5.40.0
Copyright (c) 1992-2008 McAfee, Inc. All rights reserved.
(408) 988-3832  EVALUATION COPY - Apr 16 2009
Scan engine v5.4.00 for Win32.
Virus data file v5785 created Oct 28 2009
Scanning for 574446 viruses, trojans and variants.[/CENTER]
 
[CENTER]11/01/2009  23:06:08[/CENTER]
 
[CENTER]Options:
/ADL /ALL /SUB /MIME /STREAMS /ALLOLE /APPEND /REPORT C:\MCAFEE.TXT /NOBREAK
Scanning C: []
Scanning C:\*.*
C:\WINDOWS\system32\[COLOR=red]2FB1C3C2.EXE[/COLOR] ... Found the BackDoor-DKA trojan !!!
C:\WINDOWS\system32[COLOR=red]\ED7A8452.DLL[/COLOR] ... Found the W32/Winko.worm.dll virus !!!
C:\Documents and Settings\shady-ksa\Desktop\auto.exe ... Found the BackDoor-DKA trojan !!!
C:\Documents and Settings\shady-ksa\Desktop\avenger\avenger.exe ... Found the BackDoor-EFN trojan !!!
C:\Recycled\Dc3\avenger.exe ... Found the BackDoor-EFN trojan !!!
C:\SHADED\avenger.exe ... Found the BackDoor-EFN trojan !!!
[COLOR=red]C:\auto.exe[/COLOR] ... Found the BackDoor-DKA trojan !!!
[COLOR=red]C:\autorun.inf[/COLOR] ... Found the Generic!atr trojan !!!
Summary report on C:\*.*
File(s)
       Total files: ...........   10592
       Clean: .................   10558
       Possibly Infected: .....       8
Non-critical Error(s):                 1
Master Boot Record(s): .........       1
       Possibly Infected: .....       0
Boot Sector(s): ................       1
       Possibly Infected: .....       0[/CENTER]
 
[CENTER]Time: 00:02.05[/CENTER]

ونلاحظ ان الملفين
C:\auto.exe
C:\autorun.inf​

ما زالت موجودة .. هل هذا يعني يالغالي ان الاداة avenger .. ما نظفت الملفين ..؟؟​

 

[Mr.Rayan]

يعطيك العافيه


لم تشغل ملف الفايروس

هل عندك ويندوز وهمي

او جهازك

آلله يعآفيك لا جهآزي وخفت آشغله :d:

مآيمديني آركب وندوز وهمي فل آلجهآز:b:

 

[Ali-911]

((((( تسجيل دخول + مراجعة الصفحات الي فاتت وجايكم )))))

 

[فارس الملاك]

جاري تطبقة الشرح على الفيروسات

ما زالت موجودة .. هل هذا يعني يالغالي ان الاداة avenger .. ما نظفت الملفين ..؟؟

عزيزي بارك الله فيك الاداة حذفت الملفات لكن الفيروسات المتبقية في system32 ترجع هالملفات من جديد

 

[shaded]

جاري تطبقة الشرح على الفيروسات



عزيزي بارك الله فيك الاداة حذفت الملفات لكن الفيروسات المتبقية في system32 ترجع هالملفات من جديد

حياك الله مشرفنا الغالي ..
طيب ليه ماهو العكس ؟؟؟ ملفاات الاوتو رن في السي هي للي ترجع الملفات الي في الsystem32 :q:

 

[Ali-911]

انا جالس اطبق لكن عندي سؤال قلت اسئله قبل لا انساه ، باللأمر علشان ننتج ملف الـexe الي فيه امر ، الي نسويه بالـWinrar ، انت قلت نكتب الأمر :

[B][FONT=Times New Roman][COLOR=Black][SIZE=3][B]avenger.exe /nogui /reboot zyz.txt[/B][/SIZE][/COLOR][/FONT][/B]

انا بسأل nogui وش تعني ؟ ، reboot هي اعاده تشغيل ولا لا ؟ ، بس الـnogui = ?
ولما سويت الملف وخلصت ، اضغطه يستخرج لي الملفات على المسار الي كتبناه ، بدون ما يشغلها مباشره :S
​

 

[Ali-911]

عرفنا المشكله ، كنت حاط الأوامر تحت امر مسح المجلدات وهي المفروض تحت الملفات :b:

التقرير بعد الريستارت :u::

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform:  Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File "C:\autorun.inf" deleted successfully.
File "C:\auto.exe" deleted successfully.
File "C:\WINDOWS\system32\ADAC5B60.EXE" deleted successfully.
File "C:\WINDOWS\system32\43161F2A.DLL" deleted successfully.

Completed script processing.

*******************

Finished!  Terminate.

بس بعرف انا ليش لما كنت اكتب بملف التكست بدال zyz اسمي ، كان يرفض ! ولما غيرته لـzyz قبل على طول :?: اول لما كان بأسمي كنت اضغطه بعد ما اسوي الملف ما يسوي لا ريستارت ولا شئ :?: ولا حتى يطلع التقرير

 

[فارس الملاك]

حياك الله مشرفنا الغالي ..
طيب ليه ماهو العكس ؟؟؟ ملفاات الاوتو رن في السي هي للي ترجع الملفات الي في الsystem32 :q:

لان الاوتورن الي في السي مجرد ملف ولا تحتوي على الملفات الي في system32

اما الملفات الي في system32 هي التي تصنع ملف الاوتوران بالاضافة الى تعطيل بعض الخدمات مثل تعطيل اظهار الملفات المخفية

 

[فارس الملاك]

عرفنا المشكله ، كنت حاط الأوامر تحت امر مسح المجلدات وهي المفروض تحت الملفات :b:

التقرير بعد الريستارت :u::

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform:  Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File "C:\autorun.inf" deleted successfully.
File "C:\auto.exe" deleted successfully.
File "C:\WINDOWS\system32\ADAC5B60.EXE" deleted successfully.
File "C:\WINDOWS\system32\43161F2A.DLL" deleted successfully.

Completed script processing.

*******************

Finished!  Terminate.

بس بعرف انا ليش لما كنت اكتب بملف التكست بدال zyz اسمي ، كان يرفض ! ولما غيرته لـzyz قبل على طول :?: اول لما كان بأسمي كنت اضغطه بعد ما اسوي الملف ما يسوي لا ريستارت ولا شئ :?: ولا حتى يطلع التقرير

عز الله بيطردنا زيزوم :d:


عزيزي لاحظ الامر هذا

avenger.exe /nogui /reboot zyz.txt


لما تغير ملف التكست لاي اسم اخر لازم تغير في الامر

مثلا لما يكون التكست اسمه faris

لازم يكون الامر كذا

avenger.exe /nogui /reboot faris.txt

 

[Ali-911]

عز الله بيطردنا زيزوم :d:


عزيزي لاحظ الامر هذا

avenger.exe /nogui /reboot zyz.txt


لما تغير ملف التكست لاي اسم اخر لازم تغير في الامر

مثلا لما يكون التكست اسمه faris

لازم يكون الامر كذا

avenger.exe /nogui /reboot faris.txt

ايه انا مسويها كذا ! ومتأكد من كتابه الـ.txt

ما علينا اهم شئ ضبطت !

 

[shaded]

طيب اخواني .. اللي يسوي التجربة .. حقت اداة avenger ... يسوي بعدها فحص بأداة المكافي .. نشوف يحصل الملفات مرة ثانية ولا لا .. ​

 

[فارس الملاك]

طيب اخواني .. اللي يسوي التجربة .. حقت اداة avenger ... يسوي بعدها فحص بأداة المكافي .. نشوف يحصل الملفات مرة ثانية ولا لا .. ​

انا سويتها

وفحصت بالمكافي ولم يظهر الملفات المصابة

 

[shaded]

انا سويتها

وفحصت بالمكافي ولم يظهر الملفات المصابة

طيب يالغالي .. الملفات المصابه الي تزرع في السسيتم 32 .. تتغير من تشغيل لاخر ..؟؟

ولا تبقى على نفس الاسم .؟؟

لانها عندي تتغير كل شوي .. :er::hh:

 

[فارس الملاك]

طيب يالغالي .. الملفات المصابه الي تزرع في السسيتم 32 .. تتغير من تشغيل لاخر ..؟؟

ولا تبقى على نفس الاسم .؟؟

لانها عندي تتغير كل شوي .. :er::hh:

والله مادري مانتبهت :q:

ان شاء الله الحين اجرب اشغل الفيروس واسوي اعادة تشغيل

 

[فارس الملاك]

نفس الاسم عزيزي حتى بعد الحذف وتشغيل الفيروس مرة اخرى يعطي نفس الاسم

ربما يكون الفيروس يعتمد على معلومات في الجهاز لتسميته مثل اسم المستخدم
​

 

[ramay]

يعطيك الف عافيه

ممكن تعطيني الملفات المصابه ... بمساراتها

c:\auto.exe ... Found the backdoor-dka trojan !!!
C:\autorun.inf ... Found the generic!atr trojan !!!
C:\cstrike\realbot\rb_names.txt ... Found the irc/flood.at trojan !!!
C:\documents and settings\acer\desktop\auto\auto.exe ... Found the backdoor-dka trojan !!!
C:\documents and settings\acer\local settings\temp\activator\amd64\antiwpa.dll ... Found the generic.dx trojan !!!
C:\documents and settings\acer\local settings\temp\activator\x86\antiwpa.dll ... Found the generic.dx trojan !!!
C:\future games\cs bab alhara\cstrike\realbot\rb_names.txt ... Found the irc/flood.at trojan !!!
C:\program files\a.s pack plus!\autoplay\docs\anti\sergiwa\prt.exe ... Found the generic.dx trojan !!!
C:\program files\a.s pack plus!\autoplay\docs\anti\sergiwa\srt.exe ... Found the generic.dx trojan !!!
C:\windows\system32\4179fccf.dll ... Found the w32/winko.worm.dll virus !!!
C:\windows\system32\a4048f37.exe ... Found the backdoor-dka trojan !!!
C:\windows\system32\antiwpa.dll ... Found the generic.dx trojan !!!
d:\auto.exe ... Found the backdoor-dka trojan !!!
D:\autorun.inf ... Found the generic!atr trojan
e:\auto.exe ... Found the backdoor-dka trojan !!!
E:\autorun.inf ... Found the generic!atr trojan
g:\auto.exe ... Found the backdoor-dka trojan !!!
G:\autorun.inf ... Found the generic!atr trojan !!!

لا أعلم أم كان صحيح أن كان غلط أتمنى تصحيح :?:

 

[Bo.SaQeR]

يآ ليت أحد من الأعضآء الله يجزآهـ خير يرفع لي الأدآهـ مو رآضيه تتحمل ،، :b:

وإذآ امكن ترسلون الفآيروسس للحين مآ جآني ششي ،، :b:

موفقين ،،

 

[Ali-911]

يآ ليت أحد من الأعضآء الله يجزآهـ خير يرفع لي الأدآهـ مو رآضيه تتحمل ،، :b:

وإذآ امكن ترسلون الفآيروسس للحين مآ جآني ششي ،، :b:

موفقين ،،

تم ارسال الملفين k: