الفيروس الصيني أخيرا

السلام عليكم ورحمة الله و بركاته

انتشر فايروس صيني Virus.Win32.Xorer ( مسمى شركة الكاسبر ) بشكل واسع في مواقع الانترنت
ونزلت منه عدة اصدارات ,, وحصرت تقريبا 25 اصدار بمسميات خاصه بشركة الكاسبر بعد بحث مضني دام طويلاا

Trojan-Dropper.Win32.Agent.bbz Virus.Win32.Xorer.dj Trojan.Win32.Pakes.c Virus.Win32.Xorer.x Virus.Win32.Xorer.bu Virus.Win32.Xorer.cb Virus.Win32.Xorer.bs Virus.Win32.Xorer.k Virus.Win32.Xorer.ab Virus.Win32.Xorer.dr Virus.Win32.Xorer.cz Virus.Win32.Xorer.dc Virus.Win32.Xorer.dg Virus.Win32.Virut.q Virus.Win32.Xorer.dk Virus.Win32.Xorer.ed Virus.Win32.Xorer.ek Virus.Win32.Xorer.ec Virus.Win32.Xorer.dy Virus.Win32.Xorer.cq Virus.Win32.Xorer.ca Virus.Win32.Xorer.eb Virus.Win32.Xorer.b Virus.Win32.Xorer.s

وفيهم الاصدار Win32.Xorer.fb خبيث بمعنى الكلمه
الفيروس خطير واذا اصاب ملفات exe ما ينظف منها ( فقط حذف )
وهذا فيديو له عملته على جهازي ,,

www.zyzoom.net/soft/others/virus.rar

طرق الاصابة بالفايروس

تحدث الاصابة عند تشغيل احد ملفات الفايروس او اي ملف تشغيلي ( exe ) مصاب به
وتصل الينا هذه الملفات اما بتحميلها من الانترنت ,, او استخدام فلااش ميموري على جهاز مصاب
حيث تنشر الاصابة بالفايروس عند ادخالها بأي جهاز آخر

أعراض الاصابة بالفايروس

أهم هذه الاعراض: تعطيل جميع برامج الحماية ( المشهوره ) الموجوده على الجهاز
ثقل بتشغيل البرامج ,, عدم تشغيل بعض البرامج ,, اختفاء ( خيار ) اظهار ملفات النظام المخفية
ظهور الشاشة الزرقاء عند استخدام الوضع الآمن للويندوز
ويقوم الفايروس بفتح موقع صيني ,, كما بهذه الصوره

وايضا من حركاته المزعجه ,, اظهاره لرسائل دعائية عند تصفحك للانترنت

ملفات الفايروس واماكنها

كود:

c:\894729.log
c:\118766.log
c:\119141.log
c:\118688.log
c:\118610.log
c:\122610.log
c:\122438.log
c:\118219.log
c:\118563.log
c:\118454.log
c:\119266.log
--------------------
c:\pagefile.pif
c:\pagefile.exe
c:\AUTORUN.INF
تنسخ على جميع محركات الجهاز
--------------------
--------------------

c:\lsass.exe.????.exe
c:\SMSS.exe.????.exe
????= ارقام متغيره
--------------------
%windir%\system32\Com\netcfg.000
%windir%\system32\Com\netcfg.dll
%windir%\system32\Com\lsass.exe
%windir%\system32\Com\smss.exe
%windir%\system32\dnsq.dll
----------------
%ALLUSERSPROFILE%\Start Menu\Programs\Startup\~.exe
%ALLUSERSPROFILE%\Start Menu\Programs\Startup\~.exe.????.exe
????= ارقام متغيره
----------------
%Temp%\RarSFX0
%Temp%\irsetup.exe
%Temp%\@2.tmp

%windir%\system32\ntfsus.exe
%windir%\system32\wmdrtc32.dll
%windir%\system32\wmdrtc32.dl_
%windir%\system32\894729.log
%windir%\system32\118766.log
%windir%\system32\119141.log
%windir%\system32\118688.log
%windir%\system32\118610.log
%windir%\system32\122610.log
%windir%\system32\122438.log
%windir%\system32\118219.log
%windir%\system32\118563.log
%windir%\system32\118454.log
%windir%\system32\119266.log

------------------------------------------

c:\037589.log c:\~.EXE.????.exe Virus.Win32.Xorer.x النسخة تستخدم وتستبدل ملفات الونرار بنسخه من الفايروس %ProgramFiles%\WinRAR ويجب حذف المجلد بالكاملعمليات الفايروس بالذاكره ( لجميع الاصدارات )

كود:
%windir%\system32\com\lsass.exe
%windir%\system32\com\smss.exe
%ALLUSERSPROFILE%\Start Menu\Programs\Startup\~.exe
%ALLUSERSPROFILE%\Start Menu\Programs\Startup\~.exe.????.exe
%ProgramFiles%\winrar\uninstall.exe
%ProgramFiles%\RAR.exe
%Temp%\RarSFX0\Setup.exe
????.log
c:\~.EXE.????.exe
c:\lsass.exe.????.exe
c:\SMSS.exe.????.exe
????= ارقام متغيره

وايضا يقوم بدمج ملفهdnsq.dll بعمليات الملفات التالية

كود:
%Windir%\explorer.exe
%ProgramFiles%\messenger\msmsgs.exe
%Windir%\dns\sdnsmain.exe
%ProgramFiles%\internet explorer\iexplore.exe
%Temp%\irsetup.exe
%windir%\system32\ntfsus.exe
%windir%\system32\dllhost.exe

مفاتيح لمسجل النظام ,, يقوم بحذفها الفايروس

كود:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\SafeBoot \Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}]
(Default) = "DiskDrive"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\SafeBoot \Network\{4D36E967-E325-11CE-BFC1-08002BE10318}]
(Default) = "DiskDrive"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion \Explorer\Advanced\Folder\SuperHidden]
Type = "radio"

مفاتيح لمسجل النظام ,, يقوم باضافتها الفايروس

كود: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{450EC9C 4-0F7F-407F-B084-D1147FE9DDCC}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{D990123 9-34A2-448D-A000-3705544ECE9D}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{2D9 6C4BF-8DCA-4A97-A24A-896FF841AE2D}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{AAC 17985-187F-4457-A841-E60BAE6359C2}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{81429 3BA-8708-42E9-A6B7-1BD3172B9DDF}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\IFOBJ.IfObjCtr l.1

كيفية التخلص من الفايروس

للأسف الفايروس من الصعب حذفه باستخدام برامج الحماية ,,, اوبالطرق التقليدية كـ سكربتات الحذف من الدوس
او حذفه باستخدام مستعرض الويندوز ,, وحتى لو نعطل ملفات الفايروس الاساسية باستخدام مدير المهام او اي اداة اخرى
واذا حذفنا هذه الملفات ,, شوي والخبيث يرجع من جديد وترجع ملفاته

وولقضاء على هذا الخبيث نستخدم ادوات حذف الملفات بعد التشغيل

كـ Killbox او Unlocker او bootdeleter او DelLater او The Avenger v2

او استخدام هذه الاداة الزيزومية تساعد في التخلص من الفايروس وملفاته بشكل تلقائي

الحجم : 1.5 ميقابايت التوافق : ويندوز اكسبي فقط رابط مباشر
http://www.zyzoom.net/soft/security/...na_killer_.com

رابط بديل
http://rapidshare.com/files/10319547...na_killer_.com

طريقة الاستخدام ,,

عند تشغيل الاداة سوف تظهر لك القائمة الرئيسية ,, اضغط على ( تشغيل الاداة )
لحظات ويعاد تشغيل جهازك تلقائيا ,, وعند دخول سطح المكتب ,, سوف تكمل الاداة عملية الحذف للفايروس
بعدها تظهر لك رسالة ,, تبين نتيجة العملية
ويجب عليك تحديث برنامج الحماية الموجود لديك ,, وعمل فحص وتنظيف شامل للجهاز

و الحمد لله يعنى هوا كان عندى و لسه شايله من شوية
كان بيدوخنى ( عارفين دوخينى يا لمونه )

منقول للفائدة