حصـــــــــري طريقة القضاء على فيروس win32.sality شرح موسع

السلام عليكم و رحمة الله تعالى و بركاته

أهلا و سهلا بكم اخواني أخوتي

ان شاء الله يكون الجميع بألف خير

لكيفية القضاء على فيروس يعتبر من بين أقوى عشر فيروسات

ب Top 10 فيروسات عام 2008

هدا الفيروس الدي عرف انتشارا واسعا في الاونة الاخيرة و قد مضجع العديد من الاشخاص

اسم الفيروس

win32.sality

هدا الفيروس دكي الى حد كبير جدااا

معلومــــــات عـــــــامة :
الفيروس ينتقل عبر مفاتيح Usb و غيرها

كدلك عبر الشبكة و خاصية تقاسم و مشاركة الملفات بين الأجهزة المرتبطة بنفس الشبكة

و كدلك عبر الاميل أو البريد

يقوم هدا الأخير بفتح منفد بالجهاز ليقوم بتحديث نفسه و تحميل ملحقاته من عائلة Bagle

كما أنه ينتشر بجميع الأقراص الصلبة الموجودة بالجهاز

مما يجعله يشل حركة الجهاز بعد فترة معينة

و من بين أخطر ما يقوم به

أنه يقضي أولا على الأنتيفيروس و كدلك على برامج الجدران النارية بالاضافة الى برامج كثيرة

و هده الخاصية يتميز بها بعض السرفرات الخاصة ببرامج الاختراق

يقوم بقتل البرامج واحدا تلو الآخر

هده قائمة للبرامج التي يقوم بالقضاء عليها و كما نلاحظ ان من بينها برامج قوية

و هي الكاسبر و النود و الجدار الناري زون الارم و برنامج الصيانة Cleaner

و اللائحة طويلة...

AVXQUAR
ICSUPP
ICSSUPPNT
ESCANH
AVLTMAIN
VSMAIN
TRJSCAN
PROTECTX
PORTDETECTIVE
PINGSCAN
PERISCOPE
NPFMESSENGER
MCAGENT
Lockdown
DRWTSN32
DRWATSON
CLEANER
BlackIce
BIPCP
BIDSERVER
BIDEF
AVPROTECT
AVGSERV
AtGuard
AVSYNMGR
Autotrace
SAVScan
RTVSCAN
NUPGRADE
NPROTECT
MGUI
MCUPDATE
NMAIN
ANTI
NOD32
ZoneAlarm
OUTPOST
Drweb
KAV
AVP
NAV

و هده بعض ملفات dll التي يقوم الفيروس بنسخها


*
System% \ syslib32.dll%
*
System% \ oledsp32.dll%
*
System% \ olemdb32.dll%
*
System% \ wcimgr32.dll%
*
System% \ wmimgr32.dll%

كما يقوم بنسخ ملفات بالرجيستري و التي تسمح له بالاشتغال مع بداية الوندوز بالمسارات التالية

HKLM \ Software \ Microsoft \ Windows \ CurrentVersion \ Run

HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Run

و هده أسماء لبعض الملفات التي ينزل بها الفيروس


hut2.ru
invis1blearm3333.com
egozdq.com
5558x7.com
wtcvxu.com
fdpgb3.com
bpfq02.com
u7zywp.com
zvco6m.com
qiredremer.biz
sbapodremer.biz
pgpwdremer.biz
gogcojdremer.biz
rus0396kuku.com
vrrnscdremer.biz
connect2me.org

و هده بعض رسائل الخطأ من جهاز مصاب بالفيروس لتوضيح الرؤية جيدا





لدلك و كنصيحة يجب الحد من عمل الفيروس كخطوة أولى

لكي نمنع انتشاره بسرعة

كما أنصح كل من أصيب بالفيروس ألا يقوم بفتح الأقراص الأخرى ليمنع انتشار العدوى الى جميع الأقراص

الأن مع الحلول :

أول شىء أريد أن أوجه نصيحة لأصحاب مقاهي النت

و الأشخاص الدين يستعملون أكثر من جهاز بالبيت تربطهم شبكة واحدة

في حالة ما ادا أصيب جهاز من بين الأجهزة بهدا الفيروس

يجب أن يقومو بتعطيل خاصية تقاسم و مشاركة الملفات أو ما يسمى Sharing files

لأن الفيروس ينتشر كما سبق لي دكرت عبر هده الخاصية


فكرة شخصية استنتجتها بنفسي :

ركزوا معي

كما سبق لي الدكر أن الفيروس يقوم بقتل الأنتيفيروس

ادن الفيروس يتعرف على اسم الأنتيفيروس أو بالمعنى الأصح البروسيس الخاص بالأنتيفيروس

يقوم بقتله أولا ليتسنى له الانتشار بكل حرية

ادن ممكن نقوم بالتالي على أساس أنه لدينا كاسبرسكاي مثلا

من قائمة

Start / Démarrer

Run / Executer

نكتب الأمر التالي :

c:\program files\kaspersky lab

ثم نضغط على ok

سوف يضهر لدينا مجلد خاص بالنسخة التي نملكها

نأخذ منها نسخه ونتوجه الى سطح المكتب ونلصقها

ثم نفتحها من على سطح المكتب ونبحث عن ملف

avp.exe

ونغير اسمه مع الاحتفاظ بالامتداد exe

يمكنكم تغيير الاسم الى اي اسم تختارونه المهم الحفاض على الامتداد

ستجد بأن الكاسبر فتح

حلو

اعمل تحديث له يعني أبديت ثم قم بسكان كامل للجهاز

هده من بين الحلول .

من لديه برنامج Avast او Nod32 او أي برنامج حماية لا داعي لان يتسائل و مادا افعل انا ليس لدي الكاسبر

انسى دلك الحل ان لم يكن لديك الكاسبر و تابع الحل التالي لان دلك الحل هو فقط من اجتهادي الشخصي

نأتي الآن للحل القاتل للفيروس

و هو تحميل هده الأداة من شركة AVG Antivirus التي تتكون من ثلاث ملفات

1-السيطب Setup الخاص بالأداة

2-ملفان مرافقان لها ضروريان لعمل الأداة

الملف الأول

http://www.grisoft.cz/softw/70/filed...y/rmsality.exe

الملف الثاني

http://www.grisoft.cz/softw/70/filed...ty/rmsality.nt

الملف الثالث

http://www.grisoft.cz/softw/70/filed...y/rmsality.dos

الان و بعد تحميل الملفات نقوم بوضعها بمجلد مستقل لكي ننظم عملنا

نقوم بتشغيل الأداة كما هو موضح بالصورة أما الملفان فهما يضلان بالمجلد لا نفتحهما و لا شىء



هنا بدأ الفحص



ننتظر انتهاء الفحص لانه يأخد عدة دقائق

ملاحظة مهمة :

1- الأداة تفحص جميع الأقراص

و بدلك يمكنكم الاستفادة منها لحدف الفيروس من مفاتيح Usb و غيرها..

2- ادا كان هناك قرص بالقارىء فمن المستحسن ان نزيله لأن الاداة ستقوم بفحص محتواه أيضا

و هدا سيضيع لنا وقتنا بدون فائدة

حسنا تابعوا..

هنا الأداة أكملت الفحص



هدا هو التقرير المحصل عليه باسم VirusRemover

من الأفضل عدم نسخه و لصقه بقسم المشاكل لأنه طويل جدا

المهم أنه يعطيك تقرير لكل العمليات و الأقراص التي تم فحصها بالجهاز



هنا الأداة تخبرك أنه تم فحص و حدف ملف أو أكثر

هل تريد أن تحدف هده الملفات بعد التشغيل

نوافق بنعم





هنا الأداة تطلب منك اعادة تشغيل الجهاز لاكمال عملية الفحص و الحدف

نوافق بالضغط على اوك





آخر خطوة بعد اعادة تشغيل الجهاز

نقوم بتحديث مضاد الفيروسات الدي لدينا

ثم نقوم بفحص كامل للجهاز

أتمنى أن أكون قد أفدتكم و لو بالقليل

و الى موضوع لاحق بادن الله