الاتصال بنا



النتائج 1 إلى 9 من 9

الموضوع: شوفولي حل لـ الفيروس اللي يطفي الجهاز ساعدوني

  1. #1
    عضو فعال جدا
    تاريخ التسجيل
    Feb 2004
    المشاركات
    2,307

    شوفولي حل لـ الفيروس اللي يطفي الجهاز ساعدوني



    الفيروس اللي يطفي الجهاز ساعدوني
    السلام عليكم

    الفيروس اللي يطفي الجهاز ساعدوني

    دائما يسوي ريستارت للجهاز
    وش اسوي

    ساعدوني

    ابي حل اكيد

    تحياتي





    __________________
    بي اتش بي العرب : php-ar.com
    دروس PHP خاص : phpfaq.php-ar.com

    new site : www.naifphp.net/web
    Mr.php-ar غير متواجد حالياً


  2. #2
    عضو نشيط
    تاريخ التسجيل
    Nov 2001
    المشاركات
    97

    اطلق ستنجر على فيروساتك؟؟



    وعليك السلام
    الفيروس اللي اصاب جهازك حسب ظني اما ان يكون بلاستر او ان يكون ساسر واعتقد انك تستخدم ويندوز اكس بي فان لم تكن تستخدمه فلا تتعب نفسك بالقراءة
    فان كان الاول فاليك الحال في الموضوع التالي هنا
    وان كان الفيروس هو ساسر فاليك الحل في الموضوع التالي هنا
    وان صعب عليك الامر ابحث عن اي سيدي خاص بمجلات الكمبيوتر وستجد فيه الباتش الخاص لسد الثغرة التي يعمل من خلاله الفيروسين او قام بتنزيل اداة ستنجر stinger وهو برنامج لتنظيف الجهاز من الفيروسات وخاصة بلاستر وستجده في موقع ماكافي mcafee.com
    في الخدمة





    __________________
    اللهم جنبنا الفتن ما ظهر منها وما بطن!
    shaqraoy غير متواجد حالياً

  3. #3
    عضو فعال جدا
    تاريخ التسجيل
    Feb 2004
    المشاركات
    2,307


    من ضمن الرساله

    ويندوز / سيستم / lsess اضن كذا

    بس اضن انه ساسر

    عموما شكرا لك





    __________________
    بي اتش بي العرب : php-ar.com
    دروس PHP خاص : phpfaq.php-ar.com

    new site : www.naifphp.net/web
    Mr.php-ar غير متواجد حالياً

  4. #4
    عضو فعال جدا
    تاريخ التسجيل
    Feb 2004
    المشاركات
    2,307


    وقد تواترت الانباء عندي انه قد ضرب اغلب الاجهزة في الخليج العربي وخاصة الجهات الحكومية وقد سبب اضراراً بالغة كان بالامكان تفاديها لو حذرت منه الجهات المعنية على حد علمي حيث انه ينبغي تحديد طريقة للمراسلة بين المستخدمين وهذه الجهات للتبليغ عن أي فيروس جديد يصيب اجهزة المستخدمين . وانني هنا أتساءل عن دور الاعلام وخاصة الصحف الخليجية في هذه المسألة فحسب علمي لم يحذر من ذلك ولا صحيفة وان كان قد حذر فعلاً منه وهو ما لا اتوقعه فهو بعد اصابة الشبكات الداخلية لبعض الدول الخليجية وأول اصابة لجهاز كانت حسب ما بلغني كانت يوم السبت 13/3/1425هـ والى تاريخه لم اقرأ أي خبر في صحفنا عن تلك الدودة الخطرة ما عدا الطور الأول من هذه الدودة والمسمى W32.Sasser.Worm فيستخدم بعضنا اداة لإزالة الطور الاول فلا تجدي معه وهنا مكمن الخلل . اما الانظمة المعرضة للإصابة به : Windows 2000, Windows XP فيما الأنظمة الآمنة : DOS, Linux, Macintosh, Novell Netware, OS/2, UNIX, Windows 3.x, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003 الاسماء المشهورة له : WORM_SASSER.B [Trend], W32/Sasser.worm.b [McAfee], Worm.Win32.Sasser.b [Kaspersky], W32/Sasser-B [Sophos], Win32.Sasser.B [Computer Associates], Sasser.B [F-Secure], W32/Sasser.B.worm [Panda], Win32/Sasser.B.worm [RAV], W32/Sasser.B [F-Prot] التهديد: عالي والتدمير منخفض والتوزيع عالي وقد تم تقييم مستوى التهديد به بانه عالي ويتميز بانه عالي الانتشار . منافذ هجوم هذه الدودة : منافذ TCP (بروتوكول التحكم والنقل) ذات الرقم 445 ، 5554، 9996 ويهدف الى اصابة الانظمة التي تعاني من ثغرة LSASS المعروفة باسم MS04-001 التفاصيل التقنية : عند تحميل المرفقات بالرسالة المصابة وفتحها او عند تشغيل هذه الدودة W32.Sasser.b.Worm فإنها تقوم بالتالي : - تقوم بإنشاء mutex باسم JumpallsNlsTillt والتي تقوم بالسماح لحالة واحدة فقط من هذه الدودة لكي يشتغل وفي حالة فشلها فإنه يقوم بالخروج . - تقوم بانشاء mutex باسم Jobaka3. - تقوم بنسخ نفسها باسم Avserve2.exe وذلك في مجلد تنصيب الوندوز %Windir% (قد يكون c:windows او c:winnt .....الخ) - تذهب إلي مفتاح السجل التالي : HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun ثم تضيف القيمة التالية : "avserve2.exe"="%Windir%avserve2.exe" وذلك لكي تشتغل هذه الدودة في كل مرة تقوم بتشغيل الجهاز . - تستخدم قيمة الوصلة البينية البرمجية التطبيقية AbortSystemShutdown API وذلك لمنع اطفاء او اعادة تشغيل الجهاز . - تبدأ بخادم بروتوكول نقل الملفات FTP على منفذ TCP ذي الرقم 5554 وهذا الخادم يقوم بنشر هذه الدودة إلي إلي الانظمة المستضيفة الاخرى . - تقوم بالتكرار من خلال العناوين الشبكية IP المستضيفة باحثةً عن العناوين الخالية من العناوين التالية : 127.0.0.1 10.x.x.x 172.16.x.x - 172.31.x.x (شمولي) 192.168.x.x 169.254.x.x - باستخدام واحداً من العناوين الشبكية المذكورة اعلاه تقوم هذه الدودة بتوليد عناوين شبكية عشوائية كالتالي : - اكمال العنونة العشوائية في 52% من الوقت - تغير آخر ثلاثة ارقام ثمانية إلي ارقام عشوائية وذلك في 23% من الوقت - تغير آخر رقمين ثمانيين إلي ارقام عشوائية وذلك في 25% من الوقت ملحوظة : الرقم الثماني هو قسم من 8 بتات من الرقم الشبكي مثلاً اذا كان A.B.C.D رقماً شبكياً فإن A هو اول رقم ثماني و B هو ثاني رقم ثماني...الخ ونظراً لأن هذه الدودة تستطيع أن تنشيء عناوين شبكية عشوائية تماماً فإن أي نطاق عناوين شبكي يعتبر معرضاً للإصابة وهذه العملية مركبة من 128 تهديداً والتي بدورها تحتاج إلي استهلاك وقت اكثر من المعالج .مما يسبب بطء الجهاز وصعوبة استخدامه . - تتصل على العناوين العشوائية المولدة عن طريق TCP والمنفذ 445 لمعرفة ما اذا كان الجهاز البعيد متصل ام لا ؟ . - في حالة الاتصال بالكمبيوتر البعيد فإن هذه الدودة سترسل شفرة الغلاف Shell Code إليه وذلك لفتح اتصال غلاف بعيد على TCP والمنفذ 9996 . - يستخدم الغلاف على الجهاز البعيد لإعادة الاتصال بأجهزة خادم FTP المصابة والتي تشغل TCP والمنفذ 5554 لاسترجاع نسخة من الدودة . واسم هذه النسخة يتألف من 4 او 5 أرقام متبوعة بـ up.exe مثل 74354_up.exe - العملية Lsass.exe ستنهار بعد اسثمار الدودة لنقطة الضعف Windows LSASS ثم يعرض Windows تحذيراً ثم ينطفيء الجهاز في دقيقة واحدة . - ينشئي ملفاً في c:win2.log يحتوي على عناوين شبكية للأجهزة التي يحاول الجهاز المصاب حالياً اصابتها اضافة إلي ارقام الاجهزة المصابة . تعليمات مهمة لإزالة هذه الدودة : ملحوظة قبل أن تبدأ : اذا كنت تستخدم Windows 2000 او XP ولم تشغله قبل قراءة هذا التقرير فيجب عليك أن تنصب الرقعة البرمجية لنقطة الضعف المذكورة بتفاصيلها على هذا العنوان http://www.microsoft.com/technet/sec.../MS04-011.mspx وواذا لم تكن كذلك فإن جهازك سيكون عرضة لتكرار الاصابة بهذه الدودة . - ماذا تعمل اذا كان الجهاز يعيد التشغيل قبل أن تستفيد من او تنزل الرقعة البرمجية من الانترنت او من الشبكة المحلية ؟ (معك مهلة 20 ثانية للقيام بالعمل التالي قبل أن تعيد الدودة تشغيل الجهاز) الخطوات التالية لا تنطبق على Windows 2000 - اقطع الاتصال بالانترنت او الشبكة (افصل الكابل اذا كان ضرورياً) - اعد تشغيل الجهاز . -عند دخولك إلي سطح المكتب فمن قائمة ابدأ START افتح تشغيل RUN - ثم اكتب الامر التالي : Cmd ثم اضغط ENTER وعند رؤيتك شاشة موجه الأوامر السوداء اكتب الامر التالي : Shutdown –i ثم اضغط ENTER - غير القيمة 20 إلى 9999 وهذا ما يمكنك من العمل 3 ساعات متواصلة قبل انطفاء الجهاز وهذا وقت كافٍ لعمل ما هو اكثر من تنزيل الرقعة البرمجية واداة الازالة وتحديث تعريفات الفيروسات لبرامج مضادات الفيروسات . - أعد الاتصال بالانترنت او الشبكة - نزل الرقعة البرمجية ثم استمر مع الخطوة أدناه ثم نزل أداة الازالة من الشبكة او من العنوان التالي : http://securityresponse.symantec.com...oval.tool.html (هذه نصيحة شركة سيمانتك ومترجم المقال ينصح باستخدام الأداة Stinger المقدمة مجاناً من شركة Mcafee نظراً لإستطاعتها التعرف وازالة اكثر من 41 نوعاً من الديدان وأطوارها و كذلك أحصنة طروادة نزلها من الشبكة أو العنوان التالي : http://download.nai.com/products/mca...rt/stinger.exe ) ملحوظات مهمة في عملية الازالة : - بعد تنزيلك الرقعة البرمجية وتركيبها وبعد تنزيل اداة الازالة قم بالدخول للجهاز في الوضع الآمن (طبعاً تحت الحساب Administrator) وذلك لإيقاف العمليات غير الضرورية بما فيها العملية التي تشغلها الدودة. اما اذا اصررت على الدخول إلي الجهاز في غير الوضع الآمن فادخل كمدير للنظام Administrator او ما يعادله لأنك قد تصطدم بجدار حماية نظام NTFS فيمنعك من تفحص كامل القرص الصلب . - قم بتعطيل خدمة استعادة النظام لحذف محتويات المجلد System Volume Information لأنه قد يحتفظ ببعض الملفات المصابة بهذه الدودة وعند اول عملية استعادة للنظام قد يقوم باستعادة كامل الملفات بما فيها الملفات المصابة هذا بعد تأكدك بخلو الجهاز من الفيروسات اضافة إلي أن مضادات الفيروسات قد تصطدم بجدار حماية نظام NTFS فلا تستطيع ازالة ما يوجد في المجلد المذكور . نادر القحطاني / احد أعضاء المنتدى العالمي http://www.experts-exchange.com/view...jsp?mid=855852

    ملحوظة: مشاركة عن طريق موقعنا"

    مافهمت منه شيئ





    __________________
    بي اتش بي العرب : php-ar.com
    دروس PHP خاص : phpfaq.php-ar.com

    new site : www.naifphp.net/web
    Mr.php-ar غير متواجد حالياً

  5. #5
    عضو فعال جدا
    تاريخ التسجيل
    Feb 2004
    المشاركات
    2,307


    صادف LSA Shell (Export Version) مشكلة ويجب إغلاقه. المعذرة على الإزعاج.





    __________________
    بي اتش بي العرب : php-ar.com
    دروس PHP خاص : phpfaq.php-ar.com

    new site : www.naifphp.net/web
    Mr.php-ar غير متواجد حالياً

  6. #6
    عضو فعال جدا
    تاريخ التسجيل
    Feb 2004
    المشاركات
    2,307


    عطوني زوم الارم





    __________________
    بي اتش بي العرب : php-ar.com
    دروس PHP خاص : phpfaq.php-ar.com

    new site : www.naifphp.net/web
    Mr.php-ar غير متواجد حالياً

  7. #7
    عضو فعال جدا
    تاريخ التسجيل
    Feb 2003
    المشاركات
    2,047
    __________________
    -{Only God Can Judge Me}-
    القانون فوق الجميع و الجميع يموت بالجوع
    Dr-dre67 غير متواجد حالياً

  8. #8
    عضو سوبر نشيط
    تاريخ التسجيل
    Aug 2002
    المشاركات
    715


    لاتخاف
    هذا فايرس الساسر
    هو فايرس مزعج
    وأصاب جهازي
    لكن عالجته والطريقة صحيحة 100%
    تفضل





    __________________
    Linux For Server | Mac For Graphic | Windows For ٍٍٍٍٍSolitaire
    aladawi غير متواجد حالياً

  9. #9
    عضو نشيط
    تاريخ التسجيل
    Nov 2001
    المشاركات
    97

    الطريقة بسيطة والعتب على النظر



    هلا اخوي الجريح
    الموضوع جدا بسيط من برنامج الدوس في داخل الويندوز اكتب
    Cmd ثم اضغط ENTER وعند رؤيتك شاشة موجه الأوامر السوداء اكتب الامر التالي : Shutdown –i ثم اضغط ENTER - غير القيمة 20 إلى 9999 وهذا ما يمكنك من العمل 3 ساعات متواصلة قبل انطفاء الجهاز وهذا وقت كافٍ لعمل ما هو اكثر من تنزيل الرقعة البرمجية واداة الازالة وتحديث تعريفات الفيروسات لبرامج مضادات الفيروسات
    لو سويتها في الاكس بي بتعطيك نتيجة فورية يعني بدل ما كل شوي بيطفي جهاز بيخليه الامر ذا يشتغل اكثر من 3 ساعات تمكنك من تنزيل اي برنامج للحماية او التحديث الموجود لديك ليمكن بعد ذلك من القضاء على الفيروس.
    وهنا عدة وصلات للبرنامج الخاص بازالة فيروس الساسر http://www.f-secure.com/tools/f-sasser.zip
    http://www.f-secure.com/tools/f-sasser.exe
    http://www.f-secure.com/tools/f-sasser.txt
    وفي الوصلة التالية كافة المعلومات للتعامل مع الفيروسات وطريقة ازالته وقد ذكرتها لك في رأس الموضوع ولاتقول ماشفته
    بعد ماتشيل الفيروس قم بتحديث النظام من صفحة التحديث في مايكروسوفت http://windowsupdate.microsoft.com
    سلام





    __________________
    اللهم جنبنا الفتن ما ظهر منها وما بطن!
    shaqraoy غير متواجد حالياً





ضوابط المشاركة

  • لا تستطيع إضافة مواضيع جديدة
  • لا تستطيع الرد على المواضيع
  • لا تستطيع إرفاق ملفات
  • لا تستطيع تعديل مشاركاتك
  •  
0