الفيروس اللي يطفي الجهاز ساعدوني
السلام عليكم
الفيروس اللي يطفي الجهاز ساعدوني
دائما يسوي ريستارت للجهاز
وش اسوي
ساعدوني
ابي حل اكيد
تحياتي
الفيروس اللي يطفي الجهاز ساعدوني
السلام عليكم
الفيروس اللي يطفي الجهاز ساعدوني
دائما يسوي ريستارت للجهاز
وش اسوي
ساعدوني
ابي حل اكيد
تحياتي
__________________
بي اتش بي العرب : php-ar.com
دروس PHP خاص : phpfaq.php-ar.com
new site : www.naifphp.net/web
وعليك السلام
الفيروس اللي اصاب جهازك حسب ظني اما ان يكون بلاستر او ان يكون ساسر واعتقد انك تستخدم ويندوز اكس بي فان لم تكن تستخدمه فلا تتعب نفسك بالقراءة
فان كان الاول فاليك الحال في الموضوع التالي هنا
وان كان الفيروس هو ساسر فاليك الحل في الموضوع التالي هنا
وان صعب عليك الامر ابحث عن اي سيدي خاص بمجلات الكمبيوتر وستجد فيه الباتش الخاص لسد الثغرة التي يعمل من خلاله الفيروسين او قام بتنزيل اداة ستنجر stinger وهو برنامج لتنظيف الجهاز من الفيروسات وخاصة بلاستر وستجده في موقع ماكافي mcafee.com
في الخدمة
__________________
اللهم جنبنا الفتن ما ظهر منها وما بطن!
من ضمن الرساله
ويندوز / سيستم / lsess اضن كذا
بس اضن انه ساسر
عموما شكرا لك
__________________
بي اتش بي العرب : php-ar.com
دروس PHP خاص : phpfaq.php-ar.com
new site : www.naifphp.net/web
وقد تواترت الانباء عندي انه قد ضرب اغلب الاجهزة في الخليج العربي وخاصة الجهات الحكومية وقد سبب اضراراً بالغة كان بالامكان تفاديها لو حذرت منه الجهات المعنية على حد علمي حيث انه ينبغي تحديد طريقة للمراسلة بين المستخدمين وهذه الجهات للتبليغ عن أي فيروس جديد يصيب اجهزة المستخدمين . وانني هنا أتساءل عن دور الاعلام وخاصة الصحف الخليجية في هذه المسألة فحسب علمي لم يحذر من ذلك ولا صحيفة وان كان قد حذر فعلاً منه وهو ما لا اتوقعه فهو بعد اصابة الشبكات الداخلية لبعض الدول الخليجية وأول اصابة لجهاز كانت حسب ما بلغني كانت يوم السبت 13/3/1425هـ والى تاريخه لم اقرأ أي خبر في صحفنا عن تلك الدودة الخطرة ما عدا الطور الأول من هذه الدودة والمسمى W32.Sasser.Worm فيستخدم بعضنا اداة لإزالة الطور الاول فلا تجدي معه وهنا مكمن الخلل . اما الانظمة المعرضة للإصابة به : Windows 2000, Windows XP فيما الأنظمة الآمنة : DOS, Linux, Macintosh, Novell Netware, OS/2, UNIX, Windows 3.x, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003 الاسماء المشهورة له : WORM_SASSER.B [Trend], W32/Sasser.worm.b [McAfee], Worm.Win32.Sasser.b [Kaspersky], W32/Sasser-B [Sophos], Win32.Sasser.B [Computer Associates], Sasser.B [F-Secure], W32/Sasser.B.worm [Panda], Win32/Sasser.B.worm [RAV], W32/Sasser.B [F-Prot] التهديد: عالي والتدمير منخفض والتوزيع عالي وقد تم تقييم مستوى التهديد به بانه عالي ويتميز بانه عالي الانتشار . منافذ هجوم هذه الدودة : منافذ TCP (بروتوكول التحكم والنقل) ذات الرقم 445 ، 5554، 9996 ويهدف الى اصابة الانظمة التي تعاني من ثغرة LSASS المعروفة باسم MS04-001 التفاصيل التقنية : عند تحميل المرفقات بالرسالة المصابة وفتحها او عند تشغيل هذه الدودة W32.Sasser.b.Worm فإنها تقوم بالتالي : - تقوم بإنشاء mutex باسم JumpallsNlsTillt والتي تقوم بالسماح لحالة واحدة فقط من هذه الدودة لكي يشتغل وفي حالة فشلها فإنه يقوم بالخروج . - تقوم بانشاء mutex باسم Jobaka3. - تقوم بنسخ نفسها باسم Avserve2.exe وذلك في مجلد تنصيب الوندوز %Windir% (قد يكون c:windows او c:winnt .....الخ) - تذهب إلي مفتاح السجل التالي : HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun ثم تضيف القيمة التالية : "avserve2.exe"="%Windir%avserve2.exe" وذلك لكي تشتغل هذه الدودة في كل مرة تقوم بتشغيل الجهاز . - تستخدم قيمة الوصلة البينية البرمجية التطبيقية AbortSystemShutdown API وذلك لمنع اطفاء او اعادة تشغيل الجهاز . - تبدأ بخادم بروتوكول نقل الملفات FTP على منفذ TCP ذي الرقم 5554 وهذا الخادم يقوم بنشر هذه الدودة إلي إلي الانظمة المستضيفة الاخرى . - تقوم بالتكرار من خلال العناوين الشبكية IP المستضيفة باحثةً عن العناوين الخالية من العناوين التالية : 127.0.0.1 10.x.x.x 172.16.x.x - 172.31.x.x (شمولي) 192.168.x.x 169.254.x.x - باستخدام واحداً من العناوين الشبكية المذكورة اعلاه تقوم هذه الدودة بتوليد عناوين شبكية عشوائية كالتالي : - اكمال العنونة العشوائية في 52% من الوقت - تغير آخر ثلاثة ارقام ثمانية إلي ارقام عشوائية وذلك في 23% من الوقت - تغير آخر رقمين ثمانيين إلي ارقام عشوائية وذلك في 25% من الوقت ملحوظة : الرقم الثماني هو قسم من 8 بتات من الرقم الشبكي مثلاً اذا كان A.B.C.D رقماً شبكياً فإن A هو اول رقم ثماني و B هو ثاني رقم ثماني...الخ ونظراً لأن هذه الدودة تستطيع أن تنشيء عناوين شبكية عشوائية تماماً فإن أي نطاق عناوين شبكي يعتبر معرضاً للإصابة وهذه العملية مركبة من 128 تهديداً والتي بدورها تحتاج إلي استهلاك وقت اكثر من المعالج .مما يسبب بطء الجهاز وصعوبة استخدامه . - تتصل على العناوين العشوائية المولدة عن طريق TCP والمنفذ 445 لمعرفة ما اذا كان الجهاز البعيد متصل ام لا ؟ . - في حالة الاتصال بالكمبيوتر البعيد فإن هذه الدودة سترسل شفرة الغلاف Shell Code إليه وذلك لفتح اتصال غلاف بعيد على TCP والمنفذ 9996 . - يستخدم الغلاف على الجهاز البعيد لإعادة الاتصال بأجهزة خادم FTP المصابة والتي تشغل TCP والمنفذ 5554 لاسترجاع نسخة من الدودة . واسم هذه النسخة يتألف من 4 او 5 أرقام متبوعة بـ up.exe مثل 74354_up.exe - العملية Lsass.exe ستنهار بعد اسثمار الدودة لنقطة الضعف Windows LSASS ثم يعرض Windows تحذيراً ثم ينطفيء الجهاز في دقيقة واحدة . - ينشئي ملفاً في c:win2.log يحتوي على عناوين شبكية للأجهزة التي يحاول الجهاز المصاب حالياً اصابتها اضافة إلي ارقام الاجهزة المصابة . تعليمات مهمة لإزالة هذه الدودة : ملحوظة قبل أن تبدأ : اذا كنت تستخدم Windows 2000 او XP ولم تشغله قبل قراءة هذا التقرير فيجب عليك أن تنصب الرقعة البرمجية لنقطة الضعف المذكورة بتفاصيلها على هذا العنوان http://www.microsoft.com/technet/sec.../MS04-011.mspx وواذا لم تكن كذلك فإن جهازك سيكون عرضة لتكرار الاصابة بهذه الدودة . - ماذا تعمل اذا كان الجهاز يعيد التشغيل قبل أن تستفيد من او تنزل الرقعة البرمجية من الانترنت او من الشبكة المحلية ؟ (معك مهلة 20 ثانية للقيام بالعمل التالي قبل أن تعيد الدودة تشغيل الجهاز) الخطوات التالية لا تنطبق على Windows 2000 - اقطع الاتصال بالانترنت او الشبكة (افصل الكابل اذا كان ضرورياً) - اعد تشغيل الجهاز . -عند دخولك إلي سطح المكتب فمن قائمة ابدأ START افتح تشغيل RUN - ثم اكتب الامر التالي : Cmd ثم اضغط ENTER وعند رؤيتك شاشة موجه الأوامر السوداء اكتب الامر التالي : Shutdown –i ثم اضغط ENTER - غير القيمة 20 إلى 9999 وهذا ما يمكنك من العمل 3 ساعات متواصلة قبل انطفاء الجهاز وهذا وقت كافٍ لعمل ما هو اكثر من تنزيل الرقعة البرمجية واداة الازالة وتحديث تعريفات الفيروسات لبرامج مضادات الفيروسات . - أعد الاتصال بالانترنت او الشبكة - نزل الرقعة البرمجية ثم استمر مع الخطوة أدناه ثم نزل أداة الازالة من الشبكة او من العنوان التالي : http://securityresponse.symantec.com...oval.tool.html (هذه نصيحة شركة سيمانتك ومترجم المقال ينصح باستخدام الأداة Stinger المقدمة مجاناً من شركة Mcafee نظراً لإستطاعتها التعرف وازالة اكثر من 41 نوعاً من الديدان وأطوارها و كذلك أحصنة طروادة نزلها من الشبكة أو العنوان التالي : http://download.nai.com/products/mca...rt/stinger.exe ) ملحوظات مهمة في عملية الازالة : - بعد تنزيلك الرقعة البرمجية وتركيبها وبعد تنزيل اداة الازالة قم بالدخول للجهاز في الوضع الآمن (طبعاً تحت الحساب Administrator) وذلك لإيقاف العمليات غير الضرورية بما فيها العملية التي تشغلها الدودة. اما اذا اصررت على الدخول إلي الجهاز في غير الوضع الآمن فادخل كمدير للنظام Administrator او ما يعادله لأنك قد تصطدم بجدار حماية نظام NTFS فيمنعك من تفحص كامل القرص الصلب . - قم بتعطيل خدمة استعادة النظام لحذف محتويات المجلد System Volume Information لأنه قد يحتفظ ببعض الملفات المصابة بهذه الدودة وعند اول عملية استعادة للنظام قد يقوم باستعادة كامل الملفات بما فيها الملفات المصابة هذا بعد تأكدك بخلو الجهاز من الفيروسات اضافة إلي أن مضادات الفيروسات قد تصطدم بجدار حماية نظام NTFS فلا تستطيع ازالة ما يوجد في المجلد المذكور . نادر القحطاني / احد أعضاء المنتدى العالمي http://www.experts-exchange.com/view...jsp?mid=855852
ملحوظة: مشاركة عن طريق موقعنا"
مافهمت منه شيئ
__________________
بي اتش بي العرب : php-ar.com
دروس PHP خاص : phpfaq.php-ar.com
new site : www.naifphp.net/web
صادف LSA Shell (Export Version) مشكلة ويجب إغلاقه. المعذرة على الإزعاج.
__________________
بي اتش بي العرب : php-ar.com
دروس PHP خاص : phpfaq.php-ar.com
new site : www.naifphp.net/web
عطوني زوم الارم
__________________
بي اتش بي العرب : php-ar.com
دروس PHP خاص : phpfaq.php-ar.com
new site : www.naifphp.net/web
__________________
-{Only God Can Judge Me}-
القانون فوق الجميع و الجميع يموت بالجوع
لاتخاف
هذا فايرس الساسر
هو فايرس مزعج
وأصاب جهازي
لكن عالجته والطريقة صحيحة 100%
تفضل
__________________
Linux For Server | Mac For Graphic | Windows For ٍٍٍٍٍSolitaire
هلا اخوي الجريح
الموضوع جدا بسيط من برنامج الدوس في داخل الويندوز اكتبلو سويتها في الاكس بي بتعطيك نتيجة فورية يعني بدل ما كل شوي بيطفي جهاز بيخليه الامر ذا يشتغل اكثر من 3 ساعات تمكنك من تنزيل اي برنامج للحماية او التحديث الموجود لديك ليمكن بعد ذلك من القضاء على الفيروس.Cmd ثم اضغط ENTER وعند رؤيتك شاشة موجه الأوامر السوداء اكتب الامر التالي : Shutdown –i ثم اضغط ENTER - غير القيمة 20 إلى 9999 وهذا ما يمكنك من العمل 3 ساعات متواصلة قبل انطفاء الجهاز وهذا وقت كافٍ لعمل ما هو اكثر من تنزيل الرقعة البرمجية واداة الازالة وتحديث تعريفات الفيروسات لبرامج مضادات الفيروسات
وهنا عدة وصلات للبرنامج الخاص بازالة فيروس الساسر http://www.f-secure.com/tools/f-sasser.zip
http://www.f-secure.com/tools/f-sasser.exe
http://www.f-secure.com/tools/f-sasser.txt
وفي الوصلة التالية كافة المعلومات للتعامل مع الفيروسات وطريقة ازالته وقد ذكرتها لك في رأس الموضوع ولاتقول ماشفته
بعد ماتشيل الفيروس قم بتحديث النظام من صفحة التحديث في مايكروسوفت http://windowsupdate.microsoft.com
سلام
__________________
اللهم جنبنا الفتن ما ظهر منها وما بطن!