كيف تتخلص من فيروس systems.com الجديد - منتديات الخجل :: AL-5JL FORUM

12-17-2007, 06:38 AM

السلام عليكم ورحمه الله وبركاته

كيف تتخلص من فيروس systems.com الجديد
هذا الفيروس أخر إصدارات النت فهو جديد لدرجة بعض برامج antivirus لا يستطيع معرفته على سبيل المثال Avira.AntiVirus panda avg
إضافة إلى أنه spyware فهو خطير جدا .

إليكم بعض أعماله
يعطيك رسالة إذا أردت الدخول إلى gestionnaire des taches

يعطيك رسالة إذا أردت الدخول إلى editeur de registre

الأخطر من ذالك أنه يقوم بإظافة compte administrateur . زيادة على دلك يسمح بفتح أبواب portes إن كان هناك إتصال بالنت

إسمه systems.com
بمجرد تفعيله يبدأ في في العمل
قد يسأل سائل أنا لم لم أنقر عليه وبالتالي إذا كيف تم تفعيله
الجواب
ليعلم الجميع لكي يفعل virus أي أن يعمل الفيروس يجب النقر عليه حتي يعمل عمله - أتحدت هنا في الويندوز فقط -
لكن هذا الفيروس له طريقتة مختلفة و خاصة وصانعوه كانوا أذكياء بالنسبة إلي هذا الفيروس .
كيف يعمل:

فيروس systems.com بمجرد ما يدخل c يخلق ملف يسميه autorun.inf في كل PARTION

ملاحظة autorun.inf ملف دوره تشغيل برنامج أو ملف مباشرة بمعنى أوضح تلقائيا auto-exécutable وذالك بالنقر على إيقونة c أو d أو e .....

مكتوب فيها :

محتوى autorun.inf الخاص ب systems.com
[autorun]
open=RECYCLER\systems.com
shellexecute=RECYCLER\systems.com
shell=start
shell\start\command=RECYCLER\systems.com
shell\read\command=explorer.exe

للتوضيح :
RECYCLER سلة المحدوفات وهو ملف سيستم system لا يرى ولو قمت بإظهار الملفات المخفية لن يضهر لك فهو ملف لويندوز مخفي file system
systems.com هو الفيروس
autorun هو سكريبت أي أمر بتشغيل كذا ...
البرمجة بواسطة shell هي تشغيل وإستعمال des comandes يعرفها systems windows لتشغيل أو توقيف برامج خاصة بالسيستم
windows

إذن بمجرد الضغط على أيقونة c يقول إفتح RECYCLER وضع فيه systems.com ثم فعله أي أنقر عليه لكي يفعل virus أي أن يعمل الفيروس

إذن ضرب عصفورين بحجر واحد أصح مخفي file sysem لا يمكنك رؤيته إضافة إلي أنه إنتشر في sysem32 إدا كان عندك عدة partition
وقمت بالضغط عليها سيقوم ب نسخ نفسه في جميع partition ولو كانت USB
لايمكنك إزالته (suprimer) ولو أعدت تشغيل الويندوز mode sans echec فهو ملف سيستم file system
الطريقة الوحيدة لإزالة systems.com و لروؤيته وهي وبلا فخر من إكتشافي بعد جهد جهيد مع أخ لي أشكره بالمناسبة

هذا مفتاح في regedit
[HKCU\Software\Microsoft\Windows\CurrentVersion\Exp lorer\MountPoints2\{038c611f-6fe9-11db-b1ed-806d6172696f}]
Shell\AutoRun\command C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL RECYCLER\systems.com
Shell\read\command explorer.exe
Shell\start\command RECYCLER\systems.com

لروؤيته:
CMD
أكتب
C:\>dir /a:s
سيعطيك جميع ملفات file systems في c

D:\>dir /a:s
سيعطيك جميع ملفات file systems في d

E:\>dir /a:s
سيعطيك جميع ملفات file systems في e

هنا سيضهر

في حالة format C المشكل لا يحل لماذا ?
الفيروس بطبيعة الحال لا يوجد في C ولكن بمجرد النقر على إقونة D أو E يفعل الفيروس و ينسخ نفسه في جميع partition و لن تتحكم فيه

الحل في غاية البساطة بما أن صانعوا الفيروس أذكياء سنكون أذكى منهم إليكم الطريقة :

أولا - يجب format C
تانيا -عدم الدخول الى D أو E بالنقر على الإيقونة إذا كلما أردنا الدخول إلى D أو E نظغط على يمين الفأرة ثم EXPLORER حتي لا تفعل الفيروس من
autorun.inf

ثالثا - خد bloc-note
enregestrer-sous
[عزيزي الزائر يتوجب عليك التسجيل للمشاهدة الرابطللتسجيل اضغط هنا]
ثم غير extension .txt إلي autorun.inf سيتحول شكلها
رابعا - ثم خد bloc-note أخر غير extension .txt إلي systems.com سيتحول شكلها

خامسا - أدخل عن طريق EXPLORER في D و E وليس بانقر على الأيقونة ألصق AUTORUN.INF ستضهر لك رسالة تقول لك
هل تريد إستبدال الملف بالملف الموجود سلفا إظغط OK نفس العملية في E إن كان .

الأن تخلصنا منه

سادسا - ألصق SYSTEMS.COM في D :\RECYCLER ستضهر لك رسالة تقول لك هل تريد إستبدال الملف بالملف الموجود سلفا إظغط OK نفس العملية في E إن كان .

الأن تخلصنا منه
سابعا - نفس العملية بالنسبة لجميع partition

قد يسأل سائل لما لا نقوم بهذه العملية قبل format
الجواب الفيروس يكون في حالة عمل الويندوز يرفض إستبدال ملف وهو يعمل executer الحل إيقاف عمله و بطبيعة الحال لن تستطيع توقيفه بما أنه يمنعك من
الدخول إلى gestionnaire des taches

Rendez-vous à la clé :

[HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/CDRom]

Autorun = 0 pour désactiver l'autorun.
Autorun = 1 pour activer l'autorun.

بالتوفيق للجميع
و لا تبخلوا علينا بردودكم المشجعة

12-17-2007, 08:20 AM

عزيزي :

Microsoft

يعطيك العوافي ، على البرنامج

تسلم يمينك ، يالـ غ ـلاا

واصل أبداعك ،، عساك ع القوهـ يارب

أخوك : ضامي شوق

12-17-2007, 08:55 AM

واصل ابداعك اخوي ميكروسوفت .... مجهود مميز واكثر من رائع من جديد البرامج والمواضيع
وان شاء الله الكل يستفيد منها ... لك مني كل الاحترام والتقدير
اخوك : دايم عزيز

01-09-2008, 05:59 PM

السلام عليكم

أخي الكريم أصيب جهازي بهذا الفايرس , وحاولت أستخدام الحل لكنني فشلت في فهم الخطوة الثالثة هل ممكن أن تعيد شرحها مع التوضيح ؟

بارك الله فيك ..