Virus.Win32.Xorer خطير للأهمية منقول

06-20-08, 01:37 AM

فيروس حديث العهد ، حتما قد صادفتموه ،

سأنقل تقريرا مفصلا عنه و جدته في النت ، وقريبا إن شاء الله سأطرح الحل للقضاء عليه .

صور من جهازي للفيروس و هو يتخد شكلين مختلفين :

عفوا ,,, لايمكنك مشاهده الروابط لانك غير مسجل لدينا [ للتسجيل اضغط هنا ]

انتشر فايروس صيني Virus.Win32.Xorer ( مسمى شركة الكاسبر ) بشكل واسع في مواقع الانترنت
ونزلت منه عدة اصدارات ,, وحصرت تقريبا 25 اصدار بمسميات خاصه بشركة الكاسبر بعد بحث مضني دام طويلاا

Trojan-Dropper.Win32.Agent.bbz
Virus.Win32.Xorer.dj
Trojan.Win32.Pakes.c
Virus.Win32.Xorer.x
Virus.Win32.Xorer.bu
Virus.Win32.Xorer.cb
Virus.Win32.Xorer.bs
Virus.Win32.Xorer.k
Virus.Win32.Xorer.ab
Virus.Win32.Xorer.dr
Virus.Win32.Xorer.cz
Virus.Win32.Xorer.dc
Virus.Win32.Xorer.dg
Virus.Win32.Virut.q
Virus.Win32.Xorer.dk
Virus.Win32.Xorer.ed
Virus.Win32.Xorer.ek
Virus.Win32.Xorer.ec
Virus.Win32.Xorer.dy
Virus.Win32.Xorer.cq
Virus.Win32.Xorer.ca
Virus.Win32.Xorer.eb
Virus.Win32.Xorer.b
Virus.Win32.Xorer.s

وفيهم الاصدار Win32.Xorer.fb خبيث بمعنى الكلمه
الفيروس خطير واذا اصاب ملفات exe ما ينظف منها ( فقط حذف )

طرق الاصابة بالفايروس

تحدث الاصابة عند تشغيل احد ملفات الفايروس او اي ملف تشغيلي ( exe ) مصاب به وتصل الينا هذه الملفات اما بتحميلها من الانترنت ,, او استخدام فلااش ميموري على جهاز مصاب حيث تنشر الاصابة بالفايروس عند ادخالها بأي جهاز آخر

أعراض الاصابة بالفايروس

أهم هذه الاعراض: تعطيل جميع برامج الحماية ( المشهوره ) الموجوده على الجهازثقل بتشغيل البرامج ,, عدم تشغيل بعض البرامج ,, اختفاء ( خيار ) اظهار ملفات النظام المخفية
ظهور الشاشة الزرقاء عند استخدام الوضع الآمن للويندوز
ويقوم الفايروس بفتح موقع صيني ,, كما بهذه الصوره

وايضا من حركاته المزعجه ,, اظهاره لرسائل دعائية عند تصفحك للانترنت

ملفات الفايروس واماكنها

كود:
c:\037589.log
c:\894729.log
c:\118766.log
c:\119141.log
c:\118688.log
c:\118610.log
c:\122610.log
c:\122438.log
c:\118219.log
c:\118563.log
c:\118454.log
c:\119266.log
--------------------
c:\pagefile.pif
c:\pagefile.exe
c:\AUTORUN.INF
تنسخ على جميع محركات الجهاز
--------------------
--------------------
c:\~.EXE.????.exe
c:\lsass.exe.????.exe
c:\SMSS.exe.????.exe
????= ارقام متغيره
--------------------
%windir%\system32\Com\netcfg.000
%windir%\system32\Com\netcfg.dll
%windir%\system32\Com\lsass.exe
%windir%\system32\Com\smss.exe
%windir%\system32\dnsq.dll
----------------
%ALLUSERSPROFILE%\Start Menu\Programs\Startup\~.exe
%ALLUSERSPROFILE%\Start Menu\Programs\Startup\~.exe.????.exe
????= ارقام متغيره----------------
%Temp%\RarSFX0
%Temp%\irsetup.exe
%Temp%\@2.tmp

%windir%\system32\ntfsus.exe
%windir%\system32\wmdrtc32.dll
%windir%\system32\wmdrtc32.dl_
%windir%\system32\894729.log
%windir%\system32\118766.log
%windir%\system32\119141.log
%windir%\system32\118688.log
%windir%\system32\118610.log
%windir%\system32\122610.log
%windir%\system32\122438.log
%windir%\system32\118219.log
%windir%\system32\118563.log
%windir%\system32\118454.log
%windir%\system32\119266.log

Virus.Win32.Xorer.x النسخة
تستخدم وتستبدل ملفات الونرار بنسخه من الفايروس
%ProgramFiles%\WinRAR
ويجب حذف المجلد بالكامل

عمليات الفايروس بالذاكره ( لجميع الاصدارات )
كود:
%windir%\system32\com\lsass.exe
%windir%\system32\com\smss.exe
%ALLUSERSPROFILE%\Start Menu\Programs\Startup\~.exe
%ALLUSERSPROFILE%\Start Menu\Programs\Startup\~.exe.????.exe
%ProgramFiles%\winrar\uninstall.exe
%ProgramFiles%\RAR.exe
%Temp%\RarSFX0\Setup.exe
????.log
c:\~.EXE.????.exe
c:\lsass.exe.????.exe
c:\SMSS.exe.????.exe
????= ارقام متغيرهوايضا يقوم بدمج ملفه dnsq.dll بعمليات الملفات التالية

كود:
%Windir%\explorer.exe
%ProgramFiles%\messenger\msmsgs.exe
%Windir%\dns\sdnsmain.exe
%ProgramFiles%\internet explorer\iexplore.exe
%Temp%\irsetup.exe
%windir%\system32\ntfsus.exe
%windir%\system32\dllhost.exe
مفاتيح لمسجل النظام ,, يقوم بحذفها الفايروس

كود:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}]
(Default) = "DiskDrive"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}]
(Default) = "DiskDrive"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\Advanced\Folder\SuperHidden]
Type = "radio"

مفاتيح لمسجل النظام ,, يقوم باضافتها الفايروس
كود:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{450EC9C 4-0F7F-407F-B084-D1147FE9DDCC}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{D990123 9-34A2-448D-A000-3705544ECE9D}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{2D9 6C4BF-8DCA-4A97-A24A-896FF841AE2D}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{AAC 17985-187F-4457-A841-E60BAE6359C2}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{81429 3BA-8708-42E9-A6B7-1BD3172B9DDF}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\IFOBJ.IfObjCtr l.

كيفية التخلص من الفايروس

للأسف الفايروس من الصعب حذفه باستخدام برامج الحماية ,,, اوبالطرق التقليدية كـ سكربتات الحذف من الدوس
او حذفه باستخدام مستعرض الويندوز ,, وحتى لو نعطل ملفات الفايروس الاساسية باستخدام مدير المهام او اي اداة اخرى
واذا حذفنا هذه الملفات ,, شوي والخبيث يرجع من جديد وترجع ملفاته
وولقضاء على هذا الخبيث نستخدم ادوات حذف الملفات بعد التشغيل
كـ Killbox او Unlocker او bootdeleter او DelLater او The Avenger v2
او استخدام هذه الاداة الزيزومية تساعد في التخلص من الفايروس وملفاته بشكل تلقائي

.................................................. .................................................. ..........

و بتعليق القناص يقول لكم :

و على ما أظن أنه قد يفتح ثغرات بجهازك قد تسمح للمخترقين بإستغلالها ، فهو يبطل عمل الأنتي فيروس و يربكه .
قد جربت أحد البرامج حذف الفيروسات ، و قد صمم خصيصا لهذا النوع ، إلى أنه للأسف بمجرد مسحه للفيروس من المجلد الاول و إنتقاله إلى المجلد الثاني ، يكون الفيروس قد عاد ليعشش في الملف الأول ،
و يظل هذا الأنتي فيروس يعمل طيلة النهار ، ليكرر بعدها عمله ، و يدور دورته الامنتهية .

.
.

06-20-08, 01:31 PM

عفوا ,,, لايمكنك مشاهده الروابط لانك غير مسجل لدينا [ للتسجيل اضغط هنا ]

موقع الأنتي فيروس Avira و هو يقوم بشرح خاصية هذا الفيروس .
إلا أنه يبقى عاجزا عن القضاء عليه ، فقد قمت بتجربته على جهازي .

صورة من جهازي يظهر فيها الفيروس بجاور Avira

عفوا ,,, لايمكنك مشاهده الروابط لانك غير مسجل لدينا [ للتسجيل اضغط هنا ]

.................................................. ......

الأن أجرب أحد أدوات نفس الشركة Antivir Removal tools و التي أنتجت خصيصا لهذا الفيروس ، و قد قيل أن من مميزاتها :

-اجراء الحذف الفوري للفيروسات الضاره السابقه .

2-اصلاح الملفات التي اعطبتها الفيروسات .

3-قتل وايقاف العمليات التشغيليه للملفات والبرامج الضاره .

4-بعض البرامج الضاره تنشيء ملفات بامتدادات لايتعرف عليها برنامج الانتي فايروس او ادوات الحمايه وهذه الاداه لها القدره على كشفها وحذفها (امتياز جديد ).

5-اصلاح قيم الريجستري التي افسدتها وغيرتها الفيروسات والملفات الضاره .

6-سهوله الاستخدام وصغر الحجم 350 kb وبساطه العمليه التشغيليه الخاصه بالبرنامج .

صورة خاصة من جهازي :

عفوا ,,, لايمكنك مشاهده الروابط لانك غير مسجل لدينا [ للتسجيل اضغط هنا ]

سنلتقي بعد إنتهاء البحث ، لأوافيكم بالتقرير و النتائج .

إلا ذلك الحين ، سأمنع من وضع موضوع يتضمن رابط لبرنامج من رفعي

.

و أرجوا ممن يعاني من نفس المشكل ، أن يعلمني حتى نقوم بالتعاون فيما بيننا لإيجاد البرنامج المناسب .
.

06-20-08, 05:42 PM

النتيجة بعد إنتهاء البرنامج

كذب المبرمجون ولو صدقوا .

يظهر أن الفيروس يحب هذا البرنامج بقوة ،

صورة من جهازي تأكد ما أقوله :

عفوا ,,, لايمكنك مشاهده الروابط لانك غير مسجل لدينا [ للتسجيل اضغط هنا ]

06-20-08, 06:18 PM

لمن لديه الشك في أن جهازه مصاب بهذا الفيروس ، يمكنه تثبيت هذا البرنامج في جهازه :

عفوا ,,, لايمكنك مشاهده الروابط لانك غير مسجل لدينا [ للتسجيل اضغط هنا ]

و عمله يتلخص في البحث عن التجوانات و الفيروسات و أي شائبة قد تضاف إلى برنامج السيستم لديك .

بعد التنصيب ، كليك على scan و إنتظر حتى يقوم بفتح ملف بصيغة txt ، به تقرير مفصل .

يمكنك أن ترفعه على هذه الصفحة لأعاينه .

مثال :

عفوا ,,, لايمكنك مشاهده الروابط لانك غير مسجل لدينا [ للتسجيل اضغط هنا ]

أرجوا رفع ملفات التقرير ، لم أستطع رفع ملفي لأنني خشيت أن تحملوا معه الفيروس .

.

06-20-08, 09:59 PM

أنا الوحيد الذي أصاب جهازي الفيروس ؟؟؟.

.