خلونا نجمع معلومات عن win32.Perlovga.A. في هذه المشاركه

الكاتب : القيصر   المشاهدات : 3,464   الردود : 59    ‏2006-12-05
      مشاركة رقم : 1    ‏2006-12-05
  1. القيصر

    القيصر مشرف سابق

    التسجيل :
    ‏2004-11-25
    المشاركات:
    29,170
    الإعجاب :
    0


    السلام عليكم

    طبعا انا من المساكين اللي انضر بهذا الفايروس الخبييث

    ومزعج

    المهم انا دخلت منتدى الكاسبر سكاي ولقيت كم من حل هناك لكن جالس انزل ادوات وروابط خلوها على الله بس

    المهم اللي عنده فكره عن هذا الفايروس يحطها هنا

    وانا بس خلوني اسوي قليل بحوث عنه ونشوف ايش حله النهائي لانه اذاني الصراحه

    والخط الان ديل اب الله لا وراكم

    وتقيل التنزيل

    علشان كده بستنى الخط adsl يرجع واطبق اللي قالوه في المنتدى الانجليزي لان واحد صابته نفس لمشكله وجالسين يساعدوه

    المهم انتظر همتكم في مساعدتي لحل هذه المشكله ويكون ارشيف لحل هذه المشكله لاي واحد يحتاجها في المستقبل



    القيصر
     
  2.   مشاركة رقم : 2    ‏2006-12-06
  3. يافع

    يافع عضو متميّز

    التسجيل :
    ‏2003-03-29
    المشاركات:
    1,765
    الإعجاب :
    0
  4.   مشاركة رقم : 3    ‏2006-12-06
  5. يافع

    يافع عضو متميّز

    التسجيل :
    ‏2003-03-29
    المشاركات:
    1,765
    الإعجاب :
    0
  6.   مشاركة رقم : 4    ‏2006-12-06
  7. يافع

    يافع عضو متميّز

    التسجيل :
    ‏2003-03-29
    المشاركات:
    1,765
    الإعجاب :
    0
    وهذا هو الحل منقول من الاخ

    After two cups of black coffee while my little noisy son is 'eating rice with angels' (literal translating of arabic expression means sleeping) i found out the fellowing :

    Every time KAV detects the malicious exe files it misses (and so do i) at least one of them so it recreate itself when i double-click the drive again!

    This time I manually deleted all the malicious files, removed the svchost.exe from registy so it doesn't run at start up anymore and then i did reboot my computer!

    But the "Aoutrun" item still there and when i double-click the drive, an error message appears saying that theres no such file called copy.exe!

    I then regedit, did some search and found out these three registry keys that are apparently added by the virus to add an item to the context menu for every drive I have in my computer C, D and E

    كود:
    [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\
    {a8b69ec0-bff7-11da-bcaf-806d6172696f}\Shell]@="AutoRun"
    
    [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\
    {a8b69ec0-bff7-11da-bcaf-806d6172696f}\Shell\AutoRun\command]@="C:\\WINDOWS\\system32\\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL copy.exe"
    
    [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\
    {a8b69ec1-bff7-11da-bcaf-806d6172696f}\Shell]@="AutoRun"
    
    [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\
    {a8b69ec1-bff7-11da-bcaf-806d6172696f}\Shell\AutoRun\command]
    @="C:\\WINDOWS\\system32\\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL copy.exe"
    
    [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\
    {a8b69ec3-bff7-11da-bcaf-806d6172696f}\Shell]@="AutoRun"
    
    [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\
    {a8b69ec3-bff7-11da-bcaf-806d6172696f}\Shell\AutoRun\command]
    @="C:\\WINDOWS\\system32\\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL copy.exe"
    I deleted those keys and the item disappeared and the 'Open' item came back to the top of the menu as the default selection so when I double-click the drive it normally shows the .......s of it in the same window and no exe files are created!

    Looks like problem solved!

    Thank you for reading and being patient
     
  8.   مشاركة رقم : 5    ‏2006-12-06
  9. يافع

    يافع عضو متميّز

    التسجيل :
    ‏2003-03-29
    المشاركات:
    1,765
    الإعجاب :
    0
    وهذا هو الحل منقول من الاخ

    After two cups of black coffee while my little noisy son is 'eating rice with angels' (literal translating of arabic expression means sleeping) i found out the fellowing :

    Every time KAV detects the malicious exe files it misses (and so do i) at least one of them so it recreate itself when i double-click the drive again!

    This time I manually deleted all the malicious files, removed the svchost.exe from registy so it doesn't run at start up anymore and then i did reboot my computer!

    But the "Aoutrun" item still there and when i double-click the drive, an error message appears saying that theres no such file called copy.exe!

    I then regedit, did some search and found out these three registry keys that are apparently added by the virus to add an item to the context menu for every drive I have in my computer C, D and E

    كود:
    [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\
    {a8b69ec0-bff7-11da-bcaf-806d6172696f}\Shell]@="AutoRun"
    
    [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\
    {a8b69ec0-bff7-11da-bcaf-806d6172696f}\Shell\AutoRun\command]@="C:\\WINDOWS\\system32\\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL copy.exe"
    
    [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\
    {a8b69ec1-bff7-11da-bcaf-806d6172696f}\Shell]@="AutoRun"
    
    [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\
    {a8b69ec1-bff7-11da-bcaf-806d6172696f}\Shell\AutoRun\command]
    @="C:\\WINDOWS\\system32\\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL copy.exe"
    
    [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\
    {a8b69ec3-bff7-11da-bcaf-806d6172696f}\Shell]@="AutoRun"
    
    [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\
    {a8b69ec3-bff7-11da-bcaf-806d6172696f}\Shell\AutoRun\command]
    @="C:\\WINDOWS\\system32\\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL copy.exe"
    I deleted those keys and the item disappeared and the 'Open' item came back to the top of the menu as the default selection so when I double-click the drive it normally shows the .......s of it in the same window and no exe files are created!

    Looks like problem solved!

    Thank you for reading and being patient
     
  10.   مشاركة رقم : 6    ‏2006-12-07
  11. القيصر

    القيصر مشرف سابق

    التسجيل :
    ‏2004-11-25
    المشاركات:
    29,170
    الإعجاب :
    0
    اشكرك يا يافع انا لقيت الحل هذا عن طريق جوجل

    وهو منتدى الكاسبر سكاي

    تصدق يا عزيزي جلست اقرا واقرا ولا افتهملي شي :) لمى وصلت لهذا الحل

    [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\
    {a8b69ec0-bff7-11da-bcaf-806d6172696f}\Shell]@="AutoRun"

    حيث ما لقيت عندي هذا الرقم ابدا a8b69ec0-bff7-11da-bcaf-806d6172696f}\Shell]@="

    ولقيت ارقام اخر غيره وفي بعده او داخله كلمة ( الشيل ) SHELL لكن ما تلاقي الاوتو رن ؟؟

    انا اقصد لو بنلاقي له حل عن طريق اداة جديده تنزعه من الكمبيوتر يكون احسن
    مثل ما تسوي النوترون لمى تنزل ادوات لبعض الفايروسات
     
  12.   مشاركة رقم : 7    ‏2006-12-08
  13. القيصر

    القيصر مشرف سابق

    التسجيل :
    ‏2004-11-25
    المشاركات:
    29,170
    الإعجاب :
    0
    تم حل المشكله


    اولا من الريجستري لازم ينحذف اي شي اسمه COPY.EXE


    بعد ذلك تختفي المشكله ويصير الجهاز عادي وما يطلع المشكله

    و لكن هناك مشكله اخرى ظهرت لي

    كل ما اعمل دبل كليلك على الدرايف سي او الدي c d
    يقولي لا يمكن فتح السي او الدي لعدم وجود ملف COPY.EXE

    انا قهرت هههههههههههه

    بعدين لقيت الحل من احد الاجانب وقال احذف ملف الــ AUTORUN.INF من السي وا الدي

    حذفتها وما نفعت

    سويت ريستارت





    اشتغل الكمبيوتر عااااااادي :) :) :)

    يا فرحتي كان كابوس


    يافع

    شكرا لك على المداخله الرائعه
     
  14.   مشاركة رقم : 8    ‏2007-01-06
  15. iSergiwa

    iSergiwa عضو

    التسجيل :
    ‏2007-01-06
    المشاركات:
    30
    الإعجاب :
    0
    السلام عليكم

    أولاً عثرت على هذه المشاركة أثناء بحثي في (Google) عن هذا الفايروس ولفت نظري ذكر أسمي فيها فأحببت أنا أشارك.

    أشكر أخي يافع على نقله للحل الذي وضعته في منتديات كاسبرسكي هو هذا الفايروس، مع الإشادة بمنتدى المجلس اليمني على اهتمامه بمثل هذه الموضوعات.

    أخي القيصر

    الحقيقة لو تلاحظ تاريخ وضعي لهذا الحل سوف تجده قبل تاريخ وضعك لمشاركتك التي اقتبست منها السطر أعلاه، مما يعني أن العبد الفقير إلى الله (iSergiwa) قد توصل لهذا الحل (حذف ملف أوتورن) أولاً ووضعته بتاريخ يسبق تاريخ نقلك له هنا :

    here's what you should do :

    After you make sure that you delete all exe files and remove all traces of 'copy.exe' and 'host.exe' from the registry, you MUST delete the autorun.inf file from the root of every partition you have, if you don't do that, the registry will be filled again with 'copy.exe' and 'host.exe' and the 'autoplay' thing will come back again
    !

    موضوعي هذا في منتديات كاسبرسكي قرأه الآلاف ونقله الآلاف أجانب وغير أجانب وقد تلقيت رسائل شكر كثيرة حتى من مشرفي منتديات كاسبرسكي أنفسهم لدرجة أنه يمكنني القول أنني صاحب الحق في هذه المعالجة. هذا ولي الكثير من المعالجات لفايروسات كثيرة أخرى يمكن الاطلاع عليها مبعثرة في الانترنت ودائماً تحت نفس الأسم (iSergiwa)

    أشكركم مرة أخرى

    أخوكم : عصام سرقيوة
    درنة - ليبيا
    Website: http://vb.bokris.net
    email: isergiwa@hotmail.com
     
  16.   مشاركة رقم : 9    ‏2007-01-06
  17. القيصر

    القيصر مشرف سابق

    التسجيل :
    ‏2004-11-25
    المشاركات:
    29,170
    الإعجاب :
    0
    اووووو

    هو انت الخطير و قاهر الفيروسات في منتدى الكاسبر سكاي ؟

    ممكن نشوف مشاركه لك تعطيني رابط اريد اتابع مواضيعك واشكرك على المداخله :) وتشرفنا بيك

    وانا وجدت الحل تبع " بعدين لقيت الحل من احد الاجانب وقال احذف ملف الــ AUTORUN.INF من السي وا الدي " في منتدى الكاسبر ولم انتبه لكاتب الموضوع ولم اكن اعرف ان كاتبها عربي ونفتخر به

    على العموم نحن نتشرف بك معنا لكي تساعد من يحتاج الى مساعده لحل هذه المشكله

    على فكرة اليوم اجاني كمبيوتر للمحل مصاب بفايروس الــ TEMP2 :)
    هذا الفايروس بدأ ينتشر كثيراً ومزعج للغايه
    و له تأثيرات كثيره وانت ادرى بها نرجوا منك وضع تقرير عنه اذا كان معك او تقرير عن اي فيروس جديد يظهر وصادفك ووجدت له حل حتى يستفيد الكل :)

    تحياتي لك يا قاهر الفيروسات

    القيصر :)
     
  18.   مشاركة رقم : 10    ‏2007-01-08
  19. iSergiwa

    iSergiwa عضو

    التسجيل :
    ‏2007-01-06
    المشاركات:
    30
    الإعجاب :
    0
    السلام عليكم

    أشكرك أخي القيصر على حسن الضيافة والمراسم والمجاملات اللطيفة!

    أنا لاني خطير ولا قاهر الفايروسات ولا شي من هذا القبيل كل ما في الأمر أنني أهوى متابعة كل جديد في عالم الفايروسات وأعمل بكل جهدي لمساعدة القائمين على برامج مكافحة الفايروسات العالمية (وخصوصاً كاسبرسكي) بكل ما أستطيع، سواء بتقديم معلومات عن فايروسات جديدة وغير معروفة أو تصحيح بعض الأخطاء البرمجية!

    يمكنك الاطلاع على موضوع كتبته في بداية كتابتي في منتديات كاسبرسكي قبل عام تقريباً على هذا الرابط :
    http://forum.kaspersky.com/index.php?showtopic=11182

    بالنسبة للفايروس الذي أشرت إليه فهو معروف الآن بالنسبة لكاسبرسكي وهو أحد مكونات فايروس win32.Perlovga وهو اسم لأحد الملفات التي يقوم هذا الفايروس بتكوينها أثناء تواجده بجهازك

    هذا الفايروس عادة يأتي مكونا من عدة ملفات وهي :
    svchost.exe
    host.exe
    وهذان الملفات أعطي لهما اسم Trojan-Dropper.Win32.Small.apl
    copy.exe
    xcopy.exe
    وهذان الملفان أعطي لهما اسم Virus.Win32.Perlovga.a
    temp1.exe
    وهذا الملف أعطي له اسم Virus.Win32.Perlovga.b
    temp2.exe
    وهذا الملف أعطي له الاسم Backdoor.Win32.small.lo

    طبعاً تكون كل هذه الملفات مرتبطة ببعضها وحذفك لها جميعاً ونسيانك لأحدها على الأقل يؤدي إلى عودتها من جديد.

    كل ما عليك هو حذف هذه الملفات يدوياً أو ترك كاسبركي يقوم بالأمر عنك فهو يقوم بحذفها جميعاً، ولكن عليك بعد ذلك بحذف ملف Autorun.inf كما هو مشار أعلاه.

    تحياتي لك وأشكرك مرة أخرى على حسن الضيافة والكلمات اللطيفة
     

مشاركة هذه الصفحة