إزاله فيروس folder.htt بدون استخدام برنامج النورتون

الكاتب : THE LEGEND   المشاهدات : 1,684   الردود : 2    ‏2003-05-20
      مشاركة رقم : 1    ‏2003-05-20
  1. THE LEGEND

    THE LEGEND عضو

    التسجيل :
    ‏2002-12-06
    المشاركات:
    145
    الإعجاب :
    0
    لازالة الفيروس يجب ان
    1- تحدث تعريفات الفيروسات في برنامج النورتون
    2- تعمل فحص شامل للملفات و احذخ كل الملفات المصابة بالفيروس
    3- اعكس العمليات التعديلات التي احدثها الفيروس في ملف الرجستري ...

    الكلام اسهل من الفعل .... لاني في البداية اضطررت للبحث عن قرص تركيب برنامج النورتون وبعد ان ازلت McAfee الذي لم يكتشف حتى وجود الفيروس و ركبت Norton بعد جهد جهيد بدا يزعجني بشكل لا يطاق,حيث انني كلما فتحت اي مجلد اجد انه يظه لي رسائل التحذير التي لا تنتهي الى درجة اني فكرت في ان الغي تركيبة من على الجهاز .... لكني فكرت مرة اخرى .... بعد ان لاحظت ان الفيروس لم يعد ينتقل الى المجلدات الجديدة ....
    فكل ما حاول ذلك يمنعه النورتون من تنفيذ الكود الخاص بالفيروس
    و بالتالي لا يستطيع نسخ نفسه بعد الآن الى المجلدات الجديدة ..... لكن المشكلة ان الجزء الخاص بالفحص الشامل في النورتون و الذي يكتشف كل الملفات المصابة ثم يزيلها لا يعمل !! .... هكذا بكل بساطة لا يعمل !!

    كلما ضغطت على الايقونة تظهر لي علامة الساعة الرملية ولكن البرنامج لا يعمل و عندما ابحث عنه في قائمة البرامج Alt+Ctrl+Del لا اجد اي عملية جارية لها علاقة بالنورتون .... هل يعقل ان الفيروس يمنع الجزء المتعلق بالفحص الشامل في نورتون من العمل ؟؟ ....!!! هذا ما لم اجد له جوابا ..... لكني حاولت بكل الطرق و شغلت النورتون عدة مرات .... و اعدت تشغيل الجهاز كذا مرة .... ولم تحل المشكلة النورتون لا يعمل ... الجزء الوحيد الذي يعمل هو الجزء المزعج .... التنبيهات التي لا تتوقف ولا تستطيع لا ازالة الملف ولا حتى احتوائة Quarantine .... ما العمل اذا ...

    تركت الملفات المصابة الآن وشغلت الرجستري ...
    run > regedit
    و تتبعت المسار االتالي
    1- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

    ثم حذفت المدخل Kernel32 من الجزء الايمن ...

    2- HKEY_CURRENT_USER\Identities\[Default Use ID]\Software\
    Microsoft\Outlook Express\[Outlook Version].0\Mail

    ثم حذفت القيم
    Compose Use Stationery
    Stationery Name
    Wide Stationery Name



    3- HKEY_CURRENT_USER\Software\Microsoft\Office\9.0\Outlook\Options\Mail

    وحذفت EditorPreference

    و اخيرا
    4- تتبعت هذه المسارات
    HKEY_CLASSES_ROOT\dllFile\Shell
    HKEY_CLASSES_ROOT\dllFile\ShellEx
    HKEY_CLASSES_ROOT\dllFile\ScriptEngine
    HKEY_CLASSES_ROOT\dllFile\ScriptHostEncode

    و حذفتها كلها ....


    الآن المفروض ان الفيروس لا يستطيع التحكم بالمجلدات و نسخ نفسه اليها ....


    بقيت امامي العقبة الاخيرة .... وهي ازالة الملفات المصابة .... طبعا الفيروس يصيب الملفات من نوع htm و html و و و لكنني الآن ساركز على الملفات المسماه folder.htt وهي التي
    تحمل الفيروس بشكل صريح خصوصا و اني لا استطيع ان اعرف اي الملفات الاخرى تحمل الفيروس بدون ان استخدم برنامج النورتون ..... لكن المشكلة ان المساعدة الواردة في موقع symantec تنتهي عند هذا الحد ...
    فهي تتطلب استخدام النورتون ..... و النورتون لا يعمل .... و المشكلة لا استطيع الاتصال بالانترنت حاليا .... ماذا افعل ؟


    الحل يجب ان يأتي من الدوس ....
    عدت مرة اخرى لموجه الدوس ....

    وحاولت استخدام امر del مرة اخرى ...
    لم ينجح .... استخدمت امر جديدا اسمه erase يقوم بنفس العمل .... ولم ينجح هو الآخر ...

    ثم اهديت الى فكرة مجنونة ..... لمذا لا ازيل خاصية الاخفاء من الملف ثم احاول حذفه ..... و جربت
    attrib folder.htt -h
    فنجح الامر ....
    ونفذت بعدها امر
    attrib *.*
    لاجد ان الملف folder تحول الى R و A اي انه اصبح ملف للقرائه و الحفظ ....

    اها ... هل يمكن ان اقرا الملف الآن بواسطة محرر الدوس ..... كنت متشوقا لاعرف كيف كتب الفيروس .... لكن يبدو اني كنت ساذجا .... فلم اتمكن من قرائته حتى ببرنامج hex editor ...
    لكنه الآن ليس مخفيا .....

    اذا لمذا لا احاول ان احذفة مرة اخرى ...
    del folder.htt
    وكانت المفاجأة لقد تم حذف الملف!!

    لم اصدق ما رأيت ....

    عندها عملت patch file وهو ملف تنفيذي يحتوى سلسلة من اوامر الدوس التي تنفذ تباعا بدون ان يحتاج المستخدم لكتابتها كل مرة ....
    وكتبت فيه الاوامر التاليه

    attrib folder.htt -h /s
    attrib desktop.ini -h /s
    del folder.htt /s
    del desktop.ini /s

    طبعا الحرف s يعني ان يبحث في كل المجلدات الموجودة في السواقة و المجلدات التي داخل كل مجلد .....
    طبعا بعد ان نفذت الملف .... الذي اسميته folderhttFixer.bat .... استغرق وقتا طويلا قبل ان يعلن لي وبكل زهو انه ازال كل ملفات الفيروس :) :)

    ولكن مهلا بقيت عدد من المفات من الانواع htm و html و php و غيرها .... ما العمل الآن ؟؟؟

    عدت الى النورتون و بمجرد ان ضغطت على ايقونه الفحص الشامل ..... اشتغل البرنامج! و قام بفحص شامل و وجد حوالي 200 ملف من الانواع المذكورة ... وطبعا طلبت منه حذفها جميعا ....


    واما الـ patch file الذي عملته .... فقد وجدت مفيدا مع الاقراص المرنه بمجرد ان انسخه الى احدها و انفذه يمسح كل ملفات الفيروس و تعود الاقراص نضيفة مرة اخرى بدون الحاجة الى عمل فورمات و ضياع الملفات الاخرى المفيدة عليها ...


    هذه كانت مشكلتي ..... التي شيبت رأسي الى ان حللتها .....لكن بفضل الله تم حلها في النهاية و التخلص منه

    م ن ق و ل

    أحمد ماسك2
     
  2.   مشاركة رقم : 2    ‏2003-05-20
  3. مُجَاهِد

    مُجَاهِد قلم ماسي

    التسجيل :
    ‏2003-05-11
    المشاركات:
    14,043
    الإعجاب :
    0
    مشكور على هذا الموضوع الجميل..


    مشكووووووور..


    ولكن ممكن سؤال لأني لم أقرأ الموضوع ومستعجل لازم يكون لديك برنامج النورتن..ولا كيف..

    تحياتي ..
     
  4.   مشاركة رقم : 3    ‏2003-05-22
  5. THE LEGEND

    THE LEGEND عضو

    التسجيل :
    ‏2002-12-06
    المشاركات:
    145
    الإعجاب :
    0
    هلا بأخي اليمن.كوم
    هذه الخطوات فيها كيفية ازاله الفيروس folder.htt بدون استخدام النورتون
    اي إذا صادفك الفيروس وما عندكش نورتون هذه العمليات توقف عمل الفيروس نهائيا وكأنه ليس موجود ولكنها لا تنظف الملفات المصابه اي لابد ان تقوم بحذف المصاب

    تحياتي
    أحمدماسك2
     

مشاركة هذه الصفحة