[أحمد الخياري]

[FRAME="13 80"]

| السلام عليكم ورحمة الله وبركاته |


بسم الله الرحمن الرحيم

انتشر باتش ( نذل ) في المنتديات
وعند الاصابه به ,, يضع رابط له بنهاية اي مشاركه للعضو اللي جهازه مصاب

والعضو ياغافل لك الله مايدري وش الطبخة ..

هنا عينة من الروابط ..



تحدث الاصابه بهالنذل ,, عن طريق تشغيل الملف بأسم s e x-game-3.801.zip والذي يأتيك على شكل مرفقات داخل رسالة ..

أو بالضغط على الروابط اللي مليانه فيروسات وباتشات ..

وش سالفة هذا الباتش ..؟

مسميات الباتش من شركات الحمايه
Spam-Mespam ( مكافي )
Trojan-Proxy.Win32.Jaber.a ( كاسبر سكاي )
Mal/Cimuz-A ( سوفس Sophos)
Win32/Difisim.AG ( النورتون )



وعند الاصابه بالباتش ,, على طول يتصل باحد هذه المواقع لتحميل باقي الملفات



كود:
[PHP][[http://skilltests.org/zu/[محذوف]
http://zup.secondsite1.com/[محذوف]
/PHP]
بعدها يستقبل رسائل ويحفظها على الجهاز بالاسماء التاليه ,, في مجلد النظام windows\system32

pfxzmtaim.dll
pfxzmtforum.dll
pfxzmtgtal.dll
pfxzmticq.dll
pfxzmtsmt.dll
pfxzmtsmtspm.dll
pfxzmtwbmail.dll
pfxzmtymsg.dll
sfxzmtsmt.dll
sfxzmtsmtspm.dllبعدها يقوم باعادة ارسالها كـ رسائل سبام ( تطفل ) , باستخدام شركات البريد الالكتروني التاليه
webmail.tiscali.co.uk
earthlink.net
comcast.net
webmail.bellsouth.net
fastmail.fm mail.google.com
care2.com mail.com
mail.rambler.ru
hotmail.********
mail.yahoo.com
lycos.com
webmail.aol.com
win.mail.ruوايضا باعادة ارسالها كـ رسائل سبام ( تطفل ) باستخدم ماسنجر هذه الشركات
GoogleTalk
Yahoo! Messenger
AOL Instant Messenger


وايضا يتصل بهذا الموقع ds.nac.net لتحميل الباتش Downloader-BAI
ويقوم بتحميل هذه الملفات ( rsvp32_2.dll و rsvp32_2.dll435 و rsvp322.dll )
ويقوم بتثبيت احد منها كــ خدمه Layered Service Provider اختصار ( LSP )بحيث يشتغل الباتش عند الاتصال بالنت
باضافة هذا المفتاح لمسجل النظام ,,


كود:

كود PHP:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries 


وايضا يقوم بتحميل الملف sporder.dll وليس مصاب ( نظيف )
ويضع جميع الملفات السابقه في مجلد النظام windows\system32


--------------------------------------------------------------------------------


الزبدة


--------------------------------------------------------------------------------


--------------------------------------------------------------------------------


--------------------------------------------------------------------------------


--------------------------------------------------------------------------------


--------------------------------------------------------------------------------


--------------------------------------------------------------------------------



هذا إهداء بسيط لكم ..

عباره عن ملف واحد Zyzoom_fix_Trojan-Proxy.Win32.Jaber.a


ويعمل التالي بشكل تلقائي
1 ) حذف مفاتيح الباتش من مسجل نظام الويندوز وتعديل ( LSP ) وارجاعها الى الاصل

2 ) حذف جميع ملفات الباتش

3)

تعديل ملف الهوست بحيث نمنع الاتصال بمواقع الباتش

4 ) عمل مجلدات وهميه بإسم ملف الباتش وحمايتها من الحذف,, بحيث نمنع تشغيل الباتش
وعند تشغيل ملف الباتش تظهر رسالة الخطـأ التاليه ,, كما بهذه الصوره



للتحميل


بصيغة RAR

http://www.kifee.com/vb/uploader.php?do=get&id=13441

أو بصيغة ZIP


http://www.kifee.com/vb/uploader.php?do=get&id=13442

أو بصيغة مباشرة EXE " لاينصح به الا لمن ليس لديهم برنامج فك الضغط "
http://www.kifee.com/vb/uploader.php?do=get&id=13443


الاستخدام
فقط بالماوس دبل كلك على الملف Zyzoom_fix_Trojan-Proxy.Win32.Jaber.a.exe
عندها يعاد تشغيل الجهاز بحيث يكمل عملية الحذف ( تلقائيا )


انتهى ....


[/FRAME]

الموضوع الأصلي: || فيروس المنتديات الخبيث (( معلومات وطرق الحل )) || | | الكاتب: أحمد الخياري | | المصدر: شبكة بني عبس

[الاجهر]

مشكور وبارك الله فيك على التنبيه

تقبل تحياتي

[أحمد الخياري]

اقتباس من مشاركة الاجهر مشكور وبارك الله فيك على التنبيه تقبل تحياتي

العفو الاجهر
وشكرااا لك على هذه المتابعة الجميلة

[هلا وغلا]

برنامج رائع مشكور عليه

والله يعطيك العافيه

[ابو براك الرياض]

الله يعطيك العافيه