المساعد الشخصي الرقمي

مشاهدة النسخة كاملة : طريقة التخلص من الفيروس اللعين W32/Sality


الهمام
26-03-2010, 12:18 PM
بسم الله الرحمن الرحيم

ان سبب نقلي لهذا الموضوع هو المعاناة اللي سببها لي فيروس اسمه W32/Sality و لنشر الإستفادة في القضاء على هذا الفيروس الذي أصبح يهدد جميع الأجهزة مؤخراً .

هيا نتعرف أولاً على هذا الفيروس

و الفيروس له العديد و العديد من الأنواع و منها :-
Win32/Sality.nar وهذا أقوى نوع (و يعتبر من أقوى عشر فيروسات في العالم لعام 2008و 2009)
Win32/Sality.nau
Win32/Sality.naq
Win32/Sality.nao
Win32/Sality.a
W32/Sality.e
W32/Sality.g
W32/Sality.i
W32/Sality.j
W32/Sality.m
W32/Sality.n
W32/Sality.tt
W32/Sality.ah
W32.Sality.aa
W32/Sality.am
W32/Sality.y
W32/Sality.ae
W32/Sality.o

ينتقل الفيروس عن طريق الأنترنت و نقل الملفات المصابة و البريد الألكتروني , كما له خواص إنتشار واسعة جداً من خلال الفلاشات الUSB , حيث يصنع من نفسه ملفات Autorun تساعد على الدخول لجهاز الضحية .

و لن أخفي عليكم أن الفيروس أثاره التدميرية كبيرة جداً جداً .!!!!

فالفيروس يقوم بنسخ نفسه بسرعة كبيرة في ملفات ال exe فهو يدمر نظام تشغيلك و برامجك المثبته و الغير مثبتة , كما يدمر الألعاب و أيضاً يدمر أي برنامج أنتي فيروس تضعه على جهازك
كما أنه يعبث بشفرات الريجيستري حتى يضمن عدم الوصول له من خلال تعطيل خاصية ctrl+alt+del
و خاصية regedit
و خاصية safe mode
و يمنعك من تحميل أي برنامج أنتي فيروس من على الأنترنت و يقطع الإتصال
و عند الدخول الى ctrl+alt+del تظهر تلك الرسالة السخيفة
the task manger has disabled by your admnistroitor
و إذا ظهرت لك هذه الرسالة فتأكد من أن الفيروس قد نال منك و تسلل لملفات النظام

إذا لم تظهر لديك تلك الرسالة فلا تسعد , فمن الممكن أن يكون الفيروس مختباً بأي مكان في الجهاز ينتظر وقت الإنقضاض عليك ............ يمكنك الاطلاع على تفاصيل الفيروس من خلال موقع Eset من هذا الرابط هنا (http://www.eset.eu/buxus/generate_page.php?page_id=20616)



يجب أن تتحلي بالصبر لإزالة الفيروس فلا تتعجل



نأتي الان الى طريقة التخلص من هذا الفيروس

المرحلة الاولى

1- قم بإستخراج كل ما ترغب به من درايف C لأنك مقدم على تغيير نسخة الويندوز (فورمات) حيث أن الأثار التدميرية التي يخلفها الفيروس لا تسترجع حتى بعد القضاء عليه

2- قم بتجهيز نسخة لبرنامج Nod32 وبرنامج Dr.Web والاداة الضرورية جداً Remove Sality و البرنامج الاهم XP Home Permissions Manager وبرنامج الونرار Winrar في أسطوانة أو فلاش و يستحسن ألا تكون النسخ من جهازك , كما يجب التأكد من خلو الأسطوانة أو الفلاشة من أي فيروسات من خلال فحصها ببرنامج Nod32 كامل التحديث على أي جهاز أخر غير مصاب

لتحميل برنامج ESET Smart Security Business Edition 4.2.35 Final اخر اصدارمن هنا (http://www.absba.org/showthread.php?t=908937&highlight=ESET+NOD32+Antivirus+Business+Edition)


لتحميل برنامج Dr.Web

ftp://ftp.drweb.com/pub/drweb/cureit/launch.exe

لتحميل الاداة Remove Sality

http://www.4shared.com/file/79302118/f438a7de (http://www.4shared.com/file/79302118/f438a7de/Remove_Sality.html)
/Remove_Sality.html (http://www.4shared.com/file/79302118/f438a7de/Remove_Sality.html)

لتحميل برنامج XP Home Permissions Manager

http://www.xphometools.com/downloads/xphomepm- (http://www.xphometools.com/downloads/xphomepm-2.3-release.msi)
2.3-release.msi (http://www.xphometools.com/downloads/xphomepm-2.3-release.msi)

3- قم بعمل فورمات للدرايف C او الدرايف اللي انت منصب عليه الوندوز

4- قم بتثبيت الويندوز

5- عقب إنتهاء تثبيت الويندوز لا تتهور و تفتح أي درايف آخر (انتبه !!!!!!! ) فالفيروس كامن في مخبأه في أي مكان أخر بالجهاز غير درايف الC في هذه المرحلة .


ناتي الان الى المرحلة الثانية


1- بعد ان تقوم بتجهيز البرامج المطلوبة التي ذكرتها في الاعلى على قرص او فلاش ( انا افضل على فلاش يكون افضل ) وبعد عملية الفورمات ............ لا تقم بتنصيب التعريفات للجهاز ولا تقم بأي خطوة اخرى يجب ان نتخلص من الفيروس اولاً ثم بعدها تستطيع ان تفعل ذلك

2- قم بتوصيل الفلاش وتنصيب برنامج Winrar اولاً

3- قم بفتح الضغط عن الاداة Remove Sality ومن ثم تشغيلها كما في الصورة

http://dc03.arabsh.com/i/00522/hro9ai5ci02z.JPG

ثم انتضر حتى يتم الانتهاء من الفحص الشامل لجهازك وتظهر كما في الصورة ( قد تستغرق الاداة مدة طويلة لذلك يجب ان تتحلى بالصبر )

http://dc03.arabsh.com/i/00522/j7jlsjc1rl9t.JPG




لا تخف فأن هذه الاداة لا تقوم بحذف الملفات المصابة وانما تقوم بتنظيفها فقط ليس الا وبذلك تستطيع ان تحفظ ملفاتك من الضياع

4- بعد انتهائك من الخطوات هذه كلها فأنك قمت بالقضاء على الفيروس بنسبة 60% فالاداة لم تعثر على جميع نسخ الفيروس , ففيروس W32/Sality ليس بتلك السذاجة فهو يختبأ داخل المجلد System Volume في كل درايف تملكه ويعتبر هذا المجلد الحصن الأخير لهذا الفيروس و لكن كيف نجد هذا المجلد و ما هي وظيفته ؟ هذا المجلد هو المسئول الأول عن عملية System Restore و هو يحتفظ بالملفات التي تساعد على إعادة النظام و يختبئ الفيروس بداخل تلك الملفات , و يتواجد هذا المجلد في كافة الدريفرات و هو مخفي ....... لماذا لم تدخل الاداة داخل هذا المجلد و تمسك الفيروس ؟ هذا المجلد لا يعطي تصريح للدخول إليه إلا للنظام فقط و لا يستطيع أي أنتي فيروس الدخول إليه , لكن الفيروس يختبئ بداخله حيث يعتقد النظام بأنه جزء من ملفات الجهاز العادية و يدخله بنفسه إلى عقر داره .

نأتي الى السؤال الاهم وهو كيف أسمح لبرنامج الأنتي فيروس بالدخول لهذه المنطقة المحظورة ؟ والجواب هو يجب أخذ صلاحية Permission للدخول لهذا المجلد . لأخذ الصلاحية يجب الدخول إلى نظام Safe mode و الدخول بحساب Administartor ... ألخ , لكن دعك من كل هذا هنا يأتي دور البرنامج الرائع الصغير في حجمه و القوي في نتيجته XP Home Permissions Manager و البرنامج يسمح لك بأخذ صلاحية لحسابك للدخول علي أي ملف ترغبه في الكمبيوتر .



نأتي الان بعد عملية الفورمات وتنصيب الوندوز و وصل الفلاش وتنصيب برنامج الونرار وتشغيل الاداة والانتهاء منها نقوم الان بفك الضغط عن برنامج Home Permissions Manager
وتنصيبه لعمل الصلاحية للدخول الى مجلد System Volume

كما في الصور


http://dc05.arabsh.com/i/00522/l6sa9zrpll13.JPG

http://dc05.arabsh.com/i/00522/4by9elpbxiq6.JPG

http://dc05.arabsh.com/i/00522/srd1vtu5l7sl.JPG

http://dc05.arabsh.com/i/00522/2fxv3bx79z5q.JPG

http://dc05.arabsh.com/i/00522/g2lzj3v2mkjl.JPG



بعد عملية التنصيب نقوم بفتح احد الدرايفرات ( لاتخف فأن الفيروس لم يعد موجود الا في مجلد System Volume ) ونقوم باظهار المجلد لانه مخي كما في الصور

http://dc02.arabsh.com/i/00522/ujz0p1a1hxkx.JPG

http://dc02.arabsh.com/i/00522/cd1jsd7xqssw.JPG


الآن اذهب الى جميع المجلدات System Volume Information في كافة درايفرات جهازك (C , D , E ...الخ ) و قم بإختيار Properities لهذا المجلد ثم أتبع الآتي :-


http://dc02.arabsh.com/i/00522/bijng7uff8eo.JPG

http://dc02.arabsh.com/i/00522/9os1ou4s1jjx.JPG


http://dc02.arabsh.com/i/00522/1orrsi3la22p.JPG


http://dc02.arabsh.com/i/00522/hlwlv6g7e0ho.JPG

http://dc02.arabsh.com/i/00522/7nt6uzoibpc5.JPG

http://dc02.arabsh.com/i/00522/k39ywausc9rj.JPG

http://dc02.arabsh.com/i/00522/1z4icrx6ath2.JPG

http://dc02.arabsh.com/i/00522/fnig86nj3o3u.JPG


وبذلك لقد قمنا بعمل الصلاحية للدخول لهذا المجلد ( انتبه !!!! لا تقم بالدخول اليه اطلاقاً )



5- بعد ان اكملت الخطوة السابقة قم بتشغيل الاداة Remove Sality مرة اخرى ( ضروري جداً جداً ) وانتضر حتى تنتهي من الفحص الشامل

6- لقد قمنا الان بالتخلص من الفيروس بنسبة 95% الان ولكي تضمن التخلص من الفيروس نهائياً يأتي دور العملاق Dr.Web قم بتشغيله من الفلاش واعمل سكان شامل للحاسوب سوف ترى ان البرنامج وجد فيروس اسمه Alman وهو فيروس يكون مصاحب لفيروس Sality دائمأ ( صديقه ) ويتخلص منه وسوف يجد البرنامج ايظاً فيروسات اخرى مصدرها فيروس Sality المهم انه سوف يقوم بالتخلص منها كلها .......

7- بعد ذلك ونأتي الى الخطوة الاخيرة وهي تنصيب الوحش الهادىء ESET Smart Security Business Edition 4.2.35 Final الذي انصح به دائماً لانه قوي وخفيف الذي يظمن لك عدم رجوع الفيروس مرة اخرى الى جهازك لانه بمجرد وصل فلاش مصاب بالفيروس مثلاً سوف يقوم بحذفه وتنظيف الفلاش من الفيروس من دون السؤال او التنبيه حتى

8- مبروك لقد قضيت على الفيروس الملعون .


ملحوظة : يمكن لك إستخدام أي أنتي فيروس تراه مناسباً فأنا لست متحيز لنوع معين لكن من خلال التجربة وجدت أن Nod32 هو العدو اللدود لفيروس W32/Sality
و لا أضمن النتائج مع أي أنتي فيروس آخر , و تلك الطريقة لا تعمل إلا مع ويندوز أكس بي أماالفيستا فيصعب أخذ صلاحية على جميع ملفات المجلد System Volume Information لأسباب امنية سخيفة من وجهة نظر مايكروسوفت تحميك من نفسك و لا تحميك من الفيروسات , و أسف على الشرح التفصيلي الطويل .



منقول للفائدة

والسلام عليكم ورحمه الله وبركاته

سالي الفلسطينية
26-03-2010, 12:34 PM
شـكــ وبارك الله فيك ـــرا لك ... لك مني أجمل تحية .

أبو يوسف
26-03-2010, 02:36 PM
شـكــ وبارك الله فيك ـــرا لك ... لك مني أجمل تحية .

ابو زكريا
26-03-2010, 05:52 PM
جزاك الله خيرا على الموضوع الرائع

لكني لا استعمل النود لانه يرهق الجهاز

الدمشقي
26-03-2010, 07:18 PM
شـكــ وبارك الله فيك ـــرا لك
على هذا النقل المفيد
حمانا الله وإياك من كل مانكره
اللهم آمين

حازم أمين
26-03-2010, 10:49 PM
شـكــ وبارك الله فيك ـــرا لك ... لك مني أجمل تحية .

abohmam
29-03-2010, 03:43 PM
بارك الله فيك أخانا الهمام

لك أجمل تحية على هذا النقل النافع

أحمد فارس
31-03-2010, 01:56 AM
شكرا لك وبارك الله فيك