الحل النهائي قاهر فيروس الـ Mabezat , Zpharaoh, Wazner

بسم الله الرحمن الرحيم

السلام عليكم ورحمة الله وبركاته
نطرح لكم الحل القاتل للفيروس W32.Mabezat.B الخبيث الذي قضى على اغلب الاقراص الصلبه
والفلاش ميموري والهارديسك الخارجي
بصفه عامه المساحات التخزينيه
ومن مسميات الفايروس
ZPHARAOH.EXE
FLASHY.EXE
AUTORUN.EXE
AUTORUN.INF
والاسم الحقيقي له هو
WAZNER-A/W32
طريقه عمل هذا التروجان الخبيث
ZPharaoh.exe?
[AutoRun]
*****Execute=zPharaoh.exe
*****\open\command=zPharaoh.exe
*****\explore\command=zPharaoh.exe
open=zPharaoh.exe
طريقه انتقاله عن طريق الملف التنفيذي بصيغة RAR
والذي يتخفى بداخل المجلدات المضغوطة بمسميات اخرى عندما يخمل
بمسميات اخرى وعند النقر تظهر شاشه COMMAND
وهو الدس ليزرع الفيروس من جديدج ولاتستطيع التخلص منه وهكذا ليوهمك بانه لايمكن انتزاعه الا بالفورمات
يقييم بقيم الرجستري ويعطي نفسه صلاحيات POLICY
وربما يضع كلمه مرور على الويندز مالم تكون انت قد قمت بوضع كلمه مرور على الادمنستريتر وهو الحساب الافتراضي للمعالج عند تشغيل الجهاز والرغبه بعمل RAPAIR
له
ايضا الاغلبيه يقول انه فيروس COPY.EXE
لحقيقه الامر خاطى فهو فايروس اخبث من كوبي وهو منقول لجميع الاجهزه مشفر بصيغة BAINARY
طرق الانتقال فلاش ميموري هارد ديسك خارجي او ملف منقول من جهاز مصاب الفلاش ميموري ملف الاصابه يكون اسمه الوهمي FLASY.EXE
والحقيقي الذي ينقل العدوى هو
MABEAZAT-BINARY
هو يهاجم صيغة EXE
وهو سيرفر مصغر يقوم بالاتصال بسيرفر اخر وفصل النت عند محاربته وانتزاعه من الجهاز ضروري جدا
ملفاته الوهميه التي تشغلك بانها هي ملفات الاصابه وهي وهميه لانه يتكاثر بالكوكيز يزرع نفسه بالمتصفح
tazebama.dl_
hook.dl_
والريجستري ويصنع لنفسه خلال 24 ساعه 4000 نسخه احتياطيه باك اب في حاله انتزاع ملف الباث يعود من جديد
ملفه المزروع اسمه
FILE PATH


الان ناتي لطريقه التخلص منه
اذا كان البرنامج قد التهم برنامج فك الضغط لديك وهو WinRAR
حمله من هنا
http://www.malak3l.org/programe/WinRARCrystal.exe
الامر بسيط جدا لكنه يحتاج لجهد ووقت خصوصا لو كانت الاصابه لعشر اجهزه او اكثر وكنت تريد الملفات التي توجد عليها لكن لامستحيل مع هذا الفايروس
وللامانه يااخوان يجب نزع أي برنامج فيروسات موجود لديك باستثناء النوترن لان البرامج الاخرى تلتهم الملفات ولاتتمكن من التعرف على الفايروس لانه يتخفى ويقوم بتغيير اسمه ولايكشف تشفيره سوى النوترن فقط بعد التجربه
قم بالدخول للموقع التالي
وهو موقع شركة
Symantec.com
http://www.symantec.com
انقر على الرابط التالي لتحميل برنامج النوترن اما انترنت سكيورتي او انتي فايروس فالاثنين يتمكنون من القضاء عليه لكن يرجى تنزيله وقت الاصابه من موقع الشركه لانك لن تتمكن من تنزيل البرنامج المكرك لو كان جهازك مصاب
انقر وتابع الصور لتنزيل البرنامج
http://www.symantec.com/index.jsp

الان بعد تحميل وتنصيب البرنامج قم بالتالي

قم بجلب التحديثات اذا كنت لاتملك سيريال قم باختيار الخيار التجريبي 15 يوم لتتمكن من نزع الفايروس ثم بعد الانتهاء وتنظيف جهازك والتاكد من سلامته وسلامه الفلاش ميموري لو كنت تملك فلاش ميموري مصاب او ناقل للعدوى يجب تنظيفهم اولا لكي لايعود لك الفايروس من جديد ثم ابحث عن كراك للبرنامج


الان ننتقل لاهم خطوة وهي الذهاب الى START
ومنها الى Control Panel
ومنها الى FOLDER OPTION
والقيام باظهار المجلدات المخفيه ليتمكن البرنامج من مكافحته ومساعدتك على التخلص منه
تابع الطريقه بالصور

بعد ذلك اهم خطوة وهي لابد من اغلاق استعادة النظام وتفريغ ذاكرتها كي لاتصاب بالعدوى من جديد من نقاط استعادة النظام السابقه للجهاز
SYSTEM RESTORE
ولعمل ذلك قم بالذهاب الى START
ومنها الى Control Panel
ومنها الى SYSTEM
واختر على ذلك لى SYSTEM RESTORE
وقم باغلاق استعادة النظام اختر TURN OFF واضغط APPLY وموافق
وتفريغ الذاكره السابقه وذلك بتغير الحد التخزيني للمساحه من الافتراضي MAX من خيار SETTING
وقم بسحب الشريط الى اخر حد MIN 200
وهو 200 ميجا بايت
وبعد ذلك انقر على APPLY
ثم OK
تابع ذلك بالصور

الان بعد ذلك انتهيت انت من تنصيب برنامج النوترن وعمل التحديث له وقمت بعمل الخطوات
اذا كان الريجستري مازال يفتح لديك قم بالتالي
واذا قام الفيروس بغلقه بواسطه ADMINSTRAITER DISABLR
لاتقلق فالحل بسيط
قم بالذهاب الى START
RUN
والان ضع الامر REGEDIT
في حال اخبرك برساله خطا وان الريجستري تم اغلاقه من قبل الادمن لاتقلق
وان فتح معك الريجستري قم بالتالي
قم بالوصول الى المسار التالي
HKEY_CURRENT_USER\Software\Microsoft\******s\Curre ntVersion\Explorer\Advanced\”ShowSuperHidden” = “0″
وذلك من MODIFY
وغير القيمه الى 0



اذا لم يفتح معك الريجستري لاتقلق قم بالتالي
قم بتحميل هذه الاداة وهي مخصصه لاعادة قيم الريجستري الى اصلها الطبيعي منذ تنصيب الويندز
http://www.malak3l.org/programe/UnHookExec.rar
UnHookExec
وطريقه استخدمها بسيطه جدا قم بالنقر بزر الماوس وثم عندما تظهر القائمه اختر INSTALL
ومن ثم اختر OPEN
وستلاحظ اهتزاز المونتر وينتهي الامر
وطريقه استخدمها تابع الصور بالتفصيل

والان ننتقل الى اهم خطوة وهي فحص الجهاز بالنوترن من خيار FLUL SCAN
ويفضل فحص الجهاز اكثر من مره وستلاحظ ان بعض الملفات تحذف والبقايا وهي الباك اب للفيروس ليعيد نفسه لايستطيع النوترن حذفه ويتعرف عليه باسم
W32.Mabezat.B
ولكنه موجود باسم اخر مخفي وهو مثلا
The worm may use other email attachment file ****s including the following:

******s.rar
office_crack.rar
serials.rar
passwords.rar
******s_secrets.rar
source.rar
imp_data.rar
documents_backup.rar
backup.rar
MyDocuments.rar
HpphmfUppmcbsOpujgjfs/fyf
GoogleToolbarNotifier.exe
PanasonicDVD_DigitalCam.exe
Antenna2Net.exe
RadioTV.exe
Microsoft MSN.exe
Sony Erikson DigitalCam.exe
IDE Conector P2P.exe
******s Keys Secrets.exe
FaxSend.exe
RecycleBinProtect.exe
Disk Defragmenter.exe
CD Burner.exe
ShowDesktop.exe
BrowseAllUsers.exe
Lock******sPartition.exe
Win99compatibleXP.exe
MakeUrOwnFamilyTree.exe
******sXp StartMenu Settings.exe
Recycle Bin.exe
Adjust Time.exe
Microsoft ******s Network.exe
HP_LaserJetAllInOneConfig.exe
FloppyDiskPartion.exe
msjavx86.exe
AmericanOnLine.exe
Crack_GoogleEarthPro.exe
Lock Folder.exe
InstallMSN11En.exe
InstallMSN11Ar.exe
JetAudio dump.exe
KasperSky6.0 Key.doc.exe
Office2007 Serial.txt.exe
Office2007 CD-Key.doc.exe
Make ******s Original.exe
NokiaN73Tools.exe
WinrRarSerialInstall.exe

ولذلك قم بعمل سكان للجهاز واختر السكان العميق وهو FULL SCAN
وليس السكان السريع والوقت المستغرق حسب حجم الجهاز هارد 250 جيجا ساتا SATA
اخذ تنظيفه 10 ساعات
وبعدها سيعطيك النوترن النتيجه بعدد الفيروسات
المحذوفه والغير محذوفه يتعرف عليها باسم وهي موجوده باسم اخر مخفي بصيغة RAR
الا انها ملفات دوس لزارعه الفايروس من جديد ولكنها نسخه خامله لاتنشط الا بفتحها ولو عن طريق الخطا
ابحث عن المسميات التاليه بجهازك من START
ومنها الى SEARCH
ومنها الى خيار البحث بالجهاز وابحث عن الملفات التاليه اواحذفها من الجهاز
******s.rar
office_crack.rar
serials.rar
passwords.rar
******s_secrets.rar
source.rar
imp_data.rar
documents_backup.rar
backup.rar
MyDocuments.rar
وقم بحذفها عن طريق CTRL+D
حددها ب CTRL+A
واحذفها عن طريق زر من الكي بورد CTRL+D
ومن ثم اختر اوكي ليتم نقلها الى سله المحذوفات
وستلاحظ جميع الملفاات حجمها 44 كيلو بايت وهي ملفات دوس وليس مضغوطه
والان ننتقل الى خطوة حذف الباتش من الجهاز الذي يعيده من الرجستري
قم بالبحث عن الملف بنفس الطريقه من START
ومنها الى SEARCH
وابحث عن هذا الملف بجهاز وتاكد اذا وجدته احذفه
FILE PATH
واليكم طريقه البحث والحذف بالصور
عند وجود الملفات احذفها ولااستطيع تصويرها لاني نظفت الجهاز ولكن ستلاحظ جميعها حجمها 44K.B
فقط لاغير حجم موحد

الان وبعد حذف جميع الملفات بشكل نهائي
قم بعمل ريستارت للجهاز واتبع الخطوات التاليه بدقه لتنظيف البقايا بالجهاز بشكل نهائي
استخدم برنامج C CLEANER
لحذف البقايا من الكوكيز وغير ه تابع الشرح قم بتنصيب البرنامج بعد تحميله من الرابط التالي
http://www.malak3l.org/programe/CCleaner.rar

الان ننتقل الى برنامج Spyware Nuker XT
قم بتحميل البرنامج من هنا
http://www.malak3l.org/programe/SpywareNukerXT.rar
وبعد تنصيبه قم بالخطوات التاليه

انتهينا