01/04/2006, 09:32 PM
|
| مشرف سابق بمنتدى الكمبيوتر والإنترنت | | تاريخ التسجيل: 04/04/2005 المكان: Mr. Living On The Edge
مشاركات: 15,321
| |
هذي دودة تجي عبر الإيميل .. فيها ملف مرفق أسمه Kangen.exe
المفروض ماتحمله .. هذي هي الدودة إللي صابت جهازك  ...
الدودة تنسخ نفسها على ملفات النظام التالية : -
%s and Settings%\User\Local Settings\Application Data\csrss.exe
%s and Settings%\User\Local Settings\Application Data\inetinfo.exe
%s and Settings%\User\Local Settings\Application Data\lsass.exe
%s and Settings%\User\Local Settings\Application Data\services.exe
%s and Settings%\User\Local Settings\Application Data\smss.exe
%s and Settings%\User\Local Settings\Application Data\winlogon.exe
%s and Settings%\User\Start Menu\Programs\Startup\Empty.pif
%s and Settings%\User\Templates\WowTumpeh.com
%System%\'s Setting.scr
%Windir%\eksplorasi.pif
%Windir%\ShellNew\bronstab.exe
وفي الرجستري : -
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"Bron-Spizaetus"="%Windir%\ShellNew\bronstab.exe"
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"Tok-Cirrhatus"="%s and Settings%\User\Local Settings\Application Data\smss.exe"
[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="Explorer.exe %Windir%\eksplorasi.pif"
The worm also modifies the following system registry records, which will block some Windows applications and properties (e.g. system registry, file properties)
[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoFolderOptions"="1"
[HKCU\Software\Microsoft\Windows\CurrentVersion\explorer\advanced]
"Hidden"="0"
"ShowSuperHidden"="0"
"HideFileExt"="1"
[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableRegistryTools"="1"
"DisableCMD"="0"
طريقة حذف الدودة : -
حمل البرنامج هذا
من هنا
بعد ماتحمل البرنامج .. نزل التحديثات .. بعدين عيد الجهاز وشغله في السيف مود (( الوضع الآمن ))
وبيحذف لك الدودة إن شاء الله ...
هذا الحل نجح مع أحد الأخوان ... |
