هذا اللي فلحت فيه أنت ووجهك يا حسام بيك؟

خخخخخخخخ أمزح معك

حسام تراني عارف كل اللي قلته لأنها بالضبط نفس اللي حاصل لي.....

لكني بغيت الحل!!!!!!

المشكلة ما عندي كاسبر سكاي... أنت الظاهر تحسب العالم مثلك محمل الكاسبر سكاي

المهم أنا هونت ما بروح بالجهاز المهندس.. بحاول اصلحه بمساعدتكم خلال هالأسبوع علشان أتعلم...

وإذا ما عرفت حسبي الله بأشوف أقرب هندي بالشارع وبأخليه يصلحووووووه

about.Brontok.A.html

عندك دودة worm تأتي من الرسائل
Win32/Brontok.worm
حمل هذة الأداة أولاً وإعمل فحص

http://www.sophos.com/support/cleaners/brontgui.com

حمل هذة الأداة

http://www.sophos.com/support/cleaners/brontsfx.exe


معلومات عن الورم
http://www.sophos.com/support/disinfection/worms.html



Home / Viruses / Virus Encyclopedia / Malware Deions / Network Worms / Email Worms
Email-Worm.Win32.Brontok.a
Aliases
Email-Worm.Win32.Brontok.a (Kaspersky Lab) is also known as: W32/Rontokbro.gen@MM (McAfee), W32.Rontokbro@mm (Symantec), BackDoor.Generic.1138 (Doctor Web), W32/Korbo-B (Sophos), Worm/Brontok.a (H+BEDV), Win32.Brontok.A@mm (SOFTWIN), Worm.Mytob.GH (ClamAV), W32/Brontok.C.worm (Panda), Win32/Brontok.E (Eset) Detection added Oct 12 2005 13:16 GMT
Update released Oct 12 2005 17:22 GMT
Deion added Feb 02 2006
Behavior Email Worm
Technical details


This worm spreads via the Internet as an attachment to infected messages. It sends itself to email addresses harvested from the victim machine.

The worm itself is a Windows PE EXE file approximately 41KB in size.

Installation
When installing, the worm copies itself to the directories listed below, under the following names:

%s and Settings%\User\Local Settings\Application Data\csrss.exe
%s and Settings%\User\Local Settings\Application Data\inetinfo.exe
%s and Settings%\User\Local Settings\Application Data\lsass.exe
%s and Settings%\User\Local Settings\Application Data\services.exe
%s and Settings%\User\Local Settings\Application Data\smss.exe
%s and Settings%\User\Local Settings\Application Data\winlogon.exe
%s and Settings%\User\Start Menu\Programs\Startup\Emp ty.pif
%s and Settings%\User\Templates\ WowTumpeh.com
%System%\'s Setting.scr
%Windir%\eksplorasi.pif
%Windir%\ShellNew\bronsta b.exe
The worm then registers itself in the system registry, ensuring that the worm file will be launched each time Windows is rebooted on the victim machine:

[HKLM\Software\Microsoft\W indows\CurrentVersion\Run]
"Bron-Spizaetus"="%Windir%\Shel lNew\bronstab.exe"
[HKLM\Software\Microsoft\W indows\CurrentVersion\Run]
"Tok-Cirrhatus"="%s and Settings%\User\Local Settings\Application Data\smss.exe"

[HKLM\Software\Microsoft\W indows NT\CurrentVersion\Winlogo n]
"Shell"="Explorer.exe %Windir%\eksplorasi.pif"

The worm also modifies the following system registry records, which will block some Windows applications and properties (e.g. system registry, file properties)

[HKCU\Software\Microsoft\W indows\CurrentVersion\Pol icies\Explorer]
"NoFolderOptions"="1"
[HKCU\Software\Microsoft\W indows\CurrentVersion\exp lorer\advanced]
"Hidden"="0"
"ShowSuperHidden"="0"
"HideFileExt"="1"

[HKCU\Software\Microsoft\W indows\CurrentVersion\Pol icies\System]
"DisableRegistryTools"="1 "
"DisableCMD"="0"


The worm creates the following folder:

%s and Settings%\User\Local Settings\Application Data\Bron.tok-XX
XX: two random numbers.

Propagation via email
The worm harvests email addresses from files with the following extensions:

asp
cfm
csv
doc
eml
html
php
txt
wab
It does not harvest addresses which contain the following strings:

ADMIN
AHNLAB
ALADDIN
ALERT
ALWIL
ANTIGEN
ASSOCIATE
AVAST
AVIRA
BILLING@
BUILDER
CILLIN
CONTOH
CRACK
DATABASE
DEVELOP
ESAFE
ESAVE
ESCAN
EXAMPLE
GRISOFT
HAURI
INFO@
LINUX
MASTER
MICROSOFT
NETWORK
NOD32
NORMAN
NORTON
PANDA
PROGRAM
PROLAND
PROTECT
ROBOT
SECURITY
SOURCE
SYBARI
SYMANTEC
TRUST
UPDATE
VAKSIN
VAKSIN
VIRUS
When sending infected messages, it establishes a direct connection to the recipient's SMTP engine.

Infected messages
Message subject

Attachment names
Kangen.exe
Other
If the worm finds an open window with the following strings in the name, it will reboot the victim machine:

.exe
Registry

حمل هذا البرنامج
ftp://ftp.microworldsystems.com/download/tools/mwav.exe

أو من
ftp://update.mailscan.info/download/tools/mwav.exe

http://www.mwti.net/download/tools/mwav.exe





بعد الفحص إذهب إلى

Click Start > Run.
Type regedit
Click OK.

Note: If the registry editor fails to open the threat may have modified the registry to prevent access to the registry editor. Security Response has developed a tool to resolve this problem. Download and run this tool, and then continue with the removal.


Navigate to the subkey:

HKEY_LOCAL_MACHINE\SOFTWA RE\Microsoft\Windows\Curr entVersion\Run


In the right pane, delete the value:

إعمل شطب

"Bron-Spizaetus" = "%Windir%\INF\norBtok.exe "


Navigate to the subkey:

HKEY_CURRENT_USER\Softwar e\Microsoft\Windows\Curre ntVersion\Run


In the right pane, delete the value:

إعمل شطب

"Tok-Cirrhatus" = "%UserProfile%\Local Settings\Application Data\smss.exe"

Navigate to the subkey:

HKEY_LOCAL_MACHINE\SOFTWA RE\Microsoft\Windows NT\CurrentVersion\Winlogo n

In the right pane, reset the value to its default value:
إنسخ هذه القيمة
"Shell" = "Explorer.exe"

Navigate to the subkey:

HKEY_CURRENT_USER\Softwar e\Microsoft\Windows\Curre ntVersion\Policies\Explor er

In the right pane, reset the following value to its default value if required:
إنسخ هذه القيمة
"NoFolderOptions" = "0" or "NoFolderOptions" = "1"

Navigate to the subkey:

HKEY_CURRENT_USER\Softwar e\Microsoft\Windows\Curre ntVersion\explorer\advanc ed

In the right pane, reset the following values to their default value if required:
إنسخ هذه القيمة
"Hidden" = "0" or "Hidden" = "1"
"ShowSuperHidden" = "0" or "ShowSuperHidden" = "1"
"HideFileExt" = "0" or "HideFileExt" = "1"

Exit the Registry Editor.


6. To delete the scheduled tasks added by the worm
Click Start, and then click Control Panel. (In Windows XP, switch to Classic View.)
In the Control Panel window, double click Scheduled Tasks.
Right click the task icon and select Properties from pop-up menu.
The properties of the task is displayed.
Delete the task if the contents of the Run box in the task pane, matches the following:
إعمل شطب
%Windir\Tasks\At1.job

إقتباس الرسالة الأصلية كتبت بواسطة الـمـشـاغـب هذا اللي فلحت فيه أنت ووجهك يا حسام بيك؟ خخخخخخخخ أمزح معك حسام تراني عارف كل اللي قلته لأنها بالضبط نفس اللي حاصل لي..... لكني بغيت الحل!!!!!! المشكلة ما عندي كاسبر سكاي... أنت الظاهر تحسب العالم مثلك محمل الكاسبر سكاي المهم أنا هونت ما بروح بالجهاز المهندس.. بحاول اصلحه بمساعدتكم خلال هالأسبوع علشان أتعلم... وإذا ما عرفت حسبي الله بأشوف أقرب هندي بالشارع وبأخليه يصلحووووووه

أحسن ما سويت لأن مشكلتك سهلة وما تستاهل فورمات
وأي خدمة انا والاخوان حاضرين وماراح نقصر معك

^^^^^^^^
بعدهم يالغلا,,,ما تقصرر....




أخوي هلالي وأفتخر: الموضوع اللي نقلته لي ترى جربته ونفس المشكلة ما نفع معي,,,, اهئ اهئ (وجه يبكي بقوة)

أخونا المشاغب

تفضل هذه الأداة وهي خاصة تنظيف النظام
من أخونا أبو ناصر جزاه الله والجميع كل خير

للتحميل من الرابط التالي :

http://sa32.com/files/6c262bc0cf20c7...clean.zip.html

فك الضغط ولابد من وجود جميع الملفات المضغوطة معا لتعمل الأداة
ثم أضغط على الايقونة الحمراء وانتظر
لانه يستغرق وقت طويل بعض الشيء بحدود ساعتين او أكثر

الله يحفظكم ويبارك فيكم يا اخواني الصمت وحسام وهلالي وأفتخر...

الله يفرج همومكم ويسعدكم في الدنيا والآخرة مثل ما فرجتم همي..


مشكلتي ولله الحمد انحلت يا أخوان!!!!! حذفت الدودة الحقيرة اللي جابت لي المغص والضغط!!!!


أخوي الصمت ما أدري والله كيف أرد جميلك وتعبك معي؟!!

تعبتك معي كثير وخصوصاً أنك كنت معي لحظة بلحظة عبر الماسنجر حتى انحلت المشكلة وثبت الدكتور اللي

عطيتني اياه... وطريقتك صح 100% يا كينج!!!


أخوي حسام الغالي: من طبعك مساعدة الآخرين ومو غريب عليك.. ورغم أنك من السباقين لمساعدة أخوانك يالغلا

إلا أن أخي أبوعبدالله "الصمت" قد سبقك هذه المرة وانحلت المشكلة...

أشكرك أخي حسام وأدري أني تعبتك وانت مشغول... الله يحفظك ويوفقك...

عندي لك حل اكسر جهازك خخخخ . لو اني ذي الدوده طلعت من زمان والله ههههه الف مبروك انه زان

^^^^^
خــخ

الله يرجك ... حلوة

حياك الله اخوي والله يبارك فيك,,,