WETEADY SOFT

برامج مجانية - خدمات WETEADY SOFT
 
الرئيسيةالبوابةمكتبة الصورالتسجيلدخول
دخول
اسم العضو:
كلمة السر:
ادخلني بشكل آلي عند زيارتي مرة اخرى: 
:: لقد نسيت كلمة السر
المتواجدون الآن ؟
ككل هناك 1 عُضو حالياً في هذا المنتدى :: 0 عضو مُسجل, 0 عُضو مُختفي و 1 زائر

لا أحد

أكبر عدد للأعضاء المتواجدين في هذا المنتدى في نفس الوقت كان 19 بتاريخ الثلاثاء يونيو 11, 2013 5:18 pm
أفضل 10 أعضاء في هذا المنتدى
Admin
 
khaled
 
star
 
نـورس
 
gabal
 
dodo69
 
elgenius
 
رضوى
 
فهد بن تركي
 
فداء المصطفي
 
المواضيع الأخيرة
» دليل تليفونات بشلا الاصدار الثانى
الإثنين يونيو 08, 2015 10:11 am من طرف mirna yasser

» WINDOWS 8.1, 8, 7, & VISTA ACTIVATOR 2014
السبت فبراير 08, 2014 11:06 am من طرف Admin

» تفعيل ويندوز 8.1 بجميع اصداراته 2014
السبت فبراير 08, 2014 10:46 am من طرف Admin

»  برنامج لقفل او اخفاء البارتشنات وايقاف خاصية الاوتو ران للاقراص القابلة للازالة
الأربعاء نوفمبر 27, 2013 7:43 am من طرف Admin

»  أغلق واخفي واعمل كلمة سر لاي بارتشن على جهازك بهذا البرنامج الصغير جدا جدا
الأربعاء نوفمبر 27, 2013 7:40 am من طرف Admin

» internet download Manager 6.18 Build 7 فى اخر اصداراته مع تفعيل صامت ( 32+64 bit )
الأربعاء نوفمبر 27, 2013 7:38 am من طرف Admin

»  إسطوانة تعليم الصلاة صوت وصورة للأطفال ( على رابط مباشر)
الأربعاء نوفمبر 27, 2013 7:37 am من طرف Admin

» الحل النهائي لرسائل انترنت داونلود مانجر IDM6.XX
الأربعاء نوفمبر 27, 2013 7:31 am من طرف Admin

» مفتاح افاست شغال لغاية 2016/03/15 Avast Internet Security & Antivirus Pro 8 بالصور
الأربعاء نوفمبر 27, 2013 7:28 am من طرف Admin

» كود لفمرمته اجهزة السامسونج
السبت نوفمبر 23, 2013 10:43 am من طرف Admin

احصائيات
هذا المنتدى يتوفر على 505 عُضو.
آخر عُضو مُسجل هو ragabsayed فمرحباً به.

أعضاؤنا قدموا 1269 مساهمة في هذا المنتدى في 799 موضوع
تسجيل صفحاتك المفضلة في مواقع خارجية
تسجيل صفحاتك المفضلة في مواقع خارجية Digg  تسجيل صفحاتك المفضلة في مواقع خارجية Delicious  تسجيل صفحاتك المفضلة في مواقع خارجية Reddit  تسجيل صفحاتك المفضلة في مواقع خارجية Stumbleupon  تسجيل صفحاتك المفضلة في مواقع خارجية Slashdot  تسجيل صفحاتك المفضلة في مواقع خارجية Yahoo  تسجيل صفحاتك المفضلة في مواقع خارجية Google  تسجيل صفحاتك المفضلة في مواقع خارجية Blinklist  تسجيل صفحاتك المفضلة في مواقع خارجية Blogmarks  تسجيل صفحاتك المفضلة في مواقع خارجية Technorati  

قم بحفض و مشاطرة الرابط WETEADY SOFT على موقع حفض الصفحات

شاطر | 
 

  كيفية التخلص من فيروس الـ RavMon.exe بدون برامج [ شرح بالصور]

استعرض الموضوع السابق استعرض الموضوع التالي اذهب الى الأسفل 
كاتب الموضوعرسالة
Admin
Admin
Admin
avatar

الجنس : ذكر
عدد الرسائل : 699
العمر : 44
العمل/الترفيه : مدير المنتدى
الدوله - المدينه : مصر
تاريخ التسجيل : 02/09/2007

مُساهمةموضوع: كيفية التخلص من فيروس الـ RavMon.exe بدون برامج [ شرح بالصور]   الإثنين نوفمبر 18, 2013 7:50 am


نتطرق في هذا الموضوع إخواني الكرام إلى كيفية التخلص من فيروس RavMon.exe 

و إقتلاعه من جذوره من دون أي برامج

أولا و قبل كل شيء علينا فهم مبدأ عمل هذا الفيروس ليسهل علينا فهم هذه الطريقة ، طريقة سهلة و بسيطة تابع معي فقط

هذه الجرثومة تنتقل بكثرة عن طريق الفلاش ديسك و ذلك بسبب وضعها لملف التشغيل التلقائي في الفلاش الديسك من جهاز الكمبيوتر المصاب و عند نقل الفلاش ديسك و فتحه في جهاز كمبيوتر سليم يصبح هذا الأخير مصابا أيضا و السبب الأساسي في ذلك هو ملف التشغيل التلقائي AutoRun.inf علما أن كل من الفيروس RavMon.exe و AutoRun.inf هي ملفات نظام مخفية كما برمجها المبرمج و ذلك لتخويف المستخدم من حذفها

عند تشغيل الفيروس في جهاز غير مصاب ما هي الإجراءات التي يقوم بها :

يقوم بإخفاء الملفات و المجلدات المخفية و إخفاء ملفات النظام بالإضافة إلى ذلك يقوم بتعطيل الخيار الذي يقوم  بإظهار الملفات و المجلدات المخفية و ملفات النظام و الموجود في

 خيارات المجلد

حتى لا يظهر الفيروس نهائيا لأنه ملف نظام مخفي

  يقوم الفيروس بنسخ نفسه في كل من C:  و D: و E: و .... حسب عدد الأقراص الثابتة لديك و ينسخ نفسه أيضا في الفلاش ديسك إذا كان موجودا و يحاول أيضا نسخ نفسه في A: لذلك تجد محرك الأقراص A: يصدر صوتا غريبا و ذلك يدل على محاولة الفيروس نسخ نفسه هناك

و كل نسخة من النسخ الماضية يضع معها ملف التشغيل التلقائي AutoRun.inf ذلك ليضمن لنفسه التشغيل الدائم و الدليل على ذلك القائمة التي تظهر بالنقر على الزر الأيمن للفأرة على أحد محركات الأقراص  كما في الصورة



و هناك نسخة أخرى هي الأهم و يضعها في C:\Windows حسب مكان تواجد الويندوز قد تكون D:\Windows او E:\Windows او ........

النسخة الأخيرة هذه يغير إسمها إلى svchost.exe و يقوم بإضافتها إلى بدأ التشغيل كبقية البرامج حتى يتم تشغيلها مع كل بداية تشغيل للكمبيوتر ، و لقد قام بتسميتها بهذا الاسم حتى لا تميزها من بين الــ svchost.exe التابعين للوندوز و الموجودين في عمليات إدارة المهام عند ضغط

 ctrl + alt + suppr

كما قلت النسخة الأخيرة هي الاساس فيما بعد

و الان بعد ما اخذنا لمحة عامة عن عمل هذا الفيروس نتطرق على بركة الله في طريقة التخلص منه

أولا نقوم بتشغيل إدارة المهام بالضغط على ctrl + alt + suppr

و ننتقل إلى علامة التبويب "العمليات" ثم ننقر فوق إسم المستخدم لترتيب العمليات حسب إسم المستخدم

كما في الصورة



و الآن بعد ترتيب العمليات حسب إسم المستخدم نقوم بالبحث عن العملية التي إسمها  svchost.exe و يجب أن يكون إسم المستخدم التابع لها هو إسمك في الوندوز و هذه العملية هي الخاصة بالفيروس ، كما في الصورة



و الآن نقوم بإنهاء تلك العملية

ملاحظة : يجب أذ الحيطة و الحذر في إنهاء العملية svchost.exe لأن هناك أكثر من عملية بهذا الإسم و كلها تابعة لنظام ويندوز ما عدا العملية المقصودة في الصورة ، و إن إنهاء أحد عمليات svchost.exe التابعة لنظام ويندوز يعاد تشغيل الكمبيوتر ، و الآن أظن أننا فهمنا لماذا سمى الفيروس نسخته الموجودة C:\Windows بالإسم svchost.exe

إذ لم نقم بإنهاء العملية التابعة للفيروس لا نستطيع عمل شيىء و بالتالي ضروري إيقاف تشغيل الفيروس من العملية المذكورة أعلاه

و الآن علينا حذف جميع النسخ التي وضعها الفيروس في الكمبيوتر و في هذه الحالة لا يستطيع الفيروس إعادة نسخ نفسه لأننا قمنا بايقاف تشغيله ، و المشكلة الان ان جميع النسخ مخفية و لا نستطيع اظهارها لان الفيروس عطل ميزة اظهار الملفات المخفية مما يدل على أن الفيروس قام بالدخول للرجيستري و غير إحدى القيم ، في هذه الحالة ندخل إلى محرر التسجيل إبدأ > تشغيل > و نكتبRegedit ثم ننتقل إلى المسار التالي

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft

\Windows\CurrentVersion\Explorer\Advanced\Folder\

\Hidden\SHOWALL

في الجهة اليسرى من الرجيستري نبحث عن القيمة التي تحمل الإسم CheckedValue و هي القيمة التي غيرها الفيروس كما في الصورة



و الأن نقوم بتعديل هذه القيمة و هي في الأصل من النوع Reg_Dword و ليس Reg_SZ و قيمتها 1 و ليس 0

و التعديل يكون كما يلي نحذف القيمة الموجودة حاليا و ننشىء قيمة أخرى و نسميها CheckedValue من النوع Reg_Dword و نعطيها القيمة 1 فتصبح كما في الصورة



و الآن إنتهينا من مشكل تعطيل ميزة إظهار الملفات و المجلدات المخفية و ملفات النظام ، ننقل بعد ذلك إلى خيارات المجلد و نقوم بتمكين الخيار إظهار الملفات و المجلدات المخفية و إزالة علامة الصح عن الخيار إخفاء ملفات نظام التشغيل المحمية و ذلك لإظهار جميع النسخ للفيروس و ملفات التشغيل التلقائي لها و التي تعد هي أيضا ملفات نظام كما في الصورة



و الآن ندخل إلى جهاز الكمبيوتر و يجب أن نستخدم المستكشف للتصفح و الوصول إلى الملفات و المجلدات

ملاحظة جد هامة : لا تنقر مرتين على أي محرك أقراص في جهاز الكمبيوتر و إلا سيتم تشغيل الفيروس و كأننا لم نفعل أي شيء دائما السبب هو ملف التشغيل التلقائي

بإستعمال المستكشف و في جميع محركات الأقراص نحذف الملفين التاليين وRavMon.exe  AutoRun.inf ملف تشغيله التلقائي  لا تنسى جميع محركات الأقراص الثابتة و الفلاشات ديسك إن وجدت كما في الصورة



سنقوم الآن بالإنتقال إلى مكان تواجد النسخة الآخيرة svchost.exe الموجودة في C:\Windows أو مكان تنصيبك للوندوز قد يكون في D:\Windows أو دليل آخر و التي يتم تشغيلها مع بدأ تشغيل الكمبيوتر و بالتالي إن لم نحذفها يعود كل شيء كما و لو أننا لم نفعل شيء و ذلك عند إعادة تشغيل الكمبيوتر و الآن ننتقل للمكان المقصود لحذف آخر نسخة للفيروس كما في الصورة



نسيت أن أعلمكم بأن الفيروس يقوم بنسخ نفسه في الأماكن المذكورة سابقا كل 10 ثواني تقريبا و كذلك القيمة الموجودة في الرجيستري يقوم بتغييرها أيضا كل 10 ثواني و بالتالي إنهاء مهمة الفيروس واجبة قبل الشروع في نزعه و تصحيح ما أفسده

لكي تتأكد من أن C:\Windows\svchost.exe هي أحد نسخ الفيروس قارن بين حجمها و حجم RavMon.exe ستجد أن لهما نفس الحجم 48.242 كيلو بايت

و في الآخير ضروري إعادة تشغيل الكمبيوتر و سترى النتيجة

و الدليل على ذلك أنقر بالزر الأيمن للفأرة على أحد محركات الأقراص سترى القائمة عادت كما هي و لا أثر للفيروس و لا لملف التشغيل التلقائي التابع له كما في الصورة



 

لأي إستفسار عن هذا الفيروس أنا في الخدمة و إن لم أكن متصلا أترك لي رسالة خاصة

 

و بما أن هذا أول موضوع لي في منتدى الأمن و الحماية لـ ستار تايمز أرجو من الأعضاء تشجيعي للمزيد من مثل هذه المواضيع الهامة


الرجوع الى أعلى الصفحة اذهب الى الأسفل
http://weteady.ahlamontada.com
 
كيفية التخلص من فيروس الـ RavMon.exe بدون برامج [ شرح بالصور]
استعرض الموضوع السابق استعرض الموضوع التالي الرجوع الى أعلى الصفحة 
صفحة 1 من اصل 1

صلاحيات هذا المنتدى:لاتستطيع الرد على المواضيع في هذا المنتدى
WETEADY SOFT :: منتدى البرامج المجانية الكاملة :: منتدى برامج الحمايه ومكافحة الفيروسات-
انتقل الى: