بسم الله الرحمن الرحيم
انتشر باتش ( نذل :D ) في المنتديات
وعند الاصابه به ,, يضع رابط له بنهاية اي مشاركه للعضو اللي جهازه مصاب
والعضو ياغافلين لكم الله ,, ما يدري وش الطبخه :p :p
وصار لي موقف بايخ :( مع احد الشباب هنا بالمنتدى والسبب هالباتش النذل ههههههه
العضو رد يشكرني ,, واشوف رابط بنهاية رده وافتحه الا وهو باتش
وبدال ما اشكره على حضوره ,, خشيت بعينه :D :D :D
والرجال انحرج وجلس يحلف انه ماهوب هوو :o :o :o واثره طلع هالباتش النذل
تحدث الاصابه بهالنذل ,, عن طريق تشغيل الملف s e x-game-3.801.zip اسم مغري ;) :D
اما عن طريق تحميله من احد الروابط ( الموجوده بنهاية المشاركات )
او التحميل التلقائي والتشغيل بمجرد الدخول لبعض الصفحات الموجوده من ضمن هذه المواقع
http://fruitsinsuits.com.hk/images/flyers
http://cards.funnystories.ru/288100
www.v i x en-toys.com
www.marketing-know-how.com
skilltests.org
zup.secondsite1.com
66.148.74.7
وش سالفة هذا الباتش :p
مسميات الباتش من شركات الحمايه
Spam-Mespam ( مكافي )
Trojan-Proxy.Win32.Jaber.a ( كاسبر سكاي )
Mal/Cimuz-A ( سوفس Sophos)
Win32/Difisim.AG ( النورتون )
وعند الاصابه ,, على طول يتصل باحد هذه المواقع لتحميل باقي الملفات
كود:
http://skilltests.org/zu/[محذوف]
http://zup.secondsite1.com/[محذوف]
بعدها يستقبل رسائل ويحفظها على الجهاز بالاسماء التاليه ,, في مجلد النظام windows\system32
pfxzmtaim.dll
pfxzmtforum.dll
pfxzmtgtal.dll
pfxzmticq.dll
pfxzmtsmt.dll
pfxzmtsmtspm.dll
pfxzmtwbmail.dll
pfxzmtymsg.dll
sfxzmtsmt.dll
sfxzmtsmtspm.dll
بعدها يقوم باعادة ارسالها كـ رسائل سبام ( تطفل ) , باستخدام شركات البريد الالكتروني التاليه
webmail.tiscali.co.uk
earthlink.net
comcast.net
webmail.bellsouth.net
fastmail.fm mail.google.com
care2.com mail.com
mail.rambler.ru
hotmail.msn.com
mail.yahoo.com
lycos.com
webmail.aol.com
win.mail.ru
وايضا باعادة ارسالها كـ رسائل سبام ( تطفل ) باستخدم ماسنجر هذه الشركات
GoogleTalk
Yahoo! Messenger
AOL Instant Messenger
وايضا يتصل بهذا الموقع ds.nac.net لتحميل الباتش Downloader-BAI
ويقوم بتحميل هذه الملفات ( rsvp32_2.dll و rsvp32_2.dll435 و rsvp322.dll )
ويقوم بتثبيت احد منها كــ خدمه Layered Service Provider اختصار ( LSP )بحيث يشتغل الباتش عند الاتصال بالنت
باضافة هذا المفتاح لمسجل النظام ,,
كود:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries
وايضا يقوم بتحميل الملف sporder.dll وليس مصاب ( نظيف )
ويضع جميع الملفات السابقه في مجلد النظام windows\system32
من الهذره :p السابقه ,,
نقدر نعمل سكربت لحذف الباتش + تعديل ملف الهوست Hosts بحيث نمنع الاتصال بمواقع الباتش
اولاا ,, حذف ملفات الباتش
جميع الملفات نحذفها باستخدام الامر del /a /q /f
لكن ملف الخدمه ( rsvp32_2.dll او rsvp32_2.dll435 او rsvp322.dll )
Layered Service Provider اختصار ( LSP ) ما نقدر نحذفه
لازم نعطل الخدمه ومن ثم نقدر نحذفه بسهوله
ولتعطيل الخدمه نستخدم الاداة LSPFix tools وهذا رابط التحميل للأداة
http://www.zyzoom.net/soft/security/...ix%20tools.exe
شغل الاداة واعمل التالي ,,
بعدها اعد تشغيل الجهاز
الآن احذف ملفات الباتش ,, باستخدام هذا السكربت
كود:
@ECHO off
color 17
ECHO \ Trojan-Proxy.Win32.Jaber.a Remover
ECHO \ Done By Zyzoom : Turky Al-Otaibi
ECHO \ www.zyzoom.net _ www.absba.org/vb
del /q/f/a %windir%\system32\sfxzmtwbmail.dll
del /q/f/a %windir%\system32\sfxzmtforum.dll
del /q/f/a %windir%\system32\sporder.dll
del /q/f/a %windir%\system32\rsvp322.dll
del /q/f/a %windir%\system32\rsvp32_2.dll
del /q/f/a %windir%\system32\rsvp32_2.dll435
del /q/f/a %windir%\system32\pfxzmtaim.dll
del /q/f/a %windir%\system32\pfxzmtforum.dll
del /q/f/a %windir%\system32\pfxzmtgtal.dll
del /q/f/a %windir%\system32\pfxzmticq.dll
del /q/f/a %windir%\system32\pfxzmtsmt.dll
del /q/f/a %windir%\system32\pfxzmtsmtspm.dll
del /q/f/a %windir%\system32\pfxzmtwbmail.dll
del /q/f/a %windir%\system32\pfxzmtymsg.dll
del /q/f/a %windir%\system32\sfxzmtsmt.dll
del /q/f/a %windir%\system32\sfxzmtsmtspm.dll
del /q/f/a %windir%\system32\aosmx.dll
del /q/f/a %windir%\system32\aimsmx.dll
del /q/f/a %windir%\system32\ymsgsmx.dll
del /q/f/a %windir%\system32\gtalsmx.dll
del /q/f/a %windir%\system32\pfxzmtaim.dll
del /q/f/a %windir%\system32\pfxzmtforum.dll
del /q/f/a %windir%\system32\pfxzmtgtal.dll
del /q/f/a %windir%\system32\pfxzmticq.dll
del /q/f/a %windir%\system32\pfxzmtsmt.dll
del /q/f/a %windir%\system32\pfxzmtsmtspm.dll
del /q/f/a %windir%\system32\pfxzmtwbmail.dll
del /q/f/a %windir%\system32\pfxzmtymsg.dll
exit
ثانيا ,, نمنع الاتصال بمواقع الباتش
نفتح ملف الهوست
Hosts باستخدام برنامج المفكره للويندوز ,,
وملف الهوست موجود على هذا المسار
C:\WINDOWS\system32\drivers\etc
ونضيف التالي بنهاية ملف الهوست
كود:
127.0.0.1 fruitsinsuits.com.hk
127.0.0.1 cards.funnystories.ru/288100
127.0.0.1 www.***************
127.0.0.1 www.marketing-know-how.com
127.0.0.1 skilltests.org
127.0.0.1 zup.secondsite1.com
127.0.0.1 66.148.74.7
127.0.0.1 ds.nac.net
127.0.0.1 mailfreepostcards.com
المنتدى يمنع بعض الكلمات ,, وتقدر تحمل المواقع من هنا
http://www.w30w.com/up-pic/uploads/b1cdf04a43.txt
وهذا إهداء لكم :)
عباره عن ملف واحد Zyzoom_fix_Trojan-Proxy.Win32.Jaber.a
ويعمل التالي بشكل تلقائي
1 ) حذف مفاتيح الباتش من مسجل نظام الويندوز وتعديل ( LSP ) وارجاعها الى الاصل
2 ) حذف جميع ملفات الباتش
3 ) تعديل ملف الهوست بحيث نمنع الاتصال بمواقع الباتش
4 ) عمل مجلدات وهميه بإسم ملف الباتش وحمايتها من الحذف,, بحيث نمنع تشغيل الباتش
وعند تشغيل ملف الباتش تظهر رسالة الخطـأ التاليه ,, كما بهذه الصوره
:D :D :D :D :D
للتحميل
فقط للويندوز اكسبي
الاستخدام
فقط بالماوس دبل كلك على الملف saag
عندها تظهر لك شاشة الاداة الرئيسيه
بالماوس اضغط على الصوره عندها يعاد تشغيل الجهاز بحيث يكمل عملية الحذف ( تلقائيا )
\\
المصادر
مكافي
الخبل نورتون :D
جهازي :D <-- فار تجارب ههههههههههههه
راسي :)
\\
اللهم أجعل هذا العمل خالصا لوجهك الكريم
اللهم ارحم والدتي و موتى المسلمين أجمعين
اللهم اجعل هذا العمل في ميزان حسناتها
سبحانك اللهم و بحمدك ، أشهد أن لا إله إلا أنت أستغفرك و أتوب إليك
[color="Navy"]\\
جزيل الشكر للأخ / تركي العتيبي
على هذه الهديه
وجعلها الله في موازين اعمال والدته