كيفية التخلص من فيروس الـ RavMon.exe بدون برامج [ شرح بالصور

اذهب الى الأسفل

كيفية التخلص من فيروس الـ RavMon.exe بدون برامج [ شرح بالصور

مُساهمة  chahara في الأربعاء نوفمبر 21, 2007 11:32 am

نتطرق في هذا الموضوع إخواني الكرام إلى كيفية التخلص من فيروس RavMon.exe

و إقتلاعه من جذوره من دون أي برامج

أولا و قبل كل شيء علينا فهم مبدأ عمل هذا الفيروس ليسهل علينا فهم هذه الطريقة ، طريقة سهلة و بسيطة تابع معي فقط

هذه الجرثومة تنتقل بكثرة عن طريق الفلاش ديسك و ذلك بسبب وضعها لملف التشغيل التلقائي في الفلاش الديسك من جهاز الكمبيوتر المصاب و عند نقل الفلاش ديسك و فتحه في جهاز كمبيوتر سليم يصبح هذا الأخير مصابا أيضا و السبب الأساسي في ذلك هو ملف التشغيل التلقائي AutoRun.inf علما أن كل من الفيروس RavMon.exe و AutoRun.inf هي ملفات نظام مخفية كما برمجها المبرمج و ذلك لتخويف المستخدم من حذفها

عند تشغيل الفيروس في جهاز غير مصاب ما هي الإجراءات التي يقوم بها :

يقوم بإخفاء الملفات و المجلدات المخفية و إخفاء ملفات النظام بالإضافة إلى ذلك يقوم بتعطيل الخيار الذي يقوم بإظهار الملفات و المجلدات المخفية و ملفات النظام و الموجود في

خيارات المجلد

حتى لا يظهر الفيروس نهائيا لأنه ملف نظام مخفي

يقوم الفيروس بنسخ نفسه في كل من C: و D: و E: و .... حسب عدد الأقراص الثابتة لديك و ينسخ نفسه أيضا في الفلاش ديسك إذا كان موجودا و يحاول أيضا نسخ نفسه في A: لذلك تجد محرك الأقراص A: يصدر صوتا غريبا و ذلك يدل على محاولة الفيروس نسخ نفسه هناك

و كل نسخة من النسخ الماضية يضع معها ملف التشغيل التلقائي AutoRun.inf ذلك ليضمن لنفسه التشغيل الدائم و الدليل على ذلك القائمة التي تظهر بالنقر على الزر الأيمن للفأرة على أحد محركات الأقراص كما في الصورة

و هناك نسخة أخرى هي الأهم و يضعها في C:\Windows حسب مكان تواجد الويندوز قد تكون D:\Windows او E:\Windows او ........

النسخة الأخيرة هذه يغير إسمها إلى svchost.exe و يقوم بإضافتها إلى بدأ التشغيل كبقية البرامج حتى يتم تشغيلها مع كل بداية تشغيل للكمبيوتر ، و لقد قام بتسميتها بهذا الاسم حتى لا تميزها من بين الــ svchost.exe التابعين للوندوز و الموجودين في عمليات إدارة المهام عند ضغط

ctrl + alt + suppr

كما قلت النسخة الأخيرة هي الاساس فيما بعد

و الان بعد ما اخذنا لمحة عامة عن عمل هذا الفيروس نتطرق على بركة الله في طريقة التخلص منه

أولا نقوم بتشغيل إدارة المهام بالضغط على ctrl + alt + suppr

و ننتقل إلى علامة التبويب "العمليات" ثم ننقر فوق إسم المستخدم لترتيب العمليات حسب إسم المستخدم

كما في الصورة

و الآن بعد ترتيب العمليات حسب إسم المستخدم نقوم بالبحث عن العملية التي إسمها svchost.exe و يجب أن يكون إسم المستخدم التابع لها هو إسمك في الوندوز و هذه العملية هي الخاصة بالفيروس ، كما في الصورة

و الآن نقوم بإنهاء تلك العملية

ملاحظة : يجب أذ الحيطة و الحذر في إنهاء العملية svchost.exe لأن هناك أكثر من عملية بهذا الإسم و كلها تابعة لنظام ويندوز ما عدا العملية المقصودة في الصورة ، و إن إنهاء أحد عمليات svchost.exe التابعة لنظام ويندوز يعاد تشغيل الكمبيوتر ، و الآن أظن أننا فهمنا لماذا سمى الفيروس نسخته الموجودة C:\Windows بالإسم svchost.exe

إذ لم نقم بإنهاء العملية التابعة للفيروس لا نستطيع عمل شيىء و بالتالي ضروري إيقاف تشغيل الفيروس من العملية المذكورة أعلاه

و الآن علينا حذف جميع النسخ التي وضعها الفيروس في الكمبيوتر و في هذه الحالة لا يستطيع الفيروس إعادة نسخ نفسه لأننا قمنا بايقاف تشغيله ، و المشكلة الان ان جميع النسخ مخفية و لا نستطيع اظهارها لان الفيروس عطل ميزة اظهار الملفات المخفية مما يدل على أن الفيروس قام بالدخول للرجيستري و غير إحدى القيم ، في هذه الحالة ندخل إلى محرر التسجيل إبدأ > تشغيل > و نكتبRegedit ثم ننتقل إلى المسار التالي

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft

\Windows\CurrentVersion\Explorer\Advanced\Folder\

\Hidden\SHOWALL

في الجهة اليسرى من الرجيستري نبحث عن القيمة التي تحمل الإسم CheckedValue و هي القيمة التي غيرها الفيروس كما في الصورة

و الأن نقوم بتعديل هذه القيمة و هي في الأصل من النوع Reg_Dword و ليس Reg_SZ و قيمتها 1 و ليس 0

و التعديل يكون كما يلي نحذف القيمة الموجودة حاليا و ننشىء قيمة أخرى و نسميها CheckedValue من النوع Reg_Dword و نعطيها القيمة 1 فتصبح كما في الصورة

و الآن إنتهينا من مشكل تعطيل ميزة إظهار الملفات و المجلدات المخفية و ملفات النظام ، ننقل بعد ذلك إلى خيارات المجلد و نقوم بتمكين الخيار إظهار الملفات و المجلدات المخفية و إزالة علامة الصح عن الخيار إخفاء ملفات نظام التشغيل المحمية و ذلك لإظهار جميع النسخ للفيروس و ملفات التشغيل التلقائي لها و التي تعد هي أيضا ملفات نظام كما في الصورة

و الآن ندخل إلى جهاز الكمبيوتر و يجب أن نستخدم المستكشف للتصفح و الوصول إلى الملفات و المجلدات

ملاحظة جد هامة : لا تنقر مرتين على أي محرك أقراص في جهاز الكمبيوتر و إلا سيتم تشغيل الفيروس و كأننا لم نفعل أي شيء دائما السبب هو ملف التشغيل التلقائي

بإستعمال المستكشف و في جميع محركات الأقراص نحذف الملفين التاليين وRavMon.exe AutoRun.inf ملف تشغيله التلقائي لا تنسى جميع محركات الأقراص الثابتة و الفلاشات ديسك إن وجدت كما في الصورة

سنقوم الآن بالإنتقال إلى مكان تواجد النسخة الآخيرة svchost.exe الموجودة في C:\Windows أو مكان تنصيبك للوندوز قد يكون في D:\Windows أو دليل آخر و التي يتم تشغيلها مع بدأ تشغيل الكمبيوتر و بالتالي إن لم نحذفها يعود كل شيء كما و لو أننا لم نفعل شيء و ذلك عند إعادة تشغيل الكمبيوتر و الآن ننتقل للمكان المقصود لحذف آخر نسخة للفيروس كما في الصورة

نسيت أن أعلمكم بأن الفيروس يقوم بنسخ نفسه في الأماكن المذكورة سابقا كل 10 ثواني تقريبا و كذلك القيمة الموجودة في الرجيستري يقوم بتغييرها أيضا كل 10 ثواني و بالتالي إنهاء مهمة الفيروس واجبة قبل الشروع في نزعه و تصحيح ما أفسده

لكي تتأكد من أن C:\Windows\svchost.exe هي أحد نسخ الفيروس قارن بين حجمها و حجم RavMon.exe ستجد أن لهما نفس الحجم 48.242 كيلو بايت

و في الآخير ضروري إعادة تشغيل الكمبيوتر و سترى النتيجة

و الدليل على ذلك أنقر بالزر الأيمن للفأرة على أحد محركات الأقراص سترى القائمة عادت كما هي و لا أثر للفيروس و لا لملف التشغيل التلقائي التابع له كما في الصورة


لأي إستفسار عن هذا الفيروس أنا في الخدمة و إن لم أكن متصلا أترك لي رسالة خاصة

_________________
avatar
chahara
مدير المنتدي
مدير المنتدي

ذكر عدد الرسائل : 1481
العمر : 28
تاريخ التسجيل : 13/11/2007

معاينة صفحة البيانات الشخصي للعضو http://chahara1989.ahlamontada.com

الرجوع الى أعلى الصفحة اذهب الى الأسفل

رد

مُساهمة  alphiny في السبت نوفمبر 24, 2007 1:33 am

الله يعطيك العافية اخوي ومشكوووووووووووووووووووووووووووور







alphiny
avatar
alphiny
عضو جديد
عضو جديد

ذكر عدد الرسائل : 7
العمر : 41
الموقع : العراق
العمل/الترفيه : صيد السمك
تاريخ التسجيل : 23/11/2007

معاينة صفحة البيانات الشخصي للعضو http://WWW.Google@gmail.com

الرجوع الى أعلى الصفحة اذهب الى الأسفل

رد: كيفية التخلص من فيروس الـ RavMon.exe بدون برامج [ شرح بالصور

مُساهمة  MATRIX HARD في الخميس نوفمبر 29, 2007 6:51 pm

مشكوور يا اصيل
avatar
MATRIX HARD
مشرف
مشرف

ذكر عدد الرسائل : 521
العمر : 26
الموقع : في قلب حبيبتي
العمل/الترفيه : في منتدى الاسطورة
المزاج : جيد
تاريخ التسجيل : 26/11/2007

معاينة صفحة البيانات الشخصي للعضو http://iraqalmawadha.ahlamontada.com

الرجوع الى أعلى الصفحة اذهب الى الأسفل

رد: كيفية التخلص من فيروس الـ RavMon.exe بدون برامج [ شرح بالصور

مُساهمة  chahara في الخميس نوفمبر 29, 2007 9:58 pm

بارك الله فيك

_________________
avatar
chahara
مدير المنتدي
مدير المنتدي

ذكر عدد الرسائل : 1481
العمر : 28
تاريخ التسجيل : 13/11/2007

معاينة صفحة البيانات الشخصي للعضو http://chahara1989.ahlamontada.com

الرجوع الى أعلى الصفحة اذهب الى الأسفل

رد: كيفية التخلص من فيروس الـ RavMon.exe بدون برامج [ شرح بالصور

مُساهمة  chahara في الخميس نوفمبر 29, 2007 9:59 pm

شكرا على الردود

_________________
avatar
chahara
مدير المنتدي
مدير المنتدي

ذكر عدد الرسائل : 1481
العمر : 28
تاريخ التسجيل : 13/11/2007

معاينة صفحة البيانات الشخصي للعضو http://chahara1989.ahlamontada.com

الرجوع الى أعلى الصفحة اذهب الى الأسفل

الرجوع الى أعلى الصفحة


 
صلاحيات هذا المنتدى:
لاتستطيع الرد على المواضيع في هذا المنتدى