شرح كامل كيفية التخلص من فيروس W32/Sasser (( سارس )))

[فيجول]

شرح كامل كيفية التخلص من فيروس W32/Sasser

نبذة عن الفايروس
للفايروس اسماء عديدة منها
W32/Sasser.worm
Worm.Win32.Sasser.a
Worm.Win32.Sasser.b
Worm.Win32.Sasser.c
Worm.Win32.Sasser.d



الأنظمة التي يصيبها الفايروس
Windows 2000, Windows XP

الأنظمة التي لا يصيبها الفايروس

DOS, Linux, Macintosh, Novell Netware, OS/2, UNIX, Windows 3.x, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003


------------------------------------

طريقة عمل الفايروس

الفايروس عبارة عن ملف صغير بحجم
15,872 bytes
لا يسبب تلف للنظام أو الملفات ولكنه يفقدك السيطرة على النظام
ويعطي مهلة محدد يتوقف بعده الجهاز ويعاد التشغيل

W32/Sasser.worm
يدخل للجهاز من خلال المنفذ
5554
ويحفظ نفسه في ملفات الريجستري من خلال هذا الإمتداد
"avserve.exe"="%Windir%\avserve.exe"



ثانيا كيفية التخلص من الفايروس


اذا كان جهازك قد اصيب بهذا الفيروس فقم اولا بتحميل هذه الاداه لحذف الفايروس

لتحميل الاداه من هنا

واذا كان جهازك لم يصبه الفيروس بعد فقم بتحميل التحديث من هذا الرابط

لمستخدمين windows xp الانجليزي

من هنا

لمستخدمين windows xp العربي

من هنا


لمستخدمين win 2000


من هنا

--------------------

تنبيه مهم

قبل عمل التحديث قم بايقاف خاصية استعادة النظام في winxp

1- جهاز الكمبيوتر بالزر الايمن (my computer)
2- خصائص (properties)
3- استعادة النظام (system restore)
4- تجد مربع صغير مكتوب فيه اطفاء خاصية استعادة النظام(turn off system restore for all drivers)
5- ثم قم بتحميل التحديث واعد تشغيل الكمبيوتر وقم بمسح الصح من المربع الذي قبل قليل

__________

واخيرا انصحكم بتحميل التحديثات للوندوز باسمرار ومن لم يقم بتحميل الحزمة الثانية ان يحملها من هذا الرابط

الحزمة الثانية للوندوز xp

273 ميقا

...انا شخصيا لم يصب جهازي بالفايروس لوجود الحزمة الخدمية الثانية لوندوز xp




تحياتي لكم

[أبو بسام]

مشكووووور الأخ فيجول على هذه المعلومات الجيدة والتفصيلية

لقد ابدعت في علاج المشكلة بشكل موسع ومفصل

[الوحيـد]

اللي يبي الفايروسات ماتجيه يحط ويندوز ملينيوم

لأن الفايروسات الجديدة موضوعه للويندوز XP
وإن كثروا 2000

شكرياااااات كرباج الهكري >>يقالي إمدحك


تحياتي

الوحيـد

[كرباج]

وحيد الجزيره اجل على كذا رحنا فيها

شاكر لمرورك وتعقيبك وابتسامتك وروحك

المرحه <<< خلاص

تشااااااااااااااااو

[@اللورد@]

أنا شخصيا أرتحت من الفيروسات بعد الميلينوم
وعلى فكرة هناك جدار حماية ممتاز جدا بلإكس بي يحميك من الفيروسات ومن المخترقين

أبدا ثم
أعدادات ثم
شبكة الطلب الهاتفي ثم
كلك يمين على الأتصال النشط عندك ثم
خصائص ثم
خيارات متقدمة ثم
ضع أشارة صح عند حماية الكمبيوتر ثم
موافق
بيظهر عندك صورة قفل
وبكذا لايمكن أي شي ضار يدخل جهازك

((أتمنى أن الذاكرة أسعفتني بتذكر الخطوات لأني من مدة حذفت xp ))
يعني أذا فيه غلط لاتلوموني (- :
ودمتم سالمين

[نـواف]

ما أشوف روابط

ياليت تعلموني وش السالفة

مافيه أي رابط ضمن الموضوع ؟؟؟؟

[بـــســـام]

لا تزال حالات الإصابة بهذا الفيروس تقع يوميا بعد أسبوع على انتشاره وتردنا رسائل عديدة للتعرف على خطوات التخلص منه.
لا يعتمد هذا الفيروس على البريد الإلكتروني للانتشار ويقلد فيروس ساسر ما يقوم به فيروس آخر هو بلاستر من مسح واسع للأنظمة المعرضة للاختراق. ويمسح الفيروس عناوين الإنترنت IP addresses عشوائيا حتى يعثر على أجهزة لم يتم ترقيعها بالتحديثات الأمنية. وبمجرد العثور على تلك الأنظمة يقوم الفيروس بنسخ ذاته إلى دليل ويندوز باسم AVSERVE.EXE ويولد مدخلا جديدا في السجل ليعمل عند إعادة تشغيل الكمبيوتر، تحت مفتاح:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run
avserve.exe = %windir%\avserve.exe
ويتوجب تحديث برامج مكافحة الفيروسات وأنظمة التشغيل لتلافي التعرض لخطر هذا الفيروس. وأحيانا لا يكفي ذلك للحماية من الفيروس لأنه يعتمد منفذ TCP 445 للانتشار وهو المنفذ المعتمد للمشاركة على المجلدات والطابعات عبر الإنترنت.
وتقدم سيمانتك أداة إزالة له في الموقع:


http://securityresponse.symantec.com...r/FxSasser.exe

وبعد إصابة كمبيوترات معينة ينطلق منها فيروس W32/Sasser.worm من منفذ TCP port 5554 لينتشر في غيرها مولدا بذلك حركة كثيفة على الإنترنت قد تؤدي إلى ضغوط تماثل هجمات حرمان من الخدمة.
وقد لا يتمكن المستخدم الذي يصاب كمبيوتره من تنزيل إداة التخلص من الفيروس قبل أن يعيد النظام التشغيل ، وعليه أن يتجه بسرعة إلى سطر تشغيل الأوامر run وطباعة الأمر shutdown -a

ويمكن التخلص منه يدويا بإعادة التشغيل في وضع الأمان (بالنقر على مفتاح F8 عند بدء التشغيل واختيار Safe Mode)
ثم إزالة ملف AVSERVE.EXE من دليل ويندوز (عادة ما يكون c:\windows أو c:\winnt)

ثم تحرير السجل بحذف قيمة avserve من مفتاح
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run
ثم إعادة التشغيل.

الموضوع