الطريقة الأولى
--------------------------------------------------------------------------------
في العادة عند اصابة جهاز بفيروس فأنه تظهر اعراض
مثل : الفلاش لا يمكن ازالتها بأمان و ظهور كلمة autorun عند فتح حافظة او فلاش بالأضافة الى كثرة
ظهور رسالة الخطأ (ارسال . عدم الارسال ) و الجهاز بطيء كما تظهر رسالةتم تعطيل ادرة المهام من
المستخدم الرئيسي او تم تعطيل regedit كل هذا اعراض لوجود فايروس و في العادة يتم فرمتة
الجهاز و احياناً جميع الحافظات ظنا منهم انه بمجرد فتح الويندوس الجديد سوف ينتقل الفايروس مرة
اخرى وهو اعتقاد خاطئ لكن الامر سهل جدا وسوف اقوم بشرح كيفية كشف وازالة اعراض الفابروس
من دون فرمتة او انتي فايروس و اخيرا ازالته و الوقاية
* هناك طريقة جديدة لاغلاق الفايروسات و التطبيقات و لرؤية التطبيقات قيد التشغيل
1- الكشف عن الفيروسات
اولا/: نقوم بالذهاب الى شريط المهام (عند لائحة ابدأ )
و نضغط عليه بالزر الايمن و مختار taskmanger أو ادارة المهام اذا كانت كلمة ادارة المهام مظللة
و لا يمكن الضغط عليها او عند الضغط على alt+ctrl+del تظهر رسالة التعطيل اذا فلديك فايروس كما في الصور
أ- ادراة المهام task manger
ب- regedit
ج- autorun
بمجرد الضغط بالزر اليمين على الحافظة فأنها ستظهر من هذه الكلمان
auTO, autorun,reboot insafemode, 09-89, و غيرها الكثير
مثل :
لكن للتأكد تكتب في شريط العنوان adrees bar بعد قيامك بفتح اي حافظة autorun.inf
كما في الصورة و سوف يتم فتح ملف الفايروس المساعد ومنه تعرف اسم الفايروس
بمجرد ظهور احد هذه الاعراض فأن جهازك مصاب بفايروس
:sm256::sm256::sm256::sm256:
الحل و العلاج
عندما تقوم بالضغط على فلاشة مصابة بفايروس دبل كلك فانك تقوم بفتح الفايروس مع العلم انه لايفتح
تلقائي عند وضع الفلاش و لكن لنفرض انه تم فتحه من المستخدم عندها سوف يقوم بارسال مفتاح الى regedit في عناصر الstartup اذاً عند تشغيل الجهاز وتشغيل الويندوس سوف يتم فتح الفايروس على اساس وجود مفتاح له في regedit مع العلم لا يمكن حذف الفايروس و هو مفتوح اذا يجب اغلاقه او منع تشغيله عند بدء الويندوس لكن ماذا لو قام بتعطيل الREGEDIT AND TASKMANGER عندها يجب
اتباع الطريقة التالية لتشغيلهما :
ا- تشغيل REGEDIT
اذهب الى START>RUN> ثم تكتب في المربع GPEDIT.MSC
الان تظهر الصورة التالية اختر منها
USER CONFIGURATION>ADMINISTRATIVE TEMPLATES >SYSTEM
الآن اختر منها
PREVENT ACCESS TO REGISTRY TOOLS
اختر منها DISABLE
2- تشغيل TASKMANGER
نقوم بنفس الخطوات لكن ندخل الى ملف
ctrl+alt+del و نختار remove taskmanger و نختار disable
__________________________________________________ ____________________
الآن و بعدتشغيل الregedit و taskmanger اين تكمن اهميتهما ؟
سوف نقوم باستخدام regedit في حذف مفتاحه في قائمة startup لمنع فتحه مرة اخرى وتسهيل حذفه يدويا لذا نقوم بما يلي
start>run> و نكتب regedit كما في الصورة
الآن نذهب الى
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run
كما في الصورة
الان هذه القائمة تخص جميع عناصر تشغيل بدء الويندوس لذا ابحث عن ما هو مشبوه و لايخص اي
برنامج معروف او حتى انتي فيروس
الآن المفتاح المشير الى c:\zpharoh و المسمى tazebama هو مشبوه لذا سوف اقوم بحذفه
الان قم باعادة تشغيل الجهاز بسرعة وذلك عبر الضغط كبسة اعادة التشغيل على الcase وليس
start>shutdown>restart
__________________________________________________ _____________________
الان قمنا بحذف مفتاح التشغيل التلقائي لذا لن يعود الفايروس للفتح عند تشغيل الويندوس
لكن للتأكد نتفتح ادارة المهام ونختار من الشريط العلوي processes ونبحث عن التطبيق المشبوه اذا ما
فتح او لا و اغلب الظن انه لم يفتح
:sm61::sm61::sm61::sm61::sm61:
__________________________________________________ ______________________
المرحلة الاخيرة :sm56::sm56::sm56:
قمنا بمنع الفايروس من الفتح لكن هل حذف بالطبع لا فعند الضغط على الحافظة دبل كليك سوف يعاود الفتح،، لذا هذه مراحل حذفه لكن يجب توافر برنامج winrar الضاغط و هو معروف
1- اذهب الى mycomputer وقم بالدو ما يلفظ من قول إلا لديه رقيب عتيد الى الحافظة من الشريط العلوي و الا سوف يعاود الفايروس الفتح
2- قم بانشاء ملف winrar داخل الحافظة و افتحه
قم بالضغط على الملف الموضوع فيقوم بارجاعك الى الحافظة الأن قم بالبحث عن الملف المسمى autorun.inf لا تحذفه الآن بل قم بفتحه
الان ظهر اسم الفايروس ابحث عنه و احذفه و لا تنسى حذف ملف الautorun كما لا تنسى حذف الفايروس من الحافظات الاخرى قم باعادة تشغيل الجهاز و هكذا قد انتهينا
الوقاية خير من قنطار علاج
لتفادي فتح الفايروس من فلاش او سيدي او شيء اخر ما عليك سوى الذهاب الى mycomputer ومن شريط العنوان اذهب الى اي حافظة او فلاش كما في الصور
و هناك طريقة اخرى و ذلك عبر الgpedit.msc اذهب الى
USER CONFIGURATION>ADMINISTRATIVE TEMPLATES >SYSTEM
ومنه turnoff autoplay اختر enable وفي الشريط السفلي اختر alldrives
و لتفادي فتح الفايروس تلقائيا نقوم بالضغط على زر shift مع الاستمرار عند ادخال الفلاشة او الدسك او غيره
" هذه المعلومة من اخونا الكريم GENERAL7 "
__________________________________________________ ______________________
__________________________________________________ ______________________
**** الطريقة الجديدة لاكتشاف التطبيقات الشغالة و الخروج منها
وهي عبر اوامر الدوس :: حيث تستطيع رؤية التطبيقات قيد التشغيل و اغلاقها
اذن:
1- اذهب الى منفذ الاوامر cmd , وذلك عبر
start < run
اكتب cmd
ثم ok
*
فتظهر هذه الشاشة:
تكبير الصورةتصغير الصورة تم تعديل ابعاد هذه الصورة. انقر هنا لمعاينتها بأبعادها الأصلية.
الان سوف نعتمد على امرين رئيسين و هما :
كود:
tasklist
وهذا الامر لاظهار كافة التطبيقات الشغالة
الامر الثاني
كود:
taskkill
وهو لاغلاق التطبيقات
عندما نطبق الامر الاول تظهر التطبيقات الشغالة ويجب ان نركز على امرين مهمين وهما رقم الpid او اسم التطبيق حتى نستطيع اغلاق التطبيق
مثال : طبقنا الامر tasklist فظهر التطبيقات فنختار التطبيق الذي نريده عبر حفظ الاسم او رقم البيد
<<<
تكبير الصورةتصغير الصورة تم تعديل ابعاد هذه الصورة. انقر هنا لمعاينتها بأبعادها الأصلية.
فمثلا اخترنا التطبيق المسمى alg.exe حيث رقم الpid له 1016 و اسمه مثل ما قلت alg.exe
فنطبق الامر التالي
كود:
taskkill /im proccres.exe /f /t
وهو لاغلاق البرنامج عبر الاسم <<
تكبير الصورةتصغير الصورة تم تعديل ابعاد هذه الصورة. انقر هنا لمعاينتها بأبعادها الأصلية.
كما هو موضح في الصورة ان :
1- هو رمز لاغلاق التطبيق عبر الاسم و من دونه لن تستطيع اغلاقه بالاسم
2-اسم التطبيق
3- /f لاغلاق التطبيق بالقوة
4- /t وهو لاغلاق شجرة البرامج او لاغلاق التطبيقات المرتبطة بهذا التطبيق وهو مهم في حال تطبيقه على فايروسات غير قابلة للاغلاق
5 -بعد تطبيق الامر
********
2- اغلاق عبر الرقم
كود:
taskkill /pid pidnumber /f /t
<<<
تكبير الصورةتصغير الصورة تم تعديل ابعاد هذه الصورة. انقر هنا لمعاينتها بأبعادها الأصلية.
1- لاغلاق التطبيق عبر الpid
2-رقم ال pid
3- نتيجة تطبيق الامر
__________________________________________________ ______________________
ملاحظات مهمة جدا :
هناك فايروسات لا توقف عمل regedit و الtask manger ومن السهل القضاء عليها
عند وضع فلاش في الجهاز و ظهور نافذة autorun الويندوز اغلقهاو اتبع النصائح في الاعلى
الطريقة الثانية
فيروس WORM_CHIR.A
النوع : ينتمى هذا الفيروس إلى قائمة ديدان البريد الإلكتروني.
أسماء الشهرة الأخرى :
W32/Chir@MM
I-Worm.Runouce
Win32/Chir.A@mm
درجة الخطورة : متوسطة
الوصف : ينتقل هذا الفيروس عبر رسائل البريد الإلكتروني ومن خلال الملفات المرفقة Attachments على الهيئة :-
From: iloveyou @ btamail.net.cn
Message Body:< >
Subject: Hi, i am
Attachment: P.exe
طريقة العلاج :
1- افتح قائمة Start واختر الأمر Run ثم اكتب Regedit وانقر Ok.
2- ستظهر النافذة كما بالشكل رقم (1) من القائمة اليسرى افتح المجلدات الآتية:
HKEY_LOCAL_MACHINE> Software> Microsoft> Windows> CurrentVersion> Run
3- إذا وجدت في القائمة اليمنى ملف التسجيل Runouce حدده ثم قم بإلغائه.
4- أعد تشغيل الجهاز.
5- امسح الجهاز باستخدام برنامج مسح وإزالة الفيروسات واحذف جميع ملفات WORM_CHIR.A
فيروس PE_PERRUN.A
النوع : ينتمى هذا الفيروس إلى قائمة فيروسات الملفات.
أسماء الشهرة الأخرى :
W32.Perrun
W32/Perrun
درجة الخطورة : متوسطة
الوصف : ينتقل هذا الفيروس عبر ملفات الصور ذات الإمتداد JPEG وتعتبر درجة خطورته فى أغلب الأحيان بسيطة وتنحصر على ملفات الصور فقط.
طريقة العلاج :
1- افتح قائمة Start واختر الأمر Run ثم اكتب Regedit وانقر Ok.
2- ستظهر النافذة من القائمة اليسرى افتح المجلدات الآتية:
HKEY_CLASSES_ROOT>jpegfile> shell>open>command
3- من القائمة اليمنى حدد الملف Default ثم انقر عليه نقرا مزدوجا حتى يظهر مسار الملف.
4- تستطيع من هذا المسار أن تحدد ما إذا كانت ملفات الصور تحت الإمتداد JPEG متأثرة بوجود فيروس أم لا, إذا كان متأثرا فانقر بزر الماوس الأيمن على الملف ثم اختر Modify.
5- من مربع الحوار الذى سيظهر أدخل القيمة الآتية إذا كانت غير موجودة
rundll32.exe %System%\SHIMGVW.DLL,ImageView_Fullscreen
6- امسح الجهاز باستخدام برنامج مسح وإزالة الفيروسات واحذف جميع ملفات PE_PERRUN.A
فيروس WORM_KELINO.A
النوع : ينتمى هذا الفيروس إلى قائمة ديدان البريد الإلكتروني.
أسماء الشهرة الأخرى :
I-Worm.Kelino, KELINO.A
درجة الخطورة : خطيرة
الوصف : يصل هذا الفيروس إلى هدفه بواسطة 18 رسالة مختلفة كملف ملحق Attachment. ويهاجم البريد الإلكتروني ويرسل نفسه إلى أي عنوان يعثر عليه في دفتر العناوين في الجهاز الذي يصيبه كما يبطل مفعول البرامج المضادة للفيروسات. كما يستغل نقاط الضعف الموجودة في برنامجي البريد الإلكتروني Outlook و Outlook Express ومنذ تشخيصه للمرة الأولى, عثرت شركة Mcaffee المنتجة للبرامج المضادة للفيروسات على 775 ألف نسخة منه, ويصل عدد النسخ اليومية إلى نحو 20 ألف نسخة. ويعتبر هذا الفيروس مراوغ بقدر كبير وقادر على اختيار الأسماء بصورة عشوائية من دفتر العناوين ويستحدث انواعا كثيرة من الملفات نصوصا وملحقات, مما يجعل من الصعوبة بمكان تحديد مكانه وملاحقته. إضافة إلى قدرته على جعل برامج مكافحة الفيروسات عاجزة عن أداء دورها.
طريقة العلاج :
1- افتح قائمة Start واختر الأمر Run ثم اكتب Regedit وانقر Ok.
2- ستظهر النافذة من القائمة اليسرى افتح المجلدات الآتية:
HKEY_LOCAL_MACHINE> Software> Microsoft> Windows> CurrentVersion> Run
3- من القائمة اليمنى حدد الملف %windir% الذى يأتي غالبا على الصورة :
C:\Windows:"netpatch" "%windir%\netbiospatch10.exe"
4- أعد تشغيل الجهاز.
5- افتح قائمة Start واختر الأمر Run ثم اكتب EXPLORER.EXE ثم انقر Ok.
6- انقر من الشاشة الجديدة View ثم اخنر الأمر Folder Options .
7- انقر التبويب View ثم نشط الاختيار Show All Files ثم Ok .
8- من مجلد التسجيل Registry احذف الملف netbiospatch10.exe ثم أعد تشغيل الجهاز.
9- امسح الجهاز باستخدام برنامج مسح وإزالة الفيروسات واحذف جميع ملفات WORM_KELINO.A
فيروس VBS_LOVELETTR.AS
النوع : ينتمى هذا الفيروس إلى قائمة فيروسات Visual Basic
أسماء الشهرة الأخرى :
LOVELETTR.AS
LOVELETTER.AS
VBS_COLOMBIA
COLOMBIA
PRESIDENT AND FBI SECRETS
درجة الخطورة : عالية
الوصف : ينتقل هذا الفيروس عبر رسائل البريد الإلكتروني وبرنامج Microsoft Outlook ومن خلال الملفات المرفقة Attachments وبالأخص يوم 17 من كل شهر ويقوم بإلغاء جميع برامح تشغيل الشبكة وبرامج تصفح الإنترنت من النظام كما يسبب:
* زيادة الوقت اللازم لتنفيذ بعض العمليات عن الوقت المعتاد
*تأخر في تحميل البرامج إلي ذاكرة الكمبيوتر, وعدم تشغيلها بالكفاءة المعتادة.
* ظهور رسائل تفيد بأنه لا توجد ذاكرة كافية لتشغيل البرامج, بالرغم من أن الذاكرة المتاحة كافية.
طريقة العلاج :
1- افتح قائمة Start واختر الأمر Run ثم اكتب Regedit وانقر Ok.
2- ستظهر النافذة من القائمة اليسرى افتح المجلدات الآتية:
HKEY_LOCAL_MACHINE> Software> Microsoft> Windows> CurrentVersion> Run
3- احذف الملف LINUX32 من القائمة اليمنى.
4- افتح قائمة Start مرة أخرى واختر الأمر Run ثم اكتب Regedit وانقر Ok.
5- ستظهر النافذة من القائمة اليسرى افتح المجلدات الآتية:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\Run Services\reload
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\Run\plan columbia
6- كرر نفس ما سبق ثم أعد تشغيل الجهاز.
7- امسح الجهاز باستخدام برنامج مسح وإزالة الفيروسات واحذف جميع ملفات VBS_LOVELETTR.AS ثم حدد هذه الملفات أيضا وقم بمسحها:
c:\Windows\System\LINUX32.vbs
c:\Windows\reload.vbs
c:\Windows\important_note.txt
c:\Windows\System\US-PRESIDENT-AND-FBI-SECRETS.HTM
فيروس VBS_PETIK.I
النوع : ينتمى هذا الفيروس إلى قائمة فيروسات Visual Basic
أسماء الشهرة الأخرى :
I-Worm.Petik.I
درجة الخطورة : متوسطة
الوصف : ينتقل هذا الفيروس عبر رسائل البريد الإلكتروني وبرنامج Microsoft Outlook ومن خلال الملفات المرفقة Attachments على الهيئة:
Subject: What is the seven sins??
Message Body: Look at this file and learn them.
Attachment: Seven.vbs
ويقوم بإلغاء جميع خواص الماوس ولوحة المفاتيح من النظام.
طريقة العلاج :
1- افتح قائمة Start واختر الأمر Run ثم اكتب Regedit وانقر Ok.
2- من النافذة التى ستظهر, ومن القائمة اليسرى افتح المجلدات الآتية :
HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>Curr entVersion>Run
3- احذف الملف C:\Windows\System من القائمة اليمنى, أو الملف :
C:\WinNT\System32:Envy = %system%\envy.vbs
4- افتح المجلد الآتي :
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\Run Services
ثم احذف ملف التسجيل الآتى Lust = %system%\lust.vbs
5- افتح المجلد الآتي :
HKEY_CURRENT_USER > txtfile > shell >open > command
ثم انقر ملف التسجيل Default من القائمة اليمنى وقم بالتعديل الآتي من :
{Default} = wscript %windows%\Seven.vbs
إلى :
{Default} = %windows%\NOTEPAD.EXE %1
حيث أن %windows% هو مسار برنامج Windowsوهو عادة على هيئةC:\Windows or C:\WinNT
6- افتح المجلد الآتي :
HKEY_CURRENT_USER > VBSfile > DefaultIcon
ثم انقر الملف Default من القائمة اليمنى وقم بالتعديل الآتي من :
{Default} = shell32.dll,-152oldicon = %windows%\Wscript.exe,2
إلى :
{Default} = %windows%\Wscript.exe,2oldicon = %windows%\Wscript.exe,2
ثم إلغ الملف oldicon.
7- احذف الملف الآتي من سطح المكتب COPYRIGHT.txt.vbs ثم أعد تشغيل الجهاز.
8- امسح الجهاز باستخدام برنامج مسح وإزالة الفيروسات واحذف جميع ملفات VBS_PETIK.I
فيروس PE_MOE.A
النوع : ينتمى هذا الفيروس إلى قائمة ديدان البريد الإلكتروني التي تستخدم بروتوكول Simple Mail Transfer Protocol في التنقل تحت الإمتداد *.exe و *.scr
أسماء الشهرة الأخرى : MOE.A
درجة الخطورة : متوسطة
الوصف : يقوم هذا الفيروس بالتنقل عبر البريد الإلكترونى كملف مرفق وينتج نسخة من نفسه عبر كل رسالة. ولقد وصل هذا الفيروس إلى العالم العربي قادما من استراليا والشرق الأقصى, وبدأ أول تأثير له على مؤسسات المال والإعلام في العاصمة البريطانية. وتعتقد الشركات المتخصصة بمكافحة فيروسات الكمبيوتر أن الوباء الجديد سيكون من أوسع أوبئة الكمبيوتر انتشارا هذا العام ويشك بعض خبراء مكافحة الفيروسات ممن فحصوا الفيروس الجديد والصفحات التي يقوم بإرسال المستخدمين إليها, أنه ليس سوى محاولة قام بها البعض لزيادة عدد الزوار إلى مواقعهم الإباحية. ويأتي انتشار الفيروس الجديد بعد مرور سنة واحدة بالضبط على انتشار فيروس مدمر آخر هو فيروس الحب الذي أدى إلى أضرار كبيرة في العديد من المؤسسات في شتى أرجاء العالم. ومن الجدير ذكره أن الفيروس الجديد لا يصيب سوى مستخدمي برنامج Outlook Express فقط.
طريقة العلاج :
1- افتح قائمة Start واختر الأمر Run ثم اكتب Regedit وانقر Ok.
2- ستظهر النافذة من القائمة اليسرى افتح المجلدات الآتية:
HKEY_LOCAL_MACHINE> Software> Microsoft> Windows> CurrentVersion> Run
3- قارن من القائمة اليمنى قيم ملفات التسجيل.
4- احذف جميع الملفات التي تحتوي على قيم غير صحيحة.
5- أعد تشغيل الجهاز.
6- قم بمسح الجهاز باستخدام برنامج مسح وإزالة الفيروسات واحذف جميع ملفات PE_MOE.A
فيروس BKDR_LITMUS.002
النوع : ينتمى هذا الفيروس إلى قائمة فيروسات Backdoor
أسماء الشهرة الأخرى :
TROJ_BCKDR.JZ-1
BACKDOOR.JZ
TROJ_BCKDR.JZ-2
LITMUS.002
LITMUS
درجة الخطورة : عالية
الوصف : هذا الفيروس المدمر يتيح الفرصة لمخترقى أجهزة الكمبيوتر من استغلال أجهزة المصابين به في التحكم الكامل بالجهاز وإجراء أي تصرف كما لو كان جهازه.
طريقة العلاج :
1- افتح قائمة Start واختر الأمر Run ثم اكتب Regedit وانقر Ok.
2- ستظهر النافذة من القائمة اليسرى افتح المجلدات الآتية:
HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>Curr entVersion>Run
3- احذف ملف التسجيل Taskschd من القائمة اليمنى.
4- احذف المجلد TRAYWND.EXE.
5- أعد تشغيل الجهاز.
6- امسح الجهاز باستخدام برنامج مسح وإزالة الفيروسات واحذف جميع ملفات BKDR_LITMUS.002.
فيروس VBS_JADRA.A
النوع : ينتمى هذا الفيروس إلى قائمة فيروسات VBScript.
أسماء الشهرة الأخرى :
VBS.Jadra
VBS.Madonna.a
درجة الخطورة : عالية
الوصف : يقوم هذا الفيروس المدمر بالتمكن من جميع ملفات VBS ويقوم بإضافة ملفات تسجيل أخرى إليها لعمل على تشغيل الملفات الآتية عند بداية عمل Windows
* DEFRAG.EXE
* WINFILE.EXE
* EXPLORER.EXE
* CDPLAYER.EXE
* COMMAND.COM
طريقة العلاج :
1- افتح قائمة Start واختر الأمر Run ثم اكتب Regedit وانقر Ok.
2- ستظهر النافذة من القائمة اليسرى افتح المجلدات الآتية:
HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>Curr entVersion>Run
3- احذف جميع ملفات التسجيل الآتية من القائمة اليمنى:
Don't_Cry_for_me_Argentina = Explorer.exe c:\windows\Explorer.exe %
JadraquerKiller = Command.com c:\windows\Command.com %
ZoneAlarm Pro = Cdplayer.exe c:\windows\Cdplayer.exe %
AVPCC = Defrag.exe c:\windows\Defrag.exe %
AVP_Monitor = Scandskw.exe c:\windows\Scandskw.exe %
NAVDefAlert = Winfile.exe c:\windows\Winfile.exe %
McAfeeVirusScanService = Winfile.exe c:\windows\Winfile.exe %
4- افتح المجلد HKEY_CURRENT_USER ثم احذف الملف MyRegKey.
5- أعد تشغيل الجهاز.
6- امسح الجهاز باستخدام برنامج مسح وإزالة الفيروسات واحذف جميع ملفات VBS_JADRA.A.
فيروس WORM_APLORE.A
النوع : ينتمى هذا الفيروس إلى قائمة ديدان البريد الإلكتروني
أسماء الشهرة الأخرى :
APLORE.A
Worm.Psecure
APLORE
درجة الخطورة : متوسطة
الوصف : ينتقل هذا الفيروس عبر رسائل البريد الإلكتروني ومن خلال الملفات المرفقة Attachments كما ينتقل أيضا عبر الملفات المحملة Downloaded من مواقع الإنترنت, ويقوم بإنشاء مفتاح تشغيل ذاتي لملف التسجيل Redegit عن بداية تشغيل الجهاز كما إنه يستقر بالذاكرة الداخلية للجهاز وينشر نفسه إلى المواقع الأخرى عن الدو ما يلفظ من قول إلا لديه رقيب عتيد على الإنترنت
طريقة العلاج :
1- افتح قائمة Start واختر الأمر Run ثم اكتب Regedit وانقر Ok.
2- ستظهر النافذة من القائمة اليسرى افتح المجلدات الآتية:
HKEY_LOCAL_MACHINE> Software> Microsoft> Windows> CurrentVersion> Run
3- احذف ملف التسجيل Explorer=%SYSTEM%\explorer.exe من القائمة اليمنى.
4-أعد تشغيل الجهاز.
5- احذف جميع الملفات الآتية من Windows System Directory:
EXPLORER.EXE (copy of itself)
PSECURE20X-CGI-INSTALL.VERSION6.01.BIN.HX.COM (copy of itself)
EMAIL.VBS (detected as VBS_PSECURE.A)
INDEX.HTML (detected as HTML_PSECURE.A)
APHEX.JPG (image)
HWND32.DLL (program usually truncates to 0 byte)
6- امسح الجهاز باستخدام برنامج مسح وإزالة الفيروسات واحذف جميع ملفات WORM_APLORE.A.
موضوع: حذف الفيروسات يدويا شرح بالصور وبدون فرمتة الجهاز وبدون انتى فيرس 
الأربعاء أبريل 27, 2011 7:02 pm
