لحل مشكلة رسالة temp2 المزعجة

[السيد الدكتور]

[align=center]

بسم الله الرحمن الرحيم
الحمد لله و الصلاة و السلام على اشرف الانبياء و المرسلين
اضع لكم حل لمشكلة ظهور رسالة مزعجه على بعض الاجهزة حصلت للعديد من الزملاء و هي بهذه الصيغة



و عند الضغط على عدم الارسال يتم اعادة تشغيل الجهاز و بعده تظهر مرة اخرى

و لكن اليوم ان شاء الله يكون الحل لها وهو مجرب مع بعض الاعضاء في منتدى اخر

وبالتوفيق للجميع اليكم الحل ....................

هذا فيروس اسمه win32.Perlovga.A

|--*¨®¨*--|وطريقة حذفه |--*¨®¨*--|

يبي لك يدويا تحذف جميع ملفاته
ملفي copy.exe و host.exe الموجودة على السي
و ملفي svchost.exe xcopy.exe الموجودة بمجلد الوندوز
وايضا temp1.exe و temp2.exe الموجودة في مجلد النظام system32
ولا تنسى تعمل بحث عن autorun.ini وتحذفه

وعن طريق regedit
احذف ما يلي

[HKEY_CURRENT_USER\Software\Microsoft\Win dows\CurrentVersion\Explorer\MountPoints 2\
{a8b69ec0-bff7-11da-bcaf-806d6172696f}\****l]@="AutoRun"

[HKEY_CURRENT_USER\Software\Microsoft\Win dows\CurrentVersion\Explorer\MountPoints 2\
{a8b69ec0-bff7-11da-bcaf-806d6172696f}\****l\AutoRun\command]@="C:\\WINDOWS\\system32\\RunDLL32.EXE ****l32.DLL,****lExec_RunDLL copy.exe"

[HKEY_CURRENT_USER\Software\Microsoft\Win dows\CurrentVersion\Explorer\MountPoints 2\
{a8b69ec1-bff7-11da-bcaf-806d6172696f}\****l]@="AutoRun"

[HKEY_CURRENT_USER\Software\Microsoft\Win dows\CurrentVersion\Explorer\MountPoints 2\
{a8b69ec1-bff7-11da-bcaf-806d6172696f}\****l\AutoRun\command]
@="C:\\WINDOWS\\system32\\RunDLL32.EXE ****l32.DLL,****lExec_RunDLL copy.exe"

[HKEY_CURRENT_USER\Software\Microsoft\Win dows\CurrentVersion\Explorer\MountPoints 2\
{a8b69ec3-bff7-11da-bcaf-806d6172696f}\****l]@="AutoRun"

[HKEY_CURRENT_USER\Software\Microsoft\Win dows\CurrentVersion\Explorer\MountPoints 2\
{a8b69ec3-bff7-11da-bcaf-806d6172696f}\****l\AutoRun\command]
@="C:\\WINDOWS\\system32\\RunDLL32.EXE ****l32.DLL,****lExec_RunDLL copy.exe"

مع العلم ان الـ regedit خطير , فلذلك يفضل اتباع الطريقة 100%

او بتحميل هذا البرنامج

Ad-Aware SE Personal
http://www.ar-tr.com/download345.html
وتحديثه من النت ثم فحص الجهاز وسوف يتم حذفه


منقول للفائدة

[/align]

[أبوعادل]

جزاك الله خيرا اخي : السيد الدكتور
على هذه المعلومات المفيدة
الف شكر لك يالغالي
تقبل تحياتي

[السيد الدكتور]

اقتباس:  المشاركة الأصلية كتبت بواسطة أبوعادل     جزاك الله خيرا اخي : السيد الدكتور على هذه المعلومات المفيدة الف شكر لك يالغالي تقبل تحياتي

[align=center]أهلا وسهلا بك اخي العزيز / ابو عادل
و الله يعطيك العافية يالغالي على اضافتك
و ان شاء الله تكون هناك فائدة للجميع
و تقبل تحياتي [/align]

[zezo_1400]

جزاك الله خير اخي السيد الدكتور
ولعلك نسيت انها ملفات مخفيه .. حيث يجب اظهار الملفات المخفية من خيارات المجلد

شكرا لك

[السعودي]

[align=center][/align][align=center][/align]

بورك فيك أخي الكريم السيد الدكتور

طريقة وشرح جميل لحل مشكلة قد تكون مزعجة للبعض

[تقوي الهجر]

مشكوووووووور

[تذكارنجد]

بعد التحية
المشكله عندي ومن اثارها ان الجهار يقوم بالايقاف التلقائي بعد التشغيل مباشر فلا يتمكن الشخص من تعديل اي شي ارجو الفزعه

[zezo_1400]

من جهاز الكمبيوتر اضغط زر يمين
خصائص
خيارات متقدمة
بدء التشغيل والاسترداد
اعدادات
أزل علامة الصح اللي على اعادة تشغيل الجهاز

حمل احد برامج السباي وير ولابد من تحديثه من الانترنت

ثم افحص جهازك من السيف مود من بالضغط على f8
باحد مكافحات السباي وير ومنها سباي دكتور spy doctor

وافحص الفيروسات كذلك

وان شاء الله يضبط معك

لعل شرحي موجز لضيق وقتي

واتمنى من احد الاخوان يفيدك ..

[ابو هليل]

ألف شكر لك أخي الكريم

والله يعطيك العافية

وتقبل تحياتي

[السيد الدكتور]

اقتباس:  المشاركة الأصلية كتبت بواسطة zezo_1400     من جهاز الكمبيوتر اضغط زر يمين خصائص خيارات متقدمة بدء التشغيل والاسترداد اعدادات أزل علامة الصح اللي على اعادة تشغيل الجهاز حمل احد برامج السباي وير ولابد من تحديثه من الانترنت ثم افحص جهازك من السيف مود من بالضغط على f8 باحد مكافحات السباي وير ومنها سباي دكتور spy doctor وافحص الفيروسات كذلك وان شاء الله يضبط معك لعل شرحي موجز لضيق وقتي واتمنى من احد الاخوان يفيدك ..

[align=center]

ان الجهار يقوم بالايقاف التلقائي بعد التشغيل مباشر فلا يتمكن الشخص من تعديل اي شي
لكي يمكنك من العمل و التحكم بالكمبيوتر عليك مايلي اتباع الصور

زر الفارة اليمين على جهاز الكمبيوتر ومن القائمة المنسدله اختيار ( خصائص )




زمن ثم اختيار علامة التبويب ( خيارت متقدمة )




ومن ثم اختيار ايقونة ( الاعلام عن الاخطاء )



اختر ( تعطيل الاعلام عن اخطاء ) الى ان تتمكن من عمل اجراءات البحث عن الفايرس كما ذكر الاخ
zezo_1400 او ذكرت في المشاركة الاصلية

و الله ولي التوفيق [/align]

[iSergiwa]

الأخ الكريم السيد الدكتور

السلام عليكم

أقتباس:
(((وعن طريق regedit
احذف ما يلي

[HKEY_CURRENT_USER\Software\Microsoft\Win dows\CurrentVersion\Explorer\MountPoints 2\
{a8b69ec0-bff7-11da-bcaf-806d6172696f}\****l]@="AutoRun"...........)))

هذه القيم لن يجدها أي مستخدم أصلاً لكي يحذفها هل تدري لماذا؟

هذا موضوع قديم ولكن لفت نظري عندما كنت أجري بحثاً حول هذا الفايروس في جوجل ووجدت هذه الإدخالات فرأيت أن تعقيبي هنا ضروري جدا لوضع بعض الأمور في نصابها!

لماذا لم ولن تجد أي مستخدم هذه الإدخالات في الرجستري الخاص بجهازه؟

إليك فيما يلي التفسير...

هل لاحظت الرقم الطويل أعلاه؟ مثلاً :

a8b69ec0-bff7-11da-bcaf-806d6172696f

هذا يسمى (CLSID) أي (Class Identifier)
بالعربي يعني محدد الفئة
وهو نوع من (UUID) أي (universally unique identifiers)
بالعربي يعني المحدد العالمي الفريد
ويستخدم من قبل شركة مايكروسوفت في شفرات (COM) أي (Component Object Model)
وذلك لتحديد الفئات (Classes) المستخدمة ضمن هذه الشفرات في أجهزة الكمبيوتر الشخصية!

هذه الشفرات فريدة ولا تتكرر على مستوى العالم ولا يمكن أن تجد حول العالم شفرتين متطابقتين منها في جهازي كمبيوتر في العالم!!!

يصل بنا الأمر إلى أن هذه الإدخالات التي طلبت من القراء مسحها هي إدخالات مميزة وموجودة فقط وأقول فقط في جهاز واحد في العالم هل تدري جهاز من؟

إنه جهاز عصام سرقيوة العبد الفقير إلى الله المتحدث إليك الآن!

كيف ذلك؟!!!

يقول المثل : إذا عرف السبب بطل العجب

ببساطة لأنك يا سيدي الكريم اقتبست هذه الإدخالات من موضوع كنت قد كتبته أنا العبد الفقير إلى الله في منتديات كاسبرسكي العالمية ووضعت فيه الحل لهذا الفايروس بالتفصيل قبل نصف عام من الآن وبالتحديد بتاريخ 19-9-2006!!!

وهذا هو رابط الموضوع :

http://forum.kaspersky.com/index.php?showtopic=21881

أردت فقط أن أنوه أن موضوعي ذاك وجدت اقتباسات عنه في الانترنت لا تعد ولا تحصى من روسيا واليونان وإيران والبرازيل وفيتنام والصين وألمانيا واليابان ولفت نظري أنها كلها وضعت معرفي (iSergiwa) ووضعت مصدر الاقتباس من موضوعي في منتديات كاسبرسكي أللهم إلا موقعاً واحداً فقط!!! ولكن الأمر الحزين والمثير للشجن هو ما لاحظته من أن المواقع العربية التي اقتبست من موضوعي ذاك لم يشر أحدها إلى المصدر أللهم إلا واحد فقط وضع الرابط للموضوع!!!!

تعقيبي هذا ضروري ليس لذكر أسمي وليس لمعاتبتك على عدم ذكره فقد ذكرت سيادتك أن الموضوع منقول للفائدة بل لشرح أمر قد يشكل غموض لدى القراء لأن هذه الإدخالات لا يمكن أن توجد في أي جهاز عدا الجهاز المأخوذة منه أصلاً!!!

يبقى تساؤل مهم وهو لماذا أضع إدخالات خاصة بجهازي الشخصي كجزء ضمن حل مشكلة فايروس عامة؟!!

سأختصر عليك الأمر وأذكر النقطة المتعلقة بذلك :

في حواري ذاك في منتديات كاسبرسكي كنت أحادث رجلاً ذا خبرة في الفايروسات مشرف من مشرفي كاسبرسكي طالباً منه المساعدة في وضع حل لهذا الفايروس ولكن حين عجز الجميع هناك وهم عتاة تحليل الفايروسات عن حل مشكلة هذا الفايروس (perolvga) قررت أن أحل المشكلة بنفسي!

قلت للمشرف أنني بعد تفكير في المشكلة وجدت لها الحل ومن ضمن هذا الحل أني حذف هذه القيم من الريجستري!!

تلاحظ إذن أخي الكريم أني كنت أحاور رجلاً ذا معرفة بالأمر وهو ضمناً يعلم أن هذه محددات هذه الإدخالات (UUID) خاصة بجهازي أنا فقط ومن غير المعقول أن يبحث عنها في جهازه فهو بخبرته في هذا المجال لا يمكن أن يبحث عن محدد الكلاس بذاته وإنما عن الكلاس الذي يشغله الفايروس!

أنا كنت أحاور رجلاً ذا معرفة وخبرة ولم أكن أضع حلاً لعامة الناس فحواري هناك كان على مستوى ذلك الرجل ولم يخطر ببالي أن الناس سيقرأون ثم ينقلون الحل بلا وعي وبحذافيره هكذا!!!!
ذكرني هذا بأيام زمان في المدرسة فقد كان المدرس يعطينا مذكرة بها أمثلة ثم في الأمتحان يأتي بنفس الأمثلة ولكن يغير الأرقام فيفاجأ أن التلاميذ وضعوا الحل الموجود بالمذكرة وبنفس الأرقام!!!!!!!!!!!!!

الخطأ كان خطأي أنا لأنني افترضت أن كل القراء يدركون هذه الحقيقة العلمية ولكن على كل حال ها أنا أعالج ما غفلت عنه من البداية!

تحياتي واحترامي لك سيدي
أخوك عصام سرقيوة
www.sergiwa.com
مبرمج بسيط وأبسط مما تتخيل
عدو لكل شيء اسمه فايروسات
درنة - ليبيا