المصدر: علاج الفايرس الجديد W32.Blackmal.C@mm في منتدى : قسم الكومبيوتر العام ( حل مشاكل - تبادل خبرات ) هـــام جداً W32.Blackmal.C@mm نوعة : دودة درجة الخطر : منخفض الفايرس ينسخ نفسه ويعيد العمل بعد تشغيل الوندوز مره أخرى وهذي بعض اسمائه : %System%\Connection.exe %System%\Task.exe %System%\hhm.exe \winnt\volume\winhelp.exe \winnt\volume\twunk_32.exe %System%\sound_223.mp3___________________________________________.scr %System%\movie_05.MP3____________________________________________.exe %System%\PaltlkRoom.wav___________________________________________.scr %System%\%System%\Video_live.mpg______________________________________. والملفات التالية يلعب بها الفايرس: %System%\About_Blackworm.C.txt %System%\ossmtp.dll لاحظ معي مدى تأثيرة على أنواع الوندوز : C:\Windows\System(Windows95/98/Me), C:\Winnt\System32(WindowsNT/2000), or C:\Windows\System32 (Windows XP). يضيف القيم التالية : "(default)" = "C:\winnt\volume\[twunk_32.exe]" "(default)" = "C:\winnt\volume\[winhelp.exe]" في محرر التسجيل التالي : HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run لكي تعمل الدودوة مع بداية التشغيل للوندوز أيضا تضيق القيمة التالية في محر التسجيل التالي : HKEY_CURRENT_USER\Software\NicoMakComputing\WinZip\WinIni وها هي ما تضيفه في القيمة : Name = "BlackWorm" SN = "2AD00ED6" وتحذف القيم التالي: Hazafibb au.exe ccApp defwatch Explorer erthgdr gigabit.exe JavaVM KasperskyAv key MCUpdateExe MCAgentExe McRegWiz McVsRte McAfeeVirusScanService msgsvr32 NPROTECT NAV Agent Norton Antivirus AV OLE PCClient.exe PCCIOMON.exe pccguide.exe PccPfw PCCClient.exe rtvscn95 reg_key ScriptBlocking SSDPSRV system. Sentry ssate.exe Services tmproxy Taskmon Traybar Task VirusScan Online VSOCheckTask vptray Windows Services Host winupd.exe Windows Update win_upd.exe winupdt wersds.exe من المحررات الثلاثة التالية : HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices أحذف الملفات التالية : C:\Program Files\Norton AntiVirus\*.exe C:\Program Files\McAfee\McAfee VirusScan\Vso\*.* C:\Program Files\McAfee\McAfee VirusScan\Vso C:\Program Files\McAfee\McAfee VirusScan\Vs C:\Program Files\Trend Micro\PC-cillin 2002\*.exe C:\Program Files\Trend Micro\PC-cillin 2003\*.exe C:\Program Files\Trend Micro\Internet Security\*.exe C:\Program Files\NavNT\*.exe C:\Program Files\HyperTechnologies\Deep Freeze\*.exe -------------------------------------------------------------------------------- طريقة التخلص منه وهذا ما يهمك : -------------------------------------------------------------------------------- 1 ) أوقف نقطة أستعادة النظام للوندوز مي وأكس بي 2 ) حدث النورتن لديك . 3 ) شغل البحث الكامل عن الفايرسات للبحث عنه ومن ثم حذفه . 4 ) أحذف القيمة وهذي خطيرة وعليك الدقة كالتالي : تروح لأبدأ ومن ثم تشغيل وأكتب regedit أنتر تتبع القيمة التالية HKEY_LOCAL_MACHINE SOFTWARE Microsoft Windows CurrentVersion Run أحذف القيم التالية : "(default)" = "C:\winnt\volume\[twunk_32.exe]" "(default)" = "C:\winnt\volume\[winhelp.exe]" بعد ذلك أغلق محرر التسجيل للجميع تحياتي مع الأسف لو كان هناك تقصير أو خانتنا العبارات