نتطرق في هذا الموضوع إخواني الكرام إلى كيفية التخلص من فيروس RavMon.exe
و إقتلاعه من جذوره من دون أي برامج
أولا و قبل كل شيء علينا فهم مبدأ عمل هذا الفيروس ليسهل علينا فهم هذه الطريقة ، طريقة سهلة و بسيطة تابع معي فقط
هذه الجرثومة تنتقل بكثرة عن طريق الفلاش ديسك و ذلك بسبب وضعها لملف التشغيل التلقائي في الفلاش الديسك من جهاز الكمبيوتر المصاب و عند نقل الفلاش ديسك و فتحه في جهاز كمبيوتر سليم يصبح هذا الأخير مصابا أيضا و السبب الأساسي في ذلك هو ملف التشغيل التلقائي AutoRun.inf علما أن كل من الفيروس RavMon.exe و AutoRun.inf هي ملفات نظام مخفية كما برمجها المبرمج و ذلك لتخويف المستخدم من حذفها
عند تشغيل الفيروس في جهاز غير مصاب ما هي الإجراءات التي يقوم بها :
يقوم بإخفاء الملفات و المجلدات المخفية و إخفاء ملفات النظام بالإضافة إلى ذلك يقوم بتعطيل الخيار الذي يقوم بإظهار الملفات و المجلدات المخفية و ملفات النظام و الموجود في
خيارات المجلد
حتى لا يظهر الفيروس نهائيا لأنه ملف نظام مخفي
يقوم الفيروس بنسخ نفسه في كل من C: و D: و E: و .... حسب عدد الأقراص الثابتة لديك و ينسخ نفسه أيضا في الفلاش ديسك إذا كان موجودا و يحاول أيضا نسخ نفسه في A: لذلك تجد محرك الأقراص A: يصدر صوتا غريبا و ذلك يدل على محاولة الفيروس نسخ نفسه هناك
و كل نسخة من النسخ الماضية يضع معها ملف التشغيل التلقائي AutoRun.inf ذلك ليضمن لنفسه التشغيل الدائم و الدليل على ذلك القائمة التي تظهر بالنقر على الزر الأيمن للفأرة على أحد محركات الأقراص كما في الصورة
و هناك نسخة أخرى هي الأهم و يضعها في C:\Windows حسب مكان تواجد الويندوز قد تكون D:\Windows او E:\Windows او ........
النسخة الأخيرة هذه يغير إسمها إلى svchost.exe و يقوم بإضافتها إلى بدأ التشغيل كبقية البرامج حتى يتم تشغيلها مع كل بداية تشغيل للكمبيوتر ، و لقد قام بتسميتها بهذا الاسم حتى لا تميزها من بين الــ svchost.exe التابعين للوندوز و الموجودين في عمليات إدارة المهام عند ضغط
ctrl + alt + suppr
كما قلت النسخة الأخيرة هي الاساس فيما بعد
و الان بعد ما اخذنا لمحة عامة عن عمل هذا الفيروس نتطرق على بركة الله في طريقة التخلص منه
أولا نقوم بتشغيل إدارة المهام بالضغط على ctrl + alt + suppr
و ننتقل إلى علامة التبويب "العمليات" ثم ننقر فوق إسم المستخدم لترتيب العمليات حسب إسم المستخدم
كما في الصورة
و الآن بعد ترتيب العمليات حسب إسم المستخدم نقوم بالبحث عن العملية التي إسمها svchost.exe و يجب أن يكون إسم المستخدم التابع لها هو إسمك في الوندوز و هذه العملية هي الخاصة بالفيروس ، كما في الصورة
و الآن نقوم بإنهاء تلك العملية
ملاحظة : يجب أذ الحيطة و الحذر في إنهاء العملية svchost.exe لأن هناك أكثر من عملية بهذا الإسم و كلها تابعة لنظام ويندوز ما عدا العملية المقصودة في الصورة ، و إن إنهاء أحد عمليات svchost.exe التابعة لنظام ويندوز يعاد تشغيل الكمبيوتر ، و الآن أظن أننا فهمنا لماذا سمى الفيروس نسخته الموجودة C:\Windows بالإسم svchost.exe
إذ لم نقم بإنهاء العملية التابعة للفيروس لا نستطيع عمل شيىء و بالتالي ضروري إيقاف تشغيل الفيروس من العملية المذكورة أعلاه
و الآن علينا حذف جميع النسخ التي وضعها الفيروس في الكمبيوتر و في هذه الحالة لا يستطيع الفيروس إعادة نسخ نفسه لأننا قمنا بايقاف تشغيله ، و المشكلة الان ان جميع النسخ مخفية و لا نستطيع اظهارها لان الفيروس عطل ميزة اظهار الملفات المخفية مما يدل على أن الفيروس قام بالدخول للرجيستري و غير إحدى القيم ، في هذه الحالة ندخل إلى محرر التسجيل إبدأ > تشغيل > و نكتبRegedit ثم ننتقل إلى المسار التالي
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windows\CurrentVersion\Explorer\Advanced\Folder\
\Hidden\SHOWALL
في الجهة اليسرى من الرجيستري نبحث عن القيمة التي تحمل الإسم CheckedValue و هي القيمة التي غيرها الفيروس كما في الصورة
و الأن نقوم بتعديل هذه القيمة و هي في الأصل من النوع Reg_Dword و ليس Reg_SZ و قيمتها 1 و ليس 0
و التعديل يكون كما يلي نحذف القيمة الموجودة حاليا و ننشىء قيمة أخرى و نسميها CheckedValue من النوع Reg_Dword و نعطيها القيمة 1 فتصبح كما في الصورة
و الآن إنتهينا من مشكل تعطيل ميزة إظهار الملفات و المجلدات المخفية و ملفات النظام ، ننقل بعد ذلك إلى خيارات المجلد و نقوم بتمكين الخيار إظهار الملفات و المجلدات المخفية و إزالة علامة الصح عن الخيار إخفاء ملفات نظام التشغيل المحمية و ذلك لإظهار جميع النسخ للفيروس و ملفات التشغيل التلقائي لها و التي تعد هي أيضا ملفات نظام كما في الصورة
و الآن ندخل إلى جهاز الكمبيوتر و يجب أن نستخدم المستكشف للتصفح و الوصول إلى الملفات و المجلدات
ملاحظة جد هامة : لا تنقر مرتين على أي محرك أقراص في جهاز الكمبيوتر و إلا سيتم تشغيل الفيروس و كأننا لم نفعل أي شيء دائما السبب هو ملف التشغيل التلقائي
بإستعمال المستكشف و في جميع محركات الأقراص نحذف الملفين التاليين وRavMon.exe AutoRun.inf ملف تشغيله التلقائي لا تنسى جميع محركات الأقراص الثابتة و الفلاشات ديسك إن وجدت كما في الصورة
سنقوم الآن بالإنتقال إلى مكان تواجد النسخة الآخيرة svchost.exe الموجودة في C:\Windows أو مكان تنصيبك للوندوز قد يكون في D:\Windows أو دليل آخر و التي يتم تشغيلها مع بدأ تشغيل الكمبيوتر و بالتالي إن لم نحذفها يعود كل شيء كما و لو أننا لم نفعل شيء و ذلك عند إعادة تشغيل الكمبيوتر و الآن ننتقل للمكان المقصود لحذف آخر نسخة للفيروس كما في الصورة
نسيت أن أعلمكم بأن الفيروس يقوم بنسخ نفسه في الأماكن المذكورة سابقا كل 10 ثواني تقريبا و كذلك القيمة الموجودة في الرجيستري يقوم بتغييرها أيضا كل 10 ثواني و بالتالي إنهاء مهمة الفيروس واجبة قبل الشروع في نزعه و تصحيح ما أفسده
لكي تتأكد من أن C:\Windows\svchost.exe هي أحد نسخ الفيروس قارن بين حجمها و حجم RavMon.exe ستجد أن لهما نفس الحجم 48.242 كيلو بايت
و في الآخير ضروري إعادة تشغيل الكمبيوتر و سترى النتيجة
و الدليل على ذلك أنقر بالزر الأيمن للفأرة على أحد محركات الأقراص سترى القائمة عادت كما هي و لا أثر للفيروس و لا لملف التشغيل التلقائي التابع له كما في الصورة
لأي إستفسار عن هذا الفيروس أنا في الخدمة و إن لم أكن متصلا أترك لي رسالة خاصة
الأربعاء نوفمبر 21, 2007 11:33 am