تحليل فيروس Kavo.exe و صنع الباتش المضاد له !!!

آخـــر الـــمـــشـــاركــــات

(الكتاب المقدس عندما يكون الوحي صياغة بشرية..) نقرأ ما لا يمكن أن يكون كتابًا مقدّسًا.. قصص لا أخلاقية تملأ العهد الجديد.. جنس فاضح وروايات إباحية » آخر مشاركة: ابا عبد الله السلفي | == == | من يدفع لأجل خطايا الكنيسة - 6 - ؟؟؟ » آخر مشاركة: *اسلامي عزي* | == == | 1- هل اطلاق مصطلح ابن الله على المسيح صحيح لاهوتيا ؟ » آخر مشاركة: ابا عبد الله السلفي | == == | الرجاء و الدواء ليسوا في الفداء و يسوع يحسم قضية الملكوت » آخر مشاركة: الشهاب الثاقب. | == == | أنا و الآب واحد بين الحقيقة و الوهم » آخر مشاركة: ronya | == == | النبي محمد صلى الله عليه وسلم من الألف إلى الياء كتاب الكتروني رائع » آخر مشاركة: عادل محمد | == == | أولًا : تبدأ القصة حين طلق زيد بن حارثة زوجته بعد أن تعذر بقاء الحياة الزوجية » آخر مشاركة: ابا عبد الله السلفي | == == | من هو المصلوب ؟! قال أحدُهم : إن الإسلامَ جاء بعد المسيحيةِ بقرونٍ عدة لينفي حادثة الصلب بآياتٍ تقول : { وَ قَوْلِهِمْ إِنَّا قَتَلْنَا الْمَسِيحَ عِ » آخر مشاركة: ابا عبد الله السلفي | == == | الســـلام عليكم أحبابي في الله ماهو رأيك ان يسوع ليس كلمة الله - لايوجد نص في الكتاب المقدس يقول ان المسيح اسمه كلمة الله أصلا - لايوجد دليل ان الكلم » آخر مشاركة: ابا عبد الله السلفي | == == | (هدم عقيدة التليث) و أتحدى أن يجيب اي احد من النصارى لحظة القبض علي المسيح هل كان يسوع يعلم أنه اله و أنه هو الله ان لاهوته لم يفارق ناسوته كما تقو » آخر مشاركة: ابا عبد الله السلفي | == == |

مـواقـع شـقــيـقـة
شبكة الفرقان الإسلامية شبكة سبيل الإسلام شبكة كلمة سواء الدعوية منتديات حراس العقيدة
البشارة الإسلامية منتديات طريق الإيمان منتدى التوحيد مكتبة المهتدون
موقع الشيخ احمد ديدات تليفزيون الحقيقة شبكة برسوميات شبكة المسيح كلمة الله
غرفة الحوار الإسلامي المسيحي مكافح الشبهات شبكة الحقيقة الإسلامية موقع بشارة المسيح
شبكة البهائية فى الميزان شبكة الأحمدية فى الميزان مركز براهين شبكة ضد الإلحاد

يرجى عدم تناول موضوعات سياسية حتى لا تتعرض العضوية للحظر

 

       

         

 

 

 

    

 

تحليل فيروس Kavo.exe و صنع الباتش المضاد له !!!

النتائج 1 إلى 4 من 4

الموضوع: تحليل فيروس Kavo.exe و صنع الباتش المضاد له !!!

  1. #1
    تاريخ التسجيل
    Apr 2009
    المشاركات
    278
    الدين
    الإسلام
    آخر نشاط
    12-03-2017
    على الساعة
    09:45 PM

    افتراضي تحليل فيروس Kavo.exe و صنع الباتش المضاد له !!!

    بسم الله الرحمن الرحيم


    أخوانى أعضاء المنتدى الكريم ..... و السادة الزائرين الكرام ,

    السلام عليكم و رحمة الله و بركاته



    _ أن المقصود هنا بتحليل الفيروسات ليس كما هو متعارف عليه فى علم الهندسة العكسية أى تفكيك الفيروس ببرامج خاصة لمعرفة ما يحتويه من أكواد ولكن المقصود هو معرفة ما هو هذا الفيروس ؟ كيف يعمل ؟ ما هى ملفاته ؟ أين ينشىء هذه الملفات ؟ .......الخ .

    _و أيضا قبل البدء فى تحليل هذا الفيروس و تصنيع باتش مضاد له أرجوا أن تكون قد أطلعت على الموضوع التالى :


    https://www.ebnmaryam.com/vb/t167381.html

    ففى الموضوع المشار اليه أعلاه تعرفنا على طبيعة فيروسات Autorun ولماذا تم تسميتها بهذا الاسم ؟ و كيف تعمل ؟ وأين تنشر ملفاتها ؟.

    _ كما تعلمنا سويا انشاء برنامج صغير أو أداه لحذف أهم ملف من ملفات هذه الفيروسات الا و هو ملف التشغيل التلقائى Autorun.inf ثم نقوم بعد ذلك بحذف باقى ملفات الفيروس يدويا ولكن هناك بعض الفيروسات تقوم بكتابة ملف التشغيل التلقائى مرة أخرى عندما يتم حذف الاول .وتعلمنا أيضا كيفية اضافة أمر لبرنامجنا فى كليك يمين للماوس .

    أما فى هذه المشاركة و المشاركات القادمة أن شاء الله سنقوم سويا بتحليل بعض الفيروسات حتى نستطيع تصنيع المضاد له و اضافته فى برنامجنا السابق و هذه هى الفكرة التى يقوم عليها أى مكافح فيروسات .

    فجميع برامج مكافحة الفيروسات تحتاج الى عملية تحديث قاعدة البيانات الخاصة بها من 3 الى 5 أيام على الاكثر حتى تستطيع مكافحة الفيروسات الجديدة .و الفكرة ان مبرمجين هذه البرامج يقوموا بتحليل الفيروسات ثم بعد ذلك يتم وضع ملفات التحديث اللازمة لبرامجهم .

    _ ومن هذا المنطلق سنقوم نحن أيضا بتحليل بعض هذه الفيروسات لتحديث برنامجنا فبدلا من أن يقوم برنامجنا بالقضاء على ملف واحد من ملفات الفيروس سيقوم هو بحذف جميع ملفات الفيروس .

    ليس هذا فقط بل أيضا سيقوم برنامجنا بحذف المفاتيح و القيم التى أنشئها هذا الفيروس فى ملف الريجستير .
    وأيضا سيقوم برنامجنا باصلاح ما أفسده هذا الفيروس دون تدخل منا .

    أولا : تحليل فيروس kavo.exe


    _ تعرف على الفيروس :

    الاصدار الاول من هذا الفيروس ظهر فى تقرير تحليل الفيروسات لموقع ThreatExpert فى 2 ديسمبر 2009 و يمكنك الاطلاع على التقرير الاصلى من هنا .

    أما الاصدار الثانى لهذا الفيروس ظهر فى 22 مارس 2010 كما يمكنك الاطلاع على التقرير الاصلى من هنا

    يقوم هذا الفيروس بإنشاء ملف تشغيل آلي Autorun.inf، ثم يقوم بتحميل بعض الملفات kavo0.dll ، otrewe0.dll في مساحة العنوان من مستكشف النوافذ .ويقوم بتنزيل ملفات خبيثة كلما أتصلت بالانترنت .

    _ الاسماء المختلفة للفيروس :

    يعرف هذا الفيروس أيضا بأسماء عديدة على حسب شركات مكافة الفيروسات وهم على النحو التالى :


    HeurEngine.Packed-NsAnti [PCTools]
    Trojan.Packed.NsAnti [Symantec]
    Trojan-GameThief.Win32.Magania.apca [Kaspersky Lab]
    Generic PWS.ak [McAfee]
    Mal/Frethog-B, Mal/EncPk-EF [Sophos]
    Worm:Win32/Taterf.B [Microsoft]
    Win-Trojan/Magania.122961.B [AhnLab]


    _ حركة الفيروس و ملفاته :

    _ هذا الفيروس يضع الملفين التاليين في جميع أجزاء الهارد الخاص بك(C,D,E....) وفي كل قرص قابل للإزالة.

    autorun.inf
    ntdelect.com
    C:\300y.cmd


    _كما يضع الملفات التالية فى مجلد System32 :

    C:\Windows\System32\kavo.exe
    C:\Windows\System32\cvsdfw.exe
    C:\Windows\System32\kavo0.dll
    C:\Windows\System32\kavo1.dll
    C:\Windows\System32\otrewe0.dll
    C:\Windows\System32\otrewe1.dll
    C:\Windows\System32\kavo1.exe
    C:\Windows\System32\kavo0.exe
    C:\Windows\System32\wincab.sys



    _ ويضع فى مجلد Windows الملف التالى :

    C:\Windows\tt.exe



    _ ويضع الملفات التالية فى مجلد Temp :

    •<Temp>\b88d9jce.sys
    •<Temp>\zjtxwj.dl
    %Temp%\pfwwk.dll
    %Temp%\ker1.tmp
    %Temp%\ker2.tmp
    %Temp%\ker3.tmp
    %Temp%\ker4.tmp


    _ أما فى مسجل النظام Registre يقوم الفيروس بعمل الاتى :

    1-ينشىء مفاتيح التسجيل التالية :

    HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_TRL MNCZQ
    HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_TRL MNCZQ\0000
    HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_TRL MNCZQ\0000\Control
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY _TRLMNCZQ
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY _TRLMNCZQ\0000
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY _TRLMNCZQ\0000\Control
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\MADOWN


    2 - ينشىء قيم التسجيل الاتية :

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_TRL MNCZQ\0000\Control]
    *NewlyCreated* = 0x00000000
    ActiveService = "trlmnczq"
    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_TRL MNCZQ\0000]
    Service = "trlmnczq"
    Legacy = 0x00000001
    ConfigFlags = 0x00000000
    Class = "LegacyDriver"
    ClassGUID = "{8ECC055D-047F-11D1-A537-0000F8753ED1}"
    DeviceDesc = "trlmnczq"
    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_TRL MNCZQ]
    NextInstance = 0x00000001
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY _TRLMNCZQ\0000\Control]
    *NewlyCreated* = 0x00000000
    ActiveService = "trlmnczq"
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY _TRLMNCZQ\0000]
    Service = "trlmnczq"
    Legacy = 0x00000001
    ConfigFlags = 0x00000000
    Class = "LegacyDriver"
    ClassGUID = "{8ECC055D-047F-11D1-A537-0000F8753ED1}"
    DeviceDesc = "trlmnczq"
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY _TRLMNCZQ]
    NextInstance = 0x00000001

    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\MADOWN]
    urlinfo = "a5dvgt.n"
    [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ Run]
    kava = "%System%\kavo.exe"
    anhtaas = "%System%\cvsdfw.exe"



    وخلى بالك من القيمة الاخيرة (السطر الاخير ) لذلك تجد أن هذا الفيروس يعمل دائما عند بداية تشغيل الويندوز .

    3 - يقوم هذا الفيروس بتغير قيمة المفتاح التالى :

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion \Explorer\Advanced\Folder\Hidden\SHOWALL]
    CheckedValue =

    ولذلك تجد خيارات المجلد (Option Folder ) غير موجودة .


    ثانيا : صنع الباتش المضاد لهذا الفيروس


    بعد ما عرفنا ملفات الفيروس و قيم و مفاتيح هذا الفيروس فى مسجل النظام Registre نستطيع أن نصع برنامج أو باتش مضاد له .

    _ مخطط برنامجنا (الباتش المضاد للفيروس) :

    1_ ايقاف حركة الفيروس لانه لا يمكن نزع أى شىء فى جهاز الكمبيوتر وهو فى حالة تشغيل ( مثلا :جرب حذف ملف mp3 وهو فى حاله تشغيل ...لن يحذف أبدا)

    2- حذف ملفات الفيروس من مجلد Windows

    3- حذف ملفات الفيروس من مجلد System32

    4 -حذف ملفات الفيروس من مجلد Temp

    5- حذف ملفات الفيروس من على جميع أجزاء القرص الصلب .

    6 - حذف المفاتيح و القيم التى أنشئها الفيروس فى Registre

    7 - أصلاح ما أفسدة الفيروس فى قيم Registre الاصلية

    8- أظهار رسالة للمستخدم للخيار بين أنشاء ملف Autorun.inf للتحصين أم أنهاء البرنامج ( وضحت سابقا الفكرة من أنشاء هذا الملف على القرص الصلب ).

    9 -انهاء البرنامج

    نبدا فى التصميم ...... سأقوم بشرح الاكواد الجديدة فقط ( لانى أعلم جيدا أنك قد فهمت المشاركة السابقة )

    - قم بفتح المفكرة Notepad

    1 - ايقاف حركة الفيروس (سنقوم بايقاف تشغيل الملفات التنفيذية للفيروس )عن طريق هذا الامر


    كود PHP:
    taskkill //im kavo.exe
    taskkill 
    //im cvsdfw.exe
    taskkill 
    //im kavo1.exe
    taskkill 
    //im kavo0.exe 
    من خلال الكود السابق تم ايقاف الفيروس عن العمل أذن يتضح لك أن الامر taskkill /f /im هو المسؤل عن ايقاف أى ملف أذا كان فى حاله تشغيل ثم الحقنا بعده الملفات التنفيذية للفيروس .

    2 - حذف ملفات الفيروس من من مجلد النظام و مجلد System32 و مجلد Temp

    كود PHP:
    del %SystemRoot%\tt.exe ///q
    del 
    %systemroot%\system32\kavo.exe ///q
    del 
    %systemroot%\system32\cvsdfw.exe ///q
    del 
    %systemroot%\system32\kavo0.exe ///q
    del 
    %systemroot%\system32\kavo1.exe ///q
    del 
    %systemroot%\system32\kavo0.dll ///q
    del 
    %systemroot%\system32\kavo1.dll ///q
    del 
    %systemroot%\system32\otrewe0.dll ///q
    del 
    %systemroot%\system32\otrewe1.dll ///q
    del 
    %systemroot%\system32\wincab.sys ///q
    DEL 
    %TEMP% ////
    يلاحظ على الكود:

    أمر الحذف هو del أما الامر %systemroot% هو مجلد النظام أى كان مكانه فى الهارد على C او D او F .....الخ .
    أما F/ يقصد به حذف الملفات حتى أن كانت للقراءة فقط .
    أما A/ يقصد به حذف الملفات على اساس الصفات .
    أما Q/ يقصد به الحذف دون ظهور رسالة للمستخدم (هل تريد حذف هذا الملف أم لا).
    أما S/ حذف من جميع المجلدات الفرعية.

    وتلاحظ أيضا الامر فى السطر الاخر (DEL %TEMP% /f /s /a /q) حذفنا جميع ملفات المجلد TEMP

    3 _ حذف ملفات الفيروس وملف Autorun.inf الموجود داخل كل بارتشن فى الجهاز عن طريق هذا الكود .

    كود PHP:
    if exist c:\autorun.inf attrib ----h c:\autorun.inf&del c:\autorun.inf
    if exist d:\autorun.inf attrib ----h d:\autorun.inf&del d:\autorun.inf
    if exist e:\autorun.inf attrib ----h e:\autorun.inf&del e:\autorun.inf
    if exist f:\autorun.inf attrib ----h f:\autorun.inf&del f:\autorun.inf
    if exist g:\autorun.inf attrib ----h g:\autorun.inf&del g:\autorun.inf
    if exist h:\autorun.inf attrib ----h h:\autorun.inf&del h:\autorun.inf
    if exist i:\autorun.inf attrib ----h i:\autorun.inf&del i:\autorun.inf
    if exist j:\autorun.inf attrib ----h j:\autorun.inf&del j:\autorun.inf
    if exist k:\autorun.inf attrib ----h k:\autorun.inf&del k:\autorun.inf
    if exist l:\autorun.inf attrib ----h l:\autorun.inf&del l:\autorun.inf
    if exist m:\autorun.inf attrib ----h m:\autorun.inf&del m:\autorun.inf
    if exist n:\autorun.inf attrib ----h n:\autorun.inf&del n:\autorun.inf

    if exist c:\ntdelect.com attrib ----h c:\ntdelect.com&del c:\ntdelect.com
    if exist d:\ntdelect.com attrib ----h d:\ntdelect.com&del d:\ntdelect.com
    if exist e:\ntdelect.com attrib ----h e:\ntdelect.com&del e:\ntdelect.com
    if exist f:\ntdelect.com attrib ----h f:\ntdelect.com&del f:\ntdelect.com
    if exist g:\ntdelect.com attrib ----h g:\ntdelect.com&del g:\ntdelect.com
    if exist h:\ntdelect.com attrib ----h h:\ntdelect.com&del h:\ntdelect.com
    if exist i:\ntdelect.com attrib ----h i:\ntdelect.com&del i:\ntdelect.com
    if exist j:\ntdelect.com attrib ----h j:\ntdelect.com&del j:\ntdelect.com
    if exist k:\ntdelect.com attrib ----h k:\ntdelect.com&del k:\ntdelect.com
    if exist l:\ntdelect.com attrib ----h l:\ntdelect.com&del l:\ntdelect.com
    if exist m:\ntdelect.com attrib ----h m:\ntdelect.com&del m:\ntdelect.com
    if exist n:\ntdelect.com attrib ----h n:\ntdelect.com&del n:\ntdelect.com

    if exist c:\300y.cmd attrib ----h c:\300y.cmd&del c:\300y.cmd
    if exist d:\300y.cmd attrib ----h d:\300y.cmd&del d:\300y.cmd
    if exist e:\300y.cmd attrib ----h e:\300y.cmd&del e:\300y.cmd
    if exist f:\300y.cmd attrib ----h f:\300y.cmd&del f:\300y.cmd
    if exist g:\300y.cmd attrib ----h g:\300y.cmd&del g:\300y.cmd
    if exist h:\300y.cmd attrib ----h h:\300y.cmd&del h:\300y.cmd
    if exist i:\300y.cmd attrib ----h i:\300y.cmd&del i:\300y.cmd
    if exist j:\300y.cmd attrib ----h j:\300y.cmd&del j:\300y.cmd
    if exist k:\300y.cmd attrib ----h k:\300y.cmd&del k:\300y.cmd
    if exist l:\300y.cmd attrib ----h l:\300y.cmd&del l:\300y.cmd
    if exist m:\300y.cmd attrib ----h m:\300y.cmd&del m:\300y.cmd
    if exist n:\300y.cmd attrib ----h n:\300y.cmd&del n:\300y.cmd 
    طبعا عند تحليل الفيروس وجدنا أن هذا الفيروس يقوم بوضع ثلاث ملفات على جميع أجزاء القرص الصلب و هى ملف autorun.inf , وملف ntdelect.com , وملف 300y.cmd لذلك قمنا بحذفهم من خلال الكود السابق.

    يلاحظ أيضا على الكود السابق :
    _ الامر if exist جملة if ويقصد بها أذا كان الملف موجود نفذ الامر فقط
    _ الامر attrib -a -s -r -h تم شرح هذا الامر فى المشاركة السابقة

    4 - حذف المفاتيح التى أنشاها الفيروس فى ملف Registre عن طريق الكود التالى :

    كود PHP:
    reg delete HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_TRLMNCZQ
    reg delete HKEY_LOCAL_MACHINE
    \SOFTWARE\Classes\CLSID\MADOWN 
    يلاحظ على الكود السابق :
    _ الامر reg delete هو المسؤل عن حذف مفتاح فى مسجل النظام ثم بعد ذلك نتبعه بمسار المفتاح بالكامل
    _ و يلاحظ أيضا أن اى مفتاح فرعى أو قيمة تحت هذا المفتاح سيحذف أيضا .

    5 - حذف القيم التى أنشأها الفيروس فى Registre عن طريق هذا الكود :

    كود PHP:
    REG delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v kava /f
    REG delete HKLM
    \SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v anhtaas /
    عرفنا أن هذا الفيروس بيقوم بانشاء قيم هما kava و anhtaas تحت المفتاح Run و بهذا يستطيع الفيروس العمل مباشر فى كل مرة تفتح فيها جهازك .اذن المطلوب هو حذف تلك القيم و ليس حذف مفتاح Run بالكامل لانه يحتوى على بعض قيم النظام .

    6 - أصلاح ما أفسدة الفيروس فى عن طريق هذا الكود :

    كود PHP:
    REG add HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL /v CheckedValue /t REG_DWORD /d 1 /
    7 _ أظهار رسالة للمستخدم للخيار بين أنهاء البرنامج أو أنشاء ملف Autorun.inf على جميع أجزاء القرص الصلب للتحصين ضد هذه الفيروسات


    كود PHP:
    echo. 
    echo 
    Are you sure u want to Create Autorun file in this dirve(Y/N)    
    set/"cho=>"    
    if %cho%==goto create    
    if %cho%==goto create    
    if %cho%==goto END    
    if %cho%==goto END  
    :ms  
    cls 
    color 0c 
    echo.  
    echo 
    Invalid choice.  
    echo. 
    echo 
    Please select the correct option (y) for create or (n) for end 
    echo. 
    echo. 
    echo 
    Are you sure u want to Create Autorun file in this dirve(Y/N)    
    set/"cho=>"    
    if %cho%==goto create    
    if %cho%==goto create    
    if %cho%==goto END    
    if %cho%==goto END   
    goto ms 
    :create 
    echo this is your autorun file >> AUTORUN.INF 
    attrib AUTORUN
    .INF +++
    :end 
    end 
    أذن الكود النهائى للبرنامج أو الباتش على النحو التالى


    كود PHP:
    echo. 
    echo 
    Are you sure u want to Create Autorun file in this dirve(Y/N)    
    set/"cho=>"    
    if %cho%==goto create    
    if %cho%==goto create    
    if %cho%==goto END    
    if %cho%==goto END  
    :ms  
    cls 
    color 0c 
    echo.  
    echo 
    Invalid choice.  
    echo. 
    echo 
    Please select the correct option (y) for create or (n) for end 
    echo. 
    echo. 
    echo 
    Are you sure u want to Create Autorun file in this dirve(Y/N)    
    set/"cho=>"    
    if %cho%==goto create    
    if %cho%==goto create    
    if %cho%==goto END    
    if %cho%==goto END   
    goto ms 
    :create 
    echo this is your autorun file >> AUTORUN.INF 
    attrib AUTORUN
    .INF +++
    :end 
    end  
    @echo off
    title benmaryam Autorun killer v1
    color 0a
    echo.
    echo ...................................................
    echo 
    Welcome To benmaryam Autorun killer v1
    echo This Program Had Written To Remove (AutorunVirus
    echo You Cannot remove this virus by installing
    echo New system copy.
    echo 
    Just Use This Program To Remove It
    echo.
    echo .              
    Craete by ahmed manna
    echo.
    echo .               [
    email]Zakyshny@yahoo.com[/email]
    echo ...................................................
    echo 
    Now Start To Fix Your System
    pause
    taskkill 
    //im kavo.exe
    taskkill 
    //im cvsdfw.exe
    taskkill 
    //im kavo1.exe
    taskkill 
    //im kavo0.exe

    del 
    %SystemRoot%\tt.exe ///q
    del 
    %systemroot%\system32\kavo.exe ///q
    del 
    %systemroot%\system32\cvsdfw.exe ///q
    del 
    %systemroot%\system32\kavo0.exe ///q
    del 
    %systemroot%\system32\kavo1.exe ///q
    del 
    %systemroot%\system32\kavo0.dll ///q
    del 
    %systemroot%\system32\kavo1.dll ///q
    del 
    %systemroot%\system32\otrewe0.dll ///q
    del 
    %systemroot%\system32\otrewe1.dll ///q
    del 
    %systemroot%\system32\wincab.sys ///q
    DEL 
    %TEMP% ////q
    pause
    if exist c:\autorun.inf attrib ----h c:\autorun.inf&del c:\autorun.inf
    if exist d:\autorun.inf attrib ----h d:\autorun.inf&del d:\autorun.inf
    if exist e:\autorun.inf attrib ----h e:\autorun.inf&del e:\autorun.inf
    if exist f:\autorun.inf attrib ----h f:\autorun.inf&del f:\autorun.inf
    if exist g:\autorun.inf attrib ----h g:\autorun.inf&del g:\autorun.inf
    if exist h:\autorun.inf attrib ----h h:\autorun.inf&del h:\autorun.inf
    if exist i:\autorun.inf attrib ----h i:\autorun.inf&del i:\autorun.inf
    if exist j:\autorun.inf attrib ----h j:\autorun.inf&del j:\autorun.inf
    if exist k:\autorun.inf attrib ----h k:\autorun.inf&del k:\autorun.inf
    if exist l:\autorun.inf attrib ----h l:\autorun.inf&del l:\autorun.inf
    if exist m:\autorun.inf attrib ----h m:\autorun.inf&del m:\autorun.inf
    if exist n:\autorun.inf attrib ----h n:\autorun.inf&del n:\autorun.inf

    if exist c:\ntdelect.com attrib ----h c:\ntdelect.com&del c:\ntdelect.com
    if exist d:\ntdelect.com attrib ----h d:\ntdelect.com&del d:\ntdelect.com
    if exist e:\ntdelect.com attrib ----h e:\ntdelect.com&del e:\ntdelect.com
    if exist f:\ntdelect.com attrib ----h f:\ntdelect.com&del f:\ntdelect.com
    if exist g:\ntdelect.com attrib ----h g:\ntdelect.com&del g:\ntdelect.com
    if exist h:\ntdelect.com attrib ----h h:\ntdelect.com&del h:\ntdelect.com
    if exist i:\ntdelect.com attrib ----h i:\ntdelect.com&del i:\ntdelect.com
    if exist j:\ntdelect.com attrib ----h j:\ntdelect.com&del j:\ntdelect.com
    if exist k:\ntdelect.com attrib ----h k:\ntdelect.com&del k:\ntdelect.com
    if exist l:\ntdelect.com attrib ----h l:\ntdelect.com&del l:\ntdelect.com
    if exist m:\ntdelect.com attrib ----h m:\ntdelect.com&del m:\ntdelect.com
    if exist n:\ntdelect.com attrib ----h n:\ntdelect.com&del n:\ntdelect.com

    if exist c:\300y.cmd attrib ----h c:\300y.cmd&del c:\300y.cmd
    if exist d:\300y.cmd attrib ----h d:\300y.cmd&del d:\300y.cmd
    if exist e:\300y.cmd attrib ----h e:\300y.cmd&del e:\300y.cmd
    if exist f:\300y.cmd attrib ----h f:\300y.cmd&del f:\300y.cmd
    if exist g:\300y.cmd attrib ----h g:\300y.cmd&del g:\300y.cmd
    if exist h:\300y.cmd attrib ----h h:\300y.cmd&del h:\300y.cmd
    if exist i:\300y.cmd attrib ----h i:\300y.cmd&del i:\300y.cmd
    if exist j:\300y.cmd attrib ----h j:\300y.cmd&del j:\300y.cmd
    if exist k:\300y.cmd attrib ----h k:\300y.cmd&del k:\300y.cmd
    if exist l:\300y.cmd attrib ----h l:\300y.cmd&del l:\300y.cmd
    if exist m:\300y.cmd attrib ----h m:\300y.cmd&del m:\300y.cmd
    if exist n:\300y.cmd attrib ----h n:\300y.cmd&del n:\300y.cmd

    pasue

    reg delete HKEY_LOCAL_MACHINE
    \SYSTEM\ControlSet001\Enum\Root\LEGACY_TRLMNCZQ
    reg delete HKEY_LOCAL_MACHINE
    \SOFTWARE\Classes\CLSID\MADOWN
    REG delete HKLM
    \SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v kava /f
    REG delete HKLM
    \SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v anhtaas /f
    REG add HKLM
    \Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL /v CheckedValue /t REG_DWORD /d 1 /f

    echo. 
    echo 
    Are you sure u want to Create Autorun file in this dirve(Y/N)    
    set/"cho=>"    
    if %cho%==goto create    
    if %cho%==goto create    
    if %cho%==goto END    
    if %cho%==goto END  
    :ms  
    cls 
    color 0c 
    echo.  
    echo 
    Invalid choice.  
    echo. 
    echo 
    Please select the correct option (y) for create or (n) for end 
    echo. 
    echo. 
    echo 
    Are you sure u want to Create Autorun file in this dirve(Y/N)    
    set/"cho=>"    
    if %cho%==goto create    
    if %cho%==goto create    
    if %cho%==goto END    
    if %cho%==goto END   
    goto ms 
    :create 
    echo this is your autorun file >> AUTORUN.INF 
    attrib AUTORUN
    .INF +++
    :end 
    end 
    و بهذا نكون أنتهيا من تحليل هذا الفيروس و صنعنا الباتش المضاد له ...........و الباتش بالكامل فى المرفقات
    الملفات المرفقة الملفات المرفقة
    التعديل الأخير تم بواسطة احمد مناع ; 25-06-2010 الساعة 05:17 PM

  2. #2
    تاريخ التسجيل
    Jan 2010
    المشاركات
    773
    الدين
    الإسلام
    الجنس
    ذكر
    آخر نشاط
    15-07-2019
    على الساعة
    04:28 PM

    افتراضي

    الشكر لا يكفي ولا يوفيك حقك
    شكر الله لك ما تبذله من جهد
    بورك فيك ونفع بك

    تحياتي أخي الحبيب


    أستغفِرُ اللهَ ما أسْتَغْفَرهُ الْمُستَغفِرونْ ؛ وأثْنى عليهِ المَادِحُونْ ؛ وعَبَدَهُ الْعَابِدُون ؛ ونَزَهَهُ الْمُوَحِدونْ ؛ ورجاهُ الْسَاجِدون ..
    أسْتَغْفِرَهُ مابقي ؛ وما رضي رِضًا بِرِضاهْ ؛ وما يَلِيقُ بِعُلاه ..
    سُبحانهُ الله ..
    تعالى مِنْ إلهَ ؛ فلا مَعْبودَ سِواه ؛ ولا مالِكَ ومليكٍ إلاه ..أسْتَغفِرَهُ مِن ثِقال الْذُنُوب ؛ وخفي وظاهر العيوب ؛ وما جبلت عليهِ النفسُ من عصيانٍ ولُغوب
    وأستغفرُ الله العظيم لي والمسلمين ..
    وأخِرُ دعوانا أنْ الحمدُ للهِ ربْ العالمين

  3. #3
    تاريخ التسجيل
    Apr 2009
    المشاركات
    278
    الدين
    الإسلام
    آخر نشاط
    12-03-2017
    على الساعة
    09:45 PM

    افتراضي

    اقتباس
    اقتباس المشاركة الأصلية كتبت بواسطة طائر السنونو مشاهدة المشاركة
    الشكر لا يكفي ولا يوفيك حقك
    شكر الله لك ما تبذله من جهد
    بورك فيك ونفع بك

    تحياتي أخي الحبيب


    أخى العزيز د/ مصطفى

    مهْما وَصَفْتُ سَتبْدو فوقَ ما أصِفُ


  4. #4
    تاريخ التسجيل
    Oct 2010
    المشاركات
    388
    الدين
    الإسلام
    آخر نشاط
    27-02-2011
    على الساعة
    10:57 AM

    افتراضي

    جزاكم الله خيرا ونفع بكم الاسلام والمسلمين
    نقره لتكبير أو تصغير الصورة ونقرتين لعرض الصورة في صفحة مستقلة بحجمها الطبيعي

تحليل فيروس Kavo.exe و صنع الباتش المضاد له !!!

معلومات الموضوع

الأعضاء الذين يشاهدون هذا الموضوع

الذين يشاهدون الموضوع الآن: 1 (0 من الأعضاء و 1 زائر)

المواضيع المتشابهه

  1. الصابون المضاد للبكتيريا يؤدي لقصر حياة الصغار
    بواسطة إيهاب محمد في المنتدى المنتدى الطبي
    مشاركات: 2
    آخر مشاركة: 05-09-2013, 09:28 AM
  2. طريقة خياطة الباتش وورك بالصور.تعلمي الباتش وورك
    بواسطة ســاره في المنتدى منتدى التجارب والأشغال اليدوية
    مشاركات: 1
    آخر مشاركة: 06-05-2010, 06:37 PM
  3. دواء يحتوي فيروس الايدز
    بواسطة ساريا في المنتدى المنتدى العام
    مشاركات: 2
    آخر مشاركة: 06-03-2007, 01:26 AM
  4. حوار صحفى مع فيروس إنفلونزا الطيور
    بواسطة الريحانة في المنتدى المنتدى العام
    مشاركات: 3
    آخر مشاركة: 04-12-2006, 04:48 AM

الكلمات الدلالية لهذا الموضوع

المفضلات

المفضلات

ضوابط المشاركة

  • لا تستطيع إضافة مواضيع جديدة
  • لا تستطيع الرد على المواضيع
  • لا تستطيع إرفاق ملفات
  • لا تستطيع تعديل مشاركاتك
  •  

تحليل فيروس Kavo.exe و صنع الباتش المضاد له !!!

تحليل فيروس Kavo.exe و صنع الباتش المضاد له !!!