تحليل فيروس Kavo.exe و صنع الباتش المضاد له !!!
صفحة 1 من اصل 1 • شاطر
تحليل فيروس Kavo.exe و صنع الباتش المضاد له !!!
بسم الله الرحمن الرحيم
أخوانى أعضاء المنتدى الكريم ..... و السادة الزائرين الكرام ,
السلام عليكم و رحمة الله و بركاته
_ أن المقصود هنا بتحليل الفيروسات ليس كما هو متعارف عليه فى علم الهندسة العكسية أى تفكيك الفيروس ببرامج خاصة لمعرفة ما يحتويه من أكواد ولكن المقصود هو معرفة ما هو هذا الفيروس ؟ كيف يعمل ؟ ما هى ملفاته ؟ أين ينشىء هذه الملفات ؟ .......الخ .
_و أيضا قبل البدء فى تحليل هذا الفيروس و تصنيع باتش مضاد له أرجوا أن تكون قد أطلعت على الموضوع التالى :
أنشىء بنفسك مكافح فيروسات Autorun وأحذفه للابد بلا رجعة !!!
ففى الموضوع المشار اليه أعلاه تعرفنا على طبيعة فيروسات Autorun ولماذا تم تسميتها بهذا الاسم ؟ و كيف تعمل ؟ وأين تنشر ملفاتها ؟.
_ كما تعلمنا سويا انشاء برنامج صغير أو أداه لحذف أهم ملف من ملفات هذه الفيروسات الا و هو ملف التشغيل التلقائى Autorun.inf ثم نقوم بعد ذلك بحذف باقى ملفات الفيروس يدويا ولكن هناك بعض الفيروسات تقوم بكتابة ملف التشغيل التلقائى مرة أخرى عندما يتم حذف الاول .وتعلمنا أيضا كيفية اضافة أمر لبرنامجنا فى كليك يمين للماوس .
أما فى هذه المشاركة و المشاركات القادمة أن شاء الله سنقوم سويا بتحليل بعض الفيروسات حتى نستطيع تصنيع المضاد له و اضافته فى برنامجنا السابق و هذه هى الفكرة التى يقوم عليها أى مكافح فيروسات .
فجميع برامج مكافحة الفيروسات تحتاج الى عملية تحديث قاعدة البيانات الخاصة بها من 3 الى 5 أيام على الاكثر حتى تستطيع مكافحة الفيروسات الجديدة .و الفكرة ان مبرمجين هذه البرامج يقوموا بتحليل الفيروسات ثم بعد ذلك يتم وضع ملفات التحديث اللازمة لبرامجهم .
_ ومن هذا المنطلق سنقوم نحن أيضا بتحليل بعض هذه الفيروسات لتحديث برنامجنا فبدلا من أن يقوم برنامجنا بالقضاء على ملف واحد من ملفات الفيروس سيقوم هو بحذف جميع ملفات الفيروس .
ليس هذا فقط بل أيضا سيقوم برنامجنا بحذف المفاتيح و القيم التى أنشئها هذا الفيروس فى ملف الريجستير .
وأيضا سيقوم برنامجنا باصلاح ما أفسده هذا الفيروس دون تدخل منا .
أولا : تحليل فيروس kavo.exe
_ تعرف على الفيروس :
الاصدار الاول من هذا الفيروس ظهر فى تقرير تحليل الفيروسات لموقع ThreatExpert فى 2 ديسمبر 2009 و يمكنك الاطلاع على التقرير الاصلى من هنا .
أما الاصدار الثانى لهذا الفيروس ظهر فى 22 مارس 2010 كما يمكنك الاطلاع على التقرير الاصلى من هنا
يقوم هذا الفيروس بإنشاء ملف تشغيل آلي Autorun.inf، ثم يقوم بتحميل بعض الملفات kavo0.dll ، otrewe0.dll في مساحة العنوان من مستكشف النوافذ .ويقوم بتنزيل ملفات خبيثة كلما أتصلت بالانترنت .
_ الاسماء المختلفة للفيروس :
يعرف هذا الفيروس أيضا بأسماء عديدة على حسب شركات مكافة الفيروسات وهم على النحو التالى :
HeurEngine.Packed-NsAnti ]PCTools]
Trojan.Packed.NsAnti ]Symantec]
Trojan-GameThief.Win32.Magania.apca ]Kaspersky Lab]
Generic PWS.ak ]McAfee]
Mal/Frethog-B, Mal/EncPk-EF ]Sophos]
Worm:Win32/Taterf.B ]Microsoft]
Win-Trojan/Magania.122961.B ]AhnLab]
_ حركة الفيروس و ملفاته :
_ هذا الفيروس يضع الملفين التاليين في جميع أجزاء الهارد الخاص بك(C,D,E....) وفي كل قرص قابل للإزالة.
autorun.inf
ntdelect.com
C:\300y.cmd
ntdelect.com
C:\300y.cmd
_كما يضع الملفات التالية فى مجلد System32 :
C:\Windows\System32\kavo.exe
C:\Windows\System32\cvsdfw.exe
C:\Windows\System32\kavo0.dll
C:\Windows\System32\kavo1.dll
C:\Windows\System32\otrewe0.dll
C:\Windows\System32\otrewe1.dll
C:\Windows\System32\kavo1.exe
C:\Windows\System32\kavo0.exe
C:\Windows\System32\wincab.sys
_ ويضع فى مجلد Windows الملف التالى :
C:\Windows\tt.exe
_ ويضع الملفات التالية فى مجلد Temp :
•<Temp>\b88d9jce.sys
•<Temp>\zjtxwj.dl
%Temp%\pfwwk.dll
%Temp%\ker1.tmp
%Temp%\ker2.tmp
%Temp%\ker3.tmp
%Temp%\ker4.tmp
•<Temp>\zjtxwj.dl
%Temp%\pfwwk.dll
%Temp%\ker1.tmp
%Temp%\ker2.tmp
%Temp%\ker3.tmp
%Temp%\ker4.tmp
_ أما فى مسجل النظام Registre يقوم الفيروس بعمل الاتى :
1-ينشىء مفاتيح التسجيل التالية :
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_TRL MNCZQ
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_TRL MNCZQ\0000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_TRL MNCZQ\0000\Control
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY _TRLMNCZQ
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY _TRLMNCZQ\0000
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY _TRLMNCZQ\0000\Control
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\MADOWN
2 - ينشىء قيم التسجيل الاتية :
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_TRL MNCZQ\0000\Control]
*NewlyCreated* = 0x00000000
ActiveService = "trlmnczq"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_TRL MNCZQ\0000]
Service = "trlmnczq"
Legacy = 0x00000001
ConfigFlags = 0x00000000
Class = "LegacyDriver"
ClassGUID = "{8ECC055D-047F-11D1-A537-0000F8753ED1}"
DeviceDesc = "trlmnczq"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_TRL MNCZQ]
NextInstance = 0x00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY _TRLMNCZQ\0000\Control]
*NewlyCreated* = 0x00000000
ActiveService = "trlmnczq"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY _TRLMNCZQ\0000]
Service = "trlmnczq"
Legacy = 0x00000001
ConfigFlags = 0x00000000
Class = "LegacyDriver"
ClassGUID = "{8ECC055D-047F-11D1-A537-0000F8753ED1}"
DeviceDesc = "trlmnczq"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY _TRLMNCZQ]
NextInstance = 0x00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\MADOWN]
urlinfo = "a5dvgt.n"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ Run]
kava = "%System%\kavo.exe"
anhtaas = "%System%\cvsdfw.exe"
وخلى بالك من القيمة الاخيرة (السطر الاخير ) لذلك تجد أن هذا الفيروس يعمل دائما عند بداية تشغيل الويندوز .
3 - يقوم هذا الفيروس بتغير قيمة المفتاح التالى :
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion \Explorer\Advanced\Folder\Hidden\SHOWALL]
CheckedValue =
ولذلك تجد خيارات المجلد (Option Folder ) غير موجودة .
ثانيا : صنع الباتش المضاد لهذا الفيروس
بعد ما عرفنا ملفات الفيروس و قيم و مفاتيح هذا الفيروس فى مسجل النظام Registre نستطيع أن نصع برنامج أو باتش مضاد له .
_ مخطط برنامجنا (الباتش المضاد للفيروس) :
1_ ايقاف حركة الفيروس لانه لا يمكن نزع أى شىء فى جهاز الكمبيوتر وهو فى حالة تشغيل ( مثلا :جرب حذف ملف mp3 وهو فى حاله تشغيل ...لن يحذف أبدا)
2- حذف ملفات الفيروس من مجلد Windows
3- حذف ملفات الفيروس من مجلد System32
4 -حذف ملفات الفيروس من مجلد Temp
5- حذف ملفات الفيروس من على جميع أجزاء القرص الصلب .
6 - حذف المفاتيح و القيم التى أنشئها الفيروس فى Registre
7 - أصلاح ما أفسدة الفيروس فى قيم Registre الاصلية
8- أظهار رسالة للمستخدم للخيار بين أنشاء ملف Autorun.inf للتحصين أم أنهاء البرنامج ( وضحت سابقا الفكرة من أنشاء هذا الملف على القرص الصلب ).
9 -انهاء البرنامج
أنتظرونى فى المشاركة القادمة أن شاء الله تعالى لكتابة أكواد الباتش المضاد لهذا الفيرس
بنت البلد- .....
- تاريخ التسجيل : 18/02/2011
المساهمات : 85
النقاط : 160
التقيم : 11
الجنس :
رد: تحليل فيروس Kavo.exe و صنع الباتش المضاد له !!!
أنتظرونى فى المشاركة القادمة أن شاء الله تعالى لكتابة أكواد الباتش المضاد لهذا الفيرس
منتظرين الابداع

ـــــــــــــــــــ التوقيع ــــــــــــــــــــ

NEXT- الادارة
- تاريخ التسجيل : 18/02/2011
المساهمات : 446
النقاط : 200660
التقيم : 28
الدولة :
الجنس :
رد: تحليل فيروس Kavo.exe و صنع الباتش المضاد له !!!
مشكووووووووووووووووووووووور
القناع المصري- .
- تاريخ التسجيل : 31/01/2012
المساهمات : 4
النقاط : 8
التقيم : 0
الجنس :
هذه التتمة منقول من مشاركة للاستاذ احمد مناع
- قم بفتح المفكرة Notepad
1 - ايقاف حركة الفيروس (سنقوم بايقاف تشغيل الملفات التنفيذية للفيروس )عن طريق هذا الامر
كود PHP:
- الكود:
taskkill /f /im kavo.exe
taskkill /f /im cvsdfw.exe
taskkill /f /im kavo1.exe
taskkill /f /im kavo0.exe
2 - حذف ملفات الفيروس من من مجلد النظام و مجلد System32 و مجلد Temp
كود PHP:
- الكود:
del %SystemRoot%tt.exe /f /a /q
del %systemroot%system32kavo.exe /f /a /q
del %systemroot%system32cvsdfw.exe /f /a /q
del %systemroot%system32kavo0.exe /f /a /q
del %systemroot%system32kavo1.exe /f /a /q
del %systemroot%system32kavo0.dll /f /a /q
del %systemroot%system32kavo1.dll /f /a /q
del %systemroot%system32otrewe0.dll /f /a /q
del %systemroot%system32otrewe1.dll /f /a /q
del %systemroot%system32wincab.sys /f /a /q
DEL %TEMP% /f /s /a /q
أمر الحذف هو del أما الامر %systemroot% هو مجلد النظام أى كان مكانه فى الهارد على C او D او F .....الخ .
أما F/ يقصد به حذف الملفات حتى أن كانت للقراءة فقط .
أما A/ يقصد به حذف الملفات على اساس الصفات .
أما Q/ يقصد به الحذف دون ظهور رسالة للمستخدم (هل تريد حذف هذا الملف أم لا).
أما S/ حذف من جميع المجلدات الفرعية.
وتلاحظ أيضا الامر فى السطر الاخر (DEL %TEMP% /f /s /a /q) حذفنا جميع ملفات المجلد TEMP
3 _ حذف ملفات الفيروس وملف Autorun.inf الموجود داخل كل بارتشن فى الجهاز عن طريق هذا الكود .
كود PHP:
- الكود:
if exist c:autorun.inf attrib -a -s -r -h c:autorun.inf&del c:autorun.inf
if exist d:autorun.inf attrib -a -s -r -h d:autorun.inf&del d:autorun.inf
if exist e:autorun.inf attrib -a -s -r -h e:autorun.inf&del e:autorun.inf
if exist f:autorun.inf attrib -a -s -r -h f:autorun.inf&del f:autorun.inf
if exist g:autorun.inf attrib -a -s -r -h g:autorun.inf&del g:autorun.inf
if exist h:autorun.inf attrib -a -s -r -h h:autorun.inf&del h:autorun.inf
if exist i:autorun.inf attrib -a -s -r -h i:autorun.inf&del i:autorun.inf
if exist j:autorun.inf attrib -a -s -r -h j:autorun.inf&del j:autorun.inf
if exist k:autorun.inf attrib -a -s -r -h k:autorun.inf&del k:autorun.inf
if exist l:autorun.inf attrib -a -s -r -h l:autorun.inf&del l:autorun.inf
if exist m:autorun.inf attrib -a -s -r -h m:autorun.inf&del m:autorun.inf
if exist n:autorun.inf attrib -a -s -r -h n:autorun.inf&del n:autorun.inf
if exist c:ntdelect.com attrib -a -s -r -h c:ntdelect.com&del c:ntdelect.com
if exist d:ntdelect.com attrib -a -s -r -h d:ntdelect.com&del d:ntdelect.com
if exist e:ntdelect.com attrib -a -s -r -h e:ntdelect.com&del e:ntdelect.com
if exist f:ntdelect.com attrib -a -s -r -h f:ntdelect.com&del f:ntdelect.com
if exist g:ntdelect.com attrib -a -s -r -h g:ntdelect.com&del g:ntdelect.com
if exist h:ntdelect.com attrib -a -s -r -h h:ntdelect.com&del h:ntdelect.com
if exist i:ntdelect.com attrib -a -s -r -h i:ntdelect.com&del i:ntdelect.com
if exist j:ntdelect.com attrib -a -s -r -h j:ntdelect.com&del j:ntdelect.com
if exist k:ntdelect.com attrib -a -s -r -h k:ntdelect.com&del k:ntdelect.com
if exist l:ntdelect.com attrib -a -s -r -h l:ntdelect.com&del l:ntdelect.com
if exist m:ntdelect.com attrib -a -s -r -h m:ntdelect.com&del m:ntdelect.com
if exist n:ntdelect.com attrib -a -s -r -h n:ntdelect.com&del n:ntdelect.com
if exist c:300y.cmd attrib -a -s -r -h c:300y.cmd&del c:300y.cmd
if exist d:300y.cmd attrib -a -s -r -h d:300y.cmd&del d:300y.cmd
if exist e:300y.cmd attrib -a -s -r -h e:300y.cmd&del e:300y.cmd
if exist f:300y.cmd attrib -a -s -r -h f:300y.cmd&del f:300y.cmd
if exist g:300y.cmd attrib -a -s -r -h g:300y.cmd&del g:300y.cmd
if exist h:300y.cmd attrib -a -s -r -h h:300y.cmd&del h:300y.cmd
if exist i:300y.cmd attrib -a -s -r -h i:300y.cmd&del i:300y.cmd
if exist j:300y.cmd attrib -a -s -r -h j:300y.cmd&del j:300y.cmd
if exist k:300y.cmd attrib -a -s -r -h k:300y.cmd&del k:300y.cmd
if exist l:300y.cmd attrib -a -s -r -h l:300y.cmd&del l:300y.cmd
if exist m:300y.cmd attrib -a -s -r -h m:300y.cmd&del m:300y.cmd
if exist n:300y.cmd attrib -a -s -r -h n:300y.cmd&del n:300y.cmd
يلاحظ أيضا على الكود السابق :
_ الامر if exist جملة if ويقصد بها أذا كان الملف موجود نفذ الامر فقط
_ الامر attrib -a -s -r -h تم شرح هذا الامر فى المشاركة السابقة
4 - حذف المفاتيح التى أنشاها الفيروس فى ملف Registre عن طريق الكود التالى :
كود PHP:
- الكود:
reg delete HKEY_LOCAL_MACHINESYSTEMControlSet001EnumRootLEGACY_TRLMNCZQ
reg delete HKEY_LOCAL_MACHINESOFTWAREClassesCLSIDMADOWN
_ الامر reg delete هو المسؤل عن حذف مفتاح فى مسجل النظام ثم بعد ذلك نتبعه بمسار المفتاح بالكامل
_ و يلاحظ أيضا أن اى مفتاح فرعى أو قيمة تحت هذا المفتاح سيحذف أيضا .
5 - حذف القيم التى أنشأها الفيروس فى Registre عن طريق هذا الكود :
كود PHP:
- الكود:
REG delete HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun /v kava /f
REG delete HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun /v anhtaas /f
6 - أصلاح ما أفسدة الفيروس فى عن طريق هذا الكود :
كود PHP:
- الكود:
REG add HKLMSoftwareMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL /v CheckedValue /t REG_DWORD /d 1 /f
كود PHP:
- الكود:
echo.
echo Are you sure u want to Create Autorun file in this dirve(Y/N)
set/p "cho=>"
if %cho%==Y goto create
if %cho%==y goto create
if %cho%==n goto END
if %cho%==N goto END
:ms
cls
color 0c
echo.
echo Invalid choice.
echo.
echo Please select the correct option (y) for create or (n) for end
echo.
echo.
echo Are you sure u want to Create Autorun file in this dirve(Y/N)
set/p "cho=>"
if %cho%==Y goto create
if %cho%==y goto create
if %cho%==n goto END
if %cho%==N goto END
goto ms
:create
echo this is your autorun file >> AUTORUN.INF
attrib AUTORUN.INF +r +s +h
:end
end
أذن الكود النهائى للبرنامج أو الباتش على النحو التالى
كود PHP:
- الكود:
echo.
echo Are you sure u want to Create Autorun file in this dirve(Y/N)
set/p "cho=>"
if %cho%==Y goto create
if %cho%==y goto create
if %cho%==n goto END
if %cho%==N goto END
:ms
cls
color 0c
echo.
echo Invalid choice.
echo.
echo Please select the correct option (y) for create or (n) for end
echo.
echo.
echo Are you sure u want to Create Autorun file in this dirve(Y/N)
set/p "cho=>"
if %cho%==Y goto create
if %cho%==y goto create
if %cho%==n goto END
if %cho%==N goto END
goto ms
:create
echo this is your autorun file >> AUTORUN.INF
attrib AUTORUN.INF +r +s +h
:end
end @echo off
title benmaryam Autorun killer v1
color 0a
echo.
echo ...................................................
echo Welcome To benmaryam Autorun killer v1
echo This Program Had Written To Remove (Autorun) Virus
echo You Cannot remove this virus by installing
echo New system copy.
echo Just Use This Program To Remove It
echo.
echo . Craete by ahmed manna
echo.
echo . [email]Zakyshny@yahoo.com[/email]
echo ...................................................
echo Now Start To Fix Your System
pause
taskkill /f /im kavo.exe
taskkill /f /im cvsdfw.exe
taskkill /f /im kavo1.exe
taskkill /f /im kavo0.exe
del %SystemRoot%tt.exe /f /a /q
del %systemroot%system32kavo.exe /f /a /q
del %systemroot%system32cvsdfw.exe /f /a /q
del %systemroot%system32kavo0.exe /f /a /q
del %systemroot%system32kavo1.exe /f /a /q
del %systemroot%system32kavo0.dll /f /a /q
del %systemroot%system32kavo1.dll /f /a /q
del %systemroot%system32otrewe0.dll /f /a /q
del %systemroot%system32otrewe1.dll /f /a /q
del %systemroot%system32wincab.sys /f /a /q
DEL %TEMP% /f /s /a /q
pause
if exist c:autorun.inf attrib -a -s -r -h c:autorun.inf&del c:autorun.inf
if exist d:autorun.inf attrib -a -s -r -h d:autorun.inf&del d:autorun.inf
if exist e:autorun.inf attrib -a -s -r -h e:autorun.inf&del e:autorun.inf
if exist f:autorun.inf attrib -a -s -r -h f:autorun.inf&del f:autorun.inf
if exist g:autorun.inf attrib -a -s -r -h g:autorun.inf&del g:autorun.inf
if exist h:autorun.inf attrib -a -s -r -h h:autorun.inf&del h:autorun.inf
if exist i:autorun.inf attrib -a -s -r -h i:autorun.inf&del i:autorun.inf
if exist j:autorun.inf attrib -a -s -r -h j:autorun.inf&del j:autorun.inf
if exist k:autorun.inf attrib -a -s -r -h k:autorun.inf&del k:autorun.inf
if exist l:autorun.inf attrib -a -s -r -h l:autorun.inf&del l:autorun.inf
if exist m:autorun.inf attrib -a -s -r -h m:autorun.inf&del m:autorun.inf
if exist n:autorun.inf attrib -a -s -r -h n:autorun.inf&del n:autorun.inf
if exist c:ntdelect.com attrib -a -s -r -h c:ntdelect.com&del c:ntdelect.com
if exist d:ntdelect.com attrib -a -s -r -h d:ntdelect.com&del d:ntdelect.com
if exist e:ntdelect.com attrib -a -s -r -h e:ntdelect.com&del e:ntdelect.com
if exist f:ntdelect.com attrib -a -s -r -h f:ntdelect.com&del f:ntdelect.com
if exist g:ntdelect.com attrib -a -s -r -h g:ntdelect.com&del g:ntdelect.com
if exist h:ntdelect.com attrib -a -s -r -h h:ntdelect.com&del h:ntdelect.com
if exist i:ntdelect.com attrib -a -s -r -h i:ntdelect.com&del i:ntdelect.com
if exist j:ntdelect.com attrib -a -s -r -h j:ntdelect.com&del j:ntdelect.com
if exist k:ntdelect.com attrib -a -s -r -h k:ntdelect.com&del k:ntdelect.com
if exist l:ntdelect.com attrib -a -s -r -h l:ntdelect.com&del l:ntdelect.com
if exist m:ntdelect.com attrib -a -s -r -h m:ntdelect.com&del m:ntdelect.com
if exist n:ntdelect.com attrib -a -s -r -h n:ntdelect.com&del n:ntdelect.com
if exist c:300y.cmd attrib -a -s -r -h c:300y.cmd&del c:300y.cmd
if exist d:300y.cmd attrib -a -s -r -h d:300y.cmd&del d:300y.cmd
if exist e:300y.cmd attrib -a -s -r -h e:300y.cmd&del e:300y.cmd
if exist f:300y.cmd attrib -a -s -r -h f:300y.cmd&del f:300y.cmd
if exist g:300y.cmd attrib -a -s -r -h g:300y.cmd&del g:300y.cmd
if exist h:300y.cmd attrib -a -s -r -h h:300y.cmd&del h:300y.cmd
if exist i:300y.cmd attrib -a -s -r -h i:300y.cmd&del i:300y.cmd
if exist j:300y.cmd attrib -a -s -r -h j:300y.cmd&del j:300y.cmd
if exist k:300y.cmd attrib -a -s -r -h k:300y.cmd&del k:300y.cmd
if exist l:300y.cmd attrib -a -s -r -h l:300y.cmd&del l:300y.cmd
if exist m:300y.cmd attrib -a -s -r -h m:300y.cmd&del m:300y.cmd
if exist n:300y.cmd attrib -a -s -r -h n:300y.cmd&del n:300y.cmd
pasue
reg delete HKEY_LOCAL_MACHINESYSTEMControlSet001EnumRootLEGACY_TRLMNCZQ
reg delete HKEY_LOCAL_MACHINESOFTWAREClassesCLSIDMADOWN
REG delete HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun /v kava /f
REG delete HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun /v anhtaas /f
REG add HKLMSoftwareMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL /v CheckedValue /t REG_DWORD /d 1 /f
echo.
echo Are you sure u want to Create Autorun file in this dirve(Y/N)
set/p "cho=>"
if %cho%==Y goto create
if %cho%==y goto create
if %cho%==n goto END
if %cho%==N goto END
:ms
cls
color 0c
echo.
echo Invalid choice.
echo.
echo Please select the correct option (y) for create or (n) for end
echo.
echo.
echo Are you sure u want to Create Autorun file in this dirve(Y/N)
set/p "cho=>"
if %cho%==Y goto create
if %cho%==y goto create
if %cho%==n goto END
if %cho%==N goto END
goto ms
:create
echo this is your autorun file >> AUTORUN.INF
attrib AUTORUN.INF +r +s +h
:end
end
ه
أيمن الإبراهيم- ........
- تاريخ التسجيل : 19/03/2013
المساهمات : 251
النقاط : 398
التقيم : 1
الدولة :
الجنس :
رد: تحليل فيروس Kavo.exe و صنع الباتش المضاد له !!!
اشكرك على اهتمامك أخى ايمن
ـــــــــــــــــــ التوقيع ــــــــــــــــــــ
سبحان الله وبحمدة .....سبحان الله العظيم
رد: تحليل فيروس Kavo.exe و صنع الباتش المضاد له !!!
استاذ احمد اعتزر عن كثرة الاسئلة
لا يوجد طريقة لتشغيل برنامج مكافح مصمم ب ملفات الدفععية باستخدام المفكرة
ب جافا اي تصميم تطبيق يحتوي على زر فحص الاقراص ويحتوي الزر على كود يقوم بتشغيل الملف المفكرة
ارجو فهم قصدي
واريد كود اضيفه الى اكواد السابقة تقوم تلقائيا عند تشغيل الملف لاول مرة باضافة برنامج على قائمة خيارات الاقراص وشكرا
لا يوجد طريقة لتشغيل برنامج مكافح مصمم ب ملفات الدفععية باستخدام المفكرة
ب جافا اي تصميم تطبيق يحتوي على زر فحص الاقراص ويحتوي الزر على كود يقوم بتشغيل الملف المفكرة
ارجو فهم قصدي
واريد كود اضيفه الى اكواد السابقة تقوم تلقائيا عند تشغيل الملف لاول مرة باضافة برنامج على قائمة خيارات الاقراص وشكرا
أيمن الإبراهيم- ........
- تاريخ التسجيل : 19/03/2013
المساهمات : 251
النقاط : 398
التقيم : 1
الدولة :
الجنس :
رد: تحليل فيروس Kavo.exe و صنع الباتش المضاد له !!!
انا نسيت أكمل المقال ....




بنت البلد- .....
- تاريخ التسجيل : 18/02/2011
المساهمات : 85
النقاط : 160
التقيم : 11
الجنس :
رد: تحليل فيروس Kavo.exe و صنع الباتش المضاد له !!!
فداكي انتي الاساسبنت البلد كتب:انا نسيت أكمل المقال ....![]()
![]()
أيمن الإبراهيم- ........
- تاريخ التسجيل : 19/03/2013
المساهمات : 251
النقاط : 398
التقيم : 1
الدولة :
الجنس :
| |
صفحة 1 من اصل 1
صلاحيات هذا المنتدى:
لاتستطيع الرد على المواضيع في هذا المنتدى
» كبسولات نباتية فارغة
» شحن عملات تيك توك مجانا بدون رقم هاتف
» فوط صحية ناعمة لايام الولادة بالقطن العضوية قوية الامتصاص| organyckw
» اعلانات الباصات الكويت | شركة دعاية واعلان | كواليتي ميكرز | 0096597550465
» كيفية تحديد سعر تصميم تطبيقات الجوال– ايكون تك
» تعلم كيفية حفظ و أسترجاع الصورة فى قاعدة بيانات أكسس باستخدام الكائن Stream object
» كيفية تأسيس شركة في دبي
» افضل واحدث كاميرات المراقبة الامنية والمشاهدة عبر الانترنت
» اصنع شبكتك بنفسك