وداعاً ... وداعاً لفيروس AUTORUN.inf

[shadow]

بسم الله الرحمن الرحيم
السلام عليكم ورحمة الله
اهدى هذا الموضوع لادارة منتدانا وكل الاعضاء والزوار
وخاصة الاخوان نبيل و driss

اخوانى الاعزاء
لقد لاحظت ان كثيراً من الاخوان الاعزاء يعانون من الفيروس المسمى Autorun.inf
واود الاشارة الى انة ليس كل Autorun.inf فيروس فهذا الملف هو عبارة عن ملف اولى يستخدم بواسطة النظام ويرجع الية النظام لبداء العمل ... مثال: ايى ايقونة تظهر , ايى برنامج يعمل تلقائياً , ..... , .... , الى اخرة
وباختصار فانة ملف يوجة النظام للانطلاق

وقد استغل بعض الاخوان الخبراء هذه الخاصية وتلاعبو بها لاذية الغير
وكما يقول المثل: لكل داء دواء

نعلم ان الذين استغلوا هذه الخاصية قد استنفذوا وقتاً لانجاز ما ارادوا
لذلك اذا حبيت عزيزى ان تعالج الامر فانك ستستنفذ - تاخذ- وقتا لعلاجها
وفى رايى انة ليس بالوقت الكثير ... فيمكنك ان تسمع راى احد زملائك ينصحك بعمل فورمات
لانة ليس هناك حل والزمن الذى ستضيعة فى هذه العملية ليس بالبسيط ... وقد يوجهك اخر بتحميل انتى فيروس معين لعمل اسكان بة .... فكم هو زمن التحميل ,
كما واود ان انبة الى انة هناك فيروس من النوع الذكى ... محترم ... فانة يعرف كيف يحمى نفسة منك اذا دخل بجهازك : فهو اولاً يقوم بتعطيل انتى فيروسك ,, ثم يقوم باظهار سطح مكتب جديد كلما حاولت تنصيب انتى فيروس اخر وبالتالى لن تستطيع تنصيب الانتى فايروس الجديد ... واذا ما حاولت عمل اسكان للجهاز من النت مباشرة فانة يغلق الصفحة المعنية ...
فماذا ستفعل فى هذه الحالة ...... هل ستفرمت ام انك ستلجاء للتعامل معة بحنكة؟؟
انا شخصياً لا احب اللجوء للفورمات لانة مضيعة للوقت : تنصيب ويندوز , تنصيب تعريفات , تنصيب برامج , وعادة ما احب محاربة الفيروس من داخل نظام التشغيل نفسة .... فان الفيروس من صنع البشر فهل الذى ابتكرة اذكى منا ؟؟ محتمل ولكن بالمجهود يمكننا ان نتغلب علية

اعتذر عن المقدمة الطويلة
هنا ساشرح لكم احبائى كيفية ازالة الAutorun.inf من جذورة

1/
اذهب للوحة التحكم ..... النظام
control panel ...... system
قم بتعطيل وظيفة استعادة النظام
restore system
وذلك بوضع علامة صح جوار turn off system store on all devices
وهذه الخاصية تعطل لجميع الدرايفات

2/
قم بحذف جميع الملفات الظرفية الموجودة بمتصفح الانترنت
internet temporary file
وذلك من ادوات المتصفح واختيار حذف الملفات الظرفية حتى فى حال انك off line

3/
قم بعملية نظافة للدرايفات وذلك من
ابدا .. برامج ... برامج اضافية ... ادوات نظام .. نظافة درايف
Start -All Program -Accessories -System Tool -Disk cleanup
وهذه العملية تكون لجميع الدرايفات الموجوده c..d..e..f..g..h

4/
بالمناسبة ان فيروس Autorun.inf لة 2 ملفات رئيسية مسببة لة وهى
kavo.exe + autorun.inf
ويجب التخلص منهم جميعاً واود التنوية الى ان الملفات الثلاثة تحب العمل فى الخفاء
لذلك فانهم مخفيين hidden كما انهم يعطلوا خاصية اظهار الملفات المخفية ...
وسوالى هو: اليسو اذكياء فانهم يختبئو ويعطلو لك خاصية اظهارهم ؟؟
وسابداء الان عملية الازالة

اكتب الامر cmd على run واضغط enter
او اضغط windows+R لاظهار run واكتب cmd ثم enter

== للتنقل بين الدرايفات فاننا نكتب اسم الدرايف وبعدة (
مثلاً لل c نكتب :C ولل دى D: ........... ==
يمكنك استخدام الامر attrib ثم enter لرؤية ما بداخل الدرايف..... مثال:
C:attrib
enter
فانك سترى كل الملفات بالدرايف c بما فيها الفيروس
كما بالصورة


وتلاحظ وجود الفيروس ومسببة

قم بكتابة الاوامر التالية
attrib -s -h -r c:\autorun.inf
enter

== وذلك حتى نزيل خاصية الاختفاء والارشيف والانتماء للنظام==

ثم نقوم بحذفهم بالاوامر التالية
del c:\autorun.inf
enter


وبذلك نكون قد نظفنا الدرايف c
ونكرر نفس العملية لباقى الدرايفات مع تغيير الحرف c الى d او e او f
( حسب الدرايفات بجهازك )

5/
يبقى لنا المصدر الرئيسى المسبب للفيروس ( حبيبنا kavo.exe )
ولازالة جدارة النارى نكتب
attrib -s -h -r c:\windows\system32\kavo.exe
enter
ولحذفةنكتب
del c:\windows\system32\kavo.exe
enter

6/
وبما ان kavo.exe مصدر فانة موجود بالرجسترى ايضاً كايى برنامج
ولحذفة اتبع المسار الاتى
ٌRUN
REGEDIT
HKEY_LOCAL_MACHINE
SOFTWARE
Microsoft
Windows
CurrentVersion
Run

وحذفة (kavo.exe)

وايضاً من المسار

HKEY_CURRENT_USER
SOFTWARE
Microsoft
Windows
CurrentVersion
Run









باى باى يا سيد Autorun.inf


ولتفعيل اظهار و اخفاء الملفات والتى كانت متعطلة
(كلما عملت اظهار للملفات المخفية لا تظهر )
قم بنسخ الاوامر المكتوبة بالاحمر والصقها فى Note Pad واحفطها باى اسم بس حول الامتداد الى reg
مثال: احفظها باسم gem.reg
ثم اعمل عليها دبل كليك ووافق
وستجد انة تم تفعيل خاصية اظهار الملفات المخفية قد تمت ويمكنك اظهار كل ما هو مخفى

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]

"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"Text"="@****l32.dll,-30500"
"Type"="radio"
"CheckedValue"=dword:00000001
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="****l.hlp#51105"





++++++++++++++

وختاماً
ارجو ان يوفقنا الله واياكم

[nabil_mohammed]

الف شكر استاذ ياسر على الموضوع
والشرح الاكثر من راااائع