عاجل كيف ازيل C:\WINDOWS\System32\DRIVERS\klif.sys

[شريف دعبس]

ارجوا رفع ملفات الازاله و الوقايه
من
هذا الفيرس
C:\WINDOWS\System32\DRIVERS\klif.sys
ودمتم بخير و سعاده

[سمير صيام]

على حسب علمى يا شريف انه ده مش فيروس ده ملف سيستم من ملفت الكاسبر سكاى

[شريف دعبس]

على حسب علمى يا شريف انه ده مش فيروس ده ملف سيستم من ملفت الكاسبر سكاى

مع الاسف يا سمير
ده فيرس جديد
منتشر عن طريق usb
الفيروس الجديد kk3.bat ... كيفية إزالته و كل شيئ عنه - ملتقى التربية بالزلفي

[شريف دعبس]

السلام عليكم





أولا و قبل كل شيئ أحببت أن أطرح هذا الموضوع عن الفايرس الخطير و المسمى kk3.BAT لأنه قد أصابني و قد أزلته بكل بساطة ...لذا قمت بجمع هذه الكمية المعتبرة من المعلومات حوله و ذلك للتوعة من مدى خطورته و عن كيفية إزالته و ماهي مخلفاته على الجهاز فأتمنا منكم الإستفادة من المعلومات .





في البداية و لكي تتضح الأمور شاهد الصورة التالية و و دقق في الكتابة جيدا :


هذه الصورة تأتي عند حدوث خلل في استقرار kk3.bat فعند إذن يظهر تقرير الخطأ هذا و هو يقول :
أننا لا نقوم عمدا بتجميع المعلومات حول ملفاتك , إسمك و عنوانك و عنوان بريدك الإلكتروني أو أي شيئ أخر من المعلومات الشخصية القابلة للتعريف........و كامل بيانات الملفات المفتوحة , و على الرغم من إحتمال إستخدام المعلومات لتحديد هويتك...غير أنها لن تستخدم...

و الله أعلم بما خفي . فما خفي كان أعضم

فمن هنا بدأنا نعرف سر الفايرس و كيف يستخدم و مدى خطورته
فكل من شاهد هذا التقرير من قبل معناه أن جهازه مصاب – ممكن لا يأتي هذا التقرير –





الأن سأعطيكم لمحة تاريخية عن الفايرس

إسم الملف الأصلي و الحقيقي kk3.bat شوهد للمرة الأولى في 30 أوت 2008 في المناطق التالية :

• المملكة المتحذة : 30 أوت 2008
• أوكرانيا : 31 أوت 2008
• جنوب إفريقيا : 1 سبتمبر 2008
• إسبانيا : 22 سبتمبر 2008


الأسماء المستعارة للفايرس – فهو كالسيدا حفظنا الله و إياكم منه –
فـــــ KK3.BAT يمكن أيضا استخدام أسماء الملفات التالية :

• DDR.EXE
• HELP.EXE
• DPTTWK~1.BAT
• 52508474.EXE
• CKVO.EXE
• 90747579.EXE
• RS.CMD
• 90787776.EXE
وكلها أسماء ملفات معروفة لدى الجميع




حجم الفايروس

يمكن أن يكون بالأحجام التالية :

• 91,848 bytes
• 90,688 bytes
• 91,136 bytes
• 90,556 bytes




المنتج و الصانع و النسخة :
مجهولة لحد الأن.

نوع الملف :
يأتي في بعض الأحيان على شكل ملف قابل لتنفيذ
و ينتقل بواسطة الشبكة و عن طريق الذاكرة





ملف النشاط

واحد أو أكثر من الملفات KK3.BAT يخلق أو يحذف ، أو ينسخ أويحرف التحركات التالية :

• c:\windows\system32\drivers\klif.sys
• c:\windows\system32\ckvo.exe
• c:\windows\system32\ckvo0.dll
• c:\kk3.bat
• c:\windows\system32\ckvo.exe to c:\kk3.bat
• c:\autorun.in
• c:\docume~1\user\locals~1\temp\help1.rar
• c:\autoexec.bat
• c:\docume~1\user\locals~1\temp\help.exe




نشاطه في سجل النظام

فـــــ KK3.BAT يخلق أو يعدل مفاتيح التسجيل والقيم التالية :


• HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run kamsoft C:\WINDOWS\system32\ckvo.exe

• HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\Advanced Hidden value

• HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\Advanced ShowSuperHidden value

• HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\Explorer NoDriveTypeAutoRun [REG_DWORD, value: 00000091]





مواقع النشاط

KK3.BAT يتفاعل مع المواقع على شبكة الإنترنت و يستغل الثغرات التالية :

• TCP:127.0.0.1:1107 Port:19
• Port 80 IP:60.169.1.92
• TCP:127.0.0.1:1110 Port:18




كيفية تفاديه و كيفية التخلص منه إن وجد

على فكرة ممكن لبعض برامج مكافحة الأوتوران -- autorun -- إكتشافه بس البعض و ليس الكل

[M. Abo samra]

فين الصوره ؟ اعرف ازاي اذا كان الفيرس ده عندي ؟