السلام عليكم

ظهر في الآونة الأخيرة فيروس جديد اسمه دودة Sasser ، وإذا أصاب الفيروس الجهاز ، يقوم بإعطاب أحد الخدمات الخاصة بنظام التشغيل ، ويتم طلب إعادة التشغيل ، كما بالبلاستر الذي ظهر قبل فترة !!

الحل في الخطوات التالية :-
1- تحميل ملف ستينجر من موقع مكافي لمكافحة الفيروسات ، وهذا الملف كفيل بإزالة الفيروس من جهازك اضغط هنا لتحميل الملف (http://download.nai.com/products/mcafee-avert/stinger.exe)

2- تحميل باتش التحديث والحماية من موقع مايكروسوفت عبر الروابط التالية :
* للويندوز اكس بي اضغط هنـــــــــــــــــــــــــــــــــــــــا (http://www.microsoft.com/downloads/details.aspx?FamilyId=3549EA9E-DA3F-43B9-A4F1-AF243B6168F3&displaylang=en)

* للويندوز 2000 اضغط هنــــــــــــــــــــــــــــــــــــــا (http://www.microsoft.com/downloads/details.aspx?FamilyId=0692C27E-F63A-414C-B3EB-D2342FBB6C00&displaylang=en)

نتمنى لكم أجهزة سليمة من الفيروسات :rolleyes:

<div align="center"> جــزاك الله خيـــــــراً أخى الكريم
المستـــــشار</div>

<marquee>المستشار شكرا لك على هذه الفزعة :rolleyes: </marquee>

اخى الحبيب المستشار........... السلام عليكم الصراحه انا واجهت هالمشكله انا وزملائي فى العمل وسوينا نفس الخطوات والحين كل شي تمام.............تفع الله بك وشكرا

<span style='color:blue'><div align="center">جزاك الله خير اخونا المستشار

وهذي اضافه مني والموضوع منقول من احد المنتديات مع بعض من التصرف :
================================
أعراض الإصابة:
1- ظهور رسالة خطأ بالملف lsass.exe
2- رسالة إغلاق النظام بعد 60 ثانية..
أنظمة التشغيل المعرضة للإصابة:
• Microsoft Windows NT Workstation 4.0
• Microsoft Windows NT Server® 4.0
• Microsoft Windows NT Server 4.0, Terminal Server Edition
• Microsoft Windows 2000
• Microsoft Windows XP
• Microsoft Windows Server 2003
العلاج:
1- تمكين الجدار الناري للاتصال (الفايروول)..
2- الدخول للموقع التالي:
http://www.microsoft.com/technet/security/...n/MS04-011.mspx
واختيار نظام التشغيل لديك وتحميل التحديثات اللازمة لسد الثغرة..
3- تحميل أداة الإزالة - من موقع www.pandasoftware.com
رابط تحميل البرنامج:
http://www.freewebs.com/myprogs/things/pqremove.comuw

وهذي معلومات كاملة عن الفايروس من موقع :
----------------------------------------------
www.pandasoftware.com
بالنسبه للأكس بي هذا الحل حمل الملف ودبل كلك عليه وخليه يشتغل :
-----------------------------------
1- للي لغة اجهزتهم عربيه
-------------------------
http://www.microsoft.com/downloads/details...F1-AF243B6168F3

2- وبالنسبه للانجليزي
-----------------------------
http://www.microsoft.com/downloads/details...&displaylang=en</div></span>

بارك الله فيكم وجزاكم الله خير
بس الحمد لله انه ما يجي في الملينيوم
لتحميل ملف آخر من شركة SYMANTEC وبإسم Fixsasser.exe

إنقر لتحميل ملف Fixsasser.exe (http://securityresponse.symantec.com/avcenter/FxSasser.exe)
لقراءة المزيد عن الدودة من موقع مايكروسوف

http://www.microsoft.com/security/incident/sasser.asp



الله يخارجنا
شوفوني <img src='http://smileys.smileycentral.com/cat/26/26_7_5.gif' border='0' alt='user posted image' />

طبيعة الفايروس sasser وطريقة الفحص وازالتة

معلومات عامة عن دودة W32/Sasser.worm:

بدء الانشار: 30-4-2004 الجمعة.

مصدر الانتشار : غير معروف..

النوع : فايروس.

الفئة : دودة انترنت.

---------------------------------------------

طبيعة الدودة:

• تعد هذه الدودة من اسرع الانواع انتشارا حيث تستغل ثغرة في الوندوز [MS04-011 vulnerability (CAN-2003-0533)] ويتم زرعها بالملف avserve.exe • تقوم الدودة بنسخ نفسها بالملف avserve.exe على دليل الوندوز.

• تقوم بانشاء مفتاح بملف التسجيل registry .

• تقوم بالبحث العشوائي عن عناوين IP المتعاقبة لعنوان الجهاز المصاب.بداء بمنفد ال TCP Port 1068 وتقوم ايضا بمهمتها عبر منفد الFTP رقم 1068 .

• تقوم بانشاء ترس تحكم على المنفذ TCP port 9996.

• تقوم بانشاء ملف على الدليل الجذري باسم win.log ويحتوي على عنوان IP الخاص بالجهاز المضيف.

• تقوم بانشاء ملفات في دليل الوندوز مثل 11583_up.exe وغيرها.

• الملف المصاب هو LSASS.EXE حيث يتم صدمه ومن ثم يصبح الملف منهار وفي الغالب تظهر الرسالة تقرير الارسال .

• ثم يتم العد التنازلي لاعادة تشغيل الجهاز نظرا لفشل استمرار عمل نظام التشغيل وندوز .

----------------------------

طريقة الانتشار:

على عكس طريقة انتشار كثير من الفايروسات ، فهي لا تنتشر بواسطة البريد الالكتروني ولا يقوم المستخدم باي طلب للاصابة بتلك الدودة . ولكنها استغلت تلك الثغرة لتسهيل مهمة انتشارها من جهاز إلى آخر.ففي الجهاز المضيف تقوم الدودة بالبحث العشوائي عن عناوين الـ IP المتعاقبة . وتقوم بعمل FTP سكربت باسم cmd.ftp وتقوم بتنفيذه .

حيث يأمر الاسكربت جهاز الضحية بجلب الملف وتنفيذه ويتم قبول ذلك من قبل الجهاز المضيف ويسلك الطريق عبر منفذ TCP رقم 5554 . ومن ثم تقوم الدودة بوضع عدة بويضات من فئات مختلفة class A,class B وغيرها

---------------------------------------------------

طريقة الكشف وإزالة الفايروس(الدودة):

قام مشرف التدريب التربوي بتعليم عسير الاستاذ / مفرح البشري، بتصميم برنامج " مزيل الفايروس w32.sasser.worm" يقوم بفحص وازالة الفايروس sasser كالتالي: قم بإعادة تشغيل الجهاز في حالة الوضع الآمن بالضغط على المفتاح F8 عند بدء التشغيل واختر من القائمة الوضع الآمن Safe Mode. قم بتشغيل البرنامج MofarehScan.exe الخاص بفحص وازالة الفايروس اختر الزر فحص ، وسيقوم البرنامج بفحص جهاز الكمبيوتر حيث تستغرق مدة البحث 50 ثانية حسب سرعة الجهاز. في حالة عثور البرنامج على الفايروس سيتم عرض الملف المصاب وتفعيل الزر "ازالة الفايروس" . قم بالضغط على الزر وسيتم ازالة الفايروس باذن الله . ويمكنكم جلب البرنامج من الانترنت على الرابط التالي: www.myhouse.com.sa/mofareh/mofareh.zip

شكرا لكم جميعا

<div align="center">بارك الله فيكم
العجيب في الامر اني حدثت النورتن وكل مرة يخرج لي رسالة انه يوجد هذا الفيروس ولكن لم ينظف الجهاو منه
وكذلك حملت برنامج ( pc-cillin )

ونفس القضية يكتشف الفيروس لكن لم ينظف من الجهاز

الا والله دودة عومة
على كل شكلي ابي احمل هالبرنامج الاخير الذي ذكره اخونا ابو الوليد </div>

<span style='color:red'><div align="center">ايها الاحباب
سويت طريقة الاخ ابو الوليد (((((((
sasser كالتالي: قم بإعادة تشغيل الجهاز في حالة الوضع الآمن بالضغط على المفتاح F8 عند بدء التشغيل واختر من القائمة الوضع الآمن Safe ))))))))

( ولكن تم الفحص بالنتورتن )

ووضعت الوضع الامن
ويبدوا ان الفيروس ذهب لانه لم تعد تخرج لي رسالة النورتن كل مرة
والمشكلة الان اني لم اعد استطيع الدخول للانترنت مطلقا
فالاتصال يشبك ولكن المتصفح لا يفتح والبالتوك لا يدخل

اتمنى الاجابة بوركت يدي من خطت في هذا المنتدى</div></span>

<span style='color:seagreen'><div align="center">لا زال المستفيد لا يستطيع الدخول من جهازه الى الانترنت

فهل يفرمت الجهاز ؟؟

الجهاز بعد حذف الفيروس كانه ثقيل شوي بالاضافة الى عدم قدرتي على الدخول للانترنت والبالتوك مع العلم ان الخط يمسك معاي لكن لا يفتح المتصفح ولا يدخل البالتوك </div></span>