Manual Clean Removal Instruction for Worm.Pabug.ck or Worm.Pabug.co دليل نظيفة لإزالة التعليمات Worm.Pabug.ck أو Worm.Pabug.co
Worm.Pabug.ck is a computer virus also known as Worm.Pabug.co, Dropper/QQPass.48436, Trojan-PSW.Win32.QQPass.jh or DeepScan.Generic.Malware.SP!dldPk!g.01C03DEE. Worm.Pabug.ck هو فيروس كمبيوتر المعروف أيضا باسم Worm.Pabug.co ، Dropper/QQPass.48436 ، طروادة - PSW.Win32.QQPass.jh أو DeepScan.Generic.Malware.SP! dldPk! g.01C03DEE. The virus carries high system risk as the malicious dropper will disable some commonly used anti-virus software and unable to open security applications. ويحمل الفيروس عالية المخاطر حسب نظام الخبيثة بالقطارة سوف تستخدم تعطيل بعض البرمجيات المضادة للفيروسات وغير قادر على فتح التطبيقات الأمنية. Other reported infected symptoms include unable to update virus signatures, unable to access or load antivirus websites or forums. وأفادت المصابين أعراض أخرى تشمل الفيروس غير قادر على تحديث التوقيعات ، وغير قادر على الوصول إلى مواقع مكافحة الفيروسات أو تحميل أو المنتديات. All these effects caused the removal or disinfection process for Worm.Pabug.ck/co virus a little bit harder. جميع هذه الآثار الناجمة عن إزالة أو عملية التعقيم لWorm.Pabug.ck / شارك الفيروس قليلا أكثر صعوبة.
The worm can’t self-propagate. الدودة لا يمكن نشر الذاتي. It is likely that the system could be infected when a user downloads an executable file from email, messenger, board, and download centers and run the file. ومن المرجح أن هذا النظام يمكن أن يكون المصابة عندما يقوم مستخدم بتحميل ملف قابل للتنفيذ من البريد الإلكتروني ، رسول ، المجلس ، ومراكز التحميل وتشغيل ملف. Or, it is possible that it is installed by other malicious codes (worms, viruses and trojan horses). أو ، من الممكن أنه تركيب أخرى خبيثة المدونات (الديدان والفيروسات وحصان طروادة). The worm which is a dropper, when executed, will create the following files: الدودة التي هي بالقطارة ، عندما أعدم ، سيخلق الملفات التالية :
%systemroot%\system32\gfosdg.exe or jusodl.exe ٪ systemroot ٪ \ System32 \ gfosdg.exe أو jusodl.exe
%systemroot%\system32\gfosdg.dll or jusodl.dll ٪ systemroot ٪ \ System32 \ gfosdg.dll أو jusodl.dll
%systemroot%\system32\severe.exe ٪ systemroot ٪ \ System32 \ severe.exe
%systemroot%\system32\drivers\mpnxyl.exe or pnvifj.exe ٪ systemroot ٪ \ System32 \ السائقين \ mpnxyl.exe أو pnvifj.exe
%systemroot%\system32\drivers\conime.exe ٪ systemroot ٪ \ System32 \ السائقين \ conime.exe
%systemroot%\system32\hx1.bat ٪ systemroot ٪ \ System32 \ hx1.bat
%systemroot%\system32\noruns.reg ٪ systemroot ٪ \ System32 \ noruns.reg
X:\OSO.exe س : \ OSO.exe
X:\autorun.inf س : \ autorun.inf
X represents non-system hard drive. يمثل العاشر غير نظام القرص الصلب. %systemroot% folder is usually C:\Windows on most systems (so the path to the infected files are C:\Windows\System for Windows 95/98/ME, C:\WinNT\System32 for Windows NT/2000, or C:\Windows\System32 for Windows XP). المجلد ٪ systemroot ٪ هو عادة جيم : \ على معظم أنظمة ويندوز (حتى الطريق الى المصابين الملفات جيم : \ ويندوز \ لنظام ويندوز 95/98/ME ، جيم : \ WinNT \ System32 لويندوز NT/2000 ، أو جيم : \ ويندوز \ System32 لويندوز إكس بي).
Beside, the dropper also adds the following value to Windows registry key entries by executing noruns.reg and then delete the file once done to run itself automatically whenever Windows starts. بجانب ، بالقطارة كما تضيف قيمة إلى ما يلي سجل ويندوز المداخل الرئيسية المنفذة noruns.reg وبعد ذلك حذف الملف مرة واحدة القيام به لتشغيل نفسه تلقائيا متى يبدأ ويندوز.
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] [HKEY_CURRENT_USER \ برامج \ مايكروسوفت \ ويندوز \ CurrentVersion \ سياسات \ اكسبلورر]
“NoDriveTypeAutoRun”=dword:b5 "NoDriveTypeAutoRun" = dword : B5
Above change the auto run method of the drive. فوق تغيير طريقة تشغيل السيارات للحملة.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] [HKEY_LOCAL_MACHINE \ البرمجيات \ مايكروسوفت \ ويندوز \ CurrentVersion \ تشغيل]
“jusodl” = “C:\WINDOWS\system32\severe.exe” "jusodl" = "جيم : \ النوافذ \ System32 \ severe.exe"
“pnvifj” = “C:\WINDOWS\system32\jusodl.exe” "pnvifj" = "جيم : \ النوافذ \ System32 \ jusodl.exe"
or أو
“mpnxyl” = “C:\WINDOWS\system32\gfosdg.exe” "mpnxyl" = "جيم : \ النوافذ \ System32 \ gfosdg.exe"
“gfosdg” = “C:\WINDOWS\system32\severe.exe” "gfosdg" = "جيم : \ النوافذ \ System32 \ severe.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] [HKEY_LOCAL_MACHINE \ البرمجيات \ مايكروسوفت \ ويندوز الإقليم الشمالي \ CurrentVersion \ Winlogon]
“Shell” = “explorer.exe C:\WINDOWS\system32\drivers\conime.exe” "شل" = "explorer.exe جيم : \ النوافذ \ System32 \ السائقين \ conime.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options] [HKEY_LOCAL_MACHINE \ البرمجيات \ مايكروسوفت \ ويندوز الإقليم الشمالي \ CurrentVersion \ خيارات تنفيذ ملف الصورة]
Debugger = Windows system folder\drivers\pnvifj.exe المنقح = نظام ويندوز مجلد \ السائقين \ pnvifj.exe
or أو
“Debugger”=”C:\WINDOWS\system32\drivers\mpnxyl.exe” "المنقح" = "جيم : \ النوافذ \ System32 \ السائقين \ mpnxyl.exe"
The above registry value is for the child registry key which based on the executables file names of the security programs, so that when these security software are been double clicked, the virus file that is been run. سجل أعلاه قيمة للطفل هو مفتاح التسجيل الذي يقوم على ملف للتنفيذ أسماء من برامج الأمن ، حتى عندما تكون هذه البرمجيات هي الأمن تم النقر المزدوج ، أن الفيروس هو ملف تم البعيد. The child registry keys include: الطفل مفاتيح التسجيل ما يلي :
+ 360Safe.exe + 360Safe.exe
+ adam.exe + adam.exe
+ avp.com + avp.com
+ avp.exe + avp.exe
+ IceSword.exe + IceSword.exe
+ iparmo.exe + iparmo.exe
+ kabaload.exe + kabaload.exe
+ KRegEx.exe + KRegEx.exe
+ KvDetect.exe + KvDetect.exe
+ KVMonXP.kxp + KVMonXP.kxp
+ KvXP.kxp + KvXP.kxp
+ MagicSet.exe + MagicSet.exe
+ mmsk.exe + mmsk.exe
+ msconfig.com + msconfig.com
+ msconfig.exe + msconfig.exe
+ PFW.exe + PFW.exe
+ PFWLiveUpdate.exe + PFWLiveUpdate.exe
+ QQDoctor.exe + QQDoctor.exe
+ Ras.exe + Ras.exe
+ Rav.exe + Rav.exe
+ RavMon.exe + RavMon.exe
+ regedit.com + regedit.com
+ regedit.exe + Regedit.exe
+ runiep.exe + runiep.exe
+ SREng.EXE + SREng.EXE
+ TrojDie.kxp + TrojDie.kxp
+ WoptiClean.exe + WoptiClean.exe
The worm terminates following running process(es). الدودة تنهي العملية التالية على التوالي (الخانات). Targets (listed below) are antivirus software, firewall, system process, and other malicious codes. الأهداف (الواردة أدناه) هي برامج مكافحة الفيروسات ، وجدار الحماية ، ونظام عملية ، وغيرها من الرموز الخبيثة. The command used in ‘net stop’ and using sc.exe to configure forbid usage of these services with the command “config [service_name] start=disabled” القيادة المستخدمة في صافي وقف 'وباستخدام sc.exe لتكوين لا سمح استخدام هذه الخدمات مع قيادة" التكوين [service_name] = بداية المعوقين "
srservice
sharedaccess
KVWSC
KVSrvXP
kavsvc
RsRavMon
RsCCenter
The virus also terminates and stops the following process from running: الفيروس أيضا أنهى ويمنع من الترشح للعملية التالية :
PFW.exe
Kav.exe
KVOL.exe
KVFW.exe
adam.exe
qqav.exe
qqkav.exe
TBMon.exe
kav32.exe
kvwsc.exe
CCAPP.exe
EGHOST.exe
KRegEx.exe
kavsvc.exe
VPTray.exe
RAVMON.exe
KavPFW.exe
SHSTAT.exe
RavTask.exe
TrojDie.kxp
Iparmor.exe
MAILMON.exe
MCAGENT.exe
KAVPLUS.exe
RavMonD.exe
Rtvscan.exe
Nvsvc32.exe
KVMonXP.exe
Kvsrvxp.exe
CCenter.exe
KpopMon.exe
RfwMain.exe
KWATCHUI.exe
MCVSESCN.exe
MSKAGENT.exe
kvolself.exe
KVCenter.kxp
kavstart.exe
RAVTIMER.exe
RRfwMain.exe
FireTray.exe
UpdaterUI.exe
KVSrvXp_1.exe
RavService.exe
It also modifies HOSTS file to keep the user from connecting specifiec addresses. وهو يغير أيضا تستضيف ملف لإبقاء المستخدم من ربط specifiec يعالج. Generally, the addresses are homepages of Internet security sites and antivirus engine updates servers. عموما ، هي عناوين الصفحات الرئيسية للمواقع الإنترنت الأمن ومكافحة الفيروسات التحديثات لخدمة المحرك. So the infected system’s user can’t get information or engine updates to scan and remove the malicious code. حتى المصابين النظام لا يمكن للمستخدم الحصول على معلومات أو محرك تحديثات لمسح وإزالة الشيفرات الخبيثة.
Following is the addresses that are blocked: هو يعالج التالية التي سدت :
127.0.0.1 localhost 127.0.0.1 localhost
127.0.0.1 mmsk.cn 127.0.0.1 mmsk.cn
127.0.0.1 ikaka.com 127.0.0.1 ikaka.com
127.0.0.1 safe.qq.com 127.0.0.1 safe.qq.com
127.0.0.1 360safe.com 127.0.0.1 360safe.com
127.0.0.1 www.mmsk.cn 127.0.0.1 www.mmsk.cn
127.0.0.1 www.ikaka.com 127.0.0.1 www.ikaka.com
127.0.0.1 tool.ikaka.com 127.0.0.1 tool.ikaka.com
127.0.0.1 www.360safe.com 127.0.0.1 www.360safe.com
127.0.0.1 zs.kingsoft.com 127.0.0.1 zs.kingsoft.com
127.0.0.1 forum.ikaka.com 127.0.0.1 forum.ikaka.com
127.0.0.1 up.rising.com.cn 127.0.0.1 up.rising.com.cn
127.0.0.1 scan.kingsoft.com 127.0.0.1 scan.kingsoft.com
127.0.0.1 kvup.jiangmin.com 127.0.0.1 kvup.jiangmin.com
127.0.0.1 reg.rising.com.cn 127.0.0.1 reg.rising.com.cn
127.0.0.1 update.rising.com.cn 127.0.0.1 update.rising.com.cn
127.0.0.1 update7.jiangmin.com 127.0.0.1 update7.jiangmin.com
127.0.0.1 download.rising.com.cn 127.0.0.1 download.rising.com.cn
127.0.0.1 dnl-us1.kaspersky-labs.com 127.0.0.1 dnl - us1.kaspersky - labs.com
127.0.0.1 dnl-us2.kaspersky-labs.com 127.0.0.1 dnl - us2.kaspersky - labs.com
127.0.0.1 dnl-us3.kaspersky-labs.com 127.0.0.1 dnl - us3.kaspersky - labs.com
127.0.0.1 dnl-us4.kaspersky-labs.com 127.0.0.1 dnl - us4.kaspersky - labs.com
127.0.0.1 dnl-us5.kaspersky-labs.com 127.0.0.1 dnl - us5.kaspersky - labs.com
127.0.0.1 dnl-us6.kaspersky-labs.com 127.0.0.1 dnl - us6.kaspersky - labs.com
127.0.0.1 dnl-us7.kaspersky-labs.com 127.0.0.1 dnl - us7.kaspersky - labs.com
127.0.0.1 dnl-us8.kaspersky-labs.com 127.0.0.1 dnl - us8.kaspersky - labs.com
127.0.0.1 dnl-us9.kaspersky-labs.com 127.0.0.1 dnl - us9.kaspersky - labs.com
127.0.0.1 dnl-us10.kaspersky-labs.com 127.0.0.1 dnl - us10.kaspersky - labs.com
127.0.0.1 dnl-eu1.kaspersky-labs.com 127.0.0.1 dnl - eu1.kaspersky - labs.com
127.0.0.1 dnl-eu2.kaspersky-labs.com 127.0.0.1 dnl - eu2.kaspersky - labs.com
127.0.0.1 dnl-eu3.kaspersky-labs.com 127.0.0.1 dnl - eu3.kaspersky - labs.com
127.0.0.1 dnl-eu4.kaspersky-labs.com 127.0.0.1 dnl - eu4.kaspersky - labs.com
127.0.0.1 dnl-eu5.kaspersky-labs.com 127.0.0.1 dnl - eu5.kaspersky - labs.com
127.0.0.1 dnl-eu6.kaspersky-labs.com 127.0.0.1 dnl - eu6.kaspersky - labs.com
127.0.0.1 dnl-eu7.kaspersky-labs.com 127.0.0.1 dnl - eu7.kaspersky - labs.com
127.0.0.1 dnl-eu8.kaspersky-labs.com 127.0.0.1 dnl - eu8.kaspersky - labs.com
127.0.0.1 dnl-eu9.kaspersky-labs.com 127.0.0.1 dnl - eu9.kaspersky - labs.com
127.0.0.1 dnl-eu10.kaspersky-labs.com 127.0.0.1 dnl - eu10.kaspersky - labs.com
The virus is may also affect USB flash drive or portable hard disk, by autorun OSO.exe. الفيروس قد يؤثر أيضا على USB فلاش حملة المحمولة أو القرص الثابت ، عن طريق تشغيل آلي OSO.exe. All non system partition will contains OSO.exe and autorun.inf virus files too. جميع المنظمات غير نظام التقسيم سوف يتضمن OSO.exe وملفات autorun.inf فيروس جدا. Beside, system time may be changed too to cause some anti virus programs to expire. الى جانب ، ونظام الوقت قد يكون تغير جدا لسبب بعض برامج مكافحة الفيروسات لتنتهي.
How to Remove and Disinfect Worm.Pabug.ck or Worm.Pabug.co Manually وكيف لإزالة أو طهر Worm.Pabug.ck Worm.Pabug.co يدويا
To run antivirus program that has been disabled, you can try to rename the antivirus executable file name to another file name, and then run the new file name. لتشغيل برنامج الحماية من الفيروسات التي تم تعطيل ، يمكنك محاولة لإعادة تسمية الملف التنفيذي مكافحة الفيروسات اسم لآخر اسم الملف ، وبعد ذلك ادارة الجديدة اسم الملف.
Terminate and end the following processes (tasks) using Task Manager (alternative you can use procexp): وينهي نهاية العمليات التالية (المهام) باستخدام مدير المهام (بديل يمكنك استخدام procexp) :
%systemroot%\system32\gfosdg.exe ٪ systemroot ٪ \ System32 \ gfosdg.exe
%systemroot%\system32\severe.exe ٪ systemroot ٪ \ System32 \ severe.exe
%systemroot%\system32\drivers\conime.exe ٪ systemroot ٪ \ System32 \ السائقين \ conime.exe
Remove the registry key added by virus under the HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options registry key using Registry Editor or إزالة مفتاح التسجيل التي أضافها الفيروس تحت HKEY_LOCAL_MACHINE \ البرمجيات \ مايكروسوفت \ ويندوز الإقليم الشمالي \ CurrentVersion \ ملف الصورة التنفيذ الخيارات مفتاح التسجيل باستخدام محرر التسجيل أو Autoruns (for Autoruns, remember to first select Options -> Hide Microsoft Entries to avoid mistaken delete valid entries). This process will allow anti virus or security software or system utilities such as IceSword, SREng and etc to be able to function properly again: (لAutoruns ، نتذكر أول لاختيار الخيارات --> إخفاء مايكروسوفت إدخالات الخاطئة لتجنب حذف المداخل الصحيحة). وهذه العملية ستسمح لمكافحة فيروس البرمجيات أو الأمن أو النظام المرافق مثل IceSword ، SREng والخ لتكون قادرة على العمل بشكل سليم مرة أخرى :
+ 360Safe.exe c:\windows\system32\drivers\mpnxyl.exe + 360Safe.exe ج : \ نوافذ \ System32 \ السائقين \ mpnxyl.exe
+ adam.exe c:\windows\system32\drivers\mpnxyl.exe + adam.exe ج : \ نوافذ \ System32 \ السائقين \ mpnxyl.exe
+ avp.com c:\windows\system32\drivers\mpnxyl.exe + avp.com ج : \ نوافذ \ System32 \ السائقين \ mpnxyl.exe
+ avp.exe c:\windows\system32\drivers\mpnxyl.exe + avp.exe ج : \ نوافذ \ System32 \ السائقين \ mpnxyl.exe
+ IceSword.exe c:\windows\system32\drivers\mpnxyl.exe + IceSword.exe ج : \ نوافذ \ System32 \ السائقين \ mpnxyl.exe
+ iparmo.exe c:\windows\system32\drivers\mpnxyl.exe + iparmo.exe ج : \ نوافذ \ System32 \ السائقين \ mpnxyl.exe
+ kabaload.exe c:\windows\system32\drivers\mpnxyl.exe + kabaload.exe ج : \ نوافذ \ System32 \ السائقين \ mpnxyl.exe
+ KRegEx.exe c:\windows\system32\drivers\mpnxyl.exe + KRegEx.exe ج : \ نوافذ \ System32 \ السائقين \ mpnxyl.exe
+ KvDetect.exe c:\windows\system32\drivers\mpnxyl.exe + KvDetect.exe ج : \ نوافذ \ System32 \ السائقين \ mpnxyl.exe
+ KVMonXP.kxp c:\windows\system32\drivers\mpnxyl.exe + KVMonXP.kxp ج : \ نوافذ \ System32 \ السائقين \ mpnxyl.exe
+ KvXP.kxp c:\windows\system32\drivers\mpnxyl.exe + KvXP.kxp ج : \ نوافذ \ System32 \ السائقين \ mpnxyl.exe
+ MagicSet.exe c:\windows\system32\drivers\mpnxyl.exe + MagicSet.exe ج : \ نوافذ \ System32 \ السائقين \ mpnxyl.exe
+ mmsk.exe c:\windows\system32\drivers\mpnxyl.exe + mmsk.exe ج : \ نوافذ \ System32 \ السائقين \ mpnxyl.exe
+ msconfig.com c:\windows\system32\drivers\mpnxyl.exe + msconfig.com ج : \ نوافذ \ System32 \ السائقين \ mpnxyl.exe
+ msconfig.exe c:\windows\system32\drivers\mpnxyl.exe + msconfig.exe ج : \ نوافذ \ System32 \ السائقين \ mpnxyl.exe
+ PFW.exe c:\windows\system32\drivers\mpnxyl.exe + PFW.exe ج : \ نوافذ \ System32 \ السائقين \ mpnxyl.exe
+ PFWLiveUpdate.exe c:\windows\system32\drivers\mpnxyl.exe + PFWLiveUpdate.exe ج : \ نوافذ \ System32 \ السائقين \ mpnxyl.exe
+ QQDoctor.exe c:\windows\system32\drivers\mpnxyl.exe + QQDoctor.exe ج : \ نوافذ \ System32 \ السائقين \ mpnxyl.exe
+ Ras.exe c:\windows\system32\drivers\mpnxyl.exe + Ras.exe ج : \ نوافذ \ System32 \ السائقين \ mpnxyl.exe
+ Rav.exe c:\windows\system32\drivers\mpnxyl.exe + Rav.exe ج : \ نوافذ \ System32 \ السائقين \ mpnxyl.exe
+ RavMon.exe c:\windows\system32\drivers\mpnxyl.exe + RavMon.exe ج : \ نوافذ \ System32 \ السائقين \ mpnxyl.exe
+ regedit.com c:\windows\system32\drivers\mpnxyl.exe + regedit.com ج : \ نوافذ \ System32 \ السائقين \ mpnxyl.exe
+ regedit.exe c:\windows\system32\drivers\mpnxyl.exe + Regedit.exe ج : \ نوافذ \ System32 \ السائقين \ mpnxyl.exe
+ runiep.exe c:\windows\system32\drivers\mpnxyl.exe + runiep.exe ج : \ نوافذ \ System32 \ السائقين \ mpnxyl.exe
+ SREng.EXE c:\windows\system32\drivers\mpnxyl.exe + SREng.EXE ج : \ نوافذ \ System32 \ السائقين \ mpnxyl.exe
+ TrojDie.kxp c:\windows\system32\drivers\mpnxyl.exe + TrojDie.kxp ج : \ نوافذ \ System32 \ السائقين \ mpnxyl.exe
+ WoptiClean.exe c:\windows\system32\drivers\mpnxyl.exe + WoptiClean.exe ج : \ نوافذ \ System32 \ السائقين \ mpnxyl.exe
Remove the following auto run on Windows startup registry entries located at HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run registry key by using Registry Editor or SREng (System Repair Engineer) إزالة السيارات بعد بدء تشغيل ويندوز على إدخالات التسجيل الموجودة في HKEY_LOCAL_MACHINE \ برامج \ مايكروسوفت \ ويندوز \ CurrentVersion \ تشغيل مفتاح التسجيل باستخدام محرر التسجيل أو SREng (نظام تصليح المهندس)
“mpnxyl”=”C:\WINDOWS\system32\gfosdg.exe” "mpnxyl" = "جيم : \ النوافذ \ System32 \ gfosdg.exe"
“gfosdg”=”C:\WINDOWS\system32\severe.exe” "gfosdg" = "جيم : \ النوافذ \ System32 \ severe.exe"
Also navigate to the HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon registry key, double click on it and remove the text behind “Explorer.exe” in the value data, so that it will become looked like as below: كما انتقل إلى HKEY_LOCAL_MACHINE \ برامج \ مايكروسوفت \ ويندوز الإقليم الشمالي \ CurrentVersion \ Winlogon مفتاح التسجيل ، انقر مرتين على أنها وراء إزالة النص "Explorer.exe" في قيمة البيانات ، بحيث تصبح كما يبدو أدناه :
“shell”=”Explorer.exe” "شل" = "Explorer.exe"
Next delete all files planted by the virus. القادم حذف جميع الملفات التي زرعت من قبل الفيروس. Note that even if you right click on these infected files may trigger the infection process, so it’s recommended to use IceSword or WinRAR to delete these files: علما أن الحق حتى لو كنت اضغط على هذه الملفات المصابة قد تؤدى الى عملية العدوى ، حتى أنه أوصى لاستخدام IceSword أو WinRAR لحذف هذه الملفات :
%systemroot%\system32\gfosdg.exe ٪ systemroot ٪ \ System32 \ gfosdg.exe
%systemroot%\system32\gfosdg.dll ٪ systemroot ٪ \ System32 \ gfosdg.dll
%systemroot%\system32\severe.exe ٪ systemroot ٪ \ System32 \ severe.exe
%systemroot%\system32\drivers\mpnxyl.exe ٪ systemroot ٪ \ System32 \ السائقين \ mpnxyl.exe
%systemroot%\system32\drivers\conime.exe ٪ systemroot ٪ \ System32 \ السائقين \ conime.exe
%systemroot%\system32\hx1.bat ٪ systemroot ٪ \ System32 \ hx1.bat
%systemroot%\system32\noruns.reg ٪ systemroot ٪ \ System32 \ noruns.reg
X:\OSO.exe س : \ OSO.exe
X:\autorun.inf س : \ autorun.inf
X mean all non system partitions, including your USB flash drive and portable hard disk. س يعني كل نظام غير تقسيم ، بما الخاص بك USB فلاش حملة والمحمولة القرص الثابت.
System Recovery and Clean Up نظام استرداد وتنظيف
Navigate to the following registry keys and add back the original value. انتقل إلى مفاتيح التسجيل التالية والعودة إضافة القيمة الأصلية.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] [HKEY_LOCAL_MACHINE \ البرمجيات \ مايكروسوفت \ ويندوز \ CurrentVersion \ إكسبلورر \ متقدم \ مجلد \ المخفية \ SHOWALL]
“CheckedValue”=dword:00000001 "CheckedValue" = dword : 00000001
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] [HKEY_CURRENT_USER \ برامج \ مايكروسوفت \ ويندوز \ CurrentVersion \ سياسات \ اكسبلورر]
“NoDriveTypeAutoRun” value is vary depending on system, normally by default it will set as 91 (in HEX value) "NoDriveTypeAutoRun" هو قيمة تختلف عن النظام ، عادة بشكل افتراضي أنها سوف تضع 91 (قيمة في الهيكس)
Next remove all contents added by the worm in Hosts file. القادم إزالة كل محتويات أضافها دودة المضيفون في الملف. Use Notepad to open %systemroot%\system32\drivers\etc\hosts, and remove the entries or lines specified above. استخدام المفكرة لفتح ٪ systemroot ٪ \ System32 \ السائقين \ الخ \ تستضيف ، وإزالة القيود غير المعقولة أو الخطوط المحددة أعلاه. If you’re using SREng, simply click on “System Recovery” -> “Hosts file”, then click “Replace” and then “Save”. إذا كنت تستخدم SREng ، ببساطة انقر على "استعادة النظام" --> "المضيفون ملف" ، ثم انقر فوق "يستعاض عن عبارة" ثم "حفظ".
Finally, you will need to recover or repair or reinstall the anti virus program, if it has been damaged. وأخيرا ، سوف تحتاج إلى استرداد أو إصلاح أو إعادة تثبيت برنامج مكافحة الفيروس ، إذا كان قد لحقت بها اضرار.
IMPORTANT : This is a machine translated page which is provided "as is" without warranty. هام : هذه هي آلة الصفحة المترجمة التي تقدم "كما هي" دون ضمان. Machine translation may be difficult to understand. الترجمة الآلية قد يكون من الصعب فهم. Please refer to يرجى الرجوع إلى original English article المادة الانكليزية الأصلية whenever possible. كلما كان ذلك ممكنا.
Share and contribute or get technical support and help at وحصة المساهمة أو الحصول على الدعم التقني والمساعدة في My Digital Life Forums بلادي الرقمي الحياة المنتديات .
Related Articles المواد ذات الصلة
- Manual and Clean Uninstall Oracle for Windows دليل نظيفة وأوراكل لازالة تثبيت ويندوز
- Dr.Web CureIt! Dr.Web CureIt! Free Download to Clean Virus, Worm, Rootkit, Spyware and Other Malwares تحميل مجاني لفيروس النظيفة ، وورم ، Rootkit ، سبيواري وغيره من Malwares
- AMD Introduced SSE5 Instruction Set Extensions أيه إم دي عرض تعليمات SSE5 مجموعة التمديدات
- How to Use Tachymeter Function on Watch Bezel - Usage Instruction and Definition كيفية استخدام أداة تحديد المسافات بسرعة وظيفة على الحافة ووتش -- استخدام التعليمات وتعريف
- Avoid Santa Claus Worm While Celebrating Christmas تجنب سانتا كلوز دودة بينما تحتفل عيد الميلاد
- New SanDisk SD WORM (Write Once Read Many) Card Offering Up To 100-year Archive Life سانديسك التنمية المستدامة دودة جديدة (الكتابة مرة واحدة قراءة كثير) بطاقة تصل إلى 100 عاما أرشيف الحياة
- Manual Setting on White Balance الدليل على وضع التوازن الابيض
- Create Your Own Removal Tool احصل على أداة إزالة
- Download Yahoo Messenger for Vista 2007.11.30.421 Standalone Manual Setup Installer تنزيل ياهو رسول فيستا 2007.11.30.421 بذاتها لإعداد دليل المثبت
- Malicious Software Removal Tools by Microsoft أدوات إزالة البرامج الخبيثة من جانب مايكروسوفت
