اعرف اذا كان جهازك مصاب بفايروس او باتش وطريقه ازالته

زائر

ـآلسـلآم عـيكم وٍرحمـت آ‘لـله وٍبرٍكـآتو ٍ ... آ‘ليـوم ـآنـآ جـآيبـ لكـم طريقهـ لكشفـ هـل جهـآزك مخترـق آوٍبـه فـآيروٍس
نبدـآ آلشـرح :
:تعريف
معظم برامج القرصنه تستخدم نوعين من الملفات او البرامج وهما
Client.exe
Server.exe
والمقصود بكلمه كلينت اى العميل ..اما السيرفر فترجمته ..الخــادم .. وتندرج كل تلك الملفات تحت اسم
Torjan
ويعمل السيرفر او الخادم على فتح ثغره داخل جهازك تمكن ملف العميل من الدخول منها والمقصود هنا فتح ثغره اى بورت ولناخذ على سبيل المثال برنامج النت باص فعند اصابت جهازك بملف السيرفر او الخادم فانه وعلى الفور يقوم بفتح البورت 12345 فى جهازك لكى يتمكن العميل من الدخول اليك

هل يمكن اختراق جهاز بدون ملف باتش او سيرفر؟
لايمكن ذلك فى حاله عدم وجود خادم اوعميل فى جهازك يستطيع الدخول عن طريقه

ــــــــــــــــــــــــــــــــــــــــــــــــــ ــــــــــ

ماهى طرق الاصابه ؟

اولا : اما ان ترسل اليك بطريق الاميل
ثانيا : اذا كنت من مستخدمى برنامج الاسكيو او برامج التشات وارسل لك ملف فقد يكن مصابا بملف تجسس او حتى فايروس
ثالثا : عندما تقم بانزال برنامج من احد المواقع الغير مثوق بها وهــى فى الحقيقه كثيره جدا فقد يكون البرنامج مصاب اما بملف تجسس او فايروس

ماهى اهم طرق الوقايه ؟
اولا:عدم فتح اى رساله لاتعرف صاحبها او مصدرها
ثانيا:عدم استقبال اى ملف اوبرنامج من ناس لاتعرفهم معرفه جيده عن طريق الاسكيو او اى برنامج الشات
ثالثا: لاتقم ابدا بنزال اى برنامج من مواقع غير معروفه
رابعا: يجب ان يكون عندك برنامج لكشف ملفات التجسس والفيروسات لفحص اى ملف استقبلته من الشات او قمت بنزاله من موقع لفحصه قبل فتحته

ــــــــــــــــــــــــــــــــــــــــــــــــــ ــــــــــ

ماهى اهم ملفات التجسس وطريقه التخلص منها ؟

Back Oriface
هذا الملف يعمل على فتح خلفيه فى جهاز لتخلص منه اتبع الخطوات التاليه

إتبع الخطوات التــاليـة
قم بتشغيل محرر التسجيل عن طريق أبدأ(Start) ثم تشغيل(run)ثم أكتب
Regedit
ثم موافق
سوف تظهر لك نافذه

ذهب الى
HKEY_LOCAL_MACHINE

software
ثم
microsofte
ثم انتقل الى
windows
ثم
current Version
الان اذهب الى
Run or Run once..
الان هل يوجد ملف باسم
server .exe
قم بمسح المف كاملا

-------------------

الباك دور BackDoor :

وهو أيضا يحتاج إلى خادم لتشغيله. ويوجد إصدارين من هذا البرنامج.

للتخلص من الإصدار الأول قم مباشرة بإلغاء الملفات التالية إذا كانت موجودة على جهازك :

DATA2.EXE TINURAK.EXE WATCHING.DLL

وللتخلص من الإصدار الثاني قم مباشرة بإلغاء الملفات التالية إذا كانت موجودة على جهازك :

WINDOW.EXE NODLL.EXE SERVER_33.DLL

--------------------------------------------

الباك اورفيس :

برنامج الباك أورفيس يعمل على الويندوز 95 والويندوز 98 فقط وحجم السيرفر الخاص به صغير نسبيا - تقريباً 120 كيلوبايت فقط

والمنفذ الذي يستخدمه الباك اورفيس هو 31337 فقط

والتخلص منه يكون بالخطوات التالية :

قم بتشغيل محرر التسجيل عن طريق أبدأ(Start) ثم تشغيل(run)ثم أكتب

Regedit
ثم قم بالذهاب الى المفتاح التالي
HKEY_LOCAL_MACHINESoftwareMicrosoftWindo
wsCurrentVersionRunService
قم بالبحث في القائمة اليمنى عن أي ملف يثير الشبهة لديك وأنقر عليه نقرتين لتجد مكان الملف في جهازك وتأكد من أن حجمه حوالى 120 كيلوبايت فأذا وجدته قم بمسحه وأعادة تشغيل جهازك

ثم أذهب للمجلد التالي

C:WindowsSystem

وقم بالبحث هناك عن أسم السيرفر وسيكون بنفس الأسم الذي وجدته في محرر التسجيل وقم بحذفه تماما من الجهاز وستجد ملفاً آخرا أسمه

Windll.dll

قم بحذفه هو أيضا لأنه تابع لباك أورفيس

بعد حذفك للملفات قم بأيقاف تشغيل جهازك نهائيا وفصله من الكهرباء أيضا

----------------------------------------

الباك اورفيس 2000 BO2k:

وهو يتمكن من وندوز 95 و وندوز 98 و وندوز إن تي ، ولهذا البرنامج نسختين الأولى تسمى النسخة الأمريكية وهي أكبر حجما من النسخة الأخرى بالكيلو بايت طبعا. أيضا لهذه النسخة ميزة أخرى تعرف ب DES encryption أما النسخة الثانية فتسمى النسخة الدولية

الأسماء المستعارة لهذا البرنامج التي يتخفى بها هي :

BO2K backdoor.BO2K

طريقة معرفة وجودة في جهازك والتخلص منه :

يوجد الآن برنامج واحد لحمايتك من هذا البرنامج تجده في الموقع التالي

[ندعوك للتسجيل في المنتدى أو التعريف بنفسك لمعاينة هذا الرابط]

-------------------------------------------

النت بس NetBus 1.x :

ويستخدم خادم داخل جهازك ومتمكن أيضا من وندوز 95 و 98 و إن تي ويستطيع عمل كل شي يعمله برنامج السب سفن إضافة إلى انه يستطيع إن يتحكم بالفارة التي لديك ويمكنه عرض بعض الصور على شاشة جهازك أيضا أن يفتح محرك أقراص الليزر الخاص بك أيضا باستطاعته سماع كل شي تقوله إذا كنت موصل مايكروفون مع جهازك وأشياء أخرى عديدة

حجم السيرفر الخاص به هو 470 كيلو بايت ، ويمكن لصاحبه الدخول اليك من المنفذ 12345 والمنفذ 12346

طريقة التخلص منه كالتالي :

قم بتشغيل محرر التسجيل وذلك بالطريقة التالية

أبدأ(Start) - تشغيل(run) - ثم أكتب في المربع الأمر التالي

Regedit

ثم أذهب إلى المفتاح التالي

HKEY_LOCAL_MACHINESoftwareMicrosoftWindo
wsCurrentVersionRun

ستجد هنالك قائمة بالبرامج التي تعمل بجهازك مع بدء التشغيل فقط قم بحذف أي ملف تشك بأنه هو السيرفر لأن السيرفر لا اسم محدد له وقد يكون بأي اسم

من ثم أذهب إلى المجلد التالي

c:WindowsSystem

وستجد هنالك ملف بنفس اسم القيمة التي قمت بمسحها فقط قم بمسح هذا الملف وإذا رفض الملف المسح –وعادة ما سيرفض ذلك لأنه يعمل في نفس الوقت الذي تحاول مسحه - فقم بتشغيل الويندوز في الوضع الآمن وامسحه أو قم بمسحه من الدوس وتأكد من أنك مسحت السيرفر وليس ملف آخر ويمكنك التأكد عن طريق الحجم الذي يتراوح ما بيت 400 كيلوبايت و 500 كيلوبايت فقط

ثم قم بأعادة تشغيل جهازك وستجد أن السيرفر قد تم أزالته عند مراجعتك للخطوات السابقة

---------------------------------------------------
السب سيفن Sub7 :

برنامج السب سفن هو من أشهر برامج الأختراق وأكثرها قدرة على التحكم في جهاز الضحية ولهذا فالسيرفر الخاص به خطير جدا ولابد من التأكد من عدم وجوده بجهازك

يقوم السيرفر الخاص بالسب سفن بوضع الملفات التالية في مجلد الويندوز الخاص بك

Kernel.dl

Rundll16.exe

Movokh_32.dll

Watching.dll

Nodll.exe

مع العلم أنه يمكن تغيير أسماء الملفات السابقة من قبل المخترق

:كما يقوم بأنشاء القيم التالية في سجل الويندوز لديك

HKEY_LOCAL_MACHINESoftwareCLASSES.dl HKEY_LOCAL_MACHINESoftwareMicrosoftDirec
tXMediaKER
NEL16="KERNEL16.DL" HKEY_LOCAL_MACHINESoftwareCLASSES.dl@=exefile

أيضا يقوم السيرفر بأضافة أوامر للملفات التالية

System.ini ===>****l=Explorer.exe rundll16.exe

Win.ini ====> Run=????.exe Or Load=????.exe

والمنافذ التي يقوم بأختراق جهازك عن طريقها هي 6711 و 6776 أو أي رقم يتراوح ما بين 1243 و 1999 وذلك بحسب رغبة المخترق

:وطريقة التخلص منه كالتالي

قم بالذهاب الى الملفين

System.ini

Win.ini

عن طريق الخطوات : أبدأ(Start)- تشغيل(run) - ثم أكتب في مربع التشغيل

msconfig

بالنسبة لملف الوين فقط قم بالبحث عن الأوامر التالية :

Load=???.exe

Load=???.dll

Run=???.exe

وعلامات الأستفهام ترمز الى اسم السيرفر وقد تكون أي شئ

ثم أذهب الى الملف النظام وفي السطر الخامس تقريبا ستجد شيئاً كالتالي

****l=Explorer.exe

وأذا وجدت السطر مكتوبا بطريقة غير السابق قم بتعديله ليصبح كالسابق وقد يكون هكذا اسمه

****l=Explorer.exe ???.dll

وعلامات الأستفهام ترمز لأسم السيرفر فقط قم أنت بتعديل السطر الى

****l=Explorer.exe

بعد ذلك أذهب الى محرر التسجيل عن طريق الخطوات

أبدا(Start) ثم تشغيل(run) ثم أكتب في مربع النص التالي

Regedit

وأذهب الى المفتاح التالي

HKEY_LOCAL_MACHINESoftwareMicrosoftWindo
wsCurrentVersionRun

وستجد على القائمة اليمنى أسم السيرفر وستعرفه بالطبع لأنه سيكون بنفس الأسم الذي وجدته سابقاً في ملف النظام فقط قم بمسح القيم التي ترمز الى السيرفر بالنقر على زر الحذف

والآن قم بأعادة تشغيل جهازك وأذهب الى مجلد الويندوز وقم بحذف السيرفر وسيكون اسمه معروفا لك الآن

-----------------------------------------------

The FreeLinl :

وهو يعتبر دودة مشفرة يعمل تحت أي وندوز تدعم لغة

VB ******ing

حتى وندوز 98 و وندوز 2000 ومعظم طرق دخوله إلى جهازك عن طريق البريد الألكتروني ويكون عنوان المرسل كالتالي هو

Check this

وتكون الرسالة المصاحبة لهذا العنوان هي :

Have fun with these links. Bye

فإذا قمت بالدخول علية فأنة يقوم مباشرة بتحميل ملفين على جهازك هما :

c:windowslinks.vbs c:windowssystemrundll.vbs

أيضا يضيف الجزء التالي إلى جهازك في سجل الويندوز

HKEY_LOCAL_MACHINESoftwaremicrosoftwindo
wsCurrentVersionRunRundll
=RUNDLL.VBS

وبعد التمكن من جهازك سوف يعرض على الشاشة صندوق صغير بالعنوان التالي

Free XXX links

وتحت العنوان تظهر الرسالة التالية:

This will add a shortcut to free XXX links on your desktop Do you want to continue?

ثم سوف يقوم هذا البرنامج بالبحث عن برامج المحادثة مثلmirc

MIRC32.exe Pirch98.exe

وسوف يقوم بتعديل الملفات التالية :

******.INI EVENTS.INI

وذلك حتى يتمكن من إرسال

LINKS.VBS

إلى أجهزة أخرى أثناء عملية المحادثات بين المستخدمين

والأسماء المستعارة لهذا البرنامج التي يتخفى بها هي

VBS Freelink

كيف تعرف أن هذا البرنامج موجود في جهازك وطريقة التخلص منه؟

أولا : قم بالبحث عن الملفات التالية

LINKS.VBS RUNDLL.VBS

و قد تحتاج هنا إلى تشغيل جهازك في الوضع الآمن لحذف هذه الملفات تماما

ثانيا : قم بإلغاء تلك الملفات من جميع السواقات التي على جهازك.

ثالثا : قم بحذف الجزء التالي من محرر التسجيل لديك عن طريق أبدأ(Start) ثم تشغيل(run) ثم تكتب في المربع

Regedit

وستجد القيمة التالية فيه فقط قم بمسحها تماما

HKEY_LOCAL_MACHINESoftwaremicrosoftwindo
wsCurrentVersionRunRundll
=RUNDLL.VBS

بعد ذلك قم بأعادة تشغيل الويندوز

تحياتي ....
جيش التوحيد

للأمانه منقوووووووووووووول