إزالة الباتشات وملفات التجسس من جهازك بنفسك (خطوة خطوة)

    تمر دردشة الساحة الخاصة بالمتصفح والموبايل بفترة صيانة دورية هذا ونعتذر للجميع على الإنقطاع المؤقت بإمكانكم المشاركة في المنتدى لحين عودتها :)

    • إزالة الباتشات وملفات التجسس من جهازك بنفسك (خطوة خطوة)

      #h|t#h
      أهلا بكم .. اليوم سأحاول أن أجمع لكم طرق التخلص من مختلف أنواع الباتشات والتروجان:
      أولا:

      BackDoor :
      هذا البرنامج يحتاج إلى خادم لتشغيله. ويوجد إصدارين منه.
      :للتخلص من الإصدار الأول قم مباشرة بإلغاء الملفات التالية إذا كانت موجودة على جهازك والملفات هي
      DATA2.EXE
      TINURAK.EXE
      WATCHING.DLL
      :وللتخلص من الإصدار الثاني قم مباشرة بإلغاء الملفات التالية إذا كانت موجودة على جهازك والملفات هي
      WINDOW.EXE
      NODLL.EXE
      SERVER_33.DLL

      ***************************

      الباك اورفيس :
      برنامج الباك أورفيس يعمل على الويندوز 95 والويندوز 98 فقط وحجم السيرفر الخاص به صغير نسبيا - تقريباً 120 كيلوبايت فقط
      والمنفذ الذي يستخدمه الباك اورفيس هو 31337 فقط
      :والتخلص منه يكون بالخطوات التالية
      بتشغيل محرر التسجيل عن طريق أبدأ ثم تشغيل ثم أكتب
      Regedit
      :ثم قم بالذهاب الى المفتاح التالي
      HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunService
      قم بالبحث في القائمة اليمنى عن أي ملف يثير الشبهة لديك وأنقر عليه نقرتين لتجد مكان الملف في جهازك وتأكد من أن حجمه حوالى 120 كيلوبايت فأذا وجدته قم بمسحه وأعادة تشغيل جهازك
      ثم أذهب للمجلد التالي
      C:\Windows\System
      وقم بالبحث هناك عن أسم السيرفر وسيكون بنفس الأسم الذي وجدته في محرر التسجيل وقم بحذفه تماما من الجهاز وستجد ملفاً آخرا أسمه

      Windll.dll
      قم بحذفه هو أيضا لأنه تابع لباك أورفيس
      ***************************

      الباك اورفيس 2000 BO2k:
      وهو يتمكن من وندوز 95 و وندوز 98 و وندوز إن تي ، ولهذا البرنامج نسختين الأولى تسمى النسخة الأمريكية وهي أكبر حجما من النسخة الأخرى بالكيلو بايت طبعا. أيضا لهذه النسخة ميزة أخرى تعرف ب DES encryption
      أما النسخة الثانية فتسمى النسخة الدولية
      :الأسماء المستعارة لهذا البرنامج التي يتخفى بها هي
      BO2K
      backdoor.BO2K
      :طريقة معرفة وجودة في جهازك والتخلص منه
      :يوجد الآن برنامج واحد لحمايتك من هذا البرنامج تجده في الموقع التالي:

      spiritone.com/~cbenson/current…ckorifice/backorifice.htm

      *******************************

      النت بس NetBus 1.x :
      ويستخدم خادم داخل جهازك ومتمكن أيضا من وندوز 95 و 98 و إن تي ويستطيع عمل كل شي يعمله برنامج السب سفن إضافة إلى انه يستطيع إن يتحكم بالفارة التي لديك ويمكنه عرض بعض الصور على شاشة جهازك أيضا أن يفتح محرك أقراص الليزر الخاص بك أيضا باستطاعته سماع كل شي تقوله إذا كنت موصل مايكروفون مع جهازك وأشياء أخرى عديدة
      حجم السيرفر الخاص به هو 470 كيلو بايت ، ويمكن لصاحبه الدخول اليك من المنفذ 12345 والمنفذ 12346
      :طريقة التخلص منه كالتالي

      قم بتشغيل محرر التسجيل وذلك بالطريقة التالية
      أبدأ - تشغيل - ثم أكتب في المربع الأمر التالي
      Regedit
      ثم أذهب إلى المفتاح التالي
      HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
      ستجد هنالك قائمة بالبرامج التي تعمل بجهازك مع بدء التشغيل فقط قم بحذف أي ملف تشك بأنه هو السيرفر لأن السيرفر لا اسم محدد له
      من ثم أذهب إلى المجلد التالي
      c:\Windows\System\
      وستجد هنالك ملف بنفس اسم القيمة التي قمت بمسحها فقط قم بمسح هذا الملف وإذا رفض الملف المسح –وعادة ما سيرفض ذلك لأنه يعمل في نفس الوقت الذي تحاول مسحه - فقم بتشغيل الويندوز في الوضع الآمن وامسحه أو قم بمسحه من الدوس وتأكد من أنك مسحت السيرفر وليس ملف آخر ويمكنك التأكد عن طريق الحجم الذي يتراوح ما بيت 400 كيلوبايت و 500 كيلوبايت فقط
      ثم قم بأعادة تشغيل جهازك وستجد أن السيرفر قد تم أزالته عند مراجعتك للخطوات السابقة

      *****************************

      السب سيفن Sub7 :
      برنامج السب سفن هو من أشهر برامج الأختراق وأكثرها قدرة على التحكم في جهاز الضحية ولهذا فالسيرفر الخاص به خطير جدا ولابد من التأكد من عدم وجوده بجهازك
      يقوم السيرفر الخاص بالسب سفن بوضع الملفات التالية في مجلد الويندوز الخاص بك
      Kernel.dl
      Rundll16.exe
      Movokh_32.dll
      Watching.dll
      Nodll.exe
      مع العلم أنه يمكن تغيير أسماء الملفات السابقة من قبل المخترق
      :كم يقوم بأنشاء القيم التالية في سجل الويندوز لديك
      HKEY_LOCAL_MACHINE\Software\CLASSES\.dl
      HKEY_LOCAL_MACHINE\Software\Microsoft\DirectXMediaKERNEL16="KERNEL16.DL"
      HKEY_LOCAL_MACHINE\Software\CLASSES\.dl\@=exefile
      أيضا يقوم السيرفر بأضافة أوامر للملفات التالية
      System.ini ===>Shell=Explorer.exe rundll16.exe
      Win.ini ====> Run=????.exe Or Load=????.exe
      والمنافذ التي يقوم بأختراق جهازك عن طريقها هي 6711 و 6776 أو أي رقم يتراوح ما بين 1243 و 1999 وذلك بحسب رغبة المخترق
      :وطريقة التخلص منه كالتالي
      قم بالذهاب الى الملفين

      System.ini
      Win.ini
      عن طريق الخطوات : أبدأ- تشغيل - ثم أكتب في مربع التشغيل
      Sysedit
      :بالنسبة لملف الوين فقط قم بالبحث عن الأوامر التالية
      Load=???.exe
      Load=???.dll
      Run=???.exe
      وعلامات الأستفهام ترمز الى اسم السيرفر وقد تكون أي شئ
      ثم أذهب الى الملف النظام وفي السطر الخامس تقريبا ستجد شيئاً كالتالي
      Shell=Explorer.exe
      وأذا وجدت السطر مكتوبا بطريقة غير السابق قم بتعديله ليصبح كالسابق وقد يكون هكذا اسمه

      Shell=Explorer.exe ???.dll
      وعلامات الأستفهام ترمز لأسم السيرفر فقط قم أنت بتعديل السطر الى
      Shell=Explorer.exe
      بعد ذلك أذهب الى محرر التسجيل عن طريق الخطوات
      أبدا ثم تشغيل ثم أكتب في مربع النص التالي
      Regedit
      وأذهب الى المفتاح التالي
      HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
      وستجد على القائمة اليمنى أسم السيرفر وستعرفه بالطبع لأنه سيكون بنفس الأسم الذي وجدته سابقاً في ملف النظام فقط قم بمسح القيم التي ترمز الى السيرفر بالنقر على زر الحذف
      والآن قم بأعادة تشغيل جهازك وأذهب الى مجلد الويندوز وقم بحذف السيرفر وسيكون اسمه معروفا لك الآن

      *****************************

      The FreeLinl :
      وهو يعتبر دودة مشفرة يعمل تحت أي وندوز تدعم لغة
      VB scripting
      حتى وندوز 98 و وندوز 2000 ومعظم طرق دخوله إلى جهازك عن طريق البريد الألكتروني ويكون عنوان المرسل كالتالي هو
      Check this
      :وتكون الرسالة المصاحبة لهذا العنوان هي
      Have fun with these links. Bye
      :فإذا قمت بالدخول علية فأنة يقوم مباشرة بتحميل ملفين على جهازك هما
      c:\windows\links.vbs
      c:\windows\system\rundll.vbs
      :أيضا يضيف الجزء التالي إلى جهازك في سجل الويندوز
      HKEY_LOCAL_MACHINE\Software\microsoft\windows\CurrentVersion\Run\Rundll=RUNDLL.VBS

      :وبعد التمكن من جهازك سوف يعرض على الشاشة صندوق صغير بالعنوان التالي
      Free XXX links
      :وتحت العنوان تظهر الرسالة التالية
      This will add a shortcut to free XXX links on your desktop Do you want to continue?
      :ثم سوف يقوم هذا البرنامج بالبحث عن برامج المحادثة مثل الميرك
      MIRC32.exe
      Pirch98.exe
      وسوف يقوم بتعديل الملفات التالية :
      SCRIPT.INI
      EVENTS.INI
      :وذلك حتى يتمكن من إرسال
      LINKS.VBS
      إلى أجهزة أخرى أثناء عملية المحادثات بين المستخدمين
      :والأسماء المستعارة لهذا البرنامج التي يتخفى بها هي
      VBS
      Freelink
      :كيف تعرف أن هذا البرنامج موجود في جهازك وطريقة التخلص منه
      أولا : قم بالبحث عن الملفات التالية
      LINKS.VBS
      RUNDLL.VBS
      و قد تحتاج هنا إلى تشغيل جهازك في الوضع الآمن لحذف هذه الملفات تماما
      ثانيا : قم بإلغاء تلك الملفات من جميع.
      ثالثا : قم بحذف الجزء التالي من محرر التسجيل لديك عن طريق أبدأ ثم تشغيل ثم تكتب في المربع
      Regedit
      وستجد القيمة التالية فيه فقط قم بمسحها تماما

      HKEY_LOCAL_MACHINE\Software\microsoft\windows\CurrentVersion\Run\Rundll=RUNDLL.VBS
      بعد ذلك قم بأعادة تشغيل الويندوز

      **********************

      البقية تتبع ....

      ------------------------------
      $$e#i
    • :D:eek:|a

      نتابع بقية الأنواع المعروفة: ...

      Happy99 :
      وهو أيضا يضع خادم له داخل جهازك تحت اسم
      SKA.EXE
      وعند تنفيذه يظهر لك صندوق صغير يعرض به العاب نارية وأثناء عرض هذه الألعاب النارية يقوم بتحميل خادمة على جهازك دون أن تلاحظ ذلك. ثم يقوم بتغير الملف
      WSOCK32.DLL
      ويحتفظ بالملف الأصلي تحت اسم
      WSOCK32.SKA
      ويقوم أيضا بوضع نفسه داخل سجل الويندوز ليتمكن من العمل كلما قمت بتشغيل جهازك. أيضا سوف يقوم بإرسال بريد ألكتروني إلى كل مستخدم أو شركة أخبار قمت بمراسلتهم مرفقا هذه الرسالة بالبرنامج نفسه

      Happy99
      وهذا واحد من البرامج القليلة التي تستطيع نشر نفسها بنفسها
      :الأسماء المستعارة لهذا البرنامج هي
      win32.ska
      ska
      wsocks.ska
      ska.exe
      :كيفية التخلص منة
      :قم بالبحث عن الملفات التالية في المجلد التالي
      C:\Windows\system

      SKS.EXE
      SKA.DLL
      WSOCK32.SKA
      :إذا وجدته فهو قد اخترق جهازك. قم مباشرة بإلغاء الملفات التالية
      SKA.EXE
      SKA.DLL
      WSOCK32.DLL
      بعد ذلك قم بإعادة تسمية الملف
      WSOCK32.SKA
      :إلىالاسم التالي
      WSOCK32.DLL

      ***************************

      K2Ps :
      فقط يستطيع التمكن من وندوز 95 و وندوز 98
      وقد انشر عن طريق البريد الإلكتروني تحت اسم
      K2PS.EXE
      حيث تقول رسالة هذا البريد الذي قد يصل إلى أي شخص أن هناك فيروس اسمه
      TX-500
      وأنه هو برنامج مضاد لهذا الفيروس. طبعا كما تعرف هذه كانت مجرد كذبة ليتمكن من الدخول وسرقة معلومات اشتراكك مع مقدم خدمة الإنترنت بالإضافة إلى كلمة السر الخاصة بك ثم التحكم به وبالبريد الإلكتروني لك. وأيضا يمكنه تغيير كلمة السر الخاصة بك.
      والطريقة المفضلة إذا أحسست بهذا التغير قم مباشرة بتغير كلمة السر
      :ثم قم بإلغاء الملفات التالية

      K2PS.EXE
      K2PS.CFG
      قم بتشغيل محرر التسجيل عن طريق أبدأ ثم تشغيل ثم أكتب
      Regedit

      :ثم أذهب إلى القيمة التالية وقم بمسحها
      HKEY_LOCAL_MACHINE\Software\Microsoft\Window\CurrentVersion\C:\WINDOWS\SYSTEM\K2PS.EXE

      *******************************

      Paradise :
      وهو أقوى من برنامج
      Back Orifice
      ويحتاج أيضا إلى خادم يسمى
      agent.exe
      ويستطيع إلغاء ملفات وإنشائهم ويستطيع فتح وغلق النوافذ على جهازك ويستطيع عمل محادثة معك
      chatting
      ويستطيع عمل أشياء أخرى.
      كيفية التخلص منة : يمكنك التخلص منة باستخدام البرنامج
      The cleaner
      وسوف تجد هذا البرنامج في الموقع التالي :

      dynamsol.com/puppet/thecleaner.html

      *******************************PrettyPrk :
      هذا البرنامج يستطيع الانتشار أيضا عن طريق البريد الإلكتروني. فعند تنفيذه سوف يقوم بإرسال نفسه إلى العناوين الموجودة في
      windows address book
      وسوف يخبر المستخدمين الموجودين على
      IRC
      عند إعدادات النظام وكلمات السر. وسوف يقوم بنسخ نفسه داخل المجلد التالي

      C:\Windows\System
      مع الملف
      files32.VXD
      أيضا سوف يقوم بتسجيل نفسه داخل القيمة التالية في سجل الويندوز
      HKEY_CLASSES_ROOT \exefile\shell\open\command\files32.vxd
      فقط قم بإلغائها بالذهاب إلى أبدأ ثم تشغيل ثم أكتب
      Rededit

      ******************************

      ProMail :
      انتشر كثيرا هذا البرنامج بطريقة
      freeware و shareware
      وقد انتشر تحت هذا الاسم
      proml121.zip
      وهو ملف غير مضغوط داخل هذا الملف
      promail.exe
      فإذا قمت بتحميلة على جهازك وقمت بعد تحميلة بالاشتراك مع أي شركة لخدمات البريد الإلكترونية فان جميع المعلومات التي أعطيتها لهذه الشركة إضافة إلى كلمة السر الخاصة بك يقوم هذا البرنامج بإرسالها إلى عنوان بريدي آخر غير معروف إي بطريقة عشوائية فكلما قمت بعملية اشتراك مع أي شركة أخرى لخدمات البريد الإلكتروني فان البرنامج يقوم بنفس العملية السابقة.
      :كيفية التخلص منة
      إذا كان لديك هذا البرنامج

      Promail
      قم مباشرة بإلغائه

      **************************

      Sockets :
      وهذا البرنامج خطير جدا وهو تقريبا فيروس. وهو لا يقوم فقط بتحميل خادم له ولكنة يصيب عددا من الملفات المنتهية بالأحرف
      exe
      وله نفس خصائص البرامج الأخرى التي تعمل معالبريد الألكتروني والأيسكيو
      كيفية التخلص منة : باستخدام البرنامج
      Anti Troie
      :وهو برنامج جيد للقضاء علية وسوف تجده في الموقع التالي

      pobox.com/~cd

      ***************************

      ZipFile :
      وهو أيضا يتمكن من وندوز 95 و وندوز 98 و وندوز إن تي . وهو يستطيع نشر نفسه
      بنفسه باستخدام البريد الألكتروني
      :فإذا قمت بفتحة من بريدك الخاص فانه سوف يعرض الرسالة التالية
      Cannot open file; it does not appear to be a valid archive. If this is part of a ZIP backup set, insert the last disk of the backup set and try again. Please press F1 for help.
      وعندما يتمكن من نشر نفسه باستخدام البريد الألكتروني فانه يقوم بإرسال نفسه مرة أخرى تحت اسم
      Zipped_files.exe
      : إلى جميع العناوين التي استقبلت منهم رسائل سابقة مرفق به هذه الرسالة

      Hi, username received your email and I shall send you a reply ASAP.
      Till then, take a look at this attached zip docs Bye

      :أيضا سوف يقوم هذا البرنامج بإلغاء جميع الملفات لديك والمنتهية بالأحرف التالية
      DOC
      XLS
      PPt
      C
      CPP
      H
      وللأسف فأنة صعب جدا إن تستعيد تلك الملفات باستخدام الأمر undelete
      :الأسماء المستعارة لهذا البرنامج التي يتخفى تحتها هي

      worm.explore.zip
      win32.explore
      explore.zip
      :طريقة معرفة وجودة في جهازك والتخلص منه فقط لمستخدمي وندوز 95 و وندوز 98
      :قم بالضغط على
      CTRL ALT DEL
      :وعند ظهور شاشة الإغلاق ولاحظت ظهور إحدى الملفات التالية فانه موجود في جهازك والملفات هي

      Zipped_files
      Explore
      _setup
      ويجب أن تفرق بين اسم الملف السابق
      Explore
      وبين المتصفح
      Explorer
      :فإذا لاحظت إحدى الملفات السابقة فقم مباشرة بإلغاء الملفات التالية

      C:\windows\_setup.exe
      C:\windows\Explore.exe
      بعد ذلك قم بإلغاء الأسطر التالية والموجودة في
      WIN.INI
      باستخدام الأمر
      Sysedit
      :بعد الذهاب إلى أبدأ ثم تشغيل والأسطر هي
      run=setup.exe
      run=c:\windows\system\explore.exe
      أيضا قم بإلغاء السطر التالي باستخدام الأمر
      regedit

      HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Windows\Run

      الى هنا تنتهي حلقة اليوم .. على أمل بلقاء قريب إن شاء الله.

      الى اللقاء

      $$e#i$$e