|
هل الجهاز مخترق ؟؟ كيف تعرف ذلك و كيف تقوم بحذف السرفر من جهازك http://img98.imageshack.us/img98/3562/bsm121pz0xo7.gif http://img98.imageshack.us/img98/9093/bsm117xr2vv2.gif على إثر بعض التساؤلات حول إن كان الجهاز مخترقا و كيفية حذف سرفر الإختراق من الجهاز دون اللجوء إلى إعادة برمجة الجهاز قررت تقديم هذا الشرح حتى تعم الفائدة الجميع طرق معرفة هل الجهاز مخترق أو لا : الطريقة الاولى : كيفيه معرفه ان الجهاز مخترق ام لاء بكل سهوله و من دون برامج او تعقيد : ويندوز 2000 + XP 1- في قائمة البداية اختر الأمر RUN 2- اكتب هذه الكلمة في المكان المتاح system.ini تطلع لك bloc-note شوف نهاية الbloc-note إذا مكتوب أسطر مثل هذي : EGA40WOA.FON=EGA40850.FON CGA80WOA.FON=CGA80850.FON CGA40WOA.FON=CGA40850.FON EGA80WOA.FON=EGA80850.FON http://img210.imageshack.us/img210/5659/24203712.jpg جهازك سليم من ملفات التجسس 100% ولم يتم اختراقه أما إذا مكتوب : CGA80WOA.FON=CGA80WOA.FON CGA40WOA.FON=CGA40WOA.FON EGA40WOA.FON=EGA40WOA.FON EGA80WOA.FON=EGA80 WOA.FON يعني جهازك فيه ملفات تجسس ولازم تحذفهم باسرع وقت ممكن .. الطريقة الثانية : 1- في قائمة البداية اختر الأمر RUN 2- اكتب هذه الكلمة في المكان المتاح cmd في النافذه السوداء dos نكتب الامر التالي : net user اذا وجدت اسم المستخدم فقط (admin) جهازك سليم من ملفات التجسس 100% ولم يتم اختراقه - واذا وجدت هكذا SUPPORT_388945a0 يعني جهازك مخترق .. http://i49.tinypic.com/zvbk43.jpg طرق حذف السرفر من الجهاز : الطريقة الاولى : 1- في قائمة البداية اختر الأمر RUN 2- اكتب هذه الكلمة في المكان المتاح REGEDIT 3- من القائمة اختر HKEY-LOCAL-MACHINE 4- بعد ذلك اختر Software 5- ثم Microsoft 6- بعد ذلك Windows 7- ثم Current Version 8- و أخيرا Run 9- في القائمة على اليسار راجع الملفات الموجودة و ابحث عن ملف PATCH.EXE احذفه ثم اعد تشغيل الجهاز. الطريقة الثانية : 1- في قائمة البداية اختر الأمر RUN 2- اكتب هذه الكلمة في المكان المتاح cmd 3- ثم نكتب الأمر التالي كاملا كما هو net user support_388945a0 /delete http://img515.imageshack.us/img515/5119/34401785.jpg الطريقة الثالثة : تعتمد هاذه الطريقه على استخدام امر msconfig : اتبع التالي 1- في قائمة البداية اختر الأمر RUN 2- اكتب هذه الكلمة في المكان المتاح msconfig 3- بعدها ستضهر لك واجهة البرنامج اخترمنها start up سوف تضهر لك شاشه تعرض لك اسماء البرامج التي تعمل بشكل مباشر مع بدء التشغيل بامكانك الأان فحص هاذه البرامج والتاكد من عدم وجود برامج غريبه او غير معروفه ومن ثم الغاء الأِ شاره الموجوده امام البرنامج وبهاذا تكون قد اوقفت عمل البرنامج التجسسي او غيره من البرامج الغير مرغوب فيها . ملاحظه : هذه بعض ملفات التجسس المنتشره و المشهوره واذا اردت ان تتأكد يعني تزيل كل شي غريب من ملف التسجيل اتبع التالي : Start >> run >> regedit بعد ان تفتح لك نافذة البرنامج افتح المجلدات حسب الترتيب التالي : HKEY_LOCAL_MACHINE Software Microsoft Windows Currentversion Run بعد ان تفتح هاذه الملف ستجد به اسماء الملفات التي تشير الى وجود ملف تجسس في جهازك وغالبا ً مايكون اسم هاذا الملف غريب ولايندرج تحت برنامج معين ويكون امتداد هاذا الملف كلتالي Bat or Exe or Scr مثال : Patch.exe or fsat.bat or explo32.exe بعد ان تكتشف وجود الملف قم بمسح هاذا الملف بعد فحص الجهاز لنفترض انك وجدت ملف تجسس اذهب الى مجلد الوندوز وابحث عن اسم هاذا الملف واحذفه واذا لم تجده فبحث عنه مره ثانيه في مجلد system داخل مجلد الوندوز ثم لاتنسى ان تعيد تشغيل الكمبيوتر بعد حذف الملف . كما يمكنكم تصفح الموضوع التالي كيفية حماية الجهاز الخاص بك من الهجمات لا تنسونا من خاص دعاكم دمتم بسلام |
الف شكر لك على الشرح اعذرني على اضافة هذا الشرح وهذا شروحات عن كيفية ازالة الباتش من جهازك اولا : فحص الجهاز لمعرفة ان كان مخترق او لا إن المخترق لكي يتمكن من الاختراق عليه الدخول من أحد المنافذ Ports والبرامج المضادة للمخترقين كفيلة بإغلاق تلك المنافذ في وجه المخترق؛ ولكن، حتى نقطع الطريق على المخترق، إليكم طريقة ممتازة لاكتشاف المنافذ المفتوحة وإغلاقها بطريقة يدوية من خلال الوندوز ويجب تنفيذ هذا الإجراء أثناء الاتصال بالإنترنت online حتى نتمكن من رؤية جميع المنافذ المتصلة بطريقة غير شرعية أثناء الاتصال بالإنترنت· 1- من قائمة إبدأ اختر التشغيل Start/Run 2 -عند ظهور مربع الحوار الخاص بتنفيذ الأوامر اكتب Command 3 -سيظهر لك اطار نظام التشغيل دوس وفي داخل الإطار وأمام خانة المؤشر اكتب netstat -a: ثم اضغط على Enter 4 - والآن قارن بين ارقام المنافذ التي ظهرت لك مع أرقام المنافذ التالية، وهي المنافذ التي يفتحها في العادة ملف التجسس الباتش التابع لبرنامج Net Bus فإن وجدت رقم المنفذ ضمنها، فإن جهازك قد اخترق، وعليك في هذه الحالة التخلص أولا من ملف التجسس · وهذه منافذ دخول برنامج النت باص : - 43002 - 5401 - 0954 - 1176 - 0037- 1037 - 6037 - 3037 - 8037 - 92003 - 00103 - 10103 - 20103 - 73313 - 83313 - 93313 ثانيا : طرق التخلص من ملفات التجسس وهذه مجموعه من اخطر ملفات التجسس وطرق الخلاص منها Back Oriface يعمل على فتح المنفذ 3317 لجهازك و يجعل مستخدمي برنامج باك اورفز قادرين على اختراقك . طريقة التخلص من الملف : 1- من قائمة البداية Start اختر Run و اكتبRegedit 2- من القائمة على اليسار اختر HKEY_LOCAL_MACHINE ثم Software ثم Microsoft ثم Windows ثم Current Virsion ثم Run أو احيانا Run Once. 3- اسم الملف متغيير من مكان لأخر امتداده دائما Exe لكن يمكنك معرفته كون اسم الملف او السرفر تظهر بعده مسافةو من ثم .exe عندما تجد الملف الغه تماما .. Net Bus - النسخ قبل 2000 هو الاكثر انتشارا على الشبكة .حجمه 470 كيلو بايت يستخدم المنافذ 12345 و المنافذ 12346و هو يمكن المخترق من السيطرة شبه الكاملة على جهازك . طريقة التخلص من الملف : 1-اطفأ الجهاز و اعد تشغيلة بهيئة الوضع الآمن او Safe Mode . 2- من الاعلى انتبع الخطوات من1و 2 3- ابحث عن الملف التالي c:\windows\patch.exe و الغه و من ثم اعد تشغيل الجهاز. Net Bus 2000 على عكس السابق فاسمه متغيير و حجمة 599 بايت. طريقة التخلص من الملف: 1- من قائمة البداية Start اختر Run و اكتبRegedit 2- من القائمة على اليسار اختر HKEY_LOCAL_Machine ثم Software ثم Microsoft ثم Windows ثم Current Virsion ثم Run services 3- ابحث في القائمة على اليمين عنNBsvr.exe ( هذا هو اسم الملف في الغالب) هكذا انت على علم ان جهازك مصاب .. و عليك بالعلاج التالي .وحتى و ان لم تجد الملف السابق اكمل الخطوات التالية. 4- انتقل إلى HKEY_LOCAL_USER ثم ابحث عن مجلد اسمه NetBus Server اضغط على المجلد بزر الفأرة الايمن اختر DELETE 5- اختر إعادة تشغيل الجهاز بوضع دوس DOS 5- اكتب Cd Winodw ثم إدخال Enter اتبعها ب CD system و ادخال و من ثم اكتب Del NBSvr.exe و ادخال ، Del NBHelp.dll و اخي Del Log.txt و انتهى . اعد تشغيل جهازك . Heack’a Tack’a يستخدم بروتوكل FTP مما يصعب الوصول اليه.يستخدم المنافذ رقم 31785 و 31787 و 31789 و 31791 . طريقة التخلص من الملف: 1- من قائمة البداية Start اختر Run و اكتبRegedit 2- من القائمة على اليسار اختر HKEY_LOCAL_MACHINE ثم Software ثم Microsoft ثم Windows ثم Current Virsion ثم Run أو احيانا Run 3- ابحث عن Explorer32 و الذي يوافق المسار C:\WINDOWS\Expl32.exe و قم بحذفه ] NetSphere يستخدم المنافذ TCP 30100 - TCP 30101-TCP 30102 طريقه حذف الملف : 1- من قائمة البداية Start اختر Run و اكتبRegedit 2- من القائمة على اليسار اختر HKEY_LOCAL_MACHINE ثم Software ثم Microsoft ثم Windows ثم Current Virsion ثم Run 2-ابحث في الجهة اليمنى عن c:\windows\system\nssx.exe 3- احذف هذا الملف . و اعد تشغيل الجهاز اختراق ببرنامج يستخدم الانترنت اكسبولرر كثغره يعني بيكون الحقن علي الانترنت اكسبلورر بتعرف ازاي لما بتفتح البرنامج بتلاقي برنامج الانترنت اكسبلورر شغال IEXPLORER مع انك قافل كل صفح الانترنت كده بيكون في حقن علي الانترنت اكسبلورر طيب دلوقتي عرفنا ان في باتش محقون في الاكسبلورر هنشيله ازاي اقولك انا أول حاجه هندوس بالزرار الايمن للموس علي عمليه الانتنرت اكسبلورر IExplorer وبعدين ندوس علي خصائص ونشوف مسار الباتش http://up.khellan.com/file/uploads/c9ffc2f0bb.jpg دلوقتي عرفنا مكان الباتش http://www.dev-point.com/vb/imagize/smilies/150.gif طيب دلوقتي نروح علي الفولدر إللي فيه الباتش في المثال إللي معانا الباتش إسمه Serverفي فولدر إسمه Bifrost موجود في Program Files في القرص الصلب C بعد لما نروح علي الفولدر هنلاقي الباتش موجود نرجع تاني علي البرنامج وندوس بالزرار اليمين للموس علي IExplorer ونختار قتل عملية http://up.khellan.com/file/uploads/43b8f07d28.jpg بعد كده نروح علي الفولدر إللي فيه الباتش ونمسح الباتش وبكده وقفنا الباتش ورميناه من الجهاز جهآزك سليم http://www.download.com/Process-Expl...-10223605.html هل تريد إزالة ملفات الباتش من جهازك ؟ أولا : أنقر فوق إبداء ---> تشغيل ---> أكتب السطر التالي : Regedit ثم نقرتين على : HKEY_LOCAL_MACHINE ثم نقرتين على : Software ثم نقرتين على : Microsoft ثم نقرتين على : Windows ثم نقرتين على : CurrentVersion ثم نقرة واحدة على : Run الآن أنظر في الجزء الأيمن من الصفحة سوف تجد أسماء برامج وموقعها في الهارد دسك إذا لقيت اسم ملف ولم تجد له موقع في الهارد دسك فذلك هو ملف الباتش الموجود في جهازك .. أو على العناوين التالية : Name DATA NET POWER C:\WINDOWS\NET POWER.EXE /nomsg Explorer32 C:\WINDOWS\Expl32.exe ole C:\WINDOWS\SYSTEM.ljsgz.exe إذا كنت تريد الحماية، اتبع الطرق الآتية : أولا : يجب التأكد من عدم وجود تروجان بجهازك ، و التروجان هو خادم يسمح للمخترق بالتحكم الكامل في جهازك ، ويتم زرعه بجهازك عن طريق المخترق و ذلك بإرساله إليك عن طريق بريدك الإلكتروني مثلا أو عن طريق برامج الدردشة الفورية مثل ICQ أو عن طريق قرص مرن ، أو تقوم أنت بزرعه في جهازك عن طريق الخطأ بسبب عبثك في برامج الاختراق • فتقوم بفك التروجان في جهازك ، بدلا من أن ترسله إلى الجهاز المراد اختراقه ، لذلك أنصحك عدم تحميل هذه البرامج نهائياً ، ولكي نتأكد ما إذا كان بجهازك تروجان أم لا ، هناك عدة طرق مثل البحث في ملف السجل Registry ريجستري الخاص بالوندوز، ولأهمية الريجستيري ولتفادى حذفك الملفات عن طريق الخطأ سوف نبحث عن التروجان بطريقة آمنة و ذلك باستخدام برامج باحثة • الذي يعد أفضل برنامج The Cleaner فإذا لم يكن متوفرا لديك، قم بتحميله فوراً. ثانيا : قم بعمل بحث عن التروجان بالضغط على زر بحث سكان Scan و بعد الانتهاء من البحث على قرصك الصلب ، سيخبرك برنامج إن كان يوجد لديك تروجان مزروع بجهازك ، وسيعطيك خيار حذفه أو عدمه ، طبعاً اضغط على الموافقة لحذفه إذا انتهى البحث و ظهرت نافذة صغيرة مكتوب بها scan complete فهذا معناه أن جهازك خال و نظيف من التروجان • ثالثا : قم بتحديث البرنامج المكافح للفيروسات لديك دائماً ، فبرنامج الفيروسات يقوم أحياناً بكشف التروجان عند فتحه عن طريق تحديث البرنامج الموجود على جهازك لأن عمل UPDATE باستمرار من على الإنترنت فيكون قد تم وضع آخر إصدار لهذه البرامج المكافحة للفيروس و التروجان من على الموقع الخاص ببرنامج المكافحة ومدك أيضاً بأحداث أسماء للفيروسات و التروجان الذي أنصحك دائماً بعمل UPDATE للبرنامج الخاص بك باستمرار • وأيضاً معرفة أحدث البرنامج المكافحة للفيروسات و التروجان من خلال شبكة الإنترنت • رابعا : استقبل الملفات أو البرامج أو الصور من أشخاص تثق بهم فقط ، وإن لم تفعل ذلك، فعلى الأقل لا تقم بفتحها إلا بعد انقطاعك عن الاتصال ، وبعد فتحها جميعاً قم بعملية بحث عن التروجان بواسطة برنامج Cleaner على قرصك الصلب لتتأكد من خلوه من التروجان ، فالتروجان له خاصية الذوبان في النظام ، علماً بأن حجمه يتراوح من 50 إلى 150 كيلو بايت حسب نوعيته و إصداره . ( قد تستقبل صورة أو ملف و يكون التروجان مزروعا بداخلها لذلك احذر) . خامسا : احذر الملفات التي تأتيك عن طريق البريد الإلكتروني ، فإذا كان الملف المرسل إليك من شخص لا تثق به و من نوع dll أو exe فلا تستقبله أبداً . سادسا و أخيرا : يفضل أن يكون رقمك السري مكونا من حروف وأرقام ، ويكون أكثر من 8 خانات ، كما يفضل تغييره على الأقل كل شهر . أنت الآن في أمان من الهاكرز إن شاء الله . كيف تعلم بتعرض جهازك للاختراق؟! حين جلوسك أمام الانترنت و فجأة يحدث شيء غريب مثل خروج CD و دخوله أو انقلاب الشاشة أو شيء غريب و غير عادي اعلم انك قد تعرضت للاختراق. وقد لا تحس من الأساس، مادامت برامج التجسس في تطور!!! عند تعرض جهازك للاختراق ماذا تعمل ؟؟ أول ما تفعله هو فصل الانترنت و إعادة تشغيل الجهاز و من ثم عمل بحث عن أي ملفات غريبة أو باتشات في جهازك و إذا وجدت فقم بإزالتها و اتصل مرة أخرى على الانترنت و انظر ان كان هذا الشيء الغريب قد زال أم لا فان لم يزل قم بعمل بحث مرة أخرى و إذا واصلت هذه المشكلة فقم بتغيير ملفات الحماية عندك. §¤*~ ملفات التجسس ~*¤§ 1- اسم الملف : Back Oriface تعريف :=================== يعمل الملف على فتــح نافذة خلفيه لجهازك ..مما يمكـن مستخدمي برنامج الباك أورفز من اختراق جهازك باستـخدام البورت رقم 3317 التخلص من الملف : يقوم الملف بالاختباء في الريجستري فايل .. ( registry) أتجه إلى : RUN..then type… regedit HKEY_LOCAL_MACHINE + software + microsofte + windows + current Version + Run or Run once .. امتداد الملف هو : EXE وأسهل طريقه للتعرف عليه لان الاسم الخاص بالسيرفر متغير هو ان اسم الملف والامتداد بينهما مسافة .. مثال : server .exe " قم بمسح الملف كاملا .. " 2- اسم الملف : Net Bus Ver 1.6 & 1.7 تعريف : الحقيقة ان النت باص أو أتوبيس الشبكة من أسهل برامج الاختراق و أشهرها لانتشار ملفه الخادم ..أو المسمى بالسيرفر .. التخلص منه : النت باص يستخدم الباتش سيرفر و يختبئ في الريجستري .. وللتخلص منه اتبع الآتي : يجب أولا إطفاء الجهاز وتشغيله في وضعية السيف مود " safe mode " اتجه للريجسترى ثم ابحث عن الملف الآتي : :c:\windows\patch.exe ثم قم بمسحه واعد تشغيل الجهاز مره أخرى 3- اسم الملف : Net Bus 2000 تعريف : برنامج النت باص 2000 يستخدم السيرفر العادي وهو server.exe " " و لاكن يمكن تغير الاسم وهو يسجل نفسه و لاكن في منطقه أخرى في الريجستري .. التخلص منه : للتخلص من البرنامج قم بالبحث عن الملف و لاكن بدلا من : HKEY_LOCAL_MACHIN اتجه إلى : HKEY_LOCAL_USERS ثم ابحث عن : HKEY_LOCAL_USER\SOFTWARE\MICROSOFTE\WINDOWS\CURREN T VERSION\RUN SERVICES\Key:UMG32.EXE الكلمة التي تحتها خط هي الخادم للبرنامج أو السيرفر .. ان وجدتها قم بإطفاء الجهاز و إعادة تشغيله في وضع السيف مود ( Safe Mode) ثم تخلص من الملف واعد تشغيل الجهاز 4- اسم الملــف : Heack’a Tack’a واسم السيرفر: server.exe تعــريف : يعتبر البرنامج من البرامج الخطرة لأنه يستخدم بروتكول FTP ويصعب على كثير من برامج الكشف عن ملفات التجسس إيجاده .. التخلص من الملف : يقوم الملف أو السيرفر بالاختباء في ملف الريجستري قم بالاتجاه إلى الريجستري كما سبق وان شرحنا وعندما تصل إلى : Run أو Run once ابحث عن الملف ان كنت مصاب بالملف سوف تجد الآتي في ملف الريجستري مع علمي الأكيد بان الكثير مصابين بهذا الملف : Explorer32 "C/WINDOWS\Expl32.exe قم بمسح الملف على الفور .. 5- اسم الملف : Master Paradise تعريف : يعتبر هذا البرنامج سيد برامج الاختراق … ويختبئ أيضا في الريجستري التخلص من الملف : اتجه للريجسترى ثم ابحث عن امتداد الملف : “C:\windowds\nameofthe.exe" عندما تجد هذا الملف في الريجستري قم بمسحه 6- اسم الملف : ICQ Torjan تعريف : يقوم هذا الملف بعمل ثغره للمخترقين داخل جهازك مما يساعدهم على اختراق جهازك باستخدام السيرفر الخاص بالاسكيو ..وعندما تصاب بالملف يقوم الملف بتغير الاسكيو الحقيقي لديك ICQ.exe و إبعاده وتغير اسمه ليصبح ICQ2.EXE التخلص منه : يمكن التخلص من الملف بكل سهوله اتجه إلى الملف الخاص بالاسكيو وقم بحذف ملف الاسكيو ICQ.EXE ثم قم بتعديل اسم الاسكيو الحقيقي ICQ2.EXE إلى ICQ.EXE |
[align=center]يعطيكم العآفية إخوآني ينقل إلى قسم الحمآية بعد إذنكم[/align] |
تسلم اخي على المورو الف شكر للاخ تيتي على الشرح المميز |
[align=center][/align]يسلمو إيديك على هالشرح فعلا معلومات قيمة ... أرجو أنتعم الفائدة الجميع |
thank you brother |
الله يسلمك علي الشرح الطيب |
الموضوع جمييييييييييييل مشكورين يا اخوة |
الف شكر لك بارك الله فيك |
| الساعة الآن 05:32 PM |
[ vBspiders.Com Network ]