:: vBspiders Professional Network :: - احدف كل فيروس و باتش من جهارك (بديل الفرمتة)

[align=center]السلام عليكم اخواني اعظاء المنتدى الغالي
لما كنت ابحث فيى نمتديات الهكر لاني كنت انوي افرمت جهازي بس لقيت احلى بديل
انا حبيت انقل لكم هدا الموضووع لاهميته
اتمنى يعجبكم بلا ما اطول اخليكم مع الوضوع

من منا لم يعاني من الفيروسات والملفات الخبيثه أكيد الجميع
لاكن هل سئلت نفسك يوم من الايام ان تتعلم المحافظة على كمبيوترك الشخصي
من الفيروسات الظارة حتى تكون على درايه تامه بالاخطار التي تحيط بجهازك
دون علم.. القليل ربما يهتم أذا كان حريص.أما المهمل فتجده باكمله حصان طرواده

طبعاً أسباب دخول الفيروسات الى جهازك هي:-

1-عدم وجود مكافح فيروسات أو جدار ناري قوي مثل الافيرا والكاسبر يمنع
زرع وتكوين الملفات الظاره في temp الملفات المؤقته كما تعلمنا سابق
وأغلبها تاتي من المواقع المشبوهة التي تم زيارتها
2-عدم تحديث مكافح الفيروسات باستمرار للحصول على أخر أكتشاف بيانات الفيروسات
3-عدم الاهتمام بالبرامج الموثوقه من مصدر موثوق أي البرامج لابد تحميلها من مصدرها حتى ولو
كنت تثق بالمصدر الغير أصلي..
4-الفلاشات او الهاردسكات الخارجيه التي تنتقل من كبيوتر الى كمبيوتر هذه يجب الحذر منها
حيث أغلب بل أكثر الفيروسات تستهدف هذه الفلاشه بوظع فيروس ينشر نفسه بنفسه.لذالك
أذا كان عندك فلاشه او هارد خارجي لاتظعه في جهاز لاتثق فيه. حتى لاتنتقل العدوى
هذه أهم المعوقات التي يجب الحذر منها.طبعا مع بعض العمليات والادوات التشخيصيه التي تظمن أستقرار الكمبيوتر
فلا تعتمد على برامج الحمايه والجداران الناريه لئنها تخترق أيظا بعمليات التشفير والتحايل عليها

أظرار الفيروسات كثيره:-
1-منها يجعل الكمبيوتر لايقوم بمهامه على أكمل تلاحظ تغيرات الكمبيوتر البطئ والخمول وغيرها
2-يقوم بتعطيل الريجستري هذه أول مهمه للفيروسات لئن الريجستري تستطيع من خلاله
تعطيل الفيروس وحذف قيمه الظاره.والريجستري كانها شجرة أوراقها مهمه أذا سقطة يتعطل الحاسب عن أكمال مهمته الاساسيه.نكتفي بهذا التعريف
3-أيظا أدارة المهام تتعطل لكي لايقوم المستخدم بتعطيل الفيروس من البروسيس أي الملفات قيد التشغيل تابع
الدورة الى نهايتها وتجد الدرس المخصص للملفات القيد تشغيل
4-تتغير ملفات النظام أو تتلف بسبب أوامر الفيروسات منها ماهو موجه لتخريب ملفات system
يعني أحالة الكمبيوتر خارج الخدمه.

المعلومات التي في الاعلى لكي تتظح الصورة أذا أردة التعامل مع الفيروسات وللعلم فقط

طبعا الفيروسات منها أنواع:-
1-نوع سهلة الحذف من الحاسب الالي والتي تحذفها ببرامج مكافح الفيروسات والادوات.
2-نوع صعبة الحذف لاينفع معها برامج المكافحة ولا الادوات وهي تاتي على الشكل التالي
فيروس متمكن من الريجستري.وهو الذي يصيطر على الحاسب أي لاتستطيع تنصيب
مكافح الفيروسات أو الجدارن الناريه كل ما أردة التنصيب يتلفها ويحيلها الى خارج الخدمه
مثل أدارة المهام والوصول الى الريجستري وكل ما أردة الدخول لها يعطيك لاتستطيع الوصول أو لسة مسؤل عن الوصول
تحذف الفيروس يعود تفرمة الكمبيوتر يعود.والسبب أذا حفظة ملفات على هارد خارجي قبل الفورمات وبعد الفورمات
تعيدها الى الكمبيوتر يرجع معها الفايرس لئنه نشر نفسه بهذه الملفات قبل الفرمته وانت أعده مع الملفات بعد الفرمته
لذالك تاكد أذا أصاب الجهاز فيروسات أنه لم ينشر نفسه مع بقية الملفات وتستطيع أيقاف خاصية الاوترون
في الجهاز وهي التي تساعد على أنتشار الفيروسات بالجهاز والملف المسؤول عن الاوتورون هو Autorun.inf
موجود على المسار التالي في الريجستري

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionIniFilemappingAutorun.inf]

ملاحظة:- أذا تم تعطيله لاتستطيع تشغيل الاصطوانات التلقائيه في السيدي فقط تشغلها يدوي والافظل تعطيله للحمايه
قد لاتستطيع الوصول اليدوي الى الريجستري لتمكن الفايرس منها فقد تابع
الان بعد الجهد الطويل من قرءاة المعلومات والتعرف على الفيروسات ومبدى عملها ناتي الى التطبيق

في حال داهمة الفيروسات الجهاز أول ماتفعل تعطيل أستعادة النظام لئنها المسؤل عن رجوع الفيروسات
بعد حذفها..والجميع يعلم عن أهمية أستعادة النظام الى وقت أخر نحن سوف نعطله لكي لايعود الفايروس
بعد حذفه ولايتذكر القيمه أو التاريخ بالريجستري التي زرعها..يعني عملية تخدير مؤقت للجهاز وأتمام العمليه
هيا نقوم بتعطيل أستعادة النظام أذهب الى أيقونة الكمبيوتر على سطح المكتب وأظغط الزر اليمين وأختر خصائص
ثم تابع الصورة

http://www.iraqup.com/up/20100626/uP..._150833525.gif

الان ندخل من الوظع الامن وتختلف عملية الدخول الى الوظع الامن من كمبيوتر الى كمبيوتر أخر لاكن الغرض واحد
نعيد تشغيل الجهاز وعند التشغيل كرر الظغطات على F8 من لوحة المفاتيح الكيبورد سوف تلاظ الصورة التاليه
والعذر على ردائة التنسيق لئنه تصوير كاميرا رقميه.

http://www.iraqup.com/up/20100626/bS..._353655493.gif

وكما قلة قد يتم الاختلاف بطريقة الدخول بالوظع الامن في جهازك لاكن أختلاف بصيط فقط
الان بعد تعطيل الوظع الامن ندخل على الريجستري لتعطيل Autorun.inf الملف المسؤل عن الاوتورون
كما قلة سابق هذا الملف يساعد الفيروسات على الانتشار بسرعه ويجب تعطيله والطريقة كاتالي
من أبدا ثم تشغيل وأكتب REGEDIT كما بالصورة التاليه

http://www.iraqup.com/up/20100626/OS..._528981702.gif

الان تم تعطيل التالي :-
1-أستعاددة النظام لظمان عدم عودة الفيروسات بعد التظيف والصيانه
2-تم تعطيل خاصية الانتشار التلقائي للفيروسات الاوترون Autorun.inf في الجهاز لظمان عدم الانتشار بشكل أكبر
الان سوف نقوم باأظهار المجلدات المخفيه ومجلدات النظام لكي نظهر الفيروسات التي عطلة أظهار الملفات المخفيه لتفادي حذف المستخدم لئن أغلب الفيروسات أول مايعطل هذه الخاصيه بعد الدخول
يقوم باأخفاء نفسه في الخلفيه حتى لايكشف من قبل المستخدم .

من أبدا ثم أعدادات ثم لوحة التحكم ثم خيارات المجلد كما بالصوره

http://www.iraqup.com/up/20100626/o7..._615730236.gif

الان نتجه الى الاماكن التي تقصدها الفيروسات لحذفها يدوي من أبدى ثم تشغيل وأكتب %temp% ثم تابع الصورة

http://www.iraqup.com/up/20100626/3H..._888676781.gif

الان من داخل الوظع الامن حمل برنامج Anti-Malware من الوصلة التاليه

[rainbow]Malwarebytes Anti-Malware - Reviews and free Malwarebytes Anti-Malware downloads at Download.com[/rainbow]
طبعا أكيد الكمبيوتر مافيه أي مكافح فيروسات أو فيه مكافح لاكن معطل من الفيروسات عشان كذا طرحة هذه الطريقة
أنتبه تركب البرنامج ويوجد برنامج مكافح فيروسات أخر يعمل وليس فيه أي خلل حتى لايتعارضان ثم يظرب معك النظام
أنا ركبة البرنامج والافيرا سكورتي شغال صار بطى خفيف بعد الانتها من الشرح عليه حذفته ورجعة الامور تمام
بعد التحميل ثبت البرنامج تثبيت عادي وبعد الانتها سوف تلاحظ ان البرنامج يحدث نفسه تلقائي أنتظر الى أن ينتهي من عمله
طبعا التحديث للبرنامج مهم ولابد ان تكون متصل في الانترنت لكي يتم تحميل أخر قاعدة بيانات للفيروسات حتى أذا فحصة الجهاز يتعرف على أجدد وأخر الفيروسات تابــــع ااشرح أفهم شويه

http://www.iraqup.com/up/20100626/7n..._322273802.gif

بعد الانتها من برنامج Anti-Malware قم بحذفه لئنك لن تحتاجه إلا لمره فقط للتنظيف وبعده أكيد راح تختار كاسبر أو أفيرا لقوت أدائهم

الان سوف نعمل تقرير للجهاز ببرنامج هايجاك لنرى أخر القيم الظاره أن وجدة بعد الفحص ببرنامج Anti-Malware وحذف الفيروسات ندخل الموقع
HijackThis Logfileauswertung
أو تحميل مباشر من نفس الموقع
http://www.hijackthis.de/downloads/HJTInstall.exe
بعد التحميل نثبت البرنامج ثم تابع الصور

http://www.iraqup.com/up/20100626/jb..._915632527.gif

هذه أمثلة لقيم البرامج قيد التشغيل مقتبسه من احد المواقع فجزا الله خير الجزى الاخ عمر على مدنا بالمعلومات

http://www.iraqup.com/up/20100626/Y6..._942606701.gif

أيظا مثال أخر للقيم ولاكن قيم لبرامج بدى التشغيل

http://www.iraqup.com/up/20100626/As..._529916491.gif

هذا مثال تقرير جهازي

Logfile of trend Micro HijackThis v2.0.2
Scan saved at 9:37:47 CH, on 09/12/2009
Platform: Windows XP SP100 (WinNT 5.01.2666)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)

Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\VTTimer.exe
C:\WINDOWS\system32\VTtrayp.exe
C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\TechSmith\Snagit 9\Snagit32.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Program Files\TechSmith\Snagit 9\TSCHelp.exe
C:\Program Files\TechSmith\Snagit 9\SnagPriv.exe
C:\Program Files\Avira\AntiVir Desktop\avmailc.exe
C:\Program Files\Avira\AntiVir Desktop\AVWEBGRD.EXE
C:\Program Files\TechSmith\Snagit 9\snagiteditor.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = Bing
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Bing
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Bing
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
O2 - BHO: SnagIt Toolbar Loader - {00C6482D-C502-44C8-8409-FCE54AD9C208} - C:\Program Files\TechSmith\Snagit 9\SnagitBHO.dll
O3 - Toolbar: Snagit - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - C:\Program Files\TechSmith\Snagit 9\SnagitIEAddin.dll
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [VTtrayp] VTtrayp.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\RunOnce: [_nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\RunOnce: [ShowDeskFix] regsvr32 /s /n /i:u shell32 (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [_nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [_nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [_nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')
O4 - Global Startup: Snagit 9.lnk = C:\Program Files\TechSmith\Snagit 9\Snagit32.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O23 - Service: Avira Firewall (AntiVirFirewallService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avfwsvc.exe
O23 - Service: Avira AntiVir MailGuard (AntiVirMailService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avmailc.exe
O23 - Service: Avira AntiVir Scheduler (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Avira AntiVir WebGuard (AntiVirWebService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\AVWEBGRD.EXE
--
End of file - 5030 bytes

الاحمر معلومات الجهاز التاريخ نوع النظام....
الاخظر ملفات النظام في السيستم والويندوز
الازرق ملفات البروقر فايلي البرامج وغيرها التي قيد التشغيل
أما بقية القيم تم تفصيل الاهم منها الباقي لاتحتاجه

الى هنا تم الانتها من الدرس والله الموفق وصلى الله وسلم على نبينا محمد.

منقوول للفائدة
لا تنسوني من التفييم
:20:
اخوكم في الله anti ripper
[/align]