قائمة بكل ما سوف تتناولة الموسوعة
رقم 4
1-
كيف اعرف ان الصورة متلغمة
"يعنى مدموج فيها باتش"؟
2-
كيف
تعرف ان جهازك مخترق مهم جدا..؟
3-
كيف
تحمي جهازك من الاختراق بدون برامج.. ؟
4-
اقوى جاسوس من الاستخبارات الامريكية في جهازك الحق واحذفة ؟
إخلا مسؤوليه :
موقع الاحترافي والكاتب غمدان السعيدي وجميع طاقم العمل غير مسؤولين بأي شكل من الأشكال استخدام هذا البحث في انتهاك معاير المجتمع او الإستخدام السيء للبحث تم كتابة هذا البحث لأغراض تثقيفية والتوعية وحماية المستخدم ولا يهدف بأي شكل من الاشكال لانتهاك الخصوصية او قوانين الدولية واي استخدام سيء للبحث فإنت مسؤول عن نفسك شخصيا وليس للموقع او للكاتب اي صلة
كيف تعرف ان الصورة المرسلة لك ملغمة "أى مدموج فيها باتش"؟
اولاً لابد أن نعرف بوجود صيغ
تنفيذية وصيغ غير تنفيذية
فالصورة التى تكون صيغتها غير
تنفيذية مثل bmb , png , jpg , jpeg , gif
لكن إذا وجدنا صورة صيغتها مثلا , scr dll , cox , com , exe , bat , pif , vbs , dif
, shs
فهذه صيغ تنفيذية ومنها نعرف أنها ليست صورة ...وانها تروجان ومدموج معها صورة
فهذه صيغ تنفيذية ومنها نعرف أنها ليست صورة ...وانها تروجان ومدموج معها صورة
كيف تعرف ان جهازك مخترق
مهم جدا :-
الطريقة الأولى
نفتح قائمة أبدأ
ثم نكتب الامر التالى
system.ini
ثم نضغط ok
بعد ذلك سوف تظهر لنا مفكرة note padبها بعض الاوامر كما بالصورة
أما اذا ظهر لك الرمزWOA كما هو محدد بالصورةWOA
فهذا يعنى ان جهازك مخترق وبه ملفات تجسس وسهل جدا ان يتم إختراقة فى أى وقت
ويفضل أن تقوم بمحو الملفات الخاصة بأسرع وقت حتى لا يتم نقلها أو نقوم بعمل باسورد
الطريقة الثانية
1- إذهب إلى قائمة أبدا start ثم تشغيل أختر run
2- ثم فى Run اكتب Cmd
3- ثم اكتب هذا الأمر netstat –a ولاحظ المسافه بين حرف ( T ) وعلامه ( - )
4- ثم اضغط ( Enter )
5- سيتم عرض جميع المنافذ المفتوحه في جهازك والتي تكون بعد الرمز ( : ) مباشره اما ما قبل الرمز فهو اسم الكمبيوتر الخاص بك الذي تم تعريفه عند تجهيز شبكه الاتصال
6- والان قارن ارقام المنافذ التي تظهر لك مع ارقام المنافذ التاليه وهي المنافذ التي يفتحها في العاده ملف ( الباتش ) التي ببرامج التجسس او التخريب ...
فأن وجدت رقم من ضمن ارقام المنافذ فان جهازك قد اخترق من قبل هكر وعليك في هذا الحالة التخلص اولا من ملف التجسس ثم بعد ذلك عليك باغلاق المنافذ المفتوحه ....
وان لم تجد رقم من هذه الأرقام في تقرير الدوس فان جهازك في أمان ولم يتم اختراقه
10034 -1045 – 4590 – 6711 -7300 – 7301 - 7306 - 7303 - 7308 -30029 – 30100 - 30101 - 30102 – 31337 – 30338 – 31339 – 31666 – 54320- 54321 - 6711- 6776 - 1234 – 1999 – 0 - 43002 - 5401 - 0954 - 1176 - 0037- 1037 - 6037 - 3037 - 8037 - 92003 - 00103 - 10103 - 20103 - 73313 - 83313 - 93313
الطريقة الثالثة
عند الضغط على الأزرار .. ( Alt + ctrl + Delete) سوف تفتح معك نافذة إدارة المهام
اذا وجدت الرسم البياني المشابة لمخطط القلب بالاعلى ..
مرتفع ويمشي بخط مستقيم .. أعرف ان جهازك مهكر , ولتقم بعمل الفورمات فورااااا .
مرتفع ويمشي بخط مستقيم .. أعرف ان جهازك مهكر , ولتقم بعمل الفورمات فورااااا .
كيف تحمي جهازك من الاختراق
بدون برامج :-
عندما تكتشف أن جهازك مخترق
الأفضل أن تقوم بعمل فورمات للجهاز لأن أحياناً ملفات الباتش تجدد نفسها حتى لو
حذفتها أما إذا لم تستطع أو لا تريد عمل الفورمات
فعليك أتباع الأتى:-
هناك عدة طرق تستخدم لسد المنافذ فى جهازك التى تساعد على الأختراق :
الطريقة الأولى:-
قم بحذف
ملف الباتش الذى يساعد على الأختراق بواسطة ملف تسجیل النظام Registry
و ذلك بأتباع الطريقة الأتية :-
1- من قائمة Start نختار Run
2- ثم نكتب في خانة التشغیل Run الأمر regedit
3- ثم نفتح المجلدات التالیة حسب الترتیب في قائمة Register
Editor :
HKEY_LOCAL_MACHINE
Software
Microsoft
Windows
Current Version
Run أو Run once
-والآن من نافذة تسجیل النظام Registry Editor انظر إلي یمین النافذة بالشاشة المقسومة ستشاھد تحت قائمة Names أسماء الملفات التي تعمل مع قائمة بدء التشغیل ویقابلھا في قائمة Data عناوین الملفات .
-لاحظ الملفات جیدا فإن وجدت ملف لایقابلة عنوان بالـ Data أو قد ظھر أمامھ سھم صغیر ---> فھو ملف تجسس إذ لیس لھ عنوان معین بالویندوز
و إذا لم تجده تحقق من الملفات
إذا وجدت أسم غريب أبحث عنه فى جوجل سوف يعطيك معلومات عن الملف إن كان ضار أم
لا .
- فإذا
وجدت ملف إختراق تخلص منھ بالضغط على الزر الأیمن للفارة ثم Delete
** لو وجدت
أحدى العناوين الأتية الموجودة فى Date أحذفها :-
NET POWER
C:\WINDOWS\NET POWER.EXE /nomsg
Explorer32
C:\WINDOWS\Expl32.exe
C:\WINDOWS\NET POWER.EXE /nomsg
Explorer32
C:\WINDOWS\Expl32.exe
ole
C:\WINDOWS\SYSTEM.ljsgz.exe
*** و كذلك ملفات
التجسس التالية :-
الملف الأول
Back Oriface
Back Oriface
طريقة التخلص من هذا الملف:
1- من قائمة البداية Start اختر Run و اكتب Regeditثم Ok
2- من القائمة على اليسار اختر
1- من قائمة البداية Start اختر Run و اكتب Regeditثم Ok
2- من القائمة على اليسار اختر
HKEY_LOCAL_MACHINE----- ثم ----- Software ثم----- Microsoft
ثم ----- Windows ثم Current Version ----- ثم Run أو احيانا Run Once.
3- اسم الملف Server وهو متغيير من مكان لآخر ولكن امتداده دائما EXE لكن يمكنك معرفته كون اسم الملف Server وتظهر بعده مسافة ومن ثم exe عندما تجد الملف الغه تماما ..
3- اسم الملف Server وهو متغيير من مكان لآخر ولكن امتداده دائما EXE لكن يمكنك معرفته كون اسم الملف Server وتظهر بعده مسافة ومن ثم exe عندما تجد الملف الغه تماما ..
الملف الثاني
Net Bus النسخة قبل 2000
Net Bus النسخة قبل 2000
هو الاكثر انتشارا على الشبكة
.حجمه 470 كيلو بايت يستخدم المنافذ 12345 و المنافذ 12346و هو يمكن المخترق من السيطرة
شبه الكاملة على جهازك .
طريقة التخلص من الملف:
1- من قائمة Start اختر Run و اكتبRegedit ثم OK
1- من قائمة Start اختر Run و اكتبRegedit ثم OK
2- من القائمة على اليسار اختر
HKEY_LOCAL_MACHINE----- ثم ----- Software ثم----- Microsoft
ثم ----- Windows ثم Current Version ----- ثم Run services
3- ابحث في القائمة على اليمين عنNBsvr.exe هذا هو اسم الملف في الغالب هكذا انت على علم ان جهازك مصاب .. و عليك بالعلاج التالي .وحتى و ان لم تجد الملف السابق اكمل الخطوات التالية.
4- انتقل إلى HKEY_LOCAL_USER ثم ابحث عن مجلد اسمه NetBus Server اضغط على المجلد بزر الفأرة الايمن اختر DELETE
5- ثم اختر إعادة تشغيل الجهاز بوضع دوس DOS
6- اكتب Cd Winodw ثم إدخال Enter لتنتقل إلى مجلد الوندو ثم اكتب CD system ثم إدخال Enter لتنتقل إلى مجلد النظام و من ثم اكتب Del NBSvr.exe ثم إدخال لحذف الملف ، Del NBHelp.dll و اخيرا أكتبDel
3- ابحث في القائمة على اليمين عنNBsvr.exe هذا هو اسم الملف في الغالب هكذا انت على علم ان جهازك مصاب .. و عليك بالعلاج التالي .وحتى و ان لم تجد الملف السابق اكمل الخطوات التالية.
4- انتقل إلى HKEY_LOCAL_USER ثم ابحث عن مجلد اسمه NetBus Server اضغط على المجلد بزر الفأرة الايمن اختر DELETE
5- ثم اختر إعادة تشغيل الجهاز بوضع دوس DOS
6- اكتب Cd Winodw ثم إدخال Enter لتنتقل إلى مجلد الوندو ثم اكتب CD system ثم إدخال Enter لتنتقل إلى مجلد النظام و من ثم اكتب Del NBSvr.exe ثم إدخال لحذف الملف ، Del NBHelp.dll و اخيرا أكتب
الملف الثالث
Heack’a Tack’a
Heack’a Tack’a
يستخدم بروتوكل FTP مما يصعب الوصول اليه.يستخدم
المنافذ رقم 31785 و 31787 و 31789 و 31791
طريقة التخلص من الملف:
1- من قائمة Start اختر Run و اكتبRegedit ثم OK
2- من القائمة على اليسار اختر
HKEY_LOCAL_MACHINE----- ثم ----- Software ثم----- Microsoft
ثم ----- Windows ثم Current Version ----- ثم Run أو احيانا Run Once.
3-ابحث عن Explorer32 و الذي يوافق المسار C:\WINDOWS\Expl32.exe و قم بحذفه
3-ابحث عن Explorer32 و الذي يوافق المسار C:\WINDOWS\Expl32.exe و قم بحذفه
الملف الرابع
NetSphere
NetSphere
يستخدم المنافذ TCP 30100 -
TCP 30101-TCP 30102
طريقة التخلص من الملف:
1- - من قائمة Start اختر Run و اكتبRegedit ثم OK
2- من القائمة على اليسار اختر
طريقة التخلص من الملف:
1- - من قائمة Start اختر Run و اكتبRegedit ثم OK
2- من القائمة على اليسار اختر
HKEY_LOCAL_MACHINE----- ثم ----- Software ثم----- Microsoft
ثم ----- Windows ثم Current Version ----- ثم Run.
3- ابحث في الجهه اليمنى عن c:\windows\system\nssx.exe
4- احذف هذا الملف . و اعد تشغيل الجهاز بواسطه الضغط على CTRL+ALT+DELETE
3- ابحث في الجهه اليمنى عن c:\windows\system\nssx.exe
4- احذف هذا الملف . و اعد تشغيل الجهاز بواسطه الضغط على CTRL+ALT+DELETE
الملف الخامس
Net Bus Ver 1.6 & 1.7
Net Bus Ver 1.6 & 1.7
تعريف :
الحقيقة ان النت باص أو أتوبيس الشبكة من أسهل برامج الاختراق و أشهرها لانتشار ملفه الخادم ..أو المسمى بالسيرفر ..
التخلص منه :
النت باص يستخدم الباتش سيرفر و يختبئ في الريجستري ..
وللتخلص منه اتبع الآتي :
يجب أولا إطفاء الجهاز وتشغيله في وضعية السيف مود " safe mode "
اتجه للريجسترى ثم ابحث عن الملف الآتي :
:c:\windows\patch.exe
ثم قم بمسحه واعد تشغيل الجهاز مره أخرى
الحقيقة ان النت باص أو أتوبيس الشبكة من أسهل برامج الاختراق و أشهرها لانتشار ملفه الخادم ..أو المسمى بالسيرفر ..
التخلص منه :
النت باص يستخدم الباتش سيرفر و يختبئ في الريجستري ..
وللتخلص منه اتبع الآتي :
يجب أولا إطفاء الجهاز وتشغيله في وضعية السيف مود " safe mode "
اتجه للريجسترى ثم ابحث عن الملف الآتي :
:c:\windows\patch.exe
ثم قم بمسحه واعد تشغيل الجهاز مره أخرى
الملف السادس
Net Bus 2000
تعريف :
برنامج النت باص 2000 يستخدم السيرفر العادي وهو server.exe " " و لكن يمكن تغير الاسم وهو يسجل نفسه و لاكن في منطقه أخرى في الريجستري ..
التخلص منه :
للتخلص من البرنامج قم بالبحث عن الملف و لاكن بدلا من HKEY_LOCAL_MACHIN
اتجه إلى HKEY_LOCAL_USERS
ثم ابحث عن :
الكلمة التي تحتها خط هي الخادم للبرنامج أو السيرفر .. ان وجدتها قم بإطفاء الجهاز و إعادة تشغيله في وضع السيف مود ( Safe Mode)ثم تخلص من الملف واعد تشغيل الجهاز
برنامج النت باص 2000 يستخدم السيرفر العادي وهو server.exe " " و لكن يمكن تغير الاسم وهو يسجل نفسه و لاكن في منطقه أخرى في الريجستري ..
التخلص منه :
للتخلص من البرنامج قم بالبحث عن الملف و لاكن بدلا من HKEY_LOCAL_MACHIN
اتجه إلى HKEY_LOCAL_USERS
ثم ابحث عن :
الكلمة التي تحتها خط هي الخادم للبرنامج أو السيرفر .. ان وجدتها قم بإطفاء الجهاز و إعادة تشغيله في وضع السيف مود ( Safe Mode)ثم تخلص من الملف واعد تشغيل الجهاز
الملف السابع
Master Paradise
تعريف :
يعتبر هذا البرنامج سيد برامج الاختراق … ويختبئ أيضا في الريجستري
التخلص من الملف :
اتجه للريجسترى ثم ابحث عن امتداد الملف :
“C:\windowds\nameofthe.exe"
عندما تجد هذا الملف في الريجستري قم بمسحه
يعتبر هذا البرنامج سيد برامج الاختراق … ويختبئ أيضا في الريجستري
التخلص من الملف :
اتجه للريجسترى ثم ابحث عن امتداد الملف :
“C:\windowds\nameofthe.exe"
عندما تجد هذا الملف في الريجستري قم بمسحه
الملف الثامن
ICQ Torjan
تعريف :
يقوم هذا الملف بعمل ثغره للمخترقين داخل جهازك مما يساعدهم على اختراق جهازك باستخدام السيرفر الخاص بالاسكيو ..وعندما تصاب بالملف يقوم الملف بتغير الاسكيو الحقيقي لديك ICQ.exe و إبعاده وتغير اسمه ليصبح ICQ2.EXE
التخلص منه :
يمكن التخلص من الملف بكل سهوله اتجه إلى الملف الخاص بالاسكيو وقم بحذف ملف الاسكيو ICQ.EXE ثم قم بتعديل اسم الاسكيو الحقيقي ICQ2.EXE إلى ICQ.EXE
تعريف :
يقوم هذا الملف بعمل ثغره للمخترقين داخل جهازك مما يساعدهم على اختراق جهازك باستخدام السيرفر الخاص بالاسكيو ..وعندما تصاب بالملف يقوم الملف بتغير الاسكيو الحقيقي لديك ICQ.exe و إبعاده وتغير اسمه ليصبح ICQ2.EXE
التخلص منه :
يمكن التخلص من الملف بكل سهوله اتجه إلى الملف الخاص بالاسكيو وقم بحذف ملف الاسكيو ICQ.EXE ثم قم بتعديل اسم الاسكيو الحقيقي ICQ2.EXE إلى ICQ.EXE
الملف التاسع
VBS.Freelink or
freelink
وهو يعتبر دودة
مشفرة يعمل تحت اي وندوز تدعم لغه الـ VB scrypting حتى وندوز
98 ووندوز2000 . ومعظم طرق دخولة الى جهازك عن طريق ال E-MAIL ويكون عنوان الـ E-MAIL القادم اليك هو Check this وتكون الرسالة المصاحبة لهذا العنوان هي
Have fun with these links. Bye فاذا قمت بفتح الرسالة فإنه يقوم مباشرة بتحميل ملفين على جهازك هما :
c:\windows\links.vbs
c:\windows\system\rundll.vbs
ايضا يضيف الجزء التالي الى جهازك على الـ
window registry
HKEY_LOCAL_MACHINE----Software----microsoft----windows----
c:\windows\links.vbs
c:\windows\system\rundll.vbs
ايضا يضيف الجزء التالي الى جهازك على الـ
window registry
HKEY_LOCAL_MACHINE----Software----microsoft----windows----
CurrentVersion----Run----Rundll=RUNDLL.VBS
وبعد التمكن من جهازك سوف يعرض على الشاشة صندوق صغير بالعنوان التالي
Free XXX links وتحت العنوان تظهر الرسالة التالية :
This will add a shortcut to free XXX links on your desktop.
Do you want to continue
وبعد التمكن من جهازك سوف يعرض على الشاشة صندوق صغير بالعنوان التالي
Free XXX links وتحت العنوان تظهر الرسالة التالية :
This will add a shortcut to free XXX links on your desktop.
Do you want to continue
بعد ذلك يقوم هذا
البرنامج بالبحث عن برامج المحادثة CHAT التالية :
MIRC32.exe
Pirch98.exe
ويعدل الملفات التالية
SCRIPT.INI
EVENTS.INI
وذلك حتى يتمكن من ارسال الـ LINKS.VBS الى اجهزة اخرى اثناء عملية المحادثات بين المستخدمينCHATTING والاسماء المستعارة لهذا البرنامج التي يتخفى بها هي :
VBS
Freelink
freelink
كيف تعرف ان هذا البرنامج موجود في جهازك وطريقة التخلص منه
اولا
قم بالبحث عن الملفات التالية :
LINKS.VBS
RUNDLL.VBS
Pirch98.exe
ويعدل الملفات التالية
SCRIPT.INI
EVENTS.INI
وذلك حتى يتمكن من ارسال الـ LINKS.VBS الى اجهزة اخرى اثناء عملية المحادثات بين المستخدمينCHATTING والاسماء المستعارة لهذا البرنامج التي يتخفى بها هي :
VBS
Freelink
freelink
كيف تعرف ان هذا البرنامج موجود في جهازك وطريقة التخلص منه
اولا
قم بالبحث عن الملفات التالية :
LINKS.VBS
RUNDLL.VBS
ثانيا
قم بألغاء تلك الملفات من جميع الدرايفات التي على جهازك .
قم بألغاء تلك الملفات من جميع الدرايفات التي على جهازك .
ثالثا
قم ايضا بحذف الجزء التالي من الـ win regitry باستخدام الامرregedit والجزء المراد حذفة هو
HKEY_LOCAL_MACHINE----Software----microsoft----windows----
قم ايضا بحذف الجزء التالي من الـ win regitry باستخدام الامرregedit والجزء المراد حذفة هو
HKEY_LOCAL_MACHINE----Software----microsoft----windows----
Curr entVersion----Run\Rundll=RUNDLL.VBS
الملف العاشر
Back Orifice
2000
وهو متمكن من وندوز95 ووندوز 98 ووندوز ان تي
ولهذا البرنامج نسختين الاولى تسمى النسخة الامريكية وهي فقط اكبر حجما من النسخة الاخرى بالكيلوبايت ايضا لهذة النسخة ميزة اخرى تعرف بـ DES encryption
اما النسخة
الثانية فتسمى النسخة الدولية
و الاسماء المستعارة لهذا البرنامج التي يتخفى بها هي :
BO2K
backdoor.BO2K
الملف الحادى عشر
و الاسماء المستعارة لهذا البرنامج التي يتخفى بها هي :
BO2K
backdoor.BO2K
الملف الحادى عشر
Zipped_files or explorezip
Trojan
وهذا البرنامج
خطير من ناحية فتكه في الملفات فقد لا تجد ملف كان بالامس موجود وهو ايضا متمكن من
وندوز 95 ووندوز 98 ووندوز ان تي . وهو يستطيع نشر نفسه بنفسه باستخدام الـ
E-MAIL فاذا
قمت بفتحة من الـE-MAIL
فإنه سوف يعرض الرسالة التالية :
Cannot open file; it does not appear to be a valid archive. If this is part of a ZIP backup set, insert the last disk of the backup set and try again. Please press F1 for help.
وعندما يتمكن من نشر نفسة باستخدام الـ E-MAIL فإنه يقوم بارسال نفسه مرة اخرى تحت اسم Zipped_files.exe الي جميع العناوين التي استقبلت منهم رسائل سابقة مرفقا معها الكلمات السرية والباس وورد وتحت العنوان التالي :
Hi, (username)!
I recieved your email and I shall send you a reply ASAP.
Till then, take a look at this attached zip docs.
Bye.
ايضا سوف يقوم هذا البرنامج بالغاء جميع الملفات لديك والمنتهية بالاحرف التالية
DOC,,XLS,,EXE,,PPT,,CPP وللاسف فانة صعب جدا ان تستعيد تلك الملفات باستخدام الامر undelete
Cannot open file; it does not appear to be a valid archive. If this is part of a ZIP backup set, insert the last disk of the backup set and try again. Please press F1 for help.
وعندما يتمكن من نشر نفسة باستخدام الـ E-MAIL فإنه يقوم بارسال نفسه مرة اخرى تحت اسم Zipped_files.exe الي جميع العناوين التي استقبلت منهم رسائل سابقة مرفقا معها الكلمات السرية والباس وورد وتحت العنوان التالي :
Hi, (username)!
I recieved your email and I shall send you a reply ASAP.
Till then, take a look at this attached zip docs.
Bye.
ايضا سوف يقوم هذا البرنامج بالغاء جميع الملفات لديك والمنتهية بالاحرف التالية
DOC,,XLS,,EXE,,PPT,,CPP وللاسف فانة صعب جدا ان تستعيد تلك الملفات باستخدام الامر undelete
الاسماء
المستعارة لهذا البرنامج التي يتخفى تحتها هي
worm.explore.zip
win32.explore
explore.zip
طريقة معرفة وجودة في جهازك والتخلص منه فقط لمستخدمي وندوز95 ووندوز 98 قم بالضغط على CTRL+ ALT+ DEL وعند ظهور شاشة الاغلاق ولاحظت ظهور احدى هذه الملفات فانه موجود في جهازك والملفات هي :
Zipped_files
Explore
_setup
ويجب ان تفرق بين اسم الملف السابق Explore وبين المتصفحExplorer فاذا لاحظت احدى هذه الملفات السابقة فقم مباشرة بالغاء الملفات التالية :
C:\windows\_setup.exe
C:\windows\Explore.exe
بعد ذلك قم بالغاء الاسطر التالية والموجودة في
WIN.INI باستخدام الامر msconfig والاسطر هي :
run=setup.exe
run=c:\windows\system\explore.exe
ايضا قم بالغاء السطر التالي باستخدام الامر
regedit
HKEY_CURRENT_USER----Software----Microsoft----Windows----
worm.explore.zip
win32.explore
explore.zip
طريقة معرفة وجودة في جهازك والتخلص منه فقط لمستخدمي وندوز95 ووندوز 98 قم بالضغط على CTRL+ ALT+ DEL وعند ظهور شاشة الاغلاق ولاحظت ظهور احدى هذه الملفات فانه موجود في جهازك والملفات هي :
Zipped_files
Explore
_setup
ويجب ان تفرق بين اسم الملف السابق Explore وبين المتصفحExplorer فاذا لاحظت احدى هذه الملفات السابقة فقم مباشرة بالغاء الملفات التالية :
C:\windows\_setup.exe
C:\windows\Explore.exe
بعد ذلك قم بالغاء الاسطر التالية والموجودة في
WIN.INI باستخدام الامر msconfig والاسطر هي :
run=setup.exe
run=c:\windows\system\explore.exe
ايضا قم بالغاء السطر التالي باستخدام الامر
regedit
HKEY_CURRENT_USER----Software----Microsoft----Windows----
CurrentVersion----Windows----Run
الملف الثانى عشر
Promail.Trojan
انتشر كثيرا هذا
البرنامج بطريقة الـ freeware و الـ shareware
وقد انتشر تحت هذا الاسم proml121.zip
وهو ملف غير مضغوط داخل هذا الملف promail.exe
فاذا قمت بتحميلة على جهازك وقمت بعد تحميلة بالاشتراك مع اي شركة لخدمات البريد الالكترونية فان جميع المعلومات التي اعطيتها لهذه الشركة إضافة الى كلمة السر الخاصة بك يقوم هذا البرنامج بارسالها الى عنوان بريدي اخر غير معروف اي بطريقة عشوائيه
فكلما قمت بعملية اشتراك مع اي شركة اخرى لخدمات البريد الالكتروني فان البرامج يقوم بنفس العملية السابقة . فقط اذا كان لديك هذا البرنامجPromail قم مباشرة بالغاءه .
وقد انتشر تحت هذا الاسم proml121.zip
وهو ملف غير مضغوط داخل هذا الملف promail.exe
فاذا قمت بتحميلة على جهازك وقمت بعد تحميلة بالاشتراك مع اي شركة لخدمات البريد الالكترونية فان جميع المعلومات التي اعطيتها لهذه الشركة إضافة الى كلمة السر الخاصة بك يقوم هذا البرنامج بارسالها الى عنوان بريدي اخر غير معروف اي بطريقة عشوائيه
فكلما قمت بعملية اشتراك مع اي شركة اخرى لخدمات البريد الالكتروني فان البرامج يقوم بنفس العملية السابقة . فقط اذا كان لديك هذا البرنامجPromail قم مباشرة بالغاءه .
الملف الثالث عشر
BackDOOR.G
وهو ايضا يحتاج
الى خادم لتشغيلة
. ويوجد اصدارين من هذا البرنامج
. ويوجد اصدارين من هذا البرنامج
للتخلص من الاصدار
الاول قم مباشرة بالبحث عن الملفات التالية وحذفها :
DATA2.EXE
TINURAK.EXE
WATCHING.DLL
DATA2.EXE
TINURAK.EXE
WATCHING.DLL
وللتخلص من
الاصدار الثاني قم مباشرة بالبحث عن الملفات التالية وحذفها
WINDOW.EXE
NODLL.EXE
SERVER_33.DLL
WINDOW.EXE
NODLL.EXE
SERVER_33.DLL
الملف الرابع عشر
K2PS.EXE
فقط يستطيع التمكن من وندوز95 ووندوز 98 وقد انتشر عن طريق البريد الالكتروني تحت اسم K2PS.EXE
حيث تقول رسالته الخبيثة أن هناك فيروس اسمة TX-500 وانه برنامج مضاد لهذا الفيروس . طبعا كما تعرف هذة مجرد كذبة ليتمكن من الدخول وسرقة معلومات اشتراكك مع مقدم خدمة الانترنت بالاضافة الى كلمة السر الخاصة بك والغريب في هذا البرنامج أنه لا يكتفي بسرقة الباسوورد بل يغير الباسوورد فلا تستطيع الدخول مرة ثانية الى الشبكة اليس خطير هذا البرنامج .
فقط يستطيع التمكن من وندوز95 ووندوز 98 وقد انتشر عن طريق البريد الالكتروني تحت اسم K2PS.EXE
حيث تقول رسالته الخبيثة أن هناك فيروس اسمة TX-500 وانه برنامج مضاد لهذا الفيروس . طبعا كما تعرف هذة مجرد كذبة ليتمكن من الدخول وسرقة معلومات اشتراكك مع مقدم خدمة الانترنت بالاضافة الى كلمة السر الخاصة بك والغريب في هذا البرنامج أنه لا يكتفي بسرقة الباسوورد بل يغير الباسوورد فلا تستطيع الدخول مرة ثانية الى الشبكة اليس خطير هذا البرنامج .
والطريقة المفضلة
اذا احسست بهذا التغير قم مباشرة بتغير كلمة السر .
ثم ابحث عن هذه الملفات واحذفها مباشرة
K2PS.EXE
K2PS.CFG
ثم ابحث عن هذه الملفات واحذفها مباشرة
K2PS.EXE
K2PS.CFG
ثم باستخدام الامرregedit قم بحذف :
HKEY_LOCAL_MACHINE ----Software---- Microsoft ----Window----CurrentVersion---- C:\WINDOWS\SYSTEM\K2PS.EXE
HKEY_LOCAL_MACHINE ----Software---- Microsoft ----Window----CurrentVersion---- C:\WINDOWS\SYSTEM\K2PS.EXE
الملف الخامس عشر
Win32.PrettyPark
هذا البرنامج
يستطيع الانتشار ايضا عن طريق البريد الالكتروني فعند تنفيذه سوف يقوم بارسال نفسه الى العناوين الموجوده في الـ windows address book وسوف يخبر المستخدمين الموجودين على ال IRC عن اعدادت النظام وكلمات السر . وسوف يقوم بنسخ نفسة داخل الـ windows system directory مع الملف files32.VXD ايضا سوف يقوم بتسجيل نفسة داخل الـ HKEY_CLASSES_ROOT تحت أسم exefile\shell\open\command\files32.vxd
فقط قم بالغاء ذلك الاسم باستخدام الامر
regedit
فقط قم بالغاء ذلك الاسم باستخدام الامر
regedit
الطريقة الثانية
:-
- بواسطة الأمر : msconfig
-انقر على زر البدء Start
-اكتب في خانة التشغیل Run الأمر التالي msconfig
-سوف تظھر لك نافذة System
Configuration Utility
-اختر من ھذه النافذة من أعلى قسم Start up
-ستظھر لك شاشة تعرض البرامج التي تبدأ العمل مباشرة مع بدء تشغیل الجھاز .
-أفحص ھذه البرامج جیدا بالنظر فإن شككت بوجود برامج غریبة لم تقم أنت بتثبیتھا بجھازك فقم بإلغاء الإشارة
الظاھرة بالمربع الصغیر المقابل لھ فبذلك تكون قد أوقفت عمل البرنامج التجسسي أو غیره من البرامج الغیر مرغوب بھا .
الطريقة الثالث :-
- بواسطة مشغل الدوس Dos :
ھذه الطریقة كانت تستخدم قبل ظھور الویندوز لإظھار ملفات التجسس مثل الباتش والتروجان وھي من أسھل الطرق :
-افتح الدوس عن طريق :
start→programs→accessories→command prompt
-أكتب الأمر التالي : dir patch
إذا
لم يوجد ملف الباتش سوف يقول لك أن الملف غير موجود (the file is not found)
-إن وجدت ملف الباتش فقم بمسحة بالطریقة التالیة أكتب
فى الشاشة السوداء : del
-
هذه
الطريقه تستطيع تقفيل جميع البورتات ( الثغرات الامنيه ) الموجوده بكل
الاجهزه :
1- إذهب إلى
قائمة أبدا start ثم تشغيل
run
2- ثم اكتب الامر التالي command.com
3- ستظهر لك
نافذة اكتب فيها هذه الكلمة ping host ثم أضغط Enter
4- ثم أكتب ping port ثم أضغط Enter
5- ثم إنتظر و
أكتب ping port1027 ثم أضغط Enter
6- و إنتظر ثم
إكتب ping port80 ثم أضغط Enter
7- ثم اكتب ping أو
proxy ping أو ping ***** ثم أضغط
Enter
8- ثم اكتب ping port و أضغط Enter
* انتظر لفترة تقريباً من 15الى20دقيقة
واذا لم تختفي النافذة قم باغلاقها واعد تشغيل الجهاز.
الطريقة الخامسة
:-
- لأخفاء جهازك من الشبكة بدون برنامج :-
- لأخفاء جهازك من الشبكة بدون برنامج :-
1- إذهب إلى قائمة
أبدا start ثم تشغيل run
2- فى Run اكتب Cmdسوف تظهر
شاشة سوداء
3- اكتب هذا الأمر net Config Server /hidden:yes
4- ثم انتظر نصف ساعة و ستجد ان جهازك قد اختفى من الشبكة مع العلم ان
ذلك لا يأثر
على الـ Share او
إذا كنت تستخدم برنامج مثل الـ Pcany Where أو Net Support
5- و للتراجع عن هذا الأمر اكتب فى الشاشة السوداء Net Config Server /hidden:no
6- ثم انتظر نصف ساعة واعمل Restart للجهاز وسوف يظهر الجهاز كما كان
ملحوظه
وهذا الأمر تم تجربتة على نسخة Xp /sp2
وتم تجربتة ايضا على شبكة بنظام Domain و على شبكة بنظام WorKGruop وتم بنجاح
أهمية هذه الحركة
عندما تقوم بإخفاء جهازك عن الشبكة المحلية أو حتى العالمية سيكون من سابع المستحيلات أن يتم إختراق جهازك إلا من أفضل مخترقين العالم ربما فهذه الحركة مهمه لكل واحد يشبك على الإنترنت أو حتى على شبكة محلية أو أي شبكة .
وهذا الأمر تم تجربتة على نسخة Xp /sp2
وتم تجربتة ايضا على شبكة بنظام Domain و على شبكة بنظام WorKGruop وتم بنجاح
أهمية هذه الحركة
عندما تقوم بإخفاء جهازك عن الشبكة المحلية أو حتى العالمية سيكون من سابع المستحيلات أن يتم إختراق جهازك إلا من أفضل مخترقين العالم ربما فهذه الحركة مهمه لكل واحد يشبك على الإنترنت أو حتى على شبكة محلية أو أي شبكة .
الطريقة السادسة
:-
- ايقاف خاصية مشاركة الملفات :
1- إذهب إلى
قائمة أبدا start ثم settings ثم control panal
2- ثم أدخل network connections
3- أضغط click right ثم properties
4- أحذف علامة
صح من أمام أختيار
file and printer sharing for Microsoft networks
5- ثم أضغط ok
الطريقة السابعة
:-
- لأغلاق ثغرات الوندوز إكس بي
~ ويندوز Xp ~ فقط :-
1- إذهب إلى
قائمة أبدا start ثم تشغيل run
2- فى Run اكتب Cmd
3- ثم أكتب netstat -ano لترى المنافذ المفتوحه
فيه حوالي 17 منفذ مفتوح وفي حالة استماع listen
4- قم بنسخ
الأوامر التالية وألصقها في الدوس
sc config policyagent start= disabled
sc config ssdpsrv start= disabled
sc config messenger start= disabled
sc config w32time start= disabled
sc config netbt start= disabled
exit
الطريقة الثامنة :-
sc config policyagent start= disabled
sc config ssdpsrv start= disabled
sc config messenger start= disabled
sc config w32time start= disabled
sc config netbt start= disabled
exit
الطريقة الثامنة :-
- لأغلاق جميع
البورتات والمنافذ المفتوحه بجهازك
لحمايتك من الاختراق من قبل الهكرز :-
1- إذهب إلى قائمة أبدا start ثم تشغيل run
2- فى Run
اكتب ftp –rc
- و بهذا تكون تكون قد
اغلقت جميع البورتات المفتوحه بجهازك .
الطريقة التاسعة
:-
رقم IP هو رقم جهازك علي الشبكة ويعتمد الهاكرز علي رقم الأي للدخول الى
جهازك
لاخفاء الـ IP اتبع التالي ..
1- إذهب إلى قائمة أبدا start ثم تشغيل run
2- فى Run اكتب Command
3- ثم أكتب drwatson
ثم إضغط Enter
وسوف تظهر لك صورة رأس شخص شعره اصفرعلى شريط المهام ....
واذا أردت اظهار الأي بي فقط اغلق اطار الدكتور واطسون.
واذا أردت اظهار الأي بي فقط اغلق اطار الدكتور واطسون.
اقوى جاسوس من الاستخبارات الامريكية في جهازك احذفة :-
- قامت الاستخبارت
الامريكية بزراعة هذا الجاسوس في انظمة الاكس بي طبعا
- وظيفه هذا الجاسوس
- وظيفه هذا الجاسوس
يقوم بارسال كل المعلومات
الموجودة في الداخل اضافة الى كل العمليات التي نقوم بها في حواسيبنا الشخصية
- للتخلص منه قم بالأتى :-
1- إذهب إلى قائمة أبدا start ثم تشغيل run
2- فى Run اكتب Cmd
3- ثم أكتب net user
إذا كانت النتيجة كالتالي :- Support_388945a0أذن server
موجود فى نظام تشغيلك
ثم قم بكتابة الأمر التالى مع مراعاة الفواصل
:-
net user SUPPORT_388945a0 /delete
ثم أكتب الأمر Exit
و للتأكد من الحذف قم بأعادة الخطوات الأولى
ستجد أنه تم حذفه
نتمنى ان تكون قد افدناكم , ولتكملة البحث وللانتقال الي الموسوعة الخامسة والاخير من سلسه البحث في الهكر اضغط هنا
عزيزي القارء ان كان
لديك اي استفسار يرجي كتابة لنا دلك في التعليق اسفل ؟
مرحبا بك عزيزي , يمكنك التعليق برابط صورة أو فيديو ...