السلام عليكم ورحمة الله وبركاته
خواتي العزيزات:confused::confused:
كمبيوتري فيه فيروس واسمه Backdoor.proratوعندي نورتن الانتي فيروس2004 بس مو راضي يشتغل
حد عنده حل :down::down::down:
والسموحة :confused::confused::confused:
اختكم نورا
الحقوني بسرعة فيروس دمرني
ن
22-07-2004 | 01:14 PM
ن
22-07-2004 | 10:33 PM
السلام عليكم ورحمة الله وبركاته
بصراحة ما أعرف شو أقول
يالله ما في حد يعرف حل لهذي المشكلة:confused::confused::confused:
وين أهل المنتدى وين المشرفين على هذا القسم:down::down::down:
الله يرضى عليكم ارحموني:confused::confused::confused::confused:
والسموحة
اختكم نورا
بصراحة ما أعرف شو أقول
يالله ما في حد يعرف حل لهذي المشكلة:confused::confused::confused:
وين أهل المنتدى وين المشرفين على هذا القسم:down::down::down:
الله يرضى عليكم ارحموني:confused::confused::confused::confused:
والسموحة
اختكم نورا
ا
24-07-2004 | 04:53 AM
السلام عليكم ورحمة الله وبركاته
هلا بك اختي كيفك ..... في الحقيقة انتي طحتي ولا احد سمى عليك
المهم انتي بصراحة عندك اخطر تروجان وللأسف منتشر الايام هذي
بالنت كثيرررررر ... وهذا التروجان خطير جداً وبنفس الوقت ذكي
جداً ... مزاياه كالتالي ... امكانية ارفاقة مع احد الصفحات بالنت
وبمجرد ان يقوم الشخص بفتح الموقع ينزل تلقائياً بالجهاز ويشغل نفسه
.... يقوم بتعطيل اي مكافح للفيروسات أو الفايروول لويندوز xp وايضاً
يقوم بتعطيل ميزة استعادة النظام للويندوز لعدم حذفه .... عندما يقوم
الشخص المصاب بالتروجان بتشغيل النت يرسل التروجان وتلقائياً الـ ip
الي صاحبه .. ويقوم ذلك الشخص بالدخول على الجهاز المصاب بكل
سهولة ويتمتع بخدمات البرنامج مثل سرقة جميع الباسووردات بالجهاز
بما فيها الماسينجر واشتراكات النت ... وايضاً الحصول على جميع ماتمت
كتابة بواسطة المستخدم .. امكانية فتح سطح المكتب لشخص المصاب
ورؤية مايفعلة مباشرة ... امكانية تصفح جهاز الضحية بالكامل وتحميل
الملفات منه واليه .... وايضاً الميزة الأسواء بالموضوع انه يمكن لصاحب
التروجان عمل تهيئة كاملة ( فورمات ) لجهاز الضحية وبضغطت زرواحدة
وايضاً تحميل اخطر انواع الفايروسات المتلفة لقطع الجهاز ...... :pain:
وطريقة الحذف راح تكون طويلة ومملة وراح تحتاج خبرة في هذا المجال ..
في البداية نحتاج لقرص ويندوز xp .. سنقوم بالإقلاع من القرص ويندوز
وذلك بإعادة التشغيل للجهاز ثم اختيار الإقلاع من القرص المضغوط .. ثم
سيقوم القرص بتنزيل ملفات التنصي لويندوز .. وبعدان ينتهي من ذلك
سيعرض لنا 3 خيارات وهي ... الاول بمعناه ( اضغط على زر انتر لمتابعة
تنزيل الويندوز ) .. والثاني ( اضغط على حرف R لتصليح ملفات الويندوز
بما فيها ملفات البووت ) والثالث ( اضغط على F3 للخروج من البرنامج ) ..
سنقوم يإختيار الجزاء الثاني وذلك بالضغط على حرف R من لوحة المفاتيح
سقوم الويندوز بإدخالنا على شاشة سوداء شبيهه بشاشة الدوس .. وبعد
ذلك ستظهر رسالة بمعناها ( اختر رقم القسم اللذي تريد اصلاح ملفات
البوت له ) طبعاً احنا على طول نقوم بالضغط على رقم واحد ثم زر انتر
ثم سيطلب منا ادخال كلمة المرور للـ Administrator اذا كان هناك كلمة
مرور له ... اما إذا كان لايوجد كلمة مرور للـ Administrator فمباشرة
نضغط على زر انتر فتصبح موجة الأوامر عندنا بهذ الشكل C:\WINDOWS
بعد ذلك سنقوم الان بالدخول على ملفات مجلد SYSTEM32 لنقوم بحذف
التروجان من الجهاز ... الان نقوم بكتابة الاتي مباشرة DIR SYSTEM32 ثم
انتر فتصبح موجة الأوامر عندنا بهذا الشكل C:\WINDOWS\SYSTEM32
والان سنقوم بكتابة الاتي DEL WINKEY.DLL بهذا الامر سنقوم بحذف ملف
توليد التروجان وهو المسؤول عن عمل نسخة احتياطية للتروجان بعد حذفه
من الجهاز ... ثم بعد الضغط على انتر سيكون الامر قد نفذ وحذف الملف
المساعد للتروجان .. والان بقي الملف الاساسي ( التروجان ) اذا سنقوم
بكتابة الامر التالي DEL WININV وبعدها سيحذف الملف نهائياً ... والان
وبعد ان قمنا بحذف التروجان نقوم بكتابة هذا الامر للخروج من البرنامج
EXIT ثم انتر ........ وأسف على الاطالة واتمنى من يجد صعوبة في فهم
الطريقة أن يخبرني وانا إن شاء الله في الخدمة ,,,,,,
تحيـــاتـي ,,,,,,,, :up:
هلا بك اختي كيفك ..... في الحقيقة انتي طحتي ولا احد سمى عليك
المهم انتي بصراحة عندك اخطر تروجان وللأسف منتشر الايام هذي
بالنت كثيرررررر ... وهذا التروجان خطير جداً وبنفس الوقت ذكي
جداً ... مزاياه كالتالي ... امكانية ارفاقة مع احد الصفحات بالنت
وبمجرد ان يقوم الشخص بفتح الموقع ينزل تلقائياً بالجهاز ويشغل نفسه
.... يقوم بتعطيل اي مكافح للفيروسات أو الفايروول لويندوز xp وايضاً
يقوم بتعطيل ميزة استعادة النظام للويندوز لعدم حذفه .... عندما يقوم
الشخص المصاب بالتروجان بتشغيل النت يرسل التروجان وتلقائياً الـ ip
الي صاحبه .. ويقوم ذلك الشخص بالدخول على الجهاز المصاب بكل
سهولة ويتمتع بخدمات البرنامج مثل سرقة جميع الباسووردات بالجهاز
بما فيها الماسينجر واشتراكات النت ... وايضاً الحصول على جميع ماتمت
كتابة بواسطة المستخدم .. امكانية فتح سطح المكتب لشخص المصاب
ورؤية مايفعلة مباشرة ... امكانية تصفح جهاز الضحية بالكامل وتحميل
الملفات منه واليه .... وايضاً الميزة الأسواء بالموضوع انه يمكن لصاحب
التروجان عمل تهيئة كاملة ( فورمات ) لجهاز الضحية وبضغطت زرواحدة
وايضاً تحميل اخطر انواع الفايروسات المتلفة لقطع الجهاز ...... :pain:
وطريقة الحذف راح تكون طويلة ومملة وراح تحتاج خبرة في هذا المجال ..
في البداية نحتاج لقرص ويندوز xp .. سنقوم بالإقلاع من القرص ويندوز
وذلك بإعادة التشغيل للجهاز ثم اختيار الإقلاع من القرص المضغوط .. ثم
سيقوم القرص بتنزيل ملفات التنصي لويندوز .. وبعدان ينتهي من ذلك
سيعرض لنا 3 خيارات وهي ... الاول بمعناه ( اضغط على زر انتر لمتابعة
تنزيل الويندوز ) .. والثاني ( اضغط على حرف R لتصليح ملفات الويندوز
بما فيها ملفات البووت ) والثالث ( اضغط على F3 للخروج من البرنامج ) ..
سنقوم يإختيار الجزاء الثاني وذلك بالضغط على حرف R من لوحة المفاتيح
سقوم الويندوز بإدخالنا على شاشة سوداء شبيهه بشاشة الدوس .. وبعد
ذلك ستظهر رسالة بمعناها ( اختر رقم القسم اللذي تريد اصلاح ملفات
البوت له ) طبعاً احنا على طول نقوم بالضغط على رقم واحد ثم زر انتر
ثم سيطلب منا ادخال كلمة المرور للـ Administrator اذا كان هناك كلمة
مرور له ... اما إذا كان لايوجد كلمة مرور للـ Administrator فمباشرة
نضغط على زر انتر فتصبح موجة الأوامر عندنا بهذ الشكل C:\WINDOWS
بعد ذلك سنقوم الان بالدخول على ملفات مجلد SYSTEM32 لنقوم بحذف
التروجان من الجهاز ... الان نقوم بكتابة الاتي مباشرة DIR SYSTEM32 ثم
انتر فتصبح موجة الأوامر عندنا بهذا الشكل C:\WINDOWS\SYSTEM32
والان سنقوم بكتابة الاتي DEL WINKEY.DLL بهذا الامر سنقوم بحذف ملف
توليد التروجان وهو المسؤول عن عمل نسخة احتياطية للتروجان بعد حذفه
من الجهاز ... ثم بعد الضغط على انتر سيكون الامر قد نفذ وحذف الملف
المساعد للتروجان .. والان بقي الملف الاساسي ( التروجان ) اذا سنقوم
بكتابة الامر التالي DEL WININV وبعدها سيحذف الملف نهائياً ... والان
وبعد ان قمنا بحذف التروجان نقوم بكتابة هذا الامر للخروج من البرنامج
EXIT ثم انتر ........ وأسف على الاطالة واتمنى من يجد صعوبة في فهم
الطريقة أن يخبرني وانا إن شاء الله في الخدمة ,,,,,,
تحيـــاتـي ,,,,,,,, :up:
ن
25-07-2004 | 10:16 PM
بسم الله الرحمن الرحيم
شكرا اخوي unprofessionalعلى المساعدة :clap::clap:
بس أخوي من وين اقدر احصل على قرص الويندز XP
والسموحة
أختك نورا
شكرا اخوي unprofessionalعلى المساعدة :clap::clap:
بس أخوي من وين اقدر احصل على قرص الويندز XP
والسموحة
أختك نورا
ا
25-07-2004 | 10:25 PM
هلا اختي الفاضله نورا**
اختي الفاضله ممكن اعرف شلون عرفتي بمعرفة ان جهازج مصاب بالباكدور وهل تعرفين تحديد مكانه بالجهاز وين مخزن بالضبط
وما قصر اخوي الفاضل unprofessional بالرد على سؤالج ولكن حاب انج تجربين هذا الموقع تقومين بفحص الجهاز من خلال موقع النورتن انتي فايرس وهذا شرح له
http://www.3roos.com/forums/showthread.php?s=&threadid=35883
وقومي بالذهاب الى
start
run
اكتبي
regedit
ثم اضغطي اوكي
راح يطلعلك مربع اختاري ثالث خيار
HKEY_LOCAL_MACHINE
ثم اختاري
Software
ثم اختاري
Microsoft
ثم اختاري
Windows
ثم اختاري
CurrentVersion
ثم اذهبي الى كلمة run طبعا ستشاهدين كم كلمه مكتوب فيها رن قومي باختيار اول كلمه لرن
راح تطلعلك على اليمين مجموعة برامج قومي بالبحث عن اسم الفايرس او الباكدور اللي خرجلك عند الفحص بالانتي فايروس وقومي بحذفه وطريقة حذفه هي كالاتي قومي بالذهاب الى اسم الملف وقومي بوضع مؤشر الفاره عليه واضغطي الفاره اليمين تطلعلك قائمه اختار دوليت
وتقبلي تحياتي
اختي الفاضله ممكن اعرف شلون عرفتي بمعرفة ان جهازج مصاب بالباكدور وهل تعرفين تحديد مكانه بالجهاز وين مخزن بالضبط
وما قصر اخوي الفاضل unprofessional بالرد على سؤالج ولكن حاب انج تجربين هذا الموقع تقومين بفحص الجهاز من خلال موقع النورتن انتي فايرس وهذا شرح له
http://www.3roos.com/forums/showthread.php?s=&threadid=35883
وقومي بالذهاب الى
start
run
اكتبي
regedit
ثم اضغطي اوكي
راح يطلعلك مربع اختاري ثالث خيار
HKEY_LOCAL_MACHINE
ثم اختاري
Software
ثم اختاري
Microsoft
ثم اختاري
Windows
ثم اختاري
CurrentVersion
ثم اذهبي الى كلمة run طبعا ستشاهدين كم كلمه مكتوب فيها رن قومي باختيار اول كلمه لرن
راح تطلعلك على اليمين مجموعة برامج قومي بالبحث عن اسم الفايرس او الباكدور اللي خرجلك عند الفحص بالانتي فايروس وقومي بحذفه وطريقة حذفه هي كالاتي قومي بالذهاب الى اسم الملف وقومي بوضع مؤشر الفاره عليه واضغطي الفاره اليمين تطلعلك قائمه اختار دوليت
وتقبلي تحياتي
ا
26-07-2004 | 02:19 AM
شكراً لك اخوي الغالي ( المجهول ) على مرورك الكريم .... بس حبيت انوه
ان الطريقة اللي تتبعها مع باقي التروجان لا تنفع مع هذا التروجان ... ومثل
ماقلت هذا التروجان ذكي جداً بمعنى ... تنبه مبرمجوا التروجانات الى
الطرق التقليدية التي يستخدمها الناس لإزالة اي باتش من الجهاز وبكل
سهولة لدرجة ان بضهم لايحتاج الى برامج ازالة التروجنات بل يقوم بحذفها
يدوياً وبطرق عديدة .. ومن اشهر هذه الطرق ماتفضلت به .... فلجئ
المبرمجون لرفع امكانية هذا النوع من البرامج ليكون قوى من ناحية جلب
المعلومات واقوى من ناحية التخفي .... باكدور البرورات بقوم بدمج نفسه
مع اهم خدمات الويندوز مثال ممكن انك تلاقيه على هذا المفتاح
Shell=Explorer.exe C:\WINDOWS\system32\fservice.exe ولاحظ انه
يخاطب اوامر الــ shell مباشرة والسبب !! ليدمج نفسه مع خدمات الويندوز
الاساسية مثل خدمة : lsass أو خدمة : spoolsv ... وعند قيامك بمحاولة
ايقاف احد هذه الخدمات يرفض ويندوز ذلك لضمان استقراريته في
العمل ... واذا قمت بفحص الجهاز بمساعدة احد برامج الفايروسات فإنك
ستجد التروجان ولاكن لن تستطيع حذفه من الجهاز ... حتى في وضعية الـ
saef mode :rolleyes: ولاحظ ان هذا التروجان مختلف عن الباقين فإمتداده
ليس exe مثل سابقيه ولكن امتداده dll والسبب ليقوم ملف الـ system.ini
وملف الـ REG system بقرائة كواحد من ملفات الويندوز المهمة وتحميله
بواسطة الـ shell واين ؟؟ في الـ explorer.exe فلاتستطيع رؤيته حتى في
الـ task par ( ادارة المهام ) او في ملف الـ regedit ..... :eek2: على فكرة
من خلال تجربتي ومراقبتي له وجدت انه يقوم في بعض الاحيان بتكوين
مفتاح بهذا الشكل :
DPF: {6B4788E2-BAE8-11D2-A1B4-00400512739B} (PWMediaSendControl Class)
واستطعت الوصول لهذا المفتاح بواسطة برنامج : ( Hijack )
وايضاً كون مفتاح بهذا الشكل :
HKLM\..\Run: [DXM6Patch_981116] C:\WINDOWS\p_981116.exe /Q:A
ولاحظ في اخر المفتاح الرمز : ( Q:A/ ) وهذا الأمر وعلى حسب معلوماتي
يستخدمه المبرمج لمخاطبة ملف الـ AUTOEXC.BAT ليقوم وبمجرد تحميل
اللودرات من الكومبايل للويندوز بتشغيل هذا الملف وبالتالي ايهام الويندوز
انه من الملفات المهمة في عملية الـ EXPLORER.EXE .... :pain: ,,,,,,,
اعذروني على الاطالة لاكن الموضوع جداً متشعب وطويل ونكتفي
بالمهم .................
بالنسبة لك اختي ممكن انك تلاقي القرص تبع الويندوز XP عند اي مركز
للحاسبات عندكم ..... :up:
وتقبلي تحياتي ..,,,,,,,,,,
ان الطريقة اللي تتبعها مع باقي التروجان لا تنفع مع هذا التروجان ... ومثل
ماقلت هذا التروجان ذكي جداً بمعنى ... تنبه مبرمجوا التروجانات الى
الطرق التقليدية التي يستخدمها الناس لإزالة اي باتش من الجهاز وبكل
سهولة لدرجة ان بضهم لايحتاج الى برامج ازالة التروجنات بل يقوم بحذفها
يدوياً وبطرق عديدة .. ومن اشهر هذه الطرق ماتفضلت به .... فلجئ
المبرمجون لرفع امكانية هذا النوع من البرامج ليكون قوى من ناحية جلب
المعلومات واقوى من ناحية التخفي .... باكدور البرورات بقوم بدمج نفسه
مع اهم خدمات الويندوز مثال ممكن انك تلاقيه على هذا المفتاح
Shell=Explorer.exe C:\WINDOWS\system32\fservice.exe ولاحظ انه
يخاطب اوامر الــ shell مباشرة والسبب !! ليدمج نفسه مع خدمات الويندوز
الاساسية مثل خدمة : lsass أو خدمة : spoolsv ... وعند قيامك بمحاولة
ايقاف احد هذه الخدمات يرفض ويندوز ذلك لضمان استقراريته في
العمل ... واذا قمت بفحص الجهاز بمساعدة احد برامج الفايروسات فإنك
ستجد التروجان ولاكن لن تستطيع حذفه من الجهاز ... حتى في وضعية الـ
saef mode :rolleyes: ولاحظ ان هذا التروجان مختلف عن الباقين فإمتداده
ليس exe مثل سابقيه ولكن امتداده dll والسبب ليقوم ملف الـ system.ini
وملف الـ REG system بقرائة كواحد من ملفات الويندوز المهمة وتحميله
بواسطة الـ shell واين ؟؟ في الـ explorer.exe فلاتستطيع رؤيته حتى في
الـ task par ( ادارة المهام ) او في ملف الـ regedit ..... :eek2: على فكرة
من خلال تجربتي ومراقبتي له وجدت انه يقوم في بعض الاحيان بتكوين
مفتاح بهذا الشكل :
DPF: {6B4788E2-BAE8-11D2-A1B4-00400512739B} (PWMediaSendControl Class)
واستطعت الوصول لهذا المفتاح بواسطة برنامج : ( Hijack )
وايضاً كون مفتاح بهذا الشكل :
HKLM\..\Run: [DXM6Patch_981116] C:\WINDOWS\p_981116.exe /Q:A
ولاحظ في اخر المفتاح الرمز : ( Q:A/ ) وهذا الأمر وعلى حسب معلوماتي
يستخدمه المبرمج لمخاطبة ملف الـ AUTOEXC.BAT ليقوم وبمجرد تحميل
اللودرات من الكومبايل للويندوز بتشغيل هذا الملف وبالتالي ايهام الويندوز
انه من الملفات المهمة في عملية الـ EXPLORER.EXE .... :pain: ,,,,,,,
اعذروني على الاطالة لاكن الموضوع جداً متشعب وطويل ونكتفي
بالمهم .................
بالنسبة لك اختي ممكن انك تلاقي القرص تبع الويندوز XP عند اي مركز
للحاسبات عندكم ..... :up:
وتقبلي تحياتي ..,,,,,,,,,,
ا
26-07-2004 | 02:05 PM
تسلم اخوي الفاضل unprofessional على التوضيح والله يكثر من امثالك
وتقبل تحياتي
وتقبل تحياتي