حذف ملفات التجسس يدويا من الجهاز
السلام عليكم ورحمة الله وبركاته
الكثير من البرامج تختص بفحص الجهاز واصطياد ملفات التجسس والتروجان، لكن هناك بعض الملفات التي يصعب على برامج الحماية أن تتعقبها
لذا لا بديل عن التدخل اليدوي لحذف تلك الملفات لكي تطمئن من خلو جهازك من ملفات التجسس ، طبعا في البداية يجب أن يكون لديك برنامج حماية قوي، وأفضل تلك البرامج خصوصا في التعرف على ملفات التجسس هو برنامج نورتون وبرنامج مكافي وبرنامج trojan killer برنامج هام جدا في التعرف على ملفات التجسس وحذفها، لكن كما أشرنا في البداية هناك ملفات يصعب على تلك البرامج التعرف عليها لذا سنتعلم كيفية البحث عنها وحذفها يدويا من الجهاز نهائيا
لذا لا بديل عن التدخل اليدوي لحذف تلك الملفات لكي تطمئن من خلو جهازك من ملفات التجسس ، طبعا في البداية يجب أن يكون لديك برنامج حماية قوي، وأفضل تلك البرامج خصوصا في التعرف على ملفات التجسس هو برنامج نورتون وبرنامج مكافي وبرنامج trojan killer برنامج هام جدا في التعرف على ملفات التجسس وحذفها، لكن كما أشرنا في البداية هناك ملفات يصعب على تلك البرامج التعرف عليها لذا سنتعلم كيفية البحث عنها وحذفها يدويا من الجهاز نهائيا
عندما
تصاب باحد تلك الملفات فأغلبها يتجه الى الريجستري (registry) ماذا ؟ لانه عند كل مرة تقوم بتشغيل الويندوز فان
النظام يقوم بتشغيل البرامج المساعدة الموجودة بالريجستري .. مثل
برامج الفايروسات والاسكيو وغيرها فيقوم النظام ايضا بتشغيل ملف التجسس
معها ومعظم برامج القرصنه تستخدم نوعين من الملفات او البرامج وهما
Client.exe
Server.exe والمقصود بكلمه كلينت اى العميل ..اما السيرفر فترجمته ..الخــادم ..
وتندرج كل تلك الملفات تحت اسم Torjan ويعمل السيرفر او الخادم على فتح ثغره داخل جهازك تمكن ملف العميل من الدخول منها والمقصود هنا فتح ثغره اى بورت ولنأخذ على سبيل المثال برنامج النت باص فعند اصابة جهازك بملف السيرفر او الخادم فانه وعلى الفور يقوم بفتح البورت 12345 فى جهازك لكى يتمكن العميل من الدخول اليك
Server.exe والمقصود بكلمه كلينت اى العميل ..اما السيرفر فترجمته ..الخــادم ..
وتندرج كل تلك الملفات تحت اسم Torjan ويعمل السيرفر او الخادم على فتح ثغره داخل جهازك تمكن ملف العميل من الدخول منها والمقصود هنا فتح ثغره اى بورت ولنأخذ على سبيل المثال برنامج النت باص فعند اصابة جهازك بملف السيرفر او الخادم فانه وعلى الفور يقوم بفتح البورت 12345 فى جهازك لكى يتمكن العميل من الدخول اليك
لذا سنقوم بالبحث عن تلك الملفات داخل ملفات الريجستري
أولا: حذف الباتش من اوامر الدوس
أنقر على ابدأ start
أكتب في خانة التشغيل run الأمر التالي cmd (الدوس)
من الدوس اكتب dir patch ثم أضغط ENTER
إذا كان جهازك سليماً ستكون
النتيجة بهذا الشكل
volume in drive c has no label Volume serial number is Directory of c: \ windows File not found
إذا وجدت الباتش احذفه بالطريقة التالية :
اكتب
C:\ Windows\ delete patch
بعدهاenter
ثانيا فحص الريجستري
من اوامر run اكتب الامر التالي لفتح الريجستري (ملفات النظام ) اكتب regedit
1- لحذف ملفات PATCH.EXE او EXPLO32
اتبع المسار التالي بالترتيب
HKEY_LOCAL_MACHINE .
SOFTWARE .
MICROSOFT .
WINDOWS .
CURRENT VERSION .
ثم run وقد تجد أكثر من ملف بأسماء run service - run once
SOFTWARE .
MICROSOFT .
WINDOWS .
CURRENT VERSION .
ثم run وقد تجد أكثر من ملف بأسماء run service - run once
افتحها كلها وابحث بداخل كل منها عن ملفات بأسماءغريبة مثل
PATCH.EXE او EXPLO32
PATCH.EXE او EXPLO32
ستجد عناوين الملفات هكذا :
names __________ data إذا وجدت ملف لا يقابله عنوان في DATA أو ظهر أمامه سهم صغير هكذا <--- فهو ملف تجسس تخلص من بالضغط على زر الفارة الأيمن ثم DELETE أبحث في كل ملفاتRun وإذا وجدت أي ملف باسم Patch أو باسم Server.exe أو باسم Explo32 قم بحذفه delete ....ثم أعد تشغيل الجهاز
2- لحذف ملف net bus 2000 : هو برنامج يستخدم السيرفر العادي وهو server.exe ولكن يمكن تغيير الاسم وسوف نجده في المسار التالي
HKEY_LOCAL_USER\SOFTWARE\MICROSOFT\WINDOWS/CURRENT VERSION\RUNSERVICES\key:umg32.EXE
key:umg32.EXE:
هو اسم الملف المطلوب حذفه ، إن وجدته لا تحذفه هكذا إنما قم بإعادة تشغيل
الجهاز ومع التشغيل اضغط على f8 للدخول في وضع الأمان وادخل نفس المسار
وقم بحذف الملف ثم قم بإعادة التشغيل ثانية
3- لحذف ملف hack a tack
اسم السيرفر server.exe
يعتبر هذا البرنامج من البرامج الخطرة لانه يستخدم بروتكول FTP ويصعب على كثير من برامج الكشف عن ملفات التجسس ايجاده
يعتبر هذا البرنامج من البرامج الخطرة لانه يستخدم بروتكول FTP ويصعب على كثير من برامج الكشف عن ملفات التجسس ايجاده
اتبع المسار التالي
HKEY_LOCAL_USER\SOFTWARE\MICROSOFT\WINDOWS/CURRENT VERSION\
ومنها run أو run service أو run once
فإن وجدت الملف سيكون باسم
c:\windows\Expl32.exe
او
Explorer32
قم بحذفه واعد تشغيل الجهاز
4- لحذف ملف back oriface : يعمل الملف على فتح نافذة خلفية لجهازك .. مما يمكن مستخدمي برنامج باك اوريفيس من اختراق جهازك باستخدام البورت رقم 3317
اتبع المسار التالي HKEY_LOCAL_MACHINE+SOFTWARE+MICROSOFT+WINDOWS
CURRENT VERSION +RUN OR RUN ONCE
server .exe
قم بمسح الملف امتداد الملف هو EXE واسهل طريقة لتعرف عليه لان الاسم الخاص بالسيرفر متغير وهو ان اسم الملف والامتداد بينهما مسافة مثال : لاحظ المسافة بين server وبين exe
5 - لحذف ملف Net Bus Ver 1.6 & 1.7
النت باص او اتوبيس الشبكه من اسهل برامج الاختراق واشهرها لانتشار ملفه الخادم ..او المسمى بالسيرفر
التخلص منه :
النت باص يستخدم الباتش سيرفر ويختبى فى الريجسترى ..وللتخلص منه اتبع الاتى :
يجب اولا اطفاء الجهاز وتشغيله فى وضعيت السيف مود safe mode
اتجه للريجسترى ثم ابحث عن الملف الاتــى
:c:\windows\patch.exe
ثم قم بمسحه واعد تشغيل الجهاز مره اخرى
6- لحذف ملف Master Paradise
للتخلص منه ، من قائمة edit اختر find ثم اكتب فيها اسم الملف التالي
C:\windowds\nameofthe.exe
عندما تجد هذا الملف فى الريجسترى قم بمسحه
Osama elmasry
اسامة المصري : من مصر, اهتمامي وحبي لتدوين هو ما جعلني أستمر ليس فقط لتقديم المواضيع بل أيضا لمساعدة الأشخاص المبتدئين ، ,
ليست هناك تعليقات:
إرسال تعليق