المساعد الشخصي الرقمي

مشاهدة النسخة كاملة : ازالة الباتشات delete Patch



هجرة حرف
11-06-2004, 06:45 PM
طرق إزاله الباتش .. بجميع الأشكال ,, وأفضلها ..
8) إزاله الباتش .. التروجان ..


الطريقة الأولى :


البحث داخل ملف تسجيل النظام REGISTRY

إتبع الخطوات التالية :

إذهب إلى أبدا وتشغيل وأكتب الأمر regedit ..

بعد ظهور نافذة REGISTRY EDITOR إفتح المجلدات التالية حسب الترتيب :

* HIKEY_LOCAL_MACHINE

*Software

*Windows

*Current Version

*Run

وخل الماوس على RUN وبتطلع لك ملفات على اليمين .. مقسمه إلى name و data

name أسماء الملفات ، وهذه القائمة تعمل مع بدء تشغيل وندوز.. ويقابلها

data عنوان الملف .. وأي ملف يحوي كلمه exe في خانه name .. يعني أن

جهازك مصاب بملف تجسس .. ما عليك إلا حذفه ..


الطريقة الثانية : قائمة Msconfig ...


من أبدأ وبعدين .. تشغيل وبعدها أكتب الأمر التالي Msconfig وبعدين بيطلع

زي الجدول فيه جميع البرامج اللي تشتغل مع بدايه ويندوز .. لاحظ أي برنامج

غريب عليك شيل علامة الصح عليه وأعد التشغيل وبكذا تكون ميه الميه ..

وهذه أسماء مشهوره للباتشات ..

run= \ load= \ patch= \serve.exe\ msrexe.exe

وبعدها .. إذهب إلى أبدأ .. بحث .. ملفات أو مجلدات ..

وأكتب اسم الباتش اللي طلع عندك .. وأحذفه نهائياً من النظام .. للتأكيد فقط ..


الطريقة الثالثة : إستخدام الدوس ..

هذه أسهل طريقة تستخدم غالباً عن كشف ملف الباتش عن طريق إستخدام الدوس ..

إذهب إلى أبدأ .. برامج .. موجه MS-DOS وأكتب الأمر التالي ..

*.dir patch لاحظ المسافه بين dir و patch وأضغط أنتر ..

وإذا كان فيه باتش أكتب الأمر التالي *.delete patch

الطريقة الرابعة : system.ini


إذهب إلى أبدأ ومن ثم تشغيل وبعدها أكتب الأمر التالي

الأمر System.ini انظر الى السطر السادس ولابد ان يكون هكذا user.exe=user.exe والا فجهازك مخترق


برامج التروجانز وكيفيه إزاله سيرفراتها

أغلب برامج التجسس الشخصية تتكون عادة من ملفين الأول هو ما يسمى بالريموت وهذا هو الملف الذي يتحكم به المخترق في جهازك وينزل عن طريق هذه الأداة المعلومات التي يريد من نظامك

والملف الثاني هو ما يسمى بالخادم وله عدة أسماء ثانية مثل السيرفر أو الباتش وهذا الملف لابد من من أن تقوم بتشغيله في جهازك لكي يستطيع المخترق أن يدخل جهازك

كل برنامج من برامج التجسس يستخدم سيرفر خاص به يدعم خصائصه وعادة ما يتراوح حجم السيرفر من 100 كيلوبايت الى 400 كيلوبايت والحجم يعتمد على كمية الخصائص الموجودة بالريموت

والحجم لا أساس له فقد يقوم المخترق بدمج ملف السيرفر مع برنامج آخر أو لعبة صغيرة لتقوم أنت بتشغيلها وفي كل مرة تقوم بتشغيل اللعبة أو البرنامج فأن السيرفر المدمج بها يقوم بتشغيل نفسه أوتوماتيكياً

ولرؤية قائمة بالبرامج التي تعمل على دمج السيرفر أو الفيروس بأي ملف او برنامج اذهب للموقع التالي
http://paragon.revoluti0n.org/dlbind.htm

وملف السيرفر يقوم بفتح منفذ لديك بجهازك ليستقبل عن طريقه الأوامر المرسلة اليه من المخترق عن طريق أداة الريموت ويرد عليه بالمعلومات المطلوبة عن طريق نفس المنفذ

والمنفذ الذي يستخدمه السيرفر يختلف من برنامج أختراق لآخر وبعض البرامج تقوم بتخييرك لأي منفذ تريد الأختراق عبره وبمجال معين لكل برنامج

ولرؤية قائمة بالمنافذ الأفتراضية لبرامج الأختراق الشهيرة اذهب للموقع التالي
http://paragon.revoluti0n.org/Text/trojanports.txt

والسيرفر عادة يعمل تلقائيا في كل مرة تقوم فيها بتشغيل الويندوز لديك ولا يمكنك التخلص منه بأعادة تشغيل جهازك فقط

وهنالك عدة برامج تعمل على تنظيف جهازك من الباتشات وأشهرها هو الكلينر أو المنظف ويمكنك الحصول عليه من موقع كويت كيس
http://www.qkiss.com/

ولكن هذه البرامج غير عملية فقد يعمل المخترق على تغيير الكود الخاص بالسيرفر بحيث لا تكتشفه برامج الأختراق ومن الممكن أن يغير رقم المنفذ الذي يتعامل مع السيرفر عن طريقه وأفضل طريقة لأبقاء جهازك بعيدا عن أيدي المخترقين هي تنظيفه بنفسك ولقد حاولت هنا قدر الأمكان جمع المعلومات عن طرق عمل سيرفرات الأختراق وكيفية أزالتها من جهازك بالطريقة السليمة وبنفسك

وقد قمت بترتيب الباتشات في النص التالي :

الباك دور BackDoor :

وهو أيضا يحتاج إلى خادم لتشغيله. ويوجد إصدارين من هذا البرنامج.
:للتخلص من الإصدار الأول قم مباشرة بإلغاء الملفات التالية إذا كانت موجودة على جهازك والملفات هي

DATA2.EXE
TINURAK.EXE
WATCHING.DLL

:وللتخلص من الإصدار الثاني قم مباشرة بإلغاء الملفات التالية إذا كانت موجودة على جهازك والملفات هي

WINDOW.EXE
NODLL.EXE
SERVER_33.DLL

--------------------------------------------
الباك اورفيس :

برنامج الباك أورفيس يعمل على الويندوز 95 والويندوز 98 فقط وحجم السيرفر الخاص به صغير نسبيا - تقريباً 120 كيلوبايت فقط

والمنفذ الذي يستخدمه الباك اورفيس هو 31337 فقط

:والتخلص منه يكون بالخطوات التالية

قم بتشغيل محرر التسجيل عن طريق أبدأ ثم تشغيل ثم أكتب

Regedit

:ثم قم بالذهاب الى المفتاح التالي

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\RunService


قم بالبحث في القائمة اليمنى عن أي ملف يثير الشبهة لديك وأنقر عليه نقرتين لتجد مكان الملف في جهازك وتأكد من أن حجمه حوالى 120 كيلوبايت فأذا وجدته قم بمسحه وأعادة تشغيل جهازك

ثم أذهب للمجلد التالي

C:\Windows\System



وقم بالبحث هناك عن أسم السيرفر وسيكون بنفس الأسم الذي وجدته في محرر التسجيل وقم بحذفه تماما من الجهاز وستجد ملفاً آخرا أسمه

Windll.dll

قم بحذفه هو أيضا لأنه تابع لباك أورفيس

بعد حذفك للملفات قم بأيقاف تشغيل جهازك نهائيا وفصله من الكهرباء أيضا

----------------------------------------


الباك اورفيس 2000 BO2k:


وهو يتمكن من وندوز 95 و وندوز 98 و وندوز إن تي ، ولهذا البرنامج نسختين الأولى تسمى النسخة الأمريكية وهي أكبر حجما من النسخة الأخرى بالكيلو بايت طبعا. أيضا لهذه النسخة ميزة أخرى تعرف ب DES encryption
أما النسخة الثانية فتسمى النسخة الدولية
:الأسماء المستعارة لهذا البرنامج التي يتخفى بها هي


BO2K
backdoor.BO2K


:طريقة معرفة وجودة في جهازك والتخلص منه
:يوجد الآن برنامج واحد لحمايتك من هذا البرنامج تجده في الموقع التالي


http://www.spiritone.com/~cbenson/c...backorifice.htm

-------------------------------------------

النت بس NetBus 1.x :


ويستخدم خادم داخل جهازك ومتمكن أيضا من وندوز 95 و 98 و إن تي ويستطيع عمل كل شي يعمله برنامج السب سفن إضافة إلى انه يستطيع إن يتحكم بالفارة التي لديك ويمكنه عرض بعض الصور على شاشة جهازك أيضا أن يفتح محرك أقراص الليزر الخاص بك أيضا باستطاعته سماع كل شي تقوله إذا كنت موصل مايكروفون مع جهازك وأشياء أخرى عديدة

حجم السيرفر الخاص به هو 470 كيلو بايت ، ويمكن لصاحبه الدخول اليك من المنفذ 12345 والمنفذ 12346

:طريقة التخلص منه كالتالي

قم بتشغيل محرر التسجيل وذلك بالطريقة التالية

أبدأ - تشغيل - ثم أكتب في المربع الأمر التالي

Regedit

ثم أذهب إلى المفتاح التالي


HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Run

ستجد هنالك قائمة بالبرامج التي تعمل بجهازك مع بدء التشغيل فقط قم بحذف أي ملف تشك بأنه هو السيرفر لأن السيرفر لا اسم محدد له وقد يكون بأي اسم

من ثم أذهب إلى المجلد التالي

c:\Windows\System\

وستجد هنالك ملف بنفس اسم القيمة التي قمت بمسحها فقط قم بمسح هذا الملف وإذا رفض الملف المسح –وعادة ما سيرفض ذلك لأنه يعمل في نفس الوقت الذي تحاول مسحه - فقم بتشغيل الويندوز في الوضع الآمن وامسحه أو قم بمسحه من الدوس وتأكد من أنك مسحت السيرفر وليس ملف آخر ويمكنك التأكد عن طريق الحجم الذي يتراوح ما بيت 400 كيلوبايت و 500 كيلوبايت فقط

ثم قم بأعادة تشغيل جهازك وستجد أن السيرفر قد تم أزالته عند مراجعتك للخطوات السابقة
---------------------------------------------------

السب سيفن Sub7 :

برنامج السب سفن هو من أشهر برامج الأختراق وأكثرها قدرة على التحكم في جهاز الضحية ولهذا فالسيرفر الخاص به خطير جدا ولابد من التأكد من عدم وجوده بجهازك

يقوم السيرفر الخاص بالسب سفن بوضع الملفات التالية في مجلد الويندوز الخاص بك

Kernel.dl

Rundll16.exe

Movokh_32.dll

Watching.dll

Nodll.exe

مع العلم أنه يمكن تغيير أسماء الملفات السابقة من قبل المخترق

:كم يقوم بأنشاء القيم التالية في سجل الويندوز لديك

HKEY_LOCAL_MACHINE\Software\CLASSES\.dl
HKEY_LOCAL_MACHINE\Software\Microsoft\DirectXMedia




KERNEL16="KERNEL16.DL"
HKEY_LOCAL_MACHINE\Software\CLASSES\.dl\@=exefile

أيضا يقوم السيرفر بأضافة أوامر للملفات التالية

System.ini ===>Shell=Explorer.exe rundll16.exe

Win.ini ====> Run=????.exe Or Load=????.exe

والمنافذ التي يقوم بأختراق جهازك عن طريقها هي 6711 و 6776 أو أي رقم يتراوح ما بين 1243 و 1999 وذلك بحسب رغبة المخترق

:وطريقة التخلص منه كالتالي

قم بالذهاب الى الملفين

System.ini

Win.ini

عن طريق الخطوات : أبدأ- تشغيل - ثم أكتب في مربع التشغيل

Sysedit

:بالنسبة لملف الوين فقط قم بالبحث عن الأوامر التالية

Load=???.exe

Load=???.dll

Run=???.exe

وعلامات الأستفهام ترمز الى اسم السيرفر وقد تكون أي شئ

ثم أذهب الى الملف النظام وفي السطر الخامس تقريبا ستجد شيئاً كالتالي

Shell=Explorer.exe

وأذا وجدت السطر مكتوبا بطريقة غير السابق قم بتعديله ليصبح كالسابق وقد يكون هكذا اسمه

Shell=Explorer.exe ???.dll

وعلامات الأستفهام ترمز لأسم السيرفر فقط قم أنت بتعديل السطر الى

Shell=Explorer.exe

بعد ذلك أذهب الى محرر التسجيل عن طريق الخطوات

أبدا ثم تشغيل ثم أكتب في مربع النص التالي

Regedit

وأذهب الى المفتاح التالي

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Run

وستجد على القائمة اليمنى أسم السيرفر وستعرفه بالطبع لأنه سيكون بنفس الأسم الذي وجدته سابقاً في ملف النظام فقط قم بمسح القيم التي ترمز الى السيرفر بالنقر على زر الحذف

والآن قم بأعادة تشغيل جهازك وأذهب الى مجلد الويندوز وقم بحذف السيرفر وسيكون اسمه معروفا لك الآن

---------------------------------------------

الدرس الثاني


يسرنى ان اقدم لكم افضل طريقه لكيفيه اغلاق منافذ التراجونات ( الباتشات) اللى تشتغل في ملفات السستم وتفتح في جهازك منفذ عندما تفتح الباتش طبعا انا لاحظت ان اكثر الناس اللى ينضربون بالباتشات هذي هم الناس اللى يتعلمون التهكير ممكن جهلا منهم وممكن انهم مايعرفون شلون يشيلوا الباتش ويسكرونه ويحذوفنه من السستم وبعضهم يتوقع انه لازم يفرمت جهازه المهم الطريقه التاليه افضل طريقه لاغلاق معفول الباتش الخطوات يطبقها أي واحد مو شرط يكون هكر

الخــــطوات

(1) من قائمه أبدا أختــار ( تشغيل) وفي تشغيل اكتب الامر

Msconfig

سوف يظهرلك الجــــدوال التالى ومنه أختــار التبويب ستارت أب كما هو موضح



انت الان ناظر للجدول التالى اللى فوق وراح تفهم . انا فتحت كم باتش في جهازي علشان تكون الصوره واضحه قدامكم

لاحظظظظظظ البرامج العاديه اللى في الجدول يعني الرئيسيه اللى عندها علامه صح هي البرامج اللى تكون في اي نظام وندوز 98 واي برنامج ثانى انت مسوي له ست اب في جهازك بيطلع معها وانت جهازك ادرى فيه من غيرك يعني انت عارف البرامج اللى انت نزلتها وتبدا مع بدء التشغيل غالباا

لالالاحظ الاشياء اللى انا شايل منها علامه الصح هي باتشااااات فتحتها ثم حذفتها بازاله علامه الصح طبعا بتلاحظ ان اساميها غريبه يعني تحس انها شي ماله لازوم في برامجك مو شرط يكون اساميها زي اللى في القائمه ممكن تختلف على حسب الباتش بس انت بذكائك راح تعرفها وطبعا اكثر شي تكون باسم

run= / load= /patch.exe / server.exe /msrexe.exe

بعدما تزيل علامات الصح اظغط موافق سيطلب منك النظام اعاده التشغيل اعد التشغيل ثم ارجع واعمل الخطوات التاليه لازاله الباتش من النظام في حاله وجوده تذهب الى قائمه ابدا وتختار بحث ثم تكتب اسم الباتش كما هو في الجدول اعلالاه وتسوي بحث في السيستم وعندما يطلع احذفه نهائي بس تاكد ان مفعول الباتش يروح عند اعاده التشغيل بس للتاكيد احذفه من النظااام

وفي النهايه احب اوضح للجميع ان الهكر حتى لو كان هكر مهما كان مستواه في التهكير يجب ان يتذكر شي مهم انه مسلم والمسلم مايضر اخوه المسلم يعني لابد انه يخاف الله سبحانه ويتقيه في بعض الناس الضعاف المساكين اللى تكون اجهزتهم فيها منافذ يعني لا تضرهم اذا دخلت الجهاز وحسيت انه محترم اطلع من الجهاز وسو كل للسيرفر تاخذ اجر باذن الله وترحم انسان مسكين غشيم اما اذا لقيت في الجهاز اشياء غير لائقه لقيته يفتح مواقع ماادري ايش فلا ترحمه ولا يردك الا المذر بورد لانه انسان واطي ويستاهل اللى يجيه عكس اذا دخلت جهاز فيه محاضرات دينيه قراءات اناشيد خاف الله واعرف انك تضر مسلم ممكن من غشامته مادرا عن الطبخه وكل واحد واصله

ملاحظه مهمه / هناك باتشات لا تظهر في هذه القائمه لذا انصح باستخدام برنامج النورتن وعمل ابديت له باستمرار فهو الحل الوحيد لكشفها ومكافحتها



وتقبلو تحيااتي

domo3`
12-06-2004, 12:15 PM
شكــرا لـك روح الجــروح ..
شاكرة لك .. تواجــك :) .

عزيزتــي . .

اتمنى انها تكون طريـقـه مجديـة في إزالة الباتشات !! :)

وطبعا اشكر لك وبشدة .. وضعك النقاط على الحروف ..
لأن صار عليها كلام بالمنتدى ..
بس طريقة امر التشغيل مكررة ,!!!

فما نبي تكرار ..
اما الطرق الثانيـة يا ســلأام عليــك
كفيتي ووفــيتــي :)

واستبيحك عــذرا .. بتعديل التنسيـقـات .. :wink:

لأن الموضــوع يستـحـق القـراءة بـشـكـل أفــضـل . .

<< كان متــعــب للـعـين ..

هجرة حرف
13-06-2004, 07:03 PM
دموع القمر


تسلمين ياقلبي :oops:





وووخذي راحتك اصلا انبسطت بتعديلاتك :D

تحياتي :mrgreen:

أم مبارك
13-06-2004, 07:50 PM
السلام عليكم
جزاك الله خير على هذا الموضوع

فعلاً موضوع قيم ويستحق القراءة من قبل الجميع حتى الأشخاص الذين ليس لديهم الالمام بمعرفة طرق الإزالة ، ولكن يكفي قراءة الموضوع للإطلاع على سبل التخلص من الباتشات ، وطبعاً كل خطوة تحتاج للدقة والحذر في التعامل معها

الصراحة اللسان عاجز عن شكرك اختي روح الجروح الله يسعدك دنيا وآخرة ويجعل هذا الموضوع في موازين حسناتك قولي آمين

تحياتي لك
السلام عليكم

هجرة حرف
17-06-2004, 04:40 PM
الله يعافيك ام مبارك
وجودك اسعدني :oops:

أم مبارك
18-06-2004, 12:10 AM
الله يسعدك دنيا وآخره

والصراحة الموضوع عملت منة نسخة عندي بالحاسب
ولو إن : أم مبارك <<<<<<<<<< ماتفهم في هالسوالف :mrgreen:
لكن يكفي وجوده عندي يعني احتياط ، سبحان الله << ذخر للزمن >> :mrgreen:

وكلمة شكر قليلة عليك اممممممممم ، ما آدري شاقول :-)

تحياتي لك
السلام عليكم