الموضوع: ازلة الباتشات

بسم الله الرحمن الرحيم :

نظرا لأهمية الموضوع قررت ذكرها وهي عن ازلة بلتشلت السب سفن و

غيرها


ّّّّّّّّّّّّّّّّّّّّّّ****** ********************************************
أولا : حذف سيرفر برنامج SubSeven





أخطر برامج الاختراق يطلق عليه البعض اسم القنبلة تتركز خطورته في أنه يتميز بمخادعة الشخص الذي يحاول إزالته فهو يعيد تركيب نفسه تلقائيا بعد حذفه يعتبر أقوى برنامج اختراق للأجهزة الشخصية .. وفي إصدارته الأخيرة يمكنه أن يخترق سيرفر لقنوات المحادثة

Mirc

كما يمكنه اخترق أي جهاز أي شخص بمجرد معرفة أسمه في

ICQ
كما يمكنه اختراق مزودات البريد

smtp/pop3

يعتبر الاختراق به صعب نسبيا وذلك لعدم انتشار ملف التجسس الخاص به في أجهزة المستخدمين إلا أنه قائما حاليا على الانتشار بصورة مذهلة ويتوقع أنه بحلول منتصف عام2001 سوف تكون نسبة الأجهزة المصابة بملف السيرفر الخاص به 40-55 % من مستخدمي الإنترنت حول العالم وهذه نسبة مخيفة جدا إذا تحققت فعلا ... مميزاته خطيرة للغاية فهو يمكن المخترق من السيطرة الكاملة على الجهاز وكأنه جالس على الجهاز الخاص به حيث يحتوي على أوامر كثيرة تمكنه من السيطرة عليه ... بل يستطيع أحيانا الحصول على أشياء لا يستطيع مستخدم الجهاز نفسه الحصول عليها مثل كلمات المرور .. فالمخترق من هذا البرنامج يستطيع الحصول على جميع كلمات المرور التي يستخدمها صاحب الجهاز !!! ولخطورته الكبيرة فسوف نفصل في الشرح عنه

------------------------------------------------------------



خطورة البرنامج :



يمكن عمل تعديلات على الخادم الخاص بالبرنامج من خلال برنامج التحرير الخاص به لذلك فإنه من الواجب البحث في أي مكان ممكن أن يسجل فيه ليعمل تلقائيا يعني أي مكان يمكن وضع أوامر للويندوز ليقوم بتشغيله تلقائيا .



------------------------------------------------------------

أعراض الإصابة بالتروجان


ينشئ القيم التالية في قائمة التسجيل :



HKEY_LOCAL_MACHINE\Software\CLASSES\.dl



HKEY_LOCAL_MACHINE\Software\Microsot\DirectXMedia



KERNEL16="KERNEL16.dl



HKEY_LOCAL_MACHINE\Software\CLASSES\.dl\@=exefile



------------------------------------------------------------

التعديلات التي يحدثها في مجلد النظام


35 كيلو بايت

rundll16.exe أو KERNEL.dll



35 كيلو بايت

MOVOKH_32.dll



35 كيلو بايت

nodll.exe



35 كيلو بايت

watching.dll



------------------------------------------------------------

التغييرات التي يحدثها في ملف
system.ini



يقوم بإضافة اسمه

server.com or .exe



بعد عبارة

********l=Explorer.exe



------------------------------------------------------------

التغييرات التي يحدثها في
win.ini



تجده في الأسطر الأولى ويكون كالتالي



load=server.exe أو run=server.exe



load=server.com أو run=server.com



------------------------------------------------------------

أعـراض الإصابة :



من أهم أعراض الإصابة بهذا البرنامج ظهور رسالة " قام هذا البرنامج بأداء عملية غير شرعية ... " وتظهر هذه الرسالة عند ترك الكمبيوتر بدون تحريك الماوس أو النقر على لوحة المفاتيح حيث يقوم البرنامج بعمل تغييرات في حافظة الشاشة وتظهر هذه الرسائل عادة عندما تقوم بإزالة إدخالات البرنامج في ملف system.ini

كما أن بإمكان الخادم إعادة إنشاء نفسه بعد حذفه من الويندوز باستخدام بعض الملفات المساعدة له في ذلك

كذلك الإغلاق المفاجئ لجهازك.



-----------------------------------------------------------

التخلص منه :



1- افتح الملف win.ini

الموجود في مجلد الويندوز وابحث في بداية السطور الأولى من هذا الملف عن أي قيم شبيهة بالقيم التـالية :



run=xxxx.exe أو run = xxxx.dll أو Load=xxxx.exe أو Load = xxxx.dll



لاحظ أن xxxx تعني اسم الخادم وإذا عثرت على أي قيمة منها فقم بحذفها



2- افتح الملف
system.ini

الموجود في مجلد الويندوز وفي السطر الخامس تقريباً ستجد السطر التالي :

********l = Explorer.exe ...



فإذا كان جهازك مصابا ستجد السطر على هذا الشكل :



********l=Explorer.exe xxxx.exe .... أو ********l = Explorer.exe xxxx.dll



مع العلم بأن

xxxx

هو اسم الخادم الذي من أشهر أسمائه

rundll16.exe و Task_Bar.exe و server.com

أو server.exe

فإذا كان كذلك فقم بمسح اسم الخادم فقط ليصبح السطر



: ********l = Explorer.exe



3- اضغط على
start

ثم تشغيل ثم اكتب

regedit

لتدخل إلى



ملف السجل ثم قم بالدخول تسلسليا على الأتي :



HKEY_LOCAL_MACHINE



Software



Microsoft



************s



Current Version

داخل المجلد

Run

ابحث عن اسم الخادم الذي عثرت عليه في مــلف

system.ini

أو الملف

win.ini

( في بعض الأحيان قد يتغير اسم الخادم في ملف التسجيل لذلك ابحث عن أي شي غريب ) ثم بعد ذلك توجه لمجلد الويندوز وستجد أن حجم الخادم الذي عثرت عليه في ملف التسجيل حوالي 328 كيلو بايت إذا كان كذلك عد لنفس المنطقة في ملف التسجيل وقم بحذف القيمة وذلك بالنقر على اسمها واختيار حذف الآن أعد تشغيل الجهاز ثم توجه لمجلد الويندوز وقم بحذف الخادم بالنقر عليه بالزر الأيمن للماوس واختيار حذف .





==================================================


ثانيا : إزالة الباتشات للبرامج الأخرى
· أولا يفضل معرفة اسم الباتش المسجل في الرجستري لكي يسهل إلغاؤه

الطريقة :

1- ابدأ (Start)

2- تشغيل (Run)

3- اكتب regedit

4- اضغط موافق

5- اذهب للمفتاح

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\************s\Curr entVersion\Run

والمفتاح

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\************s\Curr entVersion\Run -

وإذا وجدت أي اسم غريب ( أي اسم ينتهي بـ exe عدا internat.exe في قائمة Name فقط )

6- احذف الاسم مباشرة وأعد التشغيل

7- اذهب لمجلد ************s وستجد ملف بنفس الاسم للملف الملغي سابقا ¡ ألغه هو الآخر ¡ وإذا لم تجد الملف ¡ فاحتمال أن يكون موجودا في مجلد System و فقط ألغه من جهازك وسيكون خاليا من الباتشات بإذن بالله.


" مــــــــــــــنـــــــــ ـــــــقـــــــــــــول"