كل الطرق لتغلب على ملفات التجسس

[عهد]

كل الطرق لتغلب على ملفات التجسس
اليك كل الطرق لتغلب على ملفات التجسس
بسم الله الرحمن الرحيم
-------------------------------------------------------------------------------------------
اليك كل الطرق لتغلب على ملفات التجسس

1_ Back Oriface وهو واحد من اشهر ملفات التجسس ويستخدم المنفذ رقم 3317
طريقة التخلص من الملف:

1- من قائمة البداية Start اختر Run و اكتبRegedit
2- من القائمة على اليسار اختر HKEY_LOCAL_MACHINE ثم Software ثم Microsoft ثم Windows ثم Current Virsion ثم Run أو احيانا Run Once.
3- اسم الملف متغيير من مكان لأخر امتداده دائما Exe لكن يمكنك معرفته كون اسم الملف او السرفر تظهر بعده مسافةو من ثم .exe عندما تجد الملف الغه تماما ..
___________________________________________

2_ Net Bus هو الاكثر انتشارا على الشبكة .حجمه 470 كيلو بايت
يستخدم المنافذ 12345 و المنافذ 12346و هو يمكن المخترق من السيطرة شبه الكاملة على جهازك .
طريقة التخلص من الملف:

1-اطفأ الجهاز و اعد تشغيلة بهيئة الوضع الآمن او Safe Mode .
2- من الاعلى انتبع الخطوات من1و 2
3- ابحث عن الملف التالي c\windows\patch.exe و الغه و من ثم اعد تشغيل الجهاز.
___________________________________________

3_ Net Bus 2000 على عكس السابق فاسمه متغيير و حجمة 599 بايت.
طريقة التخلص من الملف:

1- من قائمة البداية Start اختر Run و اكتبRegedit
2- من القائمة على اليسار اختر HKEY_LOCAL_Machine ثم Software ثم Microsoft ثم Windows ثم Current Virsion ثم Run services
3- ابحث في القائمة على اليمين عنNBsvr.exe ( هذا هو اسم الملف في الغالب) هكذا انت على علم ان جهازك مصاب .. و عليك بالعلاج التالي .وحتى و ان لم تجد الملف السابق اكمل الخطوات التالية.
4- انتقل إلى HKEY_LOCAL_USER ثم ابحث عن مجلد اسمه NetBus Server اضغط على المجلد بزر الفأرة الايمن اختر DELETE
5- اختر إعادة تشغيل الجهاز بوضع دوس DOS
5- اكتب Cd Winodw ثم إدخال Enter اتبعها ب CD system و ادخال و من ثم اكتب Del NBSvr.exe و ادخال ، Del NBHelp.dll و اخي Del Log.txt و انتهى . اعد تشغيل جهازك .

___________________________________________

4_ Heack’a Tack’a يستخدم بروتوكل FTP مما يصعب الوصول اليه.يستخدم المنافذ رقم 31785 و 31787 و 31789 و 31791 .
طريقة التخلص من الملف:

1- من قائمة البداية Start اختر Run و اكتبRegedit
2- من القائمة على اليسار اختر HKEY_LOCAL_MACHINE ثم Software ثم Microsoft ثم Windows ثم Current Virsion ثم Run أو احيانا Run
3- ابحث عن Explorer32 و الذي يوافق المسار C\WINDOWS\Expl32.exe و قم بحذفه

___________________________________________

5_ NetSphere يستخدم المنافذ TCP 30100 - TCP 30101-TCP 30102
طريقة التخلص من الملف:

1- من قائمة البداية Start اختر Run و اكتبRegedit
2- من القائمة على اليسار اختر HKEY_LOCAL_MACHINE ثم Software ثم Microsoft ثم Windows ثم Current Virsion ثم Run
2-ابحث في الجهه اليمنى عن c\windows\system\nssx.exe
3- احذف هذا الملف . و اعد تشغيل الجهاز بواسطه الضغط على CTRL+ALT+DELETE.

___________________________________________

ملاحظه :هذه بعض ملفات التجسس المنتشره او المشهوره واذا اردت ان تشيك يعني تزيل كل شي غريب من ملف التسجيل اتبع التالي :Start >> run >> regedit

بعد ان تفتح لك نافذة البرنامج افتح المجلدات حسب الترتيب التالي

HKEY_LOCAL_MACHINE

Software

Microsoft

Windows

Currentversion

Run

بعد ان تفتح هاذه الملف ستجد به اسماء الملفات التي تشير الى وجود ملف تجسس في جهازك وغالبا ً مايكون اسم هاذا الملف غريب ولايندرج تحت برنامج معين ويكون امتداد هاذا الملف كلتالي

Exe

مثال

Patch.exe or fsat.exe or explo32.exe
بعد ان تكتشف وجود الملف قم بمسح هاذا الملف
بعد فحص الجهاز لنفترض انك وجدت ملف تجسس اذهب الى مجلد الوندوز وابحث عن اسم هاذا الملف واحذفه واذا لم تجده فبحث عنه مره ثانيه في مجلد system داخل مجلد الوندوز ثم لاتنسى ان تعيد تشغيل الكمبيوتر بعد حذف الملف .
___________________________________________

وهناك طريقه ثانيه:
تعتمد هاذه الطريقه على استخدام امر msconfig :

اتبع التالي

Start >> run >> msconfig

بعدها ستضهر لك واجهة البرنامج اخترمنها start up

سوف تضهر لك شاشه تعرض لك اسماء البرامج التي تعمل بشكل مباشر مع بدء التشغيل بامكانك الأان فحص هاذه البرامج والتاكد من عدم وجود برامج غريبه او غير معروفه ومن ثم الغاء الأِ شاره الموجوده امام البرنامج وبهاذا تكون قد اوقفت عمل البرنامج التجسسي او غيره من البرامج الغير مرغوب فيها .


وهناك ايضا طريقه ثالثه :
استخدام الدوس

اتبع التالي

قم بتشغيل الدوس وبعده اكتب الأمر التالي

*.C:\windows\ dir patch

اذا وجدت أي ملف تجسس قم بمسحه بلأمر التالي

*.C:\windows\ delete patch



) اذهب الى الويندز وابحث عن مفكره win.ini ثم افتح الملف وابحث عن أي ملف من الملفات التاليه وفي الغالب تجدها في السطر الثاني او الثالث :

Run=xxxx.exe او run= xxxx.dll او load=xxx.exe او load=xxxx.dll

مع ملاحظه ان xxx تعني اسم الخادم واذا عثرت على أي قيمه منها قم بحذفها.

2) افتح الملف system.ini والذي تجده في مجلد الويندز وهو عباره عن مفكره ثم ابحث في السطر الخامس عنعن shell=explorer.exe او shell= explorer.exe xxxx.exe مع العلم ان xxx هو اسم الخادم الذي من اشهر اسمائه rundll16.exe و Task_bar.exe
فإذا كان كذلك فقم بمسح اسم الخادم فقط ،ليصبح شكل السطر shell=explorer.exe .

2) أضغط على ابدأ ثم تشغيل وأكتب regedit ثم موافق لتدخل الى ملف التسجيل ثم افتح التبويبات التاليه بالترتيب :

HKEY_LOCAL_MACHINE/software/Microsoftwindows/current version

ثم أضغط على run ضغطه واحد بدون فك التبويب لها سوف تجد في المربع الايمن عن اسم الخادم الذي عثرت عليه في system.ini او في الملف win.ini ويمكن ان لاتجده فانتبه فهو موجود ولكن غير اسمه احذف أي ملف تجد اسمه تحت name ولاتجد أي كتابه له في date وانما تجد بدل منها """ ثم توجه الى الويندز وستجد ان حجم الخادم الذي عثرت عليه في ملف التسجيل هو حوالي 328 كيلوبايت عند اذاً ارجع الى التسجيل في run واحذفه بالنقر على زر الماوس الايمن ثم delete ثم اعد تشغيل الجهاز .

[عهد]

برنامج netbus
1) اضغط على ابدأ ثم تشغيل ثم أكتي regedit لكي تدخل الى ملف التسجيل ثم أنقر على موافق .

2) ثم أفتح التبويبات التاليه :

HKEY_LOCAL_MACHINE\software\Microsoft\windows\curr


entversion

3) ثم أنقر على المجلد RUNستجد داخل هذا المجلد البرؤامج التي تعمل تلقائياً عند تشغيل الويندوز والتي قد يكون من ضمنها الخادم اذا وجدت أي قيمه في الجهه اليمنى من ملف التسجيل تشير الى ملف أسمه patch.exe فهذا هو الخادم ، مع العلم بأنه قد يكون أي أسم أخر فأبحث عن أي ملف غريب ليس من برامج المعروفه الخاصه بالويندوز .

4) بعد العثور عليه توجه الى مجلد الويندز داخل السي وتوجه الى winnt ثم مجلد system 32اذا كنت تستخدم ويندوز nt او توجه الى المجلد ويندوز ثم مجلد system اذا كنت تستخدم ويندوز 98 او ويندوز 95 .

5) أبحث عن أسم الملف الذي عثرت عليه بداخل المجلد run في ملف التسجيل اذا عثرت عليه عادة يكون حجمه 470k تكون قد عثرت على الخادم الذي يستخدمه المخترق في الدخول اليك

6) شغل نافذه الدوس في الويندوز أذهب الى المجلد الذي وجدت فيه الخادم ثم أحذف الملف

>del xxx.exe

حيث xxx تعني أسم الخادم أما patch او اسم اخر .

7) أذهب الى نفس المجلد في ملف التسجيل في run للتأكد من عدم وجود هذا الملف ثم اعد تشغيل الجهاز من جديد .

برنامج master paradise :
1) أضغط على ابدأ ثم تشغيل وفي المربع أكتب regedit ثم موافق لتدخل الى ملف التسجيل
2) أفتح التبويبات التاليه :
HKEY_LOCAL_MACHINE\software\Microsoft\windows\curr


entversion
3) أنقر على المجلد RUN ثم في الجهه اليمنى من ملف التسجيل عن ملف أمامه مسار الخادم وهو C:\WINDOWS\nameofthe.exe ضع الما وس عليه وأنقرباليمين ثم أحذفه بلأمر delete ثم اعد تشغيل الجها من جديد
برنامج back orifice
1) أضغط على ابداء ثم تشغيل وأكتب الامر regedit لكي تدخل الى ملف التسجيل ثم أنقر على موافق .

2) افتح التبويبات التاليه :

HKEY_LOCAL_MACHINE\software\Microsoft\windows\curr


entversion

ثم أنقر على المجلد RUNSERVICES وابحث عن أي ملف غريب له الامتداد .exe

3) بزر الماوس الايمن أنقر عليه ثم احذفه واخرج من ملف التسجيل .

4) أعد تشغيل الجهاز .

5) توجه لمجلد ( system ) الموجود في مجلد الويندوز وابحث عن الملف المطلوب وهو الشبيه ب .exe وأذا لم تجده فأنقر على قائمه عرض ثم خيارات المجلد ثم عرض من قائمه الملفات المختفيه ضع علامه على إظهار جميع الملفات ثم أنقر على تطبيق ثم موافق .

6) ثم عد مره أخرى الى مجلد system واذا وجدت الملف المطلوب قم بمسحه وستجد ملفاً أخر اسمه windll.dll قم بحذفه أيضاً أعد تشغيل الجهاز .
أسم البرنامج net bus pro :
1) اضغط على ابدأ ثم تشغيل ثم في المربع أكتب regedit ثم موافق لكي تدخل الى ملف التسجيل.

2) أفتح التبويبات التاليه :

Software\Microsoft\windows\ currentversion HKEY_ LOCAL_MACHINE\

3) أنقر على المجلد التالي RUNSERVICES أبحث في الجهه اليمني من ملف التسجيل عن ملف أسمه nbsvr.exe .

4) حدد الملف بالماوس الايمن وأختر حذف delete ) )

5) أخرج من ملف التسجيل ثم أرجع اليه مره أخرى وتتبع نفس التبويبات السابقه ولكن من البدايه بدل بين:

HKEY_LOCAL_MACHINE بدل منه افتح HEKY_CURRENT_USER

6) ستجد تحت المجلد currentversion مجلد أسمه NETBus server حدده بالماوس ثم أنقر بالزر الايمن وأختر delete ثم أخرج من ملف التسجيل

7) اعد تشغيل الكمبيوتر في وضع msــ dos

8) أذهب الى مجلد النظام winnt لمستخدمين ويندوز nt او لمستخدمين ويندوز 95 – او ويندوز 98 يذهبون الى مجلد system ثم احذف الملفات التاليه :

NBSvr.exe - nbhelp.dll - log.txt

9) ثم اعد تشغيل الجهاز
برنامج back orifice 2000 :
1) أضغط على ابدأ ثم تشغيل ثم أكتب في المربع regedit ثم موافق لكي تدخل الى ملف التسجيل .

2) أفتح التبويبات التاليه بالترتيب :

HKEY_LOCAL_USERS\software\Microsoft\windows\currnt


version
3) أنقر على المجلد RUNservices ثم أبحث في الجهه اليمنى من ملف التسجيل عن ملف أسمه KeyUMG32.EXE

4) أطفي الجهاز ثم أعد تشغيل الجهاز في وضع safe mode

5) حدد الملف بالماوس ثم أنقر بالزر الايمن وأختر حذف delete

6) أطفي الجهاز ثم اعد تشغيله وبذلك تكون قد تخلصت منه

[عهد]

ملاحظه هامه :

أذا لم تنفع الطريقه السابقه أو لم تتقنها فأستخدم برنامج الحمايه من الفيروسات لديك لحذف الملف السابق
برنامج net bus 2000 :
1) أضغط على أبدأ ثم تشغيل ثم أكتب الامر regedit في المربع ثم موافق .

2) سوف تدخل بعد ذلك الى ملف التسجيل أفتح التبويبات التاليه بالترتيب

HKEY_LOCAL_USERS\software\Microsoft\windows\curren


tversion

3) أنقر على المجلد RUNservices ثم أبحث عن ملف أسمه KeyUMG32.EXE

4) أطفي التشغيل ثم اعد التشغيل في وضع ( safe mode ) .

5 ) حدد الملف بالماوس ثم أنقر بالزر الأيمن وأختر حذف ( delete )

6) اعد تشغيل الجهاز
برنا مج deep Throat 2.0 :

1) أذهب الى ابدأ ثم أطلب أعادة التشغيل في وضع MS-DOS

2) في الدوس توجه لمجلد النظام ( SYSTEM ) الموجود في الويندوز كمايلي:

C\WINDOWS>SYSTEM >dir systray.exe ثم أظغط enter

3) أذا وجدت ان الملف حجمه 300 كيلو بايت فقم بحذفه بكتابة :

>del systray.exe

4) ثم أعد تشغيل الجهاز بالضغط على ctrl+ alt + delete

5) الان تكون قد تخلصت من الملف الخادم بأذن الله وسوف تحتاج الى نسخه من ملف systray.exe الذي مسحته ويمكنك ذلك من أسطوانه الويندوز أو من نسخه من أي كمبيوتر آخر لصديق أو غيره
ملاحظه هامه جداص: هذه الطريقه السليمه والصحيحه الوحيده لازالة تورجن هذا البرنامج والذي كنت باستمرار انسال عنه في بعض المنتديات ولاحظت اصرار الكثير على ان تورجن هذا البرنامج لا يزال الا بالفورمات ولذلك حبيت اوضح هذه النقطه مع ان الفورمات متعه وهنا وأحلى شي هههههههههههههه
برنامج Cirl Friend :
1) أضغط على ابدأ ثم تشغيل.

2) أكتب في مربع التشغيل regedit ثم أضغط موافق لكي تدخل الى ملف التسجيل.

3) ثم افتح التبويبات التاليه :

HEKY_LOCAL_MACHINE \SOFTWARE\MICOSOFT\WINDOWS\CURRNTVERSION

4) أنقر على RUN وابحث عن أي ملف غريب له الأمتداد :

C:\Windows\windl.exe

5) بزرالماوس الأيمن أنقرعليه ثم احذفه واخرج من ملف التسجيل .

6) أطفي الجهاز ثم أعد تشغيله ثم توجه الى مجلدالويندوزوابحث عن ملف windll.exe وقم بحذفه.
برنامج WinCrash :
1) أضغط على ابدأ ثم تشغيل.
2) أكتب في مربع التشغيل regedit ثم اضغط موافق لكي تدخل الى ملف التسجيل.
3) أفتح التبويبات التاليه بالترتيب :
HKEY_LOCAL_MACHINE\software\microsioft\currentvers


ion
4) أنقر على المجلد RUN وابحث في الجهه اليمنى عن ملف MSManager
5) بزر الماوس الأيمن أنقر عليه ثم احذفه بالأمر delete واخرج من ملف التسجيل
6) أعد تشغيل الجهاز في وضع MS-DOS
7) توجه لمجلد النظام (SYSTEM) ثم احذف الخادم بالأمر التالي:
>del server.exe ثم أضغط enter
8) أعدتشغيل الجهاز وذلك بالنقر على ctrl+elt+del وبهذا تكون قد تخلصت من الملف الخادم بأذن الله

نقل من اجل الفائده
وكل الشكر لصاحب الموضوع0

[عهد]

وهنا خطوات وشرح سهل ورائع0 لبحث ملفات التجسس في جهازك






اتبع التالي ولا هكر يقدر يخترق جهاز
قبل إن تبحث عن ملفات التجسس في جهازك
تأكد بأنك لم تسمح بالمشاركة في ( الطابعة )
ولا في ( الملفات على الشبكة ) لأن السماح بذلك
أخطر من كل ملفات التجسس .... كيف تتأكد من ذلك ؟..:

1- من قائمة ابدأ
2- إعدادات
3- لوحة التحكم
4- شبكة الاتصال : انقر عليها مرتين بالزر الأيسر
للفارة وسوف تفتح لك نافذة اسمها شبكة الاتصال
وسوف تجد بها ثلاثة أشياء فقط وهي بالترتيب :
1- تسجيل دخول مجموعة Microsoft
2- مجموعة محول الطلب الهاتفي
3- TCP/IP
إذا لم تجد ألا هذه الثلاثة فهذا هو المطلوب ومعناه إنك
لم تسمح بالمشاركة بالطابعات ولا في الملفات وهذا هو
الوضع السليم والصحيح ..
إما إذا وجدت معهم شي رابع وهو عبارة عن شاشة
كمبيوتر فقم بحذفه فوراً .... بقي شي آخر مهم لاتروح عن
نافذة شبكة الاتصال وهو :
1- أضغط ضغطةٍ خفيفة على ( محول الطلب الهاتفي )
( ظلله )
2- أنقر على ( خصائص )
3- ( خيارات متقدمة )
سوف تفتح لك نافذة أخرى وهي مقسومة إلى قسمين
بالشكل التالي :
الخاصية _________ القيمة
مكتوب في خانة الخاصية أربع عبارات هي بالترتيب :
1- ( استخدام ضغط رأس IPX ) وقيمته في خانة القيمة
لازم تكون ( نعم ) .
2- تسجيل ملف .... قيمته لازم تكون ( لا ) .
3- ( تمكين POINT TO POINT IP ) لازم تكون قيمته
( لا ) . ـــ مهم جداً جداً ـــ.
4- ( حجم الحزمة IP ) قيمته تلقائي . ثم أضغط موافق
ثم نأتي للي بعد اللي هو :
TCP/IP ونضغط عليه ضغطةٍ خفيفة ( نظلله )
ثم ( خصائص ) وسوف تخرج لنا لوحة تحذيرية
نضغط موافق ثم ( خيارات متقدمة ) نجعل قيمته ( لا ) .
ثم نوافق على إعادة تشغيل الجهاز
-----------------

0قبل البدء بالتعرف على طرق الكشف عن ملفات
التجسس وطرق التخلص منها ينصح كل خبراء
الحماية بالتالي :

1- عدم فتح أي مرفقات تأتي عن طريق البريد
قبل فحصها ببرامج مكافحة الفيروسات
وبرامج مكافحات ملفات التجسس .
2- يفضّل عدم تحميل أي برنامج من المواقع الغير معروفة .
3- عدم فتح أو تنصيب أي برنامج قبل فحصه ضد الفيروسات
وضد ملفات التجسس .
4- عدم زيارة المواقع المشبوهة مثل المواقع
( الإباحية ) فهي مرتع خصب لكل المصائب .
5- يفضّل الابتعاد عن مواقع ( الشاة ).
6- عدم قبول أي ملف عن طريق الماسنجر.
7- عدم قبول أي محادثة صوتية بالماسنجر .
8- إذا وجدت شخص ما قد قام بإضافتك إلى قائمة
المتصلين لديه بالماسنجر وأنت لا تعرفه من الأفضل
أن تختار الظهور دون اتصال ثم تقوم بقبوله .. ثم
تضع عليه حضر ثم تحذفه .
9- قم بتركيب أقوى جدار ناري مثل ( الزون الأرم . )
10- قم بتركيب أقوى مضادات الفيروسات مثل
( النورتن 2002 ) وحدثه باستمرار .
11- قم بتركيب أقوى مضادات ملفات التجسس مثل
( ذي الكلينر ) وحدثه باستمرار .
12- قم بتركيب أقوى مضادات الكوكيز مثل
( أد أواري ) وحدثه باستمرار

==================

ثم نبدأ بالتعرف على أفضل طرق كشف وحذف
ملفات التجسس :

الطريقة الأولى :
1- أنقر على أبدأ
2- أكتب في خانة التشغيل run الأمر : system.ini ثم أضغط OK
سوف تفتح المفكرة .. إذا كان جهازك سليم سوف تجد بالسطر الثالث هذه العبارة shell=Explorer.exe
وإذا وجدت أي زيادة بهذه الجملة مثلاً : نجوم **، أو علامات إستفهام ؟؟ ،
أو xxx قم بمسح أي زيادة على تلك الجملة ثم أضغط موافق.

[عهد]

الطريقة الثانية :
1- أنقر على ابدأ
2- اكتب في خانة التشغيل Run الأمر Win.ini
3- موافق
سوف تفتح لك المفكرة الأخرى : لاحظ السطر الخامس والسادس
إذا وجدت في أحد هذان السطران أي نجوم ***
أو علامات استفهام ؟؟؟
أو xxx قم بمسحها أي ( مسح النجوم وعلامات الاستفهام
والأ** ) ثم أضغط موافق .

الطريقة الثالثة : من الدوس :

من الدوس اكتب dir patch ثم أضغط ENTER
إذا كان جهازك سليم سوف تكون
النتيجة بهذا الشكل volume in drive c has no label
Volume serial number is
Directory of c\ windows
File ليس found إذا وجدت الباتش احذفه بالطريقة التالية :
C:\ Windows\ delete patch

--------------
الطريقة الرابعة :
من ملف تسجيل النظام Registry
1- أنقر على ابدأ
2- أكتب في خانة التشغيل run الأمر التالي Regedit ثم Ok
ثم افتح المجلدات التالية حسب الترتيب التالي :
1- HKEY_LOCAL_MACHINE
2- SOFTWARE
3- MICROSOFT
4- WINDOWS
5- CURRENT VERSION
6- RUN إذا فتحت ملف RUN سوف تفتح لك نافذة تسجيل
النظام وسوف تجد في أعلاها من جهة الشمال أسماء الملفات
التي تعمل مع قائمة بدء التشغيل وفي أعلاها من جهة اليمين
عناوين الملفات هكذا :
names __________ data
إذا وجدت ملف لا يقابله عنوان في DATA أو ظهر أمامه
سهم صغير هكذا <--- فهو ملف تجسس
تخلص من بالضغط على زر الفارة الأيمن ثم DELETE
أبحث في كل ملفات Run
وإذا وجدت أي ملف باسم Patch أو باسم
Server.exe أو باسم Explo32 أكتب اسمه
كامل ثم قم بحذفه delete ....
ثم أعد تشغيل الجهاز
ثم اذهب إلى قائمة ابدأ ثم اختر بحث ثم ابحث
عن اسم ملف التجسس اللي أنت حذفته من
الريجستري .. اختر البحث في جهاز الكمبيوتر
إذا وجدته قم بحذفه بعد التأكد التام .


الطريقة الخامسة :
من قائمة بدأ التشغيل :
1- أنقر على أبدأ
2- اكتب في خانة التشغيل RUN الأمر التالي : MSCONFIG
3- ثم أضغط موافق
4- أفتح بدأ التشغيل وسوف تظهر لك شاشة تعرض لك كل
البرامج التي تبدأ العمل مباشرة مع بدأ التشغيل
إذا وجدت أي برنامج غريب لم تقم انت بتنصيبه شيل علامة
الصح الموجودة في المربع المقابل لاسم الملف ثم أضغط موافق
ثم وافق على إعادة تشغيل الجهاز ينتهي مفعوله.



منقول من اجل الفائدة0