السلام عليكم ورحمة الله وبركاته
اقدم لكم موضوع معرفة هل جهازك به ملفات تروجان ام لا ولكن لا تمل من طول الموضوع لانه مهم
ومع اني قد قرأت هذا الموضوع اكثر من مره علي المنتدي ولكني لم اقرأه بطريقة منسقه مثل هذه الطريقة
وارجو ان لا تكون قديمة حيث يوجد بها اسماء اهم البرامج الموثوق بها لحمايتك من التروجان واسماء الملفات التروجان التي قد توجد بجهازك غأحببت ان اقدمه لكم
I التروجان و كيفة التخلص منه
I-1\ ما هو التروخان؟
التروجان هو برنامج تجسس و له أسماء أخرى مثل مخدم (Server) أو اللاصق (Patch) أو الجاسوس (Spy) لكن مبدعين هذا النوع من الملفات يفضلون الأسماء الرنانة و اسم تروجان هو نسبة إلى حصان طروادة. لكن مع اختلاف المسميات فهو برنامج تجسسي يجعل من حاسبك مخدم لحاسب الجاسوس, أي يتمكن الجاسوس (و هو الشخص الذي بعث إليك هذا التروجان) من التحكم بجهازك و كأنه أنت, لكن مع الأخذ بعين الاعتبار أن ذلك فقط في حال أنت متصل بالإنترنت أو الشبكة و ليس هذا فقط بل و عندما يعرف أنك على الإنترنت أما غير ذلك فهو لا حول له ولا قوة.
I -2\ كيف يلج التروجان إلى حاسب؟
1- عن طريق برامج المحادثة مثل Microsoft chat و ICQ و Mirc و MSN و Yahoo .. الخ.
فلا تستقبل أي ملف مهما يكن و خاصة التي يكون امتدادها exe و حاليا ً ظهرت برامج تقوم بتغير امتداد الصور إلى exe فبعض الهاكرز يستخدمها في الضحك على الضحايا و يقول لهم أنها صور مغير امتدادها إلى exeو لكنه قد يدس التروجان بداخلها أو قد تكون هي التروجان بحالها.
لذلك أنصح بعدم إضافة إلا من تعرفهم و إذا صادفت أي شخص لا تعرفه و شككت فيه فقم بعمل حظر ثم حذف, لكن إذا كان في جهازك تروجان و حظرته فسوف يدخل و أنت لا تعلم لأن الحظر لن يفيد ما دام الخادم في جهازك يستقبل أوامر العملاء.
وسنفسر, إن شاء الله وقدر, في الجزء الثالث من هذه السلسلة كيفية إنشاء تشات خاص بك وأصدقائك وتستغني بذلك عن كل هذه البرامج العميلة.
2- عن طريق البريد الالكتروني: لذا قم بحذف جميع الرسائل المجهولة و التي لا تعرف من هو مرسلها.
3- عن طريق تحميل برامج من مواقع مشبوهة.
4- عن طريق المنتديات التي تفعّل خاصية html قد يأتي من هو حاقد على المنتدى و يزرع الكود في رد لموضوع أو في موضوع جديد.
I -3\ كيف أتخلص من التروجان إذا أصاب جهازي؟
هناك طريقتين الأولى يدوية والثانية آلية, وسنبدأ باليدوية حتى نتأكد من خلوا أجهزتنا تماما من أخطر انواع التروخانات, ثم ننتقل إلى الطريقة الأتوماتكيةز
I -3-1\ الطريقة اليدوية:
قبل كل شيء يجب أن تعرف أن الملف التجسسي إذا أصاب جهازك فإنه سوف يستوطن في واحد على الأقل من الأماكن التالية:
1- في الريجستري .
2- في الملف Startup .
3- في الملف System.ini .
4- في الملف Win.ini .
أما للتخلص منه فإليك الطريقة..
I -3-1-1\ الطريقة اليدوية في الريجستري:
بدخول دفتر التسجيل( Registry) و اتباع التالي:
Start و الضغط على زر run
بكتابة (regedit) في المكان المخصص ستظهر نافذة دفتر التسجيل
بالضغط على HKEY-LOCAL-MACHINE
ستظهر قائمة أخرى, و باختيار Software
ثم الضغط على زر ال Microsoft ستظهر قائمة أخرى
باختيار Windows
ستظهر قائمة أخرى أيضا, بعدها يتم الضغط على Current Version
و أخيراٌ بالضغط على Run
توجد قائمتان
الأولى (Name) و فيها اسم الملفات التي تعمل بقائمة بدء التشغيل للجهاز
الثانية (Data) و فيها معلومات عن الملف و امتداد ه أو البرنامج
من القائمة الثانية نستطيع معرفة ملف التجسس حيث أنه لن تكون له أي معلومات أو امتداد مثل الشكل التالي
فنقوم بحذف من دفتر التسجيل ما هو مريب و خطر:
• الخطر الأول Back Oriface : اسم الملف Server وهو متغيير من مكان لآخر ولكن امتداده دائما Exe لكن يمكنك معرفته كون اسم الملف Server و تظهر بعده مسافةو من ثم .exe عندما تجد الملف الغه تماما ..
• الخطر الثاني Net Bus النسخة قبل 2000: هو الاكثر انتشارا على الشبكة .حجمه 470 كيلو بايت يستخدم المنافذ 12345 و المنافذ 12346و هو يمكن المخترق من السيطرة شبه الكاملة على جهازك,
ابحث في القائمة على اليمين عنNBsvr.exe هذا هو اسم الملف في الغالب, عندما تجد الملف الغه تماما.
• الخطر الثالث Heack’a Tack’a: يستخدم بروتوكل FTP مما يصعب الوصول اليه.يستخدم المنافذ رقم 31785 و 31787 و 31789 و 31791. ابحث عن Explorer32 و الذي يوافق المسار C:\WINDOWS\Expl32.exe و قم بحذفه
• الخطر الرابع NetSphere : يستخدم المنافذ TCP 30100 - TCP 30101-TCP 30102
ابحث في الجهه اليمنى عن c:\windows\system\nssx.exe و قم بحذفه.
• الخطر الخامس: إيجاد أي ملف بإسم من هذه الأسامي:
• Explorer32
• WINDOWSEXPL32.EXE
• RunDLL32r
• PATCH.EXE
• EXPLO32
I -3-1-2\ الطريقة اليدوية في الملف Startup:
1-اضغط على زر start
2-اختر run
3-اكتب: msconfig
ثم اختر Start UP و من هناك ابحث عن اسم التروجان و غالبا ً ما يكون اسمه على الاسماء التي ذكرناها فوق, ثم إذا وجدته أزل علامة الصح من أمامه ثم اعد تشغيل الجهاز.
بصفة عامة إذا مررت بالمرحلة الأولى بسلام و إن شاء اله سوف لن تجد شيئا هنا, وعلى كل إذا أردت ان تعرف ما هي هذه البرامج التي تراها, فما هي إلا البرامج التي تنطلق إبان فتحك للحاسوب, ويمكنك كتابة كل منها على حدة في google.com ثم اقرأ ما تجده مفسرا هناك في المواقع المختلفة.
I -3-1-3\ الطريقة اليدوية في الملف system.ini:
-نختار الأمر تشغيل ( Run ) ثم نكتب هذا الأمر (system.ini ) ثم نضغط مفتاح الإدخال .
- ستظهر لنا شاشة .. نلاحظ جيدا محتويات هذه الشاشة :
أولا نبحث عن سطر فيه هذا" System.ini ===>Shell=Explorer.exe rundll16.exe
فإن كان كذلك نحذفه وإلا فالحمد لله, من قبل ومن بعد.
ثانيا ,في الويندوز 2000 و الويندوز XP .. نلاحظ السطور الأربعة الأخيرة
EGA80WOA.FON=EGA80850.FON
EGA40WOA.FON=EGA40850.FON
CGA80WOA.FON=CGA80850.FON
CGA40WOA.FON=CGA40850.FON
دقق النظر اذا كانت القيم مثل الاربع اسطر الي فوق
فهذا يعني ان جهازك نظيف والحمد لله, من قبل ومن بعد.
اما اذا كانت القيم مثل الاربع اسطر الي في الاسفل معنى هذا ان جهازك به ملفات تجسس
EGA80WOA.FON=EGA80WOA.FON
EGA40WOA.FON=EGA40WOA.FON
CGA80WOA.FON=CGA80WOA.FON
CGA40WOA.FON=CGA40WOA.FON
I -3-1-4\ الطريقة اليدوية في الملف win.ini:
-نختار الأمر تشغيل ( Run ) ثم نكتب هذا الأمر (system.ini ) ثم نضغط مفتاح الإدخال .
- ستظهر لنا شاشة .. نلاحظ جيدا محتويات هذه الشاشة :
نبحث عن سطر فيه هذا:
Run=????.exe
أو
Load=????.exe
ونقاط الإستفهام تدل عن أي شيئ , أي إسم كان.. فالموجود هو إسم برنامج لهاكر متصل على الجهاز.
فأن وجد سطر بهذه المواصفات نحذفه على الفور , ولا ننسى التسجيل قبل غلق الملف.
الخلاصة:
كا ما قمنا به إلى حد الأن هو التأكد يدويا من سلامة الجهاز, أرجوا ان لا تكونوا قد تعرضتم إلى أي نوع من التروخانات إلى حد الآن, أقصد التروخانات الخطيرة, وعلى كل أفضل ثلاث مواقع يقدم لك الاستفسار الكامل عن أي تروجان هم
http://www.dark-e.com/archive/trojans/
http://www.moosoft.com/tdbindex.php
أما الآن فسنمر إلى الطريقة الآلية لتنظيف الجهاز
I -3-2\ الطريقة الآلية:
هنا الأمر سهل, فما عليكم إلا انزال أحد البرامج التالية وتشغيلها على حاسوبك ولقد إخترت إليكم أقوى برامج, بإعتراف المتخصصين في الميدان.
Xsoftspy
رابط التنزيل : http://paretologic.com/XoftSpy421_138.exe
الكراك: http://sendmefile.com/00221589
وتشغيل الكراك كالتالي:
Ad aware
http://download.lavasoft.de.edgesuit...ublic/defs.zip
Spybot
http://www.tucows.com/preview/310138
بالنسبة لهذا البرنامج النسخة المجانية كافية .
إنتهى موضوع التروخان وهو الأعمق والأصعب
اسف اذا لم تظهر الصور ارجو تحميل الملف من الرابط
http://www.2shared.com/file/2055044/...trogan154.html
وانتظرو موضوع معرفة هل جهازك به فيروسات وهكر ام لا


منقول للفائدة

اخي نبيل
هاي طلعت النتيجة:
LoadLocalHigh=1
woafont=dosapp.FON
EGA80WOA.FON=EGA80WOA.FON
EGA40WOA.FON=EGA40WOA.FON
CGA80WOA.FON=CGA80WOA.FON
CGA40WOA.FON=CGA40WOA.FON

احذف ولا لا