بريدة






عـودة للخلف بريدة ستي » بريدة ستي » تـــقــنــيـــة حــديـــثــة » تعلم كيف تتخلص من ملفات التجسس

تـــقــنــيـــة حــديـــثــة الكمبيوتر والإنترنت وبرامج الجوال

إضافة رد
 
أدوات الموضوع طريقة العرض
قديم(ـة) 07-01-2002, 12:14 PM   #1
راشد الراشد
عـضـو
 
صورة راشد الراشد الرمزية
 
تاريخ التسجيل: Nov 2001
البلد: الدمــــ AL-DAMMAM ـــام
المشاركات: 3,293
تعلم كيف تتخلص من ملفات التجسس

تعلم كيف تتخلص من ملفات التجسس
منقول
:تعريف
البرنامج او معظم برامج القرصنه تستخدم نوعين من الملفات او البرامج وهما
Client*****
Server*****
والمقصود بكلمه كلينت اى العميل ..اما السيرفر فترجمته ..الخــادم .. وتندرج كل تلك الملفات تحت اسم
Torjan
ويعمل السيرفر او الخادم على فتح ثغره داخل جهازك تمكن ملف العميل من الدخول منها والمقصود هنا فتح ثغره اى بورت ولناخذ على سبيل المثال برنامج النت باص فعند اصابت جهازك بملف السيرفر او الخادم فانه وعلى الفور يقم بفتح البورت 12345 فى جهازك لكى يتمكن العميل من الدخول اليك
هل يمكن اختراق جهازك بدون ملف باتش او سيرفر:
لايمكن ذلك فى حاله عدم وجود خادم اوعميل فى جهازك يستطيع الدخول عن طريقه
ــــــــــــــــــــــــــــــــــــــــــــــــــ ــــــــــ
ماهى طرق الاصابه ؟
اولا : اما ان ترسل اليك بطريق الاميل
ثانيا : اذا كنت من مستخدمى برنامج الاسكيو او برامج التشات وارسل لك ملف فقد يكن مصابا بملف تجسس او حتى فايروس
ثالثا : عندما تقم بانزال برنامج من احد المواقع الغير مثوق بها وهــى فى الحقيقه كثيره جدا فقد يكون البرنامج مصاب اما بملف تجسس او فايروس
ماهى اهم طرق الوقايه ؟
اولا:عدم فتح اى رساله لاتعرف صاحبه او مصدرها
ثانيا:عدم استقبال اى ملف اوبرنامج من ناس لاتعرفهم معرفه جيده عن طريق الاسكيو او اى برنامج لشات
ثالثا: لاتقم ابدا بنزال اى برنامج من مواقع غير معروفه
رابعا: يجب ان يكون عندك برنامج لكشف ملفات التجسس والفيروسات لفحص اى ملف استقبلته من الشات او قمت بنزاله من موقع لفحصه قبل فتحته
ــــــــــــــــــــــــــــــــــــــــــــــــــ ــــــــــ
ماهى اهم ملفات التجسس وطريقه التخلص منها ؟
Back Oriface
هذا الملف يعمل على فتح خلفيه فى جهاز لتخلص منه اتبع الخطوات التاليه
إتبع الخطوات التــاليـة
إنقر على الزر او البدايهStart
إختر تشغيل من القائمة Run..

( regedit) الأمر التالي إكتب في خانة
او موافقopen ثم اضغط
سوف تظهر لك نافذه مثل الشكل التالى

اذهب الى
HKEY_LOCAL_MACHINE

software
ثم
microsofte
ثم انتقل الى
windows
ثم
current Version
الان اذهب الى
Run or Run once..
الان هل يوجد ملف باسم
server *****
قم بمسح المف كاملا
ــــــــــــــــــــــــــــــــــــــــــــــــــ ــــــــــ
Heack’a Tack’a
يعتبر البرنامج من البرامج الخطره لانه يستخدم بروتكول ويصعب على كثير من برامج الكشف عن ملفات التجسس ايجــاده
اتبع الخطوات السابقه فى الشرح السابق حتى تصل الى
Run
او
Run once
سوف تجد الملف بهذا الاسم
Explorer32 "C/WINDOWS\Expl32*****
قم بتخلص منه فورا
ــــــــــــــــــــــــــــــــــــــــــــــــــ ــــــــــ
Net Bus 2000
برنامج النت باص 2000 يستخدم السيرفر العادى وهو
إتبع الخطوات التــاليـة
إنقر على الزر او البدايهStart
إختر تشغيل من القائمة Run..

( regedit) الأمر التالي إكتب في خانة
او موافقopen ثم اضغط
سوف تظهر لك نافذه مثل الشكل التالى

اذهب الى
HKEY_LOCAL_USERS
اتجــه الــى
SOFTWARE
ثم
MICROSOFTE
وبعده
WINDOWS
الان الى
CURRENT VERSION
ثم
RUN SERVICES
سوف تجد الملف بهذا الاسم
Key:UMG32*****
قم بحذفه
ــــــــــــــــــــــــــــــــــــــــــــــــــ ــــــــــ
Net Bus Ver 1.6 & 1.
ان النت باص او اتوبيس الشبكه من اسهل برامج الاختراق واشهرها لانتشار ملفه الخادم ..او المسمى بالسيرفر لتخلص منه اتبع الخطوات التالي
إذهب الى قائمة إبدأ وأختر Arabic Dos
إكتب الأمر التالي :
C:\Windows>dir patch.
c:\windows\patch*****
إذا وجدت ملف الباتش قم بمسحة بالأمر التالي
C:\Windows\delete patch
ــــــــــــــــــــــــــــــــــــــــــــــــــ ــــــــــ
وشكرا
__________________

من الدنيـا أنـا مابـي سوى عـفـو العلي التـواب
ويحسـن خـاتمـة فعـلي ويغـفـر لـي ضـلالاتـي

أبمـلا العمر "بالتوبة" و "نوح" و "هود" و"الأحـزاب
متى كـانت سنيـني عمـر انـا عمري في ركعاتـي

راشد الراشد غير متصل   الرد باقتباس


قديم(ـة) 07-01-2002, 06:19 PM   #2
الخروف
عـضـو
 
تاريخ التسجيل: Jan 2002
البلد: السعوديه
المشاركات: 12
الزاحف

الله يعطيك العافيه اخوي الزاحف وماقصرت
اذا تبي اضافه ترا انا جاهز
علشان يستفيد الاعضاء من الموضوع
برضو منقوله
أغلب برامج التجسس الشخصية تتكون عادة من ملفين الأول هو ما يسمى بالريموت وهذا هو الملف الذي يتحكم به المخترق في جهازك وينزل عن طريق هذه الأداة المعلومات التي يريد من نظامك

والملف الثاني هو ما يسمى بالخادم وله عدة أسماء ثانية مثل السيرفرserver أو الباتش batch وهذا الملف لابد من من أن تقوم بتشغيله في جهازك لكي يستطيع المخترق أن يدخل جهازك

كل برنامج من برامج التجسس يستخدم سيرفر خاص به يدعم خصائصه وعادة ما يتراوح حجم السيرفر من 100 كيلوبايت الى 400 كيلوبايت والحجم يعتمد على كمية الخصائص الموجودة بالريموت

والحجم لا أساس له فقد يقوم المخترق بدمج ملف السيرفر مع برنامج آخر أو لعبة صغيرة لتقوم أنت بتشغيلها وفي كل مرة تقوم بتشغيل اللعبة أو البرنامج فأن السيرفر المدمج بها يقوم بتشغيل نفسه أوتوماتيكياً

ولرؤية قائمة بالبرامج التي تعمل على دمج السيرفر أو الفيروس بأي ملف او برنامج اذهب للموقع التالي http://paragon.revoluti0n.org/dlbind.htm

وملف السيرفر يقوم بفتح منفذ لديك بجهازك ليستقبل عن طريقه الأوامر المرسلة اليه من المخترق عن طريق أداة الريموت ويرد عليه بالمعلومات المطلوبة عن طريق نفس المنفذ والمنفذ الذي يستخدمه السيرفر يختلف من برنامج أختراق لآخر وبعض البرامج تقوم بتخييرك لأي منفذ تريد الأختراق عبره وبمجال معين لكل برنامج

ولرؤية قائمة بالمنافذ الأفتراضية لبرامج الأختراق الشهيرة اذهب للموقع التالي :

http://paragon.revoluti0n.org/Text/trojanports.txt

والسيرفر عادة يعمل تلقائيا في كل مرة تقوم فيها بتشغيل الويندوز لديك ولا يمكنك التخلص منه بأعادة تشغيل جهازك فقط

وهنالك عدة برامج تعمل على تنظيف جهازك من الباتشات وأشهرها هو الكلينر أو المنظف ويمكنك الحصول عليه من موقع كويت كيس http://www.qkiss.com ولكن هذه البرامج غير عملية فقد يعمل المخترق على تغيير الكود الخاص بالسيرفر بحيث لا تكتشفه برامج الأختراق ومن الممكن أن يغير رقم المنفذ الذي يتعامل مع السيرفر عن طريقه وأفضل طريقة لأبقاء جهازك بعيدا عن أيدي المخترقين هي تنظيفه بنفسك ولقد حاولت هنا قدر الأمكان جمع المعلومات عن طرق عمل سيرفرات الأختراق وكيفية أزالتها من جهازك بالطريقة السليمة وبنفسك

-------------------

الباك دور BackDoor

وهو أيضا يحتاج إلى خادم لتشغيله. ويوجد إصدارين من هذا البرنامج.

للتخلص من الإصدار الأول قم مباشرة بإلغاء الملفات التالية إذا كانت موجودة على جهازك :

DATA2.EXE TINURAK.EXE WATCHING.DLL

وللتخلص من الإصدار الثاني قم مباشرة بإلغاء الملفات التالية إذا كانت موجودة على جهازك :

WINDOW.EXE NODLL.EXE SERVER_33.DLL

--------------------------------------------

الباك اورفيس

برنامج الباك أورفيس يعمل على الويندوز 95 والويندوز 98 فقط وحجم السيرفر الخاص به صغير نسبيا - تقريباً 120 كيلوبايت فقط

والمنفذ الذي يستخدمه الباك اورفيس هو 31337 فقط

والتخلص منه يكون بالخطوات التالية :

قم بتشغيل محرر التسجيل عن طريق أبدأ ثم تشغيل ثم أكتب

Regedit



ثم قم بالذهاب الى المفتاح التالي :

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentV ersionRunService



قم بالبحث في القائمة اليمنى عن أي ملف يثير الشبهة لديك وأنقر عليه نقرتين لتجد مكان الملف في جهازك وتأكد من أن حجمه حوالى 120 كيلوبايت فأذا وجدته قم بمسحه وأعادة تشغيل جهازك

ثم أذهب للمجلد التالي

C:WindowsSystem

وقم بالبحث هناك عن أسم السيرفر وسيكون بنفس الأسم الذي وجدته في محرر التسجيل وقم بحذفه تماما من الجهاز وستجد ملفاً آخرا أسمه

Windll.dll

قم بحذفه هو أيضا لأنه تابع لباك أورفيس

بعد حذفك للملفات قم بأيقاف تشغيل جهازك نهائيا وفصله من الكهرباء أيضا

----------------------------------------

الباك اورفيس 2000 BO2k

وهو يتمكن من وندوز 95 و وندوز 98 و وندوز إن تي ، ولهذا البرنامج نسختين الأولى تسمى النسخة الأمريكية وهي أكبر حجما من النسخة الأخرى بالكيلو بايت طبعا. أيضا لهذه النسخة ميزة أخرى تعرف ب DES encryption أما النسخة الثانية فتسمى النسخة الدولية

الأسماء المستعارة لهذا البرنامج التي يتخفى بها هي :

BO2K backdoor.BO2K

طريقة معرفة وجودة في جهازك والتخلص منه :

يوجد الآن برنامج واحد لحمايتك من هذا البرنامج تجده في الموقع التالي

http://www.spiritone.com/~cbenson/cu...ackorifice.htm

-------------------------------------------

النت بس NetBus 1.x

ويستخدم خادم داخل جهازك ومتمكن أيضا من وندوز 95 و 98 و إن تي ويستطيع عمل كل شي يعمله برنامج السب سفن إضافة إلى انه يستطيع إن يتحكم بالفارة التي لديك ويمكنه عرض بعض الصور على شاشة جهازك أيضا أن يفتح محرك أقراص الليزر الخاص بك أيضا باستطاعته سماع كل شي تقوله إذا كنت موصل مايكروفون مع جهازك وأشياء أخرى عديدة

حجم السيرفر الخاص به هو 470 كيلو بايت ، ويمكن لصاحبه الدخول اليك من المنفذ 12345 والمنفذ 12346

طريقة التخلص منه كالتالي :

قم بتشغيل محرر التسجيل وذلك بالطريقة التالية

أبدأ - تشغيل - ثم أكتب في المربع الأمر التالي

Regedit

ثم أذهب إلى المفتاح التالي

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentV ersionRun



ستجد هنالك قائمة بالبرامج التي تعمل بجهازك مع بدء التشغيل فقط قم بحذف أي ملف تشك بأنه هو السيرفر لأن السيرفر لا اسم محدد له وقد يكون بأي اسم

من ثم أذهب إلى المجلد التالي

c:WindowsSystem

وستجد هنالك ملف بنفس اسم القيمة التي قمت بمسحها فقط قم بمسح هذا الملف وإذا رفض الملف المسح –وعادة ما سيرفض ذلك لأنه يعمل في نفس الوقت الذي تحاول مسحه - فقم بتشغيل الويندوز في الوضع الآمن وامسحه أو قم بمسحه من الدوس وتأكد من أنك مسحت السيرفر وليس ملف آخر ويمكنك التأكد عن طريق الحجم الذي يتراوح ما بيت 400 كيلوبايت و 500 كيلوبايت فقط

ثم قم بأعادة تشغيل جهازك وستجد أن السيرفر قد تم أزالته عند مراجعتك للخطوات السابقة

---------------------------------------------------

السب سيفن Sub7 :

برنامج السب سفن هو من أشهر برامج الأختراق وأكثرها قدرة على التحكم في جهاز الضحية ولهذا فالسيرفر الخاص به خطير جدا ولابد من التأكد من عدم وجوده بجهازك

يقوم السيرفر الخاص بالسب سفن بوضع الملفات التالية في مجلد الويندوز الخاص بك

Kernel.dl

Rundll16.exe

Movokh_32.dll

Watching.dll

Nodll.exe

مع العلم أنه يمكن تغيير أسماء الملفات السابقة من قبل المخترق

:كما يقوم بأنشاء القيم التالية في سجل الويندوز لديك

HKEY_LOCAL_MACHINESoftwareCLASSES.dl HKEY_LOCAL_MACHINESoftwareMicrosoftDirectXMediaKER
NEL16="KERNEL16.DL" HKEY_LOCAL_MACHINESoftwareCLASSES.dl@=exefile

أيضا يقوم السيرفر بأضافة أوامر للملفات التالية

System.ini ===>-----=Explorer.exe rundll16.exe

Win.ini ====> Run=????.exe Or Load=????.exe

والمنافذ التي يقوم بأختراق جهازك عن طريقها هي 6711 و 6776 أو أي رقم يتراوح ما بين 1243 و 1999 وذلك بحسب رغبة المخترق

:وطريقة التخلص منه كالتالي

قم بالذهاب الى الملفين

System.ini

Win.ini

عن طريق الخطوات : أبدأ- تشغيل - ثم أكتب في مربع التشغيل

msconfig



بالنسبة لملف الوين فقط قم بالبحث عن الأوامر التالية :

Load=???.exe

Load=???.dll

Run=???.exe

وعلامات الأستفهام ترمز الى اسم السيرفر وقد تكون أي شئ

ثم أذهب الى الملف النظام وفي السطر الخامس تقريبا ستجد شيئاً كالتالي

-----=Explorer.exe

وأذا وجدت السطر مكتوبا بطريقة غير السابق قم بتعديله ليصبح كالسابق وقد يكون هكذا اسمه

-----=Explorer.exe ???.dll

وعلامات الأستفهام ترمز لأسم السيرفر فقط قم أنت بتعديل السطر الى

-----=Explorer.exe

بعد ذلك أذهب الى محرر التسجيل عن طريق الخطوات

أبدا ثم تشغيل ثم أكتب في مربع النص التالي

Regedit

وأذهب الى المفتاح التالي

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentV ersionRun

وستجد على القائمة اليمنى أسم السيرفر وستعرفه بالطبع لأنه سيكون بنفس الأسم الذي وجدته سابقاً في ملف النظام فقط قم بمسح القيم التي ترمز الى السيرفر بالنقر على زر الحذف

والآن قم بأعادة تشغيل جهازك وأذهب الى مجلد الويندوز وقم بحذف السيرفر وسيكون اسمه معروفا لك الآن

-----------------------------------------------

The FreeLinl

وهو يعتبر دودة مشفرة يعمل تحت أي وندوز تدعم لغة

VB scripting

حتى وندوز 98 و وندوز 2000 ومعظم طرق دخوله إلى جهازك عن طريق البريد الألكتروني ويكون عنوان المرسل كالتالي هو

Check this

وتكون الرسالة المصاحبة لهذا العنوان هي :

Have fun with these links. Bye

فإذا قمت بالدخول علية فأنة يقوم مباشرة بتحميل ملفين على جهازك هما :

c:windowslinks.vbs c:windowssystemrundll.vbs

أيضا يضيف الجزء التالي إلى جهازك في سجل الويندوز

HKEY_LOCAL_MACHINESoftwaremicrosoftwindowsCurrentV ersionRunRundll
=RUNDLL.VBS

وبعد التمكن من جهازك سوف يعرض على الشاشة صندوق صغير بالعنوان التالي

Free XXX links

وتحت العنوان تظهر الرسالة التالية:

This will add a shortcut to free XXX links on your desktop Do you want to continue?

ثم سوف يقوم هذا البرنامج بالبحث عن برامج المحادثة مثلmirc

MIRC32.exe Pirch98.exe

وسوف يقوم بتعديل الملفات التالية :

SCRIPT.INI EVENTS.INI

وذلك حتى يتمكن من إرسال

LINKS.VBS

إلى أجهزة أخرى أثناء عملية المحادثات بين المستخدمين

والأسماء المستعارة لهذا البرنامج التي يتخفى بها هي

VBS Freelink

كيف تعرف أن هذا البرنامج موجود في جهازك وطريقة التخلص منه

أولا : قم بالبحث عن الملفات التالية

LINKS.VBS RUNDLL.VBS

و قد تحتاج هنا إلى تشغيل جهازك في الوضع الآمن لحذف هذه الملفات تماما

ثانيا : قم بإلغاء تلك الملفات من جميع السواقات التي على جهازك.

ثالثا : قم بحذف الجزء التالي من محرر التسجيل لديك عن طريق أبدأ ثم تشغيل ثم تكتب في المربع

Regedit

وستجد القيمة التالية فيه فقط قم بمسحها تماما

HKEY_LOCAL_MACHINESoftwaremicrosoftwindowsCurrentV ersionRunRundll
=RUNDLL.VBS

بعد ذلك قم بأعادة تشغيل الويندوز

----------------------------------------------

Happy99

وهو أيضا يضع خادم له داخل جهازك تحت اسم

SKA.EXE

وعند تنفيذه يظهر لك صندوق صغير يعرض به العاب نارية وأثناء عرض هذه الألعاب النارية يقوم بتحميل خادمة على جهازك دون أن تلاحظ ذلك. ثم يقوم بتغير الملف

WSOCK32.DLL

ويحتفظ بالملف الأصلي تحت اسم

WSOCK32.SKA

ويقوم أيضا بوضع نفسه داخل سجل الويندوز ليتمكن من العمل كلما قمت بتشغيل جهازك. أيضا سوف يقوم بإرسال بريد ألكتروني إلى كل مستخدم أو شركة أخبار قمت بمراسلتهم مرفقا هذه الرسالة بالبرنامج نفسه

Happy99

وهذا واحد من البرامج القليلة التي تستطيع نشر نفسها بنفسها

الأسماء المستعارة لهذا البرنامج هي :

win32.ska ska wsocks.ska ska.exe

كيفية التخلص منة:

قم بالبحث عن الملفات التالية في المجلد التالي :

C:Windowssystem

SKS.EXE SKA.DLL WSOCK32.SKA

إذا وجدته فهو قد اخترق جهازك. قم مباشرة بإلغاء الملفات التالية :

SKA.EXE SKA.DLL WSOCK32.DLL

بعد ذلك قم بإعادة تسمية الملف

WSOCK32.SKA

إلى الاسم التالي

WSOCK32.DLL

----------------------------

K2Ps :

فقط يستطيع التمكن من وندوز 95 و وندوز 98 وقد انتشر عن طريق البريد الإلكتروني تحت اسم

K2PS.EXE

حيث تقول رسالة هذا البريد الذي قد يصل إلى أي شخص أن هناك فيروس اسمه

TX-500

وأنه هو برنامج مضاد لهذا الفيروس. طبعا كما تعرف هذه كانت مجرد كذبة ليتمكن من الدخول وسرقة معلومات اشتراكك مع مقدم خدمة الإنترنت بالإضافة إلى كلمة السر الخاصة بك ثم التحكم به وبالبريد الإلكتروني لك. وأيضا يمكنه تغيير كلمة السر الخاصة بك. والطريقة المفضلة إذا أحسست بهذا التغير قم مباشرة بتغير كلمة السر ثم قم بإلغاء الملفات التالية

K2PS.EXE K2PS.CFG

قم بتشغيل محرر التسجيل عن طريق أبدأ ثم تشغيل ثم أكتب

Regedit

ثم أذهب إلى القيمة التالية وقم بمسحها

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowCurrentVe rsionC:
WINDOWSSYSTEMK2PS.EXE

-------------------------------------------

Paradise

وهو أقوى من برنامج

Back Orifice

ويحتاج أيضا إلى خادم يسمى

agent.exe

ويستطيع إلغاء ملفات وإنشائهم ويستطيع فتح وغلق النوافذ على جهازك ويستطيع عمل محادثة معك

chatting

ويستطيع عمل أشياء أخرى.

كيفية التخلص منة :

يمكنك التخلص منة باستخدام البرنامج

The cleaner

وسوف تجد هذا البرنامج في الموقع التالي :

http://www.dynamsol.com/puppet/thecleaner.html

-----------------------------------------------------

PrettyPrk

هذا البرنامج يستطيع الانتشار أيضا عن طريق البريد الإلكتروني. فعند تنفيذه سوف يقوم بإرسال نفسه إلى العناوين الموجودة في

windows address book

وسوف يخبر المستخدمين الموجودين على IRC

عند إعدادات النظام وكلمات السر. وسوف يقوم بنسخ نفسه داخل المجلد التالي

C:WindowsSystem

مع الملف

files32.VXD

أيضا سوف يقوم بتسجيل نفسه داخل القيمة التالية في سجل الويندوز

HKEY_CLASSES_ROOT exefile-----opencommandfiles32.vxd

فقط قم بإلغائها بالذهاب إلى أبدأ ثم تشغيل ثم أكتب

Rededit

---------------------------------------------

ProMail

انتشر كثيرا هذا البرنامج بطريقة

freeware و shareware

وقد انتشر تحت هذا الاسم

proml121.zip

وهو ملف غير مضغوط داخل هذا الملف

promail.exe

فإذا قمت بتحميلة على جهازك وقمت بعد تحميلة بالاشتراك مع أي شركة لخدمات البريد الإلكترونية فان جميع المعلومات التي أعطيتها لهذه الشركة إضافة إلى كلمة السر الخاصة بك يقوم هذا البرنامج بإرسالها إلى عنوان بريدي آخر غير معروف إي بطريقة عشوائية فكلما قمت بعملية اشتراك مع أي شركة أخرى لخدمات البريد الإلكتروني فان البرنامج يقوم بنفس العملية السابقة. :كيفية التخلص منة إذا كان لديك هذا البرنامج

Promail

قم مباشرة بإلغائه

--------------------------------------------------

Sockets

وهذا البرنامج خطير جدا وهو تقريبا فيروس. وهو لا يقوم فقط بتحميل خادم له ولكنة يصيب عددا من الملفات المنتهية بالأحرف

exe

وله نفس خصائص البرامج الأخرى التي تعمل معالبريد الألكتروني والأيسكيو

كيفية التخلص منة : باستخدام البرنامج

Anti Troie

وهو برنامج جيد للقضاء علية وسوف تجده في الموقع التالي :

http://www.pobox.com/~cd

-------------------------------------------------

ZipFile

وهو أيضا يتمكن من وندوز 95 و وندوز 98 و وندوز إن تي . وهو يستطيع نشر نفسه بنفسه باستخدام البريد الألكتروني

فإذا قمت بفتحة من بريدك الخاص فانه سوف يعرض الرسالة التالية :

Cannot open file; it does not appear to be a valid archive. If this is part of a ZIP backup set, insert the last disk of the backup set and try again. Please press F1 for help.

وعندما يتمكن من نشر نفسه باستخدام البريد الألكتروني فانه يقوم بإرسال نفسه مرة أخرى تحت اسم

Zipped_files.exe

إلى جميع العناوين التي استقبلت منهم رسائل سابقة مرفق به هذه الرسالة

Hi, username received your email and I shall send you a reply ASAP. Till then, take a look at this attached zip docs Bye

أيضا سوف يقوم هذا البرنامج بإلغاء جميع الملفات لديك والمنتهية بالأحرف التالية :

DOC XLS PPt C CPP H

وللأسف فأنة صعب جدا إن تستعيد تلك الملفات باستخدام الأمر undelete

الأسماء المستعارة لهذا البرنامج التي يتخفى تحتها هي :

worm.explore.zip win32.explore explore.zip

طريقة معرفة وجودة في جهازك والتخلص منه فقط لمستخدمي وندوز 95 و وندوز 98 قم بالضغط على

CTRL ALT DEL

وعند ظهور شاشة الإغلاق ولاحظت ظهور إحدى الملفات التالية فانه موجود في جهازك والملفات هي

Zipped_files Explore _setup

ملاحظة مهمة : يجب أن تفرق بين اسم الملف السابق

Explore

وبين المتصفح

Explorer

فإذا لاحظت إحدى الملفات السابقة فقم مباشرة بإلغاء الملفات التالية :

C:windows_setup.exe C:window---plore.exe

بعد ذلك قم بإلغاء الأسطر التالية والموجودة في

WIN.INI

باستخدام الأمر

Sysedit او msconfig

ثم اذهب إلى أبدأ ثم تشغيل والأسطر هي

run=setup.exe run=c:windowssystemexplore.exe

أيضا قم بإلغاء السطر التالي باستخدام الأمر

regedit

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVe rsionWindowsRun
.........................

تقبل شكر وتقدير الخروف باع باع باع باع

الخروف غير متصل   الرد باقتباس
قديم(ـة) 08-01-2002, 10:57 AM   #3
راشد الراشد
عـضـو
 
صورة راشد الراشد الرمزية
 
تاريخ التسجيل: Nov 2001
البلد: الدمــــ AL-DAMMAM ـــام
المشاركات: 3,293
مشكور على الاضافه يالخروف
وشكرا
__________________

من الدنيـا أنـا مابـي سوى عـفـو العلي التـواب
ويحسـن خـاتمـة فعـلي ويغـفـر لـي ضـلالاتـي

أبمـلا العمر "بالتوبة" و "نوح" و "هود" و"الأحـزاب
متى كـانت سنيـني عمـر انـا عمري في ركعاتـي

راشد الراشد غير متصل   الرد باقتباس
إضافة رد

الإشارات المرجعية


قوانين المشاركة
لا يمكنك إضافة مواضيع
لا يمكنك إضافة ردود
لا يمكنك إضافة مرفقات
لا يمكنك تعديل مشاركاتك

رمز [IMG] متاح
رموز HTML مغلق

انتقل إلى


الساعة الآن +4: 12:42 AM.


Powered by vBulletin® Version 3.8.6
Copyright ©2000 - 2017, Jelsoft Enterprises Ltd

المنشور في بريدة ستي يعبر عن رأي كاتبها فقط
(RSS)-(RSS 2.0)-(XML)-(sitemap)-(HTML)