الدرس ( 3 ) HijackThis اداة الهايجاك ( 2 )

المصدر: الدرس ( 3 ) HijackThis اداة الهايجاك ( 2 )
في منتدى : منتدى الشروحات المميـزة للبرامج والشروحات العامة

كيف حالكم حبايبي ,,

درسناا اليوم ,, عن اداة الهايجاك HijackThis ,, ومخصص للفيروسات النشطه ( التي تعمل بالذاكره )
ونجدها بتقرير الهايجاك من بعد Running processes وقبل R0



مثلااا هذا تقرير جهازي ,,

كود:

[COLOR=blue]Running processes:[/COLOR]
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\CyberLink\Shared Files\RichVideo.exe
C:\Program Files\SigmaTel\C-Major Audio\WDM\STacSV.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\zyzoom.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
C:\Program Files\Common Files\InstallShield\UpdateService\ISUSPM.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\WINDOWS\sttray.exe
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\Program Files\QuickTime\qttask.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\TechniSat DVB\bin\Server4PC.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Real\RealPlayer\RealPlay.exe
C:\Program Files\Internet Explorer\iexplore.exe
E:\Zyzoom_GetSmile_v1.93\getsmile.exe
C:\Program Files\Adobe\Photoshop CS\Photoshop.exe
C:\WINDOWS\system32\svchost.exe
C:\Documents and Settings\zyzoom\Desktop\HiJackThis\HijackThis.exe
C:\WINDOWS\system32\NOTEPAD.exe
C:\Program Files\Ipswitch\WS_FTP Professional\wsftpgui.exe
C:\WINDOWS\system32\NOTEPAD.exe 

[COLOR=red]C:\WINDOWS\svchost.exe[/COLOR]

عند تحليله ,, سوف نجد العملية

C:\WINDOWS\svchost.exe وبجانبهاا علامة X



وانت مغمض عيونك :biggrin: شوته لأنه برنامج خبيث
اولااا / لأن بجانبه علاامه الاكس الاحمر
ثانيا / اسمه نفس اسم ملف للنظام ( svchost.exe )
لكن ملف النظام موجود بالمجلد windows\system32
وهذا الملف موجود في مجلد windows

------------------------------------------

في اداة الهايجاك ,, ما نستطيع حذف الملفات النشطه ..
ولحذف الملف النشط ,, يجب تعطيلها من الذاكره اولااا
اماا باستخدام اوامر الدوس ,, او مدير المهام للويندوز ,, او باستخدام ادوات اخرى
بعدها نحذف الملف بسهوله

--------------------------------

للويندوز اداة taskkill لتوقيف وتعطيل اي ملف بالذاكره
وتعالوو نطبقهاا على الملف svchost.exe والموجود بتقرير جهازي
وهذه صيغة الامر
taskkill /F /IM svchost.exe
بحيث ,, المفتاح
F/
بالقوه عطل الملف :noskjiuyweat:
والمفتاح
IM/
لتحديد اسم الملف المطلوب تعطيله وايقافه من الذاكره

لكن عندناا مشكله ,, وهي ان للنظام ملف نفس اسم ملف البرنامج الخبيث
وهو svchost.exe وعند استخدام الاداة taskkill سوف تتعطل جميع الملفات
التي باسم svchost.exe ومنها ملفات النظام كما اسلفت
في هذه الحالة ,, نستخدم الاداة Nircmd
حتى نعطل البرنامج الخبيث ( فقط ) من الذاكره وبدون تعطيل الملفات اللي لها نفس الاسم
والامر بيكون بهذه الصيغه

كود:

[COLOR=red]NIRCMD[/COLOR] [COLOR=darkgreen]killprocess[/COLOR] "C:\WINDOWS\svchost.exe"

NIRCMD اسم ملف الاداة
الخيار killprocess لتعطيل الملف من الذاكره

كود:

"C:\WINDOWS\svchost.exe"

مسار الملف ويكون بين علاامتي تنصيص ( " )

وبعد تعطيل البرنامج الخبيث من الذاكره ,, نحذفه
باستخدام مستعرض الويندوز ( Explorer ) او من الدوس ,, او باي ادة اخرى
وهنا سوف استخدم الامر del لحذف الملفات ,, والخاص للدوس

كود:

[COLOR=darkgreen]del[/COLOR] /a /q /f /s [COLOR=red]c:\svchost.exe[/COLOR]

المفاتيح المستخدمه ,,
a/ لحذف الملفات ( ذات سمات قراءه فقط Read Only )
q/ حذف على الصامت ,, وبدون اظهار اي رساله
f/ احذف بالقوه :noskjiuyweat: Force
s/ اكمل حذف الملفات ,, حتى بوجود اخطاء


--------------------------------

وفيه حركه خطافيه <<<<< صارت مصارعه :blbyeh:
بدال الزحمه اللي فوق ,, غير اسم ملف البرنامج الخبيث
وأعد تشغيل جهازك :iconmju30:
بعدهاا شوته بدون مشاكل

ولتغيير اسم ملف البرنامج الخبيث ,, نستخدم الامر REN او RENAME

كود:

[COLOR=darkgreen]REN[/COLOR]  c:\svchost.exe  c:\svchost.exe[COLOR=red].OLD[/COLOR]

وهذه الطريقه تنفع مع أغلب البرامج الخبيثه



----------------------------------------------

رابط الاداة NIRCMD
http://www.nirsoft.net/utils/nircmd.zip
شرح شامل للاداة
http://www.nirsoft.net/utils/nircmd2.html#using

----------------------------------------

انتهى بحمد الله ,,


وجاهزين للأسئله ​

 

السلام عليكم

يعطيك العافية حبيب قلبي مبددددددددع كالعادة

بالنسبة لي استخدم هالاداة لحذف هذه الملفات

OTMoveIt.

ويسلموووووووووو على الشرح الرائع ودايما تفيدنا

رحم الله والديك وادخلهم فسيح جناته

 

بارك الله فيك

وجزيت الجنة

وما قصرت شرح رائع واداة اروع من مبدع

ننتظر المزيد من الشرح عن هذا البرنامج الرائع

غفر الله لوالديك وموتانا اجمعين

اخوك

 

:iconmju30::iconmju30:

 

​

 

:icofdren31:​

 

ألف شكر لك

وهذه أسئلتي :

1 - هل جميع الفيروسات التي يخرجها تقرير الهايجاك تكون تبدأ بمسار C: أم يمكن أن تكون غير ذلك ؟؟

2 - انت ذكرت مثال على svchost.exe وقلت نحذفها بأداة الهايجاك وأنا مغمض عيوني ،، ولكن لو حذفتها هل سينجح المسح

أم أنه لا بد من إيقافه من الذاكرة ثم مسحه ؟؟

وشكرا

بس سؤال بسيط دائمات عند تحليل الهايجاك أجد هذه القيمة بالحمراء

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 213.42.1.19:8080

واسمها واضح انها خاصة بالبروكسي ،، هل يجب حذفها ،، وهل لو حذفتها تضيع إعدادات البروكسي

 

جزاك الله خير
او يعطيك الف عافيه مديرنا الغالي

بس كيف احلل التقرير بهالطريقة

 

يسلموو ونحتاج المزيد من ابداعاتك

 

بارك الله فيك

وجزيت الجنة

 

جعل الله الريان بابك
والفردوس ثوابك
والكوثر شرابك ووالديك

درس اكثر من رائع بعد التطبيق ومواجهتي اي صعوبه لي عودة

 

الف الف شكر لك استاذي زيزووم


ونحن بانتظار درسك القادم على احر من الجمر​

 

تسلم ايدك يا مبدع

 

تفضل ،، ادخل هذا الرابط http://www.hijackthis.de/index.php#anl

والصق التقرير هناك أو استورده من ملف نصي

 

جزاك الله خير يا مبدع وياسلام علي الشرح اللي يفتح النفس لبقية الشروحات

والله شيء رائع الله يرحم والديك

 

ألف شكر أخوي : زيزوووم

درس ولا أروع

تسلم أياديك الذهبية

 

هلا والله وغلا فيكم ... وتسلمووون ياغالين​

أحبائي أسعدني وشرفني حضوركم العطر​

شــاكر لطف ردودكم ... وربي يعطيكم العافية​

 

يعافيك وتسلم اخوي راشد
والله يرحم والديك وجميع المسلمين
آآآآآمين يارب العالمين

.
جرب تحذف الكاسبر فيها ( والكاسبر حمايته التلقائيه تعمل ) وماراح تقدر تحذف الكاسبر
الاداة فيه اللي اقوى منها :iconmju30:​

 

العفووو وتسلم حبيب قلبي ,,
وتستاهل التقييم :iconmju30:

عادي ممكن محرك الاقراص D او E


-----------------

مثل ماذكرت بالشرح ,, يجب تعطيل الملف svchost.exe من الذاكره اولااا
ومن ثم نحذفه ,, لابد من ايقافه ,,


--------------------

جربت 212.76.68.205:8080 وطلع تمام
وجربت 214.76.68.205:8080 وطلع تمام ايضا
المشكله من 213 ممكن فايروس يعمل بروكسي ويبدأ بــ 213
بحثت وما حصلت نتيجه




تحياتي لك​

 

نسيت :blusnuphing: الافضل عدم حذف البروكسي حتى ولو بجانبه علاامة اكس​