كيف حالكم حبايبي ,,
درسناا اليوم ,, عن اداة الهايجاك HijackThis ,, ومخصص للفيروسات النشطه ( التي تعمل بالذاكره )
ونجدها بتقرير الهايجاك من بعد Running processes وقبل R0
مثلااا هذا تقرير جهازي ,,
كود:
[COLOR=blue]Running processes:[/COLOR]
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\CyberLink\Shared Files\RichVideo.exe
C:\Program Files\SigmaTel\C-Major Audio\WDM\STacSV.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\zyzoom.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
C:\Program Files\Common Files\InstallShield\UpdateService\ISUSPM.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\WINDOWS\sttray.exe
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\Program Files\QuickTime\qttask.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\TechniSat DVB\bin\Server4PC.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Real\RealPlayer\RealPlay.exe
C:\Program Files\Internet Explorer\iexplore.exe
E:\Zyzoom_GetSmile_v1.93\getsmile.exe
C:\Program Files\Adobe\Photoshop CS\Photoshop.exe
C:\WINDOWS\system32\svchost.exe
C:\Documents and Settings\zyzoom\Desktop\HiJackThis\HijackThis.exe
C:\WINDOWS\system32\NOTEPAD.exe
C:\Program Files\Ipswitch\WS_FTP Professional\wsftpgui.exe
C:\WINDOWS\system32\NOTEPAD.exe
[COLOR=red]C:\WINDOWS\svchost.exe[/COLOR]عند تحليله ,, سوف نجد العملية
C:\WINDOWS\svchost.exe وبجانبهاا علامة X
وانت مغمض عيونك :biggrin: شوته لأنه برنامج خبيث
اولااا / لأن بجانبه علاامه الاكس الاحمر
ثانيا / اسمه نفس اسم ملف للنظام ( svchost.exe )
لكن ملف النظام موجود بالمجلد windows\system32
وهذا الملف موجود في مجلد windows
------------------------------------------
في اداة الهايجاك ,, ما نستطيع حذف الملفات النشطه ..
ولحذف الملف النشط ,, يجب تعطيلها من الذاكره اولااا
اماا باستخدام اوامر الدوس ,, او مدير المهام للويندوز ,, او باستخدام ادوات اخرى
بعدها نحذف الملف بسهوله
--------------------------------
للويندوز اداة taskkill لتوقيف وتعطيل اي ملف بالذاكره
وتعالوو نطبقهاا على الملف svchost.exe والموجود بتقرير جهازي
وهذه صيغة الامر
taskkill /F /IM svchost.exe
بحيث ,, المفتاح
F/
بالقوه عطل الملف :noskjiuyweat:
والمفتاح
IM/
لتحديد اسم الملف المطلوب تعطيله وايقافه من الذاكره
لكن عندناا مشكله ,, وهي ان للنظام ملف نفس اسم ملف البرنامج الخبيث
وهو svchost.exe وعند استخدام الاداة taskkill سوف تتعطل جميع الملفات
التي باسم svchost.exe ومنها ملفات النظام كما اسلفت
في هذه الحالة ,, نستخدم الاداة Nircmd
حتى نعطل البرنامج الخبيث ( فقط ) من الذاكره وبدون تعطيل الملفات اللي لها نفس الاسم
والامر بيكون بهذه الصيغه
كود:
[COLOR=red]NIRCMD[/COLOR] [COLOR=darkgreen]killprocess[/COLOR] "C:\WINDOWS\svchost.exe"الخيار killprocess لتعطيل الملف من الذاكره
كود:
"C:\WINDOWS\svchost.exe"وبعد تعطيل البرنامج الخبيث من الذاكره ,, نحذفه
باستخدام مستعرض الويندوز ( Explorer ) او من الدوس ,, او باي ادة اخرى
وهنا سوف استخدم الامر del لحذف الملفات ,, والخاص للدوس
كود:
[COLOR=darkgreen]del[/COLOR] /a /q /f /s [COLOR=red]c:\svchost.exe[/COLOR]المفاتيح المستخدمه ,,
a/ لحذف الملفات ( ذات سمات قراءه فقط Read Only )
q/ حذف على الصامت ,, وبدون اظهار اي رساله
f/ احذف بالقوه :noskjiuyweat: Force
s/ اكمل حذف الملفات ,, حتى بوجود اخطاء
--------------------------------
وفيه حركه خطافيه <<<<< صارت مصارعه :blbyeh:
بدال الزحمه اللي فوق ,, غير اسم ملف البرنامج الخبيث
وأعد تشغيل جهازك :iconmju30:
بعدهاا شوته بدون مشاكل
ولتغيير اسم ملف البرنامج الخبيث ,, نستخدم الامر REN او RENAME
كود:
[COLOR=darkgreen]REN[/COLOR] c:\svchost.exe c:\svchost.exe[COLOR=red].OLD[/COLOR]----------------------------------------------
رابط الاداة NIRCMD
http://www.nirsoft.net/utils/nircmd.zip
شرح شامل للاداة
http://www.nirsoft.net/utils/nircmd2.html#using
----------------------------------------
انتهى بحمد الله ,,
وجاهزين للأسئله
