احترف التعامل مع البرمجيات الضاره "الفيروسات"
الناقل :
SunSet
| الكاتب الأصلى :
Kaito.kid
| المصدر :
www.absba.org
السلام عليكم ورحمة الله وبركاته
اخواني قمت بكتابه هذا الموضوع حيث يشمل جميع مشاكل الفيروسات
حيث اذا دخلت مبتدي سوف تخرج خبير بأذن الله
"الفهرس"
-مقدمة عامه عن البرمجيات الضاره.
-اكثر الاسئله الشائعه.
-اداه Kaito-kid لحل مشاكل الفيروسات الشائعه.
-البحث عن الفيروسات والقظاء عليها بواسطه "الادوات".
-البحث عن الفيروسات والقظاء عليها "يدوياً".
-الخاتمه.
ملاحظه:
ليس مطلوب منك ان تقراء كامل الموضوع يمكنك اختيار الجز الذي تريد قراءة من الفهرس,
خصوصاً جزء
البحث عن الفيروسات والقظاء عليها "يدوياً"
اذا كنت تريد قراءة عليك بأخذ ثلاجه شاي وليس كوب واحد
.
مقدمه
من بين الأشياء المحببة في الحواسيب قدرتها على العمل ليل ونهار من دون كلل أو ملل ,
كما أنها في غاية الوثوقية , وهي لا تمرض على عكس البشر .
ولكن حصانة الحواسب في مواجهة الفيروسات البيولوجية لا يعني أنها لا تعاني من بعض الفيروسات الرقمية الخاصة بها.
والحاسب لا يمرض حقاً كما نشاهد لدي الإنسان , بل تظهر على الحاسب بعض العوارض المشابهة لما يحدث للإنسان المريض.
يمكن هنا أن نسرد بعض هذه العوارض:
قد يحتضــن الحاسب الفيروس لمدة زمنية تمتد لعدة أيام أو اشهر أو حتى سنوات من دون إظهار أية إشارة تدل على إصابته.
قد تنتقل العدوى لأي حاسب يتصل بالحاسب المصاب.
قد ينهار الحاسب كلياً أو جزئياً عندما يبدأ الفيروس عمله.
قد يخلق الحاسب المصاب جواً من الاضطراب والقلق للمستخدمين من حوله.
لحسن الحظ هناك الكثير من الأدوات المضادة للفيروس التي تتكامل مع حسن تصرف المستخدمين
لتشكيل حاجز صلب
في وجه الإصابة بالفيروسات الحاسوبية.
ولكن هناك الكثير من المستخدمين الذين لا يلحظون الزيادة الكبيرة في تفشي الفيروسات الرقمية.
كما أن مبرمجين الفيروسات يعلمون أن مضادات الفيروسات (بما في ذلك الأدوات ,والسياسة الأمنية ,وتصرفات المستخدمين)
المثبتة حالياً في اغلب الأجهزة غير قادرة على التصدي للفيروسات ويعود ذلك لأسباب مختلفة.
ولا يود مبرمجي الفيروسات أن تعرف ذلك لكي يستمروا في استخدام الثغرات الحالية لشن الهجوم على الأنظمة الحاسوبية.
الإشكال المختلفة للبرمجيات الضارة
"الفيروسات Virus"
من المعتذر إيجاد تعريف دقيق للفيروس الحاسوبي
لكن يتفق الجميع على أن الفيروس الرقمي يتميز بقدرته على نسخ نفسه (أو جزء منه) لدي تنفيذه.
وقد أوحى هذا التشابه مع الفيروس البيولوجي بإطلاق هذا اللقب على الفيروس الحاسوبي .
ويستطيع الفيروس الرقمي إن يخلق نفسه بالبرامج التطبيقية الأخرى الموجودة في القرص الصلب,
وقد يتمكن من غرس نفسه في سجل تهيئة النظام
مما يعني انه يتم تنفيذ الفيروس لدي إطلاق نظام التشغيل بعد الضغط على زر بدء التشغيل الحاسب.
لكن الخطر الحقيقي يأتي من حمولة الفيروس التي تحوي مجموعة من التعليمات
التي تحكم تصرفات الفيروس لدي تنفيذه للمهام التخريبية.
تتراوح هذه المهام بين مضايقة بسيطة كإظهار رسالة غريبة على شاشة الحاسب المستخدم وقد تصل إلى
حد التدمير الكامل للبيانات بالغة السرية في الحاسب.
من المعروف أن هناك بعض الفيروسات البيولوجية القادرة على قتل ضحاياهم البشرية في سرعة قياسية.
لكن الغريب أن الضرر ألأجمالي لهذا النوع من الفيروسات يقل بدرجات عن الضرر الذي تسببه الفيروسات ذات التأثير البطيء.
السبب في ذلك بسيط جداً وهو أن الموت السريع لضحية الفيروس يحرم هذا الفيروس من الوقت اللازم لإصابة المزيد
من الناس بالعدوى.
إما بالنسبة للفيروس بطيء المفعول , فلا يتم اكتشاف أمره إلا بعد أن يكون قد انتقل إلى عدد كبير من الأشخاص.
تنطبق هذه الملاحظة على فيروسات الرقمية حيث نلاحظ الانتشار المحدود للفيروس الذي يدمر
القرص الصلب حالما يصل إلى هذا الحاسب,
أي انه "سيموت" قبل أن يتمكن الفيروس من نسخ نفسه في الحواسب المتصلة بالضحية.
لذلك فإننا غالبا ما نواجه فيروسات رقمية بطيئة التأثير ,
أي أنها مصممة بحيث تبقي حمولتها في سبات إلى أن يتم نسخها في العديد من الحواسب.
"حصان الطروادة Trojan"
رأينا برمجيات حصان الطروادة ذات الآثار المشابهة بأفعال الفيروسات لكن هذه البرمجيات ليست
بفيروس من وجهة نظر تقنيه.
"غالباً ما تكون الآثار التخريبية للبرمجيات حصان الطروادة ضئيلة نسبياً لأن معظمها لا يمتلك ميزة الانتشار
الواسع كما هو الحال بالنسبة للفيروسات"
استمدت برمجيات حصان الطروادة اسمها من الأدبيات القديمة
التي تروي كيف حقق الإغريق انتصاراً سريعاً على مدينة طرواد.
ففي هذه القصة نشاهد كيف عمد الإغريق إلى بناء حصان خشبي عملاق وأهدوه إلى طرواد
كبادرة حسن نية تعبر عن رغبه في السلام وحسن الجوار.
ووقع سكان مدينة طرواد في الفخ وابتلعوا الطعم من خلال قبولهم الهدية
وادخلوها خلال التحصينات الخارجية المنيعة للمدينة,
ولم ينتبه السكان لوجود مجموعة من الجنود الإغريق في الحصان.
وفي تلك الليلة باشر هؤلاء الجنود بفتح بوابات المدينة إمام الجيش الإغريق المتأهب
مما أدي لسقوط مدينة طرواد بسرعة وبدون مقاومة تذكر.
وهكذا صنع الإغريق أول خدعة تكتيكية في التاريخ بغية السيطرة على تلك المدينة الحصينة.
تعمل برمجيات حصان طروادة بطريقه مشابهة , وهي لا تعمد إلى نسخ نفسها كما يفعل الفيروس ,
إلا أنها تحتوي على حمولة قد تسبب خراباً شاملاً.
وكما يوحي اسم هذه البرمجيات, فنجد أنها غالباً ما تختفي داخل برنامج غير مؤذ ظاهرياً,
بل أن هذا البرنامج قد يؤدي بعض الوظائف الترفيهية أو المفيدة بغية إخفاء باطنه القذر.
"الديدان Worm"
تمثل الديدان نوعاً أخر من البرامج الضارة.
اشتقت هذه الديدان اسمها من الديدان الشريطية لأنها عبارة عن برمجيات طفيلية تأكل أي شيء يعترض طريقها.
وهي تكرر نفسها مرات عديدة من خلال استهلاك موارد النظام الحاسوبي من ذواكر وأقراص صلبة وحزم المعالجة.
في المصلحة نجد انه يتم القضاء على جميع موارد النظام ما لم يتم اكتشاف و استئصال هذه الدودة.
تتشابه الديدان مع الفيروسات في مقدرتها على نسخ نفسها (غالباً عبر الشبكات")
إلا أن الديدان تختلف عن الفيروسات في عدم قدرتها على تضمين نفسها في البرامج الموجودة في الضحية.
قد تحمل هذه التسميات والألقاب بعض الالتباس لدي تصنيف البرمجيات المؤذية ,
إلا أن ذلك لم يعد مهماً لأن معظم الناس يعمدون إلى إطلاق تسمية "الفيروس" على جميع تلك البرمجيات
على الرغم من الاختلافات التقنية بينها.
ومما يزيد من عدم اهتمام المستخدم بهذا التصنيف استعمال نفس الوسائل للتصدي لمختلف أنواع هذه البرمجيات.
من أين تأتي ؟
تصدر الفيروسات الحاسوبية عن الهكرز الذين تتجاوز مهارتهم البرمجية مقدرتهم على التمييز بين الخير والشر .
أو كما يقول البعض أن شركات الحماية هي التي تصنع الفيروسات , قد يكون هذا صحيح
ولكن شركات الحماية إذا صنعت فيروس فلن يكون خطير ولن يدمر الجهاز ممكن تواجه إزعاج من الفيروس
فقط لأنها تريد لفت انتباهك لوجود فيروس في جهازك و ستباشر أنت بتثبيت برنامج حماية للتخلص من الفيروس.
ومما يزيد الأمر سوءاً هو عدم الحاجة للكثير من المعرفة البرمجية لإنتاج بعض أنواع الفيروسات .
كيف تنتشر؟
باستطاعة الفيروسات إجراء بعض التعديلات في البرامج الشرعية أو المستندات المكتبية بهدف إلحاق نفسها بهذه الملفات .
وينتشر هذا البرنامج في جميع إرجاء العالم من خلال نقل نفسه من حاسب إلى أخر عبر
أقراص الفلاش USB و الشبكة الداخلية أو من خلال الانترنت .
وهناك مصادر أخرى تساعد في انتشار الفيروسات وهي البرمجيات الدعائية على الأقراص الليزرية
أو الملفات الملحقة بالبريد الالكتروني أو من جراء تحميل البرامج من الانترنت.
لدي هيستيريا من الفيروسات !
تنشر الكثير من الإخبار حول إخطار الفيروسات ولقد تم نسج الكثير من القصص الخرافية حول اظرار الفيروسات
بهدف إشباع نهم الأشخاص الذين يجدون مشقة في التعامل مع الحاسب كما لو كان جزءاً من الفيزياء الكميه.
هذه الحواسب التي خرجت للتو من الأفلام الخيال العلمي تبدو وكأنها على وشك إحداث الدمار في كل بقعة على الأرض.
وقد استفاد المشككين بمقدرة الحاسب من هذه الهستيريا لإثبات وجهة نظرهم بعدم وثوقية هذه الأجهزة.
من المؤكد أن هناك فيروسات جديدة تنشر ولكن لم تأت بجديد بالنسبة للذين يتابعون تطور الفيروسات,
إلا أن قصص الفيروسات الجديد تصبح ككرة الثلج المتدحرجة نتيجة لوقوع المراسلين الصحفيين
في دوامه من الهستيريا.
وهكذا يندفع الجميع بما فيهم تقنيو IT لشراء أحدث البرامج المضادة للفيروسات بغية تفادي الوقوع ضحية لهذا الفيروس.
الفيروسات القاتلة
الاعتقاد السائد لدي مستخدمين الحواسب أن أقصي ما يمكن أن يخلفه الفيروس هو ضياع بعض البيانات .
في الجهة ألمقابله نجد أن البعض يروج لنتائج خطيرة لدى الإصابة بالفيروس ,
لكن يعتقد المستخدمون أنه بالإمكان التخفيف من تأثير الفيروس إذا تم مسبقاً نسخ المواد الهامة في الحاسب.
ولقد سعي الهكرز لتصميم فيروس جديد يحمل قدرة تخريبية كبيره
من خلال تعديل BIOS (نظام الإدخال/الإخراج الأساسي )
لقد فاقت القدرة التدميرية لهذه الفيروسات أي تصور, فقد كان بمقدور هذا الفيروس أن يعطل كامل الحاسب بشكل نهائي.
وقد تحولت الحواسب الجديدة إلى مجرد كومة من المعدن الرافضة لأداء اى شيء بسبب هذه الفيروسات.
في المحصلة نجد أن القدرة التدميرية للفيروسات تجاوزت حد الملفات الداخلية لتصل إلى الأجهزة
ذاتها, إلا إن الاستعمال المناسب لمضاد الفيروس قد يكون العامل الأساسي في الحفاظ على
فعالية الحاسب وعدم تحوله إلى مجرد حمالة (مرتفعه الثمن) للورق.
البحث عن علاج
نعرض فيما يلي بعض الاقتراحات التي تساهم في معالجة تهديد الفيروسي:
1- التقليل من التصرفات الخطرة للمستخدمين.
يجب على المستخدم الحذر من وجود فيروس في البرمجيات المجانية أو في ملحقات البريد الالكتروني
وقد نجد الفيروسات مختبئة ضمن برامج مسليه.
وعند تداول أي أقراص USB لا تستعجل وتفتح القرص حتى لو كان ليدك برنامج حماية جيد,
لأن هناك فيروسات جديدة لن يستطيع المكافح اكتشافها .
الطريقة المفضلة لدي لفتح الأقراص باستخدام "الاستكشاف" أو من "التشغيل" اكتب اسم الفلاش
مثال "D:\" وسوف ينفتح لك القرص بدون تشغيل الفيروس لأنك عندما تضغط على الإيقونة محرك الأقراص
يشتغل الفيروس بسبب هذه الضغطة بواسطة ملف "Autorun.inf" ويبدءا الفيروس في العمل.
2- يتوجب تشغيل مضاد الفيروسات .
عليك الاختيار مضاد الفيروسات الذي يناسبك ويجب عمل له تحديث متواصل
وألا لن يستطيع المكافح اكتشاف الفيروسات الحديثة.
واغلب المستخدمين عندما يعلمه برنامج المكافح وجود فيروس لا يعرف ماذا يفعل !
بدلاً من عمل له حذف يروح عامل له "ترك" J وخيارات اخرى لا يعرف ما أهميتها
لذا يجب عليك المعرفة كيف تتعامل وتتحكم مع برنامج المضاد الفيروسات
وذلك بالبحث عن شرح في المنتدى حيث انك سوف تستفيد من طاقته الكاملة .
3- استخدام برنامج للنسخ الاحتياطي .
بما انه لا تتوففر أية ضمانة لعم إصابة النظام بالفيروسات فينبغي اخذ الاحتياطات اللازمة
لتخفيض الإضرار الناتجة عن الإصابة بالفيروس
لذا يفضل استخدام برنامج لعمل نسخه احتياطية للنظام لتجنب المشاكل ألمستقبليه .
الاسئله الشائعه
سؤال:عند فتح إدارة المهام أو الرجستري تأتيني رسالة "تم التعطيل من قبل مسؤل "؟
جواب:تحدث هذه المشكله غالباً بسبب فيروس لذا عليك استخدام اداه Kaito-kid لأصلاح المشكله.
سؤال:قمت بستخدام الاداه ولكن مشكلتي لم تحل؟
جواب:لأن الفيروس يقوم بتعطيلها بعد اصلاح لذا عليك حذف الفيروس اولاً.
سؤال:فيروس جنني لو استطيع حذفه
؟
جواب:اذا لم تستطيع حذف الفيروس انتقل الي الجزء "حذف الفيروسات بواسطه الادوات".
سؤال:لا استطيع تثبيت برنامج مكافح الفيروسات؟
جواب:سبب ان الفيروس يمنع التثبيت انتقل ايظاً الى "حذف الفيروسات بواسطه الادوات".
سؤال:كيف احمي نفسي من فيروسات autorun الموجوده في الفلاش ؟
جواب:افضل طريقه هي استخدام مضاد الفيروسات وعليك بتعطيل القراءه التلقائيه
وعند فتح قرص الفلاش لا تفتحه بضغط عليه, يمكنك كتابه اسمه في التشغيل مثلاً
"d:\" وسوف يفتح لك بدون تشغيل الفيروس وعليك بتحديث المضاد دورياً.
سؤال:كيف يمكنني اختبار ان المكافح الذي لدي يعمل حيث اني اشك بعمله رغم ان ايقونتة تدل على انه شغال؟
جواب:هناك طريقه امنه لأختبار المضاد وتم عملها خصيصاً للأختبار
قوم بفتح المفكره والصق هذه الكود :
كود:
X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*
ثم اعمل حفظ بأسم مثلاً Kaito-kid.com وحاول فتح الملف ستلاحظ ان المكافح اكتشفه.
سؤال:لقد قمت بفرمتة الجهاز ولكن الفيروس عاد مره اخرى؟
جواب:اذا كنت قد فرمت جيمع الاقراص فأعلم ان الفيروس عاد بسبب البرامج او التعاريف التي قمت بتثبيتها
اما اذا فرمت قرص السي فقط فأعلم ان الفيروس موجود في الاقراص الاخري انتقل الي النظام
وهو لم ينتقل مباشرهً انما عند فتحك لتلك الاقراص اشتغل الفيروس مره اخري لذا لا تفتح
اى قرص وعليك تثبيت مكافح للفيروسات مباشره قبل تثبيت اي برامج .
اداة Kaito-kid لحل مشاكل الفيروسات
http://www.multiupload.com/S1YAJA9ALR
هذه الاداه تمكنك من اصلاح اشهر مشاكل الفيروسات
البحث عن الفيروسات والقظاء عليها بستخدام "الادوات"
احياناً عند اصابه الجهاز بفيروس يقوم الفيروس بتعطيل مكافح الفيروسات ويمنع ايظاً من تثبيت اي مكافح
ويبداْ الفيروس بالسيطره على الجهاز ويكون الوقت التأخر لحذفه .
اخي كايتو ماذا اعمل اذا واجهتني مثل هذه المشكله ؟
هناك ثلاثه حلول :
الحل الاول:هو استخدام اداوت حذف الفيروسات وتعمل من داخل النظام .
الحل الثاني:استخدام قرص طواري للفحص وهو يعمل عند الاقلاع.
الحل الثالث: متابعه الجزء التالي من الموضوع عنوانه "حذف الفيروسات يدوياً"
سأقوم بشرح اداه واحده لكل من الحل الاول والثاني وهناك بطبع ادوات كثيره استخدم التي تناسبك
الحل الأول: " استخدام أدوات حذف الفيروسات"
سيكون الشرح على اداه
Kaspersky Virus Removal Tool
قم بتحميل الاداه من موقع الشركه
من
هنا
بعد تحميل الاداه وتثبيتها سوف تظهر لك هذه الواجهه
وهكذا تخلصنا من الفيروسات
الحل الثاني:"بواسطه قرص طواري"
سوف استخدام قرص افيرا
"rescue_system-common-en.iso"
رابط القرص من الشركه مباشره
هنا
يجب عليك حرقها على اسطوانه وتعديل البوت ليكون من السيدي اذا كنت لا تعلم ابحث داخل المنتدي
الان شاهد الصور
ثم انتقل الي الضفحه الرئيسيه وضغط فحص
وهكذا حذفنا البرامج الضاره من الجهاز
يتبع جزء "حذف الفيروسات يدوياً"
تم رفع الصور الى سيرفر المنتدى بواسطة المراقب hsam81987
البحث عن الفيروسات والقظاء عليها "يدوياً"
إخواني أعضاء منتدى المشاغب لقد كانت الأجزاء السابقة عبارة عن تمهيد و زيادة المعرفة لأني كنت سأكتب هذا فقط
ولكن قلت يمكن هناك اعضاء لا يعرفون
وفكرت أن اجعل الموضوع متكامل من جميع النواحي
أحيانا يصعب علينا أزاله الفيروسات أو قد لا نعلم بوجود فيروس !
وربما قد تعلم انه يوجد فيروس في جهازك ولكن المكافح لم يكشفه ! بسبب إن الفيروس حديث الصنع
أو أن مكافح الفيروسات يحتاج إلى تحديث أو مكافح الفيروسات لا يعمل !
ملاحظه: سيتم استخدام مصطلح
"فيروس" على جميع أنواع البرامج الضارة
في هذه الجزء
سنقوم بحذف الفيروس يدوياً وبدون استخدام أي برامج حماية أو أدوات مسح الفيروسات
وهذه الطريقة تنفع مع جميع أنواع الفيروسات إلا أنواع الفيروسات التي تندمج مع الملفات حيث من الصعب
معرفه إن كان الملف مصاب أم لا, لأنه يتطلب تحرير الملفات المشبوهة بأدوات وبحث عن شفرة الفيروس
وهذا خارج نطاق موضوعنا
"يفضل استخدام برامج الفحص إذا واجهك مثل هذا النوع ".
للعلم والمعرفة والحد من هستيريا الفيروسات سنقوم بعمل شرح عملي لأحد الفيروسات
لقد أخذت عينه من الفيروس للدراسة وإجراء التجارب عليه
حصلت عليه من صديق عندما طلب مني
إصلاح جهازه بسبب فيروس حيث إن مكافح الفيروسات لم يستطيع كشفه ولقد فحصت الفيروس
في موقع فحص الفيروسات والغربية أن جميع مكافحات الفيروسات لم تكشفه
قلت يمكن يكون هذا الفيروس جديد
وفعلاً لقد كان فيروس جديد حيث بعد فتره قصيرة بدأت بعض المكافحات اكتشافه.
اسم الدوده
"Worm.Win32.AutoIt.ul
"
ملاحظه :سيتم الشرح بشكل حوار بين اثنين لأني وجدت صعوبة في تعبير بسبب
كثرة الأفكار والحلول وطول الموضوع أتمني أن لا يكون ممل
أخ Kaito-kid جهازي يعلق وبطيء أكيد السبب فيروس ماذا اعمل؟
كيف تأكدت انه فيروس ! حيث إن أي شخص يعلق جهازه أو تصير لديه مشاكل في الجهاز
يفكر على طول إن السبب فيروس ,اعلم إن هناك فيروسات تسبب بطيء في الجهاز ولكن
" من دون أدله دقيقه,وتحليل صارم , لا يسع المرء إلا التخمين , وهذا ليس علماً " من أقوال العالم الفرنسي لافوازيه
J
طيب كيف اعرف إن جهازي مصاب بفيروس ؟؟؟؟
كما قلت في "ألمقدمه" انه قد لا تعرف أن جهازك مصاب بفيروس
ولكن هناك بعض الإعراض الشائعة التي تحدثها الفيروسات عند إصابة الجهاز وهذه الإعراض ليست شرط
لوجود فيروس في الجهاز .
من أهم تلك الإعراض :
عند فتح أداره المهام تأتيك رسالة "تم التعطيل من قبل مسئول"
وأيضا عند فتح الرجستري تأتيك نفس تلك الرسالة
و عند إظهار الملفات المخفية لا تظهر كأنك لم تعمل إظهار ! وأيضا خيارات المجلد ليست موجودة !
و تعطيل استعاده النظام وموجه الأوامر وبعض الأدوات الخاصة بتحكم بالنظام
ولكن لماذا قام الفيروس بهذه الإعمال التي في السابق حيث انه قام بتعطيل بعض خصائص لويندوز؟؟
غالباً يقوم الفيروس بهذه الإعمال لحماية وإخفاء نفسه لأنك عندما تعرض الملفات المخفية سوف تشاهد ملف الفيروس
ذو شكل غريب
"المقصود بالغريب انه بدون أيقونه و مفعل خاصية الإخفاء "
وسوف يدخل الشك في قلبك وتقول ما هذا هل هو فيروس؟
أو لجذب انتباهك لوجود فيروس حيث من الطبيعي إذا تعطلت أي خاصية من الخواص السابقة
سوف تعرف أن جهازك مصاب ولكن هي ليست شرط قد توجد فيروسات ذكيه لا تفعل أي
تغيير ملفت للنظر
وللعلم أن ما قام به الفيروس ليس شيء خاااارق أو انه اخترع طريقه يعطل بها تلك الخصائص
كما يظن المبتدئين لأنك يمكنك تعطيل تلك الخصائص من ويندوز نفسه
وذلك من أداة “
gpedit.msc”
وهي موجودة في النظام
قامت ميكروسوفت بتوفير هذه الأداة لمدراء الأنظمة والشبكات
حيث انك قد ترغب في منع أي خاصية عن المستخدمين .
بفعل أخي هناك بعض هذه الخواص معطله عندي ماذا اعمل ؟
يمكنك استخدام أداة "Kaito-kid" التي في الجزء الثالث في الأعلى
حيث يمكنها إصلاح هذه المشاكل ولكن الفيروس يقوم بتعطيلها
بعد إصلاحك لها لأنه يتأكد باستمرار من تعطيل تلك الخصائص
لذا يجب عليك أولا إيقاف عمل الفيروس ثم يمكنك الإصلاح .
وكيف يمكنني إيقاف عمل الفيروس ؟؟
إيقاف عمل الفيروس يقصد به عمل له
"إنهاء"
كما نعلم انك لا تستطيع فتح أداره المهام لان الفيروس قام بتعطيلها !
لهذا سوف نستخدم أداه اسمها مستكشف العمليات
"
Process Explorer
"
يمكنك تحميلها من هنا
http://download.sysinternals.com/Fil...s***plorer.zip
صوره للعمليات
ما هي مميزات هذه الأداة حيث إذا كانت إدارة المهام عندي شغالة سوف استخدمها لماذا تفضل هذه الأداة ؟؟؟
أفضل هذه الاداه لأسباب كثيرة منها:
انك تستطيع إنهاء اى عمليه حتى لو كانت خاصة بالنظام باستثناء برامج الحماية .
يمكن أيضا معرفه معلومات عن اى عمليه ومكان وجود الملف الخاص بالعملية .
وتقوم بفرز العمليات حسب
"المستخدم" وهذا يسهل البحث في العمليات.
وطبعاً هذه الميزات ليست موجودة في أداره مهام ويندوز لأن هذه الاداه صنعت خصيصاً
لخبراء الصيانة
ولكن كيف اعرف الفيروس من بين كل هذه العمليات ؟؟؟
قبل إن أخبرك :
ما هي العملية التي تتوقع أنها هي الفيروس من خلال ملاحظتك للعمليات التي في ألصوره السابقة
.
فكر قبل إن تنتقل إلى السطر التالي
لكي نعرف من هو الفيروس سنقوم بعمل استثناءات انظر ألصوره
في الجهة اليسار هناك عمليات مضلله بلون الأصفر سنقوم باستثنائها
لماذا
لأنها عبارة عن خدمات النظام وهي خاصة مثلاً بالصوت والشبكة الخ ...
ولكن ليس معني ذلك إلغاء الشبهة نهائياً عن تلك العمليات
وسوف نركز على العمليات التي في الأسفل "الغير مضلله بلون الأصفر"
ستقول لي لماذا
لاحظ في الجهة اليمنى في قائمه
user name
ستري إن العلميات التي في الأسفل
اسم المستخدم هو
“Kaito-kid”
اى اسم المستخدم الذي اعمل عليه إنا ألان
إما الخدمات فأسم المستخدم هو
"
system
" أو
"
Network"
اى النظام
ولهذا السبب استبعدنا تلك العمليات
لان الفيروس دائماً يشتغل بأسم المستخدم الذي تم تسجيل دخول الجهاز به .
هذه أول ملاحظه
أما
الملاحظة الثانية إن الفيروس غالباً يكون بدون أيقونه اى بدون شكل
مثل العمليات الموجود في الأسفل
"
vmusrvc.exe
" و
"
svchost.com" وبعض العمليات
الخاصة بنظام التي في الأعلى .
ثالث ملاحظه هي إن الفيروس يستخدم وصف واسم شركه مشهورة مثل شركه ميكروسوفت
لكي يخدعك عندما تبحث عنه لأنك سوف تشاهد في الوصف انه عمليه خاصة بالنظام
وسوف تقوم باستثنائه.
لو لاحظت إن العملية
"
svchost.com
" استخدمت وصف
"
Generic Host Process for Win32 Services
"
مثل العمليات الخاصة بالنظام التي في الأعلى !
ولكن كيف لعمليه خاصة بالنظام إن تشتغل بواسطة حساب مستخدم عادي !!!
رابع ملاحظه هل ترى العملية
"
svchost.com
" أنها ليس لديها اسم شركه مصنعه !
"توجد بعض البرامج لا تكتب اسم الشركة المصنعة"
لقد كان مبرمج الفيروس يريد كتابه اسم شركه المصنعة
"
Microsoft Corporation
"
ولكن لم يكتب لماذا
لأنه لو كتب اسم الشركة المصنعة
"
Microsoft Corporation
" سوف يكشفه
مضاد الفيروسات مباشرةً لأنه يبحث عن توقيع برامج ميكروسوفت وإذا لم يعثر
على التوقيع سوف يعرف انه مزور , أو قد يستخدم أي اسم شركه لتمويه
وهكذا حددنا العملية الخاصة بالفيروس وهي
"
svchost.com "
ولكي نتأكد
100% انه هو الفيروس نقوم بعمل له
"إنهاء"
ثم نستخدم أداة
"Kaito-kid" لإصلاح المشاكل الشائعة ونعمل للخصائص إصلاح
وإذا انحلت ألمشكله نكون قد تأكدنا انه هو الفيروس أما إذا عملت إصلاح
ورجعت تتعطل الخصائص اعلم انه ليس هو أو انه يوجد أكثر من فيروس
امممم L أخي كايتو رغم إني لم افهم 5% ولكن ما هي الخطوة التالية بعد إن عرفنا اسم العملية الخاصة بالفيروس؟؟؟؟
بعد إن حددنا اسم عمليه الخاصة بالفيروس يجب علينا تحديد مكانه ونعمل له حذف
وذلك بضغط على العملية
"
svchost.com
" بالزر الأيمن ونختار خصائص انظر ألصوره
كما تلاحظ "مكان ملف الفيروس" المضلل بلون الأصفر
هو
" C:\DOCUME~1\KAITO-~1\LOCALS~1\Temp\svchost.com"
أي انه في
" svchost.com\ C:\Documents and Settings\Kaito_kid\Local Settings\temp"
نلاحظ انه في المجلد
temp
هذا مجلد الملفات المؤقتة وتستخدمه البرامج لوضع ملفاتها المؤقتة فيه .
إذا سوف نحذفه وانتهت مشكله الفيروس
أقول لك لا لن تنتهي مشكله الفيروس
هذا النوع من الفيروسات معقد وذكي لأنه ليس هذا هو ملف الفيروس الأصلي
هذا للتمويه
لو سألت نفسك كيف لفيروس إن يبقي داخل مجلد
temp
بدون إن ينحذف
من زمااااان !! لأن الفيروس الرئيسي موجود في مكان أخر وهو يقوم بإنتاج هذا الملف للتمويه .
ملاحظه:تعتبر هذه ألنقطه الاخيره بأنسبه لبعض الفيروسات حيث بعد تحديد مكانها
وعمل لها إنهاء ثم حذفها تكون قد انحلت ألمشكله .
امممم ظنيت انه خلاص تم الانتهاء من ألمشكله ولكن فعلاً هذا الفيروس عنيد كيف سنفعل ألان؟؟؟؟
مادام إن للفيروس أكثر من اسم وأكثر من مكان إذاً يحب علينا تحديد الملف الرئيسي للفيروس
والملفات ألتمويهية لنحذفها كلها
لكي نعرف اسم الفيروس الرئيسي اذاً يجب علينا البحث في برامج بدء تشغيل الجهاز
حيث انه عندما يعمل الجهاز يشتغل الفيروس ويقوم بعمل ملفات تمويهية.
يمكنك الدخول إلى بحر الرجستري والبحث عن ملفات الفيروس ولكن سوف تأخذ
وقت ولكن انتقل إلي السطر التالي
ألان سوف نستخدم السلاح السري
وهي عبارة عن أداه اسمها
"
Autoruns"
وهي موجودة في نفس موقع الاداه الأولى
تحميل من هنا
http://download.sysinternals.com/Files/Autoruns.zip
مختصر سريع عن الاداه
هذه الاداه تمكنك من مشاهده جميع مفاتيح بداء التشغيل الموجودة في الرجستري
بدون وجع راس وهي تعتبر أداتي المفضلة الثانية
صوره الاداه
هذه الواجهة الرئيسية للأداة لا تخافوا سوف تعتادون عليها وسترون أنها سهله وغير معقده
في التبويبات التي في الأعلى يمكنك اختيار الحالات مثل
"تسجيل الدخول" أو
"الخدمات"
أو
" المتكشف"
هذه الاداه تظهر لك جميع ملفات التشغيل التلقائي سواء كان فيروسات أو برامج نظام التشغيل
لهذا
ركز جيداً عند التعامل مع هذه الاداه ولا تحذف اى مفتاح إلا عند التأكد
كما قلنا سابقاً بعض الفيروسات تستخدم وصف مشابه لعمليات النظام وكذالك
اسم الشركه المصنعه قد يكون
"فارغ" وقد يكون اسم اى شركه للتمويه
قبل ان نباشر البحث في الاداه يجب اولاً انهاء عمل الفيروس
لكي لا يعيد القيم المحذوفة وقد تكلمنا عن كيفيه البحث عنه وقتله .
بعد إنهاء العملية الخاصة بالفيروس نبدأ ألان بالبحث داخل الاداه عن البرامج المشبوهة
المشبوهة اقصد بها أنها تكون ذو وصف مشابه لعمليات الخاصة بنظام التشغيل
واسم الشركة المصنعة قد تكون
"فارغة" أو اى اسم .
اكرر هذه الملاحظه مره اخرى "هناك بعض البرامج لا تحتوي على اسم شركه مصنعه
او وصف فلا تتسرع وعليك التحقق من العلميه انها ليست من البرامج التي لديك
انظر الصوره
لقد اخترت من التبويب
"
logon"
وهي خاصه بالبرامج التي تشتغل عند تسجيل الدخول
عليك البحث في جميع التبويبات وليس في هذا فقط
المفاتيح المضلله بلون الاصفر هي مفاتيح موجوده في الرجستري وايظاً ملف startup
عندما تسجيل الدخول يقوم النظام بالبحث عن اى برامج مسجله في هذه المفاتيح ويقوم بتشغيلها
حيث تندرج تحت كل مفتاح اسم البرامج التي تشتغل ما سنقوم به هو حذف القيم المشبوهه
انظر الصوره بعد تحريك شريط التمرير لروئة باقي الخصائص J
الان ركز على الصورتين هذه والسابقه ماذا تلاحظ؟
سألمح لك هل يوجد قيم برامج تستخدم وصف مشكوك !
وهي ايظاً بدون شركه مصنعه ؟
بتأكيد هناك قيم اولها "C:\windows\system32\fdisk.com"
“Hotkey” و" و " و “svchost.com”sndvol32"User agent"
"C:\windows\system32\fdisk.com"
"vmx.exe\C:\documents and settings\kaito-kid\templates\cache"
"C:\windows\system32\fdisk.com"
"C:\documents and settings\all users\start menu\programs\startup\ sndvol32.exe"
“C:\documents and settings\kaito-kid\local settings\temp\ svchost.com”
جميع هذه قيم برامج وهي تستخدم وصف
"Generic Host Process for Win32 Services"
واسم الشركه المصنعه
"لايوجد"!
لذا سنقوم بحذف هذه القيم ثم نقوم بحذف جميع ملفات الفيروس وذلك من المسارات التي لدينا ومن داخل الأقراص مباشره
عليك بعرض الملفات المخفية وطبعاً لقد قمنا بإصلاحها
بعد عرض الملفات المخفية
نبداء بحذف الفيروس من الأقراص مباشره انتبه تفتح قرص السي بضغط عليه كما قلت سابقاً
لذا اذهب إلى التشغيل وكتب
c:\
وسوف ينفتح لك بدون تشغيل الفيروس
بعد الدخول إلى قرص السي فكر أين ملفات الفيروس الاوتورن ؟؟؟؟
ملف الفيروس هو
"
Ntdetect.com"
لا هذا ملف خاص بالنظام
أظن انه "
Autoexec.abt"
وأيضا لا
لكي نعرف ملف الفيروس سنقوم بفتح ملف الاوتورن
"
Autorn.inf
" ونبحث داخله عن اسم الفيروس
بعد فتح ملف الاوتورن انظر ما بداخله
كما تلاحظ اسم الفيروس
"thumbs.db"
من كان يظن إن يكون الملف الأصلي للفيروس
"
thumbs.db"
ولكن غريبة
هذا ملف خاص بعرض المصغرات وحفظ طريقه العرض فيالمجلدات .
وإذا قمت بفتح هذا الملف ليس هناك مشكله لأنه سوف ينفتح بالمفكرة ولكن الفيروس استخدام
أوامر ليجبر النظام التعامل مع الملف كأنه برنامج
مثال
قوم بتغير صيغه أي برنامج لديك إلي jpg التي هي صوره J
وذهب إلي الدوس وكتب اسم البرنامج مثلاً
"
winrar.jpg" سيقوم النظام بتشغيله ولن ينفتح بواسطة مستعرض الصور
لماذا لأن المستكشف يقوم بتحديد صيغه الملف ثم يمرر الملف إلى نوع برنامج التطبيق إما عند التعامل مع الدوس فلا فرق بين برامج أم بيانات J
ألان نقوم بحذف ملف الاوتورن و
"
thumbs.db" من جميع الاقراص .
و نحذف الفيروس من المسارات التي عثرنا عليها
انتهينا من حذف الفيروس نعمل أعاده تشغيل الجهاز ونشاهد العمليات هل عاد مره أخرى أم لا
تم دعس الفيروس
اخي كايتو عند تسجيل الدخول ظهرت لي رساله ؟
رائع هذا دليل حذفنا للفيروس ومعني هذه الرسالة إن النظام لم يعثر على ملف الفيروس
إذا هناك طريقه تشغيل تلقائية أخرى لم نحذفها ولحل هذه ألمشكله اذهب إلى الرجستري إلى المسار
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
وبحث عن مفتاح "Shell" وتأكد إن ألقيمه هي "Explorer.exe"فقط .
لحظه أخي الرجستري ينفتح بواسطة المفكرة
؟
امممممممم فيروووس عنيد بس الحل موجود افتح أداه
autorun.exe
ومن تبويب اختار
"
Image Hijacks"
انظر ألصوره
والان افتح الرجستري
تم حل مشكله فتح الرجستري بواسطه المفكره
نواصل مشكله الرساله اذهب الى المسار
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
والان انتهينا من حذف الفيروس
الخاتمه
الحمد لله الذي وفقني لكتابه هذا الموضوع واعتذر اذا كان هناك اى خطاء املائي او في التعبير
لأني لست كاتبا
واعلم ان العيب ليس في الجهاز ولا برامج الحمايه انما على المستخدم نفسه
لذا عليك زيادة ثقافتك بالامن والحمايه لكي تحل مشاكلك بنفسك
"ان كنت تعجز عن التفكير كالمتسللين فلن تكتشف ما يحاولون القام به"
"اللص يستطيع القبض على اللصوص"
لنا لقاء ان شاء الله في موضوع اخر