Experiences With Viruses Problems And Solutions Part1
This document was uploaded by user and they confirmed that they have the permission to share it. If you are author or own the copyright of this book, please report to us by using this DMCA report form. Report DMCA
Overview
Download & View Experiences With Viruses Problems And Solutions Part1 as PDF for free.
More details
- Words: 3,584
- Pages: 33
أعوذ بالله السميع العليم من الشيطان الرجيم
صدق الله العظيم
۞۞۞ 2
۞۞۞
إهداء إلى الغاليين والداي وإخوتي إلى جميع المسلمين في كل مكان و زمان إلى كل طالب معرفة في هذا المجال الحاسوبي الواسع أهدي هذا الجهد المتواضع
۞۞۞ 3
۞۞۞
الفهرس الموضوع نبذة عن كاتب الموضوع ............................................................................................ المقدمة أسباب الصابة ........................................................................................................ صور للفيروسات ..................................................................................................... كيف يتم تفعيل الفيروس؟ ........................................................................................... المشاكل التي تحدثها الفيروسات؟ ................................................................................. كيف أعرف إن الجهاز مصاب؟ .................................................................................... التجارب الشخصية ............................................................................................................ OSO.exe ................................................................................................ New Folder.exe ............................................................................................... NIDEIECT.com ...................................................................................................... Sservice.exe ....................................................................................................... Pagefile.pif .................................................................................................... zPharaoh.exe ....................................................................................................... Ctfmon.exe طرق الوقاية والعلج طرق الوقاية ........................................................................................................... العلج ................................................................................................................... أسئلة وإضافات العضاء أسئلة و إضافات العضاء بموضوعي بالمنتدى ................................................................ خاتمة ما هو واجبك تجاه الموضوع ....................................................................................... طلب صغير ............................................................................................................. نصيحة بعنوان )ل تنس............................................................................................ (s
۞۞۞ 4
۞۞۞
رقم الصفحة 5 7 8 11 11 12 14 15 15 17 17 18 19 21 24 27 32 32 33
نبذة عن كاتب الموضوع الســـــــــــــــــــــم :فهد سعيد حيمد مقرم تاريــــخ المـــــيلد 1983 -07 -27 : الديانـــــــــــــــــــة :مسلم ل الحمد و المنة الجنسيــــــــــــــــة :يمني من منطقة حضرموت شبام -قرية الحزم و أعيش بالسعودية -جدة الدرجة العلميـــــة :بكالريوس في علوم الحاسوب من جامعة حضرموت للعلوم و التكنولوجيا الهوايــــــــــــــات :كل ما يتعلق بالحاسوب من برامج و حماية و تصميم و غيره الحالة الجتماعية :عازب ربنا ييسر بنت الحلل الوظيفــــــــــــــــة :بالنتظار أسأل ال الرزق الحلل اسمي بالمنتــــدى MaskFD : البريد اللكترونـي [email protected] :
۞۞۞ 5
۞۞۞
المقدمة
۞۞۞ 6
۞۞۞
بسم ال الرحن الرحيم
المد ل ..والصلة والسلم على خي خلق ال ..وعلى آله وصحبه ومن تبع هداه قبل البداية في الموضوع هذا الموضوع كتبته بمنتدى المشاغب بتاريخ ) (2008-11-29و قمت هنا بتحويله لكتاب بصيغة PDFبتاريخ ) (2009-08-09للنشر و التوزيع للفائدة العامة ..و أعتذر منكم على القصور في ترتيبه و تنسيقه لضيق وقتي ..أرجو لكم الفائدة و المتعة .. بعض الملحظات قبل بداية الشرح أرجو قراءتها -1هذا الموضوع كتب لمعرفة طرق الوقاية والعلج من الصابة بالفيروسات ..لذلك ل يسمح باستخدامه للضرار بأجهزة الخرين. -2المعلومات المذكورة بالدرس هي مجرد اجتهاداتي الشخصية ..يعني تقبل الخطأ والصواب و المناقشة ..لذلك أنا غير مسؤول عن أي أضرار تنتج عنها )رغم عدم وجود الضرار لكن للحتياط(. المقدمة ل يكاد أحد يسلم هذه اليام من الفيروسات ..صارت زي التحلية مع الكمبيوتر ..يكتشفوا واحد يطلع ألف ..وكل فترة يتفرمت الجهاز وتعيد تحميل البرامج وتفقد بيانات هامة بسببها ..في هذا الدرس كتبت تجاربي الشخصية معاها وبعض من أسباب الصابة وطرق الوقاية والعلج اللي أعرفها. أسباب الصابة معظمها يجي من اليميل أو الفلش ميموري Flash Diskو البرامج والكراكات غير موثوقة .. لكنها غالبا œل يتم تفعيلها إل إذا نقرت عليها نقرا œمزدوجا œلنها برامج تنفيذية ..فيه أنواع تعمل بدون نقر أعتقد يسموها برامج سكربت Script Programsل أعرف عنها الكثير وأعتقد إلغاء خاصية Scriptمن الجهاز يمنع عملها لكنها ليست موضوعي .. أول شيء هذه بعض المثلة لشكال الفيروسات:
۞۞۞ 7
۞۞۞
صور للفيروسات
۞۞۞ 8
۞۞۞
۞۞۞
9 ۞۞۞
لحظوا إن امتداد الفيروس غالبا œيكون exe,cmd,scr,com,batأما المتدادان log & dll فالفيروس بداخلهم ول ينفذ مباشرة . حجم الفيروس غالبا œصغير بالكيلو بايت. معظمها مخفية ول يمكن جعلها مظهرة لن خاصية الخفاء ملغية كما بالصورة:
۞۞۞ 10
۞۞۞
إذا كانت ظاهرة تكون بأشكال متعددة مثل شكل المجلد أو المفكرة أو برنامج عشان تغلط وتنقر عليها ويشتغل الفيروس )توجد أمثلة كثيرة لشكالها المتعددة في شرح فيروس .(zPharaoh السؤال هنا كيف يتم تفعيل الفيروس؟ عادة مع الفيروس يجي ملف أوتورن -بمعنى تشغيل تلقائي autorun.inf -ينسخ على سطح الفلش ميموري Flash Diskأو الهاردسك .. Hard Diskهذا الملف يستخدم في السيديات CD Autorunلتشغيل تطبيق معين له واجهات أو عرض ما ..لكنه يوضع مع الفيروس لكي يتم تشغيله بواسطته. المشاكل التي تحدثها الفيروسات؟ إخفاء المجلدات والملفات المخفية ومنع الوصول لخيارات المجلد Folder optionsوإدارة المهام Task Managerومحرر تسجيل ويندوز Windows Registryواستهلك موارد الجهاز الذي يؤدي إلى بطء الجهاز الملحوظ. تكمن الخطورة إذا كان الفيروس من النوع الذي ينتشر في الجهاز ويصيب كل برنامج وتطبيق وصفحات النترنت وملفات النظام.
۞۞۞ 11
۞۞۞
كيف أعرف إن الجهاز مصاب؟ غالبا œالفيروس ينسخ نفسه وملف الوتورن على كل القراص الصلبة ..لكن إذا أصابك لن تستطيع الوصول لخيارات المجلد لظهار الملفات المخفية و أيضا œإظهار ملفات النظام لن الفيروس يعتبر كملف نظام و ل أدري كيف يتم تحويله بهذه الطريقة ..عشان كذا لزم يكون عندك برنامج الضغط الوينرار WIN RARممكن تستغرب أيش دخله بالموضوع؟! هذا البرنامج يظهر جميع الملفات المخفية دائما œمن داخله و ل يتأثر غالبا œبالفيروسات ..يعني تروح للقرص الصلب من داخل البرنامج وتشوف إذا حصلت ملف autorun.infومعه تطبيق غريب أول شيء تفتح autorun.infل يضر فتحه لنه زي المفكرة ..إذا كان بداخله اسم التطبيق معناه إنه فيروس مثل الصيغة التالية:
۞۞۞ 12
۞۞۞
التجارب الشخصية مع الفيروسات
۞۞۞ 13
۞۞۞
هنا أشرح بعض الفيروسات التي أصابت جهازي أو أجهزة زملئي والملحظات عليها: OSO.exe هذا الفيروس جاء على شكل مفكرة بحجم KB 95ومرة أخرى بحجم .. KB 48مع هذا الحجم البسيط اعتقدت إنه فعل œملف مفكرة لكن لما فتحته لم يفتح شيء وهنا عرفت إنه فيروس خاصة بعد ظهور اسم تطبيق غريب في إدارة المهام . Task Manager
ينسخ هذا الفيروس نفسه بأسماء مختلفة لها نفس الحجم هي: severe.exeو tfidma.exeو .. tfidma.dllملف النظام الخير حجمه KB 38في مجلد النظام Systemبالنسبة لنظام Windows MEو مجلد System32بالنسبة لنظام .. Windows XPالنوع الثاني اللي حجمه KB 48ضرره أقل ول ينسخ نفسه في مجلد النظام.
ثم يعمل مع بدأ التشغيل عشان ما تقدر تحذفه بشكل مباشر لو قدرت تشوفه.
۞۞۞ 14
۞۞۞
New Folder.exe هذا فيروس قديم معروف أيضا œباسم مجلد جديد بس للي ما يعرفه ..طريقة عمله هي إنه يعمل داخل كل مجلد نسخه منه لها نفس اسم المجلد وكلها بحجم الفيروس الصلي ..لحظوا أن المتداد تنفيذي EXEلكن هذا المتداد ل يظهر إل إذا أظهرنا امتداد الملفات من خيارات المجلد.
NIDEIECT.com وهذا الفيروس له أنواع كثيرة يتغير فيها السم قليل œوأنواع أخرى مختلفة في السم لكن جميعها لها نفس العمل كما في الصورة.
هذا الفيروس مشابه لـ OSO.exeفي ناحية انك ما تقدر تحذفه مباشرة لنه يرجع مرة ثانية في جميع القراص لنه ينسخ amvo.exeو amvo0.dllإلى مجلد النظام System32وثم يضعهم في قائمة بدء التشغيل.
۞۞۞ 15
۞۞۞
اسم هذا الفيروس يشبه اسم ملف النظام الموجود على قرص Cوهو NTDETECT.COM لذلك أرجو الحذر من الخلط بينهما ..عندي زميل اعتقد إنه فيروس فحذفه فاضطر يفرمت الجهاز لذلك لزم تتأكد من اسم الفيروس في ملف autorun.infعشان تحذفه.
۞۞۞ 16
۞۞۞
الفيروسات أحيانا œتأخذ أسماء ملفات نظام مثل NTDETECTو CTFMONو SMSSو SCVHOSTو CSRSSلذلك يجب الحذر عند حذفها ..والفضل تغيير امتداد الملف المشكوك فيه إلى امتداد غير تنفيذي عشان في حالة حصلت مشكلة بسببه تقدر ترجع الملف عن طريق نظام تشغيل يقلع من السيدي مباشرة مثل .Windows Pre-installation Environment Sservice.exe ينسخ نفسه في مجلد النظام Systemبثلث أسماء هي fservice.exeو services.exeو lncom.exeلكن الحجم وشكل اليقونة هو المشترك بينهم ..عمل بطء وأضاف قيم في الملف win.iniتخليه يعمل بنسخ كثيرة في الذاكرة هذا في نظام . Windows ME
Pagefile.pif هذا الفيروس الصيني المعروف اللي سوى بلوي للناس قبل فترة ..يمكن 8أشهر ..أصاب الجهاز عندي بسبب غلطة ..دخلت القرص بالنقر بالزر اليمن ثم المر فتح وهذا شغل الفيروس .. وتسبب بحذف أكثر من 8500برنامج وصفحة انترنت من جهازي خلل يومين فقط من إصابته للجهاز .يشبه ملف الدوس في اليقونة ول يخفي عرض الملفات المخفية عندما يتم تفعيله ..لذلك لم أكتشفه بسرعة ..فقط يخفي إظهار ملفات النظام و بعدها يبدأ من قرص Cإلى آخر قرص بنسخ نفسه في كل برنامج و صفحة انترنت ..وأكيد إذا استخدمت برنامج فيروسات بعدها بيحذف ملفات نظام التشغيل وبيكون لزم تفرمت الجهاز ..لكن بالساس ليمكنك الفيروس من تحميل البرامج ويمنع فتح بعضها ..مثل WinRARو .Realplayer
۞۞۞ 17
۞۞۞
zPharaoh.exe هذا الفيروس مشابه في كبر أضراره لفيروس Pagefileأيضا sظهر قريب ..تقريبا œنفس الوقت لكنه تميز بأنه ينسخ نفسه في كل مجلد في الجهاز بأسماء و أيقونات و أحجام مختلفة ..هذا بالضافة لنسخه نفسه في معظم البرامج ..وأكيد الجهاز لزم يتفرمت بعدها. للمعلومة أنا لم أصاب بهذا الفيروس لكنني أدخلت الهاردسك الخارجي Hard Diskفي جهاز مصاب مدة تقارب الربع ساعة وكان قد نسخ نفسه بأكثر من 600برنامج ..في الصورة بعض الشكال المختلفة التي ينتجها هذا الفيروس.
۞۞۞ 18
۞۞۞
Ctfmon.exe يخفي نفسه هذا الفيروس داخل مجلد بأيقونة سلة المحذوفات Recycledلكن ملف autorun.infيفضح موقعه كما بالصورة.
۞۞۞ 19
۞۞۞
طرق الوقاية والعلج
۞۞۞ 20
۞۞۞
طرق الوقاية أول œحدث برنامج الفيروسات أول œبأول لتقليل احتمال الصابة بالفيروسات ل يهم ماهو نوع البرنامج إذا لم يتم تحديثه دوريا.œ ثانيا œل تعتمد اعتمادا œكامل œعلى برنامج الفيروسات ..لنه إلى أن تكتشف شركة البرنامج المضاد للفيروسات الفيروس الجديد يكون هذا الفيروس أصاب اللف ..وقد تكون ل قدر ال منهم .. عشان كذا انتبه من البرامج والكراكات الغير مضمونة ول تتهاون فيها ..الملفات التي ترسل في المحادثات أو الجروبات على أساس إنها صورة أو فيديو ممكن تكون مدمج معها فيروسات ..وأهم نقطة ل تفتح الفلش ميموري Flash Diskبالنقر المزدوج أو بالنقر باليمين ثم المر فتح .. هذه الطريقتين تشغل الفيروس
الطريقة المنة والمجربة عند كثير من زملئي هي الدخول من مستكشف ويندوز )Windows .. (Explorerإما من أيقونة مجلدات ) (Foldersالتي في أعلى الصفحة حق جهاز الكمبيوتر أو من قائمة إبدأ ) ..(Startثم البرامج ) .. (Programsثم البرامج الملحقة )Programs .. (accessoriesثم مستكشف . (Windows Explorer) Windows
۞۞۞ 21
۞۞۞
أو من الشريط الموجود أعلى الصفحة المحتوي على القراص الصلبة.
ثالثا œعند توصيل الفلش ميموري Flash Diskلزم تستمر بالضغط على مفتاح Shiftإلى أن ينتهي التعرف على الفلش ..هذه الطريقة مهمة جدا œفي نظام Windows MEأما في نظام Windows XPفمن باب الحتياط ..لنه قد يدخل مباشرة للفلش بدون إظهار النافذة التالية و لحظوا في الصورة أن الفيروس هو التطبيق الول غير المعروف .
۞۞۞ 22
۞۞۞
۞۞۞
23 ۞۞۞
العلج الفيروسات اللي تنتشر زي الدودة مثل zPharaoh.exeو Pagefile.pifمالها علج غالبا œغير إنك تفحص الجهاز أول œببرنامج فيروسات محدث ..بعد الفحص النظام ما راح يقلع لنه ملفات النظام أيضا sأصيبت بالفيروس ..وثانيا sتحمل النظام من أول وجديد أو تعمل تهيئة )فورمات (Formatمن البداية ..وأهم نقطة تحذف كل البرامج اللي كانت على الجهاز ذلك الوقت أو تفحصها بعناية شديدة عشان ما يرجع لك الفيروس أو ينتقل لغيرك. أما الفيروسات العادية التي تنسخ نفسها على القراص الصلبة فقط فيمكن حذفها من كل القرص وتنتهي مشكلتها ..يمكن حذفها ببرنامج مثل anti_autorunأو مباشرة ببرنامج win rar تحذفها من كل قرص .. هناك فيروسات تنسخ نفسها على القراص الصلبة وأيضا sداخل مجلد System32عشان ما تقدر تحذفها لنها تعيد نسخ نفسها كلما حذفتها ..وعلجها أول œإنك تعرف اسم البرنامج المنسوخ داخل مجلد النظام System32مثل ما ذكرت في فيروس OSO.exeكان ينسخ severe.exeو tfidma.exeو tfidma.dllوكان يضع التطبيقين في قائمة بدء التشغيل و مثل NIDEIECT.comوهو منتشر كثيرا œوالذي ينسخ amvo.exeو amvo0.dllإلى مجلد النظام System32ويضع التطبيق amvo.exeفي قائمة بدء التشغيل ..وحذف هذا النوع بدون برنامج مضاد فيروسات يكون كالتالي: أول œتلغي الفيروس من بدء التشغيل ..تفتح قائمة أبدأ Start Menuثم المر تشغيل Runثم تكتب المر msconfigيظهر لك نافذة تختار التبويب بدء التشغيل Start upوتشيل علمة الصح من الفيروس ..راجع مثال NIDEIECT.comو amvo.exeبالعلى ...
۞۞۞ 24
۞۞۞
ثانيا œتعيد تشغيل الجهاز ثم تحذف الفيروس من جميع القراص الصلبة و تحذف amvo.exeو amvo0.dllمن C:\WINDOWS\system32لكن الفيروس مخفي لذلك لزم تحذفها كلها عن طريق استخدام برنامج win rarواستخدام أداة البحث التابعة للبرنامج ليجاد الفيروس. تبقى بعض آثار الفيروس مثل عدم ظهور الملفات المخفية وإدارة المهام وغيرها .. يمكنك إرجاعها ببرنامج مثل .. RRT Remove Restrictions Toolليوجد لدي رابط لكنه موجود بالمنتدى. )تمت إضافته و روابط أخرى بالجزء الثاني(
تم بحمد ال و شكره و توفيقه.
۞۞۞ 25
۞۞۞
أسئلة وإضافات العضاء
۞۞۞ 26
۞۞۞
أسئلة و إضافات كانت بموضوعي بالمنتدى أحببت إضافتها للفائدة. تم اختصارها لخذ الفائدة منها فقط مع جزيل الشكر لكل من سأل و أضاف للموضوع. مشاركة للخ الكريم Amer Asran تعليق بسيط وتصحيح لحد المعلومات Ctfmon.exeهذا ليس فيروس ولكنه تطبيق اساسي في اي نسخه ويندوز ووظيفته التحويل بين اللغات عن طريق الكيبورد. الرد : أنا ذكرت إنه Ctfmonمن ملفات النظام في شرحي لفيروس NIDEIECT.comوأشكرك لني لم أكن أعرف وظيفته ..وطبعا œملف النظام Ctfmonبيكون موجود بمجلد النظام System32لكن هذا الفيروس وجدته في CDو اكتشفه الكاسبر سكاي و الفيرا . مشاركة للخت الكريمة تيماء المتداد exeكثير بجهازي هل كلها فايروسات ؟؟؟؟ وكيف اتعامل معها؟ )تم التعديل على الصور لكبر حجم أبعادها(
۞۞۞ 27
۞۞۞
الرد : المتداد exeيعبر عن تطبيق يعمل بعد النقر عليه ..والمعنى إن الفيروس تطبيق مثله مثل أي برنامج آخر ..لكن الفرق في أهداف التطبيق ..الفيروس هدفه التخريب أو التجسس أما البرامج الخرى تجارية أو تعليمية ..إلخ ..يعني ليس كل ملف امتداده exeفيروس ولكن الفيروس ممكن يجي بهذا المتداد ..مثل المتداد scrهذا مخصص لشاشة التوقف لكن بعض الفيروسات تتنكر بصيغته ..الملفات التي أشرتي إليها موجودة بمجلد النظام Windowsهذه ملفات نظام التشغيل ويندوز ل يمكننا حذفها أو التعديل عليها وال بيخرب النظام ..مثل notepad.exeهذا برنامج المفكرة ..و regedit.exeهذا محرر التسجيل لويندوز المعروف بالريجيستري.. متى نشك بأن ملف معين فيروس؟ إذا كان الملف موجود على سطح جميع القراص الصلبة ,C,D,Eومعه ملف autorun.infإذا كان الفيروس فعل œبالجهاز ما راح نتمكن من رؤيته لذلك نفتح برنامج الضغط winrarلنه يعرض جميع الملفات حتى لو كانت مخفية ..ثم ندخل على جميع القراص إذا وجدنا ملف autorun.infنفتحه ..بيظهر لنا اسم الفيروس بداخله اللي غالبا œيكون امتداده exe,scr,com,bat,cmdوقتها ممكن نحذف الفيروس وإذا ما انحذف ممكن تراجعي الشرح في أول صفحة ..آخر جزء بالشرح .. المشكلة إن الفيروس ممكن يدمج نفسه بداخل برنامج عادي ..هنا ل يمكن كشفه إل ببرنامج مضاد للفيروسات .
۞۞۞ 28
۞۞۞
مشاركة للخ الكريم almhajar بالنسبة لفيروس zPharaoh.exeفهذا فيروس خطير ظننت أن ملفاتي كلها راح تندمر ..لكن بعد فحصه بالكاسبر الثامن ..قام بتطهير كل الملفات المصابة دون المساس بها او الضرر بها .. حتى رجعت ملفاتي كلها سليمة الستفادة : ليست جميع برامج الفيروسات تحذف البرامج الملوثة بالفيروسات ..يعني لو عندك برامج هامة حاول تعمل منها نسخ و نوع فحصها ببرامج الفيروسات ..يمكن أحدها يقدر ينظفها بدون الحذف الكامل . مشاركة للخ الكريم المسار انا مرت على اغلب هذه الفيروسات والشرح موفق 100/100لكن السؤال كيف يتم تفعيل الوتورن عند صنع الفيروس وانتشاره على الجهزة ؟ بمعنى لما تصنع الفايروس يكون بدون اوتورن كيف يتم تفعيل الوتورن ؟ الرد : أعتقد حسب التجربة إنه الفيروس بينشئ ملف الوتورن بنفسه كل ما تم تفعيله أو النقر المزدوج عليه يعني ملف الوتورن مجرد وسيلة لفتح الفيروس . مشاركة للخ الكريم mostafaseb لدى معلومة اود اضافتها اغلب المناطق فى الجهاز المصابة بالفيروسات تكون فى مجلدات ذكرت انت منها واحدة و هو Recycledو الثانى و ارجو النتباه اليه و هو ما بداخل مجلد System Volume Informationو هذا الملف يكون مخفيا و لظهاره نتبع التي : بداخل جهاز الكمبيوتر My computerتوجد قائمة علوية نختار منها أدوات toolsثم خيارات المجلد Folder Optionsثم عرض View سنجد الملفات و المجلدات المخفية hidden files and folders ضع علمة على أظهر الملفات المخفية و المجلدات Show hidden files and folders و اسفلها بقليل ستجد اخف ملفات نظام التشغيل المخفية )مستحسن( (Hide protected operating system files(recommended ازل العلمة من عليها سيظهر لك مربع تحذير اضغط ok ثم ok الن ادخل لل Cو ستجد الملف حاول ان تحذف ما به و هكذا ستجده فى بقية القراص ثالثا /لحظت مجلد بعنوان pchealthفى هذا المتداد C:\WINDOWS\pchealth به فيروسات ل يكتشفها و يزيل الفيرس سوى برنامج طرح من قبل فى المنتدى Smart cop ارجو التحقق من كلمى على انظمة . XP
۞۞۞ 29
۞۞۞
الرد : أشكرك على إضافتك الرائعة للموضوع .. فعل œالفيروسات تنسخ نفسها في مجلد النظام System Volume Information لكنها ما كانت تتفعل من هذا المكان ..احتمال تتفعل مع استعادة النظام System Restore بالنسبة لـ pchealthما كنت أدري إن الفيروسات تنسخ فيه لزم آخذ حذري من هذا المجلد أيضا. œ مشاركة للخت الكريمة نورعبدالمعز يعني ايه برنامج win rarاللي اعرفه انه برنامج ضغط يا ريت تشرح ازاي بيشيل الفيروسات وخاصة فيروس .new folder الرد : فعل œبرنامج win rarحق ضغط الملفات لكن فيه ميزة وهي انه يعمل مثل المستكشف ..يظهر الملفات المخفية و ملفات النظام حتى لو كان عندك فيروس يمنع ظهورها ..هذا يفيد لو كان الفيروس مثل Åمثل new folderأيقونته شكلها مجلد و هذا اللي يخدعنا فيه ..لما تفتح win rar و تشوف هذا الفيروس أول œبتظهر أيقونته أيقونة تطبيق و ليس مجلد ..ثانيا œبيظهر امتداده exe و المجلد طبعا œبدون امتداد ..يعني إذا شكيت في ملف و تأكدت من امتداده exe,com,bat,scr فهذا بيعطي احتمال كونه فيروس خاصة لو كان اسمه و شكل ايقونته مشبوهان .. فيروس مثل new folderبيكرر نفسه في كل مجلد بنفس اسم المجلد ..يعني لو عملنا بحث و يفضل البحث من داخل win rarلجميع الملفات بنلحظ إن ملفات كثيرة بتظهر بنفس الحجم و أسماء مختلفة ..حجم الفيروس بالكيلو بايت موضح في الصفحة الولى للشرح .. مشاركة للخ الكريم محمد المريش عند الفحص بالكاسبر سكاي أجد هناك بعض ملفات البرامج ليستطيع النفاذ اليها ) لتÅفتح له( فهل هذا طبيعي أو انها تحتوي على فيروسات . الرد : برامج الفيروسات عموما œل تستطيع الدخول على الملفات المشفرة مثل الملفات المضغوطة المحمية بكلمة سر ..وهذه الطريقة هي اللي أحفظ بها الفيروسات على الجهاز عشان ما يكتشفها برنامج الحماية ..يعني ممكن البرامج اللي ما يقدر الكاسبر يدخلها مشفرة ..وال أعلم .
۞۞۞ 30
۞۞۞
خاتمــــة
۞۞۞ 31
۞۞۞
خاتمة الموضوع هذا الجهد المتواضع و المليء بالقصور إهداء لكل المسلمين ..أتمنى يفيدكم و يعينكم بعد ال على التخلص من الفيروسات و فهم آليات عملها . ما هو واجبك تجاه الموضوع الموضوع كتب للفائدة العامة ..و كنت أتمنى نشره و توزيعه بصورة كبيرة ..لكني لسف لم أتمكن من ذلك .. لذلك واجبك أخي الكريم أختي الكريمة أن توزعوه لمن يحتاجه ..لنه من نشر العلم و كتمه إثم و مضرة عامة ..حيث أن هدف الموضوع هو حماية أجهزتنا من الفيروسات . و طلب صغير وهو عند ال كبير ..دعاء بظهر الغيب لكاتب الموضوع ..يعلم ال كم أخذ هذا الموضوع من وقتي و كم بذلت في ترتيبه و تنسيقه و تصميمه ليصاله لكم بهذه الصورة المتواضعة .. فل تحرموني من دعائكم الطيب بظهر الغيب و والدي و أهلي و أقاربي و المسلمين بالمغفرة و الهداية و الرحمة و الرزق الحلل المبارك و دعاء خاص لوالدتي بالشفاء العاجل ..و أسأل ال العظيم الكريم لكم أضعاف ذلك . للتواصل لمن يريد التواصل معي يمكنه مراسلتي على هذا اليميل ..لكني ل أعدكم بشيء لني مشغول جداœ هذه الفترة من حياتي .. [email protected]
بارك ال فيكم و وفقكم لما يحبه و يرضاه .
۞۞۞ 32
۞۞۞
نصيحة بعنوان )ل تنس(s نصيحة بعنوان ل تنس) sتكتب بدون ى( لكل الخوة والخوات المسلمين والمسلمات .. أرجو أن تدخل قلوبكم وعقولكم . ل تنس sبر والديك و اعطف عليهما واخفض جناحك لهما ..فهو واجب عليك وهو أقل ما يستحقون تجاه تعبهم عليك في صغرك )حتى ولو صدر تقصير منهم( فعظيم حقهم عليك أكبر من حقير حقك عليهم ل تنس sسهرهم عليك في مرضك و تعبهم و اجتهادهم لتوفير ما يرضيك و يريحك ل تنس sأنك أملهم وحلمهم في تحقيق ما عجزوا عنه ..فل تكن خيبة أمل لهم ل تنس برهم بعد مماتهم بالدعاء والستغفار لهم وبر صديقهم ل تنس sواجباتك الدينية وأهمها الصلة والزكاة والصوم وجميع الفرائض ل تنس sقدرة ال عليك وعظم عذابه ونقمته كما ل تنس sسعة رحمته وكريم عفوه ل تنس sذكر ال تعالى في كل وقت وحين والصلة والسلم على رسوله الكريم محمÈÈد صÈÈل ال عليÈÈه وآله وصحبه وسلم ل تنس sعذاب النار لتترك حب الدنيا والمعاصي و ل تنس sنعيم الجنة لتقبل على الخرة والطاعات ل تنس sأن باب التوبة مفتوح لك إل إذا حان أجلك أو قامت الساعة ..فبادر إلى التوبة ل تنس sالفقير المعدم من الزكاة والصدقة والدعاء والوجه البشوش ل تنس sالمريض العاجز من العيادة والزيارة والتفÈÈاؤل أمÈÈامه بالشÈÈفاء العاجÈÈل ول تقنطÈÈه مÈÈن رحمÈÈة ال ..و ل تنس sالمريض الفقير بالمساعدة بعلجه ل تنس sجارك من السؤال عن حاله ومساعدته والتبسم له ل تنس sإبداء النصيحة بالسلوب الحسن والكلمة الطيبة فتكون لينا œفي أمرك بالمعروف ونهيك عÈÈن المنكر وتذكر بأن حسن تعاملك قد يهدي المخطئ للصواب وأن غلظتك عليه قد تزيده ضللœ ل تنس sأن كتم العلم فيه إثم كبير ..فل تبخل على إخوانك بما فتح ال عليك ل تنس sالصبر والحلم على من أخطأ بحقك واعتدى عليك ل تنس sخفض جناحك و تلطفك مع من هم دونÈÈك ..أهلÈÈك وعاملÈك وخادمتÈÈك وغيرهÈÈم ..وتÈÈذكر بÈÈأن الراحمون هم من يرحمهم الرحمن وليس قساة القلب الظالمين ل تنس sأن طهارة القلب أهم من كثرة العمل الصالح ..فكم من حسنات تكسبها يضÈÈيعها فسÈÈاد القلÈÈب بالتكبر على العباد أو الحقد أو الحسد أو الغيبة أو غيرها من أمراض القلوب ل تنس sأن الكبرياء ل وحده فقط ..وأنك ضعيف قليل الحلية ..وأن من أعطاك قادر على حرمانك ل تنس sإخوانك المجاهدين في كل مكان ..في فلسطين والعراق وأفغانستان وكل مكان ل تنس sمساعدتهم ليس فقط بالمال ولكن بالدعاء الصادق المخلص فيه ل تنس sأن تحمد ال تعالى وتشكره دائما œعلÈى نعمÈÈه العظÈÈام وأهمهÈا أن أكرمÈÈك بالسÈÈلم ..ول تقÈÈدم عليه فخرا œأنك من قبيلة أو دولة فكلها إذا لم تكن مسلما œل تنفعك بشيء يوم الحساب ل تنس sأن الدعاء بظهر الغيب لخيك المسلم يرجع عليك وعليه بالفائدة ..فل تحرم نفسك منه . اللهم اغفر للمسلمين والمسلمات والمؤمنين والمؤمنات الحياء منهم والموات اللهم صل وسلم وبارك وأكرم وأنعم على عبدك وحبيبك ورسولك سيدنا محمد النبي المي وعلى آله وصحبه والتابعين لهم بإحسان إلى يوم الدين سبحان ربك رب العزة عما يصفون وسلم على المرسلين والحمد ل رب العالمين
۞۞۞ 33
۞۞۞
صدق الله العظيم
۞۞۞ 2
۞۞۞
إهداء إلى الغاليين والداي وإخوتي إلى جميع المسلمين في كل مكان و زمان إلى كل طالب معرفة في هذا المجال الحاسوبي الواسع أهدي هذا الجهد المتواضع
۞۞۞ 3
۞۞۞
الفهرس الموضوع نبذة عن كاتب الموضوع ............................................................................................ المقدمة أسباب الصابة ........................................................................................................ صور للفيروسات ..................................................................................................... كيف يتم تفعيل الفيروس؟ ........................................................................................... المشاكل التي تحدثها الفيروسات؟ ................................................................................. كيف أعرف إن الجهاز مصاب؟ .................................................................................... التجارب الشخصية ............................................................................................................ OSO.exe ................................................................................................ New Folder.exe ............................................................................................... NIDEIECT.com ...................................................................................................... Sservice.exe ....................................................................................................... Pagefile.pif .................................................................................................... zPharaoh.exe ....................................................................................................... Ctfmon.exe طرق الوقاية والعلج طرق الوقاية ........................................................................................................... العلج ................................................................................................................... أسئلة وإضافات العضاء أسئلة و إضافات العضاء بموضوعي بالمنتدى ................................................................ خاتمة ما هو واجبك تجاه الموضوع ....................................................................................... طلب صغير ............................................................................................................. نصيحة بعنوان )ل تنس............................................................................................ (s
۞۞۞ 4
۞۞۞
رقم الصفحة 5 7 8 11 11 12 14 15 15 17 17 18 19 21 24 27 32 32 33
نبذة عن كاتب الموضوع الســـــــــــــــــــــم :فهد سعيد حيمد مقرم تاريــــخ المـــــيلد 1983 -07 -27 : الديانـــــــــــــــــــة :مسلم ل الحمد و المنة الجنسيــــــــــــــــة :يمني من منطقة حضرموت شبام -قرية الحزم و أعيش بالسعودية -جدة الدرجة العلميـــــة :بكالريوس في علوم الحاسوب من جامعة حضرموت للعلوم و التكنولوجيا الهوايــــــــــــــات :كل ما يتعلق بالحاسوب من برامج و حماية و تصميم و غيره الحالة الجتماعية :عازب ربنا ييسر بنت الحلل الوظيفــــــــــــــــة :بالنتظار أسأل ال الرزق الحلل اسمي بالمنتــــدى MaskFD : البريد اللكترونـي [email protected] :
۞۞۞ 5
۞۞۞
المقدمة
۞۞۞ 6
۞۞۞
بسم ال الرحن الرحيم
المد ل ..والصلة والسلم على خي خلق ال ..وعلى آله وصحبه ومن تبع هداه قبل البداية في الموضوع هذا الموضوع كتبته بمنتدى المشاغب بتاريخ ) (2008-11-29و قمت هنا بتحويله لكتاب بصيغة PDFبتاريخ ) (2009-08-09للنشر و التوزيع للفائدة العامة ..و أعتذر منكم على القصور في ترتيبه و تنسيقه لضيق وقتي ..أرجو لكم الفائدة و المتعة .. بعض الملحظات قبل بداية الشرح أرجو قراءتها -1هذا الموضوع كتب لمعرفة طرق الوقاية والعلج من الصابة بالفيروسات ..لذلك ل يسمح باستخدامه للضرار بأجهزة الخرين. -2المعلومات المذكورة بالدرس هي مجرد اجتهاداتي الشخصية ..يعني تقبل الخطأ والصواب و المناقشة ..لذلك أنا غير مسؤول عن أي أضرار تنتج عنها )رغم عدم وجود الضرار لكن للحتياط(. المقدمة ل يكاد أحد يسلم هذه اليام من الفيروسات ..صارت زي التحلية مع الكمبيوتر ..يكتشفوا واحد يطلع ألف ..وكل فترة يتفرمت الجهاز وتعيد تحميل البرامج وتفقد بيانات هامة بسببها ..في هذا الدرس كتبت تجاربي الشخصية معاها وبعض من أسباب الصابة وطرق الوقاية والعلج اللي أعرفها. أسباب الصابة معظمها يجي من اليميل أو الفلش ميموري Flash Diskو البرامج والكراكات غير موثوقة .. لكنها غالبا œل يتم تفعيلها إل إذا نقرت عليها نقرا œمزدوجا œلنها برامج تنفيذية ..فيه أنواع تعمل بدون نقر أعتقد يسموها برامج سكربت Script Programsل أعرف عنها الكثير وأعتقد إلغاء خاصية Scriptمن الجهاز يمنع عملها لكنها ليست موضوعي .. أول شيء هذه بعض المثلة لشكال الفيروسات:
۞۞۞ 7
۞۞۞
صور للفيروسات
۞۞۞ 8
۞۞۞
۞۞۞
9 ۞۞۞
لحظوا إن امتداد الفيروس غالبا œيكون exe,cmd,scr,com,batأما المتدادان log & dll فالفيروس بداخلهم ول ينفذ مباشرة . حجم الفيروس غالبا œصغير بالكيلو بايت. معظمها مخفية ول يمكن جعلها مظهرة لن خاصية الخفاء ملغية كما بالصورة:
۞۞۞ 10
۞۞۞
إذا كانت ظاهرة تكون بأشكال متعددة مثل شكل المجلد أو المفكرة أو برنامج عشان تغلط وتنقر عليها ويشتغل الفيروس )توجد أمثلة كثيرة لشكالها المتعددة في شرح فيروس .(zPharaoh السؤال هنا كيف يتم تفعيل الفيروس؟ عادة مع الفيروس يجي ملف أوتورن -بمعنى تشغيل تلقائي autorun.inf -ينسخ على سطح الفلش ميموري Flash Diskأو الهاردسك .. Hard Diskهذا الملف يستخدم في السيديات CD Autorunلتشغيل تطبيق معين له واجهات أو عرض ما ..لكنه يوضع مع الفيروس لكي يتم تشغيله بواسطته. المشاكل التي تحدثها الفيروسات؟ إخفاء المجلدات والملفات المخفية ومنع الوصول لخيارات المجلد Folder optionsوإدارة المهام Task Managerومحرر تسجيل ويندوز Windows Registryواستهلك موارد الجهاز الذي يؤدي إلى بطء الجهاز الملحوظ. تكمن الخطورة إذا كان الفيروس من النوع الذي ينتشر في الجهاز ويصيب كل برنامج وتطبيق وصفحات النترنت وملفات النظام.
۞۞۞ 11
۞۞۞
كيف أعرف إن الجهاز مصاب؟ غالبا œالفيروس ينسخ نفسه وملف الوتورن على كل القراص الصلبة ..لكن إذا أصابك لن تستطيع الوصول لخيارات المجلد لظهار الملفات المخفية و أيضا œإظهار ملفات النظام لن الفيروس يعتبر كملف نظام و ل أدري كيف يتم تحويله بهذه الطريقة ..عشان كذا لزم يكون عندك برنامج الضغط الوينرار WIN RARممكن تستغرب أيش دخله بالموضوع؟! هذا البرنامج يظهر جميع الملفات المخفية دائما œمن داخله و ل يتأثر غالبا œبالفيروسات ..يعني تروح للقرص الصلب من داخل البرنامج وتشوف إذا حصلت ملف autorun.infومعه تطبيق غريب أول شيء تفتح autorun.infل يضر فتحه لنه زي المفكرة ..إذا كان بداخله اسم التطبيق معناه إنه فيروس مثل الصيغة التالية:
۞۞۞ 12
۞۞۞
التجارب الشخصية مع الفيروسات
۞۞۞ 13
۞۞۞
هنا أشرح بعض الفيروسات التي أصابت جهازي أو أجهزة زملئي والملحظات عليها: OSO.exe هذا الفيروس جاء على شكل مفكرة بحجم KB 95ومرة أخرى بحجم .. KB 48مع هذا الحجم البسيط اعتقدت إنه فعل œملف مفكرة لكن لما فتحته لم يفتح شيء وهنا عرفت إنه فيروس خاصة بعد ظهور اسم تطبيق غريب في إدارة المهام . Task Manager
ينسخ هذا الفيروس نفسه بأسماء مختلفة لها نفس الحجم هي: severe.exeو tfidma.exeو .. tfidma.dllملف النظام الخير حجمه KB 38في مجلد النظام Systemبالنسبة لنظام Windows MEو مجلد System32بالنسبة لنظام .. Windows XPالنوع الثاني اللي حجمه KB 48ضرره أقل ول ينسخ نفسه في مجلد النظام.
ثم يعمل مع بدأ التشغيل عشان ما تقدر تحذفه بشكل مباشر لو قدرت تشوفه.
۞۞۞ 14
۞۞۞
New Folder.exe هذا فيروس قديم معروف أيضا œباسم مجلد جديد بس للي ما يعرفه ..طريقة عمله هي إنه يعمل داخل كل مجلد نسخه منه لها نفس اسم المجلد وكلها بحجم الفيروس الصلي ..لحظوا أن المتداد تنفيذي EXEلكن هذا المتداد ل يظهر إل إذا أظهرنا امتداد الملفات من خيارات المجلد.
NIDEIECT.com وهذا الفيروس له أنواع كثيرة يتغير فيها السم قليل œوأنواع أخرى مختلفة في السم لكن جميعها لها نفس العمل كما في الصورة.
هذا الفيروس مشابه لـ OSO.exeفي ناحية انك ما تقدر تحذفه مباشرة لنه يرجع مرة ثانية في جميع القراص لنه ينسخ amvo.exeو amvo0.dllإلى مجلد النظام System32وثم يضعهم في قائمة بدء التشغيل.
۞۞۞ 15
۞۞۞
اسم هذا الفيروس يشبه اسم ملف النظام الموجود على قرص Cوهو NTDETECT.COM لذلك أرجو الحذر من الخلط بينهما ..عندي زميل اعتقد إنه فيروس فحذفه فاضطر يفرمت الجهاز لذلك لزم تتأكد من اسم الفيروس في ملف autorun.infعشان تحذفه.
۞۞۞ 16
۞۞۞
الفيروسات أحيانا œتأخذ أسماء ملفات نظام مثل NTDETECTو CTFMONو SMSSو SCVHOSTو CSRSSلذلك يجب الحذر عند حذفها ..والفضل تغيير امتداد الملف المشكوك فيه إلى امتداد غير تنفيذي عشان في حالة حصلت مشكلة بسببه تقدر ترجع الملف عن طريق نظام تشغيل يقلع من السيدي مباشرة مثل .Windows Pre-installation Environment Sservice.exe ينسخ نفسه في مجلد النظام Systemبثلث أسماء هي fservice.exeو services.exeو lncom.exeلكن الحجم وشكل اليقونة هو المشترك بينهم ..عمل بطء وأضاف قيم في الملف win.iniتخليه يعمل بنسخ كثيرة في الذاكرة هذا في نظام . Windows ME
Pagefile.pif هذا الفيروس الصيني المعروف اللي سوى بلوي للناس قبل فترة ..يمكن 8أشهر ..أصاب الجهاز عندي بسبب غلطة ..دخلت القرص بالنقر بالزر اليمن ثم المر فتح وهذا شغل الفيروس .. وتسبب بحذف أكثر من 8500برنامج وصفحة انترنت من جهازي خلل يومين فقط من إصابته للجهاز .يشبه ملف الدوس في اليقونة ول يخفي عرض الملفات المخفية عندما يتم تفعيله ..لذلك لم أكتشفه بسرعة ..فقط يخفي إظهار ملفات النظام و بعدها يبدأ من قرص Cإلى آخر قرص بنسخ نفسه في كل برنامج و صفحة انترنت ..وأكيد إذا استخدمت برنامج فيروسات بعدها بيحذف ملفات نظام التشغيل وبيكون لزم تفرمت الجهاز ..لكن بالساس ليمكنك الفيروس من تحميل البرامج ويمنع فتح بعضها ..مثل WinRARو .Realplayer
۞۞۞ 17
۞۞۞
zPharaoh.exe هذا الفيروس مشابه في كبر أضراره لفيروس Pagefileأيضا sظهر قريب ..تقريبا œنفس الوقت لكنه تميز بأنه ينسخ نفسه في كل مجلد في الجهاز بأسماء و أيقونات و أحجام مختلفة ..هذا بالضافة لنسخه نفسه في معظم البرامج ..وأكيد الجهاز لزم يتفرمت بعدها. للمعلومة أنا لم أصاب بهذا الفيروس لكنني أدخلت الهاردسك الخارجي Hard Diskفي جهاز مصاب مدة تقارب الربع ساعة وكان قد نسخ نفسه بأكثر من 600برنامج ..في الصورة بعض الشكال المختلفة التي ينتجها هذا الفيروس.
۞۞۞ 18
۞۞۞
Ctfmon.exe يخفي نفسه هذا الفيروس داخل مجلد بأيقونة سلة المحذوفات Recycledلكن ملف autorun.infيفضح موقعه كما بالصورة.
۞۞۞ 19
۞۞۞
طرق الوقاية والعلج
۞۞۞ 20
۞۞۞
طرق الوقاية أول œحدث برنامج الفيروسات أول œبأول لتقليل احتمال الصابة بالفيروسات ل يهم ماهو نوع البرنامج إذا لم يتم تحديثه دوريا.œ ثانيا œل تعتمد اعتمادا œكامل œعلى برنامج الفيروسات ..لنه إلى أن تكتشف شركة البرنامج المضاد للفيروسات الفيروس الجديد يكون هذا الفيروس أصاب اللف ..وقد تكون ل قدر ال منهم .. عشان كذا انتبه من البرامج والكراكات الغير مضمونة ول تتهاون فيها ..الملفات التي ترسل في المحادثات أو الجروبات على أساس إنها صورة أو فيديو ممكن تكون مدمج معها فيروسات ..وأهم نقطة ل تفتح الفلش ميموري Flash Diskبالنقر المزدوج أو بالنقر باليمين ثم المر فتح .. هذه الطريقتين تشغل الفيروس
الطريقة المنة والمجربة عند كثير من زملئي هي الدخول من مستكشف ويندوز )Windows .. (Explorerإما من أيقونة مجلدات ) (Foldersالتي في أعلى الصفحة حق جهاز الكمبيوتر أو من قائمة إبدأ ) ..(Startثم البرامج ) .. (Programsثم البرامج الملحقة )Programs .. (accessoriesثم مستكشف . (Windows Explorer) Windows
۞۞۞ 21
۞۞۞
أو من الشريط الموجود أعلى الصفحة المحتوي على القراص الصلبة.
ثالثا œعند توصيل الفلش ميموري Flash Diskلزم تستمر بالضغط على مفتاح Shiftإلى أن ينتهي التعرف على الفلش ..هذه الطريقة مهمة جدا œفي نظام Windows MEأما في نظام Windows XPفمن باب الحتياط ..لنه قد يدخل مباشرة للفلش بدون إظهار النافذة التالية و لحظوا في الصورة أن الفيروس هو التطبيق الول غير المعروف .
۞۞۞ 22
۞۞۞
۞۞۞
23 ۞۞۞
العلج الفيروسات اللي تنتشر زي الدودة مثل zPharaoh.exeو Pagefile.pifمالها علج غالبا œغير إنك تفحص الجهاز أول œببرنامج فيروسات محدث ..بعد الفحص النظام ما راح يقلع لنه ملفات النظام أيضا sأصيبت بالفيروس ..وثانيا sتحمل النظام من أول وجديد أو تعمل تهيئة )فورمات (Formatمن البداية ..وأهم نقطة تحذف كل البرامج اللي كانت على الجهاز ذلك الوقت أو تفحصها بعناية شديدة عشان ما يرجع لك الفيروس أو ينتقل لغيرك. أما الفيروسات العادية التي تنسخ نفسها على القراص الصلبة فقط فيمكن حذفها من كل القرص وتنتهي مشكلتها ..يمكن حذفها ببرنامج مثل anti_autorunأو مباشرة ببرنامج win rar تحذفها من كل قرص .. هناك فيروسات تنسخ نفسها على القراص الصلبة وأيضا sداخل مجلد System32عشان ما تقدر تحذفها لنها تعيد نسخ نفسها كلما حذفتها ..وعلجها أول œإنك تعرف اسم البرنامج المنسوخ داخل مجلد النظام System32مثل ما ذكرت في فيروس OSO.exeكان ينسخ severe.exeو tfidma.exeو tfidma.dllوكان يضع التطبيقين في قائمة بدء التشغيل و مثل NIDEIECT.comوهو منتشر كثيرا œوالذي ينسخ amvo.exeو amvo0.dllإلى مجلد النظام System32ويضع التطبيق amvo.exeفي قائمة بدء التشغيل ..وحذف هذا النوع بدون برنامج مضاد فيروسات يكون كالتالي: أول œتلغي الفيروس من بدء التشغيل ..تفتح قائمة أبدأ Start Menuثم المر تشغيل Runثم تكتب المر msconfigيظهر لك نافذة تختار التبويب بدء التشغيل Start upوتشيل علمة الصح من الفيروس ..راجع مثال NIDEIECT.comو amvo.exeبالعلى ...
۞۞۞ 24
۞۞۞
ثانيا œتعيد تشغيل الجهاز ثم تحذف الفيروس من جميع القراص الصلبة و تحذف amvo.exeو amvo0.dllمن C:\WINDOWS\system32لكن الفيروس مخفي لذلك لزم تحذفها كلها عن طريق استخدام برنامج win rarواستخدام أداة البحث التابعة للبرنامج ليجاد الفيروس. تبقى بعض آثار الفيروس مثل عدم ظهور الملفات المخفية وإدارة المهام وغيرها .. يمكنك إرجاعها ببرنامج مثل .. RRT Remove Restrictions Toolليوجد لدي رابط لكنه موجود بالمنتدى. )تمت إضافته و روابط أخرى بالجزء الثاني(
تم بحمد ال و شكره و توفيقه.
۞۞۞ 25
۞۞۞
أسئلة وإضافات العضاء
۞۞۞ 26
۞۞۞
أسئلة و إضافات كانت بموضوعي بالمنتدى أحببت إضافتها للفائدة. تم اختصارها لخذ الفائدة منها فقط مع جزيل الشكر لكل من سأل و أضاف للموضوع. مشاركة للخ الكريم Amer Asran تعليق بسيط وتصحيح لحد المعلومات Ctfmon.exeهذا ليس فيروس ولكنه تطبيق اساسي في اي نسخه ويندوز ووظيفته التحويل بين اللغات عن طريق الكيبورد. الرد : أنا ذكرت إنه Ctfmonمن ملفات النظام في شرحي لفيروس NIDEIECT.comوأشكرك لني لم أكن أعرف وظيفته ..وطبعا œملف النظام Ctfmonبيكون موجود بمجلد النظام System32لكن هذا الفيروس وجدته في CDو اكتشفه الكاسبر سكاي و الفيرا . مشاركة للخت الكريمة تيماء المتداد exeكثير بجهازي هل كلها فايروسات ؟؟؟؟ وكيف اتعامل معها؟ )تم التعديل على الصور لكبر حجم أبعادها(
۞۞۞ 27
۞۞۞
الرد : المتداد exeيعبر عن تطبيق يعمل بعد النقر عليه ..والمعنى إن الفيروس تطبيق مثله مثل أي برنامج آخر ..لكن الفرق في أهداف التطبيق ..الفيروس هدفه التخريب أو التجسس أما البرامج الخرى تجارية أو تعليمية ..إلخ ..يعني ليس كل ملف امتداده exeفيروس ولكن الفيروس ممكن يجي بهذا المتداد ..مثل المتداد scrهذا مخصص لشاشة التوقف لكن بعض الفيروسات تتنكر بصيغته ..الملفات التي أشرتي إليها موجودة بمجلد النظام Windowsهذه ملفات نظام التشغيل ويندوز ل يمكننا حذفها أو التعديل عليها وال بيخرب النظام ..مثل notepad.exeهذا برنامج المفكرة ..و regedit.exeهذا محرر التسجيل لويندوز المعروف بالريجيستري.. متى نشك بأن ملف معين فيروس؟ إذا كان الملف موجود على سطح جميع القراص الصلبة ,C,D,Eومعه ملف autorun.infإذا كان الفيروس فعل œبالجهاز ما راح نتمكن من رؤيته لذلك نفتح برنامج الضغط winrarلنه يعرض جميع الملفات حتى لو كانت مخفية ..ثم ندخل على جميع القراص إذا وجدنا ملف autorun.infنفتحه ..بيظهر لنا اسم الفيروس بداخله اللي غالبا œيكون امتداده exe,scr,com,bat,cmdوقتها ممكن نحذف الفيروس وإذا ما انحذف ممكن تراجعي الشرح في أول صفحة ..آخر جزء بالشرح .. المشكلة إن الفيروس ممكن يدمج نفسه بداخل برنامج عادي ..هنا ل يمكن كشفه إل ببرنامج مضاد للفيروسات .
۞۞۞ 28
۞۞۞
مشاركة للخ الكريم almhajar بالنسبة لفيروس zPharaoh.exeفهذا فيروس خطير ظننت أن ملفاتي كلها راح تندمر ..لكن بعد فحصه بالكاسبر الثامن ..قام بتطهير كل الملفات المصابة دون المساس بها او الضرر بها .. حتى رجعت ملفاتي كلها سليمة الستفادة : ليست جميع برامج الفيروسات تحذف البرامج الملوثة بالفيروسات ..يعني لو عندك برامج هامة حاول تعمل منها نسخ و نوع فحصها ببرامج الفيروسات ..يمكن أحدها يقدر ينظفها بدون الحذف الكامل . مشاركة للخ الكريم المسار انا مرت على اغلب هذه الفيروسات والشرح موفق 100/100لكن السؤال كيف يتم تفعيل الوتورن عند صنع الفيروس وانتشاره على الجهزة ؟ بمعنى لما تصنع الفايروس يكون بدون اوتورن كيف يتم تفعيل الوتورن ؟ الرد : أعتقد حسب التجربة إنه الفيروس بينشئ ملف الوتورن بنفسه كل ما تم تفعيله أو النقر المزدوج عليه يعني ملف الوتورن مجرد وسيلة لفتح الفيروس . مشاركة للخ الكريم mostafaseb لدى معلومة اود اضافتها اغلب المناطق فى الجهاز المصابة بالفيروسات تكون فى مجلدات ذكرت انت منها واحدة و هو Recycledو الثانى و ارجو النتباه اليه و هو ما بداخل مجلد System Volume Informationو هذا الملف يكون مخفيا و لظهاره نتبع التي : بداخل جهاز الكمبيوتر My computerتوجد قائمة علوية نختار منها أدوات toolsثم خيارات المجلد Folder Optionsثم عرض View سنجد الملفات و المجلدات المخفية hidden files and folders ضع علمة على أظهر الملفات المخفية و المجلدات Show hidden files and folders و اسفلها بقليل ستجد اخف ملفات نظام التشغيل المخفية )مستحسن( (Hide protected operating system files(recommended ازل العلمة من عليها سيظهر لك مربع تحذير اضغط ok ثم ok الن ادخل لل Cو ستجد الملف حاول ان تحذف ما به و هكذا ستجده فى بقية القراص ثالثا /لحظت مجلد بعنوان pchealthفى هذا المتداد C:\WINDOWS\pchealth به فيروسات ل يكتشفها و يزيل الفيرس سوى برنامج طرح من قبل فى المنتدى Smart cop ارجو التحقق من كلمى على انظمة . XP
۞۞۞ 29
۞۞۞
الرد : أشكرك على إضافتك الرائعة للموضوع .. فعل œالفيروسات تنسخ نفسها في مجلد النظام System Volume Information لكنها ما كانت تتفعل من هذا المكان ..احتمال تتفعل مع استعادة النظام System Restore بالنسبة لـ pchealthما كنت أدري إن الفيروسات تنسخ فيه لزم آخذ حذري من هذا المجلد أيضا. œ مشاركة للخت الكريمة نورعبدالمعز يعني ايه برنامج win rarاللي اعرفه انه برنامج ضغط يا ريت تشرح ازاي بيشيل الفيروسات وخاصة فيروس .new folder الرد : فعل œبرنامج win rarحق ضغط الملفات لكن فيه ميزة وهي انه يعمل مثل المستكشف ..يظهر الملفات المخفية و ملفات النظام حتى لو كان عندك فيروس يمنع ظهورها ..هذا يفيد لو كان الفيروس مثل Åمثل new folderأيقونته شكلها مجلد و هذا اللي يخدعنا فيه ..لما تفتح win rar و تشوف هذا الفيروس أول œبتظهر أيقونته أيقونة تطبيق و ليس مجلد ..ثانيا œبيظهر امتداده exe و المجلد طبعا œبدون امتداد ..يعني إذا شكيت في ملف و تأكدت من امتداده exe,com,bat,scr فهذا بيعطي احتمال كونه فيروس خاصة لو كان اسمه و شكل ايقونته مشبوهان .. فيروس مثل new folderبيكرر نفسه في كل مجلد بنفس اسم المجلد ..يعني لو عملنا بحث و يفضل البحث من داخل win rarلجميع الملفات بنلحظ إن ملفات كثيرة بتظهر بنفس الحجم و أسماء مختلفة ..حجم الفيروس بالكيلو بايت موضح في الصفحة الولى للشرح .. مشاركة للخ الكريم محمد المريش عند الفحص بالكاسبر سكاي أجد هناك بعض ملفات البرامج ليستطيع النفاذ اليها ) لتÅفتح له( فهل هذا طبيعي أو انها تحتوي على فيروسات . الرد : برامج الفيروسات عموما œل تستطيع الدخول على الملفات المشفرة مثل الملفات المضغوطة المحمية بكلمة سر ..وهذه الطريقة هي اللي أحفظ بها الفيروسات على الجهاز عشان ما يكتشفها برنامج الحماية ..يعني ممكن البرامج اللي ما يقدر الكاسبر يدخلها مشفرة ..وال أعلم .
۞۞۞ 30
۞۞۞
خاتمــــة
۞۞۞ 31
۞۞۞
خاتمة الموضوع هذا الجهد المتواضع و المليء بالقصور إهداء لكل المسلمين ..أتمنى يفيدكم و يعينكم بعد ال على التخلص من الفيروسات و فهم آليات عملها . ما هو واجبك تجاه الموضوع الموضوع كتب للفائدة العامة ..و كنت أتمنى نشره و توزيعه بصورة كبيرة ..لكني لسف لم أتمكن من ذلك .. لذلك واجبك أخي الكريم أختي الكريمة أن توزعوه لمن يحتاجه ..لنه من نشر العلم و كتمه إثم و مضرة عامة ..حيث أن هدف الموضوع هو حماية أجهزتنا من الفيروسات . و طلب صغير وهو عند ال كبير ..دعاء بظهر الغيب لكاتب الموضوع ..يعلم ال كم أخذ هذا الموضوع من وقتي و كم بذلت في ترتيبه و تنسيقه و تصميمه ليصاله لكم بهذه الصورة المتواضعة .. فل تحرموني من دعائكم الطيب بظهر الغيب و والدي و أهلي و أقاربي و المسلمين بالمغفرة و الهداية و الرحمة و الرزق الحلل المبارك و دعاء خاص لوالدتي بالشفاء العاجل ..و أسأل ال العظيم الكريم لكم أضعاف ذلك . للتواصل لمن يريد التواصل معي يمكنه مراسلتي على هذا اليميل ..لكني ل أعدكم بشيء لني مشغول جداœ هذه الفترة من حياتي .. [email protected]
بارك ال فيكم و وفقكم لما يحبه و يرضاه .
۞۞۞ 32
۞۞۞
نصيحة بعنوان )ل تنس(s نصيحة بعنوان ل تنس) sتكتب بدون ى( لكل الخوة والخوات المسلمين والمسلمات .. أرجو أن تدخل قلوبكم وعقولكم . ل تنس sبر والديك و اعطف عليهما واخفض جناحك لهما ..فهو واجب عليك وهو أقل ما يستحقون تجاه تعبهم عليك في صغرك )حتى ولو صدر تقصير منهم( فعظيم حقهم عليك أكبر من حقير حقك عليهم ل تنس sسهرهم عليك في مرضك و تعبهم و اجتهادهم لتوفير ما يرضيك و يريحك ل تنس sأنك أملهم وحلمهم في تحقيق ما عجزوا عنه ..فل تكن خيبة أمل لهم ل تنس برهم بعد مماتهم بالدعاء والستغفار لهم وبر صديقهم ل تنس sواجباتك الدينية وأهمها الصلة والزكاة والصوم وجميع الفرائض ل تنس sقدرة ال عليك وعظم عذابه ونقمته كما ل تنس sسعة رحمته وكريم عفوه ل تنس sذكر ال تعالى في كل وقت وحين والصلة والسلم على رسوله الكريم محمÈÈد صÈÈل ال عليÈÈه وآله وصحبه وسلم ل تنس sعذاب النار لتترك حب الدنيا والمعاصي و ل تنس sنعيم الجنة لتقبل على الخرة والطاعات ل تنس sأن باب التوبة مفتوح لك إل إذا حان أجلك أو قامت الساعة ..فبادر إلى التوبة ل تنس sالفقير المعدم من الزكاة والصدقة والدعاء والوجه البشوش ل تنس sالمريض العاجز من العيادة والزيارة والتفÈÈاؤل أمÈÈامه بالشÈÈفاء العاجÈÈل ول تقنطÈÈه مÈÈن رحمÈÈة ال ..و ل تنس sالمريض الفقير بالمساعدة بعلجه ل تنس sجارك من السؤال عن حاله ومساعدته والتبسم له ل تنس sإبداء النصيحة بالسلوب الحسن والكلمة الطيبة فتكون لينا œفي أمرك بالمعروف ونهيك عÈÈن المنكر وتذكر بأن حسن تعاملك قد يهدي المخطئ للصواب وأن غلظتك عليه قد تزيده ضللœ ل تنس sأن كتم العلم فيه إثم كبير ..فل تبخل على إخوانك بما فتح ال عليك ل تنس sالصبر والحلم على من أخطأ بحقك واعتدى عليك ل تنس sخفض جناحك و تلطفك مع من هم دونÈÈك ..أهلÈÈك وعاملÈك وخادمتÈÈك وغيرهÈÈم ..وتÈÈذكر بÈÈأن الراحمون هم من يرحمهم الرحمن وليس قساة القلب الظالمين ل تنس sأن طهارة القلب أهم من كثرة العمل الصالح ..فكم من حسنات تكسبها يضÈÈيعها فسÈÈاد القلÈÈب بالتكبر على العباد أو الحقد أو الحسد أو الغيبة أو غيرها من أمراض القلوب ل تنس sأن الكبرياء ل وحده فقط ..وأنك ضعيف قليل الحلية ..وأن من أعطاك قادر على حرمانك ل تنس sإخوانك المجاهدين في كل مكان ..في فلسطين والعراق وأفغانستان وكل مكان ل تنس sمساعدتهم ليس فقط بالمال ولكن بالدعاء الصادق المخلص فيه ل تنس sأن تحمد ال تعالى وتشكره دائما œعلÈى نعمÈÈه العظÈÈام وأهمهÈا أن أكرمÈÈك بالسÈÈلم ..ول تقÈÈدم عليه فخرا œأنك من قبيلة أو دولة فكلها إذا لم تكن مسلما œل تنفعك بشيء يوم الحساب ل تنس sأن الدعاء بظهر الغيب لخيك المسلم يرجع عليك وعليه بالفائدة ..فل تحرم نفسك منه . اللهم اغفر للمسلمين والمسلمات والمؤمنين والمؤمنات الحياء منهم والموات اللهم صل وسلم وبارك وأكرم وأنعم على عبدك وحبيبك ورسولك سيدنا محمد النبي المي وعلى آله وصحبه والتابعين لهم بإحسان إلى يوم الدين سبحان ربك رب العزة عما يصفون وسلم على المرسلين والحمد ل رب العالمين
۞۞۞ 33
۞۞۞
Related Documents
Exercise Problems With Solutions
December 2019 27
Practice Problems With Solutions
May 2020 30
Problems And Solutions
May 2020 11