النتائج 1 إلى 4 من 4

الموضوع: للتخلص من باتش السب سفن ....... الرجاء الدخول هنا لتستفيد

  1. #1


    يقوم السوب سيفين بأنشاء القيم التالية داخل الريجستري:
    HKEY_LOCAL_MACHINE\Software\CLASSES\.dl
    HKEY_LOCAL_MACHINE\Software\Microsoft\DirectXMedia
    KERNEL16="KERNEL16.DL"
    HKEY_LOCAL_MACHINE\Software\CLASSES\.dl\@=exefile"

    يقوم أيضاَ بأنشاء الملفات التالية:
    في مجلد السيستم الموجود في مجلد الويندوز ينشئ ملف أسمه rundll16.exe أو KERNEL.dl حجمه حوالي 35 كيلو بايت.
    كما ينشئ أيضاً في نفس المجلد ملف أسمه MOVOKH_32.dll حجمه أيضاً 35 كيلوبايت.
    وينشئ أيضاً ملفان في نفس المجلد هما nodll.exe و watching.dll حجمهما أيضاً 35 كيلوبايت.
    مع العلم أنه يمكن تغيير أسماء بعض هذه الملفات من قبل الهاكرز.

    المنافذ التي يستخدمها السوب سفن:
    يستخدم السوب سيفين البورت رقم 6711 و 6776، هناك بورتات أخرى هي 1243 و 1999، وقد سمعت من أحد الأشخاص طريقة لاكن لا أتذكرها يقول بأنه يمكن تغيير أحد هذه البورتات وأستخدام بورت سري موجود بين 1243 و 1999 يحدده المستخدم

    لمشاهدة صورة لبرنامج سوب سيفين أنقر هنا
    ولمشاهدة برنامج الأيديت الملحق به والذي يسمح بعمل تعديلات على السيرفر أنقر هنا

    بعدما يقوم المخترق بوضع السيرفر في جهازك يقوم السيرفر بإدخال تغييرات على ملف System.ini وبالتحديد في السطر الخامس حيث يقوم بإضافة أسمه بعد عبارة Explorer.exe ليصبح السطر بعد التغيير shell=Explorer.exe rundll16.exe
    كما يقوم بعمل تغيير في ملف Win.ini وذلك في الأسطر الأولى تحديداً في القيم التي توضع أمامها البرامج المراد تشغيلها أثناء تشغيل الويندوز مثل Load= ####.exe أو run=####.exe

    التخلص من السوب سيفين:
    من أهم أعراض الأصابة ببرنامج السوب سيفين هو ظهور رسالة (قام هاذا البرنامج بإنجاز عملية غير شرعية.... ) وتظهر هذه الرسالة عند ترك الكمبيوتر بدون تحريك الماوس أو النقر على الكيبورد حيث يقوم البرنامج بعمل تغييرات في برنامج سكرين سيفر، وتظهر هذه الرسائل عادةً عندما تقوم بأزالة أدخالات السوب سيفين في ملف system.ini
    بإمكان السيرفر حق السوب سيفين أيضاً أعادة أنشاء نفسه بعد حذفه من الويندوز بأستخدام بعض الملفات المساعدة.

    بما أن السوب سيفين يمكن عمل تعديلات على السيرفر حقه بإستخدام برنامج الأيديت الملحق به، فإنه من الواجب البحث في أي مكان من الممكن أن يعمل تلقائيا، يعني أي مكان يمكن وضع أوامر للويندوز لتشغيله تلقائيا.
    أولاً أفتح الملف win.ini والملف system.ini الموجودان في مجلد الويندوز .
    في ملف الـwin.ini أبحث في بداية السطور الأولك من هاذا الملف عن أي قيم شبيهة بالقيم التالية:
    run= xxxx.exe أو run= xxxx.dl أو Load= xxx.exe أو Load= xxxx.dll
    xxx تعني أسم السيرفر.
    إذا عثرت على قيمة خاصة بالسيرفر فقم بحذفها.

    في ملف الـ system.ini الموجود في مجلد الويندوز وفي السطر الخامس ستجد السطر shell=Explorer.exe إذا كان جهازك مصاباً بالسوب سيفين ستجد شكل السطر هكذا:
    shell=Explorer.exe xxx.exe أو shell=Explorer.exe xxx.dll
    مع العلم بأن xxx أسم السيرفر الذي من أشهر اسمائه rundll16.exe و Task_Bar.exe إذا كان كذلك قم بمسح أسم السيرفر فقط يعني إذا كان مثلاً shell=Explorer.exe rundll.exe قم بمسح rundll.exe ليصبح شكل السطر shell=Explorer.exe

    بعد ذلك شغل برنامج الريجستري بالذهاب إلى أبدء ثم تشغيل ثم كتابة regedit ثم النقر على (أوكي) وأذب إلى المجلدات التالية:
    HKEY_LOCAL_MACHINE
    Software
    Microsoft
    Windows
    CurrentVersion
    Run
    داخل المجلد (رن) أبحث عن أسم السيرفر الذي عثرت عليه في ملف system.ini أو الملف win.ini (في بعض الحالات قد يتغير أسم السيرفر في الريجستري لذلك أبحث عن أي شئ غريب) ثم بعد ذلك توجه لمجلد ويندوز وستجد أن حجم السيرفر الذي عثرت عليه بالريجستري حوالي 328 كيلوبايت ، إذا كان كذلك عد لنفس المنطقة في الريجستري وقم بحذف القيمة وذلك بانقر على أسمها وأختيار (ديليت).

    الآن أعد تشغيل الكمبيوتر، ثم توجه لمجلد الويندوز وقم بحذف السيرفر بالنقر عليه بالزر الأيمن للماوس وأختيار حذف (ديليت).

    أتمنى أن تطبقوا الخطوات السابقة بدقة، وأن لاتحذفوا أو تعدلوا أي شئ في الريجستري مالم يكن مطابقاً لما جاء في الأعلاى.
    --------------------------------------------------
    نقلاً من موقع النديم للستفادة أدخل هنا http://alnadeem.virtualave.net/security/sub7.htm

    وأتمنى لكم أجهزة سليمة بأذن الله...

    ------------------






    المستشار غير متواجد حالياً


  2. #2


    شكرا على هذه المعلومات المفيدة

    ------------------
    ما من غريب إلاّ الشيطان





    الغريب1 غير متواجد حالياً

  3. #3


    باسم الله والصلاة على رسول الله صلى الله عليه وسلم وبعد...
    شكرا يا اخي على هذه المعلومات القيمة ولكن عندي سؤال واحد وهو هل يصلح البرنامج the cleaner3 لحذف باتش السب 7 وهي لأنني عندي هذا البرنامج وانني استعملة كل يوم وعندما أترك كمبيوتري لفترة تظهر الرسالة "قام هذا البرنامج بإنجاز عملية غير شرعية...." والمشكلة انني كل ما استعمل برنامج the cleaner3 لا يظهر اي باتش موجود في الكمبيوتر فهل هذه المشكلة من الكمبيوتر نفسة او من الباتش؟؟؟؟؟وشكرا
    مع تحياتي
    في اي بي 2000
    Vip2000

    ------------------
    الأنترنت...فأحسن أستخدامها





    في اي بي 2000 غير متواجد حالياً

  4. #4


    أهلاً أف أي بي :
    رداً للجميع لا أتوقع أو بالأصح ذاكلينر ما يشيل الباتش لسب سفن ولا يكتشفه لأني كان لدي باتش السب سفي ولا أستطعت أن أشيع بالبرنامج

    وهذا ما لدي أخوك المستشار

    ------------------






    المستشار غير متواجد حالياً





ضوابط المشاركة

  • لا تستطيع إضافة مواضيع جديدة
  • لا تستطيع الرد على المواضيع
  • لا تستطيع إرفاق ملفات
  • لا تستطيع تعديل مشاركاتك
  •  

أضف موقعك هنا| اخبار السيارات | حراج | شقق للايجار في الكويت | بيوت للبيع في الكويت | دليل الكويت العقاري | مقروء | شركة كشف تسربات المياه | شركة عزل اسطح بالرياض | عزل فوم بالرياض| عزل اسطح بالرياض | كشف تسربات المياة بالرياض | شركة عزل اسطح بالرياض