السلام عليكم ورحمة الله وبركاته
(ملاحظة قبل البدء: هذا الموضوع موضوعي بقلمي فلا احد يقول انت نقلته من اي موقع اخر
في هذا الموضوع شيئ جديد و حصري
في العادة عند اصابة جهاز بفيروس فأنه تظهر اعراض
مثل : الفلاش لا يمكن ازالتها بأمان و ظهور كلمة autorun عند فتح حافظة او فلاش بالأضافة الى كثرة
ظهور رسالة الخطأ (ارسال . عدم الارسال ) و الجهاز بطيء كما تظهر رسالةتم تعطيل ادرة المهام من
المستخدم الرئيسي او تم تعطيل regedit كل هذا اعراض لوجود فايروس و في العادة يتم فرمتة
الجهاز و احياناً جميع الحافظات ظنا منهم انه بمجرد فتح الويندوس الجديد سوف ينتقل الفايروس مرة
اخرى وهو اعتقاد خاطئ لكن الامر سهل جدا وسوف اقوم بشرح كيفية كشف وازالة اعراض الفابروس
من دون فرمتة او انتي فايروس و اخيرا ازالته و الوقاية
* هناك طريقة جديدة لاغلاق الفايروسات و التطبيقات و لرؤية التطبيقات قيد التشغيل
1- الكشف عن الفيروسات
اولا/: نقوم بالذهاب الى شريط المهام (عند لائحة ابدأ )
و نضغط عليه بالزر الايمن و مختار taskmanger أو ادارة المهام اذا كانت كلمة ادارة المهام مظللة
و لا يمكن الضغط عليها او عند الضغط على alt+ctrl+del تظهر رسالة التعطيل اذا فلديك فايروس كما في الصور
أ- ادراة المهام task manger
ب- regedit
ج- autorun
بمجرد الضغط بالزر اليمين على الحافظة فأنها ستظهر من هذه الكلمان
auTO, autorun,reboot insafemode, 09-89, و غيرها الكثير
مثل :
لكن للتأكد تكتب في شريط العنوان adrees bar بعد قيامك بفتح اي حافظة autorun.inf
كما في الصورة و سوف يتم فتح ملف الفايروس المساعد ومنه تعرف اسم الفايروس
بمجرد ظهور احد هذه الاعراض فأن جهازك مصاب بفايروس
الحل و العلاج
عندما تقوم بالضغط على فلاشة مصابة بفايروس دبل كلك فانك تقوم بفتح الفايروس مع العلم انه لايفتح
تلقائي عند وضع الفلاش و لكن لنفرض انه تم فتحه من المستخدم عندها سوف يقوم بارسال مفتاح الى regedit في عناصر الstartup اذاً عند تشغيل الجهاز وتشغيل الويندوس سوف يتم فتح الفايروس على اساس وجود مفتاح له في regedit مع العلم لا يمكن حذف الفايروس و هو مفتوح اذا يجب اغلاقه او منع تشغيله عند بدء الويندوس لكن ماذا لو قام بتعطيل الREGEDIT AND TASKMANGER عندها يجب
اتباع الطريقة التالية لتشغيلهما :
ا-لتشغيل REGEDIT
اذهب الى START>RUN> ثم تكتب في المربع GPEDIT.MSC
الان تظهر الصورة التالية اختر منها
USER CONFIGURATION>ADMINISTRATIVE TEMPLATES >SYSTEM
الآن اختر منها
PREVENT ACCESS TO REGISTRY TOOLS
اختر منها DISABLE
2- تشغيل TASKMANGER
نقوم بنفس الخطوات لكن ندخل الى ملف
ctrl+alt+del و نختار remove taskmanger و نختار disable
__________________________________________________ ____________________
الآن و بعد تشغيل الregedit و taskmanger اين تكمن اهميتهما ؟
سوف نقوم باستخدام regedit في حذف مفتاحه في قائمة startup لمنع فتحه مرة اخرى وتسهيل حذفه يدويا لذا نقوم بما يلي
start>run> و نكتب regedit كما في الصورة
الآن نذهب الى
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run
كما في الصورة
ملاحظة اضافية ::
قم بالتحقق من هذه المسارات لانها تحوي ايضا عناصر تشغيل تلقائي
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run
بالاضافة الى :
C:\Documents and Settings\YOUR-USERNAME\Start Menu\Programs\Startup
C:\Documents and Settings\Default User\Start Menu\Programs\Startup
C:\Documents and Settings\All Users\Start Menu\Programs\Startup
هولاء روابط مهمة جدا
مع ملاحظة ان بعض الفايروسات قد تضع اختصارات لها في احد هذه المجلدات مخفية
و للتحقق من وجود أي شيء قم بتنفيذ الامر التالي
Attrib –a –s –h (DIR)\*.* /S /D
حيث DIR هي المسار
و من المفضل عمل ملف دفعي .bat
(لعمل ذلك قم بما يلي :
انشىء ملف نصي
ثم اعد تسميته من name.txt الى name.bat
ثم قم بتحريره ولصق الاوامر التالية :
@echo off
Attrib –a –s –h *.* /s /d
Echo end
pause
هذه القائمة تخص جميع عناصر تشغيل بدء الويندوس لذا ابحث عن ما هو مشبوه و لايخص اي
برنامج معروف او حتى انتي فيروس
ملاحظة : هناك اكثر من فايروس يقوم بوضع اكثر من قيمة له بالاضافة ان ملف الفايروس لا يكون دائما ملف واحد يعني ممكن ان تجد قيمتين لتطبيقين غير معروفين .
الآن المفتاح المشير الى c:\zpharoh و المسمى tazebama هو مشبوه لذا سوف اقوم بحذفه
الان قم باعادة تشغيل الجهاز بسرعة وذلك عبر الضغط كبسة اعادة التشغيل على الcase وليس
start>shutdown>restart
__________________________________________________ _____________________
الان قمنا بحذف مفتاح التشغيل التلقائي لذا لن يعود الفايروس للفتح عند تشغيل الويندوس
لكن للتأكد نتفتح ادارة المهام ونختار من الشريط العلوي processes ونبحث عن التطبيق المشبوه اذا ما
فتح او لا و اغلب الظن انه لم يفتح
__________________________________________________ ______________________
المرحلة الاخيرة
قمنا بمنع الفايروس من الفتح لكن هل حذف بالطبع لا فعند الضغط على الحافظة دبل كليك سوف يعاود الفتح،، لذا هذه مراحل حذفه لكن يجب توافر برنامج winrar الضاغط و هو معروف
1- اذهب الى mycomputer وقم بالدخول الى الحافظة من الشريط العلوي و الا سوف يعاود الفايروس الفتح
2- قم بانشاء ملف winrar داخل الحافظة و افتحه
قم بالضغط على الملف الموضوع فيقوم بارجاعك الى الحافظة الأن قم بالبحث عن الملف المسمى autorun.inf لا تحذفه الآن بل قم بفتحه
الان ظهر اسم الفايروس ابحث عنه و احذفه و لا تنسى حذف ملف الautorun كما لا تنسى حذف الفايروس من الحافظات الاخرى قم باعادة تشغيل الجهاز و هكذا قد انتهينا
الوقاية خير من قنطار علاج
لتفادي فتح الفايروس من فلاش او سيدي او شيء اخر ما عليك سوى الذهاب الى mycomputer ومن شريط العنوان اذهب الى اي حافظة او فلاش كما في الصور
و هناك طريقة اخرى و ذلك عبر الgpedit.msc اذهب الى
USER CONFIGURATION>ADMINISTRATIVE TEMPLATES >SYSTEM
ومنه turnoff autoplay اختر enable وفي الشريط السفلي اختر alldrives
و لتفادي فتح الفايروس تلقائيا نقوم بالضغط على زر shift مع الاستمرار عند ادخال الفلاشة او الدسك او غيره
" هذه المعلومة من اخونا الكريم GENERAL7 "
لا تنسى ان الانتي فايروس هو عامل رئيس في وقف الفايروسات بجميع انواعها لانك قد لا تستطيع كشف فايروس
مختبىء في برنامج او باك دور او غيرها لذا انا انصح بانتي فايروس
انصح بافيرا فري , لست بحاجة لاكثر من هذا و تحديث اسبوعي خفيف و ممتاز ولا يستخدم سرعة النت او غيره
دعاية مدفوعة
__________________________________________________ ______________________
__________________________________________________ ______________________
**** الطريقة الجديدة لاكتشاف التطبيقات الشغالة و الخروج منها
وهي عبر اوامر الدوس :: حيث تستطيع رؤية التطبيقات قيد التشغيل و اغلاقها
اذن:
1- اذهب الى منفذ الاوامر cmd , وذلك عبر
start < run
اكتب cmd
ثم ok
*
فتظهر هذه الشاشة:
الان سوف نعتمد على امرين رئيسين و هما :
كود:
tasklist
وهذا الامر لاظهار كافة التطبيقات الشغالة
الامر الثاني
كود:
taskkill
وهو لاغلاق التطبيقات
عندما نطبق الامر الاول تظهر التطبيقات الشغالة ويجب ان نركز على امرين مهمين وهما رقم الpid او اسم التطبيق حتى نستطيع اغلاق التطبيق
مثال : طبقنا الامر tasklist فظهر التطبيقات فنختار التطبيق الذي نريده عبر حفظ الاسم او رقم البيد
<<<
فمثلا اخترنا التطبيق المسمى alg.exe حيث رقم الpid له 1016 و اسمه مثل ما قلت alg.exe
فنطبق الامر التالي
كود:
taskkill /im proccres.exe /f /t
وهو لاغلاق البرنامج عبر الاسم <<
كما هو موضح في الصورة ان :
1- هو رمز لاغلاق التطبيق عبر الاسم و من دونه لن تستطيع اغلاقه بالاسم
2-اسم التطبيق
3- /f لاغلاق التطبيق بالقوة
4- /t وهو لاغلاق شجرة البرامج او لاغلاق التطبيقات المرتبطة بهذا التطبيق وهو مهم في حال تطبيقه على فايروسات غير قابلة للاغلاق
5 -بعد تطبيق الامر
********
2- اغلاق عبر الرقم
كود:
taskkill /pid pidnumber /f /t
<<<
1- لاغلاق التطبيق عبر الpid
2-رقم ال pid
3- نتيجة تطبيق الامر
ملاحظة مهمة جدا: احيانا يكون لنفس الفايروس اكثر من تطبيق بحيث اذا تم اغلاق تطبيق يتم اعادة فتحه من قبل الاخر فلو لاحظت ذلك يرجى عمل ملف
دفعي مثل طريقة الملف فوق لكن بهذا الامر :
مثال:
@echo off
Taskkill /im procces1 /f /t
Taskkill /im proccres2
Echo end
pause
__________________________________________________ ______________________
ملاحظات مهمة جدا :
هناك فايروسات لا توقف عمل regedit و الtask manger ومن السهل القضاء عليها
عند وضع فلاش في الجهاز و ظهور نافذة autorun الويندوز اغلقهاو اتبع النصائح في الاعلى
الثلاثاء مايو 13, 2014 2:11 pm
