منتديات مدينة الاحلام

فيس بوك مدينة الاحلام twitter RSS 

 
 

 

 

معجبو مدينة الاحلام علي الفيس بوك

  #1  
قديم 07 - 06 - 2008, 17:41
عبدالله ابو بصير غير متصل
..:: من سكان المدينة ::..
 


عبدالله ابو بصير is on a distinguished road
افتراضي الباكدور Backdoor.Prorat








الملف Sservice.exe

يتعلق بـ باكدور اسمه Backdoor.Prorat


ويقوم هذا الباكدور عادة بزرع ملفات في مجلد System او windows بتسميات مختلفة مثل

%System%\Main.exe
%System%\Loader.exe
%System%\Msmsg.exe
%System%\Winserv.dll
%System%\Fservice.exe
%System%\Sservice.exe
%Windir%\Winlogon.exe


كما يقوم بإضافة قيم للريجستري

وللتخلص منه ( وفقا لموقع سيمانتيك ( نورتن )




بالنسبة لويندوز Windows NT/2000/XP


1) تعطيل خاصية استعادة النظام ( لويندوز اكس ) اطلع على الطريقة


2) تحديث برنامج إلانتي فايروس



3) إعادة تشغيل الجهاز في وضعية : Safe mode with Command Prompt


* يغلق الجهاز لمدة 30 ثانية على الأقل ( لتفريغ الذاكرة ) ثم

* بمجرد تشغيل الجهاز يضغط على مفتاح F8
تختار من القائمة Safe mode with Command Prompt

سترى المؤشر يومض
اكتب regedit
ثم اضغط Enter



4) إلغاء القيم المضافة في الريجستري


تتبع المسارات التالية كلا على حدة


HKEY_LOCAL_MACHINE
SOFTWARE
Microsoft
Windows
CurrentVersion
Run



HKEY_LOCAL_MACHINE
SOFTWARE
Microsoft
Windows
CurrentVersion
Policies
Explorer
Run



HKEY_LOCAL_MACHINE
SOFTWARE
Microsoft
Active Setup
Installed Components
{5Y99AE78-58TT-11dW-BE53-Y67078979Y}



HKEY_CURRENT_USER
SOFTWARE
Microsoft
Windows
CurrentVersion
Run


في كل مسار منها
إذا وجدت إحدى هذه القيم


قم بإلغائها

"MSNMESENGER"="%System%\Main.exe"

"DirectX for Microsoft Windows"="%System%\Fservice.exe"

"DirectX for Microsoft Windows"="%System%\Sservice.exe"

"StubPath"="C:\Windows\system\Sservice.exe"





تتبع المسار


HKEY_LOCAL_MACHINE
Software
Microsoft
Windows NT
CurrentVersion
Winlogon


في الجهة المقابلة
عدل القيمة

"Shell"="explorer.exe %System%\Fservice.exe"

إلى

"Shell"="explorer.exe"



ثم أغلق Exit الريجستري


*أغلق الجهاز وانتظر 30 ثانية على الأقل

*شغل الجهاز الوضع الآمن Safe mode



5) افحص الجهاز بواسطة برنامج إلانتي فيروس وإلغاء الملفات المكتشفة كـ Backdoor.Prorat



المرجع
http://securityresponse.symantec.co...oor.prorat.html


===================

طريقة التخلص من باكدور Backdoor.Prorat



بالنسبة لويندوز Windows 95/98/Me




1) تعطيل خاصية استعادة النظام ( للويندوز الملينيوم ) اطلع على الطريقة


2) تحديث برنامج إلانتي فايروس


3) إعادة تشغيل الجهاز في الوضع الآمنSafe mode :


* يغلق الجهاز لمدة 30 ثانية على الأقل ( لتفريغ الذاكرة ) ثم

* يشغل الجهاز في الوضع الآمن Safe mode
بمجرد تشغيل الجهاز يضغط على مفتاح F8
تختار من القائمة Safe mode

* بعد الدخول على الوضع الآمن افتح الريجستري

من ابدأ Start
تشغيل Run
اكتب regedit
موافق


4) إلغاء القيم المضافة في الريجستري


تتبع المسارات التالية كلا على حدة


HKEY_LOCAL_MACHINE
SOFTWARE
Microsoft
Windows
CurrentVersion
Run



HKEY_LOCAL_MACHINE
SOFTWARE
Microsoft
Windows
CurrentVersion
Policies
Explorer
Run



HKEY_LOCAL_MACHINE
SOFTWARE
Microsoft
Active Setup
Installed Components
{5Y99AE78-58TT-11dW-BE53-Y67078979Y}



HKEY_CURRENT_USER
SOFTWARE
Microsoft
Windows
CurrentVersion
Run


في كل مسار منها
إذا وجدت إحدى هذه القيم

قم بإلغائها

"MSNMESENGER"="%System%\Main.exe"

"DirectX for Microsoft Windows"="%System%\Fservice.exe"

"DirectX for Microsoft Windows"="%System%\Sservice.exe"

"StubPath"="C:\Windows\system\Sservice.exe"



ثم


أغلق الريجستري


5) افحص الجهاز بواسطة برنامج الانتي فايروس وإلغاء الملفات المكتشفة كـ Backdoor.Prorat


والشكر للجميع

المرجع
http://securityresponse.symantec.co...oor.prorat.html




hgfh;],v Backdoor>Prorat

 
 
 
 
 





رد مع اقتباس
قديم 27 - 04 - 2009, 22:34   رقم المشاركة : [2]
..:: زائر جديد ::..
 

سهومة المغربية is on a distinguished road
افتراضي

شكككككككككككراااا بززززززززاف


سهومة المغربية غير متصل   رد مع اقتباس
إضافة رد

مواقع النشر (المفضلة)


تعليمات المشاركة
لا تستطيع إضافة مواضيع جديدة
لا تستطيع الرد على المواضيع
لا تستطيع إرفاق ملفات
لا تستطيع تعديل مشاركاتك

BB code is متاحة
كود [IMG] متاحة
كود HTML معطلة
Trackbacks are متاحة
Pingbacks are متاحة
Refbacks are متاحة



الساعة الآن 19:29.


Powered by vBulletin Version 3.8.7
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd
ترقية وتطوير: مجموعة الدعم العربى
جميع الحقوق محفوظه لمدينة الاحلام ©

SEO by vBSEO