الحالة
موضوع مغلق

CrazyWorm

عضو ذهبي
التسجيل
21/12/03
المشاركات
984
الإعجابات
158
الإقامة
In Hole
#1
'',
منقــــول للفــــــائدة
اخواني الكرام




الملف Sservice.exe

يتعلق بـ باكدور اسمه Backdoor.Prorat


ويقوم هذا الباكدور عادة بزرع ملفات في مجلد System او windows بتسميات مختلفة مثل

%System%\Main.exe
%System%\Loader.exe
%System%\Msmsg.exe
%System%\Winserv.dll
%System%\Fservice.exe
%System%\Sservice.exe
%Windir%\Winlogon.exe


كما يقوم باضافة قيم للريجستري

وللتخلص منه ( وفقا لموقع السيمانتيك ( نورتن )




بالنسبة للويندوز Windows NT/2000/XP

1) تعطيل خاصية استعادة النظام ( للويندوز اكس بي والملينيوم )

وقف خاصية استعادة النظام في الويندوز اكس بي

وقف خاصية استعادة النظام في الويندوز ملينيوم


[HR]

2) تحديث برنامج الانتي فايروس0

[HR]

3) اعادة تشغيل الجهاز في وضعية : Safe mode with Command Prompt


* يغلق الجهاز لمدة 30 ثانية على الاقل ( لتفريغ الذاكرة ) ثم

* بمجرد تشغيل الجهاز يضغط على مفتاح F8
تختار من القائمة Safe mode with Command Prompt

سترى المؤشر يومض
اكتب regedit
ثم اضغطEnter


[HR]

4) الغاء القيم المضافة في الريجستري


تتبع المسارات التالية كلا على حدة


HKEY_LOCAL_MACHINE
SOFTWARE
Microsoft
Windows
CurrentVersion
Run



HKEY_LOCAL_MACHINE
SOFTWARE
Microsoft
Windows
CurrentVersion
Policies
Explorer
Run



HKEY_LOCAL_MACHINE
SOFTWARE
Microsoft
Active Setup
Installed Components
{5Y99AE78-58TT-11dW-BE53-Y67078979Y}



HKEY_CURRENT_USER
SOFTWARE
Microsoft
Windows
CurrentVersion
Run


في كل مسار منها
اذا وجدت احدى هذه القيم

قم بالغائها

"MSNMESENGER"="%System%\Main.exe"

"DirectX for Microsoft Windows"="%System%\Fservice.exe"

"DirectX for Microsoft Windows"="%System%\Sservice.exe"

"StubPath"="C:\Windows\system\Sservice.exe"
[/COLOR]



تتبع المسار


HKEY_LOCAL_MACHINE
Software
Microsoft
Windows NT
CurrentVersion
Winlogon


في الجهة المقابلة [/COLOR]

عدل القيمة

"Shell"="explorer.exe %System%\Fservice.exe"

الى

"Shell"="explorer.exe"


ثم اغلق Exit الريجستري


*اغلق الجهاز وانتظر 30 ثانية على الاقل 0

*شغل الجهاز الوضع الامن Safe mode



[HR]


5) افحص الجهاز بواسطة برنامج الانتي فايروس والغاء الملفات المكتشفة كـ Backdoor.Prorat


والشكر للجميع

المرجع
http://securityresponse.symantec.co...oor.prorat.html
_________
طريقة التخلص من باكدور Backdoor.Prorat



بالنسبة للويندوز Windows 95/98/Me





1) تعطيل خاصية استعادة النظام ( للويندوز اكس بي والملينيوم )

وقف خاصية استعادة النظام في الويندوز اكس بي

وقف خاصية استعادة النظام في الويندوز ملينيوم


2) تحديث برنامج الانتي فايروس0


3) اعادة تشغيل الجهاز في الوضع الامنSafe mode :


* يغلق الجهاز لمدة 30 ثانية على الاقل ( لتفريغ الذاكرة ) ثم

* يشغل الجهاز في الوضع الامن Safe mode
بمجرد تشغيل الجهاز يضغط على مفتاح F8
تختار من القائمة Safe mode

* بعد الدخول على الوضع الامن افتح الريجستري

من ابدأ Start
تشغيل Run
اكتب regedit
موافق


4) الغاء القيم المضافة في الريجستري


تتبع المسارات التالية كلا على حدة


HKEY_LOCAL_MACHINE
SOFTWARE
Microsoft
Windows
CurrentVersion
Run



HKEY_LOCAL_MACHINE
SOFTWARE
Microsoft
Windows
CurrentVersion
Policies
Explorer
Run



HKEY_LOCAL_MACHINE
SOFTWARE
Microsoft
Active Setup
Installed Components
{5Y99AE78-58TT-11dW-BE53-Y67078979Y}



HKEY_CURRENT_USER
SOFTWARE
Microsoft
Windows
CurrentVersion
Run


في كل مسار منها
اذا وجدت احدى هذه القيم

قم بالغائها

"MSNMESENGER"="%System%\Main.exe"

"DirectX for Microsoft Windows"="%System%\Fservice.exe"

"DirectX for Microsoft Windows"="%System%\Sservice.exe"

"StubPath"="C:\Windows\system\Sservice.exe"



ثم


اغلق الريجستري


5) افحص الجهاز بواسطة برنامج الانتي فايروس والغاء الملفات المكتشفة كـ Backdoor.Prorat


والشكر للجميع

المرجع
http://securityresponse.symantec.co...oor.prorat.html
 

الفريد

عضو محترف
التسجيل
31/7/03
المشاركات
416
الإعجابات
6
#2
شكراً بارك الله فيك ..... معلومات طيبة
 
الحالة
موضوع مغلق

أعلى