اخواني الكرام
السلام عليكم ورحمة الله وبركاته

الكثير منا يحصل على هذه الرسالة


في هذا الموضوع سنتطرق الى اسباب حدوث هذه الرسالة وكيفية التعامل معها

نبدأ على بركة الله

بسم الله الرحمن الرحيم

تعليم ازالة ملفات SpyAxe, Spy Sheriff, Brave Sentry, Spy Trooper, SpywareQuake و بعض القيم الضارة

كيف تظهر اعراض هذه الملفات على جهازك ؟؟

نستطيع الاستدلال على هذه الملفات من خلال الرسالة التالية التي ظهر على الويندوز...


فندما يصبح كمبيوترك مصاب بأحد هذه الملفات أو البرامج ستظهر لديك علامة في الاسفل على شريط المهام بجانب الساعة تدل على الاصابة وخاصة في الويندوز 2000 فما فوق

ويتم الاصابة بهذه الملفات أو القيم عن طريق الدخول الى مواقع خبيثه أو فتح برامج خاصة تكون محملة بهذه القيم تأتي عن طريق الملفات المرفة بالايميل , في حال تم هذا الهجوم بنجاح يتم التحكم الكامل بالنظام المصاب .
هذا التأثير أو هذه المشاكل تفتح طريق لانواع مختلفة من التروجانات والفيروسات وملفات التجسس والكثير من القيم الضارة التي تهاجم النظام للدخول الية و التأثير عليه .
معظم هذه الهجمات تحدث من خلال التثبيت الاوتوماتيكي(automatic download ) من المواقع المصابة .
صانعوا هذه الملفات يحمّلون الكثير من المواقع بهذه الفيروسات ويبدأ التأتثير في حال زيارة هذه المواقع
وفي حال الاصابة بهذه الفيروسات أو القيم أو التروجانات يتم تعطيل ادارة المهام كذلك يتم تغير التاريخ الخاص بالجهاز ثم يبدأ ظهور اعراض الاصابة بهذه الملفات ,من هذه الاعراض ( بطئ شديد في اداء الجهاز كذلك يتم تغير الصفحة الرئيسية في ال Internet Explorer الى بعض هذه المواقع مثل http://www.updateyoursystem.com/, http://www.safetyuptodate.net or http://www.needupdate.com
حيث نلاحظ دائما ظهور رسالة من مركز الامان شكل تحذير يفيد بأن الجهاز قد هوجم من قبل دودة .
على أي حال هذه الدودة ليست جزء من هذا التأثير ولكن تظهر هذه الشاشة لاخافة الزائر من اجل شراء الادوات الخاصة بإزالة هذا التأثير .
هذه الصفحة تكون كما في الشكل


وفي حال تم عمل تقرير ببرنامج Hijackthis
سيظهر مشكلة فيروس في الملفات المصابة ,كذلك نلاحظ وجود هوست في الجهاز يمنع من الدخول الى مواقع محددة
ويكون في تقرير الهاي جاك على الشكل التالي:
Logfile of HijackThis v1.99.1
Scan saved at 1:14:40 PM, on 3/10/2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\Explorer.EXE
C:\********s and Settings\Test\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.phillipswest.org
F3 - REG:win.ini: run=C:\WINDOWS\inet20004\services.exe
O1 - Hosts: 84.252.148.80 www.bankone.com
O1 - Hosts: 84.252.148.80 bankone.com
O1 - Hosts: 84.252.148.80 halifax.com
O1 - Hosts: 84.252.148.80 www.halifax.com
O1 - Hosts: 84.252.148.80 halifax.co.uk
O1 - Hosts: 84.252.148.80 www.halifax.co.uk
لاحظ القيم التي تبدأ بالرقم تدل على وجود الهوست O1
ماهي الطريقة المثلى لحذف هذه الملفات أو القيم :
اولا استعمال برامج خاصة لايقاف هذا التأثير لان وجودها يفتح الطريق امام الكثير من الفيروسات والتروجان وملفات التجسس للدخول الى النظام
ثانيا : القيام بعمليات المعالجة

تتم المعالجة على مراحل وهي :

1-تنزيل هذه الاداة Smitrem.exeلازالة Spyaxe

2-تنزيل هذه الاداة Ewido Anti-Malware مضاد لملفات التجسس

3-تنزيل برنامج HijackThis 1.99.1 للبحث عن الملفات المصابة بالتروجان والفيروسات والسباي ويير

4-اداة CCleaner لازالة الملفات المؤقته وملفات الكوكيز وتنظيف اخطاء النظام

5-اداة Killbox لازالة الملفات المستخدمة في الويندوز والتي لا نستطيع حذفها بشكل عادي من الويندوز

طريقة العمل

1-تثبيت البرنامج الاول على سطح المكتب وفك ضغطة وتثبيت Ewido Anti-Malware وتحديثة وفي حال اكتمال هذه الخطوات .... اعد اقلاع الجهاز ثم ادخل الى safe mode وذلك بالضغط على مفتاح F8 قبل بدء ظهور شاشة الويندوز

2-نفتح مجلد SmitRem ثم ننقر نقرا مزدوجا على الملف RunThis.bat عندها تبدأ عملية الازالة هذه الاداة تعمل على تشغيل تطبيق ادوات تنظيف الاقراص لحذف الملفات المؤقته من الاقراص والتي تحوي على مشاكل
3-بعد الانتهاء من برنامج SmitRem نفتح برنامج Ewido Anti-Malware ثم نجري فحص شامل للنظام وحذف أي قيم نجدها

4-نبقى ضمن الوضع الامن (Safe mode ) نشغل الاداة CCleaner التي تقوم بتحليل وتنظيف الملفات التي تجدها , ثم نضغط على زر Issues من الجهة اليسارية حيث تبدأ عملية الفحص وحذف القيم الضارة التي يكتشفها شغل كلا من Registry Scanner و File Analyzer عدة مرات حتى لا يتبقى أي خطأ

5-ابحث بشكل يدوي عن هذه الملفات وقم بحذفها
• svchosts.dll
• wbeconm.dll
• webconm.dll
• mssearchnet.exe
• mscornet.exe
• nvctrl.exe
• spyaxe.exe
• netwrap.dll
• ntzl.exe
• ioctrl.dll
• intelli321.exe
• hpA75B.tmp or all the files similar to hpXXXX.tmp where X may be any character.
• c:\windows\inet20004 or c:\windows\inetXXXXX directory (where X represents a random number) and all files
• C:\Program Files\SpyAxe
• C:\Program Files\Spy Sheriff
• C:\Program Files\SpywareQuake.com
• C:\Program Files\BraveSentry
• C:\Program Files\AlfaCleaner
• C:\Windows\System\1024
• C:\Windows\System32\1024
• C:\Winnt\System32\1024
6-شغل برنامج Hijackthis وقم بازالة الاقيم الضارة التي تحصل عليها طبعا تستطيع معرفة القيم الضارة من التقرير عن طريق الدخول الى الموقع الخاص بتحليل ال Hijack ولصق التقرير فيه (لاتقم بحذف أي قيمة لا تعرفها ) الا القيم المتأكد منها

7-من تقرير Hijack ممكن ان تقوم بحذف بعض الملفات عن طريق الاداة KillBox وذلك من الوضع الامن عن طريق وضع مسار الملف بالكامل ثم الضغط على علامة X الحمراء في الاسفل ...

على سبيل المثال : اذا كان عندنا احد الملفات وليكن اسمه (msupdate32.dll ) ضمن المسار C:\WINDOWS\SYSTEM32\msupdate32.dll
فنشغل الاداة KillBox ثم نضع فيها C:\WINDOWS\SYSTEM32\msupdate32.dll وبعدها نضغط على علامة X الحمراء .

8-نعيد اقلاع الجهاز الى الوضع العادي

9-نقوم بفحص الجهاز من الفيروسات اونلاين من المواقع Housecall أو BitDefender و ETrust ثم نقوم بعدها بتنزيل برنامج فحص للفيروسات ونقوم باجراء فحص شامل للنظام
وهذه بعض المواقع التي تستطيع ان تفحص جهازك من الفيروسات عن طريقها اونلاين

Trend Micro Housecall
BitDefender Scan Online
Ewido Online Scanner
Panda Activescan
McAfee FreeScan
Dr.Web Online Check

وهذا موقع لفحص التروجان
trojanscan

كذلك لمزيد من الاحتياط
نزل هذا البرنامج
Ad-aware SE
وهذا
Spybot Search and Destroy
للتأكد من خلو النظام من أي قيمة ضارة

وتقبلو تحياتي
محبكم
Geias