منقول من منتدى اخر لسلامه الكمبيوتر

==================================================
===========================
هذا لا يعني انك لست بحاجة الى برامج حماية هذا فقط لاخذ العلم واضافة معلومات الى هارد مخك عشان المستقبل لما بتختير اوكيه لول
المهم ساذكر الان المواقع التي تتواجد فيها الاكواد التخريبية لتعمل مع بدء التشغيل:

- مجلد بدء التشغيل:
يتواجد في المسار C:\Windows\Start Menu\Programs\start وكل ملف موجود فيه سيعمل مع بدء التشغيل

- ملف النظام Win.ini:
يمكنك الوصول اليه في مجلد النظام او ابسط انقر على ابدا واختر تشغيل (run) ثم اكتب win.ini وانتر لفتح الملف .. الان في الاسطر الاولى اذا وجدت شيء كهذا مثلا:

[windows]
load= trojan
run= trojan
NullPort=None
BaseCodePage=1256

فاعلم ان جهازك مصاب بتروجان او كود تخريبي لتعطيله فقط احذف ما بعد اشارة المساواة بجانب load, run يعني لازم يكون:

[windows]
load=
run=
NullPort=None
BaseCodePage=1256

لا تنسى هذا تعطيل وليس ازالة له

- ملف النظام System.ini:
نفس الطريقة الى ابدا واكتب system.ini انتر الان اذا وجدت كما يلي:

[boot]
oemfonts.fon=vgaoem.fon
;Rem TShoot: shell=Explorer.exe
shell=Explorer.exe
فاعلم ان جهازك نظيف اما اذا وجدت كما يلي:

[boot]
oemfonts.fon=vgaoem.fon
;Rem TShoot: shell=Explorer.exe gofpadtr.exe
shell=Explorer.exe gofpadtr.exe
فاعلم ان جهازك به كود تخريبي (اقصد به التروجان او الملف التجسسي) لازالته فقط قم بمسح الاسم gofpadtr.exe والفراغ بين الاسم و Explorer.exe
في هذه الحالة فان الملف يعمل مع بدء التشغيل بعد ان يعمل explorer.exe وبما ان سطح المكتب متعلق بملف explorer.exe فهو سيعمل مع كل بدء تشغيل بشكل بديهي
ايضا هذا تعطيل وليس ازالة

- مسجل النظام او الريجستري Registry Editor :
يمكن استخدام الريجستري في تشغيل ملفات عديدة مع بدء التشغيل كما في حالات القيم التالية:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Cur
rentVersion\Run]
"Info"="c:\directory\Trojan.exe"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Cur
rentVersion\RunOnce]
"Info"="c:\directory\Trojan.exe"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Cur
rentVersion\RunServices]
"Info"="c:\directory\Trojan.exe"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Cur
rentVersion\RunServicesOnce]
"Info="c:\directory\Trojan.exe"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curr
entVersion\Run]
"Info"="c:\directory\Trojan.exe"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curr
entVersion\RunOnce]
"Info"="c:\directory\Trojan.exe"

نلاحظ المسار مثلا : HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr
entVersion\Run
يمكن الوصول اليه عن طريق ابدا - تشغيل - regedit -
ثم الانتقال حسب التسلسل من HKEY_LOCAL_MACHINE
الى Software
الى Microsoft
الى Windows
وهكذا وما ان نصل الى المنطقة المطلوبة حتى نجد اسم المفتاح وقيمته مثلا : Win loader="c:\windows\trojan.exe" يكفي النقر على Win Loader نقرة يمين واختيار delete key لحذف القيمة

او يمكن ان توجد ضمن محرر الريجستري تحت المسارات التالية :

[HKEY_CLASSES_ROOT\exefile\shell\open\command]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell
\open\command]
ما ان تصل اليها ستجد مفتاح افتراضي بالاسم :
(default) ويحمل القيمة "%1" %*

هنا يتم تشغيل كل ملف مع النظام كتعشيق (كما في حالة لولبين يعني اذا بدي اشرحها مسننين مرتكزين على بعض لا يدور الاول الا بدوران الاخر يسمى عند مصلحين السيارات تعشيق .. هيك بذكر لوول) المهم في هذه الحالة التروجان هو المسنن الاول والنظام هو الثاني فمش رح يدور التروجان الا بدوران النظام !!! قلبناها دورة تصليح سيارات هههههههههه
المهم تفقد لاي مفتاح غريب يتواجد هناك (في الحالة الآمنة يجب الا يتواجد اي مفتاح غير الافتراضي فخذ بالك من هالنقطة)

تتسائلون الان كل هذه الامور لتعطيله فقط فكيف يمكنني ازالته :
اوكيه الطريقة بسيطة بس ركزوا شوي معي
اذا لاحظت نظامك تعبان ومتغير مش على طبيعته عطيه اول شي حبة وجع راس باراسيتامول ممكن يمشي الحال خخخخخخخخخ
اوكيه خلينا نرجع للجد اذا لاحظته بطئ والخ انقر على ctrl+alt+delete اكيد بدون ال + انقرهم في نفس الوقت يعني ابسط ضع اصابيعك الحلوة على ctrl ثم alt ثم باليد الاخرى انقر delete برافو نجحت ممتاز
هلق دور على اي اسم ملف غريب وقصير متل Win Loader وبتلاقي في اله مسار او قيمة على اليمين و اليسار حسب النظام عربي او انكليزي عندك انا عندي انكليزي يعني القيمة على اليمين المهم اذا لقيت شي مريب بتروح بتعمل بحث من ابدا عن اسم هالقيمة لانها على الاغلب اسم التروجان او الملف التجسسي
المهم بتلاقيها اكيد بمجلد النظام حاول تحذفها مش رح تنحذف لانها مسنن خخخ بس مش باضرورة تكون بمسارات الشيل الخاص بالنظام هلق بنشوف
المهم بس لقيتها وغالبا بكون الايقونة ايقونة winamp او شي تطبيق صوتي واحيانا بدون رمز ايقونة بس شاشة بيضاء المهم هيدا كله فاضي بس للتنبيه لا تغلط بينها وبين ملفات النظام والا راحت عليك
لقيته اوكيه هلق روح للريجستري
ابدا - تشغيل - regedit - انتر - f3 - اكتب اسم القيمة (اسم الملف اللي لقيته مع الامتداد اللي على الاغلب .exe) وانقر بحث (search) رح بيدور شوي بعدين بينط بخلقتك انه لقاه انقر على
المفتاح الخاص به واحذفه انقر هلق f3 مرة تانية تتدور اذا فيه غيره اذا لقاه احذفه وهيك حتى يظهر رسالة انه انتهى البحث بالريجستري اغلق الشاشة واعد التشغيل هلق انقر على f8 بشكل مسمتر يعني نقرة نقرة نقرة الخ حتى تظهر شاشة فيها خيارات اختر الاقلاع بوضع الامان safemode رح تتعقد من شكل النظام هلق بس كله في سبيل الملف يهون صح خخخخخخخ
بس وصلت للويندوز روج اعمل بحث مرة تانية من ابدا - بحث واحذف الملف هلق رح ينحذف بدون اي مشاكل لانه ما في شي يربطه بالنظام هلق غير الماضي الله يرحمه
اعد التشغيل وخلاص بيرجع نظامك طبيعي
اذا ما رجع طبيعي معناها انت حذفت ملف نظام ويا ويلك من البابا


فكرة 2: بعض الملفات ما بتترك اثار في ctrl alt del عشان هيك بنروح بنكتب msconfig في تشغيل بابدا وانتر ثم نروح على بدء التشغيل ونشوف الملفات كلها
فكرة3 : في ملف system.ini ممكن يكون الملف موجود بجانب user.exe = user.exe لازم ما يكون في شي تاني بجانبه

ملاحظات: قبل ما تحذف شي تاكد من وجوده بانظمة اصدقاءك ممكن يكون للنظام
اذا ما ظهرت لك شاشة الخيارات عند ضغط f8 فهيدا ممكن لانه نظامك xp او 2000 بهالحالة وحياتك ما بعرف شو لازم تضغط لاني من اعداء هالانظمة ومحب للسلام والبساطة بال 98 اما ال xp فاول ما نزلته الشباب بلشو يبعتولي ملفات dialers وخود المودم صار يدق اتصالات دولية على كيفه والاكس بي مطنش هههههههه
ال 2000 بيضل افضل بس نظرا للهارد وير عندي (الذواكر 196) ما بفضله ممكن يصير بطئ بعد برامج كتير متل اللي عندي كلها ادوب وفيجوال وخلافه فخليك على المتل السوري "على هوا السوق بنسوق" ههههههههههه
يللا باي هلق ترقبونا في حلقات قادمة "كيف وليش" محدش يسأل