مشاهدة النسخة كاملة : طريقة nck لمعرفة هل جهازكـ مخترق أم لا ?
Mr Nawaf
26-04-2009, 10:46 AM
بسم الله الرحمن الرحيم ..
آسعد الله صباحكم بالــود ,,
لا يخفى عليكم مدى خطورة أختراق الأجهزة خصوصاً إذا كان الجهاز
يحتوى على صور شخصيه ومستندات مهمة ,,
لذلك علينا حماية أنفسنا بكل وسيله نستطيع آقتناها ,,
[آقـــدم لـكـم الــيـــوم]
طريقة بسيطه جداً لحذف قيم الباتش التابع لبرامج الهكرز من محرر التسجيل ,,
, , ,
نبدأ بسم الله
.:: الـخـطـوه الأولــى ::.
توجه إلى قائمة ابدأ وأختر منها [تشغيل] وأكتب regedit ثم أضغط موافق
http://upload.traidnt.net/upfiles/WSo28625.gif
.:: الـخـطـوه الـثـانـيـه ::.
من أعلى المحرر أختر قائمة تحرير >> بحث
http://upload.traidnt.net/upfiles/7Do28824.gif
.:: الـخـطـوه الـثـالـثـه ::.
في مربع البحث أكتب كلمة nck ثم أضغط بحث عن التالي ..
http://upload.traidnt.net/upfiles/wA628894.gif
بعد الضغط على زر البحث أنتظر قليلاً
http://upload.traidnt.net/upfiles/Xxx29018.gif
.:: الـخـطـوه الـرابـعـه ::.
إذا شاهدت هذا الرسالة فا هذا يعني إن جهازك سليم ولله الحمد ,,
http://upload.traidnt.net/upfiles/ATd29106.gif
لكن إذا وجدت هذه القيمة فتأكد إن جهازك قد تعرض للأختراق ,,
قم بتحديدها وحذفها فوراً ثم أعد البحث مره أخرى للتأكيد فقط
http://upload.traidnt.net/upfiles/cYv29296.gif
عند حذف أي قيمه تخرج لك هذه الرساله أضغط نعم ,,
http://upload.traidnt.net/upfiles/Xvc33650.gif
::
::
::
.:: آنـتـهـى تـح ـيـتي لـ الـج ـمــيــع ::.
::
::
::
ملاحظــة : لا تنسى إعادة تشغيل الجهاز بعد حذف القيمة.
HAMMER MAN
26-04-2009, 12:27 PM
مواضيعك كلها مفيده
بارك الله فيك
محمد غريب ®
26-04-2009, 12:33 PM
السلام عليكم ورحمة الله
يا هلا اخى
لى سؤال
هذا الباتش كما تقول تبع اى برنامج ؟ او اى فيروس ؟
Mr Nawaf
26-04-2009, 02:15 PM
مواضيعك كلها مفيده
بارك الله فيك
وبارك فيك شكراً ع المرور
السلام عليكم ورحمة الله
يا هلا اخى
لى سؤال
هذا الباتش كما تقول تبع اى برنامج ؟ او اى فيروس ؟
عليكم السلام ,, نعم أي برنامج
Mr Nawaf
27-04-2009, 02:35 AM
UP
3abdo_13
28-04-2009, 11:07 AM
أسال كما سال أخى madeee وأقول /
هذا الباتش الذى نبحث عنه ، تابع لأى برنامج من برامج الهاكر أو اى نوع من الفايروسات .
يعنى ما السبب وراء وجود هذا الباتش ؟
عبدالمهيمن
28-04-2009, 11:38 AM
بارك الله فيك
Mr Nawaf
28-04-2009, 05:24 PM
شكراً على المرور جميعاً
أسال كما سال أخى madeee وأقول /
هذا الباتش الذى نبحث عنه ، تابع لأى برنامج من برامج الهاكر أو اى نوع من الفايروسات .
يعنى ما السبب وراء وجود هذا الباتش ؟
نعم ياعزيزي ,, والسبب وراء وجوده فتح ملف ملغم بسيرفر او فتح سيرفر على جهازك
deferentman
28-04-2009, 06:19 PM
ما شاء الله
ممتاز
جزاك الله خيرا أخي . . . . وإلى الأمام . . :)
star003
29-04-2009, 02:51 AM
بارك الله فيك
بس انا ما ادري ليش لمن اجي أدخل على الريجستري يقول لي registry editing has been disabiled by your administrator
مع اني انا المدير حتى الـ Task Manager ما اقدر ادخل عليه
ويش الحل اخي العزيز
Mr Nawaf
29-04-2009, 05:43 AM
بارك الله فيك
بس انا ما ادري ليش لمن اجي أدخل على الريجستري يقول لي registry editing has been disabiled by your administrator
مع اني انا المدير حتى الـ Task Manager ما اقدر ادخل عليه
ويش الحل اخي العزيز
تفضل الحل ياأخي
طريقة إصلاح الدخول لمحرر التسجيل:
1- اضغط ابدأ
2- اختر تشغيل
(يمكن فتح تشغيل بطريقة سريعة من لوحة المفاتيح عن طريق الضغط على مفتاح الويندوز+حرف الآرR
3- انسخ الأمر التالي وضعه في مستطيل تشغيل – ثم اضغط موافق
REG add HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\System /v DisableRegistryTools /t REG_DWORD /d 0 /f
مبروك عليك إصلاح فتح محرر التسجيل مرة أخرى
back track
30-04-2009, 05:07 PM
انا حصلت مفتاحين من نتائج البحث
ولكن اسمها متغير عن اللي بالصوره
D.Programs
02-05-2009, 06:45 AM
السلام عليكم
الله يعطيك العافيه على الإفاده
بس الكلام هذا ينطبق على الفيستا ولا فقط الأكس بي ..؟؟
The_Unique
04-05-2009, 02:01 PM
سويت اللي قلت عليه وطلعت لي هذه الرساله :
Finished searching through the registry
هل معني هذا ان جهازي غير مخترق كما ذكرت ؟
فنى جديد
10-05-2009, 10:19 AM
السلام عليكم
مشكور اخى نواف على هذه المعلومات المفيدة
Mr Nawaf
10-05-2009, 10:43 AM
انا حصلت مفتاحين من نتائج البحث
ولكن اسمها متغير عن اللي بالصوره
أحذفهم ,,
السلام عليكم
الله يعطيك العافيه على الإفاده
بس الكلام هذا ينطبق على الفيستا ولا فقط الأكس بي ..؟؟
لم أجربه على الفيستا لكن أتوقع أنه مثل الأكس بي
السلام عليكم
مشكور اخى نواف على هذه المعلومات المفيدة
وعليكم السلام العفو حبيبي شاكر مرورك اللطيف ^_^
سويت اللي قلت عليه وطلعت لي هذه الرساله :
Finished searching through the registry
هل معني هذا ان جهازي غير مخترق كما ذكرت ؟
نـعــــم
hamamo
10-05-2009, 06:08 PM
ما هو البرنامج الذي نبحث عنه
و كيف نعرف انه موجود
و اي ثغره بالنظام يستغل
لانك تقول انه يفتح سيرفر
hamamo
10-05-2009, 06:31 PM
على كل بعد البحث و التقصي توصلت الى ما يلي
الذي يصيب الجهاز هو تروجان اسمه Bifrost
معروف بالاسماء التاليه
[Kaspersky] Trojan.Win32.Pakes, Backdoor.Win32.Bifrose.bk, Backdoor.Win32.Bifrose.ri, Backdoor.Win32.Bifrose.aba, Backdoor.Win32.Bifrose.axe, Trojan-Dropper.Win32.Delf.wj, Backdoor.Win32.Bifrose.adr, Backdoor.Win32.Bifrose.yg
[McAfee] Backdoor-CEP.svr, BackDoor-CEP, BackDoor-CEP.svr, BackDoor-CWT.dr
[F-Prot] W32/BifrostX.DKP, W32/Trojan.CTU
[Other] Bifrose.D, Win32/Bifrost!generic, Backdoor.Bifrose, Win32/Bifrost.BN, Troj/Delf-EXC, Win32/Bifrost.BS, VirTool:Win32/Obfuscator.C, BKDR_BIFROSE.QV, Troj/Bckdr-PQZ, Win32/Bifrost.CG, W32/Bifrose.JGK, Win32/Bifrost.CM, W32/Delf.ATGM, Trojan:Win32/Meredrop, Trojan Horse, Win32/Bifrose.ACI, Backdoor.Bifrose.E
طبعا الاسماء فوق لاحظ انها تختلف حسب نوع برنامج الحمايه
ينتشر و يصيب الملفات التاليه او يعدل عليها او ينشئها
[%SYSTEM%]\plugin1.dat
[%SYSTEM%]\SysPr.prx
[%WINDOWS%]\plugin1.dat
[%WINDOWS%]\SysPr.prx
[%PROFILE%]\Local Settings\otynb.exe
[%PROFILE_TEMP%]\vndoe.exe
[%SYSTEM%]\Movesearch.exe
[%SYSTEM%]\msconf.exe
[%SYSTEM%]\serier.exe
[%SYSTEM%]\vndoe.exe
[%SYSTEM%]\Wintemp.exe
[%WINDOWS%]\msnmess79.exe
ينشيء الفولدران التاليان
[%PROGRAM_FILES%]\Bifrost
[%PROGRAM_FILES%]\Nvidia Mgr
يضع المفاتيح التاليه في محرر النظام
HKEY_CURRENT_USER\software\wget
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{9b71d88c-c598-4935-c5d1-43aa4db90836}
HKEY_LOCAL_MACHINE\software\wget
HKEY_LOCAL_MACHINE\software\xvid
HKEY_CURRENT_USER\software\bifrost
HKEY_CURRENT_USER\software\nvidia manager
HKEY_CURRENT_USER\software\skav
HKEY_CURRENT_USER\software\skavx
HKEY_LOCAL_MACHINE\software\bifrost
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{4535f32f-d292-b784-7926-7419ade0a94b}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{df709a68-7856-4acf-2b73-8e9a4693507c}
HKEY_LOCAL_MACHINE\software\mscrop
HKEY_LOCAL_MACHINE\software\skav
HKEY_LOCAL_MACHINE\software\skavx
و يضع القيم التاليه في محرر النظام
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run, startkey=[%SYSTEM%]\rundf.exe
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run, startkey=[%SYSTEM%]\win32.exe
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run, startkey=[%SYSTEM%]\winampXP.exe
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run, startkey=[%SYSTEM%]\winlog.exe
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run, startkey=[%SYSTEM%]\winsystem.exe
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run, startkey=[%SYSTEM%]\winupdate.exe
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run, startkey=[%SYSTEM%]\ypager.exe
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run, startkey=[%WINDOWS%]\svchost.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run, startkey=[%SYSTEM%]\win32.exe
HKEY_CURRENT_USER\software\microsoft\windows\curre ntversion\run, imjpmilg9.2=
HKEY_CURRENT_USER\software\microsoft\windows\curre ntversion\run, sokey=
HKEY_CURRENT_USER\software\microsoft\windows\curre ntversion\run, startkey=
HKEY_CURRENT_USER\software\mscrop, klg=
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{a5cdf7ec-751b-46aa-ad69-4005fe080de8}, stubpath=[%SYSTEM%]\winweb.exe s=
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{a5cdf7ec-751b-46aa-ad69-4005fe080de9}, stubpath=[%SYSTEM%]\winrss.exe s=
HKEY_LOCAL_MACHINE\software\microsoft\windows\curr entversion\run, sokey=
HKEY_LOCAL_MACHINE\software\microsoft\windows\curr entversion\run, startkey=
HKEY_LOCAL_MACHINE\software\nvidia manager, nck=
المصدر
http://www.exterminate-it.com/malpedia/remove-bifrost
www.threatexpert.com/
http://www.spywarelib.com/remove--Trojan-Dropper-frijoiner-asy.html
اتمنى ان تعم الفائده و
و الله اعلم
Mr Nawaf
10-05-2009, 06:33 PM
ما هو البرنامج الذي نبحث عنه
و كيف نعرف انه موجود
و اي ثغره بالنظام يستغل
لانك تقول انه يفتح سيرفر
انت لا تبحث عن برنامج بل تبحث عن قيمة في الريجستري
وإذا وجدت قيمة فهذا يعني أنا جهازك يحتوي على باتش
وأنا ما قلت أنه يفتح سيرفر قلت إذا أنت فاتح سيرفر والسيرفر المقصود هنا هو الباتش أو العميل لبرنامج الآختراق
Mr Nawaf
10-05-2009, 06:38 PM
على كل بعد البحث و التقصي توصلت الى ما يلي
الذي يصيب الجهاز هو تروجان اسمه Bifrost
معروف بالاسماء التاليه
[Kaspersky] Trojan.Win32.Pakes, Backdoor.Win32.Bifrose.bk, Backdoor.Win32.Bifrose.ri, Backdoor.Win32.Bifrose.aba, Backdoor.Win32.Bifrose.axe, Trojan-Dropper.Win32.Delf.wj, Backdoor.Win32.Bifrose.adr, Backdoor.Win32.Bifrose.yg
[McAfee] Backdoor-CEP.svr, BackDoor-CEP, BackDoor-CEP.svr, BackDoor-CWT.dr
[F-Prot] W32/BifrostX.DKP, W32/Trojan.CTU
[Other] Bifrose.D, Win32/Bifrost!generic, Backdoor.Bifrose, Win32/Bifrost.BN, Troj/Delf-EXC, Win32/Bifrost.BS, VirTool:Win32/Obfuscator.C, BKDR_BIFROSE.QV, Troj/Bckdr-PQZ, Win32/Bifrost.CG, W32/Bifrose.JGK, Win32/Bifrost.CM, W32/Delf.ATGM, Trojan:Win32/Meredrop, Trojan Horse, Win32/Bifrose.ACI, Backdoor.Bifrose.E
طبعا الاسماء فوق لاحظ انها تختلف حسب نوع برنامج الحمايه
ينتشر و يصيب الملفات التاليه او يعدل عليها او ينشئها
[%SYSTEM%]\plugin1.dat
[%SYSTEM%]\SysPr.prx
[%WINDOWS%]\plugin1.dat
[%WINDOWS%]\SysPr.prx
[%PROFILE%]\Local Settings\otynb.exe
[%PROFILE_TEMP%]\vndoe.exe
[%SYSTEM%]\Movesearch.exe
[%SYSTEM%]\msconf.exe
[%SYSTEM%]\serier.exe
[%SYSTEM%]\vndoe.exe
[%SYSTEM%]\Wintemp.exe
[%WINDOWS%]\msnmess79.exe
ينشيء الفولدران التاليان
[%PROGRAM_FILES%]\Bifrost
[%PROGRAM_FILES%]\Nvidia Mgr
يضع المفاتيح التاليه في محرر النظام
HKEY_CURRENT_USER\software\wget
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{9b71d88c-c598-4935-c5d1-43aa4db90836}
HKEY_LOCAL_MACHINE\software\wget
HKEY_LOCAL_MACHINE\software\xvid
HKEY_CURRENT_USER\software\bifrost
HKEY_CURRENT_USER\software\nvidia manager
HKEY_CURRENT_USER\software\skav
HKEY_CURRENT_USER\software\skavx
HKEY_LOCAL_MACHINE\software\bifrost
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{4535f32f-d292-b784-7926-7419ade0a94b}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{df709a68-7856-4acf-2b73-8e9a4693507c}
HKEY_LOCAL_MACHINE\software\mscrop
HKEY_LOCAL_MACHINE\software\skav
HKEY_LOCAL_MACHINE\software\skavx
و يضع القيم التاليه في محرر النظام
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run, startkey=[%SYSTEM%]\rundf.exe
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run, startkey=[%SYSTEM%]\win32.exe
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run, startkey=[%SYSTEM%]\winampXP.exe
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run, startkey=[%SYSTEM%]\winlog.exe
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run, startkey=[%SYSTEM%]\winsystem.exe
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run, startkey=[%SYSTEM%]\winupdate.exe
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run, startkey=[%SYSTEM%]\ypager.exe
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run, startkey=[%WINDOWS%]\svchost.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run, startkey=[%SYSTEM%]\win32.exe
HKEY_CURRENT_USER\software\microsoft\windows\curre ntversion\run, imjpmilg9.2=
HKEY_CURRENT_USER\software\microsoft\windows\curre ntversion\run, sokey=
HKEY_CURRENT_USER\software\microsoft\windows\curre ntversion\run, startkey=
HKEY_CURRENT_USER\software\mscrop, klg=
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{a5cdf7ec-751b-46aa-ad69-4005fe080de8}, stubpath=[%SYSTEM%]\winweb.exe s=
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{a5cdf7ec-751b-46aa-ad69-4005fe080de9}, stubpath=[%SYSTEM%]\winrss.exe s=
HKEY_LOCAL_MACHINE\software\microsoft\windows\curr entversion\run, sokey=
HKEY_LOCAL_MACHINE\software\microsoft\windows\curr entversion\run, startkey=
HKEY_LOCAL_MACHINE\software\nvidia manager, nck=
المصدر
http://www.exterminate-it.com/malpedia/remove-bifrost
www.threatexpert.com/ (http://www.threatexpert.com/)
http://www.spywarelib.com/remove--Trojan-Dropper-frijoiner-asy.html
اتمنى ان تعم الفائده و
و الله اعلم
مجهود تشكر عليه ياعزيزي ,, وكل اللي بحثت عن هو عين الصواب :)
والبيروفست برنامج خطير جداً يمكنك من التحكم شبه الكامل في جهاز الضحية ويستخدمه أغلب الهكر العربي لسهولته وقوت أداه
hamamo
10-05-2009, 07:30 PM
مجهود تشكر عليه ياعزيزي ,, وكل اللي بحثت عن هو عين الصواب :)
والبيروفست برنامج خطير جداً يمكنك من التحكم شبه الكامل في جهاز الضحية ويستخدمه أغلب الهكر العربي لسهولته وقوت أداه
[/CENTER]
في الخدمه
اسلام اباد
10-05-2009, 07:56 PM
اخوي انا طلعلي عدة قيم من t0 الى t9
أحذفهم كلهم ولأ كيف
موفق
Mr Nawaf
10-05-2009, 08:56 PM
اخوي انا طلعلي عدة قيم من t0 الى t9
أحذفهم كلهم ولأ كيف
موفق
نعم أحذفهم
Hi Tech
10-05-2009, 11:47 PM
الشرح رائع وهذهه النتيجه
تنويه - بالمرة الاولى لم احصل على الشباك الصغير بحخصوص اهاء البحث اذ قام بفتح الوندو الخلفي كما تروه اي بيان لقيم
ثم اعدد البحث فضهر الشباك المطلوب
ارجو ان اكون فهمت الموضوع وانه لا يوجد اختراق لجهازي
فلم اجد قيم nck
http://img413.imageshack.us/img413/4756/nckchick.jpg
Water..Drop
11-05-2009, 12:53 AM
مشكوووووووووور كتييييييير
السيف_الذهبي
11-05-2009, 02:04 PM
شكرا نواف
وشكرا hamamo
على كل بعد البحث و التقصي توصلت الى ما يلي
الذي يصيب الجهاز هو تروجان اسمه Bifrost
معروف بالاسماء التاليه
[Kaspersky] Trojan.Win32.Pakes, Backdoor.Win32.Bifrose.bk, Backdoor.Win32.Bifrose.ri, Backdoor.Win32.Bifrose.aba, Backdoor.Win32.Bifrose.axe, Trojan-Dropper.Win32.Delf.wj, Backdoor.Win32.Bifrose.adr, Backdoor.Win32.Bifrose.yg
[McAfee] Backdoor-CEP.svr, BackDoor-CEP, BackDoor-CEP.svr, BackDoor-CWT.dr
[F-Prot] W32/BifrostX.DKP, W32/Trojan.CTU
[Other] Bifrose.D, Win32/Bifrost!generic, Backdoor.Bifrose, Win32/Bifrost.BN, Troj/Delf-EXC, Win32/Bifrost.BS, VirTool:Win32/Obfuscator.C, BKDR_BIFROSE.QV, Troj/Bckdr-PQZ, Win32/Bifrost.CG, W32/Bifrose.JGK, Win32/Bifrost.CM, W32/Delf.ATGM, Trojan:Win32/Meredrop, Trojan Horse, Win32/Bifrose.ACI, Backdoor.Bifrose.E
طبعا الاسماء فوق لاحظ انها تختلف حسب نوع برنامج الحمايه
ينتشر و يصيب الملفات التاليه او يعدل عليها او ينشئها
[%SYSTEM%]\plugin1.dat
[%SYSTEM%]\SysPr.prx
[%WINDOWS%]\plugin1.dat
[%WINDOWS%]\SysPr.prx
[%PROFILE%]\Local Settings\otynb.exe
[%PROFILE_TEMP%]\vndoe.exe
[%SYSTEM%]\Movesearch.exe
[%SYSTEM%]\msconf.exe
[%SYSTEM%]\serier.exe
[%SYSTEM%]\vndoe.exe
[%SYSTEM%]\Wintemp.exe
[%WINDOWS%]\msnmess79.exe
ينشيء الفولدران التاليان
[%PROGRAM_FILES%]\Bifrost
[%PROGRAM_FILES%]\Nvidia Mgr
يضع المفاتيح التاليه في محرر النظام
HKEY_CURRENT_USER\software\wget
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{9b71d88c-c598-4935-c5d1-43aa4db90836}
HKEY_LOCAL_MACHINE\software\wget
HKEY_LOCAL_MACHINE\software\xvid
HKEY_CURRENT_USER\software\bifrost
HKEY_CURRENT_USER\software\nvidia manager
HKEY_CURRENT_USER\software\skav
HKEY_CURRENT_USER\software\skavx
HKEY_LOCAL_MACHINE\software\bifrost
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{4535f32f-d292-b784-7926-7419ade0a94b}
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{df709a68-7856-4acf-2b73-8e9a4693507c}
HKEY_LOCAL_MACHINE\software\mscrop
HKEY_LOCAL_MACHINE\software\skav
HKEY_LOCAL_MACHINE\software\skavx
و يضع القيم التاليه في محرر النظام
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run, startkey=[%SYSTEM%]\rundf.exe
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run, startkey=[%SYSTEM%]\win32.exe
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run, startkey=[%SYSTEM%]\winampXP.exe
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run, startkey=[%SYSTEM%]\winlog.exe
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run, startkey=[%SYSTEM%]\winsystem.exe
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run, startkey=[%SYSTEM%]\winupdate.exe
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run, startkey=[%SYSTEM%]\ypager.exe
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run, startkey=[%WINDOWS%]\svchost.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run, startkey=[%SYSTEM%]\win32.exe
HKEY_CURRENT_USER\software\microsoft\windows\curre ntversion\run, imjpmilg9.2=
HKEY_CURRENT_USER\software\microsoft\windows\curre ntversion\run, sokey=
HKEY_CURRENT_USER\software\microsoft\windows\curre ntversion\run, startkey=
HKEY_CURRENT_USER\software\mscrop, klg=
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{a5cdf7ec-751b-46aa-ad69-4005fe080de8}, stubpath=[%SYSTEM%]\winweb.exe s=
HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{a5cdf7ec-751b-46aa-ad69-4005fe080de9}, stubpath=[%SYSTEM%]\winrss.exe s=
HKEY_LOCAL_MACHINE\software\microsoft\windows\curr entversion\run, sokey=
HKEY_LOCAL_MACHINE\software\microsoft\windows\curr entversion\run, startkey=
HKEY_LOCAL_MACHINE\software\nvidia manager, nck=
المصدر
http://www.exterminate-it.com/malpedia/remove-bifrost
www.threatexpert.com/ (http://www.threatexpert.com/)
http://www.spywarelib.com/remove--Trojan-Dropper-frijoiner-asy.html
اتمنى ان تعم الفائده و
و الله اعلم
يظهر ان النسخة التالية من البايفروست مطورة بينما النسخة العادية لا تعمل مثلها
Hi Tech
13-05-2009, 05:37 AM
ارجو مراجعة مشاركتي رقم 25 من صاحب الموضوع والرد وشكرا
الرابط :
http://www.absba.org/vb/showpost.php?p=7337302&postcount=25
Mr Nawaf
13-05-2009, 10:00 AM
ارجو مراجعة مشاركتي رقم 25 من صاحب الموضوع والرد وشكرا
الرابط :
http://www.absba.org/vb/showpost.php?p=7337302&postcount=25
العتب على النظر ما أنتبهت للرد أحذفهم بحيث إذا بحثت بوسطة كلمة nck ما يطلع لك شيء
عشان القيم تنسجل با أسماء مختلفة :)
naiefkurde
13-05-2009, 02:44 PM
Mr Nawaf شــــــــــــــــــــكـــــــــــــــــــراً على هذا الشرح الرائع:)
binhadi
13-05-2009, 05:50 PM
وضعت الأمر الذي قلت عليه وتفتح شاشة سريعة ثم تختفي وعندما أكتب regedit تظهر لي العبارة التالية
تم تعطيل تحرير التسجيل من قبل المسئول
كولونى
13-05-2009, 06:34 PM
بارك الله فيك
(أبو أحمد)
17-05-2009, 04:27 PM
شكرا لك اخي الكريم
ولكن لم تظهر لدي الرسالة التي تفيد بأن جهازي سليم
وهي كما موضح أعلاه (تم إنتهاء البحث في التسجيل)
ولم تظهر أيضا القيمة المذكورة بأن جهازي مخترق وهي كما ذكرت
nck
بل ظهرت قيمتان مختلفتان تحت القيمة الإفتراضية
بمسمى clsid
و
phoneMap
فأرجو الإفادة في هذا وشكرا جزيلا
Mr Nawaf
20-05-2009, 01:45 PM
شكرا لك اخي الكريم
ولكن لم تظهر لدي الرسالة التي تفيد بأن جهازي سليم
وهي كما موضح أعلاه (تم إنتهاء البحث في التسجيل)
ولم تظهر أيضا القيمة المذكورة بأن جهازي مخترق وهي كما ذكرت
nck
بل ظهرت قيمتان مختلفتان تحت القيمة الإفتراضية
بمسمى clsid
و
phoneMap
فأرجو الإفادة في هذا وشكرا جزيلا
أحذفهم عشان القيم تنسجل با أسماء مختلفة :)
Mr Nawaf
20-05-2009, 01:47 PM
وضعت الأمر الذي قلت عليه وتفتح شاشة سريعة ثم تختفي وعندما أكتب regedit تظهر لي العبارة التالية
تم تعطيل تحرير التسجيل من قبل المسئول
راجع الرد رقم 11
moheem99999
28-06-2009, 10:58 PM
غفر الله لك
عمري2
29-06-2009, 04:28 AM
ما شاء الله
ممتاز
جزاك الله خيرا أخي . . . . وإلى الأمام . .
Mr Nawaf
30-08-2009, 01:16 AM
^
شكراً لكم على المرور
Hano04
30-08-2009, 02:55 AM
اخوي جيت باحذف القيم قالي قير قادر علي الحذف القيم
ارجو الافادة
عند القيام بعملية البحث يتوقف عند هذه القيمة KB952677
ماذا يقصد
تحياتي
badr_2005
17-09-2009, 01:57 PM
بسم الله الرحمن الرحيم ..
آسعد الله صباحكم بالــود ,,
لا يخفى عليكم مدى خطورة أختراق الأجهزة خصوصاً إذا كان الجهاز
يحتوى على صور شخصيه ومستندات مهمة ,,
لذلك علينا حماية أنفسنا بكل وسيله نستطيع آقتناها ,,
[آقـــدم لـكـم الــيـــوم]
طريقة بسيطه جداً لحذف قيم الباتش التابع لبرامج الهكرز من محرر التسجيل ,,
, , ,
نبدأ بسم الله
.:: الـخـطـوه الأولــى ::.
توجه إلى قائمة ابدأ وأختر منها [تشغيل] وأكتب regedit ثم أضغط موافق
http://upload.traidnt.net/upfiles/WSo28625.gif
.:: الـخـطـوه الـثـانـيـه ::.
من أعلى المحرر أختر قائمة تحرير >> بحث
http://upload.traidnt.net/upfiles/7Do28824.gif
.:: الـخـطـوه الـثـالـثـه ::.
في مربع البحث أكتب كلمة nck ثم أضغط بحث عن التالي ..
http://upload.traidnt.net/upfiles/wA628894.gif
بعد الضغط على زر البحث أنتظر قليلاً
http://upload.traidnt.net/upfiles/Xxx29018.gif
.:: الـخـطـوه الـرابـعـه ::.
إذا شاهدت هذا الرسالة فا هذا يعني إن جهازك سليم ولله الحمد ,,
http://upload.traidnt.net/upfiles/ATd29106.gif
لكن إذا وجدت هذه القيمة فتأكد إن جهازك قد تعرض للأختراق ,,
قم بتحديدها وحذفها فوراً ثم أعد البحث مره أخرى للتأكيد فقط
http://upload.traidnt.net/upfiles/cYv29296.gif
عند حذف أي قيمه تخرج لك هذه الرساله أضغط نعم ,,
http://upload.traidnt.net/upfiles/Xvc33650.gif
::
::
::
.:: آنـتـهـى تـح ـيـتي لـ الـج ـمــيــع ::.
::
::
::
ملاحظــة : لا تنسى إعادة تشغيل الجهاز بعد حذف القيمة.
مشكور اخى الكريم بس عندى ملاحضه الباتش يمكن انا يتم تغير اسمه الى اي اسم واي صيغه وبالحاله لايمكن اكتشافه من قبل الانتى فايروس وكذايكون تم اختراق جهاز الضحيه وهالطريقه لايمكن انا تكشف السيرفر او الباتش من الريجستر هل وضحت الفكره اخى الكريم وبالتوفيق
qcios
18-09-2009, 03:31 AM
اخي انا اوجت اكثر من 60 قيمه !!!!
هل معنى ذالك ان جهازي مفتح للجميع ام ماذا؟؟؟
انا مسحت ال 60 قيمه انشاء الله كده كفايه ولا اش اسوي؟؟؟؟؟ حيران مع هالكاسبر سكاي والله يبدو ماله لزمه
Mr Nawaf
15-10-2009, 09:14 PM
ياأخوان سبق وأن قلت إنك اذا قمت بالبحث عن قيمة nck وظهرت قيم أخرى قم بحذفها ..
مشكور اخى الكريم بس عندى ملاحضه الباتش يمكن انا يتم تغير اسمه الى اي اسم واي صيغه وبالحاله لايمكن اكتشافه من قبل الانتى فايروس وكذايكون تم اختراق جهاز الضحيه وهالطريقه لايمكن انا تكشف السيرفر او الباتش من الريجستر هل وضحت الفكره اخى الكريم وبالتوفيق
يالغالي هذا قيمة برنامج الـ Bifrost ولو كان أسم الـ Server >> مثل Trojan أو أي اسم أخر راح تكون القيمة لجميع الباتشات هي Nck وللبحث عن مسجل الكيلوجر أبحث عن القيمة Klg
abo ibrahim 26
24-10-2009, 03:09 PM
شكرا لك
عندما احاول حذف القيمة لا استطيع:confused:
m_selim
24-10-2009, 04:42 PM
يا اخي مفتاح الرجستري الموجود في موضوعك له علاقة بتروجان اسمه bifrost يعنى واحد من مئات الالاف من التروجانات والروت كت وليس دليل على اختراق جهازك من كل البرامج كما تقول !!!!!!!!!!!
F1laptop
18-11-2009, 03:22 PM
بارك الله فيك
mhemam2005
08-12-2009, 02:25 AM
اخى نواف فعلا تم اختراقى من ناحية الهاكر ببرنامج بيفروست وقمت بمسحة من مكان وجودة فى بارتيشن C
وقمت بالبحث كما كبت فى محرر السجل ووجدت تلك القيمة
http://upload.traidnt.net/upfiles/cYv29296.gif
وقمت بسمحها وتنظيف الجهاز وعمل ريستارت وند اعادة البحث ترجع كما كانت مسحتها مرتين ولا زالت نقفس الحالة بعد مسحها اقوم بالتجربة مرة اخرة والبحث وتظهر
هذة الصورة
http://upload.traidnt.net/upfiles/ATd29106.gif
وبعد عمل ريستارت او غلق الجهاز ترجع كما كانت نفس قيمة ال
NUK
فما الحل مع العلم ان الهاكر قام بطلبنى فى الماسينجر لانة كان مضاف عندى وتحدث الى وقام بحسب ملفات من جهازى وتصوير سطح المكتب عندى برجاااااااااااااء الرد انا فى ورطة كبيرة
السندبااد
08-12-2009, 03:38 AM
جزاك الله خيراً وباارك فيك
m7md s3d
08-12-2009, 03:58 AM
momtaz