|
الكشف يدويا بدون برنامج عن اثر سرفات XtremeRAT | Bifrost | Spynet | Dark comet | Nj Rat
http://www.sqebd.com/vb/img2013/test_1370012323_568.png الْحَمْدُ لِلِهُ الَّذِي خَلَّصَ قَلُوبُ عُبَّادِهِ المتقين مِنْ ظُلْمِ الشَّهَوَاتِ وَأَخْلُصُ عُقُولَهُمْ عَنْ ظُلَمِ الشُّبْهَاتِ أَحَمْدَهُ حَمْدِ مِنْ رَأَى آيات قُدْرَتَهُ الْباهِرَةِ وَبَراهينَ عَظْمَتِهِ الْقَاهِرَةِ وَأَشْكُرُهُ شُكْرَ مِنْ اِعْتَرَفَ بِمُجِدِّهِ وَكَمَالَهُ وَاِغْتَرَفَ مِنْ بَحْرِ جُودِهِ وَأَفْضَالَهُ وَأَشْهَدُ أَنْ لَا إلَهَ إلّا اللهَ فَاِطْرَ الأرضين وَالسَّمَاواتَ شَهَادَةَ تُقَوِّدُ قَائِلُهَا إِلَى الْجَنَّاتِ وَأَشْهَدُ أَنْ سَيِّدَنَا مُحَمَّدَا عَبْدِهِ وَرَسُولَهُ وَحَبيبَهُ وَخَلِيلَهُ وَالْمَبْعُوثَ إِلَى كَافَّةٍ الْبَرِّيَّاتِ بالآيات الْمُعْجِزَاتِ وَالْمَنْعُوتِ بِأشرفِ الْخِلاَلِ الزّاكِيَاتِ صَلَّى اللَّهُ عَلَيه وَعَلَى آله الْأئِمَّةَ الْهُدَاةَ وَأَصْحَابَهُ وَالصَّلاَةِ وَالسّلامِ عَلَى النَّبِيِّ الْمُصْطَفى وَالرَّسُولِ المجتبى الْمَبْعُوثَ رَحْمَةَ لِلْعَالِمِينَ وَقُدْوَةَ لِلْمَالِكِينَ وَعَلَى آله وَصَحِبَهُ وَمِنْ تَبِعَهُمْ بِإحْسَانِ إِلَى يَوْمِ الدِّينِ http://www.sqebd.com/vb/img2013/test_1370012322_639.png سنبدأ بالمفضل لدي DARK Comet http://www.sqebd.com/vb/img2013/test_1370012325_724.png أولا إفتح run وكتب %appdata% http://www.sqebd.com/vb/img2013/test_1370012325_246.png اضغط ok سيضهر لك مجلد مثل الصورة إذا وجدت مجلد إسمه dclogs فاعلم أنك مصاب بسرف Dark comet هذا المجلد يحتوي على ملفات الكيلوغر أي كل ماكتبته مخزن في ملف ذو امتداد .dc http://www.sqebd.com/vb/img2013/test_1370012323_602.png http://www.sqebd.com/vb/img2013/test_1370012322_639.png Nj Rat --------- ابق في نفس المجلد و هذه المرة إبحث عن ملفات ذات امتداد exe.tmp. وستجد بالقرب منها برنامج له نفس الإسم مثال yu.exe.tmp yu.exe ثم أدخل إلى مجلد بدأ التشغيل dossier de démarrage في وندوز 7 http://www.sqebd.com/vb/img2013/test_1370012322_650.jpg في xp Démarrer > Tous les programmes > Démarrage إذا وجدت برنامج اسمه هكذا 45ca55fc1756e880072f0dde4455397b.exe اسم طويل به أرقام و حروف و ادخل هنا HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Run HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run ستجده فإنك مصاب بسرف nj http://www.sqebd.com/vb/img2013/test_1370012322_639.png spy-net ندهب لمجلد الملفات المؤقتة http://www.sqebd.com/vb/img2013/test_1370012324_689.jpg ثم ابحث عن ملف ذو امتداد .xXx أو ملف اسمه XX--XX--XX.txt اذا وجدته فأنت مصاب http://www.sqebd.com/vb/img2013/test_1370012322_639.png 4- bifrost وهو من أقدم المحاربين (ههه كان يستعمله جدى في التجسس على المستعمر الفرنسي) إفتح الرجستر http://www.sqebd.com/vb/img2013/test_1370012325_554.png و ادهب إلى هذا المسار HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components http://www.sqebd.com/vb/img2013/test_1370012323_174.png حتى تجد مفتاح اسمه StubPath =C:\Program Files\Bifrost\server.exe s ما باللون الأحمر يمكن أن يتغير تلك s في الأخير ضرورية إذا وجدته ادخل لذالك المسار و حذفه و أعد تشغيل الحاسوب http://www.sqebd.com/vb/img2013/test_1370012322_639.png XtremeRAT ادخل http://www.sqebd.com/vb/img2013/test_1370012325_246.png و ابحث عن مجلد \Microsoft\Windows\ ستجد به ملفات ذات امتداد .dat وهو مجل الكيلوغر وفي الاخير تقبلو تحيياتي :SnipeR (69)::SnipeR (69): MisterMDE999:SnipeR (69)::SnipeR (69): https://encrypted-tbn1.gstatic.com/i...8NTQ7bqLwAeDWe |
رد: الكشف يدويا بدون برنامج عن اثر سرفات XtremeRAT | Bifrost | Spynet | Dark comet | Nj Rat
الله يعطيك الف عافية
جاري التجربة |
رد: الكشف يدويا بدون برنامج عن اثر سرفات XtremeRAT | Bifrost | Spynet | Dark comet | Nj Rat
يعطيك العافية لاهنت على الطرح تم تقيمك بس في ملاحظة بالشرح الحقوق تقبل مروري المتواضع |
رد: الكشف يدويا بدون برنامج عن اثر سرفات XtremeRAT | Bifrost | Spynet | Dark comet | Nj Rat
يعطيك العافيةة,ِ
جاري التجربةةِ لاهنت على الطرح |
رد: الكشف يدويا بدون برنامج عن اثر سرفات XtremeRAT | Bifrost | Spynet | Dark comet | Nj Rat
شكرا
شرح رائع لكشف جميع السيرفرات شكرا لك |
رد: الكشف يدويا بدون برنامج عن اثر سرفات XtremeRAT | Bifrost | Spynet | Dark comet | Nj Rat
طريقة ممتازة وسريعة يسلمو
|
| الساعة الآن 04:45 PM |
Powered by vBulletin® Copyright ©2000 - 2025, Jelsoft Enterprises Ltd.
development-point