zidanimeh

Excellent

test_1370012323_568.png



الْحَمْدُ لِلِهُ الَّذِي خَلَّصَ قَلُوبُ عُبَّادِهِ
المتقين مِنْ ظُلْمِ الشَّهَوَاتِ وَأَخْلُصُ عُقُولَهُمْ عَنْ ظُلَمِ الشُّبْهَاتِ أَحَمْدَهُ
حَمْدِ مِنْ رَأَى آيات قُدْرَتَهُ الْباهِرَةِ وَبَراهينَ عَظْمَتِهِ الْقَاهِرَةِ
وَأَشْكُرُهُ شُكْرَ مِنْ اِعْتَرَفَ بِمُجِدِّهِ وَكَمَالَهُ وَاِغْتَرَفَ مِنْ بَحْرِ
جُودِهِ وَأَفْضَالَهُ وَأَشْهَدُ أَنْ لَا إلَهَ إلّا اللهَ فَاِطْرَ الأرضين وَالسَّمَاواتَ
شَهَادَةَ تُقَوِّدُ قَائِلُهَا إِلَى الْجَنَّاتِ وَأَشْهَدُ أَنْ سَيِّدَنَا مُحَمَّدَا عَبْدِهِ وَرَسُولَهُ
وَحَبيبَهُ وَخَلِيلَهُ وَالْمَبْعُوثَ إِلَى كَافَّةٍ الْبَرِّيَّاتِ بالآيات الْمُعْجِزَاتِ وَالْمَنْعُوتِ
بِأشرفِ الْخِلاَلِ الزّاكِيَاتِ صَلَّى اللَّهُ عَلَيه وَعَلَى آله الْأئِمَّةَ الْهُدَاةَ وَأَصْحَابَهُ
وَالصَّلاَةِ وَالسّلامِ عَلَى النَّبِيِّ الْمُصْطَفى وَالرَّسُولِ المجتبى الْمَبْعُوثَ
رَحْمَةَ لِلْعَالِمِينَ وَقُدْوَةَ لِلْمَالِكِينَ وَعَلَى آله وَصَحِبَهُ وَمِنْ تَبِعَهُمْ
بِإحْسَانِ إِلَى يَوْمِ الدِّينِ


test_1370012322_639.png



سنبدأ بالمفضل لدي

DARK Comet

test_1370012325_724.png


أولا إفتح

run


وكتب %appdata%

test_1370012325_246.png



اضغط ok

سيضهر لك مجلد مثل الصورة

إذا وجدت مجلد إسمه dclogs

فاعلم أنك مصاب بسرف Dark comet

هذا المجلد يحتوي على ملفات الكيلوغر أي كل ماكتبته

مخزن في ملف ذو امتداد .dc

test_1370012323_602.png


test_1370012322_639.png




Nj Rat



---------
ابق في نفس المجلد

و هذه المرة إبحث عن ملفات ذات امتداد
exe.tmp.
وستجد بالقرب منها برنامج له نفس الإسم
مثال
yu.exe.tmp
yu.exe


ثم أدخل إلى مجلد بدأ التشغيل
dossier de démarrage

في وندوز 7

test_1370012322_650.jpg





في xp

Démarrer > Tous les programmes > Démarrage

إذا وجدت برنامج اسمه هكذا
45ca55fc1756e880072f0dde4455397b.exe

اسم طويل به أرقام و حروف

و ادخل هنا
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Run

HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run

ستجده



فإنك مصاب بسرف nj
test_1370012322_639.png


spy-net

ندهب لمجلد الملفات المؤقتة

test_1370012324_689.jpg


ثم ابحث عن ملف ذو امتداد .xXx


أو ملف اسمه XX--XX--XX.txt

اذا وجدته فأنت مصاب

test_1370012322_639.png


4- bifrost
وهو من أقدم المحاربين (ههه كان يستعمله جدى في التجسس على المستعمر الفرنسي)



إفتح الرجستر

test_1370012325_554.png





و ادهب إلى هذا المسار


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components

test_1370012323_174.png



حتى تجد مفتاح اسمه


StubPath =C:\Program Files\Bifrost\server.exe s

ما باللون الأحمر يمكن أن يتغير تلك s في الأخير ضرورية

إذا وجدته ادخل لذالك المسار و حذفه
و أعد تشغيل الحاسوب

test_1370012322_639.png


XtremeRAT

ادخل

test_1370012325_246.png


و ابحث عن مجلد


\Microsoft\Windows\

ستجد به ملفات ذات امتداد .dat

وهو مجل الكيلوغر

وفي الاخير تقبلو تحيياتي

:rolleyes::rolleyes:

MisterMDE999:rolleyes::rolleyes:

images
 

المواضيع المشابهة


رد: الكشف يدويا بدون برنامج عن اثر سرفات XtremeRAT | Bifrost | Spynet | Dark comet | Nj Rat

الله يعطيك الف عافية
جاري التجربة
 


رد: الكشف يدويا بدون برنامج عن اثر سرفات XtremeRAT | Bifrost | Spynet | Dark comet | Nj Rat

يعطيك العافية
لاهنت على الطرح
تم تقيمك
بس في ملاحظة بالشرح
الحقوق
تقبل مروري المتواضع

 


رد: الكشف يدويا بدون برنامج عن اثر سرفات XtremeRAT | Bifrost | Spynet | Dark comet | Nj Rat

شكرا
شرح رائع لكشف جميع السيرفرات
شكرا لك
 


رد: الكشف يدويا بدون برنامج عن اثر سرفات XtremeRAT | Bifrost | Spynet | Dark comet | Nj Rat

طريقة ممتازة وسريعة يسلمو
 

عودة
أعلى