كيف أعرف إذا كان جهازي مصاب ببرمجيات خبيثه

من SalamaTech Wiki سلامتك ويكي
اذهب إلى: تصفح، ابحث

Malware-small.png

أعراض الإصابة بالبرمجيات الخبيثة

تشتمل اعراض الاصابه على ايا من الظواهى التاليه:

  • يكون الجهاز بطيئا اكثر من المعتاد
  • اخفاقات عشوائيه وتكرار حدوث أمور غير مألوفه (مثال: تضع بعض الفيروسات قيودا تمنع مدير المهام أو برامج الفحص الأخرئ من القيام بعملها)
  • يظهر مدير المهام استخداما عاليا لوحده المعالجه المركزيه فيما تعتقد انه خامل. (مثال: 5%)
  • ظهور الاعلانات بشكل عشوائي
  • تحذيرات عن فيروسات صادره عن مضاد فيروسات لا علم لك بوجوده على الجهاز (البرنامح مزيف ويريد ايهامك انه لديك فيروسات ذات اسماء مخيفه مثل bankpasswordstealer.vir'. يتم حثك على دفع المال للحصول عليه لتتخلص من هذه الفيروسات)
  • اعاده توجيه صفحات الإنترنت او حجبها مثل صفحات مضادات الفيروسات كأن يتم مثلا توجيه صفحه: http://www.symantec.com/ , http://www.avg.com/, http://www.microsoft.com إلي صفحه تعج بالاعلانات او صفحات اخرى لمضادات فيروسات زائفه
  • زياده في وقت اقلاع الجهاز وأنت تعرف أنك لم تقم بتصيب الكثير من البرامج
  • اية أمور طارئه ستعرفها اذا كنت تعرف جهازك جيدا

كيف أتخلص منها؟

استخدام قرص مدمج حي

بما أن مضاد الفيروسات المصاب قد يكون معطلا أو قد تم التلاعب به، يفضل في هذه الحاله تشغيل مضاد الفيروسات من القرص المدمج الحي. يقوم القرص المدمج بإطلاق نظام تشغيل خاص على جهازك أو النطام الخاص بك لمعيانة القرص الصلب. توجد مثلا أنظمة إنقاذ لمضادات الفيروسات مثل:

ويمكنك العثور على مزيدا من المقترحات على:

ومنها:

  • Kaspersky Rescue CD
  • BitDefender Rescue CD
  • F-Secure Rescue CD
  • Avira Antivir Rescue Disk
  • Trinity Rescue Kit CD

•AVG Rescue CD

وصل القرص الصلب مع جهاز كمبيوتر آخر

  • عندما تقوم بوصل القرص الصلب مع جهاز آخر عليك تحديث تعريفات الفيروسات في جميع التطبيقات التي ستسخدمها على هذا الجهاز من أجل القيام بعملية الفحص قبل الشروع بوصله, والانتطار لمده اسبوع قبل القيام بالعمليه هذه يزيد من فرص نجاحها حيث يعطي الوقت لمضادات الفيروسات لتحديث قاعدة بياناتها‫.
  • عليك إبقاء الجهاز المصاب بعيدا مفصولا عن الإنترنت‫. وهو ما سيمنعه من تحميل إضافات جديده للفيروسات ‫(بالإضافه لأشياء أخرى‫.
  • إبدأ العمل باستخدام أدوات جيده مثل Spybot Search and Destroy ‫] أو ‫Malwarebytes' Anti-Malware وقم بفحص كامل‫. كـذلك قم باستخدام ComboFix و ‫SuperAntiSpyware. لا يمكن لنطام واحد مضاد للفيروسات أن يحتوي على جميع التعريفات الفيروسيه المنتشره، فاستخدام عدة تطبيقات معا هو أمو آساسي وهام ‫(ليس لحمايه اللحظيه‫). وإذا ما بقي فيروس واحد على الجهاز فهذا يعني أنه قد يتمكن ثانية من تحميل وتنصيب النسخ الأحدث للفيروسات الجديده وشتضيه كل الجهود التي بذلتها هباءً.

قم بإزالة البرامج المشكوك فيها من الإقلاع

  1. أقلع الجهاز في الوضعيه الآمنه
  2. إستخدم ‫(msconfig) لمعرفة البرامج التي تعمل مع إقلاع الجهاز
  3. قم بإزالة أية برامج‫/خدمات مثيره للشك إن وجدت أو انتقل لاستخدام القرص المدمج الحي
  4. أعد التشغيل
  5. في حال عدم ذهاب الأعراض أو قيام البرنامج باستعادة نفسه عند الإقلاع حاول استخدام برنامج اسمه ‫Autoruns للعثور على البرنامج وقم بإزالته من هناك، وفي حال عدم قدرة جهازك على الاقلاع قم باستخدام الميزه التي تمكنك من ‫تشغيل , Autoruns من جهاز آخر والمسماه ‫("Analyse offline PC") ‫. انتبه على نحو خاص إلى لنوافذ Logon و Scheduled tasks‫. ‫
  6. إذا لم تتمكن من التخلص من البرنامج وكنت متأكدا أنه السبب في المشاكل التي يتعرض لها جهازك, أعد الإقلاع في الوضعيه العاديه ثم استعمل أداة اسمها ‫(Unlocker) وقم بالوصول إلى مكان الملف الـذي يشكل الفيروس واستخدم البرنامج المذكور للتخلص منه‫. يمكن آن تحدث بعض الأمور‫:
  • أن يتم مسح الملف ولا يظهر مجددا اثناء الإقلاع وهو الحاله المثاليه.
  • أن يختفي البرنامج ثم يظهر ثانية عند الإقلاع وهنا يمكنك استخدام برنامج يسمى ‫Process Explorer لمعرفة البرنامج الذي يخلق الملف واعمل على حذقه أيضا‫.
  • لا يمكن حذف الملف ويطلب منك برنامج unlocker حذفه عند الإقلاع‫. قم بهذا لترى إذا ما سيظهر من جديد، وفي حال ظهوره فعلا فهذا يعني وجود برنامج في الإقلاع يسبب ظهوره وعندها عليك إعادة فحص البرامج التي تعمل مع الإقلاع‫.

ماذا تفعل بعد الاصلاح

  • من المفترض ان الوضع قد أصبح الآن آمنا‫ للاقلاع من النظام المصاب سابقا. لكن عليك الانتباه لأية إشارات قد توحي بإصابات. فالفيروسات تحدث تغيرات في الجهاز تجعل من السهل عودتها حتى بعد الإزاله.
  • على سبيل المثال، إذا كان الفيروس قد قام بتغيير إعدادات (DNS) أو ال‫(Proxy)، سيقوم جهازك بتوجيهك إلى إصدارات وهمية للمواقع المشروعة، حيث أن تحميل ما يبدو أحد البرامج المعروفة والموثوق بها يمكن فعلا أن يكون تحميلا لفيروس.
  • يمكنها أيضا الحصول على كلمات السر الخاصة بك يإعادة توجيهك إلى مواقع لمصارف أو مواقع بريد إلكتروني وهمية. تحقق من إعداداتDNS والوكيل. في معظم الحالات، فهذه الاعدادات بوفرها مزود الانترنت ISP اويتم الحصول عليها تلقائياً من قبل DHCP. يجب تعطيل إعدادات الوكيل الخاص بك. قم بالتحقق من ملف الاستضافه (hosts file)هنا: (\%systemroot%\system32\drivers\etc\hosts) للبحث عن اي مدخلات غير موثوقه وقم بازالتها على الفور. *تأكد أيضا من ان الجدار الناري مفعل وانك حصلت على احدث ترقيات ويندوز.
  • الان عليك ان تحمي جهازك بمضاد فيروسات جيد التي يعد Microsoft Security Essentials واحدا منها الى جانب منتجات أخرى: http://superuser.com/tags/anti-virus/info

ما العمل حين تخفق كل المحاولات؟

  • علينا ان نعرف ان بعض البىرمجيات الضاره تجيد التخفي عن عمليات البحث والمسح بشكل كبير. ومن الممكن ان تقوم حين تصيب جهازك بتنصيب rootkits أو ما يشبهه لتبقي غير مرئيه. وحين تصل الامور الي درجه عاليه من السوء, عليك ان تمسح القرص وتعيد تنصيب نظام التشغيل من جديد ويبقى من الممكن اجراء مسح للقرص باستخدام GMER والذي قد يكشف لك عن وجود rootkit.
  • يكمكنك ايضا تشغيل Spybot Search and Destroy لبضع مرات فان اخفق بعد ثلاث مرات في إزالة الاصابه (ولم تفلح أنت في ازالتها يدويا) عليك التفكير في اعادة التنصيب.
  • يمكنك ايضا ان تجرب Combofix وهو أداة إزاله فعاله جدا حين يقوم rootkits بمنع التطبيقات الاخرى من التنصيب. إن استخدام محركات مسح عديده يساعد في العثور علي البرمجيات الضاره التي تجير الاختباء لكنه عمل مضن ويبقى المحافظه على خطه جيده للحافظ على نسخ احتياطيه امرا اكثر فعالية وأمانا.