برنامج Highjack This لاصلاح النظام بدون فورمات

اخواني الكرام

ترددت كثيرا قبل وضع هذا البرنامج لخطورة التعامل معه ورغم سهولة استخدام هذا البرنامج بعد معرفة كيفية عمله إلا انه يتطلب حرص شديد وانتباه في العمل من خلاله حتى لا يتسبب استخدامه في مشاكل للجهاز رغم توفر خاصية الاحتفاظ بنسخة احتياطية من أي عمل يتم القيام به

وباختصار البرنامج يقوم بفحص الجهاز وإظهار التطبيقات والقيم لعدد من العناصر الموجودة فعليا سواء الضرورية لتشغيل النظام والعمليات الجارية في الخلفية والبرامج أو غيرها فهو يعرض الموجود فعليا من تطبيقات وقيم وبعد ذلك يأتي دور المستخدم في التأكد من مخرجات البرنامج ليقرر ما يتم التخلص منها إذا وجد ما هو ضار أو غير مرغوب فيه وبقوم بفحص والإصلاح للمشاكل التي تعتري الجهاز نتيجة البرامج التجسسية أو التروجونات أو الفايروسات أو أي تطبيقات أو قيم ضارة من أي نوع كانت ويعرض الإضافات على المتصفح وبرامج بدء التشغيل ويتضمن خاصية الإصلاح وحفظ نسخة احتياطية أيضا backup

والبرنامج مجاني بالكامل حجمه 213 ك ب تقريبا
يمكنكم تحميل البرنامج من المرفقات

وفيما يلي لشرح سريع لعمل البرنامج

عمل فحص للجهاز

ثم حفظ النتيجة
بالضغط على

Do system scan and save a logofile




المستند الذي يتم حفظه وسيتم العمل من خلال محتوياته لاحق



تحديد المطلوب التخلص منه ثم ضغط Fix checked



استعادة ما تم حذفه




وقف عمل التطبيقات التي تعمل في الخلفية




حذف التطبيقات العاملة غير المرغوب فيها



كان ذلك بشكل مختصر وسريع طريقة استخدام البرنامج وبعض خواصه ولكن الأمر الأكثر أهمية هو كيفية التعرف على طبيعة وحقيقة المخرجات والتي ستكون ضمن الملف الذي تم حفظة كنتيجة لعملية الفحص من خلال البرنامج وقبل الشروع في ذلك لابد من توضيح معنى الرموز التي تظهر أمام كل بند من البنود المبينة في نتيجة عملية الفحص وهي كالتالي:



قبل البدء في شرح كيفية التعامل مع التقرير لابد من معرفة معنى الرموز التي تظهر في بداية كل سطر والتي تأخذ شكل أرقام أو حروف وهي كالتالي:



بالإضافة إلى ذلك سيتضمن التقرير التطبيقات العاملة (العمليات الجارية) في الخلفية Running processes وهي كالاتي:
المقصود بها التطبيقات والبرامج التي تعمل في الجهاز وتتضمن خدمات أو تطبيقات نظام التشغيل (الويندوز) والبرامج المعتادة وأي تطبيقات أخرى ويمكن الوصول اليها وإنهاء عملها كالتالي :

بالضغط على مفاتيح Ctrl + Alt + Delete
ستفتح لك نافذة المهام Task Manager
من الأعلى اضغط العمليات processes
حدد التطبيق المطلوب اضغط علية بيمين الفارة واختار انهاء عمله End Process Tree



فيما سبق شرح مختصر للبرنامج وكيفية عمل الفحص وبعض استخداماته ومعنى الرموز الظاهرة أمام بنود النتيجة أما الاستفادة الفعلية وهي الأهم من البرنامج تتمثل في تحليل المخرجات (التقرير) الذي يتم إعداده للتوصل إلى ومعرفة حقيقة التطبيقات العاملة والقيم المضافة



يجب الإشارة إلى أن التقرير سيتضمن الكثير من المخرجات ويبدأ التقرير ببيان

Logfile of HijackThis v1.97.7
Scan saved at 02:34:04 م, on 28/07/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) رقم وإصدارة البرنامج تاريخ ووقت حفظ نتيجة الفحص نوع وإصدارة نظام التشغيل (الويندوز نوع وإصدارة المتصفح الاكسبلورر)



أول جزء من التقرير هوRunning processes أي العمليات الجارية وهذا الجزء لا يظهر في عملية الفحص في البرنامج بشكل مباشر وإنما يظهر ضمن التقرير وأيضا من خلال
config >>> Misc Tools >>>Open Process Manager
و يتضمن جميع التطبيقات العاملة في الجهاز وهي:
تطبيقات خاصة بالنظام و تطبيقات خاصة ببرامج معروفة وأيضا تطبيقات خاصة ببرامج تجسسية أو تروجان أو فيروس اطلع على التطبيقات Processes الشائعة

طريقة العمل:
أولا : يتم التحقق من جميع هذه التطبيقات وطبيعة عملها وذلك من خلال الموقـــــــع التالــــــــي وهو من أفضل المواقع في هذا الشأن ويتم استبعاد جميع التطبيقات التي نتعرف عليها من خلال الموقع على إنها خاصة بالنظام أو ببرامج نعرفها

ثانيا : التطبيقات التي لا يمكن الاستدلال عليها من الموقع السابق:
بعد أن ننتهي من المرحلة الأولى والتي ستجعلنا نستبعد الجزء الأكبر من التطبيقات العاملة تتبقى بعض التطبيقات وهي قلة يتم البحث عن حقيقتها من خلال مواقع البحث المعتادة مثل جوجل أو غيرة واستنادا إلى نتائج البحث يمكن الاستدلال على حقيقة التطبيق أو بالاطلاع على إصدارة التطبيق لمن لديهم بعض الخبرة الطريقة انظر الطريقة بعناية:
معرفة التطبيق من إصدارته حيث يمكن التعرف أحيانا على نوعية التطبيق من خلال الاطلاع على إصدارته Version ولعمل ذلك إما بالوصول إلى ملف التطبيق مباشرة والضغط عليه بيمين الفارة واختيار خصائص أو من خلال برنامج HijackThis




وبعد الانتهاء ستكون لدينا النتيجة كالتالي حسب اللون:
تطبيقات خاصة بالنظام
تطبيقات خاصة ببرامج معروفة
تطبيقات خاصة ببرامج ضارة

Running processes: العمليات الجارية




هي البرامج التي تعمل مع بدء تشغيل الجهاز:
برامج بدء التشغيل Start Up هي البرامج التي تعمل مع تشغيل الجهاز ويمكن الوصول إليها من

من ابدأ Start
تشغيل Run
اكتب msconfig
موافق من الأعلى اختار بدء التشغيل sartup



وتأخذ الرقم O2 ضمن التقرير وقد تم تقديمها لأهميتها ولارتباطها الوثيق بالبند السابق وغالبا وبشكل عام فان التطبيقات التي تعمل ضمن بدء التشغيل يكون لها وجود ضمن التطبيقات العاملة في الخلفية وان كان هناك استثناءات لذلك لكن نتحدث هنا عن الغالب الأعم ويمكن الاستدلال عن حقيقة هذه التطبيقات من خلال
الموقــــــــــع التالــــــي وهو أيضا من أفضل المواقع على الإطلاق في هذا الشأن ويكون البحث من خلال الاسم المكتوب بين [xxxxxx] ويجب بذل بحث كافي مع حرص شديد نظرا لاستخدام بعض التطبيقات الضارة لأسماء خاصة ببرامج معروفة وهذا مثال على ذلك ولهذا التطبيق ستة احتمالات ccApp.exe التطبيق وكمثال على البحث النتيجة التالية لاحظ اللون:

اسم التطبيق (البرنامج)
ملف التطبيق معروف
ملف التطبيق غير معروف

O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [mfcoo.exe] C:\WINDOWS\system32\mfcoo.exe
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\System32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [WallSlide] C:\Program Files\Changer\Mover.exe Run
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe
O4 - HKLM\..\Run: [EXSHOW95.EXE] EXSHOW95.EXE
O4 - HKLM\..\Run: [Mouse Suite 98 Daemon] ICO.EXE
O4 - HKLM\..\Run: [webHancer Survey Companion] "C:\Program Files\webHancer\Programs\whSurvey.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe
O4 - HKLM\..\Run: [Athan] C:\Program Files\Athan\Athan.exe
O4 - HKLM\..\Run: [wdyeefcc] C:\WINDOWS\qqbcds.exe
O4 - HKLM\..\Run: [RunDLL] rundll32.exe "C:\WINDOWS\System32\bridge.dll",Load
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background

وفيما يلي القيم المضافة على المتصفح والمتعلقة بمختلف الاستخدامات كما هو مبين فيما بعد ويتم التعرف عليها بشكل عام من خلال التسميات الواردة ضمن كل بند إذا كانت تدل على برنامج نعرفه أو من خلال عنوان الموقع المبين ضمن البند نفسه وفيما يلي أمثلة لذلك



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = file:///C:/Program%20Files/Plus18Point/Portal/portal.html

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.naupoint.com/toolbar/ie.html

O2 - BHO: (no name) - {06849E9F-C8D7-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat Reader\ActiveX\AcroIEHelper.oc

O2 - BHO: (no name) - {9C691A33-7DDA-4C2F-BE4C-C176083F35CF} - C:\WINDOWS\System32\bridge.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar 888-423F-11D2-876E-00A0C9082467&راديو -} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar : FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O3 - Toolbar: NAUPOINTBAR - {4E7BD74F-2B8D-469E-95BE-B378BA9CB52D} - D:\WINDOWS\DOWNLO~1\NAUPOI~1.DLLl
O3 - Toolbar: Alexa - {3CEFF6CD-6F08-4e4d-BCCD-FF7415288C3B} - C:\WINDOWS\system32\SHDOCVW.DLL



O8 - Extra context menu item: &Web Search - C:\WINDOWS\WEB\selsearch.htm
O8 - Extra context menu item: &تصدير إلى Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Download using FlashGet - C:\PROGRA~1\FlashGet\jc_link_htm
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\WINDOWS\Downloaded Program
O8 - Extra context menu item: I&mages List - C:\WINDOWS\Web\imglist.htm
O8 - Extra context menu item: Open Frame in &New Window - C:\WINDOWS\WEB\frm2new.htm



O9 - Extra button: Msn Messenger (HKLM
O9 - Extra button: بحث (HKLM)
O9 - Extra button: Alexa (HKLM)
الأزرار المضافة Extra button
O15-Trusted Zone: *.greg-search.com المواقع الموثوقة Trusted Zone



O16 - DPF: {3E68E405-C6DE-4} (Office Update Installation Engine) - http://office.microsoft.com/officeup...ntent/opuc.cab

O16 - DPF: {56336BCB-3D8A-} (RdxIE Class) - http://software-dl.real.com/02ed578d...p/RdxIE601.cab

O16 - DPF: {9F1C11AA-49} (Update Class) - http://v4.windowsupdate.microsoft.co...code/iuctl.CAB

O16 - DPF:AC6AE(SymantecRegistryInformationClasshttp://security.symantec.com/sscv6//common/bin/cabsa.cab

O16 - DPF: {D27CDB6EC50000}(ShockwaveFlashObjec thttp://download.macromedia.com//shockwave//flash/swflash.cab

O16- DPF: {9076A11F-5EA6-4A67-BDE9-8D3C7C453DAC} - http://www.thecoolbar.com/installfiles/coolbar.cab

O16 DPF: {75D1F3B2-2A21-11D7-97B9-} (SecureLogin.SecureControl) - http:/secure2.comnedcom/...iveSecuritycab


وبعد تطبيق ما سبق سيكون التقرير لدينا قد اقتصر على العناصر غير المرغوب فيها فقط وسيكون بالشكل التالي:



طريقة حذف التطبيقات الضارة:
1. اما عن طريق برنامجنا هذا Hijack this او
2. للخبراء فقط للتعامل في الرجستري كالاتي:
فيما يلي خطوات حذف أي تطبيق (ملف تنفيذي) ضار أو غير مرغوب فيه سواء يخص فايروس أو برنامج تجسسي أو تروجان أو غيره وذلك بعد معرفة اسم التطبيق المراد التخلص منه ومساره ضمن المجلدات مثلا:
اسم التطبيق \C:\WINDOWS\SYSTEM32\IME

أما بقية القيم فيتم التخلص منها بواسطة نفس البرنامج بوضع علامة صح أمامها ثم الضغط على Fix checked








من ابدأ Start
تشغيل Run
اكتب regedit
موافق بعد فتح الريجستري
1. من تحرير Edit
2. نختار بحث Find



3. نكتب الاسم المطلوب البحث عنه
4. مع وضع علامة صح أمام ( مفاتيح / قيم/ بيانات )
5. نضغط Find Next



6. سيتوقف البحث على مفتاح أو قيمة تتضمن الأمر الذي يتم البحث عنه بعد التأكد
7. نضغط بيمين الفارة ونختار حذف
8. ثم نضغط مفتاح F3 لاستكمال البحث وحذف القيم وهكذا حتى الانتهاء من البحث في كل الريجستري





نفتح المجلد الموجود فيه الملف نضغط عليه بيمين الفارة نختار حذف ما لم يكن الملف مخفيا





بعد إتمام العمل يفضل التأكد من تفريغ سلة المهملات من محتوياتها





في المتصفح (الاكسبلورر) >> أدوات >> خصائص الانترنت >> عام

3. حذف الملفات
4. حذف ملفات الارتباط
5. تنظيف المحفوظات
موافق





من ابدأ >> تشغيل >> نكتب %temp% موافق
نحذف ما يمكن حذفه من محتويات مجلد Temp





1. الضغط بيمين الفارة على القسم المراد تنظيفه خصائص



2.. ثم نضغط (تنظيف القرص)
3. ونحدد ما نرغب في التخلص منه
4. ثم موافق



طريقة اظهار الملفات المخفية:
التغيير في خصائص عرض المجلدات
1. لإظهار الملفات والمجلدات المخفية
2. من لوحة التحكم control panel
3. خصائص المجلدات Folder Options
4. عرض View
1. وضع علامة أمام Show hidden files and folders
2. وإزالة علامة الصح من أمام Hide protected operating system files
6. ثم تطبيق Apply
7. ثم موافق Ok

بارك الله فيك وتسلم ايدك علي الطرح المميز