تحلیل شامل لملف النظام Svchost.exe وكشف ما ان اصيب بفيروس

بسم الله الرحمان الرحيم  و الصلاة و السلام على أشرف المرسلین

إما بعد

----------------------------------------

°¨¨™¤¦ درس اليوم من الدروس التي استفدت منها شخصيا لاهميته هو : كل شيء حول الملف Svchost.exe ¦¤™¨¨° 

نلتقي الیوم في تحلیل شامل لملف النظام Svchost.exeطبعا هو ملف أساسي من ملفات انضمة التشغيل ويندوز

ويجب عليك ان تتعرف عليه لانه المسوول الاول على اتصال النضام بالشبكات سواءا كانت محلية او عالمية | الانترنت |

نحن نعرف أن الكثیر يعاني من مشاكل مع Svchost.exe

ويظن انه فیروس . ممكن 

نبدأ أولا ھذا الملف السلیم :

svchost.exe

ويكون مساره ھكذا :

C:/windows/system32/svchost.exe

أي مكانه في مجلد System32 الذي يوجد هو الأخر في مجلد النظام Windows

-----صورة توضيحية من ملفات النضام ------

------صورة البروسيس وهو قيد التشغيل --------

والآن نأتي إلى البروسیسات الخبیثة المشابھة له وهي كتيرة جدااا

· الحالة الأولى :

يكون له اسم بنفس اسم البروسیس السليم مع زيادة » <~~ « ، <~~ svchost.exe

إذا كیف سنعرف انه سلیم أو ضار ؟

نلاحظ مساره في هده الحالة

C:/system32/svchost.exe

نلاحظ من مساره انه يثیر الريبة كونه داخل مجلد ليس ضمن المجلد الرئيسي للنظام 

لكن الحقیقة انه ضار ،ھذا لان البروسیس السلیم يكون مساره ھكذا كما ذكرنا في مقدمة الموضوع

C:/windows/system32/svchost.exe

نلاحظ ھنا :

C:/system32/svchost.exe

، نلاحظ انه مباشرة في32 System ولا يوجد ملف Windows لدى فهو ملف ضار يختبأ في مكانه الجديد ^^

·         الآن إلى الإصابة الأخرى :

ھاھي :

C:/windows/system32/svhost.exe

ستقول لي إن مساره صحيح هده المرة سأقول لك تمعن جيدا في الاسم ^^

لكن البروسیس ھنا ضار كیف سنعرف ھذا 

نلاحظ ھنا :

C:/windows/system32/svhost.exe

نلاحظ الاسم الاخیر :

ممممممم ماذا لاحظتم ،

نرى أن حرف C ناقص 

ونحن نعرف ان الملف الرئیسي والسلیم ھو Svchost.exe

ھنا يتبین انه مصاب.

· ننتقل الى الاصابة الاخرى :

وھو غالبا مايسقط مستخدمي الكمبيوتر في فح تشابھه ھو سطر الخاص بالمیكروسوفت :

C:\WINDOWS\system32\svchost.exe

والحقیقة ھو لیس الملف ذاك بل ھو خدعة لايھام الضحیة

ويكون الفرق بینھما ھنا :

C:\WINDOWS\system32\svchost.exe : الملف السلیم

C/windows/system32/svcnost.exe : الملف الخبیث

N و h وتكمن الخدعة في الحرفین

والحقیقة ان الملف السلیم ھو الأول أي svchost.exe

أما الملف الأخر أي svcnost.exe

يعتبر تروجانا حديثا ظھر في سنة 2011

ويسمى : trojan.wemon

بالنسبة للملفات فھو يضیف هده الملفات كما انه يعدل بعض قيم الروجيستري لضمان حسن عمله 

- كتعطيل > Gestionnaire des taches < أو >task manager< حتى لا تستطيع اكتشافه أو توقيفه عن العمل

C:\Documents and Settings\[UserName]\Application Data\download2\svcnost.exe

C:\Documents and Settings\[UserName]\Application Data\antispy.exe

Temp%\8762345.exe%

Temp%\8887647.exe%

Temp%\171764.exe%

Temp%\2.tmp%

Temp%\3.tmp%

Temp%\dfggdffgsdf.bat%

[file and pathname of the sample #1]

C:\Program Files\Internet Explorer\svcnost.exe

Temp%\svcnost.exe%

C:\Windows\System32\svcnost.exe

صور لبعض المشاكل الاخرى التي يحدتها هدا الملف في حالة اصابته

|مشكل خطا في الملف يجب استبداله |

  

|خطا اخر وهده المرة على مستوى الداكرة |

| و الاهم من دالك كله |

يجب التدقيق في هاته الحالة لدينا الملف سليم من حيت الاسم لكن اود ان اوضح لكم شيء و هو عم تجربة شخصية و لا تقبل الخطئ

هو ان هدا الملف دائما ما ياخد صفة System او Network service او Local Service كما توضح الصورة السابقة لدا ان وجدت ان للملف او البروسيس خاصية Administrateur كما لدينا في الصورة |RANIA | فتاكد انه مصاب بالفعل الا في بعض الحالات ادا كنت تستعمل احد برامج الشبكات المحلية ك WampServer فقد ينشا الملف عن طريقه .

لدا هنا تكمن عملية مراقبة عمله ببستعمال احد برامج Hijachthis لتحليل البرامج التي تشتغل مع النضام

لتجربته اضغط هنا

نأتي ألان إلى طريقة حذفه في حالة الإصابة

وطريقة حذف لتروجان تكمن في إتباع ھذا المراحل بعناية :

إيقاف خاصیة استعادة النظام والدخول للوضع الآمن

من خلال التاسك مانجر: إيقاف البروسیس الرئیسي والذي يسمى svcnost.exe 

أصبحت طريقة حذفه سھلة لأنه لیس روتكیت بل ملفه الرئیسي والعامل ظاھر للعیان

من برنامج hijackthis وحذف البروسیس أيضا من قائمة running process

ثم تحمیل برنامج ccleaner

لحذف المخلفات النت وبما آن التروجان يضع قیم في ملفات <Temp>التي تعتبر مخلفات فسیتم حذفھا وھي كالأتي :

Temp%\8762345.exe

Temp%\8887647.exe%

Temp%\171764.exe%

Temp%\2.tmp%

Temp%\3.tmp%

Temp%\dfggdffgsdf.bat%

[file and pathname of the sample #1]

تم نحمل برنامج أتبت جدارة في حماية الحواسب مقدم من شركة Emsisoft اسمه < Emsisoft Emergency Kit > 

لتجربة البرنامج اضغط هنا

تم أخر مرحلة هي استعادة بعض ملفات النظام في حالة ما عطلها الفيروس لضمان عمل النظام بكفاءة 

و إصلاح لملفات التشغيل:

sfc/scannow

وھاھي الطريقة :

أولا يجب ان نضع نفس ال cd الذي فرمط به الجھاز في قارئ الأقراص أو قرص يحتوي على نفس نسخة نضام التشغيل الذي لديك

من,démarrer نكتب الأمر التالي في Executer  

sfc /scannow

و إذا ظھرت رسالة نضغط فقط على recommencé ودعه حتى ينتهي 

و ذلك لاستعادة ملفات نظام التالفة و تعويضھا بملفات جديدة من CD

<< لتحميل الموضوع >>

اتمنى ان يعجبكم الموضوع و الى اللقاء في موضوع و درس جديد انشاء الله

دائما لزيارتنا على الفيسبوك

تصنيف : تبادل الخبرات في مجال الحاسوب