• [ يمنع ] طرح أي موضوع يحوي على كراكات أو باتشات او كيجنات من غير فحصها عبر موقع فيروس توتال [ virustotal.com ] وطرح رابط الفحص ضِمن الموضوع.

شيل مشفر لاختبار برامج الحمايه

  • بادئ الموضوع بادئ الموضوع m0d!s@r7@n
  • تاريخ البدء تاريخ البدء
  • المشاهدات 2,411
الحالة
مغلق و غير مفتوح للمزيد من الردود.
tiktoshi قال:
كيهو عمل مشكل للهكر


مشاهدة المرفق 79178
أنقر للتوسيع...
البرنامج ليس له اي منهجيه للحكم علي الملفات اذ جميع الملفات التي وضعتها تم الكشف عنها بنفس التسميه رغم مدي تباينها الشديد في طريقه عملها والغرض منها
 

توقيع : m0d!s@r7@n
توقيع : m0d!s@r7@n
التحليل بالبرايفت فيروول .. ( الجدار الذي أعشفه عشقااا أبديااا ) :D


..


ملف يحاول التشغيل .. موفد التوضيح انه الملف غير موقع رقمياا ..


1uCs99Z.png


(y)

..



يحااول التعديل علي الريجستري المحمي .. القيمه مذكوووره بوصف الجداار

nuDxJKk.png



(y)

..


التعديل علي ملف محمي .. في التمب . بمسمي shell.exe
ssJfFl9.png


..


يحااول الحصول علي امتياازات عاليه .. للوصول لمناطق مححده من النظاام .. €

كمنطقه الكيرنال مثلا ..

IcEUSMd.png



..

(y)


..


يحاول تنفيذ عمليه .. عباره عن انشاء ملف ف التمب .. بمسمي 7z ..

nkuTvjO.png


( سلوك في قمه الروووعه ) ..

(y)


..
يحاول انهاء العمليه الفرعيه .. shell.exe ..


CuoBHZd.png



..


ثم اختفي الملف من العمليااات ..

:(:(:(

ولا أثر لـــه .. ولا اتصال كماان .. :(
 
توقيع : alaa8iniesta
m0d!s@r7@n قال:
البرنامج ليس له اي منهجيه للحكم علي الملفات اذ جميع الملفات التي وضعتها تم الكشف عنها بنفس التسميه رغم مدي تباينها الشديد في طريقه عملها والغرض منها
أنقر للتوسيع...

طريقة كيهو مثل جاموس

 
توقيع : tiktoshitiktoshi is verified member.
alaa8iniesta قال:
التحليل بالبرايفت فيروول .. ( الجدار الذي أعشفه عشقااا أبديااا ) :D


..


ملف يحاول التشغيل .. موفد التوضيح انه الملف غير موقع رقمياا ..


1uCs99Z.png


(y)

..



يحااول التعديل علي الريجستري المحمي .. القيمه مذكوووره بوصف الجداار

nuDxJKk.png



(y)

..


التعديل علي ملف محمي .. في التمب . بمسمي shell.exe
ssJfFl9.png


..


يحااول الحصول علي امتياازات عاليه .. للوصول لمناطق مححده من النظاام .. €

كمنطقه الكيرنال مثلا ..

IcEUSMd.png



..

(y)


..


يحاول تنفيذ عمليه .. عباره عن انشاء ملف ف التمب .. بمسمي 7z ..

nkuTvjO.png


( سلوك في قمه الروووعه ) ..

(y)


..
يحاول انهاء العمليه الفرعيه .. shell.exe ..


CuoBHZd.png



..


ثم اختفي الملف من العمليااات ..

:(:(:(

ولا أثر لـــه .. ولا اتصال كماان .. :(
أنقر للتوسيع...
شغل ممتاز اخي علاء وليس بمستغرب عليك

رصد الجدار لتحركات الملف ممتازه للغايه و خاصه الرجستري الا ان القيمه التي ذكرها ليست كما هي

عدم رصد الجدار للاتصال ربما لان الجدار يسمح تلقائيا للاتصالات الداخليه ولا يعترضها
 
توقيع : m0d!s@r7@n
الله يعطيك العافية يا دكتور على هذا الطرح الرائع و المتميز ..
قمت بعمل التجربة على البتد فيندر و لكن للأسف حصل معي مثل ما حصل في ملفات الشل السابقة حيث تظهر شاشة الدوس و تختفي كل عمليات الشل حتى الملفات التي يضعها في التينمب غير موجودة .... !
 
توقيع : أبو رمش
أبو رمش قال:
الله يعطيك العافية يا دكتور على هذا الطرح الرائع و المتميز ..
قمت بعمل التجربة على البتد فيندر و لكن للأسف حصل معي مثل ما حصل في ملفات الشل السابقة حيث تظهر شاشة الدوس و تختفي كل عمليات الشل حتى الملفات التي يضعها في التينمب غير موجودة .... !
أنقر للتوسيع...
فقط للتاكد
اذهب لمسار الرجستري كما هو موجود بتجربه الاخ علاء وانظر هل هناك قيمه باسم ؟:D
 
توقيع : m0d!s@r7@n
tiktoshi قال:
طريقة كيهو مثل جاموس

أنقر للتوسيع...
حلو الفيديو
:D
فعلا الكويهو بالنسبة له التمساح مثل الخشبة مثل الملف السليم أو الملغم
المهم يكتشف حاجة وخلاص
 
توقيع : MagicianMiDo32
لنا تجربة بالكاسبر مع هذا الملف في المساء ان شاء الله انتضروني
 
توقيع : hitman samir12
توقيع : m0d!s@r7@n
هل تقصد قيمة باسم الملف ؟
 
توقيع : أبو رمش
توقيع : m0d!s@r7@n
ههههههههههههه
لا الحمدلله مافيه اسم غريب كل اسامي القيم الموجودة طبيعية .... :D
 
توقيع : أبو رمش
التجربة على التراست \\ افتراضي
أولا شغلت الملف كمستخدم

ظهرت رسالة من الويندوز smart screen تعلم بأن الملف مشبوه
Capture.PNG


المهم قلت شغل
ظهرت نافذة كوماند \\ نلاحظ من العنوان مسار لملف
نستنتج أن الملف عبارة عن sfx لو فكيته بال win rar ستجد بداخله ملفات
Capture1.PNG


كما هو واضح هنا تم نسخ ملف
باسم shell .exe في ال temp

Capture2.PNG

وأكمل الشل عمله واختفت النافذة

واحد يسألني :D
طيب يا سيد ميدو أين كان التراست بورت في هذة الاثناء:rolleyes:

download.jpg


لأنه اتصال داخلي ومفتش التطبيقات بيض ع الافتراضي ف النسخة 15:mad:
 
توقيع : MagicianMiDo32
أبو رمش قال:
ههههههههههههه
لا الحمدلله مافيه اسم غريب كل اسامي القيم الموجودة طبيعية .... :D
أنقر للتوسيع...
البت دفندر اللي عندك اخد موقف جامد من ملفاتي مش فاهم ليه:D
 
توقيع : m0d!s@r7@n
شكل البرنامج حط اسمك بالبلاك لست ................ :barefoot::eek::D
 
توقيع : أبو رمش
medo32 قال:
التجربة على التراست \\ افتراضي
أولا شغلت الملف كمستخدم

ظهرت رسالة من الويندوز smart screen تعلم بأن الملف مشبوه
مشاهدة المرفق 79182

المهم قلت شغل
ظهرت نافذة كوماند \\ نلاحظ من العنوان مسار لملف
نستنتج أن الملف عبارة عن sfx لو فكيته بال win rar ستجد بداخله ملفات
مشاهدة المرفق 79183

كما هو واضح هنا تم نسخ ملف
باسم shell .exe في ال temp

مشاهدة المرفق 79184
وأكمل الشل عمله واختفت النافذة

واحد يسألني :D
طيب يا سيد ميدو أين كان التراست بورت في هذة الاثناء:rolleyes:

مشاهدة المرفق 79185

لأنه اتصال داخلي ومفتش التطبيقات بيض ع الافتراضي ف النسخة 15:mad:
أنقر للتوسيع...
:ROFLMAO:

لكن المفروض ان الجدار الناري لا يسمح بالاتصال الداخلي والمفروض ان ينبهك اذ هجمات الشبكه كلها تكون من خلال اتصال داخلي

طيب اخبار الرجستري ايه هل تم انشاء القيمه بنحاح
 
توقيع : m0d!s@r7@n
أبو رمش قال:
شكل البرنامج حط اسمك بالبلاك لست ................ :barefoot::eek::D
أنقر للتوسيع...
غريبه فعلا خاصه ان البتدفندر ليس بنفس قوته المعروفه مع الملفات الدفعيه ولكن مع ملفاتي يقوم بمنعها :(
 
توقيع : m0d!s@r7@n
[hide]
Untitled.jpg
[/hide]
 
توقيع : dvb2010
m0d!s@r7@n قال:
:ROFLMAO:

لكن المفروض ان الجدار الناري لا يسمح بالاتصال الداخلي والمفروض ان ينبهك اذ هجمات الشبكه كلها تكون من خلال اتصال داخلي

طيب اخبار الرجستري ايه هل تم انشاء القيمه بنحاح
أنقر للتوسيع...
بارك الله فيك أخي
المشكلة أن الشل لا يتصل إذا لم يكن هناك اتصال بالإنترنت لأنه لن يجد عنوان الأي بي الشبكي
و أنا كنت قاطع النت
وبالإتصال بالشبكة تم رصد هذا الإتصال وواضح هنا وجود الاي بي الشبكي
واتضح أن التراست بورت لم يكن يشيش :D
Capture3.PNG


قمت بفحص الريجستري ب regshot ومقارنة القيم ,
وهذة هي القيم المضافة \\

مفاتيح ريجستري مضافة :/

المحتوى مخفي عن الزوار رجاء سجل لتتمكن من رؤية المحتوى
[hide]
HTML: 
[LEFT]HKU\S-1-5-21-84665942-3725767665-1243070004-1001\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\3
HKU\S-1-5-21-84665942-3725767665-1243070004-1001\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\Bags\3\ComDlg
HKU\S-1-5-21-84665942-3725767665-1243070004-1001\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\Bags\3\ComDlg\{5C4F28B5-F869-4E84-8E60-F11DB97C5CC7}
HKU\S-1-5-21-84665942-3725767665-1243070004-1001\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\Bags\22
HKU\S-1-5-21-84665942-3725767665-1243070004-1001\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\Bags\22\ComDlg
HKU\S-1-5-21-84665942-3725767665-1243070004-1001\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\Bags\22\ComDlg\{5C4F28B5-F869-4E84-8E60-F11DB97C5CC7}
HKU\S-1-5-21-84665942-3725767665-1243070004-1001\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\Bags\22\Shell
HKU\S-1-5-21-84665942-3725767665-1243070004-1001_Classes\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\3
HKU\S-1-5-21-84665942-3725767665-1243070004-1001_Classes\Local Settings\Software\Microsoft\Windows\Shell\Bags\3\ComDlg
HKU\S-1-5-21-84665942-3725767665-1243070004-1001_Classes\Local Settings\Software\Microsoft\Windows\Shell\Bags\3\ComDlg\{5C4F28B5-F869-4E84-8E60-F11DB97C5CC7}
HKU\S-1-5-21-84665942-3725767665-1243070004-1001_Classes\Local Settings\Software\Microsoft\Windows\Shell\Bags\22
HKU\S-1-5-21-84665942-3725767665-1243070004-1001_Classes\Local Settings\Software\Microsoft\Windows\Shell\Bags\22\ComDlg
HKU\S-1-5-21-84665942-3725767665-1243070004-1001_Classes\Local Settings\Software\Microsoft\Windows\Shell\Bags\22\ComDlg\{5C4F28B5-F869-4E84-8E60-F11DB97C5CC7}
HKU\S-1-5-21-84665942-3725767665-1243070004-1001_Classes\Local Settings\Software\Microsoft\Windows\Shell\Bags\22\Shell
[/LEFT]
[/hide]


قيم ريجستري مضافة:/

[hide]
HTML: 
HKU\S-1-5-21-84665942-3725767665-1243070004-1001\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Cached\{ED9D80B9-D157-457B-9192-0E7280313BF0} {00000122-0000-0000-C000-000000000046} 0xFFFF:  01 00 00 00 00 00 00 00 C5 0E 92 FB 8B 5A D0 01[/COLOR][/LEFT][/COLOR][/LEFT]
[COLOR=#ff0000]
[LEFT][COLOR=#ff0000]
[LEFT]HKU\S-1-5-21-84665942-3725767665-1243070004-1001\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Cached\{E88DCCE0-B7B3-11D1-A9F0-00AA0060FA31} {000214E6-0000-0000-C000-000000000046} 0xFFFF:  01 00 00 00 00 00 00 00 85 A9 9B FB 8B 5A D0 01
HKU\S-1-5-21-84665942-3725767665-1243070004-1001\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Store\C:\Users\medo\Desktop\REGSHELL.exe:  53 41 43 50 01 00 00 00 00 00 00 00 07 00 00 00 28 00 00 00 CE D3 1D 00 43 9E 01 00 01 00 00 00 00 00 00 00 00 00 01 06 00 01 00 00 2E F6 C8 A3 A5 6A CD 01 00 00 00 00 00 00 00 00 02 00 00 00 28 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 96 57 00 00 00 00 00 00 01 00 00 00 01 00 00 00
HKU\S-1-5-21-84665942-3725767665-1243070004-1001\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\3:  4A 00 31 00 00 00 00 00 69 46 27 89 10 00 44 61 74 61 00 00 36 00 08 00 04 00 EF BE 69 46 24 89 69 46 27 89 2A 00 00 00 64 FC 00 00 00 00 04 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 44 00 61 00 74 00 61 00 00 00 14 00 00 00
HKU\S-1-5-21-84665942-3725767665-1243070004-1001\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\3\NodeSlot: 0x00000016
HKU\S-1-5-21-84665942-3725767665-1243070004-1001\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\3\MRUListEx:  FF FF FF FF
HKU\S-1-5-21-84665942-3725767665-1243070004-1001\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\Bags\3\ComDlg\{5C4F28B5-F869-4E84-8E60-F11DB97C5CC7}\Mode: 0x00000006
HKU\S-1-5-21-84665942-3725767665-1243070004-1001\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\Bags\3\ComDlg\{5C4F28B5-F869-4E84-8E60-F11DB97C5CC7}\LogicalViewMode: 0x00000002
HKU\S-1-5-21-84665942-3725767665-1243070004-1001\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\Bags\3\ComDlg\{5C4F28B5-F869-4E84-8E60-F11DB97C5CC7}\FFlags: 0x00000001
HKU\S-1-5-21-84665942-3725767665-1243070004-1001\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\Bags\3\ComDlg\{5C4F28B5-F869-4E84-8E60-F11DB97C5CC7}\IconSize: 0x00000030
HKU\S-1-5-21-84665942-3725767665-1243070004-1001\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\Bags\3\ComDlg\{5C4F28B5-F869-4E84-8E60-F11DB97C5CC7}\Sort:  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 01 00 00 00 30 F1 25 B7 EF 47 1A 10 A5 F1 02 60 8C 9E EB AC 0A 00 00 00 01 00 00 00
HKU\S-1-5-21-84665942-3725767665-1243070004-1001\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\Bags\3\ComDlg\{5C4F28B5-F869-4E84-8E60-F11DB97C5CC7}\ColInfo:  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 FD DF DF FD 10 00 00 00 00 00 00 00 00 00 00 00 04 00 00 00 18 00 00 00 30 F1 25 B7 EF 47 1A 10 A5 F1 02 60 8C 9E EB AC 0A 00 00 00 A0 00 00 00 30 F1 25 B7 EF 47 1A 10 A5 F1 02 60 8C 9E EB AC 0C 00 00 00 50 00 00 00 A6 6A 63 28 3D 95 D2 11 B5 D6 00 C0 4F D9 18 D0 0B 00 00 00 78 00 00 00 30 F1 25 B7 EF 47 1A 10 A5 F1 02 60 8C 9E EB AC 0E 00 00 00 78 00 00 00
HKU\S-1-5-21-84665942-3725767665-1243070004-1001\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\Bags\3\ComDlg\{5C4F28B5-F869-4E84-8E60-F11DB97C5CC7}\GroupView: 0x00000000
HKU\S-1-5-21-84665942-3725767665-1243070004-1001\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\Bags\3\ComDlg\{5C4F28B5-F869-4E84-8E60-F11DB97C5CC7}\GroupByKey:FMTID: "{00000000-0000-0000-0000-000000000000}"
HKU\S-1-5-21-84665942-3725767665-1243070004-1001\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\Bags\3\ComDlg\{5C4F28B5-F869-4E84-8E60-F11DB97C5CC7}\GroupByKey:PID: 0x00000000
HKU\S-1-5-21-84665942-3725767665-1243070004-1001\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\Bags\3\ComDlg\{5C4F28B5-F869-4E84-8E60-F11DB97C5CC7}\GroupByDirection: 0x00000001
HKU\S-1-5-21-84665942-3725767665-1243070004-1001\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\Bags\22\ComDlg\{5C4F28B5-F869-4E84-8E60-F11DB97C5CC7}\Mode: 0x00000004
HKU\S-1-5-21-84665942-3725767665-1243070004-1001\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\Bags\22\ComDlg\{5C4F28B5-F869-4E84-8E60-F11DB97C5CC7}\LogicalViewMode: 0x00000001
HKU\S-1-5-21-84665942-3725767665-1243070004-1001\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\Bags\22\ComDlg\{5C4F28B5-F869-4E84-8E60-F11DB97C5CC7}\FFlags: 0x00000001
HKU\S-1-5-21-84665942-3725767665-1243070004-1001\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\Bags\22\ComDlg\{5C4F28B5-F869-4E84-8E60-F11DB97C5CC7}\IconSize: 0x00000010
HKU\S-1-5-21-84665942-3725767665-1243070004-1001\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\Bags\22\ComDlg\{5C4F28B5-F869-4E84-8E60-F11DB97C5CC7}\Sort:  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 01 00 00 00 30 F1 25 B7 EF 47 1A 10 A5 F1 02 60 8C 9E EB AC 0A 00 00 00 01 00 00 00
HKU\S-1-5-21-84665942-3725767665-1243070004-1001\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\Bags\22\ComDlg\{5C4F28B5-F869-4E84-8E60-F11DB97C5CC7}\ColInfo:  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 FD DF DF FD 10 00 00 00 00 00 00 00 00 00 00 00 04 00 00 00 18 00 00 00 30 F1 25 B7 EF 47 1A 10 A5 F1 02 60 8C 9E EB AC 0A 00 00 00 10 01 00 00 30 F1 25 B7 EF 47 1A 10 A5 F1 02 60 8C 9E EB AC 0E 00 00 00 78 00 00 00 30 F1 25 B7 EF 47 1A 10 A5 F1 02 60 8C 9E EB AC 04 00 00 00 78 00 00 00 30 F1 25 B7 EF 47 1A 10 A5 F1 02 60 8C 9E EB AC 0C 00 00 00 50 00 00 00
HKU\S-1-5-21-84665942-3725767665-1243070004-1001\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\Bags\22\ComDlg\{5C4F28B5-F869-4E84-8E60-F11DB97C5CC7}\GroupView: 0x00000000
HKU\S-1-5-21-84665942-3725767665-1243070004-1001\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\Bags\22\ComDlg\{5C4F28B5-F869-4E84-8E60-F11DB97C5CC7}\GroupByKey:FMTID: "{00000000-0000-0000-0000-000000000000}"
HKU\S-1-5-21-84665942-3725767665-1243070004-1001\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\Bags\22\ComDlg\{5C4F28B5-F869-4E84-8E60-F11DB97C5CC7}\GroupByKey:PID: 0x00000000
HKU\S-1-5-21-84665942-3725767665-1243070004-1001\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\Bags\22\ComDlg\{5C4F28B5-F869-4E84-8E60-F11DB97C5CC7}\GroupByDirection: 0x00000001
HKU\S-1-5-21-84665942-3725767665-1243070004-1001\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\Bags\22\Shell\KnownFolderDerivedFolderType: "{57807898-8C4F-4462-BB63-71042380B109}"
HKU\S-1-5-21-84665942-3725767665-1243070004-1001\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\Bags\22\Shell\SniffedFolderType: "Generic"
HKU\S-1-5-21-84665942-3725767665-1243070004-1001_Classes\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\3:  4A 00 31 00 00 00 00 00 69 46 27 89 10 00 44 61 74 61 00 00 36 00 08 00 04 00 EF BE 69 46 24 89 69 46 27 89 2A 00 00 00 64 FC 00 00 00 00 04 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 44 00 61 00 74 00 61 00 00 00 14 00 00 00
HKU\S-1-5-21-84665942-3725767665-1243070004-1001_Classes\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\3\NodeSlot: 0x00000016
HKU\S-1-5-21-84665942-3725767665-1243070004-1001_Classes\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\3\MRUListEx:  FF FF FF FF
HKU\S-1-5-21-84665942-3725767665-1243070004-1001_Classes\Local Settings\Software\Microsoft\Windows\Shell\Bags\3\ComDlg\{5C4F28B5-F869-4E84-8E60-F11DB97C5CC7}\Mode: 0x00000006
HKU\S-1-5-21-84665942-3725767665-1243070004-1001_Classes\Local Settings\Software\Microsoft\Windows\Shell\Bags\3\ComDlg\{5C4F28B5-F869-4E84-8E60-F11DB97C5CC7}\LogicalViewMode: 0x00000002
HKU\S-1-5-21-84665942-3725767665-1243070004-1001_Classes\Local Settings\Software\Microsoft\Windows\Shell\Bags\3\ComDlg\{5C4F28B5-F869-4E84-8E60-F11DB97C5CC7}\FFlags: 0x00000001
HKU\S-1-5-21-84665942-3725767665-1243070004-1001_Classes\Local Settings\Software\Microsoft\Windows\Shell\Bags\3\ComDlg\{5C4F28B5-F869-4E84-8E60-F11DB97C5CC7}\IconSize: 0x00000030
HKU\S-1-5-21-84665942-3725767665-1243070004-1001_Classes\Local Settings\Software\Microsoft\Windows\Shell\Bags\3\ComDlg\{5C4F28B5-F869-4E84-8E60-F11DB97C5CC7}\Sort:  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 01 00 00 00 30 F1 25 B7 EF 47 1A 10 A5 F1 02 60 8C 9E EB AC 0A 00 00 00 01 00 00 00
HKU\S-1-5-21-84665942-3725767665-1243070004-1001_Classes\Local Settings\Software\Microsoft\Windows\Shell\Bags\3\ComDlg\{5C4F28B5-F869-4E84-8E60-F11DB97C5CC7}\ColInfo:  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 FD DF DF FD 10 00 00 00 00 00 00 00 00 00 00 00 04 00 00 00 18 00 00 00 30 F1 25 B7 EF 47 1A 10 A5 F1 02 60 8C 9E EB AC 0A 00 00 00 A0 00 00 00 30 F1 25 B7 EF 47 1A 10 A5 F1 02 60 8C 9E EB AC 0C 00 00 00 50 00 00 00 A6 6A 63 28 3D 95 D2 11 B5 D6 00 C0 4F D9 18 D0 0B 00 00 00 78 00 00 00 30 F1 25 B7 EF 47 1A 10 A5 F1 02 60 8C 9E EB AC 0E 00 00 00 78 00 00 00
HKU\S-1-5-21-84665942-3725767665-1243070004-1001_Classes\Local Settings\Software\Microsoft\Windows\Shell\Bags\3\ComDlg\{5C4F28B5-F869-4E84-8E60-F11DB97C5CC7}\GroupView: 0x00000000
HKU\S-1-5-21-84665942-3725767665-1243070004-1001_Classes\Local Settings\Software\Microsoft\Windows\Shell\Bags\3\ComDlg\{5C4F28B5-F869-4E84-8E60-F11DB97C5CC7}\GroupByKey:FMTID: "{00000000-0000-0000-0000-000000000000}"
HKU\S-1-5-21-84665942-3725767665-1243070004-1001_Classes\Local Settings\Software\Microsoft\Windows\Shell\Bags\3\ComDlg\{5C4F28B5-F869-4E84-8E60-F11DB97C5CC7}\GroupByKey:PID: 0x00000000
HKU\S-1-5-21-84665942-3725767665-1243070004-1001_Classes\Local Settings\Software\Microsoft\Windows\Shell\Bags\3\ComDlg\{5C4F28B5-F869-4E84-8E60-F11DB97C5CC7}\GroupByDirection: 0x00000001
HKU\S-1-5-21-84665942-3725767665-1243070004-1001_Classes\Local Settings\Software\Microsoft\Windows\Shell\Bags\22\ComDlg\{5C4F28B5-F869-4E84-8E60-F11DB97C5CC7}\Mode: 0x00000004
HKU\S-1-5-21-84665942-3725767665-1243070004-1001_Classes\Local Settings\Software\Microsoft\Windows\Shell\Bags\22\ComDlg\{5C4F28B5-F869-4E84-8E60-F11DB97C5CC7}\LogicalViewMode: 0x00000001
HKU\S-1-5-21-84665942-3725767665-1243070004-1001_Classes\Local Settings\Software\Microsoft\Windows\Shell\Bags\22\ComDlg\{5C4F28B5-F869-4E84-8E60-F11DB97C5CC7}\FFlags: 0x00000001
HKU\S-1-5-21-84665942-3725767665-1243070004-1001_Classes\Local Settings\Software\Microsoft\Windows\Shell\Bags\22\ComDlg\{5C4F28B5-F869-4E84-8E60-F11DB97C5CC7}\IconSize: 0x00000010
HKU\S-1-5-21-84665942-3725767665-1243070004-1001_Classes\Local Settings\Software\Microsoft\Windows\Shell\Bags\22\ComDlg\{5C4F28B5-F869-4E84-8E60-F11DB97C5CC7}\Sort:  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 01 00 00 00 30 F1 25 B7 EF 47 1A 10 A5 F1 02 60 8C 9E EB AC 0A 00 00 00 01 00 00 00
HKU\S-1-5-21-84665942-3725767665-1243070004-1001_Classes\Local Settings\Software\Microsoft\Windows\Shell\Bags\22\ComDlg\{5C4F28B5-F869-4E84-8E60-F11DB97C5CC7}\ColInfo:  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 FD DF DF FD 10 00 00 00 00 00 00 00 00 00 00 00 04 00 00 00 18 00 00 00 30 F1 25 B7 EF 47 1A 10 A5 F1 02 60 8C 9E EB AC 0A 00 00 00 10 01 00 00 30 F1 25 B7 EF 47 1A 10 A5 F1 02 60 8C 9E EB AC 0E 00 00 00 78 00 00 00 30 F1 25 B7 EF 47 1A 10 A5 F1 02 60 8C 9E EB AC 04 00 00 00 78 00 00 00 30 F1 25 B7 EF 47 1A 10 A5 F1 02 60 8C 9E EB AC 0C 00 00 00 50 00 00 00
HKU\S-1-5-21-84665942-3725767665-1243070004-1001_Classes\Local Settings\Software\Microsoft\Windows\Shell\Bags\22\ComDlg\{5C4F28B5-F869-4E84-8E60-F11DB97C5CC7}\GroupView: 0x00000000
HKU\S-1-5-21-84665942-3725767665-1243070004-1001_Classes\Local Settings\Software\Microsoft\Windows\Shell\Bags\22\ComDlg\{5C4F28B5-F869-4E84-8E60-F11DB97C5CC7}\GroupByKey:FMTID: "{00000000-0000-0000-0000-000000000000}"
HKU\S-1-5-21-84665942-3725767665-1243070004-1001_Classes\Local Settings\Software\Microsoft\Windows\Shell\Bags\22\ComDlg\{5C4F28B5-F869-4E84-8E60-F11DB97C5CC7}\GroupByKey:PID: 0x00000000
HKU\S-1-5-21-84665942-3725767665-1243070004-1001_Classes\Local Settings\Software\Microsoft\Windows\Shell\Bags\22\ComDlg\{5C4F28B5-F869-4E84-8E60-F11DB97C5CC7}\GroupByDirection: 0x00000001
HKU\S-1-5-21-84665942-3725767665-1243070004-1001_Classes\Local Settings\Software\Microsoft\Windows\Shell\Bags\22\Shell\KnownFolderDerivedFolderType: "{57807898-8C4F-4462-BB63-71042380B109}"
HKU\S-1-5-21-84665942-3725767665-1243070004-1001_Classes\Local Settings\Software\Microsoft\Windows\Shell\Bags\22\Shell\SniffedFolderType: "Generic"[/LEFT]

[/hide]

قيم ريجستري معدلة :/

[hide]
HTML: 
HKU\S-1-5-21-84665942-3725767665-1243070004-1001\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\NodeSlots:  02 02 02 02 02 02 02 02 02 02 02 02 02 02 02 02 02 02 02 02 02[/COLOR][/LEFT][/COLOR][/LEFT]
[COLOR=#ff0000]
[LEFT][COLOR=#ff0000]
[LEFT]HKU\S-1-5-21-84665942-3725767665-1243070004-1001\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\NodeSlots:  02 02 02 02 02 02 02 02 02 02 02 02 02 02 02 02 02 02 02 02 02 02
HKU\S-1-5-21-84665942-3725767665-1243070004-1001\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\MRUListEx:  02 00 00 00 01 00 00 00 00 00 00 00 FF FF FF FF
HKU\S-1-5-21-84665942-3725767665-1243070004-1001\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\MRUListEx:  02 00 00 00 03 00 00 00 01 00 00 00 00 00 00 00 FF FF FF FF
HKU\S-1-5-21-84665942-3725767665-1243070004-1001\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\2\1\MRUListEx:  05 00 00 00 03 00 00 00 04 00 00 00 02 00 00 00 01 00 00 00 00 00 00 00 FF FF FF FF
HKU\S-1-5-21-84665942-3725767665-1243070004-1001\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\2\1\MRUListEx:  03 00 00 00 05 00 00 00 04 00 00 00 02 00 00 00 01 00 00 00 00 00 00 00 FF FF FF FF
HKU\S-1-5-21-84665942-3725767665-1243070004-1001\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\Bags\AllFolders\Shell\WFlags: 0x00000002
HKU\S-1-5-21-84665942-3725767665-1243070004-1001\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\Bags\AllFolders\Shell\WFlags: 0x00000000
HKU\S-1-5-21-84665942-3725767665-1243070004-1001_Classes\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\NodeSlots:  02 02 02 02 02 02 02 02 02 02 02 02 02 02 02 02 02 02 02 02 02
HKU\S-1-5-21-84665942-3725767665-1243070004-1001_Classes\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\NodeSlots:  02 02 02 02 02 02 02 02 02 02 02 02 02 02 02 02 02 02 02 02 02 02
HKU\S-1-5-21-84665942-3725767665-1243070004-1001_Classes\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\MRUListEx:  02 00 00 00 01 00 00 00 00 00 00 00 FF FF FF FF
HKU\S-1-5-21-84665942-3725767665-1243070004-1001_Classes\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\MRUListEx:  02 00 00 00 03 00 00 00 01 00 00 00 00 00 00 00 FF FF FF FF
HKU\S-1-5-21-84665942-3725767665-1243070004-1001_Classes\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\2\1\MRUListEx:  05 00 00 00 03 00 00 00 04 00 00 00 02 00 00 00 01 00 00 00 00 00 00 00 FF FF FF FF
HKU\S-1-5-21-84665942-3725767665-1243070004-1001_Classes\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\2\1\MRUListEx:  03 00 00 00 05 00 00 00 04 00 00 00 02 00 00 00 01 00 00 00 00 00 00 00 FF FF FF FF
HKU\S-1-5-21-84665942-3725767665-1243070004-1001_Classes\Local Settings\Software\Microsoft\Windows\Shell\Bags\AllFolders\Shell\WFlags: 0x00000002
HKU\S-1-5-21-84665942-3725767665-1243070004-1001_Classes\Local Settings\Software\Microsoft\Windows\Shell\Bags\AllFolders\Shell\WFlags: 0x00000000[/LEFT]
[/hide]​
[hide]

[/hide]

بيانات برفكت مضافة :/

C:\Windows\Prefetch\REGSHELL.EXE-59AE0126.pf
;)
 
توقيع : MagicianMiDo32
الحالة
مغلق و غير مفتوح للمزيد من الردود.
عودة
أعلى