(( بداية الدورة )) الدرس الاول : تقرير الهايجاك والبرامج المثبته

السلام عليكم ورحمة الله
جزاك الله خير اخي البارون ووفقك لما يحبه ويرضاه بس عندي ملاحظتين على كلامك ارجوا ان يتسع صدرك
الاخ صاحب الحل قال نعطل كل الي في بدء التشغيل عدا الافيرا وهذا من وجهة نظري خطأ لانه كما معروف بان بعض الاجهزة ان قمت بتعطيل جميع برامج بدء التشغيل سوف لن يعمل الماوس ( التاتش باد ) او بعض الاجهزة المهمة لعمل النظام وهذه الخطوة يجب ان نتعامل معها بحذر ممكن مثلا ان نقول له القيم الي نشك فيها ويعطلها والله اعلم

 

يعني اذا فيه فايروس أو شك، نطلب التنظيف اولاً بعدين تقرير جديد؟

 

الله يسعدك يارب ومبادره حلوه منك اخوي

صاحب المشكله ضحية للأختراق ببرنامج السباي نت وهذي القيمه الموجوده

O4 - HKLM\..\Policies\Explorer\Run: [Spy-Net] C:\WINDOWS\system32\Spy-Net\server.exe

في نظري الافضل قطع الاتصال بالانترنت ثم تتبع المسار وحذف السيرفر

ثم حذفه من بدء التشغيل ومن الرجستري عن طريق القيمه التاليه

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

ثم أستخدام المالوير بايت لحذف السيرفر

هذا والله اعلم

شكرا لك
​

 

الله يعافيك وشكرا على التوجيه ياخوي عبد الرحمن وشكرا على التوجيه ..
هذا وفقك الله فيما تحب وترضاه

 

دخلت على التوتال فايرس بعد رفع التقرير علية اعطانى هذا 737bad145da5c98332ecbadfbbc34e9e5d7e644477f807d0d5a423809db52fd3

 

وعليكم السلام ورحمة الله وبركاته ​

 

السلام عليكم ورحمة الله

وعليكم السلام ​

ياهلا والله بالجمييع

بسم الله ابداء

تقرير الهايجاك يبين لي كالتالي .

يوجد عمليات في الذاكرة و بداء التشغيل مصابه و بهذي الحالة يفضل استخداام برنامج تنظيف ممتاز ليتعامل مع هذي الاصابات ببرنامج kaspersky Removal Tool

حياك الله رائد طيب اش خلاك تعتقد انها فايروسات ​

+ يحتاج استخدام اداة حذف التولبارات بعد الفحص الكاسبر

طيب ليه ماطلبت تقرير جديد تشوف اش عالجت الاداة من اصابات بعد استخدامها ​

يحدد على القيم التالية ويوتنظيفها مع مراعاات اغلاق جميع المتصفحات

O2 - BHO: Conduit Engine - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Program Files\ConduitEngine\prxConduitEngine.dll

O2 - BHO: Messenger Plus Saudi - {9e1b5c68-1ab5-49fe-97a9-d3f777c51663} - C:\Program Files\Messenger_Plus_Saudi\prxtbMess.dll

- Toolbar: Messenger Plus Saudi Toolbar - {9e1b5c68-1ab5-49fe-97a9-d3f777c51663} - C:\Program Files\Messenger_Plus_Saudi\prxtbMess.dll

O3 - Toolbar: Conduit Engine - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Program Files\ConduitEngine\prxConduitEngine.dll

O16 - DPF: {64E89DC6-8EB8-4459-82AE-408E18BB831B} (BMCCtl Class) - http://serv6.7lavoice.org:1999/talkn3.cab

O16 - DPF: {6AD8DF3E-C8FB-45E1-9EA1-440F11B628F4} (IM Class) - http://serv1.7lavoice.net:1999/imtalk2.cab

جميع الاستفهامات اللي بقيمة O16 :q:

+ تنظف قيمة
O21 - SSODL: Windows Task Services - C:\Documents and Settings\USER\Application Data\1B.exe - (no file)


ويفضل استخداام مالوووير بااايت لكثرة الملفات التي تعمل بالذاكرة وبدء التشغيل لتأكد من سلامة الجهاز

ليه ماطبقت هالفحص بعد اداة الكاسبر اذا شفت ان الاصابات لازالت موجوده ​

----------------------

البرامج المثبتة

يحذف منه

Google Update Helper
Messenger Plus Saudi Toolbar

وهذا ليه سيبته مع انه لازم يحذف

Conduit Engine
​

-
انصح حذف برنامج الحماية Avira Premium Security Suite و استبدالة بنورتن سكورتي لأنه افضل من الافيرا :q:

مضبوط ولسبب اخر :king:​

+ تحديث الويندوز Windows XP SP2 قدييم بهذي الحالة يحدث الملفات اللي فيها
ويكون من الموضوع هذا تحويل xp من sp 2 الى sp 3 ‏

مضبوط انت تريح المستخدم كذا من عنا انتظار التحديثات ​

و السلام عليكم ورحمة الله

وعليكم السلام ورحمة الله وبركاته

سبب رمز بالهايجاك O4 يكون يا فيروس بالغالب الامر اذا كان اكس او ملف تجسس

لأني بحرص على شوفة التقرير نهاية الفحص الجهاز من برامج الفحص وكل شي :q:
واشوف التقرير كـ نظرة اخيره لسلامة الجهاز

فضلت تنظيف يدوي قبل استخدام الاداة ثم استخدامها :q: تفضيل ليس لأي شي اخر

لم اعرف البرنامج ولا اعرف مافائدته ولم الاحظ قيمه تشير لـ اشكال له

لأنه سيء في التنظيف ويحذف مباشره :hh: ويسبب عطل بالنظام :er:


عافاك الله اخوي الباروون :king:

​

​

​

 

السلام عليكم ورحمة الله وبركاته

اعتذر جداً على التأخر في طرح الحلول

وذلك بسبب الدوام والعمل

نبدأ على بركة الله


بالنسبه لتقرير هايجاك

اول شيء يجب ضبط الوقت والتاريخ والتاكد منه في الجهاز المحمول او المكتبي فهو مهم جداً


بالنسبه لهذه القيمه في تقرير الهايجاك

فهي تابعه اما لفايروس او سيرفر اختراق اجهزه

C:\Documents and Settings\USER\Application Data\Microsoft\csrss.exe

هذه الملف مشكوك في امرها ويفضل رفعها وفحصها

C:\Documents and Settings\USER\Application Data\regsrv64.exe

C:\Documents and Settings\USER\Application Data\1C.exe

C:\Documents and Settings\USER\Application Data\1B.exe

C:\Documents and Settings\USER\Application Data\1B.exe

ويتم ذلك باستخدام اداة زيزوم وزر فحص ملف

وانا بدون ما اقوم بالفحص احذف على طول لانه مستحيل وجود اسم ملف مثل هذا الاسم في المسار المحدد الا بحالتين فايروس او سيرفر اختراق


اما هذه القيمه فتحذف لانها تابعه لتوبار ConduitEngine

O2 - BHO: Conduit Engine - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Program Files\ConduitEngine\prxConduitEngine.dll\\


هذه القيمه تابعه تولبار لمسنجر بلس ، يفضل حذفها

O2 - BHO: Messenger Plus Saudi - {9e1b5c68-1ab5-49fe-97a9-d3f777c51663} - C:\Program Files\Messenger_Plus_Saudi\prxtbMess.dll


هذه القيمه يجب حذفها فهي مضره ، وهي تابعه للجافا

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll (file missing)

هذه القيمه تحذف ، وهي تابعه لتولبار ConduitEngine

O3 - Toolbar: Conduit Engine - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Program Files\ConduitEngine\prxConduitEngine.dll


اما هذا فيجب حذف بدون اي تردد

O4 - HKLM\..\Run: [Spy-Net] C:\WINDOWS\system32\Spy-Net\server.exe

فهو تابع لبرنامج اختراق مشهور ، لاختراق الاجهزه ، معروف بأسم سباي نت

وهذه القيمه تحذف اما ان تكون فايروس او سيرفر اختراق اجهزه

O4 - HKLM\..\Run: [csrss] C:\Documents and Settings\USER\Application Data\Microsoft\csrss.exe


وهذه ايضاً

O4 - HKLM\..\Run: [Windows Task Services] C:\Documents and Settings\USER\Application Data\1B.exe

وهذه بعد

O4 - HKLM\..\RunOnce: [Windows Task Services] C:\Documents and Settings\USER\Application Data\1B.exe


تحذف هذه القيمه

O4 - HKCU\..\Run: [Spy-Net] C:\WINDOWS\system32\Spy-Net\server.exe

وهذه

O4 - HKCU\..\Run: [csrss] C:\Documents and Settings\USER\Application Data\Microsoft\csrss.exe


وايضاً كل القيم ادناه فهي تابعه لبرنامج اختراق

O4 - HKCU\..\Run: [Microsoft DLL Registration] C:\Documents and Settings\USER\Application Data\regsrv64.exe

O4 - HKCU\..\Run: [Windows Task Services] C:\Documents and Settings\USER\Application Data\1B.exe

O4 - HKCU\..\RunOnce: [Windows Task Services] C:\Documents and Settings\USER\Application Data\1B.exe


O4 - HKLM\..\Policies\Explorer\Run: [Spy-Net] C:\WINDOWS\system32\Spy-Net\server.exe


O4 - HKCU\..\Policies\Explorer\Run: [csrss] C:\Documents and Settings\USER\Application Data\Microsoft\csrss.exe

O4 - HKCU\..\Policies\Explorer\Run: [Windows Task Services] C:\Documents and Settings\USER\Application Data\1B.exe

هذا الملف ينصح برفعه على مواقع الفحص والتاكد منه


O4 - Startup: dxmiqroe.exe

لحذف هذه القيم يرجى اتباع الشرح التالي

http://www.zyzoom.org/vb/showpost.php?p=1519914&postcount=4


نأتي الان لتقرير البرامج

وينصح بحذف الاتي :


Conduit Engine

Messenger Plus Saudi Toolbar

وهما يعتبران تولبارات وطريقه حذفهم اما عن طريق هذا البرنامج

http://www.zyzoom.org/vb/showthread.php?t=211998

او عن طريق الكونترل بانيل


وعمل ريستارت للجهاز ومن ثم اعطائي تقريران جديداً


واعتذر جداً جداً لاني تأخرت في الطرح بسبب ظروف العمل الصعبه والوقت

وهذا التحليل ما هو الا مجهود شخصي والحمد لله

والسلام عليكم ورحمة الله وبركاته

 

ما شاء الله عليكم
متابع بصمت
5/5

 

جزاكم الله خير

أعجبني حل الأخ Format
------------
نرجوا عدم السير بالموضوع في غير موضعه الذي أُنشىء لأجله

 

اخوي دكتور كروز

انت طبعا ماسك المشكلة وقمت بتحليل التقرير صح

وظهر عندك مشاكل في جهاز صاحب التقرير المفترض

عند اشتباهك باي اصابه ان تخليه يعمل الفحص اللي طلبت اول قبل القيام بحذف القيم

لان المشكلة الاساسية هي الاصابات ولن يفيدنا الحذف لان الفايروس او الباتش سيعيد زرع نفسه او يكون مخفي في اماكن لا يظهرها التقرير

والمفترض ان قيم الهايجاك وحذفها تكون اخر شيء بعد التخلص من الاصابات وحذف البرامج
​

 

طيب اخوي جور

انت اشتبهت بوجود سيرفر كان المفترض فحص بالمارلو او السباي دكتور

(( لا بد من استخدام ادوات الفحص اذا اشتبهت في قيم في اي تقرير ))

وبعد تنظيف الجهاز من الاصبات نحذف الاشياء غير الضروريه كالتولبارات وغيرها

ثم اخير نحذف القيم المتبقيه من تقرير الهايجاك الاخير الذي يتم طرحه

وعليكم السلام ورحمة الله وبركاته ​

 

اخوي كاسر كنت ابغى اشوف تحليلك للتقرير ولو غلط

عشان نشوف تحليلك ونناقشك

عموما المفروض الفحص اول قبل حذف القيم ​

 

اعتذر من الاخوة غير المشاركين في الدورة من الرد على تحاليلهم

لاني والله مشغول هنا وفي قسم المشاكل

تم طرح تحليلي ورويتي للموضوع واللي عنده تعقيب على حلي من المشاركين يتفضل ​

 

أين تم طرح الحل؟

 

اعتذر عن التاخر لاسباب خارجه عن الاراده

تحليلي هنا

http://www.zyzoom.org/vb/showpost.php?p=3596478&postcount=2

 

عافاك الله اخوي البارون وماقصرت

استفسار ..

الان من هنا تقول اتضح ان التاريخ التاريخ فيه مشكله بسبب . سيرفر باك 2 ولا امر اخر , يعني مثلا لو شخص اوقف تحديثات الويندوز لأنها نسخة غير اصليه , و التاريخ صحيح و البرنامج يعمل بشكل سليم .

 

.

لا رائد التاريخ من الاساس فيه مشكله من تقريره المفروض يكون التاريخ موافق لوقت عمل التقرير

اللي بالاحمر مافهته وش تقصد بالضبط :d:​

 

متى راح يبداء الدرس الثاني ؟
وليس لدي اي تعليقات اخرى هذا وبارك الله فيك

​

 

واضح الحل، شكراً.