تكفون فكوني من فيروس Worm.Win32.AutoRun.ig

[salemdinho]

بسم الله الرحمن الرحيم
السلام عليكم ورحمه الله وبركاته
عندي مشكله اخواني في جهاز الهارد دسك الخارجي لوجود فيروس Worm.Win32.AutoRun.ig العنيد مع انني قمت بتحميل ادوات ومنها ComboFix ولم تحل المشكله مع ان الفيروس موجود في اكثر برامجي التنفيذيه exe وعند القيام بالبحث بالكاسبر يقوم بحذف جميع البرامج التنفيذيه
ارجوا الحل اخواني لا ني صراحه زهقت والبرامج 90 % مصابه وهذ جزء تقرير الكاسبر
فحص مكتشف
فيروس Worm.Win32.AutoRun.ig:مكتشف الملف: H:\salem1\اوترون\General_Removal.exe
فيروس Worm.Win32.AutoRun.ig:مكتشف الملف: H:\salem1\اوترون\PRT.exe
فيروس Worm.Win32.AutoRun.ig:مكتشف الملف: H:\salem1\اوترون\cleanautorun.exe
فيروس Worm.Win32.AutoRun.ig:مكتشف الملف: H:\salem1\اوترون\AUTORUN REMOVER\6.EXE
فيروس Worm.Win32.AutoRun.ig:مكتشف الملف: H:\salem1\اوترون\AUTORUN REMOVER\1.exe
فيروس Worm.Win32.AutoRun.ig:مكتشف الملف: H:\salem1\اوترون\AUTORUN REMOVER\2.exe
فيروس Worm.Win32.AutoRun.ig:مكتشف الملف: H:\salem1\اوترون\AUTORUN REMOVER\3.exe
فيروس Worm.Win32.AutoRun.ig:مكتشف الملف: H:\salem1\اوترون\AUTORUN REMOVER\4.exe
فيروس Worm.Win32.AutoRun.ig:مكتشف الملف: H:\salem1\اوترون\AUTORUN REMOVER\5.exe
فيروس Worm.Win32.AutoRun.ig:مكتشف الملف: H:\salem1\اوترون\AUTORUN REMOVER\7.exe
فيروس Worm.Win32.AutoRun.ig:مكتشف الملف: H:\salem1\اوترون\خيارات المجلد\remover.exe
فيروس Worm.Win32.AutoRun.ig:مكتشف الملف: H:\salem1\مجلد جديد\SmartyUninstaller2007Pro.exe
فيروس Worm.Win32.AutoRun.ig:مكتشف الملف: H:\salem1\مجلد جديد\WINnerTweakSetup.exe
فيروس Worm.Win32.AutoRun.ig:مكتشف الملف: H:\salem1\مجلد جديد\vlc-0.8.6d-win32.exe
فيروس Worm.Win32.AutoRun.ig:مكتشف الملف: H:\salem1\مجلد جديد\VideoGet\crack.exe
فيروس Worm.Win32.AutoRun.ig:مكتشف الملف: H:\salem1\مجلد جديد\VideoGet\العربية.exe
فيروس Worm.Win32.AutoRun.ig:مكتشف الملف: H:\salem1\مجلد جديد\VideoGet\setup.exe​

 

[عاشق ومالي حبيب]

أضغط على خيار Desinfect All فالكاسبر

وحط تقرير Hijack عشان نقدر نحدد مكان الدوده الأصلي

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

 

[techno]

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

 

[salemdinho]

تفضل اخي تقرير Hijack

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 01:05:04 ص, on 05/06/08
Platform: Windows Vista (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16643)
Boot mode: Normal
Running processes:
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\Program Files\Internet Explorer\IEUser.exe
C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Users\sultan\Desktop\TSServ.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\Windows\system32\conime.exe
C:\Windows\Explorer.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\Windows\system32\SearchFilterHost.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 127.0.0.1:4001
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: مساعد تسجيل الدخول إلى Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - (no file)
O2 - BHO: AF BHO - {B7154C4D-87C0-4A2C-AB64-DA132BAC2EE6} - C:\Program Files\AnchorFree\bin\AFBho.dll
O3 - Toolbar: (no name) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - (no file)
O3 - Toolbar: AFToolbar - {1F385865-F3D4-41ff-960D-7B7D0A7A72F6} - C:\Program Files\AnchorFree\bin\AFToolbar.dll
O4 - HKLM\..\Run: [RRT-Auto] C:\Users\sultan\Desktop\RRT.exe auto
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [TrojanSimulator] "C:\Users\sultan\Desktop\TSServ.exe" /install
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [AFProg] C:\Program Files\AnchorFree\bin\ctrl\AFController.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETWORK SERVICE')
O9 - Extra button: Web Anti-Virus statistics - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\SCIEPlgn.dll
O13 - Gopher Prefix:
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1.0\r3hook.dll
O23 - Service: Kaspersky Anti-Virus 7.0 (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Hotspot Shield Service (HotspotShieldService) - Unknown owner - C:\Program Files\Hotspot Shield\bin\openvpnas.exe
--
End of file - 3921 bytes

 

[salemdinho]

شكرا لك اخي techno ع البرنامج لو كان عندي ما تعبت لاكن
بعد ما احذف هذا الفيروس العله راح استخدمه
انا جربت لاكن ما طلع الهارد دسك بس تقريبا للفلاش والله اعلم

 

[عاشق ومالي حبيب]

ما في شي مشبوه فالتقرير

والديدان على ما أعتقد كلها فالهاردسك الخارجي

وبعدين إن أمكن أعطيني حجم SmartyUninstaller2007Pro كمثال​

 

[salemdinho]

حجم برنامج SmartyUninstaller2007Pro
2.70 ميقا

 

[dollar989]

احذف القيم التالية

O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - (no file)

O3 - Toolbar: (no name) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - (no file)

لكيفية الحذف اتبع المثال ولكن بالقيم اللي قلتلك عليها

ثم حمل الاداة التالية ​

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

ويفضل استخدامها بالوضع الامن​

بعد التحميل اعد تشغيل الجهاز ثم اضغط على F8 باستمرار تظهر لك شاشة سوداء اذهب بالاسهم اللي على لوحة المفاتيح الى safe mode الوضع الآمن ​

اختر رقم 2​

​

اختر y​

​

اخيرا اختر q للخروج

احذف اي Toolbar من اضافة وازالة البرامج
​

 

[salemdinho]

اخي dollar رابط zshare معطل يجيني not fond

 

[dollar989]

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

 

[dollar989]

وحمل الاداة التالية وياليت لوتستعملها بالوضع الآمن افضل

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

وهذا رابط جديد للداة السابقة اللي لها الصور

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

 

[عاشق ومالي حبيب]

أخوي أنا حملت نسخه نظيفه من البرنامج وحجمها 3.40 ميجا !!!​

و الديدان بطبيعتها ما تسوي حقن للملفات​

والإحتمال الأرجح الآن إنه برامجك هي نفسها فايروسات!!!​

وبعدين هل جربت خيار Desinfect all فالكاسبر ؟؟​

 

[salemdinho]

اخي عاشق لما اسوي معالجه للكل يحذف جميع البرامج وكذا ما استفدت حاجه لان الدوده داخل
كل امتدادت exe
وجاري تجربه طريقه العزيز dollar لاني لقيت الاداه smitfraudfix.exe فيهذا الرابط

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

هل هي الاداه الصحيحه لان الروابط السابقه لم تعمل عندي

 

[dollar989]

هذه روابط جديدة للأداة

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

 

[salemdinho]

اخي dollar عملت بالاداتين ولم يزيل الفيروس مع ان العمل كله على القرص c
وجهازي المصاب هو القرص الخارجي وهذا التقرير

SmitFraudFix v2.323
Scan done at 3:08:10.00, Thu 06/05/2008
Run from C:\Users\sultan\Desktop\SmitfraudFix
OS: Microsoft Windows [Version 6.0.6000] - Windows_NT
The filesystem type is NTFS
Fix run in safe mode
»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
»»»»»»»»»»»»»»»»»»»»»»»» Killing process

»»»»»»»»»»»»»»»»»»»»»»»» hosts

127.0.0.1 localhost
::1 localhost
»»»»»»»»»»»»»»»»»»»»»»»» VACFix
VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix
S!Ri's WS2Fix: LSP not Found.

»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix
GenericRenosFix by S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» DNS
HKLM\SYSTEM\CCS\Services\Tcpip\..\{0B22ED82-961F-4B53-91B6-9F7BA6C1B9C1}: DhcpNameServer=10.5.144.1
HKLM\SYSTEM\CCS\Services\Tcpip\..\{86294B42-01CB-4FAD-836E-1EBB19F9B82D}: DhcpNameServer=192.168.1.254
HKLM\SYSTEM\CS1\Services\Tcpip\..\{0B22ED82-961F-4B53-91B6-9F7BA6C1B9C1}: DhcpNameServer=10.5.144.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{86294B42-01CB-4FAD-836E-1EBB19F9B82D}: DhcpNameServer=192.168.1.254
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.254
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.254

»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""

»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» End

 

[salemdinho]

اذا ما هو الحــــــــــــــــل !!!!​

 

[dollar989]

جرب الاداة التالية

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

وجرب الاداة التالية ومعاها صورة لكيفية العمل بها

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

وهذه ايضا معاها صورة لكيفية العمل

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

 

[salemdinho]

جاري التجربه
واسف يا اخواني اني اتعبتكم
​