تروجان ضرب جهازي والكاسبر نايم حذف لي بعض خصائص سطح المكتب

[عبد المجيد]

السلام عليكم ورحمة الله وبركاته
تروجان ضرب جهازي والكاسبر نايم حذف لي بعض خصائص سطح المكتب
تروجان من صنع شركة متخصصه ببرامجة برامج ضد ملفات التجسس صممة التروجان علشان
تشتري منتجها ولا واللي يزود الطين بله محطين معه شاشة توقف صورير وانتم بكرامه :hh:
التروجان كان وش حليله اول ما تتغير خلفية سطح المكتب انزل الافي جي الاصدار الثامن
واحذفه لاكن قامت الشركة اللعينه وطورت التروجان خرب علي اعدادت المتصفح
وحذف لي بعض من خصائص سطح المكتب وعلماً اني حذفت الكاسبر وركبت افي جي وفحصت
ومسكه وقالي حذفته << وطلع خراط ماحذفه سويت تصليح للنظام وتفاجئت ان الفيروس مانحذف:cr:

وهذاي علامته المميزه الله يلعن من برمجه

الان جاري الفحص ببرنامج .f-secure مباشر عن طريق الموقع

في انتظار الحلول

شكراً لكم مقدماً​

 

[عاشق ومالي حبيب]

جرب البرنامج هذا قوي ضد البرامج والتروجنات الدعائيه

SUPERAntiSpyware

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

حدثه وسوي فحص

وأعطينا تقرير Hijack

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

 

[Prince Softs]

جرب البرنامج هذا قوي ضد البرامج والتروجنات الدعائيه

SUPERAntiSpyware

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

حدثه وسوي فحص

وأعطينا تقرير Hijack

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

k: k: k: k:

 

[عبد المجيد]

شكراً لكم على المرور
وشاكر لك عاشق ومالي حبيب على البرامج
هذا التقرير

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:23:25 ص, on 05/06/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
C:\Program Files\Cyberlink\Shared files\RichVideo.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Internet Download Manager\IDMan.exe
C:\Program Files\Internet Download Manager\IEMonitor.exe
C:\PROGRA~1\AVG\AVG8\avgam.exe
C:\PROGRA~1\AVG\AVG8\avgnsx.exe
C:\PROGRA~1\AVG\AVG8\avgemc.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\DOCUME~1\WINDOZ~1\LOCALS~1\Temp\OnlineScanner\Anti-Virus\fsgk32.exe
C:\DOCUME~1\WINDOZ~1\LOCALS~1\Temp\OnlineScanner\Anti-Virus\fssm32.exe
C:\PROGRA~1\AVG\AVG8\avgrsx.exe
C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\NOTEPAD.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = socks=
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: IDM Helper - {0055C089-8582-441B-A0BF-17B458C2A3A8} - C:\Program Files\Internet Download Manager\IDMIECC.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG8\avgssie.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: AVGTOOLBAR - {A057A204-BACC-4D26-9990-79A187E2698E} - C:\PROGRA~1\AVG\AVG8\AVGTOO~1.DLL
O3 - Toolbar: AVGTOOLBAR - {A057A204-BACC-4D26-9990-79A187E2698E} - C:\PROGRA~1\AVG\AVG8\AVGTOO~1.DLL
O4 - HKLM\..\Run: [Windows Sound] svdhost.exe
O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe
O4 - HKLM\..\RunServices: [Windows Sound] svdhost.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [IDMan] C:\Program Files\Internet Download Manager\IDMan.exe /onboot
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: تحميل الكل بـ إنترنت داونلود مانيجر - C:\Program Files\Internet Download Manager\IEGetAll.htm
O8 - Extra context menu item: تحميل بـ إنترنت داونلود مانيجر - C:\Program Files\Internet Download Manager\IEExt.htm
O8 - Extra context menu item: تحميل محتوى فيديو (إف.إل.في) بـ إنترنت داونلود مانيجر - C:\Program Files\Internet Download Manager\IEGetVL.htm
O9 - Extra button: PalTalk - {4EAFEF58-EEFA-4116-983D-03B49BCBFFFE} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra button: Bonjour - {7F9DB11C-E358-4ca6-A83D-ACC663939424} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {BDBDE413-7B1C-4C68-A8FF-C5B2B4090876} (F-Secure Online Scanner 3.3) -

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files\AVG\AVG8\avgpp.dll
O20 - AppInit_DLLs: avgrsstx.dll
O20 - Winlogon Notify: !SASWinLogon - C:\Program Files\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: AVG8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgemc.exe
O23 - Service: AVG8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\Cyberlink\Shared files\RichVideo.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\Cyberlink\Shared files\RichVideo.exe
--
End of file - 4702 bytes

 

[عاشق ومالي حبيب]

طيب يا غالي أبغاك الآن تشيك على ملف svdhost.exe
هنا

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

على الآرجح إنه فايروس
لكن أفحصه للتأكيد​

 

[عبد المجيد]

بحثت عنه ماحصلته ؟؟ يمكنه انحذف

 

[عاشق ومالي حبيب]

بحثت عنه ماحصلته ؟؟ يمكنه انحذف

ما هي مشكله​

طلع مثل ما قلت (فايروس) وإسمه W32/Sdbot

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

الآن أحذف كل القيم التاليه​

O4 - HKLM\..\Run: [Windows Sound] svdhost.exe
O4 - HKLM\..\RunServices: [Windows Sound] svdhost.exe
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)​

طبعا بعد ما تسوي سكان جديد بأداة الهايجاك حط علامة صح على جميع القيم الي ذكرتها
وبعدين FIX CHECKED​

وأعطينا النتيجه + تقرير هايجاك جديد​

 

[عبد المجيد]

هذا التقرير جزاااك الله خير

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 04:39:18 م, on 05/06/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
C:\Program Files\Cyberlink\Shared files\RichVideo.exe
C:\PROGRA~1\AVG\AVG8\avgam.exe
C:\PROGRA~1\AVG\AVG8\avgrsx.exe
C:\PROGRA~1\AVG\AVG8\avgnsx.exe
C:\PROGRA~1\AVG\AVG8\avgemc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\AVG\AVG8\avgtray.exe
C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\WINDOWS\system32\msiexec.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = socks=
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O4 - Global Startup: AVG8.lnk = C:\Program Files\AVG\AVG8\avgtray.exe
O4 - Global Startup: SUPERAntiSpyware.lnk = C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - Global Startup: Trojan Remover.lnk = C:\Program Files\Trojan Remover\Trjscan.exe
O23 - Service: AVG8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgemc.exe
O23 - Service: AVG8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\Cyberlink\Shared files\RichVideo.exe
--
End of file - 1787 bytes

 

[yasir555]

بعد اذن اخوي عاشق التقرير الثاني تمام

استخدم هذه الاداة لأزالة بقايا التروجان

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

وهنا شرح للأداة

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

 

[عاشق ومالي حبيب]

^
^^
^^^​

أتفضل يا غالي​

أخوي عبد المجيد ​

التقرير الثاني تمام مثل ما قال الأخ ياسر​

وحمل هذا البرنامج عندك وحدثه وسوي فحص وأعطينا النتيجه​

Malwarebytes' Anti-Malware

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

 

[عبد المجيد]

جزاكم الله كل خير ويعطيكم الف عافيه
هذا التقرير

SmitFraudFix v2.323
Scan done at 20:57:03.10, Thu 06/05/2008
Run from C:\Documents and Settings\windozpro\«ل¥ ںéêè¢ \SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in normal mode
»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
»»»»»»»»»»»»»»»»»»»»»»»» Killing process

»»»»»»»»»»»»»»»»»»»»»»»» hosts

127.0.0.1 localhost
»»»»»»»»»»»»»»»»»»»»»»»» VACFix
VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix
S!Ri's WS2Fix: LSP not Found.

»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix
GenericRenosFix by S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» DNS
Description: محول VIA Compatable Fast Ethernet - منفذ مصغر لجدولة الحزم
DNS Server Search Order: 84.235.124.138
HKLM\SYSTEM\CCS\Services\Tcpip\..\{248D4A93-D731-4EA3-9C27-EDBF36E47041}: DhcpNameServer=84.235.124.138
HKLM\SYSTEM\CS1\Services\Tcpip\..\{248D4A93-D731-4EA3-9C27-EDBF36E47041}: DhcpNameServer=84.235.124.138
HKLM\SYSTEM\CS2\Services\Tcpip\..\{248D4A93-D731-4EA3-9C27-EDBF36E47041}: DhcpNameServer=84.235.124.138
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=84.235.124.138
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=84.235.124.138
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=84.235.124.138

»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""

»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» End

 

[عبد المجيد]

هذا التقرير الثاني

Malwarebytes' Anti-Malware 1.14
Database version: 829
10:07:32 م 05/06/2008
mbam-log-6-5-2008 (22-07-32).txt
Scan type: Quick Scan
s scanned: 36029
Time elapsed: 15 minute(s), 26 second(s)
Memory Processes Infected: 0
Memory Modules Infected: 0
Registry Keys Infected: 3
Registry Values Infected: 0
Registry Data Items Infected: 0
Folders Infected: 0
Files Infected: 1
Memory Processes Infected:
(No malicious items detected)
Memory Modules Infected:
(No malicious items detected)
Registry Keys Infected:
HKEY_CLASSES_ROOT\Interface\{831cbac4-8283-4653-9d81-feb9f3f6e47c} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Typelib\{831cbac2-8283-4653-9d81-feb9f3f6e47c} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Software Notifier (Rogue.Multiple) -> Quarantined and deleted successfully.
Registry Values Infected:
(No malicious items detected)
Registry Data Items Infected:
(No malicious items detected)
Folders Infected:
(No malicious items detected)
Files Infected:
C:\WINDOWS\system32\blphccj4j0ee2j.scr (Trojan.FakeAlert) -> Quarantined and deleted successfully.

 

[عبد المجيد]

يااخوان المشاكل كلها انحلت والحمد لله بفضل الله ثم بفضلكم
الله يجزاكم عني كل خير

لاكن الان بقت مشكلة المتصفح ماهو مثل اول اذا كنت اتصفح موضوع وانزل

كأنه يقطع شوي صلحت النظام ركبت الاصدار السابع من الاكسبلور لاكن نفس المشكله

تحياتي لكم

 

[انكيدو]

سبحان الله
طبعاً انا ايضاً انضرب جهازي بفايرس وتروجان عن طريق كراك لبرنامج معين
والكارثة اني عندما حملت الكراك فحصته عن طريق الكاسبر سكاي انترنت سكيورتي الاصدار السادس ولم يكتشف به شيء
لكن عندما فتحت الكراك كي انصبه ... انقلبت كل الامور
البارتشن c والبارتشن d اختفيا
نصف الاختيارات الموجودة في قائمة start اختفت من ظمنها البرامج والControl Panal وال Run وغيرها من الاشياء
ونفس المشكلة التي صادفت الاخ عبد المجيد ... طبعاً انا اختصرت الموضوع وقمت بفرمتة الجهاز وتنصيب نسخة جديدة من الوندوز لكن السؤال والمشكلة ... لابل الطامة الكبرى والكارثة العظمى
هي
كيف يمكن ان يعبر على الكاسبر ملف مضروب بفايرس وتروجانات دون ان يكشفها .. خصوصاً أني كانت لي بالكاسبر سكاي انترنت سكيورتي ثقة عمياء

ما هي الاسباب حسب رأيكم جزاكم الله خير جزاء
للعلم اني اقوم بتحديث البرنامج كل يوم تقريباً بمعدل كل 30 ساعة اقوم بتحديث للبرنامج​

 

[Juve GuardJuve Guard is verified member.]

هذا لا قالوا لك الكاسبر >> خرطي​

 

[انكيدو]

والله يا أخي لا أعرف كيف اجيبك
هل معقولة البرنامج او الشركة المبرمجة عندها خلل او اشكال معين في البرنامج
المضحك بالأمر اني كنت من اقوى المدافعين والمروجين لهذا البرنامج في كل منتدى
حتى اصدقائي ومعارفي انصحهم ... لا بل جعلتهم يقومون بتثبيت هذا البرنامج
والآن بعد كل الذي حدث مازلت مشدوهاً .. كيف حدث هذا !!!​

 

[عبد المجيد]

اولاً شاكر لكم على المرور وابداء ارئكم​

بصراحه حنا ضايعين اي واحد يحط برنامج حماية يحطه افضل برنامج​

حماية ويدخل موقعه ويدور الشهادات اللي حاصل عليها هالبرنامج << ونص ها الشهاداة << مزروفه ولا مزوره​

ولا واللي يزود الطين بله بالتقييم هو الاول >> وادج منه مافيه << الظاهر مبرمجون برامج الحماية يسكرون واجد​

تلقى برنامج الحماية يون على برنامج نظيف مافيه فيروسات >> والباتشات والتروجانات عاقد معهم معاهده سلام​

هو صحيح لكل زمن شركة حماية لاكن وين اللي يعطينا التقييم الصحيح احد يقول بيت فندر واحد يقول افيرا واحد يقول​

افي جي واحد يقول كاسبر والخ ..........​

ماهي معقوله كل اسبوع فرومات على بحساب فيروس حجمه مايتعد الميغا​

ولا وتلقى الهكر متمشين بالجهاز الين ملو وقبل مايطلعون ماخذين باك اب من جهازك​

؟
؟
؟
.​

 

[Juve GuardJuve Guard is verified member.]

عبد المجيد
نصحتك انت وناس شرواك بالأفيرا
لكن ما سمعتوا الكلام
المنتدى بطوله وعرضه ما سمعنا احد يعاني من فيروس بوجود الأفيرا
الا شخص واحد فقط ،، عانا من فيروس اوتورن فقط
اما الباقين الي عندهم نود او كاسبر كل يوم طالعين لنا بمشكله
توكل على الله وحط الأفيرا

 

[الشبح المغربي]

اخواتي انا اشرح لكم لي الكاسبر معرفش هدا الفيروس هدا الفيروس يدخل عن طريق المتصفح و يدعوك فيما بعد برسالة يقول فيها ان حاسوبك تعرض للخرق
و يطلب منك تحميل انتي فيروس من موق اخر

و عندما تضغط للتحميل او بمجرد دخولك الموقع يعمل او يبطل جميع خاصيات الكاسبر سكي الاصدار 6
" Désactiver "
و بهدا يصبح الفيروس حرا و يعما تخريب كحدف البارتشن وا تبديل اسماء بعد الملفات او حدفها كليا و كدا اختفاء بعض خصائص الوندوز

انا عملت على حدف هدا الفيروس من حاسوب فيه الاصدار 6 للكاسبر
بالطريقة التقليدية

اتمنى انني لم اطيل عليكم
هدا فقط لتفسير لما الكاسبر لم يتعرف عليه

 

[عبد المجيد]

يعطيكم العافيه وشاكر لكم

Juve Guard

يعطيك العافيه انا ركبت افيرا سيكورتي المشكله فيه في جدا الحماية ما يخليه يتصل بالنت

وبصراحه ما عرفت لجدار حمايته حاولت معه الين مليت ثم حذفته