طلب مساعده في ازالة هذا التروجن

الحالة
مغلق و غير مفتوح للمزيد من الردود.
ا

الحــلــم

زيزوومي جديد
إنضم
22 سبتمبر 2007
المشاركات
16
مستوى التفاعل
0
النقاط
20
الإقامة
جدة
الموقع الالكتروني
www.zyzoom.org
غير متصل
السلام عليكم​

الرجاء من لدية الطريقة للتخلص من هذا التروجن​

i-worm.sohanad.e trojan.horst.pp

وهذي صورة من التقرير​

Logfile of HijackThis v1.99.1
Scan saved at 07:36:41 م, on 10/10/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\hkcmd.exe
C:\Program Files\Unlocker\UnlockerAssistant.exe
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
C:\Program Files\Internet Download Manager\IDMan.exe
C:\Program Files\WinZip\WZQKPICK.EXE
C:\Program Files\Internet Download Manager\IEMonitor.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\sul\Desktop\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 212.62.97.20:8080
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Favorites
O2 - BHO: IDM Helper - {0055C089-8582-441B-A0BF-17B458C2A3A8} - C:\Program Files\Internet Download Manager\IDMIECC.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Program Files\Unlocker\UnlockerAssistant.exe"
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe"
O4 - HKCU\..\Run: [IDMan] C:\Program Files\Internet Download Manager\IDMan.exe /onboot
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: &تصدير إلى Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Add to Anti-Banner - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\ie_banner_deny.htm
O8 - Extra context menu item: Download All Links with IDM - C:\Program Files\Internet Download Manager\IEGetAll.htm
O8 - Extra context menu item: Download FLV video with IDM - C:\Program Files\Internet Download Manager\IEGetVL.htm
O8 - Extra context menu item: Download with IDM - C:\Program Files\Internet Download Manager\IEExt.htm
O8 - Extra context menu item: Search Encyclopedia -
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي
files\powershell-xp3\search4.htm
O9 - Extra button: Web Anti-Virus statistics - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\scieplugin.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: بحث - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) -
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) -
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Kaspersky Internet Security 6.0 (AVP) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe" -r (file missing)
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)​
 

ترتيب حسب التاريخ ترتيب حسب الأصوات
السلام عليكم راجع بعد الاطلاع على التقرير :biggrin:
 
تأييد 0
هلا فيك اخوي التقرير سليم 100%

ولكن هل التروجان يقوم بعمل ملف اسمه new folder اذا ايوا حمل هالاداة

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي
 
تأييد 0
للاسف اخي الكريم لم يكن هوا الذي تقصد لفايرز ملف جديد

انا بحثت عنه ووجدت هذي الطريقو للتخصل منه بس لم استطيع تنفيد ماكتب فيها

اذا تقدر تشرح الخطوات بوضوح اكثر اكون لك شاكر

الخطوات المطلوب تنفيذها
Drops below files in Windows System folder
%Windows%\svchost.exe {copy of itself}
%Windows%\svhost32.exe {copy of itself}
Upon execution it creates the following registry entries,
"SVCHOST"="%Windows%\svchost.exe"
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
"Task Manager"="%Windows%\svhost32.exe"
HKLM\Software\Microsoft\Windows\CurrentVersion\Run​

It disables System Restore by creating the following registry entry:
"DisableConfig" = "1"
HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore
This worm adds the following registry entry to remove the Run option in Windows:
"NoRun" = "1"
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer
It adds the following registry entry to disable the Internet Explorer search assistant:
"Use Search Asst" = "no"
HKCU\SOFTWARE\Microsoft\Internet Explorer\Main
It creates the following registry key and entry to modify the settings of Yahoo! Messenger:
" url" = "
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي
"
HKCU\SOFTWARE\Yahoo\pager\View\YMSGR_Launchcast
It creates the following registry entries to disable Registry Editor and Windows Task Manager:
"DisableRegistryTools" = "1"
"DisableTaskMgr" = "1"
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System
It also modifies the following registry entries to change the Internet
Explorer home page and search page:
"DefaultSearchURL" = "
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي
"
HKCU\SOFTWARE\Microsoft\Search Assistant
"(Default)" = "
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي
"
HKCU\SOFTWARE\Microsoft\Internet Explorer\SearchUrl
"Start Page" = "
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي
"
"Search Page" = "
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي
"
"Search Bar" = "
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي
"
HKCU\SOFTWARE\Microsoft\Internet Explorer\Main
"​

مصدر هذي المعلومات في هذا الرابط​

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

ارجو توضيح الطريقة للتخلص من هذا التروجن​

تحياتي​
 
تأييد 0
اخوي ممكن ترفع صورة لها التروجان ؟؟

يعني كيف عرفت انك مصاب ؟

ياليت صورة
 
تأييد 0
تأييد 0
تأييد 0
هلا فيك اخوي الصراحة بحثت كثيرا ولم اجد شي بخصوص هالتروجان

نزل هالبرنامج هو الوحيد الي حصلته

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي
 
تأييد 0
مشكورين اخواني

على تعاونكم الرهيب عساكم على القوة

ولاكن لازلت تطهر الرسالة عن وجود التروجن في الصورة المرفقة في الموضوع

وعلى فكرة انا ببحث في كل مكان عن حل قبل الفورمات

تحياتي
 
تأييد 0
تأييد 0
الف شكر اخي تركي

تمكنة من التخصل منه عن طريق برنامج اسمه Quick Heal

ولى ملاحظة اخوي هل برنامج تمكن من اكتشاف عدد من التروجنات والفيروزات بالرغم انه

يوجد على الجهاز برنامج الكاسبر

البرنامج رهيب يستحق التجربة وهذا رابط الشركة

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي


تحياتي
 
تأييد 0
الحالة
مغلق و غير مفتوح للمزيد من الردود.
عودة
أعلى