تم حل المشكلة فايروس جديد يصيب الملفات التنفيذيه ( يخفي الملف المصاب و يعطي نسخه شبيهه له )

الحالة
مغلق و غير مفتوح للمزيد من الردود.
ر

رســول الغــرام

زيزوومي جديد
إنضم
18 أغسطس 2008
المشاركات
9
مستوى التفاعل
0
النقاط
0
الإقامة
ddd
غير متصل
السلام عليكم و رحمه الله .
تحيه طيبه للجميع ..
لدي مشكله ( قد يراها البعض بسيطه ) و هي بالنسبه لي و لطبيعه عملي ( مصيبه كبيره )

تعرض جهازي للاصابه بفايروس خبيث , يقوم هذا الفايروس باصابه الملفات التنفيذية , و يقوم باخفاء الملف المصاب و بدلا عنه يظهر ملف شبيه له و لكن مع تغيير الاسم بزيادة حرف g

مثلا لدي ملف او برنامج اسمه ( realplayer )
في حاله اصابه الملف ..الذي يحصل ما يلي :
1/ يتم انشاء نسخه من الملف المصاب (مع اضافه حرف g ), و هذه النسخه تكون مخفيه .
2/ تقوم برامج الحمايه بحذف الملف الاصلي باعتبار انه فايروس تصفه بأنه ( win32:malwaergen)
3/ عند اظهار الملفات المخفيه , يظهر الملف المسم(grealplaeyer) , و بامكانك تشغيل المف بشكل طبيعي, ولكن بالدخول لخصائص الملف تجد انه الخيار ( مخفي ) غير مفعل , و بالتالي لا يمكن اظهار الملف الا عن طريق اداه اخرى .

لدي في الجهاز تعريفات لاكثر من ( 5000 جهاز), اضافه إلى عشرات الالاف من البرامج , بعضها يصعب العثور عليها :)

لدى اجد نفسي في حاجة للمساعده من اخواني الخبراء ^^

 

وعليكم السلام

اخل هذا الموضوع

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي




حمل الاداة وعطنا تقرير هايجاك و البرامج المثبته ويوجد شرح كيف استخراج التقرير
 
صور قد تكون مفيده :

f6bc9f904ac76c1e1ccdaf7226cc1129.png


822cc7c0b57f30942a85d158de9bcdcb.png





270210fe37a8fc3c4c7f970d9159f27d.png
 
تفضل تقرير الهايجاك :
مع العلم ان الجهاز تفرمت من نص ساعه و لم يتم تحميل برامج سوى الحمايه :)

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي

 
انسخ التقرير لاهنت بدون اكواد
 
صورة اخرى توضح الفكره بشكل اكبر , و توضح كميه الضرر المتوقعه :(

b21832dfd9f4a106d30511e3b08f5979.png
 
ابشر طال عمرك ^^

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 08:14:24 م, on 31/10/2011
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\Documents and Settings\User\Application Data\Ground.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\AVAST Software\Avast\AvastSvc.exe
C:\Program Files\AVAST Software\Avast\AvastUI.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\TechSmith\SnagIt 9\SnagIt32.exe
C:\Program Files\TechSmith\SnagIt 9\TSCHelp.exe
C:\Program Files\TechSmith\SnagIt 9\SnagPriv.exe
C:\Program Files\TechSmith\SnagIt 9\snagiteditor.exe
C:\Program Files\Internet Download Manager\IDMan.exe
C:\Program Files\Internet Download Manager\IEMonitor.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\msiexec.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Common Files\ACD Systems\EN\DevDetect.exe
C:\Zyzoom_Forum_Tools\zyzoom.exe
C:\Zyzoom_Forum_Tools\zHijak.com
O2 - BHO: IDM Helper - {0055C089-8582-441B-A0BF-17B458C2A3A8} - C:\Program Files\Internet Download Manager\IDMIECC.dll
O2 - BHO: SnagIt Toolbar Loader - {00C6482D-C502-44C8-8409-FCE54AD9C208} - C:\Program Files\TechSmith\SnagIt 9\SnagItBHO.dll
O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - C:\Program Files\TechSmith\SnagIt 9\SnagItIEAddin.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [avast] "C:\Program Files\AVAST Software\Avast\avastUI.exe" /nogui
O4 - HKLM\..\Run: [Device Detector] DevDetect.exe -autorun
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [IDMan] C:\Program Files\Internet Download Manager\IDMan.exe /onboot
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Ground.lnk = C:\Documents and Settings\User\Application Data\Ground.exe
O4 - Global Startup: SnagIt 9.lnk = C:\Program Files\TechSmith\SnagIt 9\SnagIt32.exe
O8 - Extra context menu item: تحميل الكل بواسطة Internet Download Manager - C:\Program Files\Internet Download Manager\IEGetAll.htm
O8 - Extra context menu item: تحميل بواسطة Internet Download Manager - C:\Program Files\Internet Download Manager\IEExt.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: البرنامج الخفي لذاكرة التخزين المؤقت لفئات المكونات - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: avast! Antivirus - AVAST Software - C:\Program Files\AVAST Software\Avast\AvastSvc.exe
--
End of file - 3787 bytes
 
الله يسعدك و يغفرلك و لوالديك , جربت من قبل هذا البرنامج و لكن بالفحص السريع قبل الفورمات .., و ساجربه بالفحص العميق الان ..
سلمت لاايادي :)
 
عملت الفحص , و عطاني التقرير التالي :

Malwarebytes' Anti-Malware 1.51.2.1300

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي


Database version: 7622
Windows 5.1.2600 Service Pack 2
Internet Explorer 6.0.2900.2180
31/10/2011 08:37:30 م
mbam-log-2011-10-31 (20-37-30).txt
Scan type: Full scan (C:\|)
Objects scanned: 160416
Time elapsed: 4 minute(s), 29 second(s)
Memory Processes Infected: 0
Memory Modules Infected: 0
Registry Keys Infected: 0
Registry Values Infected: 0
Registry Data Items Infected: 2
Folders Infected: 0
Files Infected: 7
Memory Processes Infected:
(No malicious items detected)
Memory Modules Infected:
(No malicious items detected)
Registry Keys Infected:
(No malicious items detected)
Registry Values Infected:
(No malicious items detected)
Registry Data Items Infected:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
Folders Infected:
(No malicious items detected)
Files Infected:
c:\documents and settings\User\سطح المكتب\astoan على الصيــانــة (omar)\gتقويمين هجري وميلادي.exe (Trojan.Banker) -> Quarantined and deleted successfully.
c:\documents and settings\User\سطح المكتب\astoan على الصيــانــة (omar)\انترنت\internet download manager 5.18\egyup.com.internet download manager 6.07 build 5.by.jack\Active\ginternet.download.manager.6.xx.(2011)-patch.exe (PUP.Hacktool.Patcher) -> Not selected for removal.
c:\documents and settings\User\سطح المكتب\astoan على الصيــانــة (omar)\خدمية\windows7manager\gkeygen.exe (RiskWare.Tool.CK) -> Quarantined and deleted successfully.
c:\system volume information\_restore{60c81a66-9090-45bf-a1d4-66ddd506fa43}\RP13\A0002240.exe (Riskware.Tool.CK) -> Quarantined and deleted successfully.
c:\system volume information\_restore{60c81a66-9090-45bf-a1d4-66ddd506fa43}\RP13\A0002261.exe (Joke.Stressreducer) -> Quarantined and deleted successfully.
c:\system volume information\_restore{60c81a66-9090-45bf-a1d4-66ddd506fa43}\RP13\A0002342.exe (Spyware.Agent) -> Quarantined and deleted successfully.
c:\system volume information\_restore{60c81a66-9090-45bf-a1d4-66ddd506fa43}\RP15\A0002372.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
 
عيد الفحص ببرنامج افاست بجهازك كامل الان وخبرنا وش يصير معك
 
و هذا تقرير الهايجاك بعد الفحص و اعاده التشغيل . :

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 08:42:17 م, on 31/10/2011
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\AVAST Software\Avast\AvastSvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\Program Files\AVAST Software\Avast\avastUI.exe
C:\Program Files\Common Files\ACD Systems\EN\DevDetect.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Internet Download Manager\IDMan.exe
C:\Program Files\TechSmith\SnagIt 9\SnagIt32.exe
C:\Documents and Settings\User\Application Data\Ground.exe
C:\Program Files\TechSmith\SnagIt 9\TSCHelp.exe
C:\Program Files\TechSmith\SnagIt 9\SnagPriv.exe
C:\Program Files\TechSmith\SnagIt 9\snagiteditor.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Internet Download Manager\IEMonitor.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Zyzoom_Forum_Tools\zyzoom.exe
C:\Zyzoom_Forum_Tools\zHijak.com
O2 - BHO: IDM Helper - {0055C089-8582-441B-A0BF-17B458C2A3A8} - C:\Program Files\Internet Download Manager\IDMIECC.dll
O2 - BHO: SnagIt Toolbar Loader - {00C6482D-C502-44C8-8409-FCE54AD9C208} - C:\Program Files\TechSmith\SnagIt 9\SnagItBHO.dll
O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - C:\Program Files\TechSmith\SnagIt 9\SnagItIEAddin.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [avast] "C:\Program Files\AVAST Software\Avast\avastUI.exe" /nogui
O4 - HKLM\..\Run: [Device Detector] DevDetect.exe -autorun
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [IDMan] C:\Program Files\Internet Download Manager\IDMan.exe /onboot
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Ground.lnk = C:\Documents and Settings\User\Application Data\Ground.exe
O4 - Global Startup: SnagIt 9.lnk = C:\Program Files\TechSmith\SnagIt 9\SnagIt32.exe
O8 - Extra context menu item: تحميل الكل بواسطة Internet Download Manager - C:\Program Files\Internet Download Manager\IEGetAll.htm
O8 - Extra context menu item: تحميل بواسطة Internet Download Manager - C:\Program Files\Internet Download Manager\IEExt.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: البرنامج الخفي لذاكرة التخزين المؤقت لفئات المكونات - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: avast! Antivirus - AVAST Software - C:\Program Files\AVAST Software\Avast\AvastSvc.exe
--
End of file - 3722 bytes



مع العلم ان برنامج الهايجاك او برنامج ادوات زيزووم ايضا اصبح مصابا بالفايروس , و تم حذفه من قبل برنامج الافاست , و عند اظهار الملفات المخفيه ظهر بالشكل التالي :

121f69459ca3394f4f1025f104f15ce3.png




امر اخر غريب ... مكتوب في خلفيه سطح المكتب في الركن ( Iam sorry) ., و مدري من وين جات ^^

c09dd2887770beb29f78d5fb75e9ff22.png
 

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي


برنامج الافاست طلب عمل جدولة الفحص بالاقلاع ,و لكن بدا بحذف جميع الملفات :(
ما عندي مشكله افرمت الجهاز 600 مره , و لكن حذف الالاف التعريفات و البرامج هنا هي الطامه الكبرى والمصيبه العظمى .

طبعا عملت جدولة للافاست .. و لقيته طايح حذف في الملفات .. و اوقفت الفحص خوفا من ان يقضى على باقي الملفات ... على امل ان اجد حلا لتنظيف الملفات دون حذفها :(
 

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي



حطيت لك كاسبر ممتاز بالتنظيف و ان شاء الله مايحذف لك شي :king:
 
السلام عليكم ورحمة الله وبركاته
اخوانى الكرام
المشكله ماذالت مستمره معى ولا اعرف الحل
 

يجب عليك تسجيل الدخول أو التسجيل لمشاهدة الرابط المخفي


عفواً أخي الكريم ..

الموضوع له ثلاث سنوات ..
ويمنع رفع المواضيع الفديمه ..


يغلق ..
 
توقيع : Mr.AzOz
الحالة
مغلق و غير مفتوح للمزيد من الردود.
عودة
أعلى