تروجان محقون بالمتصفح بجهازي

[mohamadalhajry]

السلام عليكم ورحمة الله

رجاء من الادارة فضلا لا امرا ماينقلون الموضوع لقسم ثاني لأن السؤال مهم لي وللجميع واتوقع نقاشه بذا القسم افضلا

الباتش الي ينحقن بالمتصفح او بالبرامج الثانية والي مايظهر بالعمليات والبروسيس وش حله جزاكم الله كل خير

 

[soly]

ينقل للقسم الأنسب ليأخذ حقه من الاطلاع والمشاركة ،،،
​

 

[الخفـوق]

وعليكم السلام والرحمه
..

ممكن الطريقه اللي كشفت بها ان المتصفح محقوون ؟؟
يعني ايش اللي اثبت لك انه محقون ؟

..

+ ينصح بحذف المتصفح واعادة تثبيته

واستخدام اداة الكومودو

للتحليل واستعراض الخدمات


أو أداة SystemExplorer

+ عمل فحص شامل بالمالوير بايت

>> يفضل فتح الموضوع بقسم المشاكل والحلول + تطبيق التقارير المطلوبه
​

 

[mohamadalhajry]

بارك الله فيكم

اخوي الخفوق يظهر عندي الإكسبلور وانا صاك المتصفح والماسنجر وكل شي وبرضو تظهر ملفات برامج وملفات النظام في الدوس

تفضلو
هايجك
Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 08:07:28 م, on 22/04/12
Platform: Windows 7 (WinNT 6.00.3504)
MSIE: Internet Explorer v8.00 (8.00.7600.16385)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskhost.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\System32\igfxtray.exe
C:\Windows\System32\hkcmd.exe
C:\Windows\System32\igfxpers.exe
C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe
C:\Windows\System32\SupportAppXL\AutoDect.exe
C:\Program Files\KeyScrambler\KeyScrambler.exe
C:\Program Files\AntiLogger\AntiLogger.exe
C:\Program Files\Faronics\Deep Freeze\Install C-0\_$Df\FrzState2k.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Users\user\Desktop\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2012\ievkbd.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GR469A~1.DLL
O2 - BHO: link filter bho - {E33CF602-D945-461A-83F0-819F76A199F8} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2012\klwtbbho.dll
O4 - HKLM\..\Run: [IgfxTray] C:\Windows\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\Windows\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\Windows\system32\igfxpers.exe
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [autodetect] C:\Windows\system32\SupportAppXL\AutoDect.exe
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2012\avp.exe"
O4 - HKLM\..\Run: [KeyScrambler] C:\Program Files\KeyScrambler\keyscrambler.exe /a
O4 - HKLM\..\Run: [AntiLogger] "C:\Program Files\AntiLogger\AntiLogger.exe" /minimized
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O8 - Extra context menu item: ت&صدير إلى Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: إرسال إلى OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: إر&سال إلى OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: &لوحة المفاتيح الظاهرية - {4248FE82-7FCB-46AC-B270-339F08212110} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2012\ievkbd.dll
O9 - Extra button: (no name) - {5C106A59-CC3C-4caa-81A4-6D909B5ACE23} - C:\Program Files\KeyScrambler\KeyScramblerIE.dll
O9 - Extra 'Tools' menuitem: &KeyScrambler Options - {5C106A59-CC3C-4caa-81A4-6D909B5ACE23} - C:\Program Files\KeyScrambler\KeyScramblerIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: فحص &عناوين مواقع الويب - {CCF151D8-D089-449F-A5A4-D9909053F20F} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2012\klwtbbho.dll

O17 - HKLM\System\CCS\Services\Tcpip\..\{CA250C41-382A-42D5-B33C-161E4BADE960}: NameServer = 86.51.34.24 86.51.35.24
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GRA32A~1.DLL
O20 - Winlogon Notify: DfLogon - LogonDll.dll (file missing)
O23 - Service: خدمة Kaspersky لمكافحة الفيروسات (AVP) - Kaspersky Lab ZAO - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2012\avp.exe
O23 - Service: DFServ - Faronics Corporation - C:\Program Files\Faronics\Deep Freeze\Install C-0\DFServ.exe

--
End of file - 4171 bytes

تقرير رنسكنر

Runscanner logfile

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

* = signed file
- = file not found

General info
------------
Computer name : USER-PC
Creation time : 22/04/12 08:11:11 م
Hosts <> 127.0.0.1 : 0
Hosts file location : %SystemRoot%\System32\drivers\etc
IE version : 8.0.7600.16385
OS : Windows 7 Home Premium
OS Build : 7600
OS SP :
RunScanner Version : 2.0.0.60
User Language : العربية (السعودية)‏
User rights : Administrator
Windows folder : C:\Windows

Running processes
-----------------
* C:\Windows\System32\SupportAppXL\AutoDect.exe
* C:\Windows\system32\csrss.exe (Microsoft Corporation)
* C:\Windows\system32\csrss.exe (Microsoft Corporation)
C:\Program Files\Faronics\Deep Freeze\Install C-0\_$Df\FrzState2k.exe (Faronics Corporation)
* C:\Windows\System32\dwm.exe (Microsoft Corporation)
* C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation)
* C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe (Microsoft Corporation)
* C:\Windows\System32\hkcmd.exe (Intel Corporation)
* C:\Windows\system32\svchost.exe (Microsoft Corporation)
* C:\Windows\system32\svchost.exe (Microsoft Corporation)
* C:\Windows\system32\svchost.exe (Microsoft Corporation)
* C:\Windows\system32\svchost.exe (Microsoft Corporation)
* C:\Windows\system32\svchost.exe (Microsoft Corporation)
* C:\Windows\system32\svchost.exe (Microsoft Corporation)
* C:\Windows\system32\svchost.exe (Microsoft Corporation)
* C:\Windows\system32\svchost.exe (Microsoft Corporation)
* C:\Windows\system32\svchost.exe (Microsoft Corporation)
* C:\Windows\system32\svchost.exe (Microsoft Corporation)
* C:\Windows\system32\svchost.exe (Microsoft Corporation)
* C:\Windows\System32\taskhost.exe (Microsoft Corporation)
* C:\Windows\System32\taskhost.exe (Microsoft Corporation)
* C:\Windows\System32\igfxtray.exe (Intel Corporation)
* C:\Program Files\KeyScrambler\KeyScrambler.exe (QFX Software Corporation)
* C:\Windows\system32\lsass.exe (Microsoft Corporation)
* C:\Windows\system32\SearchIndexer.exe (Microsoft Corporation)
* C:\Program Files\Mobily Connect Card\Modem.exe
* C:\Windows\System32\igfxpers.exe (Intel Corporation)
* C:\Users\user\Desktop\runscanner.exe (Runscanner.net)
* C:\Windows\system32\services.exe (Microsoft Corporation)
* C:\Windows\system32\spoolsv.exe (Microsoft Corporation)
* C:\Windows\system32\audiodg.exe (Microsoft Corporation)
* C:\Windows\system32\WUDFHost.exe (Microsoft Corporation)
* C:\Windows\system32\smss.exe (Microsoft Corporation)
* C:\Program Files\AntiLogger\AntiLogger.exe (Zemana Ltd.)
* C:\Windows\system32\wininit.exe (Microsoft Corporation)
* C:\Windows\system32\winlogon.exe (Microsoft Corporation)
* C:\Windows\system32\lsm.exe (Microsoft Corporation)
* C:\Windows\explorer.exe (Microsoft Corporation)

Unrated items
-------------
002 * C:\Program Files\AntiLogger\AntiLogger.exe (Zemana Ltd.)
002 * C:\Windows\system32\SupportAppXL\AutoDect.exe
002 * C:\Program Files\KeyScrambler\keyscrambler.exe (QFX Software Corporation)
010 C:\Program Files\Faronics\Deep Freeze\Install C-0\DFServ.exe (Deep Freeze 7.00 Service)
011 * C:\Windows\system32\drivers\DeepFrz.sys (Deep Freeze 7.00 driver)
011 * C:\Windows\System32\drivers\keyscrambler.sys (KeyScrambler)
011 * C:\Program Files\AntiLogger\AntiLog32.sys (Zemana AntiLogger Driver)
042 GUID / CLSID not found {5C106A59-CC3C-4caa-81A4-6D909B5ACE23}
042 GUID / CLSID not found {4248FE82-7FCB-46AC-B270-339F08212110}
042 GUID / CLSID not found {92780B25-18CC-41C8-B9BE-3C9C571A8263}
042 GUID / CLSID not found {2670000A-7350-4f3c-8081-5663EE0C6C49}
042 GUID / CLSID not found {CCF151D8-D089-449F-A5A4-D9909053F20F}
060 GUID / CLSID not found {E6FB5E20-DE35-11CF-9C87-00AA005127ED}
105 ت&صدير إلى Microsoft Excel : res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
120 NameServer {CA250C41-382A-42D5-B33C-161E4BADE960} : 86.51.34.24 86.51.35.24
145 * C:\Windows\system32\drivers\DeepFrz.sys (Faronics Corporation)
145 * C:\Windows\system32\drivers\keyscrambler.sys (QFX Software Corporation)
170 G : G:\AutoRun.exe
173 GUID / CLSID not found
221 GUID / CLSID not found
225 GUID / CLSID not found
225 GUID / CLSID not found
227 GUID / CLSID not found
251 GUID / CLSID not found
001 DFServ.exe

Missing files
-------------
032 rdpclip
063 autocheck
067 LogonDll.dll​

 

[الخفـوق]

أخوي انت مثبت برنامج " الديب فريز "
لتجميـد النظام

قم بفك التجميد واعد تشغيل الجهاز

ومن ثم عمل فحص شامل بالمالوير بايت بعد تحديثه

وارفق التقرير ..


​

 

[mohamadalhajry]

أخوي انت مثبت برنامج &quot; الديب فريز &quot;
لتجميـد النظام

قم بفك التجميد واعد تشغيل الجهاز

ومن ثم عمل فحص شامل بالمالوير بايت بعد تحديثه

وارفق التقرير ..


​

إن شاء الله اخوي

 

[mohamadalhajry]

تقرير مالوار بايت ماكتشف شي تفضلوا

Malwarebytes Anti-Malware (Trial) 1.61.0.1400

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

Database version: v2012.04.22.05

Windows 7 x86 NTFS
Internet Explorer 8.0.7600.16385
user :: USER-PC [administrator]

Protection: Enabled

02/06/33 12:10:36 ص
mbam-log-2012-04-23 (00-10-36).txt

Scan type: Full scan
Scan options enabled: Memory | Startup | Registry | File System | Heuristics/Extra | Heuristics/Shuriken | PUP | PUM
Scan options disabled: P2P
Objects scanned: 319150
Time elapsed: 1 hour(s), 13 minute(s), 23 second(s)

Memory Processes Detected: 0
(No malicious items detected)

Memory Modules Detected: 0
(No malicious items detected)

Registry Keys Detected: 0
(No malicious items detected)

Registry Values Detected: 0
(No malicious items detected)

Registry Data Items Detected: 0
(No malicious items detected)

Folders Detected: 0
(No malicious items detected)

Files Detected: 0
(No malicious items detected)

(end)

 

[mohamadalhajry]

هي صورة من متصفح النظام اعطاني ملفات امنة الا الي بالصورة ملفات غير معروفة بس الخمس ملفات الأولى هذا يمكن تابع للكونكت

autoDect.exe وqmi_server.dll هذولي ماعرفتهم

 

[mohamadalhajry]

اخوي الخفوق كانت فيه هجمات شبكة إتصال منتظمة على الجهاز ومرة الكاسبر ضبط ملف مشبوه وأعطاني خيار ارساله للشركة ومن بعدها تعطلت الحماية السحابية

 

[format]

المعذره منك باغلاق الموضوع تابع هنا

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

​