استفسار البورتات المفتوحة واختراق النظام + شرح بالصور

الحالة
مغلق و غير مفتوح للمزيد من الردود.
المجاهد

المجاهد

زيزوومى مميز
إنضم
10 مارس 2008
المشاركات
273
مستوى التفاعل
529
النقاط
515
غير متصل
السلام عليكم ورحمة الله وبركاته

إخواني الأفاضل نرجو تزويدنا بحل مناسب للمشكلة التي نواجهها قبل ما أقوم بعمل فورمات للنظام (وهذا آخر حل متوقع ولله العلم)

مشكلتي باختصار بطئ تصفح الانترنت ومشاكل أخرى للجهاز وبعد البحث والتحري

نوع النظام: windows 8.1 X64 Arabic
برنامج الحماية : Bitdefender Internet Security 2015
وأيضا: Malwarebytes Anti-Malware 2

وقد حاولت الفحص بعدة برامج منها
AdwCleaner
TDSSKiller
Hitman Pro
UnHackMe
SpyHunter

واستعملت برنامج الهاجك HijackThis لكنه لم يكشف شيء


والمشكلة هي مشروحة بالصور

في الصورة رقم 1 (أرجوا التركيز على حل المشكلة)

باستخدام الأمر

كود: 
Netstat -ano

وجدت الكثير من البورتات ports مفتوحة بالجهاز قبل الاتصال بشبكة الانترنت

[hide]
6V3hUD.jpg
[/hide]

وقد سويت نفس الطريقة بنظام داخلي وهمي قبل الاتصال بشبكة الانترنت

[hide]
LuXLGQ.jpg
[/hide]

شاهدوا الفرق الواضح ولم أتوصل أي مكان البوت في سجل النظام regedit

في الصور رقم 2

حاولت إغلاق منافذ الجهاز البورت port
باستخدام برنامجي وقد نجحت


[hide]
lPmV8Y.jpg
[/hide]


في الصورة رقم 3

نجحت جزئيا في إغلاق المنافذ

[hide]
ZqUbCg.png
[/hide]


في الصورة رقم 4

ظهرت خانة لم تكن موجودة من قبل وأعتقد انها اختراق الجهاز

[hide]
dNhFTk.jpg
[/hide]

في الصورة رقم 5

تظهر رسالة خطأ عندما أحاول معرفة حالة ملفات المشاركة

[hide]
lLElJT.jpg
[/hide]

في الصورة رقم 6

ظهور شبكات اتصال لم تكن موجودة من قبل وقد تم حل المشكلة يدويا باستخدام محرر السجل لكني ودي أتأكد هل حلت بالكامل أو أن هناك آثار

[hide]
c1ntQB.jpg
[/hide]

في الصورة رقم 7

باستخدام برنامج cports قبل الاتصال بالانترنت

ظهر "غير معروف" يحاول الاتصال

[hide]
NPvxnv.jpg
[/hide]

في الصورة رقم 8

باستخدام برنامج cports بعد الاتصال بالانترنت

[hide]
GozQaw.jpg
[/hide]

في الصورة رقم 9

عند فتح صفحة واحدة فقط باستخدام برنامج Internet Explorer
ومقارنتها بفحص البرنامج المذكور أعلاه شاهدوا الصفحات المفتوحة
قد يكون برنامج Internet Explorer ملغوم مزروع به ملف كيف أتأكد من ذلك

[hide]
ILyN7e.jpg
[/hide]

في الصورة رقم 10

اختفى شريط اللغة وقد سويت كل الطرق من ضمنها حذف لغة وإضافتها من جديد وطرق الموجودة بالمنتدى لكن دون فائدة

[hide]
UMMHBo.jpg
[/hide]


(تحديث رقم 1)
في الصورة رقم 11

كل ما أفتح أي صفحة من المنتديات تظهر رسالة هل هذه من موقعكم أو من متصفح جهازي

[hide]
vMO0Vs.jpg
[/hide]

أخيرا في الصورة رقم 12

كل ما أحذف تلك الملفات وأعتقد أنها اختراق سيرفر وعند إعادة تشغيل جهاز تظهر ملفات أخرى وتزداد هل هذا طبيعي إلى الآن ما توصلت إلى مصدر الملف الخبيث

[hide]
aDrXTT.jpg
[/hide]


أخيرا أتمنى إيجاد الحل المناسب للمشكلة إذا لم أستطيع الرد خلا 3 أيام اعلموا أن الجهاز قد تم تدميره وقد أسوي فورمات

شاكرا ومقدرا حسن المتابعة وردودكم

والسلام عليكم ورحمة الله وبركاته
 

التعديل الأخير:
ترتيب حسب التاريخ ترتيب حسب الأصوات
النوميدي قال:
تمام .. الان سنقوم بقطع الشك باليقين و فحص نظامك بواسطة
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

و نقوم التأشير على كل التبيوبات يا طيب ...

GDABQv9.png

8bMMBqS.png
أنقر للتوسيع...

الآن انتهى من الفحص وسؤال هل هذه ملفات مصابة ويجب إزالتها يدويا أو ببرنامج
وبالصورة المرفقة ماذا يعني السطر باللون الأزرق هل هذا طبيعي
[hide]
qx6JX4.jpg
[/hide]

ومرفق لكم السجل وكلمة السر للملف كالعادة
 

التعديل الأخير:
تأييد 0
معذرة على المداخلة والسؤال

أليس الأفضل عند عمل ذلك أن لا يكون الجهاز متصل بالانترنت ويكون التواصل من خلال جهاز آخر

فقط حتى أعرف إن كان ذلك صحيح أم لا لأنه في حالة إصابة الجهاز وفقد الاتصال يمكن السيطرة عليه
 
توقيع : أبو عائشهأبو عائشه is verified member.
تأييد 0
imadmahi قال:
اضم صوتي الى اخي
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي
ثبت كاسبر سكاي وافحصه وانصحك بتوتال سكيورتي
أنقر للتوسيع...

أبو عائشه قال:
+ 1
أنقر للتوسيع...

قد استخدم أسطوانة الإنقاذ من كاسبر سكاي لفحص الملفات لكني لن أثبته في نظامي الرئيسي وقد أثبته في نظامي الثاني الوهمي
لأن كما تعلمون أن أفضل برنامج حماية بت دفيندر وأيضا أنه مفعل إلى 256 يوم قادم بمشيئة الله
تحياتي لكم
 
تأييد 0
أبو عائشه قال:
معذرة على المداخلة والسؤال

أليس الأفضل عند عمل ذلك أن لا يكون الجهاز متصل بالانترنت ويكون التواصل من خلال جهاز آخر

فقط حتى أعرف إن كان ذلك صحيح أم لا لأنه في حالة إصابة الجهاز وفقد الاتصال يمكن السيطرة عليه
أنقر للتوسيع...

لا مشكلة أخوي لكني لا أملك إلا هذا الجهاز ولا أملك لابتوب أو أي جهاز ثاني معذرة منك والسموحة
 
تأييد 0
المجاهد قال:
قد استخدم أسطوانة الإنقاذ من كاسبر سكاي لفحص الملفات لكني لن أثبته في نظامي الرئيسي وقد أثبته في نظامي الثاني الوهمي
لأن كما تعلمون أن أفضل برنامج حماية بت دفيندر وأيضا أنه مفعل إلى 256 يوم قادم بمشيئة الله
تحياتي لكم
أنقر للتوسيع...
جربsmadav
 
توقيع : غفاري عماد الدين
تأييد 0
تحديث رقم (1)

لم تنجح هذه الطرية للأسف


أنا الحين سويت حل مؤقت باستخدام الأوامر التالي في cmd

كود: 
ipconfig /release


ipconfig /renew

لكني ودي بحل جذري وما أسوي الحركة كل ما أعيد تشغيل الجهاز
شاكرا ومقدرا حسن تعاونكم الكريم معنا
أنقر للتوسيع...
 
التعديل الأخير:
تأييد 0
أبو عائشه قال:
معذرة على المداخلة والسؤال

أليس الأفضل عند عمل ذلك أن لا يكون الجهاز متصل بالانترنت ويكون التواصل من خلال جهاز آخر

فقط حتى أعرف إن كان ذلك صحيح أم لا لأنه في حالة إصابة الجهاز وفقد الاتصال يمكن السيطرة عليه
أنقر للتوسيع...
لا يا طيب ..

لفحص ال Mbr لا حاجة لقطع النت أولا .. وثانيا جهاز الأخ ليس مقرصن

و انما مصاب بأدور ان شاء تفرج
 
توقيع : النوميديالنوميدي is verified member.
تأييد 0
المجاهد قال:
الآن انتهى من الفحص وسؤال هل هذه ملفات مصابة ويجب إزالتها يدويا أو ببرنامج
وبالصورة المرفقة ماذا يعني السطر باللون الأزرق هل هذا طبيعي
[hide]
qx6JX4.jpg
[/hide]

ومرفق لكم السجل وكلمة السر للملف كالعادة
أنقر للتوسيع...
في الأعلى تجد Rootkit/malare انقر عليها لتفتح كل التبويبات يا طيب ...

لا يجب مسح أي شيء حتى أنصحك به ففي بعض الأحيات هناك ملفات مخفية للنظام أو برنامج حماية و تكون بالأحمر

بعد فتح التبيوبات افحص الأسطر بالاحمر و التي باللألوان الأخرى دعك منها الأن ....
 
توقيع : النوميديالنوميدي is verified member.
تأييد 0
imadmahi قال:
جربsmadav
أنقر للتوسيع...
أعتقد هذا برنامج تفعيل ويندوز وأغلب البرامج تشتبه فيه لكن البرنامج الآن ما أعطى جديد (وهذا موجود من سنتين عندي - أي قبل ما تحدث المشكلة) مرفق صورة للتوضيح
[hide]
hDSoYk.jpg
[/hide]
 
تأييد 0
معليش يا إخواني الأفاضل قطعت عنكم فترة وجيزة بسب مشكلة الاتصال بشبكة wifi مما اضطرت إلى إعادة تشغيل الجهاز
وأيضا أرجوا منكم إيجاد حل لمشلكة البورتات المفتوحة والتي تزداد كلما قمت بإعادة تشغيل الجهاز رجاء تكفوا وهذه صورة للتوضيح
ركزوا على كلمة ESTABLISHED و TIME_WAIT
[hide]
8xgrRs.jpg
[/hide]
 
تأييد 0
النوميدي قال:
في الأعلى تجد Rootkit/malare انقر عليها لتفتح كل التبويبات يا طيب ...

لا يجب مسح أي شيء حتى أنصحك به ففي بعض الأحيات هناك ملفات مخفية للنظام أو برنامج حماية و تكون بالأحمر

بعد فتح التبيوبات افحص الأسطر بالاحمر و التي باللألوان الأخرى دعك منها الأن ....
أنقر للتوسيع...

أخوي الغالي لم أجد أي سطور باللون الأحمر ماذا يعني ذلك كلها لون أبيض فقط

[hide]
SusfSS.jpg
[/hide]
 
تأييد 0
اكتشاف مشكلة جديد وقد يكون هنا بداية الحل الله يعلم

أعتقد هذا الملف من ضمن ما تم زرعه بالجهاز - في ملفات المستخدم الرئيسي الأدمن - بدون إذني وأعتقد أنه هو المسئول على إخفاء شريط اللغة وإضافة "حالة الاتصال كما في الأسفل وكل ما أحذفه يرجع ثاني
[hide]
qGrLFm.jpg
[/hide]
 
تأييد 0
المجاهد قال:
أخوي الغالي لم أجد أي سطور باللون الأحمر ماذا يعني ذلك كلها لون أبيض فقط

[hide]
SusfSS.jpg
[/hide]
أنقر للتوسيع...
جميل ... الامر مريح اذا كانت الأسطر كلها بالأبيض ..
لاقاف كل العمليات يا طيب ... نحتاج أداة جميلة rkill لتساعدنا في ذلك
تجد لها شرحا في هذا الموضوع ...
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي
 
توقيع : النوميديالنوميدي is verified member.
تأييد 0
النوميدي قال:
جميل ... الامر مريح اذا كانت الأسطر كلها بالأبيض ..
لاقاف كل العمليات يا طيب ... نحتاج أداة جميلة rkill لتساعدنا في ذلك
تجد لها شرحا في هذا الموضوع ...
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي
أنقر للتوسيع...
حسنا أخوي جار مشاهدة الموضوع وتطبيقه
لكن سؤالي هل هذا فيروس مخفي بالجهاز علما بأني اكتشفت الملف عن طريق cmd وليس موجود في ملفات النظام المخفية
[hide]
4DCiXA.jpg
[/hide]
 
تأييد 0
imadmahi قال:
يا اخي اكشف جميع الملفات المخفية وستجده هنا
FileDownloadHandler.ashx


امسحه ادا لم يحدف ادخل من الوضع الامن واحدفه
أنقر للتوسيع...

تم مسحة بنجاح وعسى ما يعود زي ملف
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي


هل هذه ملفات طبيعية في الجهاز
[hide]
XQatss.jpg
[/hide]
 
التعديل الأخير:
تأييد 0
المجاهد قال:
حسنا أخوي جار مشاهدة الموضوع وتطبيقه
لكن سؤالي هل هذا فيروس مخفي بالجهاز علما بأني اكتشفت الملف عن طريق cmd وليس موجود في ملفات النظام المخفية
[hide]
4DCiXA.jpg
[/hide]
أنقر للتوسيع...
ليس بفيروس يا طيب ..
هو من أحد مكونات برنامج smadav .. هذا ما في الامر ...
 
توقيع : النوميديالنوميدي is verified member.
تأييد 0
النوميدي قال:
ليس بفيروس يا طيب ..
هو من أحد مكونات برنامج smadav .. هذا ما في الامر ...
أنقر للتوسيع...
أشكرك أخوي لقد تم حذف الملف
متصفح النت يعلق كثير ويفتح ببطء صفحات الموقع
 
تأييد 0
فى النهايه سترجع الى مشاركتى وتذكر ذلك فقط انت تضيع المزيد من الوقت يا اخى
 
توقيع : wikihow
تأييد 0
النوميدي قال:
جميل ... الامر مريح اذا كانت الأسطر كلها بالأبيض ..
لاقاف كل العمليات يا طيب ... نحتاج أداة جميلة rkill لتساعدنا في ذلك
تجد لها شرحا في هذا الموضوع ...
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي
أنقر للتوسيع...

تفضل أخوي تقرير log وكلمة السر للملف المضغوط كالعادة كما هي في الملف المرفق الأول
 
تأييد 0
wikihow قال:
فى النهايه سترجع الى مشاركتى وتذكر ذلك فقط انت تضيع المزيد من الوقت يا اخى
أنقر للتوسيع...
أخوي الفاضل أنا لم أفهم قصدك هل تقول نسوي فورمات ونرتاح من المشكلة
علما بأني لست أضيع الوقت لأننا نحاول كشف سبب المشكلة وأيضا لكيلا يقع الكثير من الناس مثل ما وقعتُ بها
تحياتي لك
 
تأييد 0
الحالة
مغلق و غير مفتوح للمزيد من الردود.
عودة
أعلى