جهازي بحر من الفايروسات + برامج مشبوهه + تقرير هاي جاك + صور بليز المساعده

  • بادئ الموضوع بادئ الموضوع back1
  • تاريخ البدء تاريخ البدء
  • المشاهدات 1,207
B

back1

زيزوومى مميز
إنضم
21 ديسمبر 2007
المشاركات
401
مستوى التفاعل
18
النقاط
480
الإقامة
Riyadh
غير متصل
السلام عليكم ورحمة الله وبركاته

اخواني الخبراء هذا تقرير لجهاز اخوي الصغير وهو يشتغل معاي على نفس الشبكة
المشكلة اني لقيت عنده برامج مايعرفها وشكيت انها برامج اختراق
وحذفت الكاسبر 7 وحاولت انصب الكاسبر 2009 ولكن كان الجهاز يقول ان البرنامج تطبيق غير صالح
فحصت الجهاز ببرنامج سكان سباي ويير ولقى 189 فايروس منها 40 فايروس هاي رسك
والان قاعد افحص جهازي ببرنامج دكتور ويب ولازال البحث جاري ولقى حتى الان 98 تروجان و ادوير و IPC.FLOOD و و و و و

هذي صورة مبدئية

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي




وعندي مشكلة ان صفحة الدوس تشتغل فجأة والمؤشر حقها يتحرك فوق يمين تحت يسار بشكل مستمر وسريع مثل ماهو موضح في الصورة

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي


وهذي صورة لبرنامج غريب

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي



وسويت تقرير هاي جاك واضعه امامكم

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي




Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 06:25:01 م, on 27/01/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Program Files\SigmaTel\SigmaTel AC97 Audio Drivers\stacmon.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\winav.exe
C:\WINDOWS\fxstaller.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Nokia\Nokia PC Suite 6\PCSuite.exe
C:\Program Files\websrv\websrv.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\PC Connectivity Solution\Transports\NclUSBSrv.exe
C:\Program Files\PC Connectivity Solution\Transports\NclRSSrv.exe
C:\WINDOWS\explorer.exe
C:\Documents and Settings\saad\Desktop\launch.exe
C:\DOCUME~1\saad\LOCALS~1\Temp\RarSFX0\_start.exe
C:\DOCUME~1\saad\LOCALS~1\Temp\RarSFX0\setup.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLLoginProxy.exe
F:\Zyzoom_HijackThis.exe
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

R3 - URLSearchHook: DefaultSearchHook Class - {C94E154B-1459-4A47-966B-4B843BEFC7DB} - C:\Program Files\AskSearch\bin\DefaultSearch.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [SigmaTel StacMon] C:\Program Files\SigmaTel\SigmaTel AC97 Audio Drivers\stacmon.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [Windows UDP Control Center] fxstaller.exe
O4 - HKLM\..\Run: [ISPSERVICE] C:\Program Files\%systemdir%\winasc.exe
O4 - HKLM\..\Run: [win system] C:\WINDOWS\winav.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [PC Suite Tray] "C:\Program Files\Nokia\Nokia PC Suite 6\PCSuite.exe" -onlytray
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &تصدير إلى Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: PalTalk - {4EAFEF58-EEFA-4116-983D-03B49BCBFFFE} - C:\Program Files\Paltalk Messenger\Paltalk.exe (file missing)
O9 - Extra button: بحث - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {3C8E8DD8-D86A-4E6D-AF37-AB3CA7FDF8CD} (IMS_Conference Control) -
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) -
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

O16 - DPF: {6924091F-CD97-41E1-B1D4-D9079409D413} (IMCv1 Control) -
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

O16 - DPF: {9E45BE3C-DE06-4492-AB7D-E51447CF2ED0} (clsUMS Class) -
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

O16 - DPF: {B7FDB0C3-4724-46D2-B8DB-6FA1DC63F7CA} (ReadUid.UserControlMacEntry) -
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

O16 - DPF: {C171FF59-8C55-4796-A398-4F5D02B4C763} (IMC_Sec Control) -
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) -
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash ******) -
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

O23 - Service: Kaspersky Internet Security 7.0 (AVP) - Unknown owner - C:\Program Files\websrv\websrv.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
O24 - Desktop Component 0: (no name) -
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

--
End of file - 4807 bytes


ارجوا المساعده العاجله ماودي اسوي فورمات للجهاز لكن احس انه استشهد بأمانه
حتى مو قادر اكب لكم الموضوع من نفس الجهاز جالس استخدم جهازي الثاني لأن الأول جنني الاتصال مايعثر على ملقم ابدا

تحياتي

اخوكم
 

ترتيب حسب التاريخ ترتيب حسب الأصوات


عطل استعادة النظام حسب الشرح التالي

dis_sys_xp.jpg




حمل اداة الكاسبر من الرابط التالي

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي


او من هنا

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي


بعد التحميل ،، دبل كلك وسيتم استخراج ملف الاداة الى مجلد بسطح المكتب لحظات وتبدأ الاداة بالعمل

تابع الشرح لفحص الجهاز وتنظيفه وارفاق التقرير


zyzoom-7ce8879e89.png


zyzoom-cdd75c8aa3.png


zyzoom-89156f000e.png


zyzoom-6d533c4f2e.png


zyzoom-f20f3644d0.png


ثم قم بضغط التقرير ورفعه هنا>>>>
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي


يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي


وبعد الانتهاء ارفق ايضا تقرير هايجاك وتقرير اداة الكاسبر​
 
توقيع : صمت السكوت
تأييد 0
السلام عليكم ورحمة الله وبركاته

استاذتنا خلود

ارفق التقرير الخاص بأداة الكاسبر

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي


وهنا التقرير الخاص ببرنامج الهاي جاك

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي


أتمنى الإفاده والآن سيتم فحص الجهاز ببرنامج دكتور ويب لأن الجهاز طفى في المرة الأولى
 
تأييد 0
لازلت في الانتظار وعلى فكره ثبتت الكاسبر انترنت سكيورتي 7 مؤقتا ولحد الآن لقى 5 تروجان ولازال البحث مستمر
 
تأييد 0
أخوي البرنامج اللي يطلع لك في النافذه هذا من برامج التجسس لا تحط قبول لة ..

وعن التقرير ياليت لو ترفعة على موقع المنتدى لأن الزدشير في مشاكل ..

بارك الله فيك
 
توقيع : Corporation
تأييد 0
تأييد 0
من تقرير الكاسبر تم حذف 10 فيروسات

ولكن إلى الآن بآقي

من تقرير الهايجاك إلى الآن الجهاز مصآب ..

تفضل قم بتتبع مسار هذه القيمة

وأذهب وأحذف الملف الذي باللون الأحمر لآن برنامج مشبوه أو قد يكون فيروس

C:\WINDOWS\fxstaller.exe

بعدها بأداة الهايجاك أحذف القيم التالية

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي


يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي
R3 - URLSearchHook: DefaultSearchHook Class - {C94E154B-1459-4A47-966B-4B843BEFC7DB} - C:\Program Files\AskSearch\bin\DefaultSearch.dll

O4 - HKLM\..\Run: [Windows UDP Control Center] fxstaller.exe

O4 - HKLM\..\Run: [ISPSERVICE] C:\Program Files\%systemdir%\winasc.exe

O4 - HKLM\..\Run: [Windows Logon Application] C:\WINDOWS\system32\logon.exe

O4 - HKCU\..\RunOnce: [Privacy Suite] "C:\Documents and Settings\saad\Application Data\cleaner\CSPSeraser.exe" "/R:C:\Documents and Settings\saad\Application Data\CyberScrub\Privacy Suite"

O9 - Extra button: PalTalk - {4EAFEF58-EEFA-4116-983D-03B49BCBFFFE} - C:\Program Files\Paltalk Messenger\Paltalk.exe (file missing)

O16 - DPF: {3C8E8DD8-D86A-4E6D-AF37-AB3CA7FDF8CD} (IMS_Conference Control) -
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي


يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي
O16 - DPF: {9E45BE3C-DE06-4492-AB7D-E51447CF2ED0} (clsUMS Class) -
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي


O16 - DPF: {B7FDB0C3-4724-46D2-B8DB-6FA1DC63F7CA} (ReadUid.UserControlMacEntry) -
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي


O16 - DPF: {C171FF59-8C55-4796-A398-4F5D02B4C763} (IMC_Sec Control) -
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي


O24 - Desktop Component 0: (no name) -
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي



أخوي الغالي قبل بدء كيفية الحذف لأبد لك ومن الضروري حذف هذا البرنامج لأنة خطير جداً

fxstaller


بعدها طريقة حذف القيم وأفضل الدخول بالوضع الأمن للجهاز ياغالي ..

طريقة الحذف

mg%20%283%29.png



mg%20%284%29.png



بعدها اذهب الى اضافة وازالة البرامج واحذف التولبار الموجود عندك (toolbar)>> ممكن ما يكون موجود


ثم نزل هذه الاداة واتبع الشرح التالي



يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي



التوافق : ويندوز اكسبيفقط


شرح الاستخدام ,,,,,,
دبل كلك على الاداة واصبر حتى تنتهي جميع النوافذ وتقف عند هذه النافذة


002.png



وعند ظهور هذه الشاشه ,, اضغط على Close ليتم اعادة تشغيل جهازك (( لتكملة عملية التنظيف ))

بعدها حمل التالي ,,

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي


وأعمل تنظيف مش فحص ركز قلت لك تنظيف

وأخبرنا بالنتائج
 
التعديل الأخير بواسطة المشرف:
توقيع : Corporation
تأييد 0
يعطيك العافية اخوي كومباك واسف على التأخير لكن تحميل الأداة اخذ مني وقت طويل
وللأسف أداة المكافي مارضت تشتغل لما اضغط عليها يعطيني رسالة واللي فهمته من الرساله انها يطالبني بتحميل نسخة أحدث

وبخصوص ملف التجسس lsass لازال موجود بجهازي في المسار c\windows\system32 ويرفض الحذف أتمنى ايجاد اي وسيلة لحذفه وتعقيم الجهاز


تقرير الهايجاك

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي
 
تأييد 0
هل قمت بحذف هذا
fxstaller

وبخصوص المسار نتركة للأخير

الحين طبق التالي ..

O4 - HKCU\..\RunOnce: [Privacy Suite] "C:\Documents and Settings\saad\Application Data\cleaner\CSPSeraser.exe" "/R:C:\Documents and Settings\saad\Application Data\CyberScrub\Privacy Suite"

O16 - DPF: {3C8E8DD8-D86A-4E6D-AF37-AB3CA7FDF8CD} (IMS_Conference Control) -
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي


O23 - Service: Kaspersky Internet Security 7.0 (AVP) - Unknown owner - C:\Program Files\websrv\websrv.exe (file missing)


أحذف هذولي بعد :d:

وللأمانة تقريرك الحين أحسن من أول بألف مرة وهل لمست الفرق

بعدها عطل استعادة النظام حسب الشرح التالي

لازم تكون أستعادة النظاام معطلة تلاشياً للأنتشار

dis_sys_xp.jpg


أدآة الكاسبر معاك من المشاركة التي سبقتني صحيح ؟

أعد الفحص بها في الوضع الأمن أخوك

وهات تقرير الكاسبر + تقرير هايجاك جديد بعد حذف القيم الثلاثة في هذه المشاركة


بارك الله فيك ولك

 
توقيع : Corporation
تأييد 0
اخي الغالي كومباك شاكر لك تواصلك وجهدك معاي الله لايحرمك الأجر

بأمانه ماقدر اسهر اكثر من كذا النوم غلبني وعندي دوام الساعه 7

واوعدك بكره اكمل معك ومع باقي القروب ان شاء الله حاليا حملت أداة لحذف ملف التجسس وراح اجربها بكره

واعطيكم النتائج بالكامل

كل الشكر والتقدير لأعضاء زيزوم
 
تأييد 0
نوم العافية حبيبي ..

أيضاً تستطيع حذف وتعطيل المسار من برنامج الهايجاك نفسة

تفضل الشرح

(الحذف بواسطة اداة الهايجاك)
cca%20%288%29.png


wh_80835080.png


cca%20%2810%29.png


cca%20%2811%29.png


cca%20%2812%29.png


cca%20%2813%29.png


cca%20%2814%29.png

وتصبح على خير وأهم شئ الدوآم لاحق على الجهاز :d:

موفق حبيبي
 
توقيع : Corporation
تأييد 0
يجب تسجيل الدخول أو التسجيل كي تتمكن من الرد هنا.
عودة
أعلى