استفسار لدي مشكلة في فحص الفيروسات َ

المصدر: لدي مشكلة في فحص الفيروسات َ
في منتدى : طلبات ومشاكل واستفسارات برامج الحمايه

لدي مشكله بخصوص فحص الملفات المشبوهه في التاسك مانجر من برنامج ProcessExplorer خاصيه فحص من موقع فايروس توتال

لما اسوي فحص تطلع عندي مشكله في خانه مايفحص a device attached to the system is not functioning ////virustotal كما هو موجود في الصوره الاسفل حاولت ارجع اصدارات اقدم ونفس الحكايه سويت تشغيل كمسؤول لم تضبط معاي جربت حملت برنامج autorun نفس المشكله دورت بحثت اكثر من مكان لم اجد الحل اتمنى اجد الحل لديكم يالعباقرة

 

https://learn.microsoft.com/en-us/a...plorer-virus-total-functionality-not-wor.html

ظهرت مشكلة مشابهة سابقا وكان مصدرها من Virustotal
جرب مراسلتهم

هذه طريقة تفعيل الميزة من داخل البرنامج

 

ا

ياهلا والله يامرحبا فيك الميزه متفعله انا استخدمها من سنين لكن الان لا تعمل في جهازي نفس لما اسوي فحص يظهر a device attached to the system is not functioning الاسف لغتي الانجليزية ضعيفه

 

https://forums.malwarebytes.com/topic/268080-process-explorer-and-autoruns-not-working-properly/

هذا الجواب من نفس الصفحة التي أخذت منها صورتك
I believe that you need to check the Microsoft support forum about the VT option on Process Explorer & on Autoruns. Please do that.
https://docs.microsoft.com/en-us/sysinternals/community

بالنهاية هذا ملف تنفيذي exe واحد
رسالة الخطأ
a device attached to the system is not functioning
تظهر في نظام تشغيل Windows حينما تكون مشكلة بأحد الأجهزة المتصلة عن طريق أحد المنافذ "USB "
لكن علاقتها هنا بموقع Virustotal غير معروفة


جرب الاداة في رابط الموضوع التي تقوم بعمل فحص
او قم بنفسك بعمل الفحص
افتح موجه الاوامر كمسؤول وألصق العبارة SFC /Scannow
ودعه حتى ينتهي كرر العملية 3 مرات وأعد التشغيل
أيضا ألصق هذه العبارة في موجه الأوامر
dism /online /cleanup-image /restorehealth
ودعه يصلح حتى ينتهي

جرب البرنامج على نظام تشغيل آخر للتأكد أن المشكلة من البرنامج وليست من نظام التشغيل لديك

 

وهنا صفحة المطورين للأداة
https://github.com/MicrosoftDocs/sysinternals

ويمكن هنا الإبلاغ عن المشكلة
https://github.com/MicrosoftDocs/sysinternals/issues

وهذه مشكلة منذ عدة أشهر تتعلق Virustotal وحلها تم عن طريق المطورين
https://github.com/MicrosoftDocs/sysinternals/issues/587

 

جاري العمل لكن الاداة الي تقصدها ملف تنفيذي هل هي ؟ FRST64 ؟


اما بخصوص الفحص عندي جهاز اخر الفحص شغال فيه 100%

 

أنا أقصد أن برنامج Process explorer عبارة عن ملف واحد لا توجد ملفات مرفقة قد تكون هي السبب بالمشكلة

الأداة FRST64 ستقوم بنفس خطوات الإصلاح التي ذكرتها في ردي السابق
استعملها أو طبق الخطوات يدويا


إذا كانت نفس النسخة من البرنامج تعمل في الجهاز الآخر
فستنحصر المشكلة في نظام التشغيل الذي لديك

قد يقوم برنامج الحماية / جدار الحماية بتعطيل وصول البرنامج إلى الانترنت
جرب تعطيله أو قم بعمل استثناء للبرنامج من داخل إعدادات برنامج الحماية

 

أنا أقصد أن برنامج Process explorer عبارة عن ملف واحد لا توجد ملفات مرفقة قد تكون هي السبب بالمشكلة

شلت الملفات وشغلته لوحدو

الأداة FRST64 ستقوم بنفس خطوات الإصلاح التي ذكرتها في ردي السابق
استعملها أو طبق الخطوات يدويا


طبقت جميع ماشرحته يدويا ولازالت المشكلة



إذا كانت نفس النسخة من البرنامج تعمل في الجهاز الآخر

النسخه تعمل نعم في الجهاز الثاني


فستنحصر المشكلة في نظام التشغيل الذي لديك

مافيه حل للمشكله هذه ابدا ؟

قد يقوم برنامج الحماية / جدار الحماية بتعطيل وصول البرنامج إلى الانترنت


جرب تعطيله أو قم بعمل استثناء للبرنامج من داخل إعدادات برنامج الحماية


الجهاز الان بدون حماية من الفيروسات لو قلنا مشكله من البرنامج برنامج auotorun نفس الحكاية

 

المشكلة ظهرت منذ إصدارت قديمة منذ 2018 وتم الإبلاغ عنها مرارا على مدى سنوات
https://social.technet.microsoft.co...rocess-in-process-explorer?forum=procexplorer

https://social.technet.microsoft.co...explorer-virus-total-timeout?forum=powerquery


لا يوجد حل واضح محدد

لكن أقرب تفسير لها هو في هذا الرابط
https://social.technet.microsoft.co...ot-functioningquot-for-its?forum=procexplorer

وتحديدا
Like always! Rare are Microsoft people answers on this forum *that are to the point*!
You are most probably seeing that because whatever process you see is run in VSM mode. More on that here: http://woshub.com/virtual-secure-mode-vsm-in-windows-10-enterprise/
Quote: "You can make sure that the VSM is active if Secure System process is present in the Task Manager."
Quote: "This architecture allows to protect data in the VSM, even if the kernel of the host Widows 10 is compromised, because even the kernel cannot access the VSM directly."
You can also get info about the same process in TaskManager. You just need to know which process to examine.

والترجمة الآلية
كالعادة! نادرًا ما يجيب الأشخاص من Microsoft في هذا المنتدى * التي هي في صميم الموضوع *!

من المحتمل أنك ترى ذلك لأنه يتم تشغيل أي عملية تراها في وضع VSM. المزيد عن ذلك هنا: http://woshub.com/virtual-secure-mode-vsm-in-windows-10-enterprise/

اقتباس: "يمكنك التأكد من أن VSM نشط إذا كانت عملية النظام الآمن secure systm موجودة في إدارة المهام."

اقتباس: "تسمح هذه البنية بحماية البيانات في VSM ، حتى إذا تم اختراق نواة المضيف Widows 10 ، لأنه حتى النواة لا يمكنها الوصول إلى VSM مباشرةً."

يمكنك أيضًا الحصول على معلومات حول نفس العملية في TaskManager. تحتاج فقط إلى معرفة العملية التي يجب فحصها.




لكن حتى هذه اللحظة هذا هو التفسير الوحيد لسبب ظهور المشكلة في نظام تشغيل معين

 

الله يعطيك العافيه ويسعدك على المعلومات قدمتها انا كنت ابحث ومالقيت شيء يدل على الحل

احنى نبغى نفحص ونراقب النظام لان النظام كل بعد فتره لابد من فحص ملفات التي تعمل في الخلفيه والبرنامج هذا افضله افضل من حمايه فيروسات لانه يفحص اكثر من اداه لجميع البرامج التاسك

لكن قصدك في secure systm هذه لم اجدها في تاسك منجر ابدا الجهاز

 

برنامج الحماية يراقب عمل البرنامج بالكامل real time protection
وكثير من الاكتشافات الموجودة بموقع Virustotal هي خاطئة False positve
حتى لنفس الملف يمكن له أن يظهر بنتيجة سليم داخل الموقع ويتم التعامل معه كتهديد من نفس برنامج الحماية داخل الجهاز
وقد يتطلب الأمر حجر "حذف" أي تهديد فعلي قد يظهر وهو مالا يستطيع مستكشف العمليات هذا القيام به

عموما هذا ما استطعت إيجاده وإذا كان دعم المطورين على موقع Github لم يفدك بشيء فلا أظنك ستجد أحدا يفيدك

 

الله يعطيك العافيه ماقصرت على كل معلومة ومجهوداتك ربي يحفظك ويسعدك َ


يعني كيف موقع فايروس توتال يعطينا ملف يكون مشبوه وهو ماهو مفيرس ؟ََ؟؟

فرضنا الحمايه فيرسات ماعطانا الملف مفيرس وفايروس توتال اعطانا الحين مين اصدق ؟؟؟

تخيل الان سويت فورمات للجهاز تخيل لحد لان نفس الخلل يظهر معاي مع ان النسخه عندي غير معدله ورسمية

 

لأن تصنيف الملف بأنه ضار أم لا يعتمد بناء على طريقة عمله وتحليل سلوكه عموما
مع اعتبارات أخرى
وبعض الملفات وإن كان سلوكها سليما
إلا أنها يتم تصنيفها على أنها برامج غير مرغوبة على الأقل PUP
Potentially unwanted program
وبعض الملفات التنفيذية قد تكون سليمة
لكنها تقوم بتحميل ملفات خبيثة من داخل البرنامج نفسه عن طريق التحديثات مثلا
لذلك الاعتماد فقط على تحليلات Virustotal ليس كافيا بشكل قطعي
لتصنيف ملف أنه خبيث فعلا

برنامج الحماية إذا له قاعدة ومحرك بحث وتحليل سلوك ومحدث لآخر إصدار
ويقوم بمراقبة جميع عمليات جهازك بدأ من لحظة تحميل الملف المشبوه وتشغيله أو تثبيته
فمن المفترض أنه سيكون أفضل في تقرير سلامة الملف من تقرير Virustotral

ماهي النسخة التي تستعملها ورقمها
وحدد رقم الإصدار ليتم تجربته

 

هاي نسخه من اصليه

 

ربي يحفظك ويعافيك على المعلومة اذا على كذا كيف اقدر احلل الملف ويعتبر ضار هل فيه طريقه اعرف لان اجهل هذه المعلومه لان لما اشوف ملف في فايروس توتال اقول انه ضار فعلا وبعض الاحيان الحمايه مايكشفو انه يسير ضار َ هل توجد طريقة التحديد جدا احنا بحاجتها وباذن الله تخدم لكل شخص دخل الموضوع ويستفيد َ

 

المصدر: تحليل الملف المشبوه بنفسك أو بمساعدة خبراء قسم الفحص
في منتدى : طلبات فحص الملفات

 

يسعد قلبك يا شيخ َ

طيب الان المشكله الان ايش تتوقع المشكله َ

 

هذا آخر رد لي فيما يتعلق بهذه المشكلة
هنا نفس مشكلتك تحديدا تم ذكرها من أحد الأشخاص
في أحد المواقع الشهيرة Askwoody
https://www.askwoody.com/forums/top...ls-process-explorer-requests-as-of-16dec2020/

أنصحك باستعمال هذه الإضافة في متصفح Firefox للترجمة التلقائية
https://addons.mozilla.org/en-US/firefox/addon/traduzir-paginas-web/

بدأت المشكلة وحدها لدى المستخدم وتم حلها تلقائيا
قام المستخدم بمراسلة Virustotal ولم يتلق ردا
طريقة رفع كل ملف يدويا عملت لديه
لكن التحقق من جميع الملفات تلقائيا لم يعمل إلا نهائيا وتلقائيا دون تطبيق أي حل

بذلك لا أدري صراحة إن كان هناك حل فعلي
البحث لم يفد بشيء سوى ما ذكرت
لا توجد لدي معلومة واضحة عن سبب المشكلة
سأقوم بتجربة البرنامج على نظام تشغيل مماثل لما لديك بأقرب وقت

 

اشكرك جدا على الاضافه راح اضيفها واستخدمها

اما بخصوص المشكله انوه اني غيرت نسخه ويندوز بنسخه معدله وبشرك اشتغلت معاي بدون اي مشاكل َ

اتوقع المشكله تتعلق لما يكون ويندوز متعلق في جدار الحماية ً يعطل الخاصية