- مشكلة - الجهاز أصيب بفايروس ما أعرف نوعه

[عديل روحي]

السلام عليكم

جهازي مصاب بفايروس لا أعرف نوعه

راح أطرح لكم الأعراض وأنتم بخبرتكم تحلونها

أول حاجة فرمات الجهاز كامل لجميع البرتشينات

والحين فايروس مو موجود طيب

وبعدين أشبك هاردسكي علشان أركب البرامج منه

طيب وبس أضغط على أي برنامج بصيغة EXE

أصيب بالفايروس

طبعا ً الفايروس أعراضه

1- تعليقات في الجهاز .
2- Task Manager تتعطل يطلع لي هذي الرساله :
---------------------------
Task Manager
---------------------------
Task Manager has been disabled by your administrator.
---------------------------
OK
---------------------------


3- الريجستري يتعطل تطلع لي هالرساله :
---------------------------
Registry Editor
---------------------------
Registry editing has been disabled by your administrator.
---------------------------
OK
---------------------------

4- ما أستطيع أركب ولا برنامج أنتي فايروس

---------

أرجو الحل في أسرع وقت مع العلم أني

أذا حملت برنامج من الأنترنت يشتغل بدون ما أصيب بالفايروس

يعني هذا يدل أنا البرامج اللي في جهازي مصابه

طيب بس المشكله اللي عندي برامج مهم وكبيره يعني صعب تحميله مره أخره

وجربت شغله أني أحمل الكاسبر قبل ما أصيب بالفايروس ولا شبكت الهارديسك

ضبط وتمام وبعدين شبكت الهارديسك علشان أسوي فحص على البرامج

ما يطلع فيه ولا فايروس وبس أشغله الجهاز يخترب حتى الكاسبر يصاب يصير غير قادر على الفتح

والجدار الناري يطفي

وهذا الفايروس مو مخليني ألمس الجهاز

وأنا معتمد على الله ثم عليكم أخوكم

مجنون

أبي منكم شنو هالفايروس وحله أرجوكم

 

[عديل روحي]

نسيت أقولكم بعد في مشكله

5- أني أذا فتح أي قرص يفتح في صفحه لحاله مو نفس صفحة الكمبيوتر

 

[AbOdy]

وعليكم السلام

ولايهمك يا الغالي

قم بعمل التالي

وبس تخلص اعمل التالي

اشبك الهارد في الجهاز

وعطل استعادة النظام حسب الشرح التالي

حمل اداة الكاسبر من الرابط التالي

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

​

بعد التحميل ،، دبل كلك وسيتم استخراج ملف الاداة الى مجلد بسطح المكتب لحظات وتبدأ الاداة بالعمل

تابع الشرح لفحص الجهاز وتنظيفه وارفاق التقرير

ثم قم بضغط التقرير ورفعه هنا>>>>

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

​

وبس تخلص

اعمل تقرير للهايجاك

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

اذا انتهى التحميل ==> شغل البرنامج ==> واضغط على Do a system scan and save log
لحظات .. ويظهر لك تقرير اعمل تحديد الكل ==> انسخه والصقه بردك القادم​

​

لاهنت طبق الخطوات بالترتيب وعطني تقرير الكاسبر واعد تشغيل الجهاز وعطني تقرير الهايجاك المطلوب​

 

[عديل روحي]

أخوي عبود

يليت تنتظرني لان شوي كبيره أ< اة الكاسبر

يعني مو تنسى موضوعي تكفى عبود

 

[AbOdy]

ولوو يا الغلاا

روح وانا معك

 

[عديل روحي]

بحث الكاسبر وصل يا الحب

تفضل وعذرني على التأخير

طبعا ً مركز التشغيل حق المنتدى مو راضي يشتغل ما أدري ليه

بس بقولك ترى السكربت اللي مركبين أكتشوفوا فيه ثغرة راجع منتديات ترايد نت

ما علينا مو هذا موضوعنا

هذا رفعته

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

أنتظرني على التقرير الثاني أخوك

عديل

 

[عديل روحي]

التقرير الثاني مو راضي يشتغل البرنامج يطلع لي

---------------------------
C:\Documents and Settings\M a x\Desktop\HiJackThis.exe
---------------------------
C:\Documents and Settings\M a x\Desktop\HiJackThis.exe is not a valid Win32 application.

---------------------------
OK
---------------------------

 

[AbOdy]

حاول انك تحذفه وتثبته من جديد

وتعطيني التقرير

 

[عديل روحي]

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:04:19 ص, on 19/03/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\Program Files\Faronics\Deep Freeze\Install C-0\DF5Serv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\Program Files\Faronics\Deep Freeze\Install C-0\_$Df\FrzState2k.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\DOCUME~1\MAX~1\LOCALS~1\Temp\wincwecc.exe
C:\DOCUME~1\MAX~1\LOCALS~1\Temp\winsprviw.exe
C:\DOCUME~1\MAX~1\LOCALS~1\Temp\kera.exe
C:\DOCUME~1\MAX~1\LOCALS~1\Temp\w105e8d.exe
C:\Documents and Settings\M a x\Desktop\HiJackThis.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: is-D1GSB.lnk = C:\Documents and Settings\M a x\Desktop\Virus Removal Tool\is-D1GSB\startup.exe
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O20 - Winlogon Notify: DfLogon - C:\WINDOWS\SYSTEM32\LogonDll.dll
O23 - Service: DF5Serv - Faronics Corporation - C:\Program Files\Faronics\Deep Freeze\Install C-0\DF5Serv.exe
--
End of file - 2400 bytes

 

[عديل روحي]

وين ردك عبود

 

[AbOdy]

احذف هالقيمة

O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\System, DisableRegedit=1

طريقة الحذف ​

​

​

​

بعدها اذهب الى اضافة وازالة البرامج واحذف التولبار الموجود عندك (toolbar)>> ممكن ما يكون موجود​

ثم نزل هذه الاداة واتبع الشرح التالي

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

​

او

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

التوافق : ويندوز اكسبيفقط ​

شرح الاستخدام ,,,,,,
عند تشغيل ملف الاداة تظهر لك هذه الشاشه ,, انتظر ( وتابع مع الصور )

وعند ظهور هذه الشاشه ,, اضغط على Close ليتم اعادة تشغيل جهازك (( لتكملة عملية التنظيف ))

وبس تخلص اعمل التالي



حمل الاداة التالية

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

شغلها واعمل كما الشرح

وبس تخلص ارجع شغل اداة التنظيف الي عطيتك ياها بعد حذف القيمه



وبس تشغلها مرة ثانيه اعمل التالي

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

عند تشغيلها بتظهر لك رسالة ,, اضغط على >> Yes
بعدها بتظهر لك رساله ثانيه ,, اضغط على >> Yes


اثناء الفحص ممكن يعاد تشغيل الجهاز


وبعد اعادة التشغيل ,, سوف تبدأ الاداة بالفحص مرره ثانيه
انتظر حتى يظهر لك تقرير ،، وبذلك يكون الفحص انتهى


وعطني التقرير الي يطلع لك​

​

 

[عديل روحي]

جاري العمل على المطلوب وأول ما يخلص راح أعطيك أياه التقرير

بس المشكله ما في شي ينظف ملفات exe من الفايروس

 

[عديل روحي]

ComboFix 09-03-18.01 - M a x 03/19/2009 2:26:26.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1256.1.1033.18.1015.741 [GMT -8:00]
Running from: c:\downloads\ComboFix.exe
* Created a new restore point
WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.
((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\windows\system32\logondll.dll
.
((((((((((((((((((((((((( Files Created from 2009-02-19 to 2009-03-19 )))))))))))))))))))))))))))))))
.
No new files created in this timespan
.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-03-19 10:28 1,112,096 --sha-w c:\windows\system32\drivers\fidbox.dat
2009-03-19 10:27 15,032 --sha-w c:\windows\system32\drivers\fidbox.idx
2009-03-19 10:27 --------- d-----w c:\program files\FlashGet
2009-03-19 09:52 --------- d-----w c:\documents and settings\M a x\Application Data\cleaner
2009-03-19 09:40 --------- d-----w c:\documents and settings\M a x\Application Data\CyberScrub
2009-03-19 07:33 172,032 ----a-w c:\windows\system32\hkcmd.exe
2009-03-19 07:33 143,360 ----a-w c:\windows\system32\igfxtray.exe
2009-03-19 07:33 143,360 ----a-w c:\windows\system32\igfxpers.exe
2009-03-19 04:47 16,299,862 ------w C:\Persi0.sys
2009-03-19 04:47 --------- d-----w c:\program files\Faronics
2009-03-19 04:33 --------- d-----w c:\program files\microsoft frontpage
2009-03-02 11:52 984,576 ----a-w c:\windows\system32\syssetup.dll
2009-03-02 11:52 277,784 ----a-w c:\windows\system32\drivers\iaStor.sys
2009-03-02 11:52 1,580,544 ----a-w c:\windows\system32\sfcfiles.dll
2009-02-11 09:36 151,192 ----a-w c:\windows\system32\drivers\DeepFrz.sys
2009-01-16 16:48 920,088 ----a-w c:\windows\system32\igxpun.exe
.
------- Sigcheck -------
08/04/2004 03:00 AM 359040 9f4b36614a0fc234525ba224957de55c c:\windows\system32\dllcache\tcpip.sys
08/04/2004 03:00 AM 359040 6a603809f598332dbedd535bdbce313e c:\windows\system32\drivers\tcpip.sys
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [08/04/2004 03:00 AM 15360]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [03/18/2009 11:33 PM 143360]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [03/18/2009 11:33 PM 172032]
"Persistence"="c:\windows\system32\igfxpers.exe" [03/18/2009 11:33 PM 143360]
"Flashget"="c:\program files\FlashGet\FlashGet.exe" [06/19/2007 12:49 AM 1986608]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [08/04/2004 03:00 AM 15360]
c:\documents and settings\M a x\Start Menu\Programs\Startup\
is-D1GSB.lnk - c:\documents and settings\M a x\Desktop\Virus Removal Tool\is-D1GSB\startup.exe [2009-03-18 65536]
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute REG_MULTI_SZ autocheck autochk /k:C /k /k:E *
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001
"AntiVirusOverride"=dword:00000001
"FirewallOverride"=dword:00000001
"UacDisableNotify"=dword:00000001
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc]
"AntiVirusOverride"=dword:00000001
"AntiVirusDisableNotify"=dword:00000001
"FirewallDisableNotify"=dword:00000001
"FirewallOverride"=dword:00000001
"UpdatesDisableNotify"=dword:00000001
"UacDisableNotify"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\WINDOWS\\system32\\igfxtray.exe"=
"c:\\Program Files\\FlashGet\\flashget.exe"=
R0 DeepFrz;DeepFrz;c:\windows\system32\drivers\DeepFrz.sys [2009-02-11 151192]
R1 is-D1GSBdrv;is-D1GSBdrv;c:\windows\system32\drivers\17671111.sys [2009-03-18 148496]
S3 abp470n5;abp470n5;\??\c:\windows\system32\drivers\mjoppn.sys --> c:\windows\system32\drivers\mjoppn.sys [?]
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{69d279ae-1452-11de-ae1b-001e8ce7eae1}]
\Shell\AutoRun\command - G:\q0dhfjf.exe
\Shell\open\Command - G:\q0dhfjf.exe
.
- - - - ORPHANS REMOVED - - - -
Notify-DfLogon - LogonDll.dll

.
------- Supplementary Scan -------
.
IE: &Download All with FlashGet - c:\program files\FlashGet\jc_all.htm
IE: &Download with FlashGet - c:\program files\FlashGet\jc_link.htm
.
**************************************************************************
catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer,

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

Rootkit scan 2009-03-19 02:28:53
Windows 5.1.2600 Service Pack 2 NTFS
scanning hidden processes ...
scanning hidden autostart entries ...
scanning hidden files ...
scan completed successfully
hidden files: 0
**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
c:\program files\Faronics\Deep Freeze\Install C-0\DF5Serv.exe
c:\windows\system32\igfxsrvc.exe
c:\program files\Faronics\Deep Freeze\Install C-0\_$Df\FrzState2k.exe
.
**************************************************************************
.
Completion time: 03/19/2009 2:29:43 - machine was rebooted
ComboFix-quarantined-files.txt 2009-03-19 10:29:41
Pre-Run: 35,682,033,664 bytes free
Post-Run: 35,669,520,384 bytes free
112




يليت أخوي بعد ما تنسى كيف أعدل برامجي exe من هالفايروس

 

[AbOdy]

ارفع لي تقرير هايجاك جديد

 

[عديل روحي]

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 02:50:55 ص, on 19/03/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\Program Files\Faronics\Deep Freeze\Install C-0\DF5Serv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Program Files\FlashGet\FlashGet.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Faronics\Deep Freeze\Install C-0\_$Df\FrzState2k.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\M a x\Desktop\HiJackThis.exe
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

O2 - BHO: flashget urlcatch - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\Program Files\FlashGet\jccatch.dll
O2 - BHO: FlashGet GetFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - C:\Program Files\FlashGet\getflash.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: *******get] "C:\Program Files\FlashGet\FlashGet.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: is-D1GSB.lnk = C:\Documents and Settings\M a x\Desktop\Virus Removal Tool\is-D1GSB\startup.exe
O8 - Extra context menu item: &Download All with FlashGet - C:\Program Files\FlashGet\jc_all.htm
O8 - Extra context menu item: &Download with FlashGet - C:\Program Files\FlashGet\jc_link.htm
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Program Files\FlashGet\FlashGet.exe
O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Program Files\FlashGet\FlashGet.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O23 - Service: DF5Serv - Faronics Corporation - C:\Program Files\Faronics\Deep Freeze\Install C-0\DF5Serv.exe
--
End of file - 2957 bytes

 

[AbOdy]

حمل هالأداة وافحص فيها

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

طريقة الأستخدام


عطل استعادة النظام

ودبل كلك على الأداة

وهي ستقوم بالفحص والتنظيف



وبعد ماتخلص اعد تشغيل الجهاز واذكر لي المشاكل الي تواجهها ؟؟

 

[عديل روحي]

الحين أدارة المهام أشتغلت و ريجستري

بس أبي أنظف البرامج اللي في الهادرسك من اثبت اي برنامج exe أصيب

بالفايروس

 

[AbOdy]

افحص بالأداة الي عطيتك ياها في ردي

 

[عديل روحي]

أوكي جاري الفحص يا بعد قلبي أنت

 

[AbOdy]

أوكي جاري الفحص يا بعد قلبي أنت

<<< :b:


:d: