جزء من تقرير اداة الكاسبر ... حذفت كل الملفات !!

[سابح]

السلام عليكم ورحمة الله وبركاته

قبل يومين تقريبا اصيب جهازي الاخر باحد الفيروسات وفيما اعتقد انه سالتي ( Sality )

حاولت القضاء عليه وصادفتني بعض المشاكل وبعدها عملت استعادة نسخة جوست

وعملت تنظيف باداة Zyzoom_CyberScrub_Privacy ومن ثم باداة ComboFix

واخيرا فحص بالوضع الامن باداة الكاسبر المحموله

لكن لاحظت ان جميع الملفات مصابه خصوصا ملفات التشغيل :?:

وهذا جزء من التقرير الذي لم يكتمل حتى الان

43% - Scan
----------
Scanned: 142462
Detected: 47
Untreated: 0
Start time: 10/04/1430 04:10:14 م
Duration: 01:08:25
Finish time: 10/04/1430 06:45:07 م​

Detected
--------
Status Object
------ ------
deleted: Trojan program Trojan.Win32.Agent2.fsa File: c:\windows\system32\reader_s.exe
deleted: Trojan program Trojan.Win32.Agent2.fsa File: c:\documents and settings\thunder\reader_s.exe
quarantined: new threat Type_Win32 (modification) File: c:\windows\microsoft.net\framework\v3.0\wpf\presentationfontcache.exe
quarantined: new threat Type_Win32 (modification) File: c:\windows\microsoft.net\framework\v3.0\windows communication foundation\smsvchost.exe
deleted: Trojan program Rootkit.Win32.Agent.jj File: c:\windows\system32\drivers\protect.sys
quarantined: new threat Type_Win32 (modification) File: c:\windows\system32\stacsv.exe
quarantined: new threat Type_Win32 (modification) File: c:\program files\golden al-wafi translator\golden al-wafi translator.exe
deleted: Trojan program Packed.Win32.Krap.i File: C:\Documents and Settings\thunder\Local Settings\Temporary Internet Files\Content.IE5\GT6Z4XAR\ge[1].txt
deleted: Trojan program Trojan.Win32.Agent2.fsa File: C:\Documents and Settings\thunder\Local Settings\Temporary Internet Files\Content.IE5\GXE78DI7\abb[1].txt
deleted: Trojan program Trojan.Win32.Obfuscated.gen File: C:\Program Files\Circle Developement\Uninstall.exe
quarantined: new threat Type_Win32 (modification) File: C:\Program Files\Common Files\InstallShield\Professional\RunTime\0701\Intel32\DotNetInstaller.exe
quarantined: new threat Type_Win32 (modification) File: C:\Program Files\Common Files\InstallShield\Professional\RunTime\09\01\Intel32\DotNetInstaller.exe
quarantined: new threat Type_Win32 (modification) File: C:\Program Files\Common Files\InstallShield\Professional\RunTime\10\01\Intel32\DotNetInstaller.exe
quarantined: new threat Type_Win32 (modification) File: C:\Program Files\K-Lite Codec Pack\kl_upx.exe
quarantined: new threat Type_Win32 (modification) File: C:\Program Files\Ozone\Audio Converter\record Crack.exe
quarantined: new threat Type_Win32 (modification) File: C:\Program Files\Paint.NET\PaintDotNet.exe
quarantined: new threat Type_Win32 (modification) File: C:\Program Files\Paint.NET\SetupNgen.exe
quarantined: new threat Type_Win32 (modification) File: C:\Program Files\Paint.NET\UpdateMonitor.exe
quarantined: new threat Type_Win32 (modification) File: C:\Program Files\Paint.NET\WiaProxy32.exe
quarantined: new threat Type_Win32 (modification) File: C:\Program Files\SigmaTel\C-Major Audio\WDM\stacsv.exe
quarantined: new threat Type_Win32 (modification) File: C:\WINDOWS\ATA Live Update.exe
quarantined: new threat Type_Win32 (modification) File: C:\WINDOWS\Setup1.exe
quarantined: new threat Type_Win32 (modification) File: C:\WINDOWS\SWXCACLS.exe
quarantined: new threat Type_Win32 (modification) File: C:\WINDOWS\Installer\{350C97B7-3D7C-4EE8-BAA9-00BCB3D54227}\places.exe
quarantined: new threat Type_Win32 (modification) File: C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_compiler.exe
quarantined: new threat Type_Win32 (modification) File: C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_regbrowsers.exe
quarantined: new threat Type_Win32 (modification) File: C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_regsql.exe
quarantined: new threat Type_Win32 (modification) File: C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\CasPol.exe
quarantined: new threat Type_Win32 (modification) File: C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\dfsvc.exe
quarantined: new threat Type_Win32 (modification) File: C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\IEExec.exe
quarantined: new threat Type_Win32 (modification) File: C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\InstallUtil.exe
quarantined: new threat Type_Win32 (modification) File: C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\jsc.exe
quarantined: new threat Type_Win32 (modification) File: C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\MSBuild.exe
quarantined: new threat Type_Win32 (modification) File: C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\RegAsm.exe
quarantined: new threat Type_Win32 (modification) File: C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\RegSvcs.exe
quarantined: new threat Type_Win32 (modification) File: C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\ComSvcConfig.exe
quarantined: new threat Type_Win32 (modification) File: C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\ServiceModelReg.exe
quarantined: new threat Type_Win32 (modification) File: C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\WsatConfig.exe
quarantined: new threat Type_Win32 (modification) File: C:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\XamlViewer\XamlViewer_v0300.exe
deleted: Trojan program Packed.Win32.Krap.i File: C:\WINDOWS\system32\A.tmp
quarantined: new threat Type_Win32 (modification) File: C:\WINDOWS\system32\kl_upx.exe
quarantined: new threat Type_Win32 (modification) File: C:\WINDOWS\system32\lights.exe
quarantined: new threat Type_Win32 (modification) File: C:\WINDOWS\system32\dllcache\admin.exe
quarantined: new threat Type_Win32 (modification) File: C:\WINDOWS\system32\dllcache\author.exe
quarantined: new threat Type_Win32 (modification) File: C:\WINDOWS\system32\dllcache\fp98sadm.exe
quarantined: new threat Type_Win32 (modification) File: C:\WINDOWS\system32\dllcache\fpremadm.exe
quarantined: new threat Type_Win32 (modification) File: C:\WINDOWS\system32\dllcache\lights.exe​

Events
------
Time Name Status Reason
---- ---- ------ ------
10/04/1430 04:11:12 م Running module: smss.exe\smss.exe ok scanned​

Statistics
----------
Object Scanned Detected Untreated Deleted Moved to Quarantine Archives Packed files Password protected Corrupted
------ ------- -------- --------- ------- ------------------- -------- ------------ ------------------ ---------​

Settings
--------
Parameter Value
--------- -----
Security Level Recommended
Action Disinfect, delete if disinfection fails
Run mode Manually
File types Scan all files
Scan only new and changed files No
Scan archives All
Scan embedded OLE objects All
Skip if object is larger than No
Skip if scan takes longer than No
Parse email formats No
Scan password-protected archives No
Enable iChecker technology No
Enable iSwift technology No
Show detected threats on "Detected" tab Yes
Rootkits search Yes
Deep rootkits search No
Use heuristic analyzer Yes​

Quarantine
----------
Status Object Size Added
------ ------ ---- -----​

Backup
------
Status Object Size
------ ------ ----​

ارجوا مساعدتي في ذلك وهل هناك ضرر اذا عملت للملفات استعادة ؟

 

[Demo-dashDemo-dash is verified member.]

عليكم السلام ..

غالبا بترجع الفايروسات لو عملت استعادة للملفات إذا كانت مصابة ..

سالتي هذا يصيب الملفات الي على شكل exe

اعمل التالي

عطل نقطة استعادة النظام حسب الشرح التالي
​

​

​

واعمل فحص بهذي الاداه ...

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

‏
​

 

[سابح]

اخي العزيز

معي علم انه يصيب ملفات التشغيل exe لكن البرنامج لم يحذفهم ولكن نقلهم للحجر

ونقطة الاستعادة عامل لها ايقاف

وسوف افحص بالاداة التي ذكرت عندما تنتهي اداة الكاسبر

بارك الله فيك

 

[Demo-dashDemo-dash is verified member.]

اوكي .. بانتظارك
​

 

[سابح]

اخي العزيز

هنا التقرير الكامل لاداة فحص الكاسبر واعتذر عن عدم وضعه هنا بسبب كبر حجمه

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

وقد عملت فحص مرتين بعد ذلك وهذه التقارير مع بعض

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

والفحص جاري الان باداة دكتور ويب فحص كامل بعد ان تم الفحص السريع ولم يعثر على شيء

بانتظار مرئياتك في ذلك

وفقك الله

 

[Demo-dashDemo-dash is verified member.]

شكرا لك ...

اطلعت على التقرير الأول ووجد به اصابتان تابعه لبرنامج CompoFix .. يعني لاتعتبر اصاب

والتقرير الثاني حذفت به اصابه واحده وهي عبارة عن تروجين ...

يبدولي جهازك نظيف الان

اعمل تقرير اخير للهايجاك

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

اذا انتهى التحميل ==> شغل البرنامج ==> واضغط على Do a system scan and save log
لحظات .. ويظهر لك تقرير اعمل تحديد الكل ==> انسخه والصقه بردك القادم​

​

 

[Demo-dashDemo-dash is verified member.]

والفحص جاري الان باداة دكتور ويب فحص كامل بعد ان تم الفحص السريع ولم يعثر على شيء

تمام ..

والان للإطمئنان اكثر :d:

استخدم هذي الاداه

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

عند استخدامها اشبك اي هارد خارجي او فلاش لكي يتم تنضيفها جميعا

بعد كذا هات لي التقرير الهاي جاك
​

 

[سابح]

ابي اتعبك معي اخوي ديمو داش:d:

وهذا تقرير الهايجاك

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 08:16:59 م, on 06/04/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Safe mode

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\igfxsrvc.exe
C:\Documents and Settings\thunder\سطح المكتب\launch.exe
C:\DOCUME~1\thunder\LOCALS~1\Temp\RarSFX1\_start.exe
C:\DOCUME~1\thunder\LOCALS~1\Temp\RarSFX1\setup.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext =

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

O2 - BHO: مساعد رابط Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\ievkbd.dll (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [OEM02Mon.exe] C:\WINDOWS\OEM02Mon.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [Dell QuickSet] C:\Program Files\Dell\QuickSet\quickset.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SigmatelSysTrayApp] stsystra.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\RunOnce: [Privacy Suite] "C:\Documents and Settings\thunder\Application Data\cleaner\CSPSeraser.exe" "/R:C:\Documents and Settings\thunder\Application Data\CyberScrub\Privacy Suite"
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: is-ADTMH.lnk = ?
O4 - Startup: Webshots.lnk = C:\Program Files\Webshots\Launcher.exe
O4 - Global Startup: Bluetooth.lnk = ?
O8 - Extra context menu item: &تصدير إلى Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Send to &Bluetooth Device... - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O8 - Extra context menu item: أضف إلى قائمة الإعلانات السوداء - C:\Program Files\Avant Browser\AddToADBlackList.htm
O8 - Extra context menu item: إفتح في المتصفّح الرائد الجديد - C:\Program Files\Avant Browser\OpenInNewBrowser.htm
O8 - Extra context menu item: إمنع كلّ الصور من نفس الخادم - C:\Program Files\Avant Browser\AddAllToADBlackList.htm
O8 - Extra context menu item: ابراز - C:\Program Files\Avant Browser\Highlight.htm
O8 - Extra context menu item: افتح كل الوصلات التي بهذه الصفحة ... - C:\Program Files\Avant Browser\OpenAllLinks.htm
O8 - Extra context menu item: بحث - C:\Program Files\Avant Browser\Search.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Web traffic protection statistics - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\SCIEPlgn.dll (file missing)
O9 - Extra button: إرسال إلى OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: إر&سال إلى OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe

--
End of file - 4990 bytes

​

وتقرير الاداة الخاصه بحذف الفيروس سليم ولله الحمد

لكن مواقف الفيروس السابقه معي لا تشجع

دايما ترجع الاصابه :no:

​

 

[Demo-dashDemo-dash is verified member.]

حبيب قلبي والله :d:

فداك ..

من التقرير الاخير احذف


O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\ievkbd.dll (file missing)


O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)


O4 - Startup: is-ADTMH.lnk = ?


O9 - Extra button: Web traffic protection statistics - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\SCIEPlgn.dll (file missing)

طريقة الحذف

حمل هالبرنامج (( المحمول )) لتنظيف جهازك

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

فك الضغط وشغل البرنامج

ثم

ثم

​

جهازك الان نظيف .. واذا رجع الفايروس لايردك الى الكيبورد ...

بتوفيق الله عزوجل
​

 

[سابح]

اخي العزيز ديمو داش

اردت ان استفسر عن امكانية اصابة الفيروس لملفات الجوست

لاني ارغب في عمل استعادة للنسخه كامله بس خايف يكون الملف مصاب بالفيروس

 

[Demo-dashDemo-dash is verified member.]

اخي العزيز ديمو داش

اردت ان استفسر عن امكانية اصابة الفيروس لملفات الجوست

لاني ارغب في عمل استعادة للنسخه كامله بس خايف يكون الملف مصاب بالفيروس

هل خطر في بالك انه ربما تكون ملفات الجوست مصابه بفايروس اصلا :u:

يعني مثلا جهازك كان مصاب بفايروسات ... وعملت نسخه احتياطيه للنظام بواسطه القوست وحطيتها بالـ D

النسخه راح تكون مفيرسه .. لذا انصحك بعمل نسخه احتياطيه الان طالما ان جهازك نظيف

نسخه القوست الاولى المفترض تحذفها .. لأنه مشكوك امرها

او انك تعمل لها استعاده كامله وتفحص جهازك من جديد بالادوات وتنظفها وبعد التنظيف تعمل لها نسخه احتياطيه اخرى

فيه برنامج اخر اسمه Acronis True Image استخدمه لعمل نسخه احتياطيه للنظام .. بصيغه lip. اعتقد .. واضن انه مايختلف عن جوست الى الصيغه

فايروس الـ Sality لايصيب الى الـ exe فقط

يعني النسخه مؤمنة بإذن الله من الإصابة >>>> طالما انها ليست مصابه من الداخل يعني

اضن انك فهمتني ...

الله يوفقك يا رب اخي الكريم

=============

يغلق الموضوع لإنتهاء الغرض منه