خمسةعشر يوما مع قيروسات لا تزيلها الفورمات

الحالة
مغلق و غير مفتوح للمزيد من الردود.
ا

ابوعيون

زيزوومي جديد
إنضم
15 سبتمبر 2007
المشاركات
44
مستوى التفاعل
0
النقاط
40
الإقامة
جده
غير متصل
السلا م عليكم ورحمة الله
لا اطيل عيكم فعلا خمسة عشر قضيتها بين برامج وادوات فيروسات
لم اترك برنامج من الكاسبر حتى اصغر البرامج شيء يذهل العقل ثمانية اجهزي لي وللجيران مصابة ولاشي ينفع اسبو ع الاجازة لم انم بين البرامج والفورمات وحتي الفورمات عدة مرات ثم استخدام برنامج للمسح ٤ الى ٥ مرات وبرنامج يكتب على كامل الهردسك بيانات تالفه ثم يمسحها فرمت ب فات ٣٢ ، ١٦ ، انوع من فورمات لينوكس انصب وندوز اكس بي اصلي وغير معدل لم ايئس ومع هذا مجرد ما ينتهي التنصيب واقول عسى اجده موجود شاهدته بعيني من اسطوانية مني اكس بييييي بعد ان قمت بالفورمات ووب الهارد ٣ مرات انه ملف دوس ( وابن ستين كلب ) يختفي ثم يعود انزع البطاريات واترك الجهاز فتره طبعا بعد الفورمات ثم انصب فيعود فكرت الان في الفورمات الصعب اي افرمت مساجة البوت صفر مع الهاردسك

معلعش كﻻم كثير المعذرة اصلا كتبت عنه عشر صفحات
اعذروني عل الخط فالفيرفوكس ملخبطني في التقرير الثاني كﻻم مهم ساضع له خط
هذا اللعين اثناء لتنصيب يسبق الوندوز الى تنصيب ادوات الاتصال وعمل بديل عنها باسماء ملفات الوندوز سوف ارفق بعض التقارير لعل وعسى وبلمناسبة الحل هو ازالة المف الدوسي المجرم قبل كل شي وما قد يكون نسخ احتياطيه له انا يادوب استخدم لينوكس وﻻ اعرف شيء فيه واظن الحيوان يشاركني الاتصال الان رغم ان اللينوكس حجزة ووضع له قفل هنا جزء من تقرير مكافيء


24/02/2008 05:51:58 م Deleted haking C:\SYSTEM VOLUME INFORMATION\_RESTORE{0D6211BC-1B15-44E4-82E3-4F34FE18A151}\RP3\A0002099.EXE PrcViewer(Potentially Unwanted Program)
24/02/2008 05:52:51 م Deleted (Clean failed) haking c:\System Volume Information\_restore{0D6211BC-1B15-44E4-82E3-4F34FE18A151}\RP3\A0002099.exe\PROCESS.EXE PrcViewer(Potentially Unwanted Program)
24/02/2008 05:52:51 م Deleted haking C:\SYSTEM VOLUME INFORMATION\_RESTORE{0D6211BC-1B15-44E4-82E3-4F34FE18A151}\RP3\A0002100.EXE PrcViewer(Potentially Unwanted Program)
24/02/2008 05:52:51 م Deleted haking c:\System Volume Information\_restore{0D6211BC-1B15-44E4-82E3-4F34FE18A151}\RP3\A0002100.exe PrcViewer(Potentially Unwanted Program)
24/02/2008 05:52:51 م Deleted haking C:\SYSTEM VOLUME INFORMATION\_RESTORE{0D6211BC-1B15-44E4-82E3-4F34FE18A151}\RP3\A0002101.EXE Generic PUP.g(Potentially Unwanted Program)
24/02/2008 05:52:51 م Deleted haking c:\System Volume Information\_restore{0D6211BC-1B15-44E4-82E3-4F34FE18A151}\RP3\A0002101.exe Generic PUP.g(Potentially Unwanted Program)
24/02/2008 05:57:03 م Deleted (Clean failed because the detection isn't cleanable) haking c:\WINDOWS\system32\Windows XPize.scr New Malware.j(Trojan)



وهنا جزء من تقرير اخر



Fautoexec##-#���##�| ###a ######T###l ##�###RPd#'#######AUTOEXEC.NT@echo off REM AUTOEXEC.BAT is not used to initialize the MS-DOS environment. REM AUTOEXEC.NT is used to initialize the MS-DOS environment unless a REM different startup file is specified in an application's PIF. REM Install CD ROM extensions lh %SystemRoot%\system32\mscdexnt.exe REM Install network redirector (load before dosx.exe) lh %SystemRoot%\system32\redir REM Install DPMI support lh %SystemRoot%\system32\dosx REM The following line enables Sound Blaster 2.0 support on NTVDM. REM The command for setting the BLASTER environment is as follows: REM SET BLASTER=A220 I5 D1 P330 REM where: REM A specifies the sound blaster's base I/O port REM I specifies the interrupt request line REM D specifies the 8-bit DMA channel REM P specifies the MPU-401 base I/O port REM T specifies the type of sound blaster card REM 1 - Sound Blaster 1.5 REM 2 - Sound Blaster Pro I REM 3 - Sound Blaster 2.0 REM 4 - Sound Blaster Pro II REM 6 - SOund Blaster 16/AWE 32/32/64 REM REM The default value is A220 I5 D1 T3 and P330. If any of the switches is REM left unspecified, the default value will be used. (NOTE, since all the REM ports are virtualized, the information provided here does not have to REM match the real hardware setting.) NTVDM supports Sound Blaster 2.0 only. REM The T switch must be set to 3, if specified. SET BLASTER=A220 I5 D1 P330 T3 REM To disable the sound blaster 2.0 support on NTVDM, specify an invalid REM SB base I/O port address. For example: REM SET BLASTER=A0 Fconfigsys#-#���##�| ###<### ###T###E###! ##RPd#) ##f###CONFIG.NTREM Windows MS-DOS Startup File REM REM CONFIG.SYS vs CONFIG.NT REM CONFIG.SYS is not used to initialize the MS-DOS environment. REM CONFIG.NT is used to initialize the MS-DOS environment unless a REM different startup file is specified in an application's PIF. REM REM ECHOCONFIG REM By default, no information is displayed when the MS-DOS environment REM is initialized. To display CONFIG.NT/AUTOEXEC.NT information, add REM the command echoconfig to CONFIG.NT or other startup file. تركت تقارير اخرى كثيرة فهذه كفاية حيث ان هذا اللعين يعزل الكاسبر ان سمح جدار الحماية لملفات الدال ال وعزل البت دفندر السكيورتي الاخير ولم يفلح شي معه السبت الماضي احد الاخوة وضع فﻻشه في جهاز المدرسة فختمها وانا المسؤول عن اصﻻحه الحقيقة انا كرهت الاجهزة وعميت من طول النظر

حبي لكم جميعا ولترركيييييييييي خصوصا

ملحوظة انا اسميت جهاز اليو م haking لا حد يضنه شي ءا خر
 

ترتيب حسب التاريخ ترتيب حسب الأصوات
(ملحق) استخدمت جميع الادوات التي ينزلها الاخ زيزوم جزاه الله كل خ
Logfile of HijackThis v1.99.1
Scan saved at 03:00:24 �, on 24/02/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\VistaDrive\VistaDrive.exe
C:\Program Files\LClock\LClock.exe
C:\WINDOWS\system32\mmm.exe
C:\WINDOWS\system32\VTTimer.exe
C:\WINDOWS\system32\VTtrayp.exe
C:\WINDOWS\sm56hlpr.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\Uniblue\SpyEraser\SpyEraser.exe
C:\Program Files\Spyware Doctor\sdhelp.exe
C:\Program Files\Spyware Doctor\swdoctor.exe
C:\WINDOWS\system32\msiexec.exe
C:\Program Files\ThreatFire\TFTray.exe
C:\Program Files\ThreatFire\TFService.exe
C:\Program Files\ThreatFire\TFGui.exe
C:\Documents and Settings\haking\Desktop\mycd\MENU.EXE
C:\Documents and Settings\haking\Desktop\mycd\ODDTOOLS\HijackThis.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [VistaDrive] C:\WINDOWS\VistaDrive\VistaDrive.exe
O4 - HKLM\..\Run: [LClock] C:\Program Files\LClock\LClock.exe
O4 - HKLM\..\Run: [KelsPakSoft] C:\WINDOWS\system32\mmm.exe
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe
O4 - HKLM\..\Run: [SMSERIAL] C:\WINDOWS\sm56hlpr.exe
O4 - HKLM\..\Run: [ThreatFire] C:\Program Files\ThreatFire\TFTray.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Uniblue SpyEraser] "C:\Program Files\Uniblue\SpyEraser\SpyEraser.exe" -m
O4 - HKCU\..\Run: [Spyware Doctor] "C:\Program Files\Spyware Doctor\swdoctor.exe" /Q
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\wpdshserviceobj.dll
O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - C:\Program Files\Spyware Doctor\sdhelp.exe
O23 - Service: ThreatFire - PC Tools - C:\Program Files\ThreatFire\TFService.exe

هذا الهاي جاك واما لماذا الان اشكوووو وارفع تقرير بصراحة طفشت مابقي برامج وافكار احيانا اظن عفريت جوة الاجهزة وخصوصا عندما يخرب البت دفندر او ينسخ السيرفس باك ٣ اثناء تنصيبها وتجي تشوف المجلد المنسوخ يطير من قدامك ويغير اسمه شي خبال
 
تأييد 0
الهايجاك سليـــــــــــــــم اخي الحبيب ........

جرب تفرمت قرص قرص لحاله .. وفرمت الجهاز
 
توقيع : Dr.ZAIN
تأييد 0
باختصار وحسب معرفتي الفورمات يزيل كل شي اما انك تقول تفرمت وترجع الفايروسات

فكر فيهاا بالعقل اما الاسطوانة الي عندك مصابة او انك تثبت شي من البرامج عندك مصاب وهو ينشر الفايروسات

مع كل فرمتة للجهاز
 
تأييد 0
boob77 قال:
باختصار وحسب معرفتي الفورمات يزيل كل شي اما انك تقول تفرمت وترجع الفايروسات

فكر فيهاا بالعقل اما الاسطوانة الي عندك مصابة او انك تثبت شي من البرامج عندك مصاب وهو ينشر الفايروسات

مع كل فرمتة للجهاز
أنقر للتوسيع...

وإضافة إلى كلام اخي بوب
قد يكون منتشر هذا الفايروس الذي اصاب به احد البارتشن لدي او الفلاش ميموري

بالتوفيق
 
تأييد 0
اخي الكريم نعم الهايجك كذلك ولكن شوف التي فوق انا الى الان فرمت كل جهاز عدة مرات وصرت اشك انه مافيه شيء ولكن تجد بورت ٨٠ مفتوح ومستخدم تجد التحميل سرعته ناقصه الثلثين تجد ملفات مثل temp2 ولا يمكن فتحها تجد استهﻻك قوي للذاكرةة وملفات ترحيل الصفحات تجد خدمات لا يمكن ايقافها عند محاولة استخدام البرامج للفيروس يتلقفها ملف دي ال من ابلكشين اول يوسر ويدمرها الاكسبلورر يريد يدخل في شي تفتحه الكاسبر يرى هذا رسك وير

في بعض التقارير ذكر ان ملف دوس ينشي ما يشبه دودة بﻻستر
وجود مجلدات ترسل عبر المنفذ ٨٠ ببرنامج ftp
 
تأييد 0
حتى انا قلت اني انجنيت ولكن صديق لي في مكان اخر عنده نفس الحكاية

الملف الدوس فيه عنه كﻻم

اقرا مايلي

REM AUTOEXEC.BAT is not used to initialize the MS-DOS environment. REM AUTOEXEC.NT is used to initialize the MS-DOS environment unless a REM different startup file is specified in an application's PIF. REM Install CD ROM extensions lh %SystemRoot%\system32\mscdexnt.exe REM Install network redirector (load before dosx.exe) lh %SystemRoot%\system32\redir REM Install DPMI support lh %SystemRoot%\system32\dosx REM The following line enables Sound Blaster 2.0 support on NTVDM. REM The command for setting the BLASTER environment is as follows: REM SET BLASTER=A220 I5 D1 P330 REM where: REM A specifies the sound blaster's base I/O port REM I specifies the interrupt request line REM D specifies the 8-bit DMA channel REM P specifies the MPU-401 base I/O port REM T specifies the type of sound blaster card REM 1 - Sound Blaster 1.5 REM 2 - Sound Blaster Pro I REM 3 - Sound Blaster 2.0 REM 4 - Sound Blaster Pro II REM 6 - SOund Blaster 16/AWE 32/32/64 REM REM The default value is A220 I5 D1 T3 and P330. If any of the switches is REM left unspecified, the default value will be used. (NOTE, since all the REM ports are virtualized, the information provided here does not have to REM match the real hardware setting.) NTVDM supports Sound Blaster 2.0 only. REM The T switch must be set to 3, if specified. SET BLASTER=A220 I5 D1 P330 T3 REM To disable the sound blaster 2.0 support on NTVDM, specify an invalid REM SB base I/O port address. For example: REM SET BLASTER=A0 Fconfigsys#-#���##�| ###<### ###T###E###! ##RPd#) ##f###CONFIG.NTREM Windows MS-DOS Startup File REM REM CONFIG.SYS vs CONFIG.NT REM CONFIG.SYS is not used to initialize the MS-DOS environment. REM CONFIG.NT is used to initialize the MS-DOS environment unless a REM different startup file is specified in an application's PIF. REM REM ECHOCONFIG REM By default, no information is displayed when the MS-DOS environment REM is initialized. To display CONFIG.NT/AUTOEXEC.NT information, add REM the command echoconfig to CONFIG.NT or other startup file. REM REM NTCMDPROMPT REM When you return to the command prompt from a TSR or while running an REM MS-DOS-based application, Windows runs COMMAND.COM. This allows the REM TSR to remain active. To run CMD.EXE, the Windows command prompt, REM rather than COMMAND.COM, add the command ntcmdprompt to CONFIG.NT or REM other startup file. REM REM DOSONLY REM By default, you can start any type of application when running REM COMMAND.COM. If you start an application other than an MS-DOS-based REM application, any running TSR may be disrupted. To ensure that only REM MS-DOS-based applications can be started, add the command dosonly to REM CONFIG.NT or other startup file. REM REM EMM REM You can use EMM command line to configure EMM(Expanded Memory Manager). REM The syntax is: REM REM EMM = [A=AltRegSets] [B=BaseSegment] [RAM] REM REM AltRegSets REM specifies the total Alternative Mapping Register Sets you REM want the system to support. 1 <= AltRegSets <= 255. The REM default value is 8. REM BaseSegment REM specifies the starting segment address in the Dos conventional REM memory you want the system to allocate for EMM page frames. REM The value must be given in Hexdecimal. REM 0x1000 <= BaseSegment <= 0x4000. The value is rounded down to REM 16KB boundary. The default value is 0x4000 REM RAM REM specifies that the system should only allocate 64Kb address REM space from the Upper Memory Block(UMB) area for EMM page frames REM and leave the rests(if available) to be used by DOS to support REM loadhigh and devicehigh commands. The system, by default, would REM allocate all possible and available UMB for page frames. REM REM The EMM size is determined by pif file(either the one associated REM with your application or _default.pif). If the size from PIF file REM is zero, EMM will be disabled and the EMM line will be ignored. REM dos=high, umb device=%SystemRoot%\system32\himem.sys files=40 STACKS=0,0 Fwinstart##-#���##�|####�###
 
تأييد 0
اخى بالشكوك هذه

شى من الاثنين
1-تلصم الجهاز وتلصقه وتدق له مسامير
2- قنبله نوويه
قنبله نوويه او ذريه=

1*عمل ضبط مصنح للبيوس ثم تحديث له
2*نزع البطاريه والرامات ثم اعادة تركبها
3*فرمت الهارد بفك التقسيم وترجع تقسمه من الاول
4*جرب سى دى ويندوز لم تجربه من قبل
5* جرب تنصب الكاسبر تنصيب صامت النسخه 7.0.0.125

استحاله يكون فى اى بيانات لفيرس او غيره الان


بالتوفيق مع الاخوه​
 
توقيع : Mr_Tornado
تأييد 0
الفورمات نوعين
(1) فورمات عميقه
هذه ماتترك أي فايرس على الهاردسك .

(2) فورمات سريعة ( خفيفه )
هذه ماتنظف الهاردسك زين .

الإحتمالات هي :

(1) : أنت سويت فورمات خفيفه .
(2) نسخة اسطوانة الوندز اللي عملت بها الفورمات مصابه .
(3) بعد الفورمات استخدمت سيديات أو برامج أو هاردسك خارجي مصاب .

هذا والله أعلم .
 
توقيع : fahd
تأييد 0
الحالة
مغلق و غير مفتوح للمزيد من الردود.
عودة
أعلى