اتحدى الجميع بفيروس فلاش ميموري عجز عن حل مشكلته اصحاب المحلات من مهندسين وغيرهم

  • بادئ الموضوع بادئ الموضوع KTG
  • تاريخ البدء تاريخ البدء
  • المشاهدات 7,582
الحالة
مغلق و غير مفتوح للمزيد من الردود.
K

KTG

زيزوومي جديد
إنضم
20 يناير 2008
المشاركات
86
مستوى التفاعل
0
النقاط
0
غير متصل
السلام عليكم ورحمة الله وبركاته
كيف الحال ؟
اليوم جائتكم بتحدي خاص واتحدى الجميع ... عندي فلاش ميموريGenx 2 GB جنكس اصلي شريته من اكثر من سنة وكان جيمته 200 درهم وبعد فترة اخذه ربيعي و استعمله و يوم رجعه كان فيه فايرس حاولت اشيله بس ما قدرت حتى بعد الفورمات بفترة كان يرجع وتميت على هالحالة لين ما جاء وقت ما اقدر ارسل بيانت له وبعدين توقف نهائيا عن الاستقبال يعني اقدر انزل منه بس ما اقدر ارفع له اي ملف وما اقدر اسوي له فورمات ... يقولي انه write protect محمي ضد الكتابة لكن الفلاش ما به زر حتى افتحه واصكره وحاولت افرمته مع بداية تشغيل الجهاز عن طريق سيدي وندوز وما نجحت الفكرة وكل ما ادخله يقول لي الفلاش به
فيرس مكانه واسمهE\ms32dll.vbs-VBS-Butsur.B worm
ويطلع رسايل كالتالي :

اول ما احط الفلاش :

بعد ما اضغط delete :

بعد ما اضغط فورمات Format :

الملفات الموجودة بالفلاش مجلد واضح وملفين مخفين :
 

ترتيب حسب التاريخ ترتيب حسب الأصوات
ابك قل عندي فايروس وبس :hh:
أما تتحدى !!! ترى اخوانك كلهم شيبان ههههههههههههههه ( بلااش هالحركات :bleh: )


اعمل تقرير للهايجاك


http://download.hijackthis.eu/hijackthis_199.zip


اذا انتهى التحميل ==> شغل البرنامج ==> واضغط على Do a system scan and save log


لحظات ويظهر لك تقرير ,, انسخه والصقه بردك القادم
 
تأييد 0
اقلك اتحداكم كلكم ...هههه... سويت التقرير والفلاش داخل الجهاز... ويالله شد حيلك

هذا هو التقرير

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 07:08:48 ?, on 26/02/2008
Platform: Windows Vista (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16609)
Boot mode: Normal
Running processes:
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\Synaptics\SynTP\SynTPStart.exe
C:\Program Files\ESET\ESET Smart Security\egui.exe
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
C:\Program Files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe
C:\Program Files\Hewlett-Packard\HP Wireless Assistant\WiFiMsg.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Internet Download Manager\IDMan.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\Internet Explorer\ieuser.exe
C:\Program Files\WIDCOMM\Bluetooth Software\BtStackServer.exe
C:\Program Files\Internet Download Manager\IEMonitor.exe
C:\Program Files\Hewlett-Packard\Shared\HpqToaster.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Users\KTG\Desktop\Zyzoom_HijackThis.exe
C:\Users\KTG\AppData\Local\Temp\FSCapture.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: IDM Helper - {0055C089-8582-441B-A0BF-17B458C2A3A8} - C:\Program Files\Internet Download Manager\IDMIECC.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SynTPStart] C:\Program Files\Synaptics\SynTP\SynTPStart.exe
O4 - HKLM\..\Run: [egui] "C:\Program Files\ESET\ESET Smart Security\egui.exe" /hide /waitservice
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [hpWirelessAssistant] %ProgramFiles%\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe
O4 - HKLM\..\Run: [WAWifiMessage] %ProgramFiles%\Hewlett-Packard\HP Wireless Assistant\WiFiMsg.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [IDMan] C:\Program Files\Internet Download Manager\IDMan.exe /onboot
O4 - Global Startup: Bluetooth.lnk = ?
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Send image to &Bluetooth Device... - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O8 - Extra context menu item: Send page to &Bluetooth Device... - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O8 - Extra context menu item: ÊÍãíá ãÍÊæì ÝíÏíæ (ÅÝ.Åá.Ýí) ÈÜ ÅäÊÑäÊ ÏÇæäáæÏ ãÇäíÌÑ - C:\Program Files\Internet Download Manager\IEGetVL.htm
O8 - Extra context menu item: ÊÍãíá Çáßá ÈÜ ÅäÊÑäÊ ÏÇæäáæÏ ãÇäíÌÑ - C:\Program Files\Internet Download Manager\IEGetAll.htm
O8 - Extra context menu item: ÊÍãíá ÈÜ ÅäÊÑäÊ ÏÇæäáæÏ ãÇäíÌÑ - C:\Program Files\Internet Download Manager\IEExt.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O13 - Gopher Prefix:
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) - http://javadl-esd.sun.com/update/1.6.0/jinstall-6u3-windows-i586-jc.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET Smart Security\EHttpSrv.exe
O23 - Service: Eset Service (ekrn) - ESET - C:\Program Files\ESET\ESET Smart Security\ekrn.exe
O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
O23 - Service: XAudioService - Conexant Systems, Inc. - C:\Windows\system32\DRIVERS\xaudio.exe
--
End of file - 6307 bytes
 
تأييد 0
وهذي صورة تظهر اول ما اشغل السكان scan باداة الهايجاك :
 
تأييد 0
الدعوه تحدي هآآآه :i:
طيب انت اللحين تتحدى صــح !!؟
طيب واذا انحذف وش بتعطينـــا؟!!! :bleh:

يالله توكل على الله ومدام مديرنا موجود
لاتشيــل هم


بالتوفيق
 
توقيع : SUL6AN
تأييد 0
ولا يهمك .. انسخ لنا ملف vbs وكمان ملف autorun.inf واضغطهم وينرار وابعتهم لي على الايميل بعد الضغط على اسم عضويتي .. واحصل على اداة مني .. بضغطة وحدة انشاء الله يتشال ..

او مباشرة على المسنجر ياهو المعرف الخاص بي عاليمين .
 
تأييد 0
خخخخخخخخخ
خخخخخخ

طيب ادخل الفلااش ,, واستخدم الاداة ذي لفحص جهازك
http://www.zyzoom.org/vb/t3276.html


لا تنسى ترفق التقرير
 
تأييد 0
SUL6AN قال:
الدعوه تحدي هآآآه :i:
طيب انت اللحين تتحدى صــح !!؟
طيب واذا انحذف وش بتعطينـــا؟!!! :bleh:

يالله توكل على الله ومدام مديرنا موجود
لاتشيــل هم


بالتوفيق
أنقر للتوسيع...


لاهنت وبيض الله وجهك يالعشير :smile:
 
تأييد 0
خبير فيروسات قال:
ولا يهمك .. انسخ لنا ملف vbs وكمان ملف autorun.inf واضغطهم وينرار وابعتهم لي على الايميل بعد الضغط على اسم عضويتي .. واحصل على اداة مني .. بضغطة وحدة انشاء الله يتشال ..

او مباشرة على المسنجر ياهو المعرف الخاص بي عاليمين .
أنقر للتوسيع...


بارك الله فيك
 
تأييد 0
وش حصل عساه انحذف
 
تأييد 0
هههه من يضحك اخيرا يضحك كثيرا ... على العموم انا جربت اكثر من اداة من الادوات حذف فيروسات الفلاش الموجودة في المنتدى بس ما نفعت...وهو ما زال تحدي لان الموضوع يستحق التحدي وبذكركم كلكم ...

المهم انا عندي نظامين فيستا و اكس بي جربت اداة المكافي على الفيستا والبرامج الثانية ما ضبطت اما الاكس بي نسخة زيزومية ضبت اداة المكافي معها وحذفت الاداة مجموعة من القيم منها restore بعد موافقتي وثلاث ملفات باسم zy zoom من تلقاء نفسه وكذلك فشل في محاولتين في حذف ملف تورجان وملف vbs وatuorun ونجح كما يقول في واحدة

واليكم تقرير اداة المكافي :

2/27/2008 6:29:42 PM Engine version =5200.2160
2/27/2008 6:29:42 PM AntiVirus DAT version =5195.0000
2/27/2008 6:29:42 PM Number of detection signatures in EXTRA.DAT =None
2/27/2008 6:29:42 PM Names of detection signatures in EXTRA.DAT =None
2/27/2008 6:29:36 PM Scan Started ARAB-94FD58E276\KTG On-Demand Scan
2/27/2008 6:30:41 PM Deleted KTG C:\DOCUMENTS AND SETTINGS\KTG\APPLICATION DATA\ZYZOOM_AUTORUN_VIRUSES_CLEANER\ZYZOOM_PROCESS.EXE PrcViewer(Potentially Unwanted Program)
2/27/2008 6:30:46 PM Deleted KTG c:\Documents and Settings\KTG\Application Data\Zyzoom_Autorun_Viruses_cleaner\zyzoom_PROCESS.exe PrcViewer(Potentially Unwanted Program)
2/27/2008 6:31:02 PM Not scanned (The file is encrypted) KTG c:\Documents and Settings\KTG\My Documents\avg-antiviruspro-iobit-90days.exe\FILES.DAT
2/27/2008 6:37:42 PM Deleted KTG C:\SYSTEM VOLUME INFORMATION\_RESTORE{2AC07E2E-B686-4A8A-941E-118F9DA0356E}\RP26\A0001528.EXE PrcViewer(Potentially Unwanted Program)
2/27/2008 6:38:04 PM Deleted (Clean failed) KTG c:\System Volume Information\_restore{2AC07E2E-B686-4A8A-941E-118F9DA0356E}\RP26\A0001528.exe\ZYZOOM_PROCESS.EXE PrcViewer(Potentially Unwanted Program)
2/27/2008 6:38:37 PM Deleted KTG C:\SYSTEM VOLUME INFORMATION\_RESTORE{2AC07E2E-B686-4A8A-941E-118F9DA0356E}\RP29\A0001821.EXE PrcViewer(Potentially Unwanted Program)
2/27/2008 6:38:37 PM Deleted KTG c:\System Volume Information\_restore{2AC07E2E-B686-4A8A-941E-118F9DA0356E}\RP29\A0001821.exe PrcViewer(Potentially Unwanted Program)
2/27/2008 6:53:57 PM Delete failed (Clean failed) KTG e:\autorun.inf\autorun.inf Generic!atr(Trojan)
2/27/2008 6:54:37 PM Deleted KTG E:\MS32DLL.DLL.VBS VBS/IE-Title(Virus)
2/27/2008 6:55:52 PM Delete failed (Clean failed) KTG e:\MS32DLL.dll.vbs\MS32DLL.dll.vbs VBS/IE-Title(Virus)
2/27/2008 7:00:48 PM Scan Summary ARAB-94FD58E276\KTG Scan Summary
2/27/2008 7:00:48 PM Scan Summary ARAB-94FD58E276\KTG Processes scanned : 30
2/27/2008 7:00:48 PM Scan Summary ARAB-94FD58E276\KTG Processes detected : 0
2/27/2008 7:00:48 PM Scan Summary ARAB-94FD58E276\KTG Processes cleaned : 0
2/27/2008 7:00:48 PM Scan Summary ARAB-94FD58E276\KTG Boot sectors scanned : 2
2/27/2008 7:00:48 PM Scan Summary ARAB-94FD58E276\KTG Boot sectors detected: 0
2/27/2008 7:00:48 PM Scan Summary ARAB-94FD58E276\KTG Boot sectors cleaned : 0
2/27/2008 7:00:48 PM Scan Summary ARAB-94FD58E276\KTG Files scanned : 23432
2/27/2008 7:00:48 PM Scan Summary ARAB-94FD58E276\KTG Files with detections: 5
2/27/2008 7:00:48 PM Scan Summary ARAB-94FD58E276\KTG File detections : 9
2/27/2008 7:00:48 PM Scan Summary ARAB-94FD58E276\KTG Files cleaned : 0
2/27/2008 7:00:48 PM Scan Summary ARAB-94FD58E276\KTG Files deleted : 3
2/27/2008 7:00:48 PM Scan Summary ARAB-94FD58E276\KTG Files not scanned : 25
2/27/2008 7:00:48 PM Scan Summary ARAB-94FD58E276\KTG Scan Summary (Registry Scanning)
2/27/2008 7:00:48 PM Scan Summary ARAB-94FD58E276\KTG Keys scanned : 59603
2/27/2008 7:00:48 PM Scan Summary ARAB-94FD58E276\KTG Keys detected : 0
2/27/2008 7:00:48 PM Scan Summary ARAB-94FD58E276\KTG Keys cleaned : 0
2/27/2008 7:00:48 PM Scan Summary ARAB-94FD58E276\KTG Keys deleted : 0
2/27/2008 7:00:48 PM Scan Summary ARAB-94FD58E276\KTG Scan Summary ( Scanning)
2/27/2008 7:00:48 PM Scan Summary ARAB-94FD58E276\KTG s scanned : 53
2/27/2008 7:00:48 PM Scan Summary ARAB-94FD58E276\KTG s detected : 0
2/27/2008 7:00:48 PM Scan Summary ARAB-94FD58E276\KTG s cleaned : 0
2/27/2008 7:00:48 PM Scan Summary ARAB-94FD58E276\KTG s deleted : 0
2/27/2008 7:00:48 PM Scan Summary ARAB-94FD58E276\KTG Run time : 0:31:12
2/27/2008 7:00:48 PM Scan Complete ARAB-94FD58E276\KTG On-Demand Scan

.....................................................
واليكم صور من العملية :


ثم ضغطت delete :


ثم فجاة اوووووووووه ظهرت هذه الرسالة :


والنتيجة :::


وبعدها تكررت المسالة عدة مرات حتى انتهى اليحث :


وبالنسبة للاخ الي طلب رفع الملفات : اليك الرباط :


وفي انتظاركم يا ابطال ... هههههه ... راوني شطارتكم


--------------------


ممنوع وضع روابط لفيروسات
 
تأييد 0
هذارابط به ملف مضغوط للملفين vbs و atuorun :


بعد ما ادخلت الفلاش مرة اخرى :



ودخلت للفلاش :


يا ويلي لم يتغير شيء ؟؟؟ ههه انتظركم ... وما زال التحدي قائما ...






ممنوع وضع روابط للفيروسات
 
تأييد 0
توقيع : احمد زلمة
تأييد 0
لو سمحت اعمل الخطوات التالية :

(1) عطل إستعادة النظام .
حتى لايرجع الفايرس بعد حذفه .

(2) شغل الجهاز بالوضع الأمن .
حتى يتعطل الفايرس عن العمل وبالتالي يتم القبض عليه
وهو نائم في سابع نومه .

(3) إظهار جميع الملفات والمجلدات المخفية .
حتى لايبقى شيء من دسائسه المخفيه .

(4) شغل مكافي زيزوووم .
وخله يفحص كامل الجهاز .

(5) احذف جميع الملفات المكتشفه
وتأكد من إفراغها من سلة المحذوفات .


وتأكد أن أي فايرس لايصعب على أعضاء زيزوووم .


ملاحظة :
توجد طرق أخرى لحذف هذه الملفات الخبيثه
ولكن خلينا نحذفها بطريقة زيزوووم
لأنها طريقة ناجحه مع هذا البرنامج القوي جدا جدا Mcafee
 
توقيع : fahd
تأييد 0
الفيروس يقوم بتغير خصائص الملفات ولن اتمكن الأن بإعطائك الأداة التي تقضي عليه

غدا باذن الله ستجدها في موضوع جديد وسأضع الرابط في ردود هذا الموضوع .

الى ذاك الحين أستودعكم الله
 
تأييد 0
السلام عليكم ورحمة الله
الاخ احمد زلمة اسم الاداة يدل على قوته وتخصصها في ملفات vbs و atourun وهذا ما كنت احتاجه لكن يوم انزلت الاداة وشغلتها كانت هذه النتائج :

البداية :


ثم : ههه



و بعده طلب مني اعادة التشغيل وانا قلت يمكن في امل :


والنتيجة صفر على الشمال ........ فقد ظهرت الملفات وظهرت نفس الرسالة :
 
تأييد 0
توقيع : fahd
تأييد 0
جاري التجربة .................
 
تأييد 0
KTG قال:
بقي عليك شرح تشغيل الوضع الامن ...
أنقر للتوسيع...

<<< داش من الجوااال وبيخترب بيتي من حجم الصور اللي انت حاطهــا

حاول تصغرها شوي:b::b:
الوضع الامن
اضغط على f8 اول ما تشغل الجهاز
راح تجيك قائمه قبل لايجيك شعار الوندوز

اختار اول خيار
safe mode

بالتوفيق
 
توقيع : SUL6AN
تأييد 0
الحالة
مغلق و غير مفتوح للمزيد من الردود.
عودة
أعلى