• بادئ الموضوع بادئ الموضوع YACINE2007
  • تاريخ البدء تاريخ البدء
  • المشاهدات 2,715
الحالة
مغلق و غير مفتوح للمزيد من الردود.

YACINE2007

زيزوومي جديد
إنضم
29 فبراير 2008
المشاركات
53
مستوى التفاعل
0
النقاط
50
غير متصل
السلام عليكم
عندي مشكل فقد اصاب جهازي فيروس يقضي على كل ملفات MP3
للعلم فإن الفيروس مكون من ملفينautorun.exe وautorun.inf
مع العلم اني قضيت على ملف الأوتوران الخاص به في كل الأقراص
و لكن يعمل كلما اعدت تشغيل الجهاز
و يدخل في الريجستري و يسمي الكمبيوتر بإسمه POISON 1 AVRIL

فما الحل من فضلكم
 

الله يحييك اخوي
حمل هذا البرنامج
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

اذا انتهى التحميل ==> شغل البرنامج ==> واضغط على Do a system scan and save log
لحظات .. ويظهر لك تقرير ==> انسخه والصقه بردك القادم
 
التعديل الأخير بواسطة المشرف:
خلنا نشوف التقرير حتى نساعدك ..:smile:
 
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 9:11:51, on 30-01-2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\Program Files\Faronics\Deep Freeze\Install C-0\DF5Serv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\svcadmin.exe
C:\Program Files\Anyplace Control 4\apc_host.exe
C:\Program Files\Symantec\Norton Ghost 2003\GhostStartService.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Program Files\VIA\RAID\raid_tool.exe
C:\WINDOWS\system32\VTTimer.exe
C:\WINDOWS\system32\VTtrayp.exe
C:\Program Files\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe
C:\WINDOWS\system32\TSTMON_N.EXE
C:\WINDOWS\system32\Restore\SVCHOST.EXE
C:\Program Files\Faronics\Deep Freeze\Install C-0\_$Df\FrzState2k.exe
C:\Program Files\Anyplace Control 4\apc_Admin.exe
D:\Zyzoom_HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,lNext =
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [RaidTool] C:\Program Files\VIA\RAID\raid_tool.exe
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe
O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Program Files\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe
O4 - HKLM\..\Run: [TallyGenicom 9316StatusDisplay] C:\WINDOWS\system32\TSTMON_N.EXE
O4 - HKLM\..\Run: [SVCHOST] C:\WINDOWS\system32\Restore\SVCHOST.EXE
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RESEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O9 - Extra button: بحث - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O20 - Winlogon Notify: DfLogon - C:\WINDOWS\SYSTEM32\LogonDll.dll
O23 - Service: Anyplace Control Security - Unknown owner - C:\WINDOWS\svcadmin.exe
O23 - Service: APC-Host - Anyplace Control Software - C:\Program Files\Anyplace Control 4\apc_host.exe
O23 - Service: DF5Serv - Faronics Corporation - C:\Program Files\Faronics\Deep Freeze\Install C-0\DF5Serv.exe
O23 - Service: GhostStartService - Symantec Corporation - C:\Program Files\Symantec\Norton Ghost 2003\GhostStartService.exe
--
End of file - 3566 bytes
 
امسح النورتن ونزل الأفيرا وهذي وصلة من المنتدى

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي



تاكد انك انت من نزل برنامج التحكم عن بعد وان لم تكن انت فقم بمسحه من اضافة وازالة البرامج .

screenshot_small.jpg



C:\WINDOWS\svcadmin.exe

وبعد ينزل برنامج الافيرا اعمله تنصيب وتحديث

وبعدها اعمل سكان وخبرنا وش صار معك ..
 
خبير فيروساتـ ماشاء الله عليكـ عين الحسود فيها عود ^_^
ممكنـ تشرحـ لي وشلون تحليل التقرير :b:

وايشـ معنى اخترتـ هذا الملفـ بالذاتـ C:\WINDOWS\svcadmin.exe
وليسـ C:\WINDOWS\system32\Restore\SVCHOST.EXE
وليسـ C:\WINDOWS\system32\TSTMON_N.EXE
 
حياك الله اخي العزيز

قم بتعطيل برنامج الديب فريز

ثم

قم بحذف القيمة التالية:
C:\WINDOWS\system32\Restore\
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي
.EXE

هذا الشرح على قيمة افتراضية ،، انت طبقه على القيمة السابقة

cca%20(8).png


cca%20(9).png


cca%20(10).png


cca%20(11).png


cca%20(12).png


cca%20(13).png


cca%20(14).png



ثم حدد القيم التالية واحذفها
O4 - HKLM\..\Run: [SVCHOST] C:\WINDOWS\system32\Restore\SVCHOST.EXE

O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\System, DisableRegedit=1

O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Pol icies\System, DisableRegedit=1

طريقة الحذف



mg%20(3).png


mg%20(4).png



ثم

ثم نزل هذه الاداة واتبع الشرح التالي

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي


التوافق : ويندوز اكسبيفقط

شرح الاستخدام ,,,,,,
عند تشغيل ملف الاداة تظهر لك هذه الشاشه ,, انتظر ( وتابع مع الصور )

000.png


001.png


وعند ظهور هذه الشاشه ,, اضغط على Close ليتم اعادة تشغيل جهازك (( لتكملة عملية التنظيف ))

002.png


ثم ارفع تقرير اخر لاداة هايجك​
 
احتمال تكون فيروسات بس ما نعتمد عالنورتن العبيط بس الاكيد والواضح انه ملف خاص بالتحكم وحتى من اعدادات المتصفح .
خله يعمل حذف للنورتن وينزلنا الافيرا ويعملها تحديث وسكان ويخبرنا ...
 
ياعيني عليك أخوي المنسي :ok:

تسلم ماشاء الله عليك :ok:
 
توقيع : fahd

ليس فايروس انما برنامج ضار



تأكد اخى من وجود ملف اسمه
Reverse نزل مع البرنامج الضار

 
توقيع : whosyourdaddy
اسم البرنامج الضار
MPfree

معلومات عنه

فيروس جديد لأول مرة يستهدف ملفات الـ(mp3)




تتعرض ملفات (mp3) الموسيقية المخزنة على الكمبيوترات للخطر بعد أن اكتشف خبراء شركة (سمانتيك) (Symantec) دودة (worm) أطلقوا عليها اسم (W32/Deletemp3) تقوم بمحو جميع الملفات الموسيقية المخزنة على قرص الكمبيوتر الصلب. ومستعملو نظام التشغيل ويندوز هم الأكثر عرضة لخطر الإصابة بدودة الكمبيوتر هذه.


هذا والله اعلم
 
توقيع : whosyourdaddy
خبير فيروساتـ ماشاء الله عليكـ عين الحسود فيها عود ^_^

ممكنـ تشرحـ لي وشلون تحليل التقرير :b:

وايشـ معنى اخترتـ هذا الملفـ بالذاتـ C:\WINDOWS\svcadmin.exe
وليسـ C:\WINDOWS\system32\Restore\SVCHOST.EXE
وليسـ C:\WINDOWS\system32\TSTMON_N.EXE

:no::no:
وينكـ خبيرنا ليشـ ما رديتـ على استفساري
 
شكرا و لكن لم مازل المشكل قائما اما بالنسبة للبرنامج
screenshot_small.jpg

فأنا من ثبته
و إذا اردتم حملت لكم الفيروس لمعرفته
فأنا استطيع حذفه قبل دخوله للجهاز و لكن المشكلة هي بعد دخوله يختفي
ويصير يعمل كلما اعدت تشغيل النظام
للعلم فإن الفيروس مكون من ملفينautorun.exe وautorun.inf
مع العلم اني قضيت على ملف الأوتوران الخاص به في كل الأقراص
و لكن يعمل كلما اعدت تشغيل الجهاز
و يدخل في الريجستري و يسمي الكمبيوتر بإسمه POISON 1 AVRIL


كما قلت اني جربت كل انواع المضادات بالتحديث
فهو يمكن القبض عليه قبل الدخول و لكن بعدما يدخل تقع المشكلة
فهو يتغلغل في النظام و يقم بنسخ ملفين في cوdوe ..... الملفين هماautorun.exe وautorun.inf


للعلم فلقد قمت بحذف هذين الملفين ولكن الملفين يعودان كلما اعدت تشغيل الجهاز



 
شكرا و لكن لم مازل المشكل قائما اما بالنسبة للبرنامج


screenshot_small.jpg

فأنا من ثبته
و إذا اردتم حملت لكم الفيروس لمعرفته
فأنا استطيع حذفه قبل دخوله للجهاز و لكن المشكلة هي بعد دخوله يختفي
ويصير يعمل كلما اعدت تشغيل النظام
للعلم فإن الفيروس مكون من ملفينautorun.exe وautorun.inf
مع العلم اني قضيت على ملف الأوتوران الخاص به في كل الأقراص
و لكن يعمل كلما اعدت تشغيل الجهاز
و يدخل في الريجستري و يسمي الكمبيوتر بإسمه POISON 1 AVRIL

كما قلت اني جربت كل انواع المضادات بالتحديث
فهو يمكن القبض عليه قبل الدخول و لكن بعدما يدخل تقع المشكلة
فهو يتغلغل في النظام و يقم بنسخ ملفين في cوdوe ..... الملفين هماautorun.exe وautorun.inf


للعلم فلقد قمت بحذف هذين الملفين ولكن الملفين يعودان كلما اعدت تشغيل الجهاز

ارفع الفيروس وارسله برسالة مستعجلة هنا

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي
#
 
كلنا محتاجين هالفايرس
نبي نعرف كل مساراته ...

ياليت ترسله لي برسالة خاصة .
 
توقيع : fahd
الحالة
مغلق و غير مفتوح للمزيد من الردود.
عودة
أعلى