فيروس لعب بحسبت الجهاز

[al_saher_2000]

بسـم الله الرحمن الرحيم​

السلام عليكم ورحمه الله وبركاته​

جزاكم الله على هالمنتدى الجبار بادرته واعضائه الحلوين​

اخواني ماطول عليكم​

المشكلة عندي بالجهاز ان فيه فيروس autoren.inf وسويت كل الحلول الممكنة لقضاء علية​

من الحلول اللي بهالمنتدى والحلول اللي بغير هالمنتدى.​

فرمت الجهاز عند محل صيانة كمبيوتر الجمعة الماضية واستلمته يوم الاربعاء (اللي قبل يومين) واشغل​

الجهاز الا الجهاز كويس ماشفت فيه مشاكل لقيت تعريف الشاشة مو متعرف وعرفته وكم برنامج ناقص​

نزلته (طبعن البرامج الاساسيه) مع العلم ان مافي برنامج حماية وان شغال على الجهاز بدون نت.​

المهم معي فلاش مموري واحطه بالجهاز الا الفلاش اظن فيه فيروس , مع العلم ان صاحب المحل سوى سكان للفلاش ويقول الفلاش نظيف.​

بعد الزحمه كله لحد الحين الجهاز مافية مشكلة طفيت الجهاز وسويت أعادة تشغيل الا الجهاز مو​

راضي يشتغل , رجعت الجهاز للمحل بعد مااطلع علية قال جهازك فية فيروس من النوع autoren.inf​

المهم نزلته عليه امس العصر وقال تعال الساعة 10 وجيته على الموعد شغلت الجهاز الساعة 11 لحد​

الحين الجهاز حلو قلت ياولد اروح لوحد من الشباب عنده نت عشان احدث برنامج الحماية الا الجهاز​

فصل ماصار يشتغل , فرمت الجهاز مع صاحبي وضبط بس المشكلة مو قادر احذف البرنامج​

مع اني جربت كل البرامج المختصة لحذف هالفيروس بس شكله حامي نفسه لان كل برنامج حماية​

اشغله يقول خطا واذا اشتغل مايحصل شي والحين الجهاز اجي ادخل على مستخدم حق الجهاز يدخل​

واشوف سطح المكتب ويسوي تسجيل خروج على طول والمستخدم الثاني نفس المشكلة​

الحل ياأخوان انا ارجعه لمحل الصيانة والا الحل مع هالمشكلة العويصة (مع العلم اني مافضى غير خميس وجمعة) والا في فيروس غير هالفيروس بس مو عارفه​

هالجهاز يايحوس مخي يا احوس معالجة ​

 

[king_man]

اعمل تقرير للهايجاك

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

اذا انتهى التحميل ==> شغل البرنامج ==> واضغط على Do a system scan and save log
لحظات .. ويظهر لك تقرير اعمل تحديد الكل ==> انسخه والصقه بردك القادم​

​

​

​

 

[al_saher_2000]

اخوي اشكرك على ردك ومحاوله المساعدة

بس المشكلة الحين الجهاز يدخل المستخدم ويطلع على طول من المستخدم ماقدر اسوي شي

 

[kemo_2009]

هذا حل لمشكلة الفيروسات لديك

طريقة لمنع الفايروس المنتشر واللي يسبب مشاكل في الاجهزة ونحلها بدون الفورمات


اولا ..

اسم الفايروس ومعلومات عنه
هو يحتوي على اصدارات كثيره (له عائله كبيره من الاصدارات) ,, وبداية اول ظهور له كان بتاريخ 1-8-2005 والي وقتنا هذا ولا زال يصدر اصدارات جديده ,, وبإسماء مختلفه ويصيب الكثير من الاجهزه ,,

:: اسماء الاصدارات من هذا الفايروس ::
W32/Lebreat-E
W32/Brontok-E
W32/Brontok-D
W32/Brontok-E
W32.Rontokbro.K@mm
W32/Brontok-D
W32/Brontok-G
W32/Brontok-G
W32/Brontok-J
W32/Brontok-J
W32/Brontok-L
W32/Brontok-L
W32/Rontokbro.gen@MM

:: متى يصيبنا هذا الفايروس ::

- عدم تحميل تحديثات الويندوز لتقفل ثغرات الويندوز و الاكسبلورر
- عدم تحديث برامج الانتي فايروس من وقت طويل
- الانتي فايروس الذي لديك ضعيف ولا يستطيع كشف مثل هذه الفايروسات
- الفايروس ذو اصدار جديد ولم يتم كشفه من قبل برامج الانتي فايروس
- عدم وجود بجهازك انتي فايروس

:: طريقة انتشاره ::

طريقه انتشاره ,, يقوم بإرسال نفسه الي عناوين البريد ,, التي يحصل عليها عن طريق البحث في صفحات الانترنت ,, او عن طريق الفلاش ممري او سي دي مصاب

:: ماهي واضراره ::

1- يتم اعادة التشغيل بمجرد تحميل ملف تنفيذي (برنامج مثلا)
2- يتم اعاده التشغيل عند محاولة الدخول الي الدوس
3- يقوم بتعطيل الرجستري ,, أي لان تستطيع الدخول الي الرجستري
4- يقوم بوضع صفحات ويب في مستنداتك وجهازك بخلفيه خضراء ,, وبها كلام سيء
5- يقوم بنشر ونسخ نفسه بشكل سريع في مجلداتك تصل نسخه ,, الي الالف النسخ
6- بطء شديد في الجهاز وتهنيق ملحوظ
7- يقوم باخفاء خيار ( خيارات المجلد ) من قائمة أدوات
8- يقوم بنسخ نفسه على هئيه صورة مجلد ,, ولكن هو في الحقيقه ليس مجلد وانما هو تطبيق ولكن بصورة مجلد ,, وعند الدخول الي المجلد هذا فانك تقوم بمساعدته على نسخ نفسه اكثر ..

:: كيف نعرف بأن جهازنا مصاب بهذا الفايروس ::

هناك اربع طرق لمعرفه ما اذا كان بجهازك فايروس او لا ,,

:: الطريقه الاولى ::

قم بتحميل اي ملف ينتهى بـ exe على سبيل المثال اي برنامج مثلا ,, اذا قام الجهاز بإعاده التشغيل ,, فتأكد ان جهازك مصاب بهذا الفايروس

:: الطريقة الثانيه ::

أذهب الي اي مجلد ,, على سبيل المثال اذهب الي جهاز الكمبيوتر ,, ومن أعلى اختار (( أدوات )) ومن ثم ,, انظر على القائمة المنسدله هل يوجد بها (( خيارات المجلد )) ,, أذا لم يكن موجود فأنت مصاب بهذا الفايروس

:: الطريقة الثالثه ::

أذهب الي (( ابدأ )) ومن ثم (( تشغيل )) وأكتب (( regedit )) ,, أذا ظهر لديك رساله خطأ فاذا أنت مصاب بالفايروس

:: الطريقه الرابعه ::

أذهب الي (( ابدأ )) ومن ثم (( تشغيل )) وأكتب (( cmd )) اذا اعاد الجهاز التشغيل أذا أنت مصاب بالفايروس

ماهو الحل لحذف هذا الفايروس ؟

الحل ,, هو أن تقوم بتحميل هذا الملف (( وجمعت فيه لكم 3 أدوات )) ,, وجميعها مختصه لحذف هذا الفايروس

حمل الاداوت التالية وان شاء الله تنحل مشكلة الفيروسات
بعدما حذفنا الفايروس بواسطه هذة الادوات ,, نقوم باعاده التشغيل ,, ونذهب ونطبق الخطوات الاربع التي تم ذكرها بالاعلى ,, لتتأكد ان جهازك اصبح خاليا من هذا الفايروس

:: تحميل الأدوات من رابيد شير::


:: طريقه فحص الجهاز بالكامل لتأكد من خلوه من اي بقايا للفايروس ::
طبعا هذه الخطوه ليست مقتصره على هذا الفايروس بالتحديد ,, ولكن استخدم هذا الفحص لتأكد من خلو , جهازك من جميع الفايروسات والتروجونات

حمل الاداوت من هنا

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

بالنسبة لمشكلة اعادة التشغيل جاري البحث عن الموضوع

 

[kemo_2009]

اخوي اشكرك على ردك ومحاوله المساعدة

بس المشكلة الحين الجهاز يدخل المستخدم ويطلع على طول من المستخدم ماقدر اسوي شي

وهو يستغل ثغرة في نظام الأمان لويندوز
ويستغل البروتوكول المدعو RPC

هذه الدودة الفايروسية لها عدة أسماء
W32.Blaster.Worm
W32/Lovsan.worm
WORM_MSBLAST.A

و تصيب الأنظمة التالية
Microsoft Windows Server 2003, 64-Bit Enterprise Edition
Microsoft Windows Server 2003, Enterprise Edition
Microsoft Windows Server 2003, Standard Edition
Microsoft Windows XP Professional
Microsoft Windows XP Home Edition
Microsoft Windows XP Media Center Edition
Microsoft Windows XP Tablet PC Edition
Microsoft Windows 2000 Advanced Server
Microsoft Windows 2000 Professional
Microsoft Windows 2000 Server
Microsoft Windows NT Server 4.0
Microsoft Windows NT Server 4.0 Terminal Server Edition
Microsoft Windows NT Workstation 4.0


المعلومات المتوفرة حاليا عن الفيروس هي كالتالي
الفيروس بدأ انتشاره منذ ساعات الظهيرة الأولى من يوم الأثنين
والذي أخذ مؤقتا الأسم : "RPC DCOM",
الـ RPC هو أحدى الخدمات المسؤولة عن بعض العمليات والتمهيدات في الأجهزة ويعمل على المنفذ رقم 135
الهجمة هذه التي بدأت مساء الامس
تصيب أحد الثغرات الحساسة لأنظمة ميكروسوفت
ونظام الأكس بي يصل المستخدم والتعريف الأفتراضي
للخدمة هذه - RPC - هو
إعادة تشغيل النظام في حالة حدوث فشل
في هذا النوع من الخدمة

ولهذا الحل الأضافي هو اضافة
فايير وول FIREWALL الذي يمكنه حجب هذا المنفذ - 135

أما عن الأضرار فمؤقتا
لا ضرر للفيروس سوى الأزعاج
وإعادة تشغيل الجهاز


المعلومات الأخيرة حول الفيروس
بحسب المختصين بأنظمة الحماية - هذا الهجوم للفيروس
ما هو إلا المرحلة الأولى
أما في المرحلة الثانية فسيقوم الفيروس بمهاجمة موقع التحديثات التابع لشركة ميكروسوفت بتاريخ 16/8/2003
بحيث يتم إغراق هذا الموقع بالطلبات
(من قبل الأجهزة المصابة)
بهجمة واحدة مدبرة مما يؤدي إلى تعطيله

والطريف في الأمر أن ميكروسوفت قامت بتاريخ
16/7/2003 بطرح تحديث يعالج المشكلة
(من أجرى التحديث قبل تاريخ
11/8/2003 فلا خوف على جهازه)
داخل كود الفيروس
(والذي صنفته شركة سيمانتيك بدرجة خطورة 5/4)
هناك رسالة لبيل جيتس تقول
" بيل جيتس، كيف تسمح بهذا ؟
توقف عن جمع المال وأصلح برنامجك" !!

هاذي طريقه سهله لحذفـه وبدون أي برامج وغثـــــا ..


الطـريقه كــــــــالتالي ::

اضغط اليمين بالماوس على شريط المهام بعدين مدير المهام ..

بعدها ادخل على خيار العمليات ..

تلقى ملف اسمه msblast.exe اضغط عليه بعدين انهاء العمليه
ثم

ابدأ>> بحث >> عن ملفات ومجلدات
وادخل هذا الاسم msblast.exe

وبعد الانتهاء من البحث بيظهر لك ملف الفايروس بنفس الاسم على طول احذفه

وبعدين Restart للجهاز ...

إذا أصاب الفيروس جهازك:

أبحث في جهازك عن ملف يدعى بــ msblast.exe ، وقم بحذفه. إذا لم يتم الحذف أغلق الملف من الــ (Task manager) . أو بمساعدة برامج مثل EndItAll.
يمكنكم تحميله من هنا :

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

أغلق الملف وابحث عنه من جديد كي تحذفه.

وهذا التحديث الآخير للنورتون والذي يحوي تحديث ازالة هذا الفيروس:

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

load/us-files/20030811-019-i32.exe
------------------------------------------------


هذا حل جديد لمن لم يتمكن من إزالة الفايروس اللعين:

أدخل لوحة التحكم --------> أدوات إدارية ------> خدمات

تحت الأسم أبحث عن (Remote procedure call RPC)

أنقر عليه بزر الفأر الأيمن -------> خصائص --------> الأسترداد

في "الفشل الأول" و"الفشل الثاني" و"الفشل اللاحق" بدل (إعادة تشغيل الكمبيوتر) بــ " إعادة تشغيل الخدمة".

موافق . أعد تشغيل الجهاز وسينتهي هذا الكابوس المزعج إن شاء الله.

وانا استخدم برنامج الجدار النارى BLACKICE --- (اضغط هنا) (

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

) لاغلاق المنفذ 135 و هو فعال جداً

و السلام عليكم و رحمه الله و بركاته

 

[al_saher_2000]

جاري التحميل ومشكور على هالشرح الجميل

 

[kemo_2009]

جاري التحميل ومشكور على هالشرح الجميل

العفو...

 

[kemo_2009]

حل اخر
مشكلة ظهرت لدى ويندوز إكس بي

والحل كالتالي للذين يحملون الويندوز إكس بي الإنجليزي مع ملاحظة (( يجب أن تكون سريعا !

1) شغل الويندوز إكس بي ،،،
2) ثم قم بالضغط على زر Start ،،،
3) ثم إختر Run
4) ثم أكتب ما يلي ،،، Services.msc ،،، ثم إضغط Enter ،،،
5) ثم إختر Standard ،،،
6) ثم إبحث عن Remote Procedure Call (Rpc) بأسرع ما يمكن
7) ثم ستحصل على إسمين متطابقين تماما وهدفنا هو الإسم الأول ،،،
8) ثم قم بنقر الماوس مرة واحدة على الإسم الأول المراد ،،، ثم إضغط على يمين الماوس وإختر Properties
9) ثم ستظهر لك شاشة ،،، قم بإختيار Recovery ،،،
10) ثم ضع الإختيارات الثلاثة الأولى كلها Take no action ،،،
11) ثم إضغط على Apply ثم Ok ،،،


** وبعد اتمام كل الخطوات من 1 الى 13 وتركيب الباتش ... قم بإعادة تشغيل الجهاز ... ثم إدخل للنت وشوف اذا تظهر الرسالة أو .. لأ


12) ثم أعد تشغيل الجهاز
.
13قم بتحميل ملف التحديث المطروحتين في الأسفل بحسب (( لغة

الويندوز )) لديه ،،،

لا تقم بهذي الخطوه
12)&13 إلا بعد التاكد ان الفيروس قد إختفي من الجهاز .... وأن رسالة إعادة التشغيل لم تعد تظهر

وبعد اتمام كل الخطوات من 1 الى 13 وتركيب الباتش ... قم بإعادة تشغيل الجهاز ... ثم إدخل للنت وشوف اذا تظهر الرسالة أو .. لأ

 

[kemo_2009]

حل أخر ومفيد جدا
الحديث عن فيروس جديد اسمه DCOM RPC أو ما أصبح يعرف بـ "W32.Blaster.Worm ".

وهو يستغل ثغرة في نظام الأمان لويندوز ويستغل البروتوكول المدعو RPC.للتخلص من الفايروس تابع المزيد



المعلومات المتوفرة حاليا عن الفيروس هي كالتالي:
الفيروس بدأ انتشاره منذ ساعات الظهيرة الأولى من يوم الأثنين والذي أخذ ، مؤقتا الأسم :
"RPC DCOM", الـ RPC هو أحدى الخدمات المسؤولة عن بعض العمليات والتمهيدات في الأجهزة
ويعمل على المنفذ رقم 135. الهجمة هذه التي بدأت مساء اليوم تصيب أحد الثغرات الحساسة لأنظمة ميكروسوفت.
ونظام الأكس بي يصل المستخدم والتعريف الأفتراضي للخدمة هذه - RPC - هو : إعادة تشغيل النظام في حالة
حدوث فشل في هذا النوع من الخدمة. هذه الخدمة متوفرة فقط في الأنظمة التالية
(أنظمة ويندوز): NT, 2000, XP, SERVER 2003 لذلك هذا الفايروس يصيب فقط الأجهزة التي فيها أنظمة التشغيل هذه.
ولهذا الحل الأضافي هو اضافة فايير وول FIREWALL الذي يمكنه حجب هذا المنفذ - 135.
أما عن الأضرار فمؤقتا لا ضرر للفيروس سوى الأزعاج، وإعادة تشغيل الجهاز.
إذا جد جديد فسأقوم بإعلامكم.

ما العمل؟
إذا لم تصب بالفيروس:

1- قم بتحديث النظام لديك أو حمل تحديث ميكروسوفت لنظامك من هنا:

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

أو رابط مباشر

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

2- اذا كنت تعمل مع نورتون تجد المشكلة والتحديث لأزالة الفيروس هنا:

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

إذا أصاب الفيروس جهازك:

أبحث في جهازك عن ملف يدعى بــ msblast.exe ، وقم بحذفه. إذا لم يتم الحذف أغلق الملف من الــ (Task manager)
. أو بمساعدة برامج مثل EndItAll.
يمكنكم تحميله من هنا :

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

أغلق الملف وابحث عنه من جديد كي تحذفه.

وهذا التحديث الآخير للنورتون والذي يحوي تحديث ازالة هذا الفيروس:

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

حل آخر فتاك للفيروس الجديد الذي يعيد التشغيل -

هذا حل جديد لمن لم يتمكن من إزالة الفايروس اللعين:

أدخل لوحة التحكم --------> أدوات إدارية ------> خدمات

تحت الأسم أبحث عن (Remote procedure call RPC)

أنقر عليه بزر الفأر الأيمن -------> خصائص --------> الأسترداد

في "الفشل الأول" و"الفشل الثاني" و"الفشل اللاحق" بدل (إعادة تشغيل الكمبيوتر) بــ " إعادة تشغيل الخدمة".

موافق . أعد تشغيل الجهاز وسينتهي هذا الكابوس المزعج إن شاء الله.

المعلومات الأخيرة حول الفيروس:
بحسب المختصين بأنظمة الحماية - هذا الهجوم للفيروس ما هو إلا المرحلة الأولى، أما في المرحلة الثانية
فسيقوم الفيروس بمهاجمة موقع التحديثات التابع لشركة ميكروسوفت بتاريخ 2003/08/16 بحيث يتم إغراق
هذا الموقع بالطلبات (من قبل الأجهزة المصابة)، بهجمة واحدة مدبرة، مما يؤدي إلى تعطيله .
والطريف في الأمر أن ميكروسوفت قامت بتاريخ 2003/07/16 بطرح تحديث يعالج المشكلة
(من أجرى التحديث قبل تاريخ 2003/08/11 فلا خوف على جهازه).
داخل كود الفيروس (والذي صنفته شركة سيمانتيك بدرجة خطورة 5/4) هناك رسالة لبيل جيتس
تقول: " بيل جيتس، كيف تسمح بهذا؟ توقف عن جمع المال وأصلح برنامجك" !!
1- حمل الملف التالي:
رابط مباشر

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

2- قبل أن تشغل الملف يجب أن توقف خدمة إستعادة النظام وهى هامة جدا . وهي توقف كالتالي :
لإيقاف خدمة إستعادة النظام --
إبدأ
جهاز الكمبيوتر - إضغط عليه بزر الفأر الأيمن
خصائص
استعادة النظام
ضع علامة على turn off system restor
موافق
ولإستعادة الخدمة نفس الخطوات ولكن إحذف العلامة
وهذه خاصة بويندوز xp

3- شغل الملف الذي حملته.
سيقوم بالبحث عن الفايروس اللعين. فاذا وجده سيقوم بحذفه

وأما اذا لم يحذفه فقم بتشغيل الملف في "الوضع الآمن". بعد أن ينهي البرنامج يعمله
سيطالبك بفتح صفحة في متصفحك توصلك إلى موقع تحديثات ويندوز. حمل التحديث الملائم.
عندها سيكون كل شيئ على ما يرام.

للتفاصيل زوروا موقع الشركة ومنه أيضا تستطيعون تحميل البرنامج المدعو: FIXBLAST:

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

مشكلة اعادة التشغيل للكثير من مستخدمي الانترنت امس

رساله كل 5 دقائق تطلع ومكتوب فيها سوف يتم اعادة التشغيل خلال 6 ثانيه

بعد الفحص والتدور لقيت الحل نازل من شهر في موقع مايكروسوفت وهوا باتش صغير تنزله حجمه 1.23 ميقاا

وبعدا بتنحل المشكله

الموقع

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

بتلقى على يدك اليمين Download واختار الغه وكليك على داون لود

ان شاء الله تنحل المشكلة

 

[al_saher_2000]

اخوي يعطيك العافية على هالحلول لكن مشكلتي الحين موقادر ادخل على الجهاز حتى اجرب حلولك واعطيك تقرير.

حتى بوضع الامن ادخل الادمن يدخل ويطلع من المستخدم.

 

[al_saher_2000]

أخوي سويت فرمته للجهاز وهذا تقرير بعد الفرمته​

logfile of trend micro hijackthis v2.0.2
scan saved at 06:42:48 م, on 10/06/2009
platform: Windows xp sp2 (winnt 5.01.2600)
msie: Internet explorer v6.00 sp2 (6.00.2900.2180)
boot mode: Normal
running processes:
C:\windows\system32\smss.exe
c:\windows\system32\winlogon.exe
c:\windows\system32\services.exe
c:\windows\system32\lsass.exe
c:\windows\system32\svchost.exe
c:\windows\system32\svchost.exe
c:\windows\system32\spoolsv.exe
c:\windows\system32\wuauclt.exe
c:\windows\explorer.exe
c:\windows\system32\wscntfy.exe
c:\windows\system32\msiexec.exe
c:\windows\system32\ctfmon.exe
f:\برامج ويندز\hijackthis لسد ثغرات النظام\setup.exe
o4 - hkcu\..\run: [ctfmon.exe] c:\windows\system32\ctfmon.exe
o4 - hkcu\..\run: [cdoosoft] c:\windows\system32\olhrwef.exe
o4 - hkus\s-1-5-19\..\run: [ctfmon.exe] c:\windows\system32\ctfmon.exe (user 'local service')
o4 - hkus\s-1-5-20\..\run: [ctfmon.exe] c:\windows\system32\ctfmon.exe (user 'network service')
o4 - hkus\s-1-5-18\..\run: [ctfmon.exe] c:\windows\system32\ctfmon.exe (user 'system')
o4 - hkus\.default\..\run: [ctfmon.exe] c:\windows\system32\ctfmon.exe (user 'default user')
o9 - extra button: Messenger - {fb5f1910-f110-11d2-bb9e-00c04f795683} - c:\program files\messenger\msmsgs.exe
o9 - extra 'tools' menuitem: Windows messenger - {fb5f1910-f110-11d2-bb9e-00c04f795683} - c:\program files\messenger\msmsgs.exe
--
end of file - 1431 bytes​

وهذا التقرير بعد ماسويت برامج حذف الفيروس​

logfile of trend micro hijackthis v2.0.2
scan saved at 08:02:19 م, on 10/06/2009
platform: Windows xp sp2 (winnt 5.01.2600)
msie: Internet explorer v6.00 sp2 (6.00.2900.2180)
boot mode: Normal
running processes:
C:\windows\system32\smss.exe
c:\windows\system32\winlogon.exe
c:\windows\system32\services.exe
c:\windows\system32\lsass.exe
c:\windows\system32\svchost.exe
c:\windows\system32\svchost.exe
c:\windows\explorer.exe
c:\windows\system32\spoolsv.exe
c:\program files\avira\antivir personaledition classic\sched.exe
c:\program files\avira\antivir personaledition classic\avguard.exe
c:\program files\avira\antivir personaledition classic\avgnt.exe
c:\windows\system32\ctfmon.exe
f:\برامج ويندز\hijackthis لسد ثغرات النظام\setup.exe
f2 - reg:system.ini: Shell=explorer.exe
f2 - reg:system.ini: Userinit=userinit.exe
o4 - hklm\..\run: [avgnt] "c:\program files\avira\antivir personaledition classic\avgnt.exe" /min
o4 - hkcu\..\run: [ctfmon.exe] c:\windows\system32\ctfmon.exe
o4 - hkcu\..\run: [cdoosoft] c:\windows\system32\olhrwef.exe
o4 - hkus\s-1-5-19\..\run: [ctfmon.exe] c:\windows\system32\ctfmon.exe (user 'local service')
o4 - hkus\s-1-5-20\..\run: [ctfmon.exe] c:\windows\system32\ctfmon.exe (user 'network service')
o4 - hkus\s-1-5-18\..\run: [ctfmon.exe] c:\windows\system32\ctfmon.exe (user 'system')
o4 - hkus\.default\..\run: [ctfmon.exe] c:\windows\system32\ctfmon.exe (user 'default user')
o6 - hkcu\software\policies\microsoft\internet explorer\control panel present
o6 - hklm\software\policies\microsoft\internet explorer\control panel present
o9 - extra button: Messenger - {fb5f1910-f110-11d2-bb9e-00c04f795683} - c:\program files\messenger\msmsgs.exe
o9 - extra 'tools' menuitem: Windows messenger - {fb5f1910-f110-11d2-bb9e-00c04f795683} - c:\program files\messenger\msmsgs.exe
o23 - service: Avira antivir personal – free antivirus scheduler (antivirscheduler) - avira gmbh - c:\program files\avira\antivir personaledition classic\sched.exe
o23 - service: Avira antivir personal – free antivirus guard (antivirservice) - avira gmbh - c:\program files\avira\antivir personaledition classic\avguard.exe
--
end of file - 2202 bytes​

اخوي في حاجة بعد قبل لا انساها في اشياء اظنها تبع الفيروس احذفه ترجع وهذي صوره​

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

وفي مجلدات بكل الهاردات وموجوده بالاسامي هذي
RECYCLER هذا المجلد احذفه لكن الوينوز مايقدر يحذفه​

System Volume Information اما المجلد هذا احذفه بس ماينحذف ( ويجي اختصار لهارد اللي فيه مثل المجلدات اللي في الدي يرجع يدخل عليهن الى مالا نهاية)​

هذا اللي استجد بالموضوع​

واسف لاني رجعت فتحت الموضوع لان بكل اسف مااستطيع افضي حالي غير خميس وجمعة​

 

[kemo_2009]

أخوي سويت فرمته للجهاز وهذا تقرير بعد الفرمته​

وهذا التقرير بعد ماسويت برامج حذف الفيروس​

اخوي في حاجة بعد قبل لا انساها في اشياء اظنها تبع الفيروس احذفه ترجع وهذي صوره​

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

وفي مجلدات بكل الهاردات وموجوده بالاسامي هذي
RECYCLER هذا المجلد احذفه لكن الوينوز مايقدر يحذفه​

System Volume Information اما المجلد هذا احذفه بس ماينحذف ( ويجي اختصار لهارد اللي فيه مثل المجلدات اللي في الدي يرجع يدخل عليهن الى مالا نهاية)​

هذا اللي استجد بالموضوع​

واسف لاني رجعت فتحت الموضوع لان بكل اسف مااستطيع افضي حالي غير خميس وجمعة​

لا تحذف هذه الملفات لان هذه ملفات نظام
مهم جدا جدا جدا لا تحذفها
المجلد هذا RECYCLER هو سلة المحذوفات والملفات التي قمت بحذفها
اما بالنسبة للملف هذا System Volume Information فهو ملف به اعدادات النظام لا تقم بحذفه

وبالنسبة لتقرير الهيجاك
احذف التالي

o6 - hklm\software\policies\microsoft\internet explorer\control panel present

o4 - hkcu\..\run: [cdoosoft] c:\windows\system32\olhrwef.exe

طريقة الحذف
​

​

​

وايضا قم بالدخول على هذه المواضيع وان شاء الله تستفيد

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

وحمل هذا الملف

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

 

[al_saher_2000]

الله يعطيك العافية

اسوي اللي قلته وارد لك

أخوي الله يبض وجهك دنيا واخره ويفتحه بوجهك

ماقصرت معي بشي

والجهاز ابشرك تمام و100% بــ 100%

لكن عند سؤال

الحين هالصيغة هذي gclwpivc.cmd وش تطلع لاانك لو تلاحظ اني حاذفها