محمود ممدوح سعيد
زيزوومي جديد
غير متصل
بسم الله الرحمن الرحيم
انا يا شباب شاكك ان يكون عندى تروجان على جهاز يجعل احد يتجسس على انا سابقاً كان عندى عده باتشات وسيرفرات وما الى غير ذلك على نسختى القديمه لانى لم اكن اهتم بالجهاز وخصوصاً وانكم تعرفون ان هذه المسائل اصبحت سهله وهى دمج تروجان او سيرفر اختراق فى برنامج
المهم قمت بتنصيب الافيرا وقمت بعمل اسكان للجهاز ولم يكتشف لى شئ خطير بعض الادوات التى يكتشفها لى كل مره وهى ليست خطيره مثل combo fix او اى ملف كيجن او كراك به تروجان لم يكتشف لى اى شئ اخر فقمت بعد الاسكان والفحص وازاله اى ملفات ضاره بازل النسخه السابقه قمت بتنصيب نسخه ويندوز اكس بى اخرى نظيفه وقمت بتنصيب الافيرا وقمت بتنصيب ايضاً الديب فريز ولا اوقفه ابداً الا فى حاله عمل ابديت للانتى فيرس او نسخ او اضافه ملفات ثم اجعله يعمل مره اخرى
حتى اكون فى امان ولكن الاحظ انه يوجد بعض من المظاهر عندى التى كانت تحدث لى عندما كان جهازى ملئ بالسيرفرات والتروجان وهى
اولاً وجود ملف Explorer.exe وهو مهم لكنه يوجد واحد اساسى للنظام ويوجد ملف مثله تماماً واذا قمت بالغاءه من التاسك بار لا يؤثر فى شئ ولكنه يرجع للعمل مره اخرى بجانب الاساسى
وهذه صور
من Taskmanager
الموضع عليهم النجمه الحمراء
من procexp
الموضع عليها علامه الصح
فانا اشك ان تكرار هذا الملف قد يكون باتش يقوم بالتنصنت على ما اكتبه او احد برامج الكى لوجر او برامج الاختراق المنتشره ويكون مشفر فلا تستطيع برامج الحمايه اكتشافه
وهذا تقرير عن الجهاز
مع العلم اوقات اجد ان التاريخ او الوقت للجهاز قد تغير عندما اغلق الجهاز لمده طويله لا اعرف صراحه هل هذا سببه بطاريه ال cmos قد تكون تحتاج للاستبدال باخرى او قد يكون هذا عمل التروجان مع العلم انه يحتفظ بباقى الاشياء مثل كلمات السر على Bios و ترتيبات الاقلاع للجهاز
اريدكم ان تخبرونى هل هذا الامر طبيعى ام ماذا
واسف على الاطاله
انا يا شباب شاكك ان يكون عندى تروجان على جهاز يجعل احد يتجسس على انا سابقاً كان عندى عده باتشات وسيرفرات وما الى غير ذلك على نسختى القديمه لانى لم اكن اهتم بالجهاز وخصوصاً وانكم تعرفون ان هذه المسائل اصبحت سهله وهى دمج تروجان او سيرفر اختراق فى برنامج
المهم قمت بتنصيب الافيرا وقمت بعمل اسكان للجهاز ولم يكتشف لى شئ خطير بعض الادوات التى يكتشفها لى كل مره وهى ليست خطيره مثل combo fix او اى ملف كيجن او كراك به تروجان لم يكتشف لى اى شئ اخر فقمت بعد الاسكان والفحص وازاله اى ملفات ضاره بازل النسخه السابقه قمت بتنصيب نسخه ويندوز اكس بى اخرى نظيفه وقمت بتنصيب الافيرا وقمت بتنصيب ايضاً الديب فريز ولا اوقفه ابداً الا فى حاله عمل ابديت للانتى فيرس او نسخ او اضافه ملفات ثم اجعله يعمل مره اخرى
حتى اكون فى امان ولكن الاحظ انه يوجد بعض من المظاهر عندى التى كانت تحدث لى عندما كان جهازى ملئ بالسيرفرات والتروجان وهى
اولاً وجود ملف Explorer.exe وهو مهم لكنه يوجد واحد اساسى للنظام ويوجد ملف مثله تماماً واذا قمت بالغاءه من التاسك بار لا يؤثر فى شئ ولكنه يرجع للعمل مره اخرى بجانب الاساسى
وهذه صور
من Taskmanager
الموضع عليهم النجمه الحمراء
من procexp
الموضع عليها علامه الصح
فانا اشك ان تكرار هذا الملف قد يكون باتش يقوم بالتنصنت على ما اكتبه او احد برامج الكى لوجر او برامج الاختراق المنتشره ويكون مشفر فلا تستطيع برامج الحمايه اكتشافه
وهذا تقرير عن الجهاز
Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 10:43:53 ص, on 30/09/2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal
Windows folder: C:\WINDOWS
System folder: C:\WINDOWS\SYSTEM32
Hosts file: C:\WINDOWS\System32\drivers\etc\hosts
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\Program Files\Faronics\Deep Freeze\Install C-0\DFServ.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Internet Download Manager\IDMan.exe
C:\Program Files\Internet Download Manager\IEMonitor.exe
C:\Program Files\Faronics\Deep Freeze\Install C-0\_$Df\FrzState2k.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Mozilla Firefox\plugin-container.exe
C:\Program Files\K-Lite Codec Pack\Media Player Classic\mpc-hc.exe
C:\WINDOWS\system32\msiexec.exe
C:\Program Files\Trend Micro\HiJackThis\HiJackThis.exe
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = wmplayer.exe //ICWLaunch
O2 - BHO: IDM Helper - {0055C089-8582-441B-A0BF-17B458C2A3A8} - C:\Program Files\Internet Download Manager\IDMIECC.dll (filesize 197984 bytes, MD5 35C9006DBD5099B5FB61991EE3F1F3CE)
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exeC:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [IDMan] C:\Program Files\Internet Download Manager\IDMan.exe /onboot (filesize 3241312 bytes, MD5 9FCB50CFA6606315F58A8704EF343879)
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Download all links with IDM - C:\Program Files\Internet Download Manager\IEGetAll.htm (filesize 283 bytes, MD5 648E7B2602158D2FF9197D664F59B28B)
O8 - Extra context menu item: Download FLV video content with IDM - C:\Program Files\Internet Download Manager\IEGetVL.htm (filesize 278 bytes, MD5 0474B49F5F2AD77C0A191C570818CB4D)
O8 - Extra context menu item: Download with IDM - C:\Program Files\Internet Download Manager\IEExt.htm (filesize 277 bytes, MD5 7EE0CC294B365F8FC4FAB2F06E01AC95)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (filesize 1667584 bytes, MD5 B53343FE60A33EE765C2476D50D27B26)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (filesize 1667584 bytes, MD5 B53343FE60A33EE765C2476D50D27B26)
O20 - Winlogon Notify: DfLogon - LogonDll.dll (file missing)
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll (filesize 1022976 bytes, MD5 B99FF349BF53BD91FBDDCD6B1EDE8980)
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll (filesize 1022976 bytes, MD5 B99FF349BF53BD91FBDDCD6B1EDE8980)
O23 - Service: Avira AntiVir Scheduler (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exeC:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exeC:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: DFServ - Faronics Corporation - C:\Program Files\Faronics\Deep Freeze\Install C-0\DFServ.exeC:\Program Files\Faronics\Deep Freeze\Install C-0\DFServ.exe
--
End of file - 4326 bytes
Scan saved at 10:43:53 ص, on 30/09/2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal
Windows folder: C:\WINDOWS
System folder: C:\WINDOWS\SYSTEM32
Hosts file: C:\WINDOWS\System32\drivers\etc\hosts
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\Program Files\Faronics\Deep Freeze\Install C-0\DFServ.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Internet Download Manager\IDMan.exe
C:\Program Files\Internet Download Manager\IEMonitor.exe
C:\Program Files\Faronics\Deep Freeze\Install C-0\_$Df\FrzState2k.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Mozilla Firefox\plugin-container.exe
C:\Program Files\K-Lite Codec Pack\Media Player Classic\mpc-hc.exe
C:\WINDOWS\system32\msiexec.exe
C:\Program Files\Trend Micro\HiJackThis\HiJackThis.exe
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
يجب عليك
تسجيل الدخول
او
تسجيل لمشاهدة الرابط المخفي
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =
يجب عليك
تسجيل الدخول
او
تسجيل لمشاهدة الرابط المخفي
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =
يجب عليك
تسجيل الدخول
او
تسجيل لمشاهدة الرابط المخفي
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
يجب عليك
تسجيل الدخول
او
تسجيل لمشاهدة الرابط المخفي
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = wmplayer.exe //ICWLaunch
O2 - BHO: IDM Helper - {0055C089-8582-441B-A0BF-17B458C2A3A8} - C:\Program Files\Internet Download Manager\IDMIECC.dll (filesize 197984 bytes, MD5 35C9006DBD5099B5FB61991EE3F1F3CE)
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exeC:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [IDMan] C:\Program Files\Internet Download Manager\IDMan.exe /onboot (filesize 3241312 bytes, MD5 9FCB50CFA6606315F58A8704EF343879)
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Download all links with IDM - C:\Program Files\Internet Download Manager\IEGetAll.htm (filesize 283 bytes, MD5 648E7B2602158D2FF9197D664F59B28B)
O8 - Extra context menu item: Download FLV video content with IDM - C:\Program Files\Internet Download Manager\IEGetVL.htm (filesize 278 bytes, MD5 0474B49F5F2AD77C0A191C570818CB4D)
O8 - Extra context menu item: Download with IDM - C:\Program Files\Internet Download Manager\IEExt.htm (filesize 277 bytes, MD5 7EE0CC294B365F8FC4FAB2F06E01AC95)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (filesize 1667584 bytes, MD5 B53343FE60A33EE765C2476D50D27B26)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (filesize 1667584 bytes, MD5 B53343FE60A33EE765C2476D50D27B26)
O20 - Winlogon Notify: DfLogon - LogonDll.dll (file missing)
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll (filesize 1022976 bytes, MD5 B99FF349BF53BD91FBDDCD6B1EDE8980)
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll (filesize 1022976 bytes, MD5 B99FF349BF53BD91FBDDCD6B1EDE8980)
O23 - Service: Avira AntiVir Scheduler (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exeC:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exeC:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: DFServ - Faronics Corporation - C:\Program Files\Faronics\Deep Freeze\Install C-0\DFServ.exeC:\Program Files\Faronics\Deep Freeze\Install C-0\DFServ.exe
--
End of file - 4326 bytes
مع العلم اوقات اجد ان التاريخ او الوقت للجهاز قد تغير عندما اغلق الجهاز لمده طويله لا اعرف صراحه هل هذا سببه بطاريه ال cmos قد تكون تحتاج للاستبدال باخرى او قد يكون هذا عمل التروجان مع العلم انه يحتفظ بباقى الاشياء مثل كلمات السر على Bios و ترتيبات الاقلاع للجهاز
اريدكم ان تخبرونى هل هذا الامر طبيعى ام ماذا
واسف على الاطاله
