حل مشكله فايروس infostealer

ا

الحليوه

زيزوومي نشيط
إنضم
17 نوفمبر 2007
المشاركات
158
مستوى التفاعل
0
النقاط
200
غير متصل
السلام عليكم
لدي مشكله في الجهاز ظهور الفايروس هذا infostealer والله متعبني كل ما افحص جهازي ببرنامج النورتن يقوم باكتشافه مع العلم كل ما احذفه اقوم بالفحص مرة اخرى اجده موجود والله متعبني مخلي تصفح الانترنت ثقيل مرة .
اريد المساعده من الاعضاء هذا المنتدى الرائع .
ولك مني جزيل الشكر .....
منتظر ردودكم .....................................
سلام
 

توقيع : الحليوه
ترتيب حسب التاريخ ترتيب حسب الأصوات
(1)
عطل جميع برامج الحماية ,,
وحمل هذه الاداة واحفظها على سطح المكتب
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

عند تشغيلها بتظهر لك رسالة ,, اضغط على >> Yes
بعدها بتظهر لك رساله ثانيه ,, اضغط على >> Yes
انتظر حتى الاداة تنتهي من فحص جهازك ,,, وبشكل تلقائي يعاد تشغيل جهازك ,,
وبعد اعادة التشغيل ,, سوف تبدأ الاداة بالفحص مرره ثانيه
انتظر حتى يظهر لك تقرير ,, انسخه والصقه بردك القادم
(2)
واعمل تقرير للهايجاك
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

اذا انتهى التحميل ==> شغل البرنامج ==> واضغط على Do a system scan and save log
لحظات ويظهر لك تقرير ,, انسخه والصقه بردك القادم

 
التعديل الأخير بواسطة المشرف:
توقيع : فارس الملاك
تأييد 0
ComboFix 08-07-29.1 - Administrator 2008-07-30 6:03:41.1 - FAT32x86
Microsoft Windows XP Professional 5.1.2600.2.1256.966.1033.18.697 [GMT 3:00]
Running from: C:\Documents and Settings\Administrator\Desktop\ComboFix.exe
* Created a new restore point
WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.
((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\Program Files\Common Files\Symantec Shared\VirusDefs\20020823.004\DESKTOP_.INI
C:\Program Files\Common Files\Symantec Shared\VirusDefs\20080319.003\DESKTOP_.INI
C:\Program Files\Common Files\Symantec Shared\VirusDefs\20080722.003\DESKTOP_.INI
C:\WINDOWS\regedit.com
C:\WINDOWS\system32\taskmgr.com
.
((((((((((((((((((((((((( Files Created from 2008-06-28 to 2008-07-30 )))))))))))))))))))))))))))))))
.
2008-07-30 05:33 . 2008-07-30 05:33 <DIR> d-------- C:\Documents and Settings\All Users\Application Data\Kaspersky Lab Setup Files
2008-07-30 02:00 . 2008-07-30 02:00 <DIR> d-------- C:\Program Files\Kaspersky Lab
2008-07-30 02:00 . 2008-03-17 23:39 <DIR> d-------- C:\Documents and Settings\All Users\Application Data\Kaspersky Lab
2008-07-30 01:59 . 2008-07-30 01:59 <DIR> d-------- C:\Documents and Settings\Administrator\Application Data\zMicroWorld_Anti_Virus
2008-07-30 01:59 . 2002-08-28 19:41 134,144 --a------ C:\WINDOWS\R.COM
2008-07-30 01:59 . 2002-08-28 19:41 128,512 --a------ C:\WINDOWS\system32\T.COM
2008-07-30 01:22 . 2008-07-30 01:22 <DIR> d-------- C:\Program Files\Unlocker
2008-07-29 10:16 . 2008-07-29 10:16 <DIR> d-------- C:\Program Files\Exterminate It!
2008-07-29 10:09 . 2008-07-29 10:09 <DIR> d-------- C:\Program Files\XoftSpy
2008-07-29 08:26 . 2008-07-29 08:26 <DIR> d-------- C:\Program Files\FinalData
2008-07-27 08:11 . 2008-07-27 08:11 <DIR> d---s---- C:\Documents and Settings\Administrator\UserData
2008-07-26 16:00 . 2008-07-26 16:00 <DIR> d-------- C:\Program Files\Trojan Remover
2008-07-26 15:17 . 2004-08-03 14:00 420,632 --a------ C:\WINDOWS\system32\wuapi.dll
2008-07-26 15:17 . 2004-08-03 14:03 186,136 --a------ C:\WINDOWS\system32\wuaueng1.dll
2008-07-26 15:17 . 2004-08-03 14:03 167,704 --a------ C:\WINDOWS\system32\wuaucpl.cpl
2008-07-26 15:17 . 2004-08-03 14:01 167,704 --a------ C:\WINDOWS\system32\wuauclt1.exe
2008-07-26 15:17 . 2004-08-03 13:59 120,288 --a------ C:\WINDOWS\system32\wuweb.dll
2008-07-26 15:17 . 2004-08-03 14:02 118,552 --a------ C:\WINDOWS\system32\wucltui.dll
2008-07-26 15:17 . 2004-08-03 13:59 39,704 --a------ C:\WINDOWS\system32\wups.dll
2008-07-25 00:56 . 2008-07-29 07:43 49 --a------ C:\WINDOWS\NeroDigital.ini
2008-07-24 16:48 . 2008-07-24 16:48 268 --ah----- C:\sqmdata05.sqm
2008-07-24 16:48 . 2008-07-24 16:48 244 --ah----- C:\sqmnoopt05.sqm
2008-07-24 13:15 . 2008-07-24 13:15 268 --ah----- C:\sqmdata04.sqm
2008-07-24 13:15 . 2008-07-24 13:15 244 --ah----- C:\sqmnoopt04.sqm
2008-07-24 08:21 . 2008-07-24 08:21 268 --ah----- C:\sqmdata03.sqm
2008-07-24 08:21 . 2008-07-24 08:21 244 --ah----- C:\sqmnoopt03.sqm
2008-07-24 08:14 . 2008-07-24 08:14 <DIR> d-------- C:\Documents and Settings\Administrator\Application Data\Media Player Classic
2008-07-24 08:10 . 2008-07-24 08:10 <DIR> d-------- C:\Program Files\Your Uninstaller 2008
2008-07-24 08:10 . 2008-07-24 08:10 <DIR> d-------- C:\Documents and Settings\All Users\Application Data\TEMP
2008-07-24 08:02 . 2008-07-24 08:02 268 --ah----- C:\sqmdata02.sqm
2008-07-24 08:02 . 2008-07-24 08:02 244 --ah----- C:\sqmnoopt02.sqm
2008-07-24 07:58 . 2008-07-24 07:58 268 --ah----- C:\sqmdata01.sqm
2008-07-24 07:58 . 2008-07-24 07:58 244 --ah----- C:\sqmnoopt01.sqm
2008-07-24 07:55 . 2008-07-24 07:55 268 --ah----- C:\sqmdata00.sqm
2008-07-24 07:55 . 2008-07-24 07:55 244 --ah----- C:\sqmnoopt00.sqm
.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-03-22 18:43 32 --sha-w C:\WINDOWS\{5116FD56-A2A4-476F-ABC6-22A8B2995BCB}.dat
2008-03-22 18:43 32 --sha-w C:\WINDOWS\system32\{2A431656-28C9-44DB-886F-B12CB8921ADC}.dat
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MsnMsgr"="C:\Program Files\MSN Messenger\MsnMsgr.Exe" [2007-01-19 12:55 5674352]
"IDMan"="C:\Program Files\Internet Download Manager\IDMan.exe" [2008-07-24 08:08 2594224]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ccApp"="C:\Program Files\Common Files\Symantec Shared\ccApp.exe" [2002-08-19 22:22 50880]
"ccRegVfy"="C:\Program Files\Common Files\Symantec Shared\ccRegVfy.exe" [2002-08-19 22:23 34504]
"TkBellExe"="C:\Program Files\Common Files\Real\Update_OB\realsched.exe" [2008-03-22 21:45 180269]
"UnlockerAssistant"="C:\Program Files\Unlocker\UnlockerAssistant.exe" [2006-09-07 20:19 15872]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2002-08-28 19:41 13312]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.vp31"= vp31vfw.dll

*Newly Created Service* - CATCHME
*Newly Created Service* - KLIF
*Newly Created Service* - PROCEXP90
*Newly Created Service* - UNLOCKERDRIVER5
.
s of the 'Scheduled Tasks' folder
2008-07-25 C:\WINDOWS\Tasks\Norton AntiVirus - Scan my computer.job
- C:\PROGRA~1\NORTON~1\NAVW32.exe [2002-11-14 19:31]
2008-07-30 C:\WINDOWS\Tasks\Symantec NetDetect.job
- C:\Program Files\Symantec\LiveUpdate\NDETECT.EXE [2002-08-07 09:04]
.
.
------- Supplementary Scan -------
.
R0 -: HKCU-Main,Start Page = hxxp://www.google.com.sa/
R1 -: HKCU-Internet Settings,ProxyOverride = local
O8 -: &تصدير إلى Microsoft Excel - C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 -: تحميل الكل بـ إنترنت داونلود مانيجر - C:\Program Files\Internet Download Manager\IEGetAll.htm
O8 -: تحميل بـ إنترنت داونلود مانيجر - C:\Program Files\Internet Download Manager\IEExt.htm
O8 -: تحميل محتوى فيديو (إف.إل.في) بـ إنترنت داونلود مانيجر - C:\Program Files\Internet Download Manager\IEGetVL.htm
O9 -: {c95fe080-8f5d-11d2-a20b-00aa003c157a} - %SystemRoot%\web\related.htm
O16 -: Microsoft XML Parser for Java -
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

C:\WINDOWS\Downloaded Program Files\Microsoft XML Parser for Java.osd

**************************************************************************
catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer,
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

Rootkit scan 2008-07-30 06:04:55
Windows 5.1.2600 Service Pack 2 FAT NTAPI
scanning hidden processes ...
scanning hidden autostart entries ...
scanning hidden files ...
scan completed successfully
hidden files: 0
**************************************************************************
.
Completion time: 2008-07-30 6:05:27
ComboFix-quarantined-files.txt 2008-07-30 03:05:26
Pre-Run: 16,098,869,248 bytes free
Post-Run: 16,352,837,632 bytes free
112
 
توقيع : الحليوه
تأييد 0
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 6:13:01 AM, on 7/30/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Internet Download Manager\IDMan.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\Program Files\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\Program Files\Symantec\LiveUpdate\AUpdate.exe
C:\Program Files\Internet Download Manager\IEMonitor.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Messenger\msmsgs.exe
C:\Documents and Settings\Administrator\Desktop\Zyzoom_HijackThis.exe
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local
O2 - BHO: IDM Helper - {0055C089-8582-441B-A0BF-17B458C2A3A8} - C:\Program Files\Internet Download Manager\IDMIECC.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [ccApp] C:\Program Files\Common Files\Symantec Shared\ccApp.exe
O4 - HKLM\..\Run: [ccRegVfy] C:\Program Files\Common Files\Symantec Shared\ccRegVfy.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Program Files\Unlocker\UnlockerAssistant.exe"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [IDMan] C:\Program Files\Internet Download Manager\IDMan.exe /onboot
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &تصدير إلى Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: تحميل الكل بـ إنترنت داونلود مانيجر - C:\Program Files\Internet Download Manager\IEGetAll.htm
O8 - Extra context menu item: تحميل بـ إنترنت داونلود مانيجر - C:\Program Files\Internet Download Manager\IEExt.htm
O8 - Extra context menu item: تحميل محتوى فيديو (إف.إل.في) بـ إنترنت داونلود مانيجر - C:\Program Files\Internet Download Manager\IEGetVL.htm
O9 - Extra button: E?E - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {2D8ED06D-3C30-438B-96AE-4D110FDC1FB8} (ActiveScan 2.0 Installer Class) -
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) -
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe
O23 - Service: Norton AntiVirus Auto Protect Service (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\Program Files\Norton AntiVirus\AdvTools\NPROTECT.EXE
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ.exe
--
End of file - 4675 bytes
 
توقيع : الحليوه
تأييد 0
جاري التحليل

وانصحك بشدة بحذف النورتين وتركيب الكاسبر

كم الرام عندك
 
توقيع : فارس الملاك
تأييد 0
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
تقريرك مااشوف فيه شي غير هالقيمة


طريقة الحذف



mg%20%283%29.png


mg%20%284%29.png


=================================​

استخدم هذه الاداة للتنظيف
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي


wh_15149054.png


وشغلي الجدار الناري
 
توقيع : فارس الملاك
تأييد 0
اخى الكريم المتصفح 6 مضروب عندك >>نزل المتصفح 7

وتنحل مشكلتك​
 
تأييد 0
بعد ان يكتشف النورتن الفيروس
اذهب الى ابدا----> تشغيل
اكتب الامر regedit
اضغط موافق و راح تنفتح نافذة الريجستري و ابحث عن المفتاح التالي
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

و ابحث عن المفتاح الفرعي التالي و قم بحذفه
"Intrenat = C:\WINNT\Intrenat.exe"

مرة اخرى اتجه الى المفتاح
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices

ابحث عن المفتاح الفرعي التالي و قم بحذفه
"Intrenat = C:\WINNT\Intrenat.exe"

ان شاءالله تحتل المشكلة
 
توقيع : hossamlv
تأييد 0
فارس الملاك قال:
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

تقريرك مااشوف فيه شي غير هالقيمة



طريقة الحذف



mg%20%283%29.png

mg%20%284%29.png

=================================​




استخدم هذه الاداة للتنظيف

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

wh_15149054.png




وشغلي الجدار الناري


أنقر للتوسيع...







مشكور اخوي : فارس الملاك
سويت الي طلبته مني وحمل الاداه حق التنظيف بس مافي فائده.
الفايروس بس موجود في احد الدرايفات فقط والبقية لاتوجد فيها نفس الفايروس .
وش الفائده من الجدار الناري يطولي عمرك .
 
توقيع : الحليوه
تأييد 0
hossamlv قال:
بعد ان يكتشف النورتن الفيروس
اذهب الى ابدا----> تشغيل
اكتب الامر regedit
اضغط موافق و راح تنفتح نافذة الريجستري و ابحث عن المفتاح التالي
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

و ابحث عن المفتاح الفرعي التالي و قم بحذفه
"Intrenat = C:\WINNT\Intrenat.exe"

مرة اخرى اتجه الى المفتاح
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices

ابحث عن المفتاح الفرعي التالي و قم بحذفه
"Intrenat = C:\WINNT\Intrenat.exe"

ان شاءالله تحتل المشكلة
أنقر للتوسيع...




مشكور hossamlv :

ياخوي ذهبت للرجستري ولم اجد القيمه الي اخبرتني عنها:
و ابحث عن المفتاح الفرعي التالي و قم بحذفه
"Intrenat = C:\WINNT\Intrenat.exe"

وش العمل
 
توقيع : الحليوه
تأييد 0
ياخوان اش وظائف هذا الفايروس infostealer وش اضراره على الجهاز .
فيدوني هل اخلي برنامج النورتن ام اقوم بحذفه واقوم بتثبيت الكاسبر وغيرها وبينولي السبب في التغير وهذه صورة من النورتن.
يعطيكم العافية.


يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي
zyzoom-21eed879be.JPG
 
توقيع : الحليوه
تأييد 0
احذفي الملف يدويا

و تخلصي من الفايروس
 
توقيع : العرافة
تأييد 0
العرافة قال:
احذفي الملف يدويا

و تخلصي من الفايروس
أنقر للتوسيع...




مشكور العرافة :
لقد تم ازاله الفايروس بنجاح ومشكور ما قصرت والى الامام دائما
 
توقيع : الحليوه
تأييد 0
انا بنت
 
توقيع : العرافة
تأييد 0
يجب تسجيل الدخول أو التسجيل كي تتمكن من الرد هنا.
عودة
أعلى