(( بداية الدورة )) الدرس الاول : تقرير الهايجاك والبرامج المثبته

[IRAQI]

وعليكم السلام

الخطوتين الاولى لك خطوات خبير صيانة k:k:

ورح تقفز بها 80 في المية في حل المشكلة

​

السلام عليكم ورحمة الله
جزاك الله خير اخي البارون ووفقك لما يحبه ويرضاه بس عندي ملاحظتين على كلامك ارجوا ان يتسع صدرك
الاخ صاحب الحل قال نعطل كل الي في بدء التشغيل عدا الافيرا وهذا من وجهة نظري خطأ لانه كما معروف بان بعض الاجهزة ان قمت بتعطيل جميع برامج بدء التشغيل سوف لن يعمل الماوس ( التاتش باد ) او بعض الاجهزة المهمة لعمل النظام وهذه الخطوة يجب ان نتعامل معها بحذر ممكن مثلا ان نقول له القيم الي نشك فيها ويعطلها والله اعلم

 

[Ali-911]

علي انت انتبهت لوجود عمليات مشبوهه وشكيت انها فايروسات او برامج او سيرفرات اختراق من قراتك للتقرير وتحليله

كان طلبت منه يعمل فحص للجهاز بحسب رؤيتك للتقرير

اما ببرنامج الكاسبر ريموفل تول او الدكتور ويب او مرلوبيت او دكتور سباي وير

بعدين لازم تطلب تقرير جديد عشان تشوف وين وصلت مع صاحب المشكلة

وتحذف البرامج الضارة وغير المهمه وتنظف الجهاز باداة TFC

ثم تطبق حذف القيم الضارة من برنامج الهايجاك وتنظف الجهاز باداة TFC

وتتابع لحد ماتنهي المشكلة حسب رويتك


​

يعني اذا فيه فايروس أو شك، نطلب التنظيف اولاً بعدين تقرير جديد؟

 

[System32]

الله يسعدك يارب ومبادره حلوه منك اخوي

صاحب المشكله ضحية للأختراق ببرنامج السباي نت وهذي القيمه الموجوده

O4 - HKLM\..\Policies\Explorer\Run: [Spy-Net] C:\WINDOWS\system32\Spy-Net\server.exe

في نظري الافضل قطع الاتصال بالانترنت ثم تتبع المسار وحذف السيرفر

ثم حذفه من بدء التشغيل ومن الرجستري عن طريق القيمه التاليه

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

ثم أستخدام المالوير بايت لحذف السيرفر

هذا والله اعلم

شكرا لك
​

 

[format]

يعطيك العافيه حاتم ​

الله يعافيك وشكرا على التوجيه ياخوي عبد الرحمن وشكرا على التوجيه ..
هذا وفقك الله فيما تحب وترضاه

 

[باسم محمد ذكريا]

دخلت على التوتال فايرس بعد رفع التقرير علية اعطانى هذا 737bad145da5c98332ecbadfbbc34e9e5d7e644477f807d0d5a423809db52fd3

 

[البارون]

السلام عليكم ورحمة الله

وعليكم السلام ​

ياهلا والله بالجمييع

بسم الله ابداء

تقرير الهايجاك يبين لي كالتالي .

يوجد عمليات في الذاكرة و بداء التشغيل مصابه و بهذي الحالة يفضل استخداام برنامج تنظيف ممتاز ليتعامل مع هذي الاصابات ببرنامج

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

حياك الله رائد طيب اش خلاك تعتقد انها فايروسات ​

+ يحتاج استخدام اداة

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

بعد الفحص الكاسبر

طيب ليه ماطلبت تقرير جديد تشوف اش عالجت الاداة من اصابات بعد استخدامها ​

يحدد على القيم التالية ويوتنظيفها مع مراعاات اغلاق جميع المتصفحات

O2 - BHO: Conduit Engine - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Program Files\ConduitEngine\prxConduitEngine.dll

O2 - BHO: Messenger Plus Saudi - {9e1b5c68-1ab5-49fe-97a9-d3f777c51663} - C:\Program Files\Messenger_Plus_Saudi\prxtbMess.dll

- Toolbar: Messenger Plus Saudi Toolbar - {9e1b5c68-1ab5-49fe-97a9-d3f777c51663} - C:\Program Files\Messenger_Plus_Saudi\prxtbMess.dll

O3 - Toolbar: Conduit Engine - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Program Files\ConduitEngine\prxConduitEngine.dll

O16 - DPF: {64E89DC6-8EB8-4459-82AE-408E18BB831B} (BMCCtl Class) -

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

O16 - DPF: {6AD8DF3E-C8FB-45E1-9EA1-440F11B628F4} (IM Class) -

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

جميع الاستفهامات اللي بقيمة O16 :q:

+ تنظف قيمة
O21 - SSODL: Windows Task Services - C:\Documents and Settings\USER\Application Data\1B.exe - (no file)


ويفضل استخداام

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

لكثرة الملفات التي تعمل بالذاكرة وبدء التشغيل لتأكد من سلامة الجهاز

ليه ماطبقت هالفحص بعد اداة الكاسبر اذا شفت ان الاصابات لازالت موجوده ​

----------------------

البرامج المثبتة

يحذف منه

Google Update Helper
Messenger Plus Saudi Toolbar

وهذا ليه سيبته مع انه لازم يحذف

Conduit Engine
​

-
انصح حذف برنامج الحماية Avira Premium Security Suite و استبدالة بنورتن سكورتي لأنه افضل من الافيرا :q:

مضبوط ولسبب اخر :king:​

+ تحديث الويندوز Windows XP SP2 قدييم بهذي الحالة يحدث الملفات اللي فيها
ويكون من الموضوع هذا

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

‏

مضبوط انت تريح المستخدم كذا من عنا انتظار التحديثات ​

و السلام عليكم ورحمة الله

وعليكم السلام ورحمة الله وبركاته ​

 

[rd-19]

السلام عليكم ورحمة الله

وعليكم السلام ​

ياهلا والله بالجمييع

بسم الله ابداء

تقرير الهايجاك يبين لي كالتالي .

يوجد عمليات في الذاكرة و بداء التشغيل مصابه و بهذي الحالة يفضل استخداام برنامج تنظيف ممتاز ليتعامل مع هذي الاصابات ببرنامج

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

حياك الله رائد طيب اش خلاك تعتقد انها فايروسات ​

+ يحتاج استخدام اداة

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

بعد الفحص الكاسبر

طيب ليه ماطلبت تقرير جديد تشوف اش عالجت الاداة من اصابات بعد استخدامها ​

يحدد على القيم التالية ويوتنظيفها مع مراعاات اغلاق جميع المتصفحات

O2 - BHO: Conduit Engine - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Program Files\ConduitEngine\prxConduitEngine.dll

O2 - BHO: Messenger Plus Saudi - {9e1b5c68-1ab5-49fe-97a9-d3f777c51663} - C:\Program Files\Messenger_Plus_Saudi\prxtbMess.dll

- Toolbar: Messenger Plus Saudi Toolbar - {9e1b5c68-1ab5-49fe-97a9-d3f777c51663} - C:\Program Files\Messenger_Plus_Saudi\prxtbMess.dll

O3 - Toolbar: Conduit Engine - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Program Files\ConduitEngine\prxConduitEngine.dll

O16 - DPF: {64E89DC6-8EB8-4459-82AE-408E18BB831B} (BMCCtl Class) -

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

O16 - DPF: {6AD8DF3E-C8FB-45E1-9EA1-440F11B628F4} (IM Class) -

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

جميع الاستفهامات اللي بقيمة O16 :q:

+ تنظف قيمة
O21 - SSODL: Windows Task Services - C:\Documents and Settings\USER\Application Data\1B.exe - (no file)


ويفضل استخداام

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

لكثرة الملفات التي تعمل بالذاكرة وبدء التشغيل لتأكد من سلامة الجهاز

ليه ماطبقت هالفحص بعد اداة الكاسبر اذا شفت ان الاصابات لازالت موجوده ​

----------------------

البرامج المثبتة

يحذف منه

Google Update Helper
Messenger Plus Saudi Toolbar

وهذا ليه سيبته مع انه لازم يحذف

Conduit Engine
​

-
انصح حذف برنامج الحماية Avira Premium Security Suite و استبدالة بنورتن سكورتي لأنه افضل من الافيرا :q:

مضبوط ولسبب اخر :king:​

+ تحديث الويندوز Windows XP SP2 قدييم بهذي الحالة يحدث الملفات اللي فيها
ويكون من الموضوع هذا

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

‏

مضبوط انت تريح المستخدم كذا من عنا انتظار التحديثات ​

و السلام عليكم ورحمة الله

وعليكم السلام ورحمة الله وبركاته

حياك الله رائد طيب اش خلاك تعتقد انها فايروسات

سبب رمز بالهايجاك O4 يكون يا فيروس بالغالب الامر اذا كان اكس او ملف تجسس

طيب ليه ماطلبت تقرير جديد تشوف اش عالجت الاداة من اصابات بعد استخدامها

لأني بحرص على شوفة التقرير نهاية الفحص الجهاز من برامج الفحص وكل شي :q:
واشوف التقرير كـ نظرة اخيره لسلامة الجهاز

ليه ماطبقت هالفحص بعد اداة الكاسبر اذا شفت ان الاصابات لازالت موجوده

فضلت تنظيف يدوي قبل استخدام الاداة ثم استخدامها :q: تفضيل ليس لأي شي اخر

وهذا ليه سيبته مع انه لازم يحذف

Conduit Engine

-

لم اعرف البرنامج ولا اعرف مافائدته ولم الاحظ قيمه تشير لـ اشكال له

مضبوط ولسبب اخر :king:

لأنه سيء في التنظيف ويحذف مباشره :hh: ويسبب عطل بالنظام :er:


عافاك الله اخوي الباروون :king:

​

​

​

 

[jor]

السلام عليكم ورحمة الله وبركاته

اعتذر جداً على التأخر في طرح الحلول

وذلك بسبب الدوام والعمل

نبدأ على بركة الله


بالنسبه لتقرير هايجاك

اول شيء يجب ضبط الوقت والتاريخ والتاكد منه في الجهاز المحمول او المكتبي فهو مهم جداً


بالنسبه لهذه القيمه في تقرير الهايجاك

فهي تابعه اما لفايروس او سيرفر اختراق اجهزه

C:\Documents and Settings\USER\Application Data\Microsoft\csrss.exe

هذه الملف مشكوك في امرها ويفضل رفعها وفحصها

C:\Documents and Settings\USER\Application Data\regsrv64.exe

C:\Documents and Settings\USER\Application Data\1C.exe

C:\Documents and Settings\USER\Application Data\1B.exe

C:\Documents and Settings\USER\Application Data\1B.exe

ويتم ذلك باستخدام اداة زيزوم وزر فحص ملف

لرفع ملف وفحصه على الفايروس توتال .. من واجهة الاداة اضغط على [فحص ملف]

ثم

وستبدأ عملية الرفع

بعد انتهاء الرفع تفتح صفحة المتصفح وفيها نتيجة فحص الملف

اخيراا الخيارات التالية

وانا بدون ما اقوم بالفحص احذف على طول لانه مستحيل وجود اسم ملف مثل هذا الاسم في المسار المحدد الا بحالتين فايروس او سيرفر اختراق


اما هذه القيمه فتحذف لانها تابعه لتوبار ConduitEngine

O2 - BHO: Conduit Engine - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Program Files\ConduitEngine\prxConduitEngine.dll\\


هذه القيمه تابعه تولبار لمسنجر بلس ، يفضل حذفها

O2 - BHO: Messenger Plus Saudi - {9e1b5c68-1ab5-49fe-97a9-d3f777c51663} - C:\Program Files\Messenger_Plus_Saudi\prxtbMess.dll


هذه القيمه يجب حذفها فهي مضره ، وهي تابعه للجافا

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll (file missing)

هذه القيمه تحذف ، وهي تابعه لتولبار ConduitEngine

O3 - Toolbar: Conduit Engine - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Program Files\ConduitEngine\prxConduitEngine.dll


اما هذا فيجب حذف بدون اي تردد

O4 - HKLM\..\Run: [Spy-Net] C:\WINDOWS\system32\Spy-Net\server.exe

فهو تابع لبرنامج اختراق مشهور ، لاختراق الاجهزه ، معروف بأسم سباي نت

وهذه القيمه تحذف اما ان تكون فايروس او سيرفر اختراق اجهزه

O4 - HKLM\..\Run: [csrss] C:\Documents and Settings\USER\Application Data\Microsoft\csrss.exe


وهذه ايضاً

O4 - HKLM\..\Run: [Windows Task Services] C:\Documents and Settings\USER\Application Data\1B.exe

وهذه بعد

O4 - HKLM\..\RunOnce: [Windows Task Services] C:\Documents and Settings\USER\Application Data\1B.exe


تحذف هذه القيمه

O4 - HKCU\..\Run: [Spy-Net] C:\WINDOWS\system32\Spy-Net\server.exe

وهذه

O4 - HKCU\..\Run: [csrss] C:\Documents and Settings\USER\Application Data\Microsoft\csrss.exe


وايضاً كل القيم ادناه فهي تابعه لبرنامج اختراق

O4 - HKCU\..\Run: [Microsoft DLL Registration] C:\Documents and Settings\USER\Application Data\regsrv64.exe

O4 - HKCU\..\Run: [Windows Task Services] C:\Documents and Settings\USER\Application Data\1B.exe

O4 - HKCU\..\RunOnce: [Windows Task Services] C:\Documents and Settings\USER\Application Data\1B.exe


O4 - HKLM\..\Policies\Explorer\Run: [Spy-Net] C:\WINDOWS\system32\Spy-Net\server.exe


O4 - HKCU\..\Policies\Explorer\Run: [csrss] C:\Documents and Settings\USER\Application Data\Microsoft\csrss.exe

O4 - HKCU\..\Policies\Explorer\Run: [Windows Task Services] C:\Documents and Settings\USER\Application Data\1B.exe

هذا الملف ينصح برفعه على مواقع الفحص والتاكد منه


O4 - Startup: dxmiqroe.exe

لحذف هذه القيم يرجى اتباع الشرح التالي

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

نأتي الان لتقرير البرامج

وينصح بحذف الاتي :


Conduit Engine

Messenger Plus Saudi Toolbar

وهما يعتبران تولبارات وطريقه حذفهم اما عن طريق هذا البرنامج

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

او عن طريق الكونترل بانيل


وعمل ريستارت للجهاز ومن ثم اعطائي تقريران جديداً


واعتذر جداً جداً لاني تأخرت في الطرح بسبب ظروف العمل الصعبه والوقت

وهذا التحليل ما هو الا مجهود شخصي والحمد لله

والسلام عليكم ورحمة الله وبركاته

 

[Muhammad MoHsenMuhammad MoHsen is verified member.]

ما شاء الله عليكم
متابع بصمت
5/5

 

[شاجع]

جزاكم الله خير

أعجبني حل الأخ Format
------------
نرجوا عدم السير بالموضوع في غير موضعه الذي أُنشىء لأجله

 

[البارون]

بالنسبة لتقرير الهايجاك .. هذا هو تحليلي

حذف القيم التالية

C:\Documents and Settings\USER\Application Data\Microsoft\csrss.exe
C:\Program Files\Diskeeper Corporation\Diskeeper\DkService.exe
C:\Documents and Settings\USER\Application Data\Microsoft\csrss.exe
C:\Documents and Settings\USER\Application Data\regsrv64.exe
C:\Documents and Settings\USER\Application Data\1C.exe
C:\Documents and Settings\USER\Application Data\1B.exe
C:\Documents and Settings\USER\Application Data\1B.exe
O2 - BHO: Conduit Engine - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Program Files\ConduitEngine\prxConduitEngine.dll
O3 - Toolbar: Conduit Engine - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Program Files\ConduitEngine\prxConduitEngine.dll
O4 - HKLM\..\Run: [Spy-Net] C:\WINDOWS\system32\Spy-Net\server.exe
O4 - HKLM\..\Run: [csrss] C:\Documents and Settings\USER\Application Data\Microsoft\csrss.exe
O4 - HKLM\..\Run: [Windows Task Services] C:\Documents and Settings\USER\Application Data\1B.exe
O4 - HKLM\..\RunOnce: [Windows Task Services] C:\Documents and Settings\USER\Application Data\1B.exe
O4 - HKCU\..\Run: [Spy-Net] C:\WINDOWS\system32\Spy-Net\server.exe
O4 - HKCU\..\Run: [Microsoft DLL Registration] C:\Documents and Settings\USER\Application Data\regsrv64.exe
O4 - HKCU\..\Run: [Windows Task Services] C:\Documents and Settings\USER\Application Data\1B.exe
O4 - HKCU\..\RunOnce: [Windows Task Services] C:\Documents and Settings\USER\Application Data\1B.exe
O4 - HKLM\..\Policies\Explorer\Run: [Spy-Net] C:\WINDOWS\system32\Spy-Net\server.exe
O4 - HKLM\..\Policies\Explorer\Run: [csrss] C:\Documents and Settings\USER\Application Data\Microsoft\csrss.exe
O4 - HKLM\..\Policies\Explorer\Run: [Windows Task Services] C:\Documents and Settings\USER\Application Data\1B.exe
O4 - HKCU\..\Policies\Explorer\Run: [Spy-Net] C:\WINDOWS\system32\Spy-Net\server.exe
O4 - HKCU\..\Policies\Explorer\Run: [csrss] C:\Documents and Settings\USER\Application Data\Microsoft\csrss.exe
O4 - HKCU\..\Policies\Explorer\Run: [Windows Task Services] C:\Documents and Settings\USER\Application Data\1B.exe
O16 - DPF: {64E89DC6-8EB8-4459-82AE-408E18BB831B} (BMCCtl Class) -

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

O16 - DPF: {6AD8DF3E-C8FB-45E1-9EA1-440F11B628F4} (IM Class) -

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

O16 - DPF: {7253A666-683F-4D45-B6F1-549188BB79C0} (BMC Control) -

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

O16 - DPF: {7253A666-683F-4D45-B6F1-549188BB79C1} (BMC Control) -

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

O16 - DPF: {7253A666-6DA5-4FAE-89B3-BC419653381C} (BMC Control) -

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

O16 - DPF: {7253A666-804A-1107-A4DC-00E04C504708} (BMC Control) -

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

O16 - DPF: {7253A666-804A-1107-A4DC-00E04C504780} (BMC Control) -

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

O16 - DPF: {7253A666-804A-1107-A4DC-00E04C504788} (BMC Control) -

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

O16 - DPF: {7253A666-804A-1108-A4DC-00E04C504788} (BMChat Control) -

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

O16 - DPF: {7553A666-683F-4D45-B6F1-549188BB79C1} (BMC Control) -

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

O16 - DPF: {8246AC2B-4733-4964-A744-4BE60C6731D4} (IMS Control) -

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

O16 - DPF: {9024091F-CD97-41E1-B1D4-D9079409D453} (IMCv1 Control) -

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

O16 - DPF: {9753A666-804A-1107-A4DC-00E04C504736} (BMC Control) -

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

O16 - DPF: {9753A666-804A-1107-A4DC-00E04C504762} (BMC Control) -

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

O16 - DPF: {B7FDB0C3-4724-46D2-B8DB-6FA1DC63F7CA} (ReadUid.UserControlMacEntry) -

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

O16 - DPF: {C171FF59-8C55-4796-A398-4F5D02B4C763} (IMC_Sec Control) -

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

O16 - DPF: {C1B7E532-3ECB-4E9E-BB3A-2951FFE67C61} (DownloaderActiveX Control) -

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

O21 - SSODL: Windows Task Services - C:\Documents and Settings\USER\Application Data\1B.exe - (no file)


هذه القيمة يجب ان تحذف وهي ليست من ملفات الويندوز ومصابة
O23 - Service: Change Modem Device Service - Unknown owner - C:\WINDOWS\System32\ChgService.exe

حذف القيمة مع اعادة تثبيت مسنجر بلس
O2 - BHO: Messenger Plus Saudi - {9e1b5c68-1ab5-49fe-97a9-d3f777c51663} - C:\Program Files\Messenger_Plus_Saudi
\prxtbMess.dll
O3 - Toolbar: Messenger Plus Saudi Toolbar - {9e1b5c68-1ab5-49fe-97a9-d3f777c51663} - C:\Program Files\Messenger_Plus_Saudi\prxtbMess.dll

حذف القيمة مع اعادة تثبيت الجافا
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll (file missing)

رفع فايروس توتال
O4 - Startup: dxmiqroe.exe

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

تحليل قائمة البرامج المثبتة

حذف البرامج التالية
Conduit Engine
Messenger Plus Saudi Toolbar

يفضل تحديث البرنامج لاخر اصدار
Windows Internet Explorer 7

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

فحص بالبرامج التالية

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

اخوي دكتور كروز

انت طبعا ماسك المشكلة وقمت بتحليل التقرير صح

وظهر عندك مشاكل في جهاز صاحب التقرير المفترض

عند اشتباهك باي اصابه ان تخليه يعمل الفحص اللي طلبت اول قبل القيام بحذف القيم

لان المشكلة الاساسية هي الاصابات ولن يفيدنا الحذف لان الفايروس او الباتش سيعيد زرع نفسه او يكون مخفي في اماكن لا يظهرها التقرير

والمفترض ان قيم الهايجاك وحذفها تكون اخر شيء بعد التخلص من الاصابات وحذف البرامج
​

 

[البارون]

السلام عليكم ورحمة الله وبركاته

اعتذر جداً على التأخر في طرح الحلول

وذلك بسبب الدوام والعمل

نبدأ على بركة الله


بالنسبه لتقرير هايجاك

اول شيء يجب ضبط الوقت والتاريخ والتاكد منه في الجهاز المحمول او المكتبي فهو مهم جداً

جميل جدا وملاحظة ممتازه ​

بالنسبه لهذه القيمه في تقرير الهايجاك

فهي تابعه اما لفايروس او سيرفر اختراق اجهزه

C:\Documents and Settings\USER\Application Data\Microsoft\csrss.exe

هذه الملف مشكوك في امرها ويفضل رفعها وفحصها

C:\Documents and Settings\USER\Application Data\regsrv64.exe

C:\Documents and Settings\USER\Application Data\1C.exe

C:\Documents and Settings\USER\Application Data\1B.exe

C:\Documents and Settings\USER\Application Data\1B.exe

ويتم ذلك باستخدام اداة زيزوم وزر فحص ملف





وانا بدون ما اقوم بالفحص احذف على طول لانه مستحيل وجود اسم ملف مثل هذا الاسم في المسار المحدد الا بحالتين فايروس او سيرفر اختراق

طيب جميل سؤالي // ليه ماطلبت منه يفحص بالادوات المارلو بيت والسباي وير او الدكتور ويب او اداة الكاسبر ​

اما هذه القيمه فتحذف لانها تابعه لتوبار ConduitEngine

O2 - BHO: Conduit Engine - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Program Files\ConduitEngine\prxConduitEngine.dll\\


هذه القيمه تابعه تولبار لمسنجر بلس ، يفضل حذفها

O2 - BHO: Messenger Plus Saudi - {9e1b5c68-1ab5-49fe-97a9-d3f777c51663} - C:\Program Files\Messenger_Plus_Saudi\prxtbMess.dll


هذه القيمه يجب حذفها فهي مضره ، وهي تابعه للجافا

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll (file missing)

هذه القيمه تحذف ، وهي تابعه لتولبار ConduitEngine

O3 - Toolbar: Conduit Engine - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Program Files\ConduitEngine\prxConduitEngine.dll


اما هذا فيجب حذف بدون اي تردد

O4 - HKLM\..\Run: [Spy-Net] C:\WINDOWS\system32\Spy-Net\server.exe

فهو تابع لبرنامج اختراق مشهور ، لاختراق الاجهزه ، معروف بأسم سباي نت

وهذه القيمه تحذف اما ان تكون فايروس او سيرفر اختراق اجهزه

O4 - HKLM\..\Run: [csrss] C:\Documents and Settings\USER\Application Data\Microsoft\csrss.exe


وهذه ايضاً

O4 - HKLM\..\Run: [Windows Task Services] C:\Documents and Settings\USER\Application Data\1B.exe

وهذه بعد

O4 - HKLM\..\RunOnce: [Windows Task Services] C:\Documents and Settings\USER\Application Data\1B.exe


تحذف هذه القيمه

O4 - HKCU\..\Run: [Spy-Net] C:\WINDOWS\system32\Spy-Net\server.exe

وهذه

O4 - HKCU\..\Run: [csrss] C:\Documents and Settings\USER\Application Data\Microsoft\csrss.exe


وايضاً كل القيم ادناه فهي تابعه لبرنامج اختراق

O4 - HKCU\..\Run: [Microsoft DLL Registration] C:\Documents and Settings\USER\Application Data\regsrv64.exe

O4 - HKCU\..\Run: [Windows Task Services] C:\Documents and Settings\USER\Application Data\1B.exe

O4 - HKCU\..\RunOnce: [Windows Task Services] C:\Documents and Settings\USER\Application Data\1B.exe


O4 - HKLM\..\Policies\Explorer\Run: [Spy-Net] C:\WINDOWS\system32\Spy-Net\server.exe


O4 - HKCU\..\Policies\Explorer\Run: [csrss] C:\Documents and Settings\USER\Application Data\Microsoft\csrss.exe

O4 - HKCU\..\Policies\Explorer\Run: [Windows Task Services] C:\Documents and Settings\USER\Application Data\1B.exe

هذا الملف ينصح برفعه على مواقع الفحص والتاكد منه


O4 - Startup: dxmiqroe.exe

لحذف هذه القيم يرجى اتباع الشرح التالي

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

نأتي الان لتقرير البرامج

وينصح بحذف الاتي :


Conduit Engine

Messenger Plus Saudi Toolbar

وهما يعتبران تولبارات وطريقه حذفهم اما عن طريق هذا البرنامج

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

او عن طريق الكونترل بانيل


وعمل ريستارت للجهاز ومن ثم اعطائي تقريران جديداً


واعتذر جداً جداً لاني تأخرت في الطرح بسبب ظروف العمل الصعبه والوقت

وهذا التحليل ما هو الا مجهود شخصي والحمد لله

والسلام عليكم ورحمة الله وبركاته

طيب اخوي جور

انت اشتبهت بوجود سيرفر كان المفترض فحص بالمارلو او السباي دكتور

(( لا بد من استخدام ادوات الفحص اذا اشتبهت في قيم في اي تقرير ))

وبعد تنظيف الجهاز من الاصبات نحذف الاشياء غير الضروريه كالتولبارات وغيرها

ثم اخير نحذف القيم المتبقيه من تقرير الهايجاك الاخير الذي يتم طرحه

وعليكم السلام ورحمة الله وبركاته ​

 

[البارون]

اعتذر عن تأخري بالرد حبيب قلبي واستاذي وما شاء الله الشباب ما قصرو بصراحة استفدت من خبرات البعض حتى في ادق التفاصيل​

حسب قرائتي للتقرير النظام مصاب وبلاشك بسبب وجود ملفات مشبوهة وحسب التقرير المرفق​

تعطيل استعادة النظام بالاضافة الى تنظيف قيم الهايجاك ثم ​

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

اخوي كاسر كنت ابغى اشوف تحليلك للتقرير ولو غلط

عشان نشوف تحليلك ونناقشك

عموما المفروض الفحص اول قبل حذف القيم ​

 

[البارون]

اعتذر من الاخوة غير المشاركين في الدورة من الرد على تحاليلهم

لاني والله مشغول هنا وفي قسم المشاكل

تم طرح تحليلي ورويتي للموضوع واللي عنده تعقيب على حلي من المشاركين يتفضل ​

 

[Ali-911]

اعتذر من الاخوة غير المشاركين في الدورة من الرد على تحاليلهم

لاني والله مشغول هنا وفي قسم المشاكل

تم طرح تحليلي ورويتي للموضوع واللي عنده تعقيب على حلي من المشاركين يتفضل ​

أين تم طرح الحل؟

 

[البارون]

اعتذر عن التاخر لاسباب خارجه عن الاراده

تحليلي هنا

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

 

[rd-19]

عافاك الله اخوي البارون وماقصرت

استفسار ..

Scan saved at 03:03:37 ص, on 04/01/2012
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16945​

اولا الاخ عنده مشكلة في تاريخ الجهاز مما يعني تعطل اشياء مهمه مثل تحديثات الوندوز وبرنامج الحماية وبرنامج الماسنجر​

الان من هنا تقول اتضح ان التاريخ التاريخ فيه مشكله بسبب . سيرفر باك 2 ولا امر اخر , يعني مثلا لو شخص اوقف تحديثات الويندوز لأنها نسخة غير اصليه , و التاريخ صحيح و البرنامج يعمل بشكل سليم .

 

[البارون]

عافاك الله اخوي البارون وماقصرت

استفسار ..


الان من هنا تقول اتضح ان التاريخ التاريخ فيه مشكله بسبب . سيرفر باك 2 ولا امر اخر , يعني مثلا لو شخص اوقف تحديثات الويندوز لأنها نسخة غير اصليه , و التاريخ صحيح و البرنامج يعمل بشكل سليم .

.

لا رائد التاريخ من الاساس فيه مشكله من تقريره المفروض يكون التاريخ موافق لوقت عمل التقرير

اللي بالاحمر مافهته وش تقصد بالضبط :d:​

 

[format]

متى راح يبداء الدرس الثاني ؟
وليس لدي اي تعليقات اخرى هذا وبارك الله فيك

​

 

[Ali-911]

واضح الحل، شكراً.