(( بداية الدورة )) الدرس الاول : تقرير الهايجاك والبرامج المثبته

[البارون]

وين لسه ماخلصنا الموضوع

هذا عضوا بدانا معه لازم نكمل :d:


العضو عمل فحص وهذي النتائج



08/11/2011 02:45:23 م
mbam-log-2011-11-08 (14-45-23).txt
Scan type: Full scan (C:\|D:\|)
Objects scanned: 202095
Time elapsed: 17 minute(s), 30 second(s)
Memory Processes Infected: 0
Memory Modules Infected: 0
Registry Keys Infected: 5
Registry Values Infected: 0
Registry Data Items Infected: 0
Folders Infected: 0
Files Infected: 7
Memory Processes Infected:
(No malicious items detected)
Memory Modules Infected:
(No malicious items detected)
Registry Keys Infected:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{9D71D88C-C598-4935-C5D1-43AA4DB90836} (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Active Setup\Installed Components\{9D71D88C-C598-4935-C5D1-43AA4DB90836} (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Bifrost (Bifrose.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\BIFROST1.2 (Bifrose.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Bifrost (Bifrose.Trace) -> Quarantined and deleted successfully.
Registry Values Infected:
(No malicious items detected)
Registry Data Items Infected:
(No malicious items detected)
Folders Infected:
(No malicious items detected)
Files Infected:
c:\documents and settings\darkside\application data\thinstall\adobe photoshop cs\1000000b00002i\rundll32.exe (Trojan.Agent) -> Quarantined and deleted successfully.
c:\documents and settings\Ghanim\Desktop\آجهازي\server 2.exe (Backdoor.Agent) -> Quarantined and deleted successfully.
c:\documents and settings\Ghanim\Desktop\جهازي\server.exe (Backdoor.Agent) -> Quarantined and deleted successfully.
c:\documents and settings\Ghanim\Desktop\جهازي\PoiSoN\poison ivy 2.3.2\PILib.dll (Backdoor.PoisonIvy) -> Quarantined and deleted successfully.
c:\documents and settings\Ghanim\Desktop\جهازي\PoiSoN\poison ivy 2.3.2\poison ivy 2.3.2.exe (Backdoor.PoisonIvy) -> Quarantined and deleted successfully.
c:\system volume information\_restore{98ea3651-1264-406b-ba10-d34ed0ebd86b}\RP535\A0099935.exe (Backdoor.Agent) -> Quarantined and deleted successfully.
c:\system volume information\_restore{98ea3651-1264-406b-ba10-d34ed0ebd86b}\RP535\A0099936.dll (Backdoor.PoisonIvy) -> Quarantined and deleted successfully.

وش رايك في الفحص

وش المطلوب الان تنفيذه ​

 

[jor]

طيب اخوي جور

انت اشتبهت بوجود سيرفر كان المفترض فحص بالمارلو او السباي دكتور

(( لا بد من استخدام ادوات الفحص اذا اشتبهت في قيم في اي تقرير ))

وبعد تنظيف الجهاز من الاصبات نحذف الاشياء غير الضروريه كالتولبارات وغيرها

ثم اخير نحذف القيم المتبقيه من تقرير الهايجاك الاخير الذي يتم طرحه

وعليكم السلام ورحمة الله وبركاته ​

السلام عليكم ورحمة الله وبركاته

اعتذر جداً لاني كتبت تحليلي على السريع

انا متاكد بانه الملفات الموجود سيرفرات اختراق اجهزه

بس نسيت والله اقله يفحص ببرنامج مالوريبايت او غيرها

وان شاء الله في المرات القادمه ما في اخطاء

احترامي لك وللجميع

:king:

 

[jor]

وين لسه ماخلصنا الموضوع

هذا عضوا بدانا معه لازم نكمل :d:


العضو عمل فحص وهذي النتائج



08/11/2011 02:45:23 م
mbam-log-2011-11-08 (14-45-23).txt
Scan type: Full scan (C:\|D:\|)
Objects scanned: 202095
Time elapsed: 17 minute(s), 30 second(s)
Memory Processes Infected: 0
Memory Modules Infected: 0
Registry Keys Infected: 5
Registry Values Infected: 0
Registry Data Items Infected: 0
Folders Infected: 0
Files Infected: 7
Memory Processes Infected:
(No malicious items detected)
Memory Modules Infected:
(No malicious items detected)
Registry Keys Infected:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{9D71D88C-C598-4935-C5D1-43AA4DB90836} (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Active Setup\Installed Components\{9D71D88C-C598-4935-C5D1-43AA4DB90836} (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Bifrost (Bifrose.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\BIFROST1.2 (Bifrose.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Bifrost (Bifrose.Trace) -> Quarantined and deleted successfully.
Registry Values Infected:
(No malicious items detected)
Registry Data Items Infected:
(No malicious items detected)
Folders Infected:
(No malicious items detected)
Files Infected:
c:\documents and settings\darkside\application data\thinstall\adobe photoshop cs\1000000b00002i\rundll32.exe (Trojan.Agent) -> Quarantined and deleted successfully.
c:\documents and settings\Ghanim\Desktop\آجهازي\server 2.exe (Backdoor.Agent) -> Quarantined and deleted successfully.
c:\documents and settings\Ghanim\Desktop\جهازي\server.exe (Backdoor.Agent) -> Quarantined and deleted successfully.
c:\documents and settings\Ghanim\Desktop\جهازي\PoiSoN\poison ivy 2.3.2\PILib.dll (Backdoor.PoisonIvy) -> Quarantined and deleted successfully.
c:\documents and settings\Ghanim\Desktop\جهازي\PoiSoN\poison ivy 2.3.2\poison ivy 2.3.2.exe (Backdoor.PoisonIvy) -> Quarantined and deleted successfully.
c:\system volume information\_restore{98ea3651-1264-406b-ba10-d34ed0ebd86b}\RP535\A0099935.exe (Backdoor.Agent) -> Quarantined and deleted successfully.
c:\system volume information\_restore{98ea3651-1264-406b-ba10-d34ed0ebd86b}\RP535\A0099936.dll (Backdoor.PoisonIvy) -> Quarantined and deleted successfully.

وش رايك في الفحص

وش المطلوب الان تنفيذه ​

السلام عليكم ورحمة الله وبركاته

بالنسبه للفحص فسوف اقوم بتفصيله


Registry Keys Infected:

هذه الاصابات في قيم الريجستري

وهي تابعه لبرنامج تجسس ، وبرنامج التجسس يقوم بصنع مفاتيح ريجستري لكي يقوم بتثبيت نفسه وتشغيل نفسه تلقائياً ، في كل مره يتم فيها تشغيل النظام

اذا يجب حذفها


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{9D71D88C-C598-4935-C5D1-43AA4DB90836} (Trojan.Agent) ->

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Active Setup\Installed Components\{9D71D88C-C598-4935-C5D1-43AA4DB90836} (Trojan.Agent) ->

HKEY_CURRENT_USER\SOFTWARE\Bifrost (Bifrose.Trace) ->

HKEY_CURRENT_USER\SOFTWARE\BIFROST1.2 (Bifrose.Trace) ->

HKEY_LOCAL_MACHINE\SOFTWARE\Bifrost (Bifrose.Trace) ->



اما هذا الملف

c:\documents and settings\darkside\application data\thinstall\adobe photoshop cs\1000000b00002i\rundll32.exe (Trojan.Agent)

فهو اما ان يكون كراك لبرنامج الفوتوشوب او برنامج تجسس والافضل حذفه

لانه مكتوب بالفحص تروجان ، يفضل حذفه




اما بالنسبه لهذه الملفات

c:\documents and settings\Ghanim\Desktop\آجهازي\server 2.exe (Backdoor.Agent) -> Quarantined and deleted successfully.
c:\documents and settings\Ghanim\Desktop\جهازي\server.exe (Backdoor.Agent) -> Quarantined and deleted successfully.
c:\documents and settings\Ghanim\Desktop\جهازي\PoiSoN\poison ivy 2.3.2\PILib.dll (Backdoor.PoisonIvy) -> Quarantined and deleted successfully.
c:\documents and settings\Ghanim\Desktop\جهازي\PoiSoN\poison ivy 2.3.2\poison ivy 2.3.2.exe (Backdoor.PoisonIvy) -> Quarantined and deleted successfully.
c:\system volume information\_restore{98ea3651-1264-406b-ba10-d34ed0ebd86b}\RP535\A0099935.exe (Backdoor.Agent) -> Quarantined and deleted successfully.
c:\system volume information\_restore{98ea3651-1264-406b-ba10-d34ed0ebd86b}\RP535\A0099936.dll (Backdoor.PoisonIvy) -> Quarantined and deleted


فهي تابعه لبرامج تجسس واسمه البيزون :b:

ويجب حذفها

في النهايه يجب حذف كل القيم التي وجدت في التقرير

 

[format]

اطلب منه تقرير جديد اذا كان هناك اصابات اخرى
يستخدم برنامج

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

​

 

[format]

السلام عليكم ورحمة الله وبركاته

بالنسبه للفحص فسوف اقوم بتفصيله


Registry Keys Infected:

هذه الاصابات في قيم الريجستري

وهي تابعه لبرنامج تجسس ، وبرنامج التجسس يقوم بصنع مفاتيح ريجستري لكي يقوم بتثبيت نفسه وتشغيل نفسه تلقائياً ، في كل مره يتم فيها تشغيل النظام

اذا يجب حذفها


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{9D71D88C-C598-4935-C5D1-43AA4DB90836} (Trojan.Agent) ->

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Active Setup\Installed Components\{9D71D88C-C598-4935-C5D1-43AA4DB90836} (Trojan.Agent) ->

HKEY_CURRENT_USER\SOFTWARE\Bifrost (Bifrose.Trace) ->

HKEY_CURRENT_USER\SOFTWARE\BIFROST1.2 (Bifrose.Trace) ->

HKEY_LOCAL_MACHINE\SOFTWARE\Bifrost (Bifrose.Trace) ->



اما هذا الملف

c:\documents and settings\darkside\application data\thinstall\adobe photoshop cs\1000000b00002i\rundll32.exe (Trojan.Agent)

فهو اما ان يكون كراك لبرنامج الفوتوشوب او برنامج تجسس والافضل حذفه

لانه مكتوب بالفحص تروجان ، يفضل حذفه




اما بالنسبه لهذه الملفات

c:\documents and settings\Ghanim\Desktop\آجهازي\server 2.exe (Backdoor.Agent) -> Quarantined and deleted successfully.
c:\documents and settings\Ghanim\Desktop\جهازي\server.exe (Backdoor.Agent) -> Quarantined and deleted successfully.
c:\documents and settings\Ghanim\Desktop\جهازي\PoiSoN\poison ivy 2.3.2\PILib.dll (Backdoor.PoisonIvy) -> Quarantined and deleted successfully.
c:\documents and settings\Ghanim\Desktop\جهازي\PoiSoN\poison ivy 2.3.2\poison ivy 2.3.2.exe (Backdoor.PoisonIvy) -> Quarantined and deleted successfully.
c:\system volume information\_restore{98ea3651-1264-406b-ba10-d34ed0ebd86b}\RP535\A0099935.exe (Backdoor.Agent) -> Quarantined and deleted successfully.
c:\system volume information\_restore{98ea3651-1264-406b-ba10-d34ed0ebd86b}\RP535\A0099936.dll (Backdoor.PoisonIvy) -> Quarantined and deleted


فهي تابعه لبرامج تجسس واسمه البيزون :b:

ويجب حذفها

في النهايه يجب حذف كل القيم التي وجدت في التقرير

بعد الاذن من الغالي البارون
لدي تعقيب بسيط يالغالي
وهي بلون الاحمر
انك قلت اسمه بيزون
ولكن في التقرير الهايجك
O4 - HKLM\..\Run: [Spy-Net] C:\WINDOWS\system32\Spy-Net\server.exe
اسم البرنامج الاختراق
Spy-Net\
والسيرفر او الباتش الاختراق
server.exe
مزروع
C:\WINDOWS\system32
ولكن في التقرير
مالوووير بااايت
صنف السيرفر على التصنيفين
التصنيف الاول
bifrost
والتصنيف الثاني
poison
ولكن قيمة الهايجك هي الادق ..
وتقول يجب حدفها ولكن البرنامج بالفعل قام بحدفها وحجزها مماأدى الى انجاز مهمته ولايحتاج حدفه يدويا
هذا ماعندي تعليق عليك وان شاء الله تكون فادة الك وللخوة .. وماتنزعج من التعقيب
===================================================
تحليلي
Registry Keys Infected: 5
الاصابات 5 في قيم الرجستري

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{9D71D88C-C598-4935-C5D1-43AA4DB90836} (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Active Setup\Installed Components\{9D71D88C-C598-4935-C5D1-43AA4DB90836} (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Bifrost (Bifrose.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\BIFROST1.2 (Bifrose.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Bifrost (Bifrose.Trace) -> Quarantined and deleted successfully.


Files Infected: 7
الاصابات 7 في الملفات

c:\documents and settings\darkside\application data\thinstall\adobe photoshop cs\1000000b00002i\rundll32.exe (Trojan.Agent) -> Quarantined and deleted successfully.
c:\documents and settings\Ghanim\Desktop\آجهازي\server 2.exe (Backdoor.Agent) -> Quarantined and deleted successfully.
c:\documents and settings\Ghanim\Desktop\جهازي\server.exe (Backdoor.Agent) -> Quarantined and deleted successfully.
c:\documents and settings\Ghanim\Desktop\جهازي\PoiSoN\poison ivy 2.3.2\PILib.dll (Backdoor.PoisonIvy) -> Quarantined and deleted successfully.
c:\documents and settings\Ghanim\Desktop\جهازي\PoiSoN\poison ivy 2.3.2\poison ivy 2.3.2.exe (Backdoor.PoisonIvy) -> Quarantined and deleted successfully.
c:\system volume information\_restore{98ea3651-1264-406b-ba10-d34ed0ebd86b}\RP535\A0099935.exe (Backdoor.Agent) -> Quarantined and deleted successfully.
c:\system volume information\_restore{98ea3651-1264-406b-ba10-d34ed0ebd86b}\RP535\A0099936.dll (Backdoor.PoisonIvy) -> Quarantined and deleted successfully.

هذا وفقك الله فيما تحب وترضاه

 

[rd-19]

.

لا رائد التاريخ من الاساس فيه مشكله من تقريره المفروض يكون التاريخ موافق لوقت عمل التقرير


اللي بالاحمر مافهته وش تقصد بالضبط :d:

Scan saved at 03:03:37 ص, on 04/01/2012
اللي فهمت منك الان اللي تحته خط هو عن طريقة تعرف صحية تاريخ ووقت الجهاز
​

​

Platform: Windows XP SP2 (WinNT 5.01.2600
واللهي كنت اقصده عدم تحديث النظام هو عن طريقة معرفة صحة التايخ , لكن تبين لي عكس ذلك
عفاك الله

​

العضو عمل فحص وهذي النتائج


08/11/2011 02:45:23 م
هل يعتبر من تاريخ التقرير ان تحديث قديم>> mbam-log-2011-11-08 (14-45-23).txt
Scan type: Full scan (C:\|D:\|)



c:\documents and settings\darkside\application data\thinstall\adobe photoshop cs\1000000b00002i\rundll32.exe (Trojan.Agent) -> Quarantined and deleted successfully.
c:\documents and settings\Ghanim\Desktop\آجهازي\server 2.exe (Backdoor.Agent) -> Quarantined and deleted successfully.
c:\documents and settings\Ghanim\Desktop\جهازي\server.exe (Backdoor.Agent) -> Quarantined and deleted successfully.
c:\documents and settings\Ghanim\Desktop\جهازي\PoiSoN\poison ivy 2.3.2\PILib.dll (Backdoor.PoisonIvy) -> Quarantined and deleted successfully.
c:\documents and settings\Ghanim\Desktop\جهازي\PoiSoN\poison ivy 2.3.2\poison ivy 2.3.2.exe (Backdoor.PoisonIvy) -> Quarantined and deleted successfully.
c:\system volume information\_restore{98ea3651-1264-406b-ba10-d34ed0ebd86b}\RP535\A0099935.exe (Backdoor.Agent) -> Quarantined and deleted successfully.
c:\system volume information\_restore{98ea3651-1264-406b-ba10-d34ed0ebd86b}\RP535\A0099936.dll (Backdoor.PoisonIvy) -> Quarantined and deleted successfully.

وش رايك في الفحص


وش المطلوب الان تنفيذه
​

بما ان فيه ملفات اختراق بجهازه باللي لونه احمر افضل فحص الجهاز

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

بعدها هايجاك جديد​

 

[Ali-911]

وين لسه ماخلصنا الموضوع

هذا عضوا بدانا معه لازم نكمل :d:


العضو عمل فحص وهذي النتائج



08/11/2011 02:45:23 م
mbam-log-2011-11-08 (14-45-23).txt
Scan type: Full scan (C:\|D:\|)
Objects scanned: 202095
Time elapsed: 17 minute(s), 30 second(s)
Memory Processes Infected: 0
Memory Modules Infected: 0
Registry Keys Infected: 5
Registry Values Infected: 0
Registry Data Items Infected: 0
Folders Infected: 0
Files Infected: 7
Memory Processes Infected:
(No malicious items detected)
Memory Modules Infected:
(No malicious items detected)
Registry Keys Infected:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{9D71D88C-C598-4935-C5D1-43AA4DB90836} (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Active Setup\Installed Components\{9D71D88C-C598-4935-C5D1-43AA4DB90836} (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Bifrost (Bifrose.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\BIFROST1.2 (Bifrose.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Bifrost (Bifrose.Trace) -> Quarantined and deleted successfully.
Registry Values Infected:
(No malicious items detected)
Registry Data Items Infected:
(No malicious items detected)
Folders Infected:
(No malicious items detected)
Files Infected:
c:\documents and settings\darkside\application data\thinstall\adobe photoshop cs\1000000b00002i\rundll32.exe (Trojan.Agent) -> Quarantined and deleted successfully.
c:\documents and settings\Ghanim\Desktop\آجهازي\server 2.exe (Backdoor.Agent) -> Quarantined and deleted successfully.
c:\documents and settings\Ghanim\Desktop\جهازي\server.exe (Backdoor.Agent) -> Quarantined and deleted successfully.
c:\documents and settings\Ghanim\Desktop\جهازي\PoiSoN\poison ivy 2.3.2\PILib.dll (Backdoor.PoisonIvy) -> Quarantined and deleted successfully.
c:\documents and settings\Ghanim\Desktop\جهازي\PoiSoN\poison ivy 2.3.2\poison ivy 2.3.2.exe (Backdoor.PoisonIvy) -> Quarantined and deleted successfully.
c:\system volume information\_restore{98ea3651-1264-406b-ba10-d34ed0ebd86b}\RP535\A0099935.exe (Backdoor.Agent) -> Quarantined and deleted successfully.
c:\system volume information\_restore{98ea3651-1264-406b-ba10-d34ed0ebd86b}\RP535\A0099936.dll (Backdoor.PoisonIvy) -> Quarantined and deleted successfully.

وش رايك في الفحص

وش المطلوب الان تنفيذه ​

الفحص يقول ان فيه 5 ملفات ريجيستري مصابه "Registry Keys Infected: 5" و 7 ملفات مصابة "Files Infected: 7"

نطلب منه ينظف الجهاز بأداة

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

ثم تقرير جديد للهايجاك

 

[waget]

تقرير هيجاك جديد .. فقط للتعقيب ..

مع إني أشوف إن الملوير بايت أدى أللي علية ..

إذا كل شي تمام نشوف المشاكل الثانية غير الاختراق ..
​

 

[Ali Ramadan]

وين لسه ماخلصنا الموضوع ​

هذا عضوا بدانا معه لازم نكمل :d:​

العضو عمل فحص وهذي النتائج ​

08/11/2011 02:45:23 م
mbam-log-2011-11-08 (14-45-23).txt
Scan type: Full scan (C:\|D:\|)
Objects scanned: 202095
Time elapsed: 17 minute(s), 30 second(s)
Memory Processes Infected: 0
Memory Modules Infected: 0
Registry Keys Infected: 5
Registry Values Infected: 0
Registry Data Items Infected: 0
Folders Infected: 0
Files Infected: 7
Memory Processes Infected:
(No malicious items detected)
Memory Modules Infected:
(No malicious items detected)
Registry Keys Infected:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{9D71D88C-C598-4935-C5D1-43AA4DB90836} (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Active Setup\Installed Components\{9D71D88C-C598-4935-C5D1-43AA4DB90836} (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Bifrost (Bifrose.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\BIFROST1.2 (Bifrose.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Bifrost (Bifrose.Trace) -> Quarantined and deleted successfully.
Registry Values Infected:
(No malicious items detected)
Registry Data Items Infected:
(No malicious items detected)
Folders Infected:
(No malicious items detected)
Files Infected:
c:\documents and settings\darkside\application data\thinstall\adobe photoshop cs\1000000b00002i\rundll32.exe (Trojan.Agent) -> Quarantined and deleted successfully.
c:\documents and settings\Ghanim\Desktop\آجهازي\server 2.exe (Backdoor.Agent) -> Quarantined and deleted successfully.
c:\documents and settings\Ghanim\Desktop\جهازي\server.exe (Backdoor.Agent) -> Quarantined and deleted successfully.
c:\documents and settings\Ghanim\Desktop\جهازي\PoiSoN\poison ivy 2.3.2\PILib.dll (Backdoor.PoisonIvy) -> Quarantined and deleted successfully.
c:\documents and settings\Ghanim\Desktop\جهازي\PoiSoN\poison ivy 2.3.2\poison ivy 2.3.2.exe (Backdoor.PoisonIvy) -> Quarantined and deleted successfully.
c:\system volume information\_restore{98ea3651-1264-406b-ba10-d34ed0ebd86b}\RP535\A0099935.exe (Backdoor.Agent) -> Quarantined and deleted successfully.
c:\system volume information\_restore{98ea3651-1264-406b-ba10-d34ed0ebd86b}\RP535\A0099936.dll (Backdoor.PoisonIvy) -> Quarantined and deleted successfully.​

وش رايك في الفحص ​

وش المطلوب الان تنفيذه ​

التقرير يقول ان لديه 7 ملفات مصابه و5 في الريجستري اطلب منه عمل

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

ثم تقرير جديد​

 

[jor]

بعد الاذن من الغالي البارون
لدي تعقيب بسيط يالغالي
وهي بلون الاحمر
انك قلت اسمه بيزون
ولكن في التقرير الهايجك
O4 - HKLM\..\Run: [Spy-Net] C:\WINDOWS\system32\Spy-Net\server.exe
اسم البرنامج الاختراق
Spy-Net\
والسيرفر او الباتش الاختراق
server.exe
مزروع
C:\WINDOWS\system32
ولكن في التقرير
مالوووير بااايت
صنف السيرفر على التصنيفين
التصنيف الاول
bifrost
والتصنيف الثاني
poison
ولكن قيمة الهايجك هي الادق ..
وتقول يجب حدفها ولكن البرنامج بالفعل قام بحدفها وحجزها مماأدى الى انجاز مهمته ولايحتاج حدفه يدويا
هذا ماعندي تعليق عليك وان شاء الله تكون فادة الك وللخوة .. وماتنزعج من التعقيب

السلام عليكم ورحمة الله وبركاته

اهلا وسهلا بك اخ حاتم

أختلاف الاراء لا يفسد ود القضيه وانا ارحب بكل من ينتقد او يعقب على كلامي

فهذا ليس عيب او غلط

ولكن دعني اوضح لك شيئاً

التقريران دقيقان جداً

ولا يوجد اي مشاكل فيهم

في تقرير الهايجاك تم ايجاد ملفات تجسس تشتغل عند بدء تشغيل النظام

اما في تقرير مالوريبايت فتم ايجاد ملفات موجوده بالنظام ولكن لا تشتغل مع بدء التشغيل

هذا الفرق

في تقرير الهايجاك كان في سيرفر يشتغل مع كل بدء تشغيل النظام تحت اسم server

في فرق شاسع بين ان الملف يشتغل مع النظام او لا يشتغل

وانا الحمد لله لي خبره كبيره في عالم الهكر الاخلاقي واعرف كل اساليب الهكر

لذلك من السهل علي تحليل التقارير ومعرفة سيرفرات الاختراق واين تزرع نفسها

وما الفرق بينها

والسلام عليكم ورحمة الله وبركاته

 

[البارون]

ياخوان الله يصلحكم حلو مشكلتي اول وبعدين تقاضبوا الشوش :i:

ياخوان ماهو عيب الخطاء او قل العلم ونحن لم نولد خبراء خذوا الامور برحابة صدر​

ملاحظة ارسلت عبر التقييم ​

يعطيك العافية ، لو تخلي المشاركين يرسلون الحلول بالخاص أفضل ، كذا كلهم ينقلون من بعض الحلول

وانا لم اطلب ارسال الحلول عبر الخاص لعدة اهداف

لاني ابي الكل يخطي ويتعلم من خطاءه او خطاء غيره


وكمان الدورة مطروحه للاخوان غير المشاركين لكي يستفيدوا ايضا

وهذا الدرس الاول شارف على الانتهاء

الدرس القادم في طور الطرح الليله ​

 

[البارون]

السلام عليكم ورحمة الله وبركاته

بالنسبه للفحص فسوف اقوم بتفصيله


Registry Keys Infected:

هذه الاصابات في قيم الريجستري

وهي تابعه لبرنامج تجسس ، وبرنامج التجسس يقوم بصنع مفاتيح ريجستري لكي يقوم بتثبيت نفسه وتشغيل نفسه تلقائياً ، في كل مره يتم فيها تشغيل النظام

اذا يجب حذفها


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{9D71D88C-C598-4935-C5D1-43AA4DB90836} (Trojan.Agent) ->

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Active Setup\Installed Components\{9D71D88C-C598-4935-C5D1-43AA4DB90836} (Trojan.Agent) ->

HKEY_CURRENT_USER\SOFTWARE\Bifrost (Bifrose.Trace) ->

HKEY_CURRENT_USER\SOFTWARE\BIFROST1.2 (Bifrose.Trace) ->

HKEY_LOCAL_MACHINE\SOFTWARE\Bifrost (Bifrose.Trace) ->



اما هذا الملف

c:\documents and settings\darkside\application data\thinstall\adobe photoshop cs\1000000b00002i\rundll32.exe (Trojan.Agent)

فهو اما ان يكون كراك لبرنامج الفوتوشوب او برنامج تجسس والافضل حذفه

لانه مكتوب بالفحص تروجان ، يفضل حذفه




اما بالنسبه لهذه الملفات

c:\documents and settings\Ghanim\Desktop\آجهازي\server 2.exe (Backdoor.Agent) -> Quarantined and deleted successfully.
c:\documents and settings\Ghanim\Desktop\جهازي\server.exe (Backdoor.Agent) -> Quarantined and deleted successfully.
c:\documents and settings\Ghanim\Desktop\جهازي\PoiSoN\poison ivy 2.3.2\PILib.dll (Backdoor.PoisonIvy) -> Quarantined and deleted successfully.
c:\documents and settings\Ghanim\Desktop\جهازي\PoiSoN\poison ivy 2.3.2\poison ivy 2.3.2.exe (Backdoor.PoisonIvy) -> Quarantined and deleted successfully.
c:\system volume information\_restore{98ea3651-1264-406b-ba10-d34ed0ebd86b}\RP535\A0099935.exe (Backdoor.Agent) -> Quarantined and deleted successfully.
c:\system volume information\_restore{98ea3651-1264-406b-ba10-d34ed0ebd86b}\RP535\A0099936.dll (Backdoor.PoisonIvy) -> Quarantined and deleted


فهي تابعه لبرامج تجسس واسمه البيزون :b:

ويجب حذفها

في النهايه يجب حذف كل القيم التي وجدت في التقرير

جور

انا مستخدم بسيط وانتظر توجيهاتك مالخطوة القادمة :q:

انت خبير صيانة او شخص موثوق في الصيانة وموضوع فيك كثير من الثقه والاعتماد عليك بعد الله سبحانه وتعالى من المستخدم يجب ان تطمن المستخدم وخصوصا اذا كانت الاصابات سيرفرات اختراق

والله لو تحط التحليل هذا في موضوع مستخدم صدقني رح تخرب اعصابه ويصير في حالة نفسيه سيئه وممكن مايكمل الموضوع :q:

دع التوضيح في اخر الموضوع بعد ماتنتهي

والمفروض تطلب مني شيء لمتابعة حالة الجهاز بعد رؤيتك للتقرير اعلاه ​

 

[البارون]

اطلب منه تقرير جديد اذا كان هناك اصابات اخرى

يستخدم برنامج

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

​

احسنت حاتم هذا ماكنت ساطلبه


k:k:k:

​

 

[البارون]

بما ان فيه ملفات اختراق بجهازه باللي لونه احمر افضل فحص الجهاز

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

بعدها هايجاك جديد [/CENTER]

رائد رتب خطواتك فقط ولا تستعجل تروى في قراءة المشكلة

تقرير اذا فيه اصابات اطلب فحص جديد

صدقني بعد الدورة انت رح تصير محترف ​

 

[البارون]

تقرير هيجاك جديد .. فقط للتعقيب ..​

مع إني أشوف إن الملوير بايت أدى أللي علية ..​

إذا كل شي تمام نشوف المشاكل الثانية غير الاختراق ..​

انا قايل يجي منك خبير صيانة

ويعجبني حسن قراتك وتمهلك في حل الموضوع ​

 

[البارون]

الفحص يقول ان فيه 5 ملفات ريجيستري مصابه "Registry Keys Infected: 5" و 7 ملفات مصابة "Files Infected: 7"

نطلب منه ينظف الجهاز بأداة

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

ثم تقرير جديد للهايجاك

طيب حلو قرات نتيجه الفحص وتعرف ان عنده عدة اصابات

علي انا قلتها لرائد قبلك اطلب تقرير اذا فيه باقي شيء من الاصابات اطلب الفحص ​

 

[البارون]

التقرير يقول ان لديه 7 ملفات مصابه و5 في الريجستري اطلب منه عمل

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

ثم تقرير جديد​

طيب حلو نتيجه الفحص اعطتك فكره وتعرف ان عنده عدة اصابات

علي اطلب تقرير اذا فيه باقي شيء من الاصابات اطلب الفحص من جديد ​

 

[jor]

جور

انا مستخدم بسيط وانتظر توجيهاتك مالخطوة القادمة :q:

انت خبير صيانة او شخص موثوق في الصيانة وموضوع فيك كثير من الثقه والاعتماد عليك بعد الله سبحانه وتعالى من المستخدم يجب ان تطمن المستخدم وخصوصا اذا كانت الاصابات سيرفرات اختراق

والله لو تحط التحليل هذا في موضوع مستخدم صدقني رح تخرب اعصابه ويصير في حالة نفسيه سيئه وممكن مايكمل الموضوع :q:

دع التوضيح في اخر الموضوع بعد ماتنتهي

والمفروض تطلب مني شيء لمتابعة حالة الجهاز بعد رؤيتك للتقرير اعلاه ​

اعتذر على الرد السريع هههههههههه

نسيت ان اكتب ماذا بعد عملية المالوربايت :q:

مثل ما قالو الاخوة نعمل فحص ببرنامج سوبر انتي سبايوير

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

وننتظر نتيجة التقرير

:q:

 

[البارون]

طيب هذا تقرير جديد

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 05:36:00 م, on 08/11/2011
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\Shadow Defender\DefenderDaemon.exe
C:\PROGRA~1\WI371A~1\Datamngr\DATAMN~1.EXE
C:\Program Files\Common Files\Java\Java Update\jusched.exe
C:\Program Files\KeyScrambler\keyscrambler.exe
C:\Program Files\AntiLogger\AntiLogger.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Internet Download Manager\IDMan.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Nokia\Nokia PC Suite 6\PCSuite.exe
C:\Program Files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
C:\Program Files\Internet Download Manager\IEMonitor.exe
C:\Program Files\PC Connectivity Solution\Transports\NclUSBSrv.exe
C:\Program Files\PC Connectivity Solution\Transports\NclRSSrv.exe
c:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
c:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Program Files\Common Files\Java\Java Update\jucheck.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Mozilla Firefox\plugin-container.exe
C:\Program Files\Windows Live\Contacts\wlcomm.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Zyzoom_Forum_Tools\zyzoom.exe
C:\Zyzoom_Forum_Tools\zHijak.com

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyOverride = local
O2 - BHO: IDM Helper - {0055C089-8582-441B-A0BF-17B458C2A3A8} - C:\Program Files\Internet Download Manager\IDMIECC.dll
O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Program Files\Microsoft\Search Enhancement Pack\Search Helper\SearchHelper.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Searchqu Toolbar - {99079a25-328f-4bd4-be04-00955acaa0a7} - C:\PROGRA~1\WI371A~1\Datamngr\ToolBar\searchqudtx. dll
O2 - BHO: Loader Class - {9D717F81-9148-4f12-8568-69135F087DB0} - C:\PROGRA~1\WI371A~1\Datamngr\BROWSE~1.DLL
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [StartCCC] "c:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [egui] "C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice
O4 - HKLM\..\Run: [amd_dc_opt] C:\Program Files\AMD\Dual-Core Optimizer\amd_dc_opt.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Shadow Defender Daemon] "C:\Program Files\Shadow Defender\DefenderDaemon.exe" /Auto
O4 - HKLM\..\Run: [DATAMNGR] C:\PROGRA~1\WI371A~1\Datamngr\DATAMN~1.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Common Files\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [KeyScrambler] C:\Program Files\KeyScrambler\keyscrambler.exe /a
O4 - HKLM\..\Run: [LooL] C:\Documents and Settings\Ghanim\Desktop\5abelo0o.exe
O4 - HKLM\..\Run: [AntiLogger] "C:\Program Files\AntiLogger\AntiLogger.exe" /minimized
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Malwarebytes' Anti-Malware (reboot)] "C:\Documents and Settings\Ghanim\Local Settings\Temp\zxu3\files\mbam.exe" /runcleanupscript
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [IDMan] C:\Program Files\Internet Download Manager\IDMan.exe /onboot
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [PC Suite Tray] "C:\Program Files\Nokia\Nokia PC Suite 6\PCSuite.exe" -onlytray
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: تحميل الكل بواسطة Internet Download Manager - C:\Program Files\Internet Download Manager\IEGetAll.htm
O8 - Extra context menu item: تحميل بواسطة Internet Download Manager - C:\Program Files\Internet Download Manager\IEExt.htm
O8 - Extra context menu item: تحميل محتوى FLV بواسطة Internet Download Manager - C:\Program Files\Internet Download Manager\IEGetVL.htm
O9 - Extra button: Blog This - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Blog This in Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: (no name) - {5C106A59-CC3C-4caa-81A4-6D909B5ACE23} - C:\Program Files\KeyScrambler\KeyScramblerIE.dll
O9 - Extra 'Tools' menuitem: &KeyScrambler Options - {5C106A59-CC3C-4caa-81A4-6D909B5ACE23} - C:\Program Files\KeyScrambler\KeyScramblerIE.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{C478ABBE-E841-42D7-87A6-0C2D99C5A9A3}: NameServer = 213.42.20.20,195.229.241.222
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ESET HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\EHttpSrv.exe
O23 - Service: ESET Service (ekrn) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
O23 - Service: iPod Service - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe

--
End of file - 8446 bytes


وروني همتكم
​

 

[Ali Ramadan]

طيب حلو قرات نتيجه الفحص وتعرف ان عنده عدة اصابات

علي انا قلتها لرائد قبلك اطلب تقرير اذا فيه باقي شيء من الاصابات اطلب الفحص ​

اها