(( بداية الدورة )) الدرس الاول : تقرير الهايجاك والبرامج المثبته

[Ali Ramadan]

طيب هذا تقرير جديد​

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 05:36:00 م, on 08/11/2011
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal​

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\Shadow Defender\DefenderDaemon.exe
C:\PROGRA~1\WI371A~1\Datamngr\DATAMN~1.EXE
C:\Program Files\Common Files\Java\Java Update\jusched.exe
C:\Program Files\KeyScrambler\keyscrambler.exe
C:\Program Files\AntiLogger\AntiLogger.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Internet Download Manager\IDMan.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Nokia\Nokia PC Suite 6\PCSuite.exe
C:\Program Files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
C:\Program Files\Internet Download Manager\IEMonitor.exe
C:\Program Files\PC Connectivity Solution\Transports\NclUSBSrv.exe
C:\Program Files\PC Connectivity Solution\Transports\NclRSSrv.exe
c:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
c:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Program Files\Common Files\Java\Java Update\jucheck.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Mozilla Firefox\plugin-container.exe
C:\Program Files\Windows Live\Contacts\wlcomm.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Zyzoom_Forum_Tools\zyzoom.exe
C:\Zyzoom_Forum_Tools\zHijak.com​

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyOverride = local
O2 - BHO: IDM Helper - {0055C089-8582-441B-A0BF-17B458C2A3A8} - C:\Program Files\Internet Download Manager\IDMIECC.dll
O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Program Files\Microsoft\Search Enhancement Pack\Search Helper\SearchHelper.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Searchqu Toolbar - {99079a25-328f-4bd4-be04-00955acaa0a7} - C:\PROGRA~1\WI371A~1\Datamngr\ToolBar\searchqudtx. dll
O2 - BHO: Loader Class - {9D717F81-9148-4f12-8568-69135F087DB0} - C:\PROGRA~1\WI371A~1\Datamngr\BROWSE~1.DLL
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [StartCCC] "c:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [egui] "C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice
O4 - HKLM\..\Run: [amd_dc_opt] C:\Program Files\AMD\Dual-Core Optimizer\amd_dc_opt.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Shadow Defender Daemon] "C:\Program Files\Shadow Defender\DefenderDaemon.exe" /Auto
O4 - HKLM\..\Run: [DATAMNGR] C:\PROGRA~1\WI371A~1\Datamngr\DATAMN~1.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Common Files\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [KeyScrambler] C:\Program Files\KeyScrambler\keyscrambler.exe /a
O4 - HKLM\..\Run: [LooL] C:\Documents and Settings\Ghanim\Desktop\5abelo0o.exe
O4 - HKLM\..\Run: [AntiLogger] "C:\Program Files\AntiLogger\AntiLogger.exe" /minimized
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Malwarebytes' Anti-Malware (reboot)] "C:\Documents and Settings\Ghanim\Local Settings\Temp\zxu3\files\mbam.exe" /runcleanupscript
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [IDMan] C:\Program Files\Internet Download Manager\IDMan.exe /onboot
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [PC Suite Tray] "C:\Program Files\Nokia\Nokia PC Suite 6\PCSuite.exe" -onlytray
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: تحميل الكل بواسطة Internet Download Manager - C:\Program Files\Internet Download Manager\IEGetAll.htm
O8 - Extra context menu item: تحميل بواسطة Internet Download Manager - C:\Program Files\Internet Download Manager\IEExt.htm
O8 - Extra context menu item: تحميل محتوى FLV بواسطة Internet Download Manager - C:\Program Files\Internet Download Manager\IEGetVL.htm
O9 - Extra button: Blog This - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Blog This in Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: (no name) - {5C106A59-CC3C-4caa-81A4-6D909B5ACE23} - C:\Program Files\KeyScrambler\KeyScramblerIE.dll
O9 - Extra 'Tools' menuitem: &KeyScrambler Options - {5C106A59-CC3C-4caa-81A4-6D909B5ACE23} - C:\Program Files\KeyScrambler\KeyScramblerIE.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{C478ABBE-E841-42D7-87A6-0C2D99C5A9A3}: NameServer = 213.42.20.20,195.229.241.222
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ESET HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\EHttpSrv.exe
O23 - Service: ESET Service (ekrn) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
O23 - Service: iPod Service - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe​

--
End of file - 8446 bytes​

وروني همتكم​

:i:​

بخصوص القيم هذه​

O2 - BHO: Searchqu Toolbar - {99079a25-328f-4bd4-be04-00955acaa0a7} - C:\PROGRA~1\WI371A~1\Datamngr\ToolBar\searchqudtx. dll​

اعتقد انه تولبار وينصح بحذفه
Searchqu Toolbar​

والقيمه هذه
O17 - HKLM\System\CCS\Services\Tcpip\..\{C478ABBE-E841-42D7-87A6-0C2D99C5A9A3}: NameServer = 213.42.20.20,195.229.241.222​

هي ارقام DNS وينصح بحذفها اذا لم تكن مضافه من قبل المستخدم لانها تهدف الى اختطاف المتصفح
وراح استخدم معه

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

والقيمه هذي
O4 - HKLM\..\Run: [LooL] C:\Documents and Settings\Ghanim\Desktop\5abelo0o.exe​

عمليه مشبوهه لازم
يعمل

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

بعدين تقرير جديد​

 

[waget]

انا قايل يجي منك خبير صيانة

ويعجبني حسن قراتك وتمهلك في حل الموضوع ​

الله يعزك أخوي شهادة أعتز فيها والله :b:

طيب هذا تقرير جديد

وروني همتكم
​

أعتقد هذا جهاز مختلف عن الاول !!

في عملية مشبوهه :

فأول شيء يعطل Shadow Defender إذا مفعله الحماية فية ..

ويعمل فحص مالويربايت ..

بعدها تقرير هيجاك
:d:
​

 

[format]

راح استخدم برنامج

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

بسبب القيمة التالية
O2 - BHO: Searchqu Toolbar - {99079a25-328f-4bd4-be04-00955acaa0a7} - C:\PROGRA~1\WI371A~1\Datamngr\ToolBar\searchqudtx. dll

ومن ثم راح استخدم

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

بسبب القيمة
O4 - HKLM\..\Run: [LooL] C:\Documents and Settings\Ghanim\Desktop\5abelo0o.exe

ومن ثم استخدم

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

بسبب القيمة التالية
O17 - HKLM\System\CCS\Services\Tcpip\..\{C478ABBE-E841-42D7-87A6-0C2D99C5A9A3}: NameServer =

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

,

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

ومن ثم هايجك جديد
​

 

[format]

احسنت حاتم هذا ماكنت ساطلبه


k:k:k:

​

:king::king::king::king:

 

[jor]

السلام عليكم ورحمة الله وبركاته

بالنسبه للتقرير فهو جيد ولكن يوجد بعض القيم يجب اصلاحها او حذفها

مثل هذه القيمه

O2 - BHO: Searchqu Toolbar - {99079a25-328f-4bd4-be04-00955acaa0a7} - C:\PROGRA~1\WI371A~1\Datamngr\ToolBar\searchqudtx. dll

فهي تابعه لتولبار Searchqu Toolbar ، ينصح حذفها باستخدام هذه الطريقه

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

اما بخصوص هذه القيمه

فهي مشكوك في امرها

ويمكن ان تكون ملف اختراق اجهزه او فايروس

O4 - HKLM\..\Run: [LooL] C:\Documents and Settings\Ghanim\Desktop\5abelo0o.exe

ينصح بعمل فحص بالمالوريبايت

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

اما بالنسبه لهذه القيمه

O17 - HKLM\System\CCS\Services\Tcpip\..\{C478ABBE-E841-42D7-87A6-0C2D99C5A9A3}: NameServer = 213.42.20.20,195.229.241.222

ينصح باستخدام هذه الاداة لاصلاح الاخطاء الموجوده

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

ايضاً يجب ان يقوم بتحديث الانتي فايروس الموجود لديه وهو النود وعمل فحص شامل للجهاز ووضع تقرير بعد انتهاء عملية الفحص


واهم شيء يجب اصلاح الوقت 08/11/2011 فهو خاطئ

انصح جميع الاخوة بالتدقيق اكثر شيء على الوقت فهو مهم جداً

وهو قد يسبب مشاكل في عملية تحديث الانتي فايروس ويسبب في فشل بالتعرف على الفايروسات

ويوجد شيء اخير بخصوص برنامج keyscrambler.exe [ مشفر الكيبورد ]

فهو يسبب مشكله كبيره وهي الشاشه الزرقاء لدى الكثير وعن تجربه شخصيه

فيجب الانتباه لو حدث اي عطل في الجهاز او ظهور شاشة زرقاء يمكن ان يكون سببها هذا البرنامج

وقبل عمل اي عملية او اي حل من هذه الحلول تأكد من عدم تجميد النظام بأستخدام برنامج الشادو

ديفيندر ، أي يجب ايقاف عمله

واعتذر على طول الكلام

والسلام عليكم ورحمة الله وبركاته

 

[Ali-911]

حسب التقرير الأخير باين أن الجهاز صار نظيف، بس يبيلة يشيل التوولبار الي يسبب له بطئ في التصفح واحياناً تعليق

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

 

[rd-19]

رائد رتب خطواتك فقط ولا تستعجل تروى في قراءة المشكلة

تقرير اذا فيه اصابات اطلب فحص جديد

صدقني بعد الدورة انت رح تصير محترف ​

:b: ابشرر

وعافاك الله :king:

 

[rd-19]

طيب هذا تقرير جديد​

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 05:36:00 م, on 08/11/2011
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal​

وروني همتكم​

يعتبر التقرير شبه سليم الا بوجود هذي القيمة
O4 - HKLM\..\Run: [LooL] C:\Documents and Settings\Ghanim\Desktop\5abelo0o.exe

عشان القيمة هذي لحالها ولعدم وجود برنامج حماية لصاحب التقرير
يفحص جهازه

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

ثم تقرير هايجك جديد اشوف هل ازالها بعد الفحص ولالا

ثم اتأكد عن القيمة لازالة موجوده وهي

O17 - HKLM\System\CCS\Services\Tcpip\..\{C478ABBE-E841-42D7-87A6-0C2D99C5A9A3}: NameServer =

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

,

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

و يستخدم معها هذي الاداة

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

ثم اطلب منه هايجاك جديد لـ معرفة ماتم عمله



​

 

[kaddabe]

بارك الله فيك

 

[مصطفى المنسي]

جزاك الله خير​

 

[M.$py.M]

بارك الله فيك

يا غالي والله موضوع يستاهل كثير من التقيم عذراً لو ممكن اكثر كن 1000 نجمة يستحق

​

​

 

[Ahmed Alqurashi]

الله يعطيكـ الف عافية

 

[iadobe]

بسم الله الرحمن الرحيم

طيب ممكن شرح ازاى أقدر أحلل الملف ؟

انا فاهم انها دورة للناس الى فاهمه كويس

طيب بالنسبه للى مش فاهم حاجه خالص زيى ؟ عايز أفهم اعمل التقارير وأحللها ازاى

عموما شكرا جزيلا لكم ودورة موفقه

 

[Ahmed Alqurashi]

طيب هذا تقرير جديد

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 05:36:00 م, on 08/11/2011
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\Shadow Defender\DefenderDaemon.exe
C:\PROGRA~1\WI371A~1\Datamngr\DATAMN~1.EXE
C:\Program Files\Common Files\Java\Java Update\jusched.exe
C:\Program Files\KeyScrambler\keyscrambler.exe

--
End of file - 8446 bytes


وروني همتكم
​

أشكرك أخي "البارون"


نبدأ :y:

في البداية سأطلب منه توقيف Shadow Defender الذي يعمل على تجميد النظام .أو حذفه

بعد ذلك

أرى أن هناك تعارض بين

البرنامجين التاليين :-

AntiLogger

و

keyscrambler

فـ يفضل حذف البرنامجين

بعد ذلك

ساطلب منه حذف هذه القيم

O2 - BHO: Searchqu Toolbar - {99079a25-328f-4bd4-be04-00955acaa0a7} - C:\PROGRA~1\WI371A~1\Datamngr\ToolBar\searchqudtx. dll

O2 - BHO: Loader Class - {9D717F81-9148-4f12-8568-69135F087DB0} - C:\PROGRA~1\WI371A~1\Datamngr\BROWSE~1.DLL

+

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

لأن التولبارات لن تحذف بشكل كامل بحذف قيم الهاجيك

+

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

الخطوة التالية

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

الخطوة التالية

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

وبعدين تقرير للبرامج المثبته + هاجيك:kmj-by0000 (72):


<<<< الله يستر شكلي خبصت الدنيا :d:​

 

[البارون]

سيغلق الموضوع مؤقتا

لا عداد مواضيع وطروحات

ولنا عودة للاكمال ان شاء الله ​