فايرس غريب وعجيب

  • بادئ الموضوع بادئ الموضوع oesi_no
  • تاريخ البدء تاريخ البدء
  • المشاهدات 1,513
O

oesi_no

زيزوومي جديد
إنضم
21 نوفمبر 2008
المشاركات
20
مستوى التفاعل
0
النقاط
20
الإقامة
caro
غير متصل
السلام عليكم
جائنى من خلال الفلاش ميمورى فايرس غريب قام بتعطيل كل من
alt+ctrl+del
hidden files
reg edit
وعندما اقوم بتسطيب اى برنامج انتى فايرس لا يقبل
عندما جربت تسطيب ال avast قام بأخفائه
جربت السكان اونلاين بال nod32 دون تنزيل البرنامج على الجهاز
ووجد الفايرس اسمه Win32Sality
وبعد الانتهاء كان التاسك مانجر يعمل
وحينما قررت ان اسطب انتى فايرس من الذى لدى على الهارد عادت المشكله مرة اخرى
جربت الكثير من الادوات هنا ولكن بلا جدوى
جربت الاداة Win32Sality Remover tool 1.1.0.153
ولكنها لم تفلح بسبب رساله خطأ
لم استطع عمل التقرير بسبب تلك الرساله
ياريت تساعدونى
63594710ng7.jpg
 

ترتيب حسب التاريخ ترتيب حسب الأصوات
ملحوظه هامة نسيت ان اذكرها
وجدت فى الفلاش ملفين اشك فيهم بدرجة كبيرة ربما يساعدوكم على مساعدتى
اولهم الملف الملعون autorun.inf
والثانى hooqsu.exe على شكل ملف notepad
رجاااااااااااااااااااااااء المساعدة
 
تأييد 0
ادخل الفلاش اخي بالجهاز ثم طبق التالي


عطل جميع برامج الحماية ,,
وحمل هذه الاداة واحفظها على سطح المكتب
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

عند تشغيلها بتظهر لك رسالة ,, اضغط على >> Yes
بعدها بتظهر لك رساله ثانيه ,, اضغط على >> Yes
انتظر حتى الاداة تنتهي من فحص جهازك ,,, وبشكل تلقائي يعاد تشغيل جهازك ,,
وبعد اعادة التشغيل ,, سوف تبدأ الاداة بالفحص مرره ثانيه
انتظر حتى يظهر لك تقرير ,, انسخه والصقه بردك القادم
(2)
واعمل تقرير للهايجاك
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

اذا انتهى التحميل ==> شغل البرنامج ==> واضغط على Do a system scan and save log
لحظات ويظهر لك تقرير ,, انسخه والصقه بردك القادم
 
توقيع : صمت السكوت
تأييد 0
حرر

آسف لم ارى ردك اخت خلود
 
توقيع : السّاجد لله
تأييد 0
مبدئيا حذفت كل برامج الحمايه ماعدا شئ اسمه pc tools antivirus
لا يريد ان يتعطل
هو لا يعمل ولا يرحل عن الجهاز
جارى تنفيذ خطواتكم السابقة انتظرونى
 
تأييد 0
ظهرت نفس الرساله اللى فوق فى الصورة مرتين
وفصل الجهاز لوحده وانا مشغل البرنامج
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي


واخيرا كمل ووقف عند ريكفورى ان بروجرس
وحصلت على ذلك التقرير
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:25, on 2008-11-21
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0013)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\CF6872.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\CF6872.exe
C:\ComboFix\FINDSTR.cfexe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\DOCUME~1\MIRO`\LOCALS~1\Temp\fexpr.exe
C:\DOCUME~1\MIRO`\LOCALS~1\Temp\npjd.exe
C:\DOCUME~1\MIRO`\LOCALS~1\Temp\ducfl.exe
C:\Documents and Settings\MIRO`\Desktop\Zyzoom_HijackThis.exe
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - .DEFAULT User Startup: Stardock Dock.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat\Dock\Dock.exe (User 'Default user')
O4 - .DEFAULT User Startup: Y'z ToolBar.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat\YzToolbar\YzToolBar.exe (User 'Default user')
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O23 - Service: Indexing Service (CiSvc) - Unknown owner - C:\WINDOWS\system32\cisvc.exe (file missing)
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Uninterruptible Power Supply (UPS) - Unknown owner - C:\WINDOWS\System32\ups.exe (file missing)
--
End of file - 2018 bytes
أنقر للتوسيع...
فى انتظاركم
 
تأييد 0
شوف هالأداة تستطيع حذف فايروس win.32

حملها من هنا واتبع الشرح التالي

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي


.: معلومات :.


ينتقل الفيروس عن طريق الأنترنت و نقل الملفات المصابة و البريد الألكتروني , كما له خواص إنتشار واسعة جداً من خلال الفلاشات الUSB ,
حيث يصنع من نفسه ملفات Autorun تساعد على الدخول لجهاز الضحية .

فالفيروس يقوم بنسخ نفسه بسرعة كبيرة في ملفات ال exe
فهو يدمر نظام تشغيلك و برامجك المثبته و الغير مثبتة , كما يدمر الألعاب
و أيضاً يدمر أي برنامج أنتي فيروس تضعه على جهازك
كما أنه يبعث بشفرات الريجيستري حتى يضمن عدم الوصول له من خلال تعطيل خاصية ctrl+alt+del
و خاصية regedit
و خاصية safe mode
و يمنعك من تحميل أي برنامج أنتي فيروس من على الأنترنت و يقطع الإتصال
و عند الدخول الي أي ما يهدده تظهر تلك الرسالة السخيفة

 the task manger has disabled by your admnistroitor

و إذا ظهرت لك هذه الرسالة فتأكد من أن الفيروس قد نال منك و تسلل لملفات النظام .
و هنا لا مفر من تثبيت نسخة جديدة من الويندوز

إذا لم تظهر لديك تلك الرسالة فلا تسعد ,
فمن الممكن أن يكون الفيروس مختباً بأي مكان في الجهاز ينتظر وقت الإنقضاض عليك
لذا يجب عمل فحص دوري شامل على جميع ملفات الجهاز بأي برنامج فايروسات معه اخر التحديثات و ستتفادى هجمة الفيروس المميتة .

انظروا الى هذه الرساله من الفايروس عندما تكون الإصابه متفشيه

zyzoom-ae74faa7a8.gif


^
مفادها قل وداعا الى بياناتك الي على الهارديسك




.: معلومات عن الاداه :.

الأداه مقدمه من شركه AVG
zyzoom-293690934c.jpg

ماعليك الى ان تحمل الاداه وتضغط عليها وهي سوف تقوم بفحص جهازك وتنظيفه تلقائيا

zyzoom-d4460a5f58.jpg




.: التحميل :.

ملاحظه : لاننسى قبل استعمال الأداه ان نعطل نقطه استعاده النظام على حسب الشرح التالي :/



dis_sys_xp.jpg



منقول من أخي ديمودآش وشرح أخونـآ البرون​
 
التعديل الأخير بواسطة المشرف:
توقيع : Corporation
تأييد 0
compaq99 قال:
شوف هالأداة تستطيع حذف فايروس win.32


حملها من هنا واتبع الشرح التالي

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

.: معلومات :.


ينتقل الفيروس عن طريق الأنترنت و نقل الملفات المصابة و البريد الألكتروني , كما له خواص إنتشار واسعة جداً من خلال الفلاشات الusb ,
حيث يصنع من نفسه ملفات autorun تساعد على الدخول لجهاز الضحية .

فالفيروس يقوم بنسخ نفسه بسرعة كبيرة في ملفات ال exe
فهو يدمر نظام تشغيلك و برامجك المثبته و الغير مثبتة , كما يدمر الألعاب
و أيضاً يدمر أي برنامج أنتي فيروس تضعه على جهازك
كما أنه يبعث بشفرات الريجيستري حتى يضمن عدم الوصول له من خلال تعطيل خاصية ctrl+alt+del
و خاصية regedit
و خاصية safe mode
و يمنعك من تحميل أي برنامج أنتي فيروس من على الأنترنت و يقطع الإتصال
و عند الدخول الي أي ما يهدده تظهر تلك الرسالة السخيفة
the task manger has disabled by your admnistroitor


و إذا ظهرت لك هذه الرسالة فتأكد من أن الفيروس قد نال منك و تسلل لملفات النظام .
و هنا لا مفر من تثبيت نسخة جديدة من الويندوز

إذا لم تظهر لديك تلك الرسالة فلا تسعد ,
فمن الممكن أن يكون الفيروس مختباً بأي مكان في الجهاز ينتظر وقت الإنقضاض عليك
لذا يجب عمل فحص دوري شامل على جميع ملفات الجهاز بأي برنامج فايروسات معه اخر التحديثات و ستتفادى هجمة الفيروس المميتة .

انظروا الى هذه الرساله من الفايروس عندما تكون الإصابه متفشيه

zyzoom-ae74faa7a8.gif

^
مفادها قل وداعا الى بياناتك الي على الهارديسك




.: معلومات عن الاداه :.

الأداه مقدمه من شركه avg
zyzoom-293690934c.jpg

ماعليك الى ان تحمل الاداه وتضغط عليها وهي سوف تقوم بفحص جهازك وتنظيفه تلقائيا

zyzoom-d4460a5f58.jpg



.: التحميل :.

ملاحظه : لاننسى قبل استعمال الأداه ان نعطل نقطه استعاده النظام على حسب الشرح التالي :/




dis_sys_xp.jpg



منقول من أخي ديمودآش وشرح أخونـآ البرون
أنقر للتوسيع...

جربتها اخى قبل ان اضع الموضوع
تظهر النافذة ثم تختفى مرة اخرى وتظهر رساله الايرور اللى فى الموضوع مرات عديدة
ولم اتخلص من الفايرس حتى الان
 
تأييد 0
اخوي ادخل على الوضع الامن وطبق المطلوب من التقارير الله لايهينك ولاتنسى تضع الفلاش بالجهاز ايضا انتظر التقارير
 
توقيع : صمت السكوت
تأييد 0
اخوي ادخل على الوضع الامن وطبق المطلوب من التقارير الله لايهينك ولاتنسى تضع الفلاش بالجهاز ايضا انتظر التقارير
أنقر للتوسيع...
لا استطيع دخول safe mode
الجهاز بيعمل ريستارت
 
تأييد 0
up up up
 
تأييد 0
بعد اذن الغوالي تسمحولي اتدخل ..

اعمل التالي اخوي

من ابدأ ختر run واكتب الامر التالي

msconfig

ثم اوكي

ستظهر شاشة التطبيق

system configuration utility

اعمل كما يلي

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي



ثم وافق على اعادة التغشيل


يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي


ثم اعطني تقرير هاي جاك

 
التعديل الأخير بواسطة المشرف:
توقيع : السّاجد لله
تأييد 0
بعد تنفيذ امر run ظهر التالى
99800378aa9.jpg

ثم حصلت على التقرير التالى
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:31, on 2008-11-21
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0013)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\DOCUME~1\MIRO`\LOCALS~1\Temp\winndsuk.exe
C:\DOCUME~1\MIRO`\LOCALS~1\Temp\winobejy.exe
C:\DOCUME~1\MIRO`\LOCALS~1\Temp\wingoojug.exe
E:\Zyzoom_HijackThis.exe
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - .DEFAULT User Startup: Stardock Dock.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat\Dock\Dock.exe (User 'Default user')
O4 - .DEFAULT User Startup: Y'z ToolBar.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat\YzToolbar\YzToolBar.exe (User 'Default user')
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O23 - Service: Indexing Service (CiSvc) - Unknown owner - C:\WINDOWS\system32\cisvc.exe (file missing)
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Uninterruptible Power Supply (UPS) - Unknown owner - C:\WINDOWS\System32\ups.exe (file missing)
--
End of file - 1934 bytes
 
تأييد 0
ملحوظه
انا معنديش انتى فايرس اصلا
 
تأييد 0
حدد القيم التاليه واحذفها

O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\System, DisableRegedit=1


O23 - Service: Uninterruptible Power Supply (UPS) - Unknown owner - C:\WINDOWS\System32\ups.exe (file missing)


طريقة الحذف

zyzoom-47abf39087.gif



zyzoom-dc3770ae68.gif



نزل هالاداة لتنظيف الجهاز


يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي



zyzoom-3c0e283670.gif

 
توقيع : السّاجد لله
تأييد 0
تم
ماذا بعد ؟؟​
 
تأييد 0
هل ما تزال المشكلة قائمة
 
توقيع : السّاجد لله
تأييد 0
اينعم
قائمة تماما
وعندما حاولت ان اعمل تقرير اخر وجدت القيم التى حذفتها لازالت موجودة
ما العمل
 
تأييد 0
جرب تسوي اصلاح بسيدي الوندوز
 
توقيع : السّاجد لله
تأييد 0
يجب تسجيل الدخول أو التسجيل كي تتمكن من الرد هنا.
عودة
أعلى