اعاني من فايروس Recycler

  • بادئ الموضوع بادئ الموضوع abd002009
  • تاريخ البدء تاريخ البدء
  • المشاهدات 3,115
A

abd002009

زيزوومي جديد
إنضم
31 يناير 2009
المشاركات
9
مستوى التفاعل
0
النقاط
0
الإقامة
TIP-LIBYA
غير متصل
السلام عليكم ورحمة الله
الاخوة اعضاء المنتدى الكرام ارجو منكم مساعدتي في التخلص من فايروس Recycler الذي اعاني من مشاكله منذ ايام علما باني تفضلت بالدخول الي منتداكم المشكور منذ يوم بسب مواجهتي لهذه المشكة ثم اخذت بنصائحكم في استعمال البرنامج الذي ذكرتم اسمه(HijacK This) وقمت بتحميله على جهازي واستعملت البرنامج المذكور وقمت بالضغط على الزر (Do a system scan and save alogfile )وظهر لي التقرير التالي

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 01:13:46 م, on 31/01/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe

SmitFraudFix v2.392

Scan done at 15:21:53.79, Sat 01/31/2009
Run from C:\Documents and Settings\Administrator\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is
Fix run in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» hosts


127.0.0.1 localhost

»»»»»»»»»»»»»»»»»»»»»»»» VACFix

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Internet Download Manager\IDMan.exe
C:\Documents and Settings\Administrator\Local Settings\Application Data\Google\Update\GoogleUpdate.exe
C:\PROGRA~1\Yahoo!\MESSEN~1\YAHOOM~1.EXE
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\A360\av360.exe
C:\Program Files\Internet Download Manager\IEMonitor.exe
C:\Program Files\Google\GoogleToolbarNotifier\1.2.908.8472\GoogleToolbarNotifier.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\drwtsn32.exe
C:\WINDOWS\system32\drwtsn32.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\notepad.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - C:\Program Files\TechSmith\SnagIt 9\SnagItIEAddin.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [Set*******] C:\Program Files\COMPAQ\Set*******\\Set*******.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [58c2100b] rundll32.exe "C:\WINDOWS\system32\sgpdgncv.dll",b
O4 - HKLM\..\Run: [SystemBooster2009] C:\Program Files\SystemBooster2009 (Free Edition)\sbr_updater.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [IDMan] C:\Program Files\Internet Download Manager\IDMan.exe /onboot
O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\Administrator\Local Settings\Application Data\Google\Update\GoogleUpdate.exe" /c
O4 - HKCU\..\Run: [Yahoo! Pager] "C:\PROGRA~1\Yahoo!\MESSEN~1\YAHOOM~1.EXE" -quiet
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [03C9EB98F54243BE5FFC05A9A3B1E3B0] C:\Program Files\A360\av360.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: SnagIt 9.lnk = C:\Program Files\TechSmith\SnagIt 9\SnagIt32.exe
O8 - Extra context menu item: تحميل الكل بـ إنترنت داونلود مانيجر - C:\Program Files\Internet Download Manager\IEGetAll.htm
O8 - Extra context menu item: تحميل بـ إنترنت داونلود مانيجر - C:\Program Files\Internet Download Manager\IEExt.htm
O8 - Extra context menu item: تحميل محتوى فيديو (إف.إل.في) بـ إنترنت داونلود مانيجر - C:\Program Files\Internet Download Manager\IEGetVL.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{90EDF981-FF47-4837-AF40-4847E0228405}: NameServer = 85.255.116.19,85.255.112.200
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.116.19,85.255.112.200
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.116.19,85.255.112.200
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.116.19,85.255.112.200

--
End of file - 4502 bytes
فماذا تنصحوني اعمل بعد هذه الخطوة

هذا رابط صورة للجهاز
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي
 

ترتيب حسب التاريخ ترتيب حسب الأصوات
عذرا بتعديل العنوان لينم عن فحواه

موفق
 
توقيع : Demo-dashDemo-dash is verified member.
تأييد 0
استخدم هالاداه

اداة SmitfraudFix

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي


قم بتشغيل الملف SmitfraudFix.exe ,, وتابع الشرح كماا بهذه الصور

000.png





001.png





002.png





003.png





004.png


005.png

ثم

اولااا/ اعمل تحديث للويندوز

ثانيا/ حمل الاداة ذي ... وقم بتشغيلها
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي


بيظهر لك شاشة الدوس السوداء _ انتظر حتى تختفي
وان شاء الله ينحذف الفايروس

ولي رجعه بعدماأفرمت جهازي
 
التعديل الأخير بواسطة المشرف:
توقيع : Demo-dashDemo-dash is verified member.
تأييد 0
وهنا حل اخر اذا مانفعوا الي فوق واذا كنت تقصد فايروس كيدو

حمل هالتحديث اذا كان الوندوز سييرفس باك 2

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي


ثم حمل هالاداه

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي


وشغلها فقط

zyzoom-0e511bb545.jpg


اذا صدف وظهرت لك رساله بالجواب Y او N

اضغط y-

وخبرنا ايش يسير معك ,,
 
توقيع : Demo-dashDemo-dash is verified member.
تأييد 0
تقرير البرنامج

SmitFraudFix v2.392

Scan done at 15:21:53.79, Sat 01/31/2009
Run from C:\Documents and Settings\Administrator\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is
Fix run in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» hosts


127.0.0.1 localhost

»»»»»»»»»»»»»»»»»»»»»»»» VACFix

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
 
تأييد 0
التقرير ناقص اخي
 
تأييد 0
السلام عليكم

لا زلت اعاني من نفس المشكلة بعد ماقمت باجراء كل الخطوات ماعداالحل التاني فاني لم اتمكن من تحميل البرنامج المدكور وهو
حمل هالتحديث اذا كان الوندوز سييرفس باك 2
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي


ثم حمل هالاداه
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

وواجهة صعوبة في تحميله
وعاودت مرارا استخدام برنامج HijackThis pjn حتى اني قمت بعمل format للجهازوركبت الوندوزمن جديد ولكن بدون فائدة
وهذا تقرير اخر وجديد يمكن يوضح لكم اكثر عن الحالة وشكرا
هذا التقرير
StartupList report, 01/02/2009, 09:41:20 م
StartupList version: 1.52.2
Started from : C:\Program Files\Trend Micro\HijackThis\HijackThis.EXE
Detected: Windows XP SP2 (WinNT 5.01.2600)
Detected: Internet Explorer v6.00 SP2 (6.00.2900.2180)
* Using default options
==================================================
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\notepad.exe
C:\Program Files\zte\PC_DIAL_FWPV5.00.01\Dial-Up.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
--------------------------------------------------
Checking Windows NT UserInit:
[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
UserInit = C:\WINDOWS\system32\userinit.exe,
--------------------------------------------------
Autorun entries from Registry:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Set******* = C:\Program Files\COMPAQ\Set*******\\Set*******.exe
IgfxTray = C:\WINDOWS\system32\igfxtray.exe
HotKeysCmds = C:\WINDOWS\system32\hkcmd.exe
Persistence = C:\WINDOWS\system32\igfxpers.exe
Alcmtr = ALCMTR.EXE
--------------------------------------------------
Autorun entries from Registry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
CTFMON.EXE = C:\WINDOWS\system32\ctfmon.exe
MsnMsgr = "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
--------------------------------------------------
Shell & screensaver key from C:\WINDOWS\SYSTEM.INI:
Shell=*INI section not found*
SCRNSAVE.EXE=*INI section not found*
drivers=*INI section not found*
Shell & screensaver key from Registry:
Shell=Explorer.exe
SCRNSAVE.EXE=C:\WINDOWS\System32\logon.scr
drivers=*Registry value not found*
Policies Shell key:
HKCU\..\Policies: Shell=*Registry value not found*
HKLM\..\Policies: Shell=*Registry value not found*
--------------------------------------------------

Enumerating ShellServiceObjectDelayLoad items:
PostBootReminder: C:\WINDOWS\system32\SHELL32.dll
CDBurn: C:\WINDOWS\system32\SHELL32.dll
WebCheck: C:\WINDOWS\system32\webcheck.dll
SysTray: C:\WINDOWS\system32\stobject.dll
--------------------------------------------------
End of report, 3,311 bytes
Report generated in 0.031 seconds
Command line options:
/verbose - to add additional info on each section
/complete - to include empty sections and unsuspicious data
/full - to include several rarely-important sections
/force9x - to include Win9x-only startups even if running on WinNT
/forcent - to include WinNT-only startups even if running on Win9x
/forceall - to include all Win9x and WinNT startups, regardless of platform
/history - to list version history only
 
تأييد 0
يرفع للمتابعة
 
توقيع : mezouari
تأييد 0
يااخوان انا كنت اعاني من نفس المشكله وطبقت هذا الدرس لااخوي زيزووم

طبق نفس الخطوات

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي



ثم جرب هذا البرنامج راح تلقى اللاف الفيروسات والتروجونات واحذفها

انا مجربه وانصح الجميع بهذا البرنامج

يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي


zyzoom-df7f7ec164.jpg


ثم طبق الشرح هذا وجرب البرنامج


يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي

وتروح كل الفيروسات بإذن الله

وبعدها رد لنا خبر :ok:
 
تأييد 0
معظم الأدوات المتوفرة حتى الآن لتنظيف الجهاز من هذا الفايروس

أولا : أداة الأستاذ يمان الرواس ( الحجم 540 كيلو تقريبا ) General Removal
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي


ثانيا : أداة الكاسبرسكاي (الحجم 112 كيلو تقريبا ) Kaspersky
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي


ثالثا : أداة النورتن (الحجم 2.12 ميغا تقريبا ) Symantec
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي


رابعا : أداة البيت ديفيندر (الحجم 2.57 ميغا تقريبا ) Bitdefender
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي


خامسا : أداة اف سكيور (الحجم 99 كيلو تقريبا ) F-Secure
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي


طبعا أهم شي ان جميع هذه الأدوات تطبق بعد تحميل التحديث من موقع مايكروسوفت
فجميع هذه الحلول لن تكون ذات فائدة دون تحديث الوندوز
يجب عليك تسجيل الدخول او تسجيل لمشاهدة الرابط المخفي
 
تأييد 0
مرحبا
بصراحة انا تصفحت النت بخصوص مشكلتي وبالصدفة تعرفت على برنامج تقريبا جيد وممتاز وجربت البرنامج بعد ما قمت بتحميله من احدى المواقع اسم البرنامج ( ( aesetup2.2.exe ************ - online file sharing and storage - download aesetup2.2.exe
والله اعلم وبسرعة رهيبة تخلصت من كافة الاعراض التي ذكرتها سابقا وخصوصا الرسالة التي تظهر دائما عندما اقوم بكليك على القرص c في ماي كمبيوتر
وفي بعض الاحيان او اخر مرة قبل استعمال البرنامج الذي ذكرته بدات تظهر الرسالة عند ما اقوم بكليك على القرص d واختفت عند ما اقوم بكليك على القرص c لكن ثم اختفاء الرسالة بالكامل مباشرة بعد استعمال البرنامج المذكور
ولكن اليوم وبعد مرور ثلاثة ايام على حل المشكلة لم تظهر لي الرسالة مكررا لكني لا حظت عند مااقوم بالنقر مرتين بالماوس الايسر على القرص c او d ظهور ملفات مخفية بجانب المجلدات الرئيسية(Documents and Settings + ًWINDOWS + program Files بالقرص c ( وهذه اسماؤها RECYCLER + +system Volume information +config +MSDOS +ntldr +NTDETECT +IO + hiberfil +MSOCache+ AUTOEXEC بالنسبة للمجلدات التي بالخط الازرق اجدها كذلك عند النقر على القرص d وبشكل اوضح يمكن مشاهدة الصور المرفقة للملفات المذكورة ارجو افادتي بما يحصل وشكرا

[
 
تأييد 0
abd002009 قال:
مرحبا
بصراحة انا تصفحت النت بخصوص مشكلتي وبالصدفة تعرفت على برنامج تقريبا جيد وممتاز وجربت البرنامج بعد ما قمت بتحميله من احدى المواقع اسم البرنامج ( ( aesetup2.2.exe ************ - online file sharing and storage - download aesetup2.2.exe
والله اعلم وبسرعة رهيبة تخلصت من كافة الاعراض التي ذكرتها سابقا وخصوصا الرسالة التي تظهر دائما عندما اقوم بكليك على القرص c في ماي كمبيوتر
وفي بعض الاحيان او اخر مرة قبل استعمال البرنامج الذي ذكرته بدات تظهر الرسالة عند ما اقوم بكليك على القرص d واختفت عند ما اقوم بكليك على القرص c لكن ثم اختفاء الرسالة بالكامل مباشرة بعد استعمال البرنامج المذكور
ولكن اليوم وبعد مرور ثلاثة ايام على حل المشكلة لم تظهر لي الرسالة مكررا لكني لا حظت عند مااقوم بالنقر مرتين بالماوس الايسر على القرص c او d ظهور ملفات مخفية بجانب المجلدات الرئيسية(Documents and Settings + ًWINDOWS + program Files بالقرص c ( وهذه اسماؤها RECYCLER + +system Volume information +config +MSDOS +ntldr +NTDETECT +IO + hiberfil +MSOCache+ AUTOEXEC بالنسبة للمجلدات التي بالخط الازرق اجدها كذلك عند النقر على القرص d وبشكل اوضح يمكن مشاهدة الصور المرفقة للملفات المذكورة ارجو افادتي بما يحصل وشكرا
أنقر للتوسيع...

جميع المجلدات الي قمت بذكرها هي سلميه وخاصه بالنظام ماعدا

hiberfil

هذي ياإما تكون تابعه لفايروسات ياإما تكون تابعه لبرامج .. والله اعلم

اعمل فحص شامل للجهاز ولازم يكون محدث .. اذا حدث ومسك فايروسات من داخل هالمجلدات فمعناه انها تابعه للفايروس

اذا انتهى الفحص وهو سليم فمعناه ان المجلدات سليمه ..

بعد كذا اعد الإفتراضيات التابعه للمجلدات وخلاص
 
توقيع : Demo-dashDemo-dash is verified member.
تأييد 0
انا قبل الانصال بكم اليوم قمت بحدف ملف autoexecفقط لاني خفت منه بصراحة هل لي ان ارجعه من سلة المحوفات والا نتركه لكن انا اشغل برنامج Norton AntiVirusالاصدار16.2.0.7 سنة 2009

وعند الاتصال بالانترنت تظهر لي رسالة صغيرة من البرنامج اسفل الشاشة مفادها الاتي A recent attepmpt to attaack your computer was blocked وعند ما شغلت scan Now ثم اخترت run quick scan وتم الفحص ظهرت هذه النتيجة

all detected security risks have been resolvedب
وهذه صورة الرسالة الصغيرة التي تظهر اسفل الشاشة فما هو الراي بعلمكم
 
تأييد 0
حبيبي اسمعني هنا ...

شوف .. هذي المجلدات تحت هالإسم

MSOCache


Config.Msi


RECYCLER


System Volume Information


تابعه للنظام

وبالنسبه للملفات

AUTOEXEC


boot


CONFIG


IO


ioAsk


MSDOS


NTDETECT


ntldr


pagefile

هذي ايضا سليمه وتابعه للنظام...


غير هالملفات والمجلدات دخيله ويفضل حذفها ان لم تكن تابعه لبرامج

بارك الله فيك
 
توقيع : Demo-dashDemo-dash is verified member.
تأييد 0
استفسار

ارجو افادتي
لماذا لا تضهر الصور عندى في صفحات الانترنت وتظهر مكانها اشارة x او ايطار ملون مثل
zyzoom-
 
تأييد 0
يجب تسجيل الدخول أو التسجيل كي تتمكن من الرد هنا.
عودة
أعلى